Enable-WSManCredSSP
Включает проверку подлинности поставщика поддержки безопасности учетных данных (CredSSP) на компьютере.
Синтаксис
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Описание
Этот командлет доступен только на платформе Windows.
Командлет Enable-WSManCredSSP включает проверку подлинности CredSSP на клиенте или на серверном компьютере.
При использовании проверки подлинности CredSSP учетные данные пользователя передаются на удаленный компьютер для проверки подлинности. Этот тип проверки подлинности предназначен для команд, создающих удаленный сеанс из другого удаленного сеанса. Например, если вы хотите запустить фоновое задание на удаленном компьютере, используйте эту проверку подлинности.
Enable-WSManCredSSPможет включить CredSSP на клиенте или сервере. Чтобы включить CredSSP на клиенте, укажите клиент в параметре Role . Клиенты делегируют явные учетные данные серверу при достижении проверки подлинности сервера. Чтобы включить CredSSP на сервере, укажите сервер в параметре роли . Сервер выступает в качестве делегата для клиентов. Дополнительные сведения см . в разделе "Параметры ".
Внимание
Проверка подлинности CredSSP делегирует учетные данные пользователя с локального компьютера на удаленный компьютер. Это повышает угрозу безопасности при работе в удаленном режиме. Если удаленный компьютер скомпрометирован, то передаваемые на него учетные данные могут быть использованы для управления сетевым сеансом.
Примеры
Пример 1. Делегирование учетных данных клиента
В этом примере учетные данные клиента можно делегировать на компьютер с помощью полного доменного имени.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueПример 2. Делегирование учетных данных клиента всем компьютерам в домене
Этот пример позволяет делегировать учетные данные клиента всем компьютерам в домене fabrikam.com . Подстановочный знак звездочки (*) указывает все компьютеры.
Примечание.
Использование подстановочных знаков с параметром DelegateComputer может включить CredSSP на более компьютерах, чем необходимо.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueПример 3. Делегирование учетных данных клиента нескольким компьютерам
Этот пример позволяет делегировать учетные данные клиента нескольким компьютерам.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueПеременная $servers содержит список имен серверов. Enable-WSManCredSSPиспользует параметр Role для указания роли клиента. ДелегатComputer получает имена компьютеров из переменной$servers.
Пример 4. Разрешить компьютеру выступать в качестве делегата
В этом примере компьютер может выступать в качестве делегата для другого. Командлет, показанный Enable-WSManCredSSP в предыдущих примерах, включает только проверку подлинности CredSSP на клиенте и указывает удаленные компьютеры, которые могут действовать от его имени. Чтобы удаленный компьютер выступал в качестве делегата для клиента, для элемента CredSSP в узле службы WSMan должно быть задано значение true. В этом примере элемент CredSSP в узле службы WSMan имеет значение true.
Enable-WSManCredSSP -Role "Server"Пример 5. Разрешить компьютеру выступать в качестве делегата с помощью Set-Item
Этот пример позволяет компьютеру выступать в качестве делегата для другого компьютера. Команды Enable-WSManCredSSP , показанные в предыдущих примерах, обеспечивают проверку подлинности CredSSP только на клиентском компьютере и указывают удаленные компьютеры, которые могут действовать от имени клиентского компьютера. Чтобы удаленный компьютер выступал в качестве делегата для клиентского компьютера, для элемента CredSSP в каталоге Service WSMan следует установить значение true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan создает подключение к удаленному компьютеру, server02. Set-Itemиспользует параметр Path для указания расположения поставщика WSMan. Параметр Value задает для параметра service значение true.
Параметры
-DelegateComputer
Указывает серверы, на которые делегируются учетные данные клиента. Рекомендуется использовать полные доменные имена.
Подстановочные знаки принимаются, но могут включать CredSSP на более компьютерах, чем это необходимо.
Если параметр роли является клиентом, необходимо указать этот параметр. Если роль — сервер, не указывайте этот параметр.
| Тип: | String[] |
| Position: | 1 |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | True |
-Force
Принудительное выполнение команды без запроса на подтверждение пользователем.
| Тип: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
-Role
Указывает, следует ли включить CredSSP в качестве клиента или в качестве сервера. Допустимые значения этого параметра: Client и Server.
При указании клиента выполняются следующие действия. Эти параметры позволяют клиенту делегировать явные учетные данные на сервер при выполнении аутентификации сервера.
- Включает CredSSP на клиенте.
- Задает для параметра
\<localhost|computername\>\Client\Auth\CredSSPWS-Management значение true. - Задает политику Windows CredSSP AllowFreshCredentials в WSMan/Делегат на клиенте.
Если указать сервер, выполняются следующие действия. Этот параметр политики позволяет серверу выступать в качестве делегата для клиентов.
- Включает CredSSP на сервере.
- Задает для параметра
\<localhost|computername\>\Service\Auth\CredSSPWS-Management значение true.
| Тип: | String |
| Допустимые значения: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
Входные данные
None
Невозможно передать объекты в этот командлет.
Выходные данные
Если проверка подлинности CredSSP успешно включена, этот командлет возвращает объект XMLElement .
Примечания
Чтобы отключить проверку подлинности CredSSP, используйте Disable-WSManCredSSP командлет.
Связанные ссылки
PowerShell