Enable-WSManCredSSP
Включает проверку подлинности поставщика поддержки безопасности учетных данных (CredSSP) на компьютере.
Синтаксис
Enable-WSManCredSSP
[-Role] <String>
[[-DelegateComputer] <String[]>]
[-Force]
[<CommonParameters>] Описание
Командлет Enable-WSManCredSSP включает проверку подлинности CredSSP на клиенте или на серверном компьютере.
При использовании проверки подлинности CredSSP учетные данные пользователя передаются на удаленный компьютер для проверки подлинности. Этот тип проверки подлинности предназначен для команд, которые создают удаленный сеанс из другого удаленного сеанса. Например, если вы хотите запустить фоновое задание на удаленном компьютере, используйте этот тип проверки подлинности.
Enable-WSManCredSSP может включить CredSSP на клиенте или сервере. Чтобы включить CredSSP на клиенте, укажите Клиент в параметре Role . Клиенты делегируют явные учетные данные серверу при выполнении проверки подлинности сервера. Чтобы включить CredSSP на сервере, укажите Сервер в параметре Role . Сервер выступает в качестве делегата для клиентов. Дополнительные сведения см. в разделе Role в разделе Параметры.
Внимание!
Проверка подлинности CredSSP делегирует учетные данные пользователя с локального компьютера на удаленный компьютер. Это повышает угрозу безопасности при работе в удаленном режиме. Если удаленный компьютер скомпрометирован, то передаваемые на него учетные данные могут быть использованы для управления сетевым сеансом.
Примеры
Пример 1. Делегирование учетных данных клиента
В этом примере учетные данные клиента можно делегировать компьютеру с помощью полного доменного имени.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueПример 2. Делегирование учетных данных клиента всем компьютерам в домене
В этом примере учетные данные клиента можно делегировать всем компьютерам в домене fabrikam.com . Подстановочный знак звездочки (*) указывает все компьютеры.
Примечание
Использование подстановочных знаков с параметром DelegateComputer позволяет включить CredSSP на большем числе компьютеров, чем необходимо.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueПример 3. Делегирование учетных данных клиента нескольким компьютерам
В этом примере учетные данные клиента можно делегировать нескольким компьютерам.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueПеременная $servers содержит список имен серверов. Enable-WSManCredSSP использует параметр Role для указания роли клиента . DelegateComputer получает имена компьютеров из переменной $servers .
Пример 4. Разрешить компьютеру действовать в качестве делегата
Этот пример позволяет компьютеру выступать в качестве делегата для другого. Командлет Enable-WSManCredSSP , показанный в предыдущих примерах, включает проверку подлинности CredSSP только на клиенте и указывает удаленные компьютеры, которые могут действовать от его имени. Чтобы удаленный компьютер выполнял роль делегата для клиента, элемент CredSSP в узле Службы WSMan должен иметь значение true. В этом примере элементу CredSSP в узле Служба WSMan присваивается значение true.
Enable-WSManCredSSP -Role "Server"Пример 5. Разрешить компьютеру действовать в качестве делегата с помощью Set-Item
В этом примере компьютер может выступать в качестве делегата для другого компьютера. Команды Enable-WSManCredSSP , показанные в предыдущих примерах, обеспечивают проверку подлинности CredSSP только на клиентском компьютере и указывают удаленные компьютеры, которые могут действовать от имени клиентского компьютера. Чтобы удаленный компьютер выступал в качестве делегата для клиентского компьютера, для элемента CredSSP в каталоге Service WSMan следует установить значение true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan создает подключение к удаленному компьютеру server02. Set-Item использует параметр Path для указания расположения поставщика WSMan . Параметр Value задает для параметра Service значение true.
Параметры
-DelegateComputer
Указывает серверы, которым делегированы учетные данные клиента. Рекомендуется использовать полные доменные имена.
Подстановочные знаки принимаются, но можно включить CredSSP на большем размере компьютеров, чем необходимо.
Если параметр Role имеет значение Client, необходимо указать этот параметр. Если параметр Role имеет значение Server, не указывайте этот параметр.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Принудительное выполнение команды без запроса на подтверждение пользователем.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Указывает, следует ли включить CredSSP в качестве клиента или сервера. Допустимые значения для этого параметра: Client и Server.
Если указать клиент, выполняются следующие действия. Эти параметры позволяют клиенту делегировать явные учетные данные на сервер при выполнении аутентификации сервера.
- Включает CredSSP на клиенте.
- Задает для параметра WS-Management значение
\<localhost|computername\>\Client\Auth\CredSSPtrue. - Устанавливает для политики Windows CredSSP AllowFreshCredentialsзначение WSMan/Delegate на клиенте.
Если указать сервер, выполняются следующие действия. Этот параметр политики позволяет серверу выступать в качестве делегата для клиентов.
- Включает CredSSP на сервере.
- Задает для параметра WS-Management значение
\<localhost|computername\>\Service\Auth\CredSSPtrue.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Входные данные
None
Этот командлет не принимает никаких входных данных.
Выходные данные
Если проверка подлинности CredSSP успешно включена, этот командлет создает объект XMLElement .
Примечания
Чтобы отключить проверку подлинности CredSSP, используйте Disable-WSManCredSSP командлет .