Enable-WSManCredSSP
Aktiverar CredSSP-autentisering (CredSSP) på en dator.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Den här cmdleten är endast tillgänglig på Windows-plattformen.
Cmdleten Enable-WSManCredSSP aktiverar CredSSP-autentisering på en klient eller på en serverdator.
När CredSSP-autentisering används skickas användarautentiseringsuppgifterna till en fjärrdator som ska autentiseras. Den här typen av autentisering är utformad för kommandon som skapar en fjärrsession från en annan fjärrsession. Om du till exempel vill köra ett bakgrundsjobb på en fjärrdator använder du den här typen av autentisering.
Enable-WSManCredSSP kan aktivera CredSSP på en klient eller en server. Om du vill aktivera CredSSP på en klient anger du Klient i parametern Roll . Klienter delegerar explicita autentiseringsuppgifter till en server när serverautentisering uppnås. Om du vill aktivera CredSSP på en server anger du Server i parametern Roll . En server fungerar som ombud för klienter. Mer information finns i Roll i avsnittet Parametrar.
Varning
CredSSP-autentisering delegerar användarautentiseringsuppgifterna från den lokala datorn till en fjärrdator. Den här metoden ökar säkerhetsrisken för fjärråtgärden. Om fjärrdatorn komprometteras, när autentiseringsuppgifter skickas till den, kan autentiseringsuppgifterna användas för att styra nätverkssessionen.
Exempel
Exempel 1: Delegera klientautentiseringsuppgifter
I det här exemplet kan klientens autentiseringsuppgifter delegeras till en dator med hjälp av det fullständigt kvalificerade domännamnet.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExempel 2: Delegera klientautentiseringsuppgifter till alla datorer i en domän
I det här exemplet kan klientens autentiseringsuppgifter delegeras till alla datorer i fabrikam.com domänen. Jokertecknet asterisk (*) anger alla datorer.
Kommentar
Om du använder jokertecken med parametern DelegateComputer kan du aktivera CredSSP på fler datorer än nödvändigt.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExempel 3: Delegera klientautentiseringsuppgifter till flera datorer
I det här exemplet kan klientens autentiseringsuppgifter delegeras till flera datorer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVariabeln $servers innehåller en lista över servernamn. Enable-WSManCredSSPanvänder parametern Roll för att ange klientrollen. DelegateComputer hämtar datornamnen från variabeln$servers.
Exempel 4: Tillåt att en dator fungerar som ombud
I det här exemplet kan en dator fungera som ombud för en annan. Cmdleten Enable-WSManCredSSP , som visas i de tidigare exemplen, aktiverar endast CredSSP-autentisering på klienten och anger de fjärrdatorer som kan agera för dess räkning. För att fjärrdatorn ska fungera som ombud för klienten måste CredSSP-objektet i tjänstnoden för WSMan anges till true. I det här exemplet anges CredSSP-objektet i tjänstnoden för WSMan till true.
Enable-WSManCredSSP -Role "Server"Exempel 5: Tillåt att en dator fungerar som ombud med hjälp av Set-Item
I det här exemplet kan en dator fungera som ombud för en annan dator. Kommandona Enable-WSManCredSSP , som visas i de tidigare exemplen, aktiverar Endast CredSSP-autentisering på klientdatorn och anger de fjärrdatorer som kan agera för klientdatorns räkning. För att fjärrdatorn ska fungera som ombud för klientdatorn måste CredSSP-objektet i tjänstkatalogen för WSMan-providern vara inställt på true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan skapar en anslutning till fjärrdatorn, server02. Set-Item använder parametern Path för att ange platsen för WSMan-providern . Parametern Value anger inställningen Tjänst till true.
Parametrar
-DelegateComputer
Anger servrar som klientautentiseringsuppgifter delegeras till. Det bästa sättet är att använda fullständigt kvalificerade domännamn.
Jokertecken accepteras, men kan aktivera CredSSP på fler datorer än nödvändigt.
Om rollparametern är Klient måste du ange den här parametern. Ange inte den här parametern om Roll är Server.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Tvingar kommandot att köras utan att be om användarbekräftelse.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Anger om CredSSP ska aktiveras som en klient eller som en server. De acceptabla värdena för den här parametern är: Klient och server.
Om du anger Klient utförs följande åtgärder. Med de här inställningarna kan klienten delegera explicita autentiseringsuppgifter till en server när serverautentisering uppnås.
- Aktiverar CredSSP på klienten.
- Anger inställningen
\<localhost|computername\>\Client\Auth\CredSSPWS-Management till true. - Anger Windows CredSSP-principen AllowFreshCredentials till WSMan/Delegate på klienten.
Om du anger Server utförs följande åtgärder. Med den här principinställningen kan servern fungera som ombud för klienter.
- Aktiverar CredSSP på servern.
- Anger inställningen
\<localhost|computername\>\Service\Auth\CredSSPWS-Management till true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Indata
None
Du kan inte skicka objekt till den här cmdleten.
Utdata
Om CredSSP-autentisering har aktiverats returnerar den här cmdleten ett XMLElement-objekt .
Kommentarer
Om du vill inaktivera CredSSP-autentisering använder du cmdleten Disable-WSManCredSSP .
Relaterade länkar
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för