Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Windows Uzaktan Yönetimi, çeşitli standart kimlik doğrulaması ve ileti şifreleme yöntemlerini destekleyerek bilgisayarlar arasındaki iletişim için güvenliği korur.
Varsayılan Grup Erişimi
Kurulum sırasında WinRM, WinRMRemoteWMIUsers__yerel grubu oluşturur. Ardından WinRM, yerel yönetim grubunun veya WinRMRemoteWMIUsers__ grubunun üyesi olmayan tüm kullanıcılara uzaktan erişimi kısıtlar. Komut istemine net localgroup WinRMRemoteWMIUsers__ /add <etki alanı>\<kullanıcı adı> yazarak yerel kullanıcı, etki alanı kullanıcısı veya etki alanı grubunu WinRMRemoteWMIUsers__ ekleyebilirsiniz. İsteğe bağlı olarak, gruba kullanıcı eklemek için Grup İlkesi'ni kullanabilirsiniz.
Varsayılan Kimlik Doğrulama Ayarları
Varsayılan kimlik bilgileri, kullanıcı adı ve parola, betiği çalıştıran oturum açmış kullanıcı hesabının kimlik bilgileridir.
Uzak bilgisayardaki başka bir hesaba geçmek için
- ConnectionOptions veya IWSManConnectionOptions nesnesinde kimlik bilgilerini belirtin ve bunu CreateSession çağrısına sağlayın.
- CreateSession çağrısındaki bayrakları parametresinde WSManFlagCredUserNamePassword ayarlayın.
Aşağıdaki listede, bir betik veya uygulama varsayılan kimlik bilgileri altında çalıştırıldığında nelerin oluştuğunun listesi yer alır:
- Kerberos, istemci bir etki alanında olduğunda ve uzak hedef dize aşağıdakilerden biri olmadığında varsayılan kimlik doğrulama yöntemidir: localhost, 127.0.0.1 veya [::1].
- Anlaşma, istemci bir etki alanında değilken uzak hedef dize aşağıdakilerden biri olduğunda varsayılan yöntemdir: localhost, 127.0.0.1 veya [::1].
ConnectionOptions nesnesiyle açık kimlik bilgileri sağlarsanız, Negotiate varsayılan yöntemdir. Anlaşma kimlik doğrulaması, bilgisayarların bir etki alanında veya çalışma grubunda olup olmadığına bağlı olarak devam eden kimlik doğrulama yönteminin Kerberos mu yoksa NTLM mi olduğunu belirler. Yerel bir hesap kullanarak uzak bir hedef bilgisayara bağlanıyorsanız, hesaba bilgisayar adı ön eki eklenmelidir. Örneğin, myComputer\myUsername.
Anlaşma, Özet veya Temel kimlik doğrulamasını belirtirseniz ve ConnectionOptions nesnesi sağlayamazsanız, açık kimlik bilgilerinin gerekli olduğunu belirten bir hata alırsınız. Aktarım HTTPS değilse, hedef uzak bilgisayar güvenilen ana bilgisayar listesinde yapılandırılmalıdır.
Varsayılan yapılandırma ayarlarında etkinleştirilen kimlik doğrulama türleri hakkında daha fazla bilgi için bkz. Windows Uzaktan Yönetimiçin Yükleme ve Yapılandırma.
Temel Kimlik Doğrulaması
WSMan.CreateSessionçağrısında açıkça Temel kimlik doğrulaması oluşturmak için bayrakları parametresinde WSManFlagUseBasic ve WSManFlagCredUserNamePassword bayraklarını ayarlayın. Hem WinRM istemcisi hem de WinRM sunucusu için varsayılan yapılandırma ayarlarında temel kimlik doğrulaması devre dışı bırakılır.
Özet Kimlik Doğrulaması
WSMan.CreateSessionçağrısında açıkça Özet kimlik doğrulaması oluşturmak için, bayrakları parametresinde WSManFlagUseDigest bayrağını ayarlayın. Özet desteklenmez. WinRM sunucu bileşeni için yapılandırılamaz.
Anlaşma Kimlik Doğrulaması
WSMan.CreateSessionçağrısında, Windows Tümleşik Kimlik Doğrulaması olarak da bilinen Negotiate kimlik doğrulamasını açıkça oluşturmak için, bayrakları parametresinde WSManFlagUseNegotiate bayrağını ayarlayın.
Kullanıcı Hesabı Denetimi (UAC) WinRM hizmetine erişimi etkiler. Bir çalışma grubunda Anlaşma kimlik doğrulaması kullanıldığında, hizmete yalnızca yerleşik Yönetici hesabı erişebilir. Yöneticiler grubundaki tüm hesapların hizmete erişmesine izin vermek için aşağıdaki kayıt defteri değerini ayarlayın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\İlkeleri\System\LocalAccountTokenFilterPolicy = 1
Kerberos Kimlik Doğrulaması
WSMan.CreateSessionçağrısında açıkça Kerberos kimlik doğrulaması oluşturmak için, bayrakları parametresinde WSManFlagUseKerberos bayrağını ayarlayın. hem istemci hem de sunucu bilgisayarları bir etki alanına katılmalıdır. Kimlik doğrulama yöntemi olarak Kerberos kullanıyorsanız, WSMan.CreateSession veya IWSMan::CreateSessionçağrısında bir IP adresi kullanamazsınız.
İstemci Sertifikası Tabanlı Kimlik Doğrulaması
WSMan.CreateSessionçağrısında istemci sertifikası tabanlı kimlik doğrulaması oluşturmak için, bayrakları parametresinde WSManFlagUseClientCertificate bayrağını ayarlayın.
Önce Winrm komut satırı aracını kullanarak hem istemcide hem de hizmette sertifika kimlik doğrulamasını etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. Kimlik Doğrulama Seçeneklerini Etkinleştirme. WinRM sunucu bilgisayarındaki CertMapping tablosunda da bir girdi oluşturmanız gerekir. Bu, bir veya daha fazla sertifika ile yerel hesap arasında eşleme oluşturur. Sertifika kimlik doğrulaması ve yetkilendirme için kullanıldıktan sonra, WinRM hizmeti tarafından gerçekleştirilen işlemler için ilgili yerel hesap kullanılır.
Eşleme belirli bir kaynak URI'si için oluşturulabilir. CertMapping tablo girdisi oluşturma da dahil olmak üzere daha fazla bilgi edinmek için komut istemine winrm help certmapping yazın.
Not
Bu bağlamda WinRM tarafından kullanılabilen en büyük boyut sertifikası 16 KB'tır.
Kimlik Doğrulama Seçeneklerini Etkinleştirme veya Devre Dışı Bırakma
Sistem yüklemesinde varsayılan kimlik doğrulama seçeneği Kerberos'tır. Daha fazla bilgi için bkz. Windows Uzaktan Yönetimiçin Yükleme ve Yapılandırma.
Betiğiniz veya uygulamanız etkinleştirilmemiş belirli bir kimlik doğrulama yöntemi gerektiriyorsa, bu kimlik doğrulama türünü etkinleştirmek için yapılandırmayı değiştirmeniz gerekir. Bu değişiklik, Winrm komut satırı aracı kullanılarak veya Windows Uzaktan Yönetim Grup İlkesi Nesnesiiçin Grup İlkesi aracılığıyla yapılabilir. Ayrıca belirli kimlik doğrulama yöntemlerini devre dışı bırakabilirsiniz.
Winrm aracıyla kimlik doğrulamasını etkinleştirmek veya devre dışı bırakmak için
WinRM istemcisinin yapılandırmasını ayarlamak için Winrm Set komutunu kullanın ve istemciyi belirtin. Örneğin, aşağıdaki komut istemci için özet kimlik doğrulamasını devre dışı bırakır.
winrm set winrm/config/client/auth @{Digest="false"}
WinRM sunucusunun yapılandırmasını ayarlamak için Winrm Set komutunu kullanın ve hizmeti belirtin. Örneğin, aşağıdaki komut hizmet için Kerberos kimlik doğrulamasını etkinleştirir.
winrm set winrm/config/service/auth @{Kerberos="true"}
İlgili konular
-
Windows Uzaktan Yönetim Hakkında
-
Windows Uzaktan Yönetim Kullanarak