Enable-WSManCredSSP
在電腦上啟用認證安全性支援提供者 (CredSSP) 驗證。
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Cmdlet Enable-WSManCredSSP 可在用戶端或伺服器電腦上啟用 CredSSP 驗證。
使用 CredSSP 驗證時,使用者認證會傳遞至要驗證的遠端電腦。 這種類型的驗證是針對從另一個遠端會話建立遠端會話的命令所設計。 例如,如果您想要在遠端電腦上執行背景工作,請使用這類驗證。
Enable-WSManCredSSP可以在客戶端或伺服器上啟用 CredSSP。 若要在用戶端上啟用 CredSSP,請在 Role 參數中指定 Client。 當達到伺服器驗證時,用戶端會將明確認證委派給伺服器。 若要在伺服器上啟用 CredSSP,請在 Role 參數中指定伺服器。 伺服器可作為用戶端的委派。 如需詳細資訊,請參閱 參數一節中的角色 。
警告
CredSSP 驗證會將使用者認證從本機計算機委派給遠端電腦。 這種做法會增加遠端作業的安全性風險。 如果遠端電腦遭到入侵,當認證傳遞至該計算機時,可以使用認證來控制網路會話。
範例
範例 1:委派客戶端認證
此範例允許使用完整域名將客戶端認證委派給計算機。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true範例 2:將客戶端認證委派給網域中的所有計算機
此範例可讓客戶端認證委派給 fabrikam.com 網域中的所有計算機。 星號 (*) 通配符會指定所有電腦。
注意
搭配 DelegateComputer 參數使用通配符,可以在比必要更多的電腦上啟用 CredSSP。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true範例 3:將客戶端認證委派給多部計算機
此範例可讓客戶端認證委派給多部計算機。
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true變數 $servers 包含伺服器名稱的清單。 Enable-WSManCredSSP會使用 Role 參數來指定用戶端角色。 DelegateComputer 會從 $servers 變數取得計算機名稱。
範例 4:允許計算機作為委派
此範例可讓計算機作為另一個計算機的委派。 如 Enable-WSManCredSSP 先前範例所示的 Cmdlet 只會在用戶端上啟用 CredSSP 驗證,並指定可以代表其運作的遠端電腦。 為了讓遠端電腦作為用戶端的委派,WSMan 服務節點中的 CredSSP 專案必須設定為 true。 本範例會將 WSMan 服務節點中的 CredSSP 專案設定為 true。
Enable-WSManCredSSP -Role "Server"範例 5:允許電腦使用 Set-Item 作為委派
此範例可讓計算機做為另一部計算機的委派。 Enable-WSManCredSSP如先前範例所示的命令只會在用戶端電腦上啟用 CredSSP 驗證,並指定可以代表用戶端電腦執行的遠端電腦。 若要讓遠端電腦作為用戶端計算機的委派,WSMan 提供者服務目錄中的 CredSSP 專案必須設定為 true。
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan 會建立與遠端電腦 server02 的連線。 Set-Item會使用Path參數來指定WSMan提供者的位置。 Value 參數會將 [服務] 設定為 true。
參數
-DelegateComputer
指定委派客戶端認證的伺服器。 最佳做法是使用完整功能變數名稱。
接受通配符,但可以在比必要更多的計算機上啟用 CredSSP。
如果 Role 參數為 Client,您必須指定此參數。 如果 Role 為 Server,請勿指定此參數。
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
強制命令執行,而不要求使用者確認。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
指定將 CredSSP 啟用為客戶端或伺服器。 此參數可接受的值為: 客戶端 和 伺服器。
如果您指定 Client,則會執行下列動作。 這些設定可讓客戶端在達到伺服器驗證時,將明確認證委派給伺服器。
- 在用戶端上啟用 CredSSP。
- 將 WS-Management 設定
\<localhost|computername\>\Client\Auth\CredSSP設為 true。 - 將 Windows CredSSP 原則 AllowFreshCredentials 設定為 用戶端上的 WSMan/Delegate 。
如果您指定 伺服器,則會執行下列動作。 此原則設定可讓伺服器作為用戶端的委派。
- 在伺服器上啟用 CredSSP。
- 將 WS-Management 設定
\<localhost|computername\>\Service\Auth\CredSSP設為 true。
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
輸入
None
您無法使用管線將物件傳送至此 Cmdlet。
輸出
如果成功啟用 CredSSP 驗證,此 Cmdlet 會 傳回 XMLElement 物件。
備註
若要停用 CredSSP 驗證,請使用 Disable-WSManCredSSP Cmdlet。
相關連結
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應