Feedback

Enable-WSManCredSSP

  • Referenz
Modul:
Microsoft.WSMan.Management

Aktiviert die Credential Security Support Provider (CredSSP)-Authentifizierung auf einem Computer.

Syntax

Enable-WSManCredSSP
      [-Role] <String>
      [[-DelegateComputer] <String[]>]
      [-Force]
      [<CommonParameters>]

Beschreibung

Dieses Cmdlet ist nur auf der Windows-Plattform verfügbar.

Das Cmdlet aktiviert die Enable-WSManCredSSP CredSSP-Authentifizierung auf einem Client oder auf einem Servercomputer. Wenn die CredSSP-Authentifizierung verwendet wird, werden die Benutzeranmeldeinformationen an einen Remotecomputer übergeben, der authentifiziert werden soll. Diese Art der Authentifizierung ist für Befehle konzipiert, die eine Remotesitzung aus einer anderen Remotesitzung erstellen. Wenn Sie beispielsweise einen Hintergrundauftrag auf einem Remotecomputer ausführen möchten, verwenden Sie diese Art von Authentifizierung.

Enable-WSManCredSSP kann CredSSP auf einem Client oder einem Server aktivieren. Um CredSSP auf einem Client zu aktivieren, geben Sie den Client im Rollenparameter an. Clients delegieren explizite Anmeldeinformationen an einen Server, wenn die Serverauthentifizierung erreicht wird. Um CredSSP auf einem Server zu aktivieren, geben Sie den Server im Rollenparameter an. Ein Server fungiert als Stellvertretung für Clients. Weitere Details finden Sie im Abschnitt "Parameter" unter "Rolle ".

Achtung

CredSSP-Authentifizierung delegiert die Benutzeranmeldeinformationen vom lokalen Computer an einen Remotecomputer. Dieser Vorgang erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers gefährdet ist, während Anmeldeinformationen an ihn übergeben werden, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.

Beispiele

Beispiel 1: Stellvertretungs-Clientanmeldeinformationen

In diesem Beispiel können die Clientanmeldeinformationen mithilfe des vollqualifizierten Domänennamens an einen Computer delegiert werden.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beispiel 2: Stellvertretung von Clientanmeldeinformationen an alle Computer in einer Domäne

In diesem Beispiel kann die Clientanmeldeinformationen an alle Computer in der fabrikam.com Domäne delegiert werden. Das Sternchen (*) gibt alle Computer an.

Hinweis

Die Verwendung von Wildcards mit dem DelegateComputer-Parameter kann CredSSP auf mehr Computern aktivieren als erforderlich.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beispiel 3: Stellvertretung von Clientanmeldeinformationen an mehrere Computer

In diesem Beispiel können die Clientanmeldeinformationen an mehrere Computer delegiert werden.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Die $servers Variable enthält eine Liste der Servernamen. Enable-WSManCredSSP verwendet den Rollenparameter , um die Clientrolle anzugeben. Der DelegateComputer ruft die Computernamen aus der $servers Variablen ab.

Beispiel 4: Zulassen, dass ein Computer als Stellvertretung fungiert

In diesem Beispiel kann ein Computer als Stellvertretung für eine andere handeln. Das Enable-WSManCredSSP Cmdlet, das in den früheren Beispielen gezeigt wird, aktiviert nur die CredSSP-Authentifizierung auf dem Client und gibt die Remotecomputer an, die im Auftrag handeln können. Damit der Remotecomputer als Stellvertretung für den Client fungiert, muss das CredSSP-Element im Dienstknoten von WSMan auf true festgelegt werden. In diesem Beispiel wird das CredSSP-Element im Dienstknoten von WSMan auf true festgelegt.

Enable-WSManCredSSP -Role "Server"

Beispiel 5: Zulassen, dass ein Computer mit Set-Item als Stellvertretung fungiert

In diesem Beispiel kann ein Computer als Stellvertretung für einen anderen Computer handeln. Die Befehle, die Enable-WSManCredSSP in den früheren Beispielen gezeigt werden, aktivieren Die CredSSP-Authentifizierung nur auf dem Clientcomputer, und sie geben die Remotecomputer an, die im Auftrag des Clientcomputers handeln können. Damit der Remotecomputer als Delegat für den Clientcomputer fungieren kann, muss das CredSSP-Element im Dienstverzeichnis des WSMan-Anbieters auf „True“ festgelegt werden.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan erstellt eine Verbindung mit dem Remotecomputer, Server02. Set-Item verwendet den Path-Parameter , um den Speicherort des WSMan-Anbieters anzugeben. Der Parameter "Value " legt die Einstellung "Dienst " auf "true" fest.

Parameter

-DelegateComputer

Gibt Server an, auf denen Clientanmeldeinformationen delegiert sind. Die bewährte Methode besteht darin, vollqualifizierte Domänennamen zu verwenden.

Wildcards werden akzeptiert, können aber CredSSP auf mehr Computern aktivieren als erforderlich.

Wenn der RollenparameterClient ist, müssen Sie diesen Parameter angeben. Wenn Die RolleServer ist, geben Sie diesen Parameter nicht an.

Type:String[]
Position:1
Default value:None
Accept pipeline input:False
Accept wildcard characters:True
-Force

Erzwingt die Ausführung des Befehls ohne Aufforderung zur Bestätigung durch den Benutzer.

Type:SwitchParameter
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False
-Role

Gibt an, ob CredSSP als Client oder als Server aktiviert werden soll. Die zulässigen Werte für diesen Parameter sind: Client und Server.

Wenn Sie Client angeben, werden die folgenden Aktionen ausgeführt. Diese Einstellungen ermöglichen es dem Client, nach erfolgreicher Serverauthentifizierung explizite Anmeldeinformationen an einen Server zu delegieren.

  • Aktiviert CredSSP auf dem Client.
  • Legt die einstellung \<localhost|computername\>\Client\Auth\CredSSP WS-Management auf true fest.
  • Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf WSMan/Delegate auf dem Client fest.

Wenn Sie Server angeben, werden die folgenden Aktionen ausgeführt. Durch diese Richtlinieneinstellung kann der Server als Delegat für Clients fungieren.

  • Aktiviert CredSSP auf dem Server.
  • Legt die einstellung \<localhost|computername\>\Service\Auth\CredSSP WS-Management auf true fest.
Type:String
Accepted values:Client, Server
Position:0
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

Eingaben

None

Dieses Cmdlet akzeptiert keine Eingaben.

Ausgaben

XmlElement

Wenn die CredSSP-Authentifizierung erfolgreich aktiviert ist, generiert dieses Cmdlet ein XMLElement-Objekt .

Hinweise

Verwenden Sie zum Deaktivieren der CredSSP-Authentifizierung das Disable-WSManCredSSP Cmdlet.