Enable-WSManCredSSP
Active l’authentification credSSP (Credential Security Support Provider) sur un ordinateur.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Cette applet de commande est disponible uniquement sur la plateforme Windows.
L’applet Enable-WSManCredSSP de commande active l’authentification CredSSP sur un client ou sur un ordinateur serveur.
Lorsque l’authentification CredSSP est utilisée, les informations d’identification de l’utilisateur sont transmises à un ordinateur distant à authentifier. Ce type d’authentification est conçu pour les commandes qui créent une session distante à partir d’une autre session distante. Par exemple, si vous souhaitez exécuter un travail en arrière-plan sur un ordinateur distant, utilisez ce type d’authentification.
Enable-WSManCredSSP peut activer CredSSP sur un client ou un serveur. Pour activer CredSSP sur un client, spécifiez Client dans le paramètre Role. Les clients délèguent des informations d’identification explicites à un serveur lorsque l’authentification du serveur est obtenue. Pour activer CredSSP sur un serveur, spécifiez le serveur dans le paramètre Role . Un serveur agit en tant que délégué pour les clients. Pour plus d’informations, consultez Rôle dans la section Paramètres.
Attention
L’authentification CredSSP délègue les informations d’identification de l’utilisateur de l’ordinateur local à un ordinateur distant. Cette pratique augmente le risque de sécurité lié à l'opération distante. Si l'ordinateur distant n'est pas fiable, les informations d'identification qui lui sont passées peuvent être utilisées pour contrôler la session réseau.
Exemples
Exemple 1 : Déléguer les informations d’identification du client
Cet exemple permet aux informations d’identification du client d’être déléguées à un ordinateur à l’aide du nom de domaine complet.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemple 2 : Déléguer les informations d’identification du client à tous les ordinateurs d’un domaine
Cet exemple permet au client d’être délégué à tous les ordinateurs du domaine fabrikam.com . L’astérisque (*) wild carte spécifie tous les ordinateurs.
Remarque
L’utilisation de wild carte s avec le paramètre DelegateComputer peut activer CredSSP sur plus d’ordinateurs que nécessaire.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemple 3 : Déléguer les informations d’identification du client à plusieurs ordinateurs
Cet exemple permet au client d’être délégué à plusieurs ordinateurs.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueLa $servers variable contient une liste de noms de serveurs. Enable-WSManCredSSP utilise le paramètre Rôle pour spécifier le rôle client . DelegateComputer obtient les noms d’ordinateurs de la $servers variable.
Exemple 4 : Autoriser un ordinateur à agir en tant que délégué
Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre. L’applet Enable-WSManCredSSP de commande, illustrée dans les exemples précédents, active uniquement l’authentification CredSSP sur le client et spécifie les ordinateurs distants qui peuvent agir en son nom. Pour que l’ordinateur distant agisse en tant que délégué pour le client, l’élément CredSSP dans le nœud service de WSMan doit être défini sur true. Cet exemple montre comment définir la valeur true de l’élément CredSSP dans le nœud service de WSMan.
Enable-WSManCredSSP -Role "Server"Exemple 5 : Autoriser un ordinateur à agir en tant que délégué à l’aide de Set-Item
Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre ordinateur. Les Enable-WSManCredSSP commandes, présentées dans les exemples précédents, activent l’authentification CredSSP uniquement sur l’ordinateur client et spécifient les ordinateurs distants qui peuvent agir pour le compte de l’ordinateur client. Pour que l'ordinateur distant agisse en tant que délégué pour l'ordinateur client, l'élément CredSSP dans le répertoire Service du fournisseur WSMan doit avoir la valeur true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan crée une connexion à l’ordinateur distant, server02. Set-Item utilise le paramètre Path pour spécifier l’emplacement du fournisseur WSMan . Le paramètre Valeur définit le paramètre Service sur true.
Paramètres
-DelegateComputer
Spécifie les serveurs auxquels les informations d’identification du client sont déléguées. La meilleure pratique consiste à utiliser des noms de domaine complets.
Les génériques carte sont acceptés, mais peuvent activer CredSSP sur plus d’ordinateurs que nécessaire.
Si le paramètre Rôle est Client, vous devez spécifier ce paramètre. Si le rôle est serveur, ne spécifiez pas ce paramètre.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Force l’exécution de la commande sans demander la confirmation de l’utilisateur.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Spécifie s’il faut activer CredSSP en tant que client ou en tant que serveur. Les valeurs acceptables pour ce paramètre sont : client et serveur.
Si vous spécifiez Client, les actions suivantes sont effectuées. Ces paramètres permettent au client de déléguer les informations d'identification explicites à un serveur quand l'authentification du serveur est effectuée.
- Active CredSSP sur le client.
- Définit le paramètre
\<localhost|computername\>\Client\Auth\CredSSPWS-Management sur true. - Définit la stratégie Windows CredSSP AllowFreshCredentials sur WSMan/Delegate sur le client.
Si vous spécifiez Le serveur, les actions suivantes sont effectuées. Ce paramètre de stratégie permet au serveur d'agir en tant que délégué pour les clients.
- Active CredSSP sur le serveur.
- Définit le paramètre
\<localhost|computername\>\Service\Auth\CredSSPWS-Management sur true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Entrées
None
Vous ne pouvez pas diriger les objets vers cette applet de commande.
Sorties
Si l’authentification CredSSP est correctement activée, cette applet de commande retourne un objet XMLElement .
Notes
Pour désactiver l’authentification CredSSP, utilisez l’applet de Disable-WSManCredSSP commande.
Liens associés
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour