Autenticazione per le connessioni remote

Gestione remota Windows mantiene la sicurezza per la comunicazione tra i computer, supportando diversi metodi standard di autenticazione e crittografia dei messaggi.

Accesso al gruppo predefinito

Durante l'installazione, WinRM crea il gruppo locale _ _ WinRMRemoteWMIUsers. WinRM limita quindi l'accesso remoto a tutti gli utenti che non sono membri del gruppo di amministrazione locale o del gruppo WinRMRemoteWMIUsers _ _ . È possibile aggiungere un utente locale, un utente di dominio o un gruppo di dominio a WinRMRemoteWMIUsers _ _ digitando net localgroup WinRMRemoteWMIUsers _ _ /Add \ al prompt dei comandi. Facoltativamente, è possibile utilizzare il Criteri di gruppo per aggiungere un utente al gruppo.

Impostazioni di autenticazione predefinite

Le credenziali predefinite, il nome utente e la password sono le credenziali per l'account utente connesso che esegue lo script.

Per passare a un altro account in un computer remoto

  1. Specificare le credenziali in un oggetto ConnectionOptions o IWSManConnectionOptions e fornirle alla chiamata CreateSession .
  2. Impostare WSManFlagCredUserNamePassword nel parametro Flags della chiamata CreateSession .

Nell'elenco seguente è incluso un elenco di ciò che accade quando uno script o un'applicazione viene eseguita con le credenziali predefinite:

  • Kerberos è il metodo di autenticazione predefinito quando il client si trova in un dominio e la stringa di destinazione remota non è una delle seguenti: localhost, 127.0.0.1 o [ :: 1 ] .
  • Negotiate è il metodo predefinito quando il client non si trova in un dominio, ma la stringa di destinazione remota è una delle seguenti: localhost, 127.0.0.1 o [ :: 1 ] .

Se si specificano credenziali esplicite con un oggetto ConnectionOptions , Negotiate è il metodo predefinito. L'autenticazione Negotiate determina se il metodo di autenticazione in corso è Kerberos o NTLM, a seconda che i computer si trovino in un dominio o in un gruppo di lavoro. Se ci si connette a un computer di destinazione remoto usando un account locale, l'account deve essere preceduto dal nome del computer. Ad esempio, nomecomputer \ utente.

Se si specifica l'autenticazione Negotiate, digest o Basic e non si fornisce un oggetto ConnectionOptions , verrà visualizzato un errore che indica che sono necessarie credenziali esplicite. Se HTTPS non è il trasporto, il computer remoto di destinazione deve essere configurato nell'elenco dei computer host attendibili.

Per ulteriori informazioni sui tipi di autenticazione abilitati nelle impostazioni di configurazione predefinite, vedere installazione e configurazione per gestione remota Windows.

Autenticazione di base

Per stabilire in modo esplicito l'autenticazione di base nella chiamata a WSMan. CreateSession, impostare i flag WSManFlagUseBasic e WSManFlagCredUserNamePassword nel parametro Flags . L'autenticazione di base è disabilitata nelle impostazioni di configurazione predefinite sia per il client WinRM che per il server WinRM.

Autenticazione del digest

Per stabilire in modo esplicito l'autenticazione del digest nella chiamata a WSMan. CreateSession, impostare il flag WSManFlagUseDigest nel parametro Flags . Il digest non è supportato. Non può essere configurato per il componente server WinRM.

Negozia autenticazione

Per stabilire in modo esplicito l'autenticazione di negoziazione , nota anche come autenticazione integrata di Windows, nella chiamata a WSMan. CreateSessionimpostare il flag WSManFlagUseNegotiate nel parametro Flags .

Il controllo dell'account utente (UAC) influiscono sull'accesso al servizio WinRM. Quando si usa l'autenticazione Negotiate in un gruppo di lavoro, solo l'account Administrator predefinito può accedere al servizio. Per consentire a tutti gli account del gruppo Administrators di accedere al servizio, impostare il valore del registro di sistema seguente:

HKEY _ _Computer locale \ software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ LocalAccountTokenFilterPolicy = 1

Autenticazione Kerberos

Per stabilire in modo esplicito l'autenticazione Kerberos nella chiamata a WSMan. CreateSession, impostare il flag WSManFlagUseKerberos nel parametro Flags . Il client e i computer server devono essere aggiunti a un dominio. Se si usa Kerberos come metodo di autenticazione, non è possibile usare un indirizzo IP nella chiamata a WSMan. CreateSession o IWSMan:: CreateSession.

Autenticazione basata su certificati client

Per stabilire l'autenticazione basata sui certificati client nella chiamata a WSMan. CreateSession, impostare il flag WSManFlagUseClientCertificate nel parametro Flags .

Per prima cosa, è necessario abilitare l'autenticazione del certificato nel client e nel servizio usando lo strumento da riga di comando WinRM. Per ulteriori informazioni, vedere Abilitazione delle opzioni di autenticazione. È inoltre necessario creare una voce nella tabella mapping certificato nel computer server WinRM. Viene stabilito un mapping tra uno o più certificati e un account locale. Dopo che il certificato è stato utilizzato per l'autenticazione e l'autorizzazione, l'account locale corrispondente viene utilizzato per le operazioni eseguite dal servizio WinRM.

Il mapping può essere creato per un URI di risorsa specifico. Per ulteriori informazioni, tra cui come creare una voce di tabella mapping certificato, digitare winrm help mapping certificato al prompt dei comandi.

Nota

Il certificato di dimensione massima utilizzabile da WinRM in questo contesto è 16KB.

 

Abilitazione o disabilitazione delle opzioni di autenticazione

L'opzione di autenticazione predefinita nell'installazione del sistema è Kerberos. Per ulteriori informazioni, vedere installazione e configurazione per gestione remota Windows.

Se lo script o l'applicazione richiede un metodo di autenticazione specifico che non è abilitato, è necessario modificare la configurazione per abilitare questo tipo di autenticazione. Questa modifica può essere eseguita utilizzando lo strumento da riga di comando WinRM o tramite criteri di gruppo per l' oggetto gestione remota Windows Criteri di gruppo. Si può anche scegliere di disabilitare determinati metodi di autenticazione.

Per abilitare o disabilitare l'autenticazione con lo strumento WinRM

  1. Per impostare la configurazione per il client WinRM, utilizzare il comando winrm set e specificare il client. Ad esempio, il comando seguente disabilita l'autenticazione del digest per il client.

    winrm set winrm/config/client/auth @ {digest = "false"}

  2. Per impostare la configurazione per il server WinRM, utilizzare il comando winrm set e specificare il servizio. Il comando seguente, ad esempio, consente di abilitare l'autenticazione Kerberos per il servizio.

    winrm set winrm/config/Service/auth @ {Kerberos = "true"}

Informazioni su Gestione remota Windows

WSMan. CreateSession

Utilizzo di Gestione remota Windows