Enable-WSManCredSSP
コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。
構文
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] 説明
このコマンドレットは、Windows プラットフォームでのみ使用できます。
このコマンドレットは Enable-WSManCredSSP 、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。
CredSSP 認証を使用すると、認証対象のリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。
Enable-WSManCredSSP では、 クライアント または サーバーで CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーターで Client を指定します。 サーバー認証が達成されると、クライアントは明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、[ロール] パラメーターで [サーバー] を指定します。 サーバーは、クライアントのデリゲートとして機能します。 詳細については、「パラメーター」セクションの 「ロール」 を参照してください。
注意事項
CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 そのため、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターのセキュリティが低下している場合は、そのリモート コンピューターに渡された資格情報を使用してネットワーク セッションが制御される場合があります。
例
例 1: クライアント資格情報を委任する
この例では、完全修飾ドメイン名を使用して、クライアント資格情報をコンピューターに委任できます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true例 2: ドメイン内のすべてのコンピューターにクライアント資格情報を委任する
この例では、 fabrikam.com ドメイン内 のすべてのコンピューターにクライアント資格情報を委任できます。 アスタリスク (*) ワイルドカードは、すべてのコンピューターを指定します。
注意
DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true例 3: クライアント資格情報を複数のコンピューターに委任する
この例では、クライアント資格情報を複数のコンピューターに委任できます。
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueこの変数には $servers 、サーバー名の一覧が含まれています。 Enable-WSManCredSSP では、 Role パラメーターを使用して クライアント ロールを指定します。 DelegateComputer は、変数からコンピューター名を$servers取得します。
例 4: コンピューターが代理人として機能することを許可する
この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例で示したコマンドレットは Enable-WSManCredSSP 、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアントのデリゲートとして機能するためには、WSMan の サービス ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan の サービス ノードの CredSSP 項目を true に設定します。
Enable-WSManCredSSP -Role "Server"例 5: コンピューターがSet-Itemを使用して代理人として機能することを許可する
この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例で示したコマンドは Enable-WSManCredSSP 、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターの代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターの代理として動作するためには、WSMan プロバイダーの Service ディレクトリの CredSSP 項目を true に設定する必要があります。
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan は、リモート コンピューター server02 への接続を作成します。 Set-Item では、 Path パラメーターを使用して WSMan プロバイダーの場所を指定します。 Value パラメーターは、サービス設定を true に設定します。
パラメーター
クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾ドメイン名を使用することです。
ワイルドカードは使用できますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。
Role パラメーターが Client の場合は、このパラメーターを指定する必要があります。 Role が Server の場合は、このパラメーターを指定しないでください。
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
ユーザーに確認せずに、直ちにコマンドを実行します。
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、 Client と Server です。
Client を指定すると、次のアクションが実行されます。 これらの設定では、サーバー認証が実行されるときに、クライアントがサーバーに明示的な資格情報を委任することが許可されます。
- クライアントで CredSSP を有効にします。
- WS-Management設定を true に設定
\<localhost|computername\>\Client\Auth\CredSSPします。 - クライアントの WSMan/Delegate に Windows CredSSP ポリシー AllowFreshCredentials を設定します。
サーバーを指定すると、次のアクションが実行されます。 このポリシー設定では、サーバーがクライアントの代理として動作することが許可されます。
- サーバーで CredSSP を有効にします。
- WS-Management設定を true に設定
\<localhost|computername\>\Service\Auth\CredSSPします。
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
入力
None
このコマンドレットは、入力を受け入れられません。
出力
CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを生成します。
メモ
CredSSP 認証を無効にするには、コマンドレットを Disable-WSManCredSSP 使用します。