Feedback

Enable-WSManCredSSP

  • Referentie
Module:
Microsoft.WSMan.Management

Hiermee schakelt u Verificatie van referentiebeveiligingsondersteuningsprovider (CredSSP) op een computer in.

Syntax

Enable-WSManCredSSP
      [-Role] <String>
      [[-DelegateComputer] <String[]>]
      [-Force]
      [<CommonParameters>]

Description

Deze cmdlet is alleen beschikbaar op het Windows-platform.

De Enable-WSManCredSSP cmdlet schakelt CredSSP-verificatie in op een client of op een servercomputer. Wanneer CredSSP-verificatie wordt gebruikt, worden de gebruikersreferenties doorgegeven aan een externe computer die moet worden geverifieerd. Dit type verificatie is ontworpen voor opdrachten die een externe sessie maken vanuit een andere externe sessie. Als u bijvoorbeeld een achtergrondtaak wilt uitvoeren op een externe computer, gebruikt u dit type verificatie.

Enable-WSManCredSSP kan CredSSP inschakelen op een client of een server. Als u CredSSP op een client wilt inschakelen, geeft u Client op in de parameter Role . Clients delegeren expliciete referenties naar een server wanneer serververificatie wordt bereikt. Als u CredSSP op een server wilt inschakelen, geeft u Server op in de parameter Functie . Een server fungeert als gemachtigde voor clients. Zie Rol in de sectie Parameters voor meer informatie.

Waarschuwing

CredSSP-verificatie delegeert de gebruikersreferenties van de lokale computer naar een externe computer. Deze praktijk verhoogt het beveiligingsrisico van de externe bewerking. Als de externe computer is gecompromitteerd, kunnen de referenties worden gebruikt om de netwerksessie te beheren wanneer er referenties aan worden doorgegeven.

Voorbeelden

Voorbeeld 1: Clientreferenties delegeren

In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan een computer met behulp van de volledig gekwalificeerde domeinnaam.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Voorbeeld 2: Clientreferenties delegeren naar alle computers in een domein

In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan alle computers in het fabrikam.com domein. Het sterretje (*) geeft alle computers op.

Notitie

Het gebruik van jokertekens met de parameter DelegateComputer kan CredSSP inschakelen op meer computers dan nodig is.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Voorbeeld 3: Clientreferenties delegeren naar meerdere computers

In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan meerdere computers.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

De $servers variabele bevat een lijst met servernamen. Enable-WSManCredSSP gebruikt de rolparameter om de clientrol op te geven. De DelegateComputer haalt de computernamen op uit de $servers variabele.

Voorbeeld 4: Toestaan dat een computer als gemachtigde fungeert

In dit voorbeeld kan een computer fungeren als gemachtigde voor een andere. De Enable-WSManCredSSP cmdlet, weergegeven in de eerdere voorbeelden, schakelt alleen CredSSP-verificatie in op de client en geeft de externe computers op die namens hen kunnen handelen. Als u wilt dat de externe computer fungeert als gemachtigde voor de client, moet het CredSSP-item in het serviceknooppunt van WSMan worden ingesteld op waar. In dit voorbeeld wordt het CredSSP-item in het serviceknooppunt van WSMan ingesteld op true.

Enable-WSManCredSSP -Role "Server"

Voorbeeld 5: Toestaan dat een computer als gemachtigde fungeert met behulp van Set-Item

In dit voorbeeld kan een computer fungeren als gemachtigde voor een andere computer. De Enable-WSManCredSSP opdrachten die in de eerdere voorbeelden worden weergegeven, schakelen CredSSP-verificatie alleen in op de clientcomputer en geven de externe computers op die namens de clientcomputer kunnen optreden. Als de externe computer moet fungeren als gemachtigde voor de clientcomputer, moet het CredSSP-item in de servicemap van de WSMan-provider worden ingesteld op waar.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan maakt een verbinding met de externe computer, server02. Set-Item gebruikt de parameter Path om de locatie van de WSMan-provider op te geven. De waardeparameter stelt de service-instelling in op true.

Parameters

-DelegateComputer

Hiermee geeft u servers aan waarop clientreferenties worden gedelegeerd. De best practice is om volledig gekwalificeerde domeinnamen te gebruiken.

Jokertekens worden geaccepteerd, maar kunnen CredSSP op meer computers inschakelen dan nodig is.

Als de rolparameterClient is, moet u deze parameter opgeven. Als De functieServer is, geeft u deze parameter niet op.

Type:String[]
Position:1
Default value:None
Accept pipeline input:False
Accept wildcard characters:True
-Force

Dwingt de opdracht uit te voeren zonder te vragen om bevestiging van de gebruiker.

Type:SwitchParameter
Position:Named
Default value:False
Accept pipeline input:False
Accept wildcard characters:False
-Role

Hiermee geeft u op of CredSSP moet worden ingeschakeld als een client of als een server. De acceptabele waarden voor deze parameter zijn: Client en Server.

Als u Client opgeeft, worden de volgende acties uitgevoerd. Met deze instellingen kan de client expliciete referenties delegeren aan een server wanneer serververificatie wordt bereikt.

  • Hiermee schakelt u CredSSP in op de client.
  • Hiermee stelt u de WS-Management instelling \<localhost|computername\>\Client\Auth\CredSSP in op true.
  • Hiermee stelt u het Windows CredSSP-beleid AllowFreshCredentials in op WSMan/Delegate op de client.

Als u Server opgeeft, worden de volgende acties uitgevoerd. Met deze beleidsinstelling kan de server fungeren als gemachtigde voor clients.

  • Hiermee schakelt u CredSSP op de server in.
  • Hiermee stelt u de WS-Management instelling \<localhost|computername\>\Service\Auth\CredSSP in op true.
Type:String
Accepted values:Client, Server
Position:0
Default value:None
Accept pipeline input:False
Accept wildcard characters:False

Invoerwaarden

None

Deze cmdlet accepteert geen invoer.

Uitvoerwaarden

XmlElement

Als CredSSP-verificatie is ingeschakeld, genereert deze cmdlet een XMLElement-object .

Notities

Gebruik de Disable-WSManCredSSP cmdlet om CredSSP-verificatie uit te schakelen.