Enable-WSManCredSSP
Hiermee schakelt u Verificatie van referentiebeveiligingsondersteuningsprovider (CredSSP) op een computer in.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Deze cmdlet is alleen beschikbaar op het Windows-platform.
Met de Enable-WSManCredSSP cmdlet wordt CredSSP-verificatie ingeschakeld op een client of op een servercomputer.
Wanneer CredSSP-verificatie wordt gebruikt, worden de gebruikersreferenties doorgegeven aan een externe computer die moet worden geverifieerd. Dit type verificatie is ontworpen voor opdrachten die een externe sessie maken vanuit een andere externe sessie. Als u bijvoorbeeld een achtergrondtaak wilt uitvoeren op een externe computer, gebruikt u dit type verificatie.
Enable-WSManCredSSP kan CredSSP inschakelen op een client of een server. Als u CredSSP wilt inschakelen op een client, geeft u Client op in de parameter Rol . Clients delegeren expliciete referenties naar een server wanneer serververificatie wordt bereikt. Als u CredSSP op een server wilt inschakelen, geeft u Server op in de parameter Functie . Een server fungeert als gemachtigde voor clients. Zie Rol in de sectie Parameters voor meer informatie.
Let op
CredSSP-verificatie delegeert de gebruikersreferenties van de lokale computer naar een externe computer. Deze praktijk verhoogt het beveiligingsrisico van de externe bewerking. Als de externe computer wordt aangetast, kunnen de referenties worden gebruikt om de netwerksessie te beheren wanneer er referenties aan worden doorgegeven.
Voorbeelden
Voorbeeld 1: Clientreferenties delegeren
In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan een computer met behulp van de volledig gekwalificeerde domeinnaam.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVoorbeeld 2: Clientreferenties delegeren aan alle computers in een domein
In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan alle computers in het fabrikam.com domein. Het sterretje (*) geeft alle computers aan.
Notitie
Het gebruik van jokertekens met de parameter DelegateComputer kan CredSSP inschakelen op meer computers dan nodig is.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVoorbeeld 3: Clientreferenties delegeren naar meerdere computers
In dit voorbeeld kunnen de clientreferenties worden gedelegeerd aan meerdere computers.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueDe $servers variabele bevat een lijst met servernamen. Enable-WSManCredSSP gebruikt de parameter Rol om de clientrol op te geven. De DelegateComputer haalt de computernamen op uit de $servers variabele.
Voorbeeld 4: Toestaan dat een computer als gemachtigde fungeert
In dit voorbeeld kan een computer fungeren als gemachtigde voor een andere. De Enable-WSManCredSSP cmdlet, die in de eerdere voorbeelden wordt weergegeven, schakelt alleen CredSSP-verificatie in op de client en geeft de externe computers op die namens hen kunnen handelen. Als u wilt dat de externe computer als gemachtigde voor de client fungeert, moet het CredSSP-item in het serviceknooppunt van WSMan worden ingesteld op waar. In dit voorbeeld wordt het CredSSP-item in het serviceknooppunt van WSMan ingesteld op true.
Enable-WSManCredSSP -Role "Server"Voorbeeld 5: Toestaan dat een computer als gemachtigde fungeert met behulp van Set-Item
In dit voorbeeld kan een computer fungeren als gemachtigde voor een andere computer. De Enable-WSManCredSSP opdrachten, die in de eerdere voorbeelden worden weergegeven, schakelen CredSSP-verificatie alleen in op de clientcomputer en geven de externe computers op die namens de clientcomputer kunnen optreden. Als de externe computer als gemachtigde voor de clientcomputer moet fungeren, moet het CredSSP-item in de servicemap van de WSMan-provider worden ingesteld op waar.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan maakt een verbinding met de externe computer, server02. Set-Item gebruikt de parameter Path om de locatie van de WSMan-provider op te geven. De waardeparameter stelt de service-instelling in op true.
Parameters
-DelegateComputer
Hiermee geeft u servers op waarop clientreferenties worden gedelegeerd. De best practice is om volledig gekwalificeerde domeinnamen te gebruiken.
Jokertekens worden geaccepteerd, maar kunnen CredSSP op meer computers inschakelen dan nodig is.
Als de rolparameter client is, moet u deze parameter opgeven. Als De functie Server is, geeft u deze parameter niet op.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Hiermee dwingt u de opdracht uit te voeren zonder dat u om bevestiging van de gebruiker wordt gevraagd.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Hiermee geeft u op of CredSSP moet worden ingeschakeld als een client of als server. De acceptabele waarden voor deze parameter zijn: Client en Server.
Als u Client opgeeft, worden de volgende acties uitgevoerd. Met deze instellingen kan de client expliciete referenties delegeren aan een server wanneer serververificatie wordt bereikt.
- Hiermee schakelt u CredSSP in op de client.
- Hiermee stelt u de WS-beheerinstelling
\<localhost|computername\>\Client\Auth\CredSSPin op true. - Hiermee stelt u het Windows CredSSP-beleid AllowFreshCredentialsin op WSMan/Delegate op de client.
Als u Server opgeeft, worden de volgende acties uitgevoerd. Met deze beleidsinstelling kan de server fungeren als gemachtigde voor clients.
- Hiermee schakelt u CredSSP op de server in.
- Hiermee stelt u de WS-beheerinstelling
\<localhost|computername\>\Service\Auth\CredSSPin op true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Invoerwaarden
None
U kunt geen objecten doorsluisen naar deze cmdlet.
Uitvoerwaarden
Als CredSSP-verificatie is ingeschakeld, retourneert deze cmdlet een XMLElement-object .
Notities
Gebruik de Disable-WSManCredSSP cmdlet om CredSSP-verificatie uit te schakelen.
Verwante koppelingen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor