Enable-WSManCredSSP
Habilita a autenticação CredSSP (Credential Security Support Provider) em um computador.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
Description
Esse cmdlet só está disponível na plataforma Windows.
O Enable-WSManCredSSP
cmdlet habilita a autenticação CredSSP em um computador cliente ou servidor.
Quando a autenticação CredSSP é usada, as credenciais do usuário são passadas para um computador remoto para serem autenticadas. Esse tipo de autenticação é projetado para comandos que criam uma sessão remota de outra sessão remota. Por exemplo, se você deseja executar um trabalho em segundo plano em um computador remoto, use esse tipo de autenticação.
Enable-WSManCredSSP
pode habilitar o CredSSP em um Cliente ou Servidor. Para habilitar o CredSSP em um cliente, especifique Client no parâmetro Role. Os clientes delegam credenciais explícitas a um servidor quando a autenticação do servidor é obtida. Para habilitar o CredSSP em um servidor, especifique Server no parâmetro Role. Um servidor atua como um delegado para clientes. Para obter mais detalhes, consulte Função na seção Parâmetros.
Cuidado
A autenticação CredSSP delega as credenciais do usuário do computador local para um computador remoto. Essa prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, no momento em que as credenciais forem passadas a ele essas credenciais poderão ser usadas para controlar a sessão de rede.
Exemplos
Exemplo 1: Delegar credenciais de cliente
Este exemplo permite que as credenciais do cliente sejam delegadas a um computador usando o nome de domínio totalmente qualificado.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Exemplo 2: Delegar credenciais de cliente a todos os computadores em um domínio
Este exemplo permite que as credenciais do cliente sejam delegadas a todos os computadores no domínio fabrikam.com . O curinga asterisco (*
) especifica todos os computadores.
Observação
O uso de curingas com o parâmetro DelegateComputer pode habilitar o CredSSP em mais computadores do que o necessário.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Exemplo 3: Delegar credenciais de cliente a vários computadores
Este exemplo permite que as credenciais do cliente sejam delegadas a vários computadores.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
A $servers
variável contém uma lista de nomes de servidor. Enable-WSManCredSSP
usa o parâmetro Role para especificar a função Client. O DelegateComputer obtém os nomes de computador da $servers
variável.
Exemplo 4: Permitir que um computador atue como um representante
Este exemplo permite que um computador atue como um delegado para outro. O Enable-WSManCredSSP
cmdlet, mostrado nos exemplos anteriores, habilita apenas a autenticação CredSSP no cliente e especifica os computadores remotos que podem agir em seu nome. Para que o computador remoto atue como um representante para o cliente, o item CredSSP no nó Serviço do WSMan deve ser definido como true. Este exemplo define o item CredSSP no nó Serviço do WSMan como true.
Enable-WSManCredSSP -Role "Server"
Exemplo 5: Permitir que um computador atue como um delegado usando Set-Item
Este exemplo permite que um computador atue como um representante para outro computador. Os Enable-WSManCredSSP
comandos, mostrados nos exemplos anteriores, habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem agir em nome do computador cliente. Para que o computador remoto atue como um delegado do cliente remoto, o item CredSSP do diretório de Serviço do provedor WSMan deve ser definido como true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
Cria uma conexão com o computador remoto, server02. Set-Item
usa o parâmetro Path para especificar o local do provedor WSMan . O parâmetro Value define a configuração Service como true.
Parâmetros
-DelegateComputer
Especifica os servidores aos quais as credenciais do cliente são delegadas. A prática recomendada é usar nomes de domínio totalmente qualificados.
Os curingas são aceitos, mas podem habilitar o CredSSP em mais computadores do que o necessário.
Se o parâmetro Role for Client, você deverá especificar esse parâmetro. Se Role for Server, não especifique esse parâmetro.
Type: | String[] |
Position: | 1 |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | True |
-Force
Força o comando a ser executado sem solicitar a confirmação do usuário.
Type: | SwitchParameter |
Position: | Named |
Default value: | False |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
-Role
Especifica se o CredSSP deve ser habilitado como um cliente ou como um servidor. Os valores aceitáveis para esse parâmetro são: Cliente e Servidor.
Se você especificar Cliente, as seguintes ações serão executadas. Essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é obtida.
- Habilita o CredSSP no cliente.
- Define a configuração
\<localhost|computername\>\Client\Auth\CredSSP
WS-Management como true. - Define a política AllowFreshCredentials do Windows CredSSP como WSMan/Delegate no cliente.
Se você especificar Servidor, as seguintes ações serão executadas. Essa configuração de política permite que o servidor aja como um delegado para clientes.
- Habilita o CredSSP no servidor.
- Define a configuração
\<localhost|computername\>\Service\Auth\CredSSP
WS-Management como true.
Type: | String |
Accepted values: | Client, Server |
Position: | 0 |
Default value: | None |
Required: | True |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Entradas
None
Não é possível canalizar objetos para esse cmdlet.
Saídas
Se a autenticação CredSSP for habilitada com êxito, esse cmdlet retornará um objeto XMLElement .
Observações
Para desabilitar a autenticação CredSSP, use o Disable-WSManCredSSP
cmdlet.
Links Relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de