Проверка подлинности для удаленных подключений

Windows Удаленное управление обеспечивает безопасность связи между компьютерами за счет поддержки нескольких стандартных методов проверки подлинности и шифрования сообщений.

Доступ к группе по умолчанию

Во время установки WinRM создает локальную группу винрмремотевмиусерс _ _. Затем служба WinRM запрещает удаленный доступ любому пользователю, который не является членом локальной группы администрирования или группы винрмремотевмиусерс _ _ . Вы можете добавить локального пользователя, пользователя домена или группу домена в винрмремотевмиусерс _ _ , введя net localgroup винрмремотевмиусерс _ _ /Add < домен > \ < имя_пользователя > в командной строке. При необходимости можно использовать групповая политика, чтобы добавить пользователя в группу.

Параметры проверки подлинности по умолчанию

Учетные данные, имя пользователя и пароль по умолчанию являются учетными данными для учетной записи пользователя, выполнившего вход в систему, которая выполняет скрипт.

Переход к другой учетной записи на удаленном компьютере

  1. Укажите учетные данные в объекте ConnectionOptions или ивсманконнектионоптионс и укажите их в вызове CreateSession .
  2. Задайте всманфлагкредусернамепассворд в параметре flags в вызове CreateSession .

Следующий список содержит список действий, выполняемых при запуске скрипта или приложения с учетными данными по умолчанию.

  • Kerberos является методом проверки подлинности по умолчанию, если клиент находится в домене, а удаленная строка назначения не является одним из следующих: localhost, 127.0.0.1 или [ :: 1 ] .
  • Negotiate является методом по умолчанию, если клиент находится не в домене, но удаленная строка назначения имеет одно из следующих значений: localhost, 127.0.0.1 или [ :: 1 ] .

Если указать явные учетные данные для объекта ConnectionOptions , то метод Negotiate является методом по умолчанию. Проверка подлинности согласования определяет, является ли текущий метод проверки подлинности Kerberos или NTLM в зависимости от того, находятся ли компьютеры в домене или рабочей группе. При подключении к удаленному целевому компьютеру с помощью локальной учетной записи учетной записи следует присвоить префикс имени компьютера. Например, myComputer \ myUsername.

При указании метода Negotiate, дайджеста или обычной проверки подлинности и невозможности предоставить объект ConnectionOptions , вы получите сообщение об ошибке, показывающее, что требуются явные учетные данные. Если протокол HTTPS не является транспортом, Целевой Удаленный компьютер должен быть настроен в списке доверенных узлов.

дополнительные сведения о типах проверки подлинности, включенных в параметрах конфигурации по умолчанию, см. в разделе установка и настройка для служба удаленного управления Windows.

Обычная проверка подлинности

Чтобы явно установить обычную проверку подлинности в вызове WSMan. CreateSession, установите флаги всманфлагусебасик и всманфлагкредусернамепассворд в параметре flags . Обычная проверка подлинности отключена в параметрах конфигурации по умолчанию для клиента WinRM и сервера WinRM.

Дайджест-проверка подлинности

Чтобы явно установить дайджест -проверку подлинности в вызове WSMan. CreateSession, установите флаг всманфлагуседижест в параметре flags . Дайджест не поддерживается. Его нельзя настроить для компонента сервера WinRM.

Согласование проверки подлинности

чтобы явно установить проверку подлинности согласования , также известную как Windows встроенная проверка подлинности, в вызове WSMan. CreateSessionустановите флаг всманфлагусенеготиате в параметре flags .

Управление учетными записями пользователей (UAC) влияет на доступ к службе WinRM. Если в Рабочей группе используется проверка подлинности Negotiate, доступ к службе может получить только встроенная учетная запись администратора. Чтобы разрешить всем учетным записям в группе "Администраторы" доступ к службе, задайте следующее значение реестра:

HKey _ _ \ программное обеспечение локального компьютера \ :Microsoft \ Windows \ \ политики CurrentVersion системный перезначение \ \ = 1

Проверка подлинности Kerberos

Чтобы явно установить проверку подлинности Kerberos в вызове WSMan. CreateSession, установите флаг всманфлагусекерберос в параметре flags . Как клиент, так и серверные компьютеры должны быть присоединены к домену. При использовании Kerberos в качестве метода проверки подлинности нельзя использовать IP-адрес в вызове WSMan. CreateSession или Ивсман:: CreateSession.

Проверка подлинности на основе сертификата клиента

Чтобы установить проверку подлинности на основе сертификата клиента в вызове WSMan. CreateSession, установите флаг всманфлагусеклиентцертификате в параметре flags .

Сначала необходимо включить проверку подлинности на основе сертификата как для клиента, так и для службы с помощью программы командной строки WinRM. Дополнительные сведения см. в разделе Включение параметров проверки подлинности. Кроме того, необходимо создать запись в таблице CertMapping на компьютере сервера WinRM. Это устанавливает сопоставление между одним или несколькими сертификатами и локальной учетной записью. После того как сертификат будет использован для проверки подлинности и авторизации, для операций, выполняемых службой WinRM, используется соответствующая локальная учетная запись.

Сопоставление можно создать для определенного URI ресурса. Чтобы получить дополнительные сведения, включая создание записи таблицы CertMapping, введите WinRM Help CertMapping в командной строке.

Примечание

Максимальный размер сертификата, используемого WinRM в этом контексте, — 16 КБ.

Включение или отключение параметров проверки подлинности

Параметр проверки подлинности по умолчанию при установке системы — Kerberos. дополнительные сведения см. в разделе установка и настройка для служба удаленного управления Windows.

Если для сценария или приложения требуется конкретный метод проверки подлинности, который не включен, необходимо изменить конфигурацию, чтобы включить такой тип проверки подлинности. это изменение можно выполнить с помощью средства командной строки Winrm или групповая политика для объекта служба удаленного управления Windows групповая политика. Вы также можете отключить определенные методы проверки подлинности.

Включение или отключение проверки подлинности с помощью средства WinRM

  1. Чтобы задать конфигурацию для клиента WinRM, используйте команду WinRM Set и укажите клиент. Например, следующая команда отключает дайджест-проверку подлинности для клиента.

    WinRM set winrm/config/Client/auth @ {Digest = "false"}

  2. Чтобы задать конфигурацию для сервера WinRM, используйте команду WinRM Set и укажите службу. Например, следующая команда включает проверку подлинности Kerberos для службы.

    WinRM set winrm/config/Service/auth @ {Kerberos = "true"}

о служба удаленного управления Windows

WSMan. CreateSession

использование служба удаленного управления Windows