Enable-WSManCredSSP
Aktiverar CredSSP-autentisering (Credential Security Support Provider) på en dator.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Den här cmdleten är endast tillgänglig på Windows-plattformen.
Cmdleten Enable-WSManCredSSP aktiverar CredSSP-autentisering på en klient eller på en serverdator.
När CredSSP-autentisering används skickas autentiseringsuppgifterna till en fjärrdator som ska autentiseras. Den här typen av autentisering är utformad för kommandon som skapar en fjärrsession från en annan fjärrsession. Om du till exempel vill köra ett bakgrundsjobb på en fjärrdator använder du den här typen av autentisering.
Enable-WSManCredSSP kan aktivera CredSSP på en klient eller en server. Om du vill aktivera CredSSP på en klient anger du Klient i parametern Roll . Klienter delegerar explicita autentiseringsuppgifter till en server när serverautentisering uppnås. Om du vill aktivera CredSSP på en server anger du Server i rollparametern. En server fungerar som ett ombud för klienter. Mer information finns i Roll i avsnittet Parametrar.
Varning
CredSSP-autentisering delegerar användarens autentiseringsuppgifter från den lokala datorn till en fjärrdator. Den här metoden ökar säkerhetsrisken för fjärråtgärden. Om fjärrdatorn komprometteras kan autentiseringsuppgifterna användas för att styra nätverkssessionen när autentiseringsuppgifterna skickas till den.
Exempel
Exempel 1: Delegera klientautentiseringsuppgifter
I det här exemplet kan klientens autentiseringsuppgifter delegeras till en dator med hjälp av det fullständigt kvalificerade domännamnet.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExempel 2: Delegera klientautentiseringsuppgifter till alla datorer i en domän
I det här exemplet kan klientens autentiseringsuppgifter delegeras till alla datorer i fabrikam.com domänen. Jokertecknet asterisk (*) anger alla datorer.
Anteckning
Om du använder jokertecken med parametern DelegateComputer kan credSSP aktiveras på fler datorer än nödvändigt.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExempel 3: Delegera klientautentiseringsuppgifter till flera datorer
I det här exemplet kan klientens autentiseringsuppgifter delegeras till flera datorer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVariabeln $servers innehåller en lista över servernamn. Enable-WSManCredSSP använder parametern Roll för att ange klientrollen . DelegateComputer hämtar datornamnen från variabeln $servers .
Exempel 4: Tillåt att en dator fungerar som ombud
I det här exemplet kan en dator fungera som ombud för en annan. Cmdleten Enable-WSManCredSSP , som visas i de tidigare exemplen, aktiverar endast CredSSP-autentisering på klienten och anger de fjärrdatorer som kan agera för dess räkning. För att fjärrdatorn ska fungera som ombud för klienten måste CredSSP-objektet i tjänstnoden för WSMan anges till true. I det här exemplet anges CredSSP-objektet i tjänstnoden i WSMan till true.
Enable-WSManCredSSP -Role "Server"Exempel 5: Tillåt att en dator fungerar som ombud med hjälp av Set-Item
I det här exemplet kan en dator fungera som ombud för en annan dator. Kommandona Enable-WSManCredSSP , som visas i de tidigare exemplen, aktiverar CredSSP-autentisering endast på klientdatorn, och de anger de fjärrdatorer som kan agera för klientdatorns räkning. För att fjärrdatorn ska fungera som ombud för klientdatorn måste CredSSP-objektet i tjänstkatalogen för WSMan-providern anges till true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan skapar en anslutning till fjärrdatorn, server02. Set-Item använder parametern Path för att ange platsen för WSMan-providern . Parametern Value anger tjänstinställningen till true.
Parametrar
Anger servrar som klientautentiseringsuppgifter delegeras till. Det bästa sättet är att använda fullständigt kvalificerade domännamn.
Jokertecken accepteras, men kan aktivera CredSSP på fler datorer än nödvändigt.
Om parametern Role (Roll ) är Client (Klient) måste du ange den här parametern. Om Roll är Server ska du inte ange den här parametern.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
Tvingar kommandot att köras utan att be om användarbekräftelse.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Anger om CredSSP ska aktiveras som en klient eller som en server. Godkända värden för den här parametern är: Klient och Server.
Om du anger Klient utförs följande åtgärder. Med de här inställningarna kan klienten delegera explicita autentiseringsuppgifter till en server när serverautentisering uppnås.
- Aktiverar CredSSP på klienten.
- Anger inställningen WS-Management
\<localhost|computername\>\Client\Auth\CredSSPtill true. - Anger Windows CredSSP-principen AllowFreshCredentials till WSMan/Delegate på klienten.
Om du anger Server utförs följande åtgärder. Med den här principinställningen kan servern fungera som ombud för klienter.
- Aktiverar CredSSP på servern.
- Anger inställningen WS-Management
\<localhost|computername\>\Service\Auth\CredSSPtill true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Indata
None
Den här cmdleten accepterar inga indata.
Utdata
Om CredSSP-autentisering har aktiverats genererar den här cmdleten ett XMLElement-objekt .
Kommentarer
Om du vill inaktivera CredSSP-autentisering använder du cmdleten Disable-WSManCredSSP .
Relaterade länkar
Feedback
Skicka och visa feedback för