Enable-WSManCredSSP
Aktiverar CredSSP-autentisering (CredSSP) på en dator.
Syntax
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
Den här cmdleten är endast tillgänglig på Windows-plattformen.
Cmdleten Enable-WSManCredSSP aktiverar CredSSP-autentisering på en klient eller på en serverdator.
När CredSSP-autentisering används skickas autentiseringsuppgifterna till en fjärrdator som ska autentiseras. Den här typen av autentisering är utformad för kommandon som skapar en fjärrsession från en annan fjärrsession. Om du till exempel vill köra ett bakgrundsjobb på en fjärrdator använder du den här typen av autentisering.
Enable-WSManCredSSP kan aktivera CredSSP på en klient eller en server. Om du vill aktivera CredSSP på en klient anger du Klient i parametern Roll . Klienter delegerar explicita autentiseringsuppgifter till en server när serverautentisering uppnås. Om du vill aktivera CredSSP på en server anger du Server i parametern Roll . En server fungerar som ombud för klienter. Mer information finns i Roll i avsnittet Parametrar.
Varning
CredSSP-autentisering delegerar användarautentiseringsuppgifterna från den lokala datorn till en fjärrdator. Den här metoden ökar säkerhetsrisken för fjärråtgärden. Om fjärrdatorn komprometteras, när autentiseringsuppgifter skickas till den, kan autentiseringsuppgifterna användas för att styra nätverkssessionen.
Exempel
Exempel 1: Delegera klientautentiseringsuppgifter
I det här exemplet kan klientens autentiseringsuppgifter delegeras till en dator med hjälp av det fullständigt kvalificerade domännamnet.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExempel 2: Delegera klientautentiseringsuppgifter till alla datorer i en domän
I det här exemplet kan klientens autentiseringsuppgifter delegeras till alla datorer i fabrikam.com domän. Jokertecknet asterisk (*) anger alla datorer.
Anteckning
Om du använder jokertecken med parametern DelegateComputer kan du aktivera CredSSP på fler datorer än nödvändigt.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExempel 3: Delegera klientautentiseringsuppgifter till flera datorer
I det här exemplet kan klientens autentiseringsuppgifter delegeras till flera datorer.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueVariabeln $servers innehåller en lista över servernamn. Enable-WSManCredSSP använder parametern Roll för att ange klientrollen . DelegateComputer hämtar datornamnen från variabeln$servers.
Exempel 4: Tillåt att en dator fungerar som ombud
I det här exemplet kan en dator fungera som ombud för en annan. Cmdleten Enable-WSManCredSSP , som visas i de tidigare exemplen, aktiverar endast CredSSP-autentisering på klienten och anger de fjärrdatorer som kan agera för dess räkning. För att fjärrdatorn ska fungera som ombud för klienten måste CredSSP-objektet i tjänstnoden för WSMan vara inställt på true. I det här exemplet anges CredSSP-objektet i tjänstnoden för WSMan till true.
Enable-WSManCredSSP -Role "Server"Exempel 5: Tillåt att en dator fungerar som ombud med hjälp av Set-Item
I det här exemplet kan en dator fungera som ombud för en annan dator. Kommandona Enable-WSManCredSSP , som visas i de tidigare exemplen, aktiverar CredSSP-autentisering endast på klientdatorn och de anger de fjärrdatorer som kan agera för klientdatorns räkning. För att fjärrdatorn ska fungera som ombud för klientdatorn måste CredSSP-objektet i WSMan-providerns tjänstkatalog anges till true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan skapar en anslutning till fjärrdatorn server02. Set-Item använder parametern Path för att ange WSMan-providerns plats. Parametern Value anger tjänstinställningen till true.
Parametrar
-DelegateComputer
Anger servrar som klientautentiseringsuppgifter delegeras till. Bästa praxis är att använda fullständigt kvalificerade domännamn.
Jokertecken accepteras, men kan aktivera CredSSP på fler datorer än nödvändigt.
Om parametern Roll är Klient måste du ange den här parametern. Om Roll är Server ska du inte ange den här parametern.
| Type: | String[] |
| Position: | 1 |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
-Force
Tvingar kommandot att köras utan att be om användarbekräftelse.
| Type: | SwitchParameter |
| Position: | Named |
| Default value: | False |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
-Role
Anger om CredSSP ska aktiveras som klient eller server. De godkända värdena för den här parametern är: Klient och server.
Om du anger Klient utförs följande åtgärder. Med de här inställningarna kan klienten delegera explicita autentiseringsuppgifter till en server när serverautentisering uppnås.
- Aktiverar CredSSP på klienten.
- Anger inställningen WS-Management
\<localhost|computername\>\Client\Auth\CredSSPtill true. - Anger Windows CredSSP-principen AllowFreshCredentials till WSMan/Delegate på klienten.
Om du anger Server utförs följande åtgärder. Med den här principinställningen kan servern fungera som ombud för klienter.
- Aktiverar CredSSP på servern.
- Anger inställningen WS-Management
\<localhost|computername\>\Service\Auth\CredSSPtill true.
| Type: | String |
| Accepted values: | Client, Server |
| Position: | 0 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
Indata
None
Du kan inte skicka objekt till den här cmdleten.
Utdata
Om CredSSP-autentisering har aktiverats returnerar den här cmdleten ett XMLElement-objekt .
Kommentarer
Om du vill inaktivera CredSSP-autentisering använder du cmdleten Disable-WSManCredSSP .