Поделиться через

Enable-WSManCredSSP

Модуль:
Microsoft.WSMan.Management Module

Включает проверку подлинности поставщика поддержки безопасности учетных данных (CredSSP) на компьютере.

Синтаксис

All 

Enable-WSManCredSSP
    [[-DelegateComputer] <String[]>]
    [-Role] <String>
    [-Force]
    [<CommonParameters>]

Описание

Этот командлет доступен только на платформе Windows.

Командлет Enable-WSManCredSSP включает проверку подлинности CredSSP на клиенте или на серверном компьютере. При использовании проверки подлинности CredSSP учетные данные пользователя передаются на удаленный компьютер для проверки подлинности. Этот тип проверки подлинности предназначен для команд, создающих удаленный сеанс из другого удаленного сеанса. Например, если вы хотите запустить фоновое задание на удаленном компьютере, используйте эту проверку подлинности.

может включить CredSSP на клиента или сервере. Чтобы включить CredSSP на клиенте, укажите клиентских в параметре роли . Клиенты делегируют явные учетные данные серверу при достижении проверки подлинности сервера. Чтобы включить CredSSP на сервере, укажите сервера в параметре роли. Сервер выступает в качестве делегата для клиентов. Дополнительные сведения см. в разделе "Параметры" роли.

Осторожность

Проверка подлинности CredSSP делегирует учетные данные пользователя с локального компьютера на удаленный компьютер. Эта практика повышает риск безопасности удаленной операции. Если удаленный компьютер скомпрометирован, при передаче учетных данных в него учетные данные можно использовать для управления сетевым сеансом.

Примеры

Пример 1. Делегирование учетных данных клиента

В этом примере учетные данные клиента можно делегировать на компьютер с помощью полного доменного имени.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Пример 2. Делегирование учетных данных клиента всем компьютерам в домене

Этот пример позволяет делегировать учетные данные клиента всем компьютерам в домене fabrikam.com. Подстановочный знак звездочки (*) указывает все компьютеры.

Замечание

Использование подстановочных знаков с параметром делегата делегата может включить CredSSP на более компьютерах, чем это необходимо.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Пример 3. Делегирование учетных данных клиента нескольким компьютерам

Этот пример позволяет делегировать учетные данные клиента нескольким компьютерам.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Переменная $servers содержит список имен серверов. использует параметр роли для указания роли клиента . ДелегатComputer получает имена компьютеров из переменной $servers.

Пример 4. Разрешить компьютеру выступать в качестве делегата

В этом примере компьютер может выступать в качестве делегата для другого. Командлет Enable-WSManCredSSP, показанный в предыдущих примерах, включает только проверку подлинности CredSSP на клиенте и указывает удаленные компьютеры, которые могут действовать от его имени. Чтобы удаленный компьютер выступал в качестве делегата для клиента, элемент CredSSP в узле Service WSMan должен иметь значение true. В этом примере элемент CredSSP в узле службы wSMan имеет значение true.

Enable-WSManCredSSP -Role "Server"

Пример 5. Разрешить компьютеру выступать в качестве делегата с помощью Set-Item

Этот пример позволяет компьютеру выступать в качестве делегата для другого компьютера. Команды Enable-WSManCredSSP, показанные в предыдущих примерах, обеспечивают проверку подлинности CredSSP только на клиентском компьютере, а также указывают удаленные компьютеры, которые могут действовать от имени клиентского компьютера. Чтобы удаленный компьютер выступал в качестве делегата для клиентского компьютера, элемент CredSSP в каталоге службы поставщика WSMan должен иметь значение true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $true

Connect-WSMan создает подключение к удаленному компьютеру, server02. использует параметр пути для указания расположения поставщика WSMan. Параметр value задает для параметра Service значение true.

Параметры

-DelegateComputer

Указывает серверы, на которые делегируются учетные данные клиента. Рекомендуется использовать полные доменные имена.

Подстановочные знаки принимаются, но могут включать CredSSP на более компьютерах, чем это необходимо.

Если параметр роли client, необходимо указать этот параметр. Если рольserver, не указывайте этот параметр.

Свойства параметра

Тип:

String[]

Default value:None
Поддерживаются подстановочные знаки:True
DontShow:False

Наборы параметров

(All)
Position:1
Обязательно:False
Значение из конвейера:False
Значение из конвейера по имени свойства:False
Значение из оставшихся аргументов:False

-Force

Принудительно выполняется команда без запроса подтверждения пользователя.

Свойства параметра

Тип:SwitchParameter
Default value:False
Поддерживаются подстановочные знаки:False
DontShow:False

Наборы параметров

(All)
Position:Named
Обязательно:False
Значение из конвейера:False
Значение из конвейера по имени свойства:False
Значение из оставшихся аргументов:False

-Role

Указывает, следует ли включить CredSSP в качестве клиента или в качестве сервера. Допустимые значения для этого параметра: клиентские и Server.

Если указать клиентской, выполняются следующие действия. Эти параметры позволяют клиенту делегировать явные учетные данные серверу при достижении проверки подлинности сервера.

  • Включает CredSSP на клиенте.
  • Задает для параметра WS-Management значение true \<localhost|computername\>\Client\Auth\CredSSP.
  • Задает политику Windows CredSSP AllowFreshCredentialsWSMan/Delegate на клиенте.

Если указатьсервера , выполняются следующие действия. Этот параметр политики позволяет серверу выступать в качестве делегата для клиентов.

  • Включает CredSSP на сервере.
  • Задает для параметра WS-Management значение true \<localhost|computername\>\Service\Auth\CredSSP.

Свойства параметра

Тип:String
Default value:None
Допустимые значения:Client, Server
Поддерживаются подстановочные знаки:False
DontShow:False

Наборы параметров

(All)
Position:0
Обязательно:True
Значение из конвейера:False
Значение из конвейера по имени свойства:False
Значение из оставшихся аргументов:False

CommonParameters

Этот командлет поддерживает общие параметры: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction и -WarningVariable. Дополнительные сведения см. в разделе about_CommonParameters.

Входные данные

None

Невозможно передать объекты в этот командлет.

Выходные данные

XmlElement

Если проверка подлинности CredSSP успешно включена, этот командлет возвращает объект XMLElement.

Примечания

Чтобы отключить проверку подлинности CredSSP, используйте командлет Disable-WSManCredSSP.