クライアント コンピューター上の CredSSP (Credential Security Service Provider) 認証を有効にします。

構文

Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]

説明

Enable-WSManCredSPP コマンドレットは、クライアントまたはサーバー コンピューターの CredSSP 認証を有効にします。CredSSP 認証を使用すると、ユーザーの資格情報がリモート コンピューターに渡されて認証されます。この種の認証は、別のリモート セッション内からリモート セッションを作成するコマンド用に設計されています。たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合に、この種類の認証を使用します。

このコマンドレットは、Role パラメーターでクライアントを指定して、クライアントの CredSSP を有効にします。次に、以下の処理が実行されます。

- クライアントの CredSSP を有効にする。WS-Management の設定 <localhost|computername>\Client\Auth\CredSSP は true に設定されます。

- クライアントの Windows CredSSP ポリシー AllowFreshCredentials を WSMan/Delegate に設定する。

- 注: これらの設定を使用すると、クライアントはサーバーの認証時に明示的な資格情報をサーバーに委任できます。

このコマンドレットは、Role パラメーターで Server を指定して、サーバーの CredSSP を有効にします。次に、以下の処理が実行されます。

- サーバーの CredSSP を有効にする。WS-Management の設定 <localhost|computername>\Service\Auth\CredSSP は true に設定されます。

- 注: このポリシー設定を使用すると、サーバーはクライアントの代理として機能できます。

注意: CredSSP 認証により、ユーザーの資格情報がローカル コンピューターからリモート コンピューターに委任されます。これを実行すると、リモート操作のセキュリティ リスクが増します。リモート コンピューターのセキュリティが低下している場合に、そのリモート コンピューターに資格情報を渡すと、それを使用してネットワーク セッションを制御できます。

CredSSP 認証を無効にするには、Disable-WSManCredSSP コマンドレットを使用します。

パラメーター

-DelegateComputer <string>

このパラメーターで指定した 1 つまたは複数のサーバーにクライアントの資格情報を委任できます。このパラメーターの値は完全修飾ドメイン名でなければなりません。

Role パラメーターで Client を指定した場合、DelegateComputer パラメーターは必須です。

Role パラメーターで Server を指定した場合は、DelegateComputer パラメーターを使用できません。

必須

false

位置

2

既定値

パイプライン入力を許可する

false

ワイルドカード文字を許可する

false

-Role <string>

可能な値 Client または Server のうち 1 つを受け入れます。これらの値は、CredSSP をクライアントとして有効にするかサーバーとして有効にするかを指定します。

Role パラメーターで Client を指定した場合は、以下の処理が実行されます。

- クライアントの CredSSP を有効にする。WS-Management の設定 <localhost|computername>\Client\Auth\CredSSP は true に設定されます。

- クライアントの Windows CredSSP ポリシー AllowFreshCredentials を WSMan/Delegate に設定する。

- 注: これらの設定を使用すると、クライアントはサーバーの認証時に明示的な資格情報をサーバーに委任できます。

Role パラメーターで Server を指定した場合は、以下の処理が実行されます。

- サーバーの CredSSP を有効にする。WS-Management の設定 <localhost|computername>\Service\Auth\CredSSP は true に設定されます。

- 注: このポリシー設定を使用すると、サーバーはクライアントの代理として機能できます。

必須

true

位置

1

既定値

パイプライン入力を許可する

false

ワイルドカード文字を許可する

false

<CommonParameters>

このコマンドレットは、次の共通パラメーターをサポートします: -Verbose、-Debug、-ErrorAction、-ErrorVariable、-OutBuffer、および -OutVariable。Ô”¼š¤Ë¤Ä¤¤¤Æ¤Ï¡¢次を参照してください: about_Commonparameters.

入力と出力

入力値の型は、コマンドレットへのパイプが可能なオブジェクトの型です。戻り値の型は、コマンドレットによって返されるオブジェクトの型です。

入力

なし

このコマンドレットは入力を受け取りません。

出力

System.Xml.XmlElement

CredSSP 認証が有効になると、このコマンドレットによって XMLElement オブジェクトが生成されます。

例 1

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

説明
-----------
このコマンドを使用すると、クライアントの資格情報を server02 コンピューターに委任できます。






例 2

C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

説明
-----------
このコマンドを使用すると、クライアントの資格情報を accounting.fabrikam.com ドメインにあるすべてのコンピューターに委任できます。






例 3

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

説明
-----------
このコマンドを使用すると、クライアントの資格情報を複数のコンピューターに委任できます。






例 4

C:\PS>enable-wsmancredssp -role server

説明
-----------
このコマンドを使用すると、コンピューターが別のコンピューターの代理として機能できます。Enable-WSManCredSSP コマンドレット (前述の例で紹介) はクライアントの CredSSP 認証を有効にするだけで、その代理として機能できるリモート コンピューターを指定します。リモート コンピューターがクライアントの代理として機能するには、WSMan の Service ノードにある CredSSP 項目を true に設定する必要があります。






例 5

C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true

説明
-----------
このコマンドを使用すると、コンピューターが別のコンピューターの代理として機能できます。前述の例で紹介した Enable-WSManCredSSP コマンドは、クライアント コンピューターの CredSSP 認証を有効にするだけで、クライアント コンピューターの代理として機能できるリモート コンピューターを指定します。クライアント コンピューターの代理として機能できるリモート コンピューターで、WSMan プロバイダーの Service ディレクトリにある CredSSP 項目を true に設定する必要があります。

この例では、最初のコマンドがリモートの server02 コンピューターへの接続を作成します。

2 番目のコマンドはリモート server02 コンピューターの credSSP 値を設定し、リモート コンピューターが代理として機能できるようにします。






関連項目




目次