Habilita a autenticação CredSSP (Credencial de Provedor de Serviços de Segurança) em um computador cliente.
Sintaxe
Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]
Descrição
O cmdlet Enable-WSManCredSPP habilita a autenticação CredSSP em um computador cliente ou servidor. Quando a autenticação CredSSP é usada, as credenciais do usuário são passadas a um computador remoto para serem autenticadas. Esse tipo de autenticação é projetado para comandos que criam uma sessão remota dentro de outra sessão remota. Por exemplo, usa-se esse tipo de autenticação quando se deseja executar um trabalho em segundo plano em um computador remoto.
Este cmdlet é usado para habilitar o CredSSP no cliente por meio da especificação de Client no parâmetro Role. O cmdlet executa então as seguintes operações:
- Habilita o CredSSP no cliente. A configuração WS-Management <localhost|computername>\Client\Auth\CredSSP é definida como verdadeira.
- Define a diretiva do Windows CredSSP AllowFreshCredentials como WSMan/Delegate no cliente.
- Nota: essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é obtida.
Este cmdlet é usado para habilitar o CredSSP no servidor por meio da especificação de Server no parâmetro Role. O cmdlet executa então as seguintes operações:
- Habilita o CredSSP no servidor. A configuração WS-Management <localhost|computername>\Service\Auth\CredSSP é definida como verdadeira.
- Nota: essa configuração de diretiva permite que o servidor atue como um delegado para clientes.
Cuidado: a autenticação CredSSP delega as credenciais do usuário do computador local para um computador remoto. Essa prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, quando as credenciais forem passadas para ele, elas poderão ser usadas para controlar a sessão de rede.
Para desabilitar a autenticação CredSSP, use o cmdlet Disable-WSManCredSSP.
Parâmetros
-DelegateComputer <string>
Permite que as credenciais do cliente sejam delegadas para o servidor ou os servidores especificados por este parâmetro. O valor deste parâmetro deve ser um nome de domínio totalmente qualificado.
Se o parâmetro Role especificar Client, o parâmetro DelegateComputer será obrigatório.
Se o parâmetro Role especificar Server, o parâmetro DelegateComputer não será permitido.
|
Necessário? |
false |
|
Posição? |
2 |
|
Valor padrão |
|
|
Aceitar entrada do pipeline? |
false |
|
Aceitar caracteres curinga? |
false |
-Role <string>
Aceita um de dois possíveis valores: Client ou Server. Esses valores especificam se o CredSSP deve ser habilitado como cliente ou servidor.
Se o parâmetro Role especificar Client, o cmdlet executará as seguintes operações:
- Habilita o CredSSP no cliente. A configuração WS-Management <localhost|computername>\Client\Auth\CredSSP é definida como verdadeira.
- Define a diretiva do Windows CredSSP AllowFreshCredentials como WSMan/Delegate no cliente.
- Nota: essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é obtida.
Se o parâmetro Role especificar Server, o cmdlet executará as seguintes operações:
- Habilita o CredSSP no servidor. A configuração WS-Management <localhost|computername>\Service\Auth\CredSSP é definida como verdadeira.
- Nota: essa configuração de diretiva permite que o servidor atue como um delegado para clientes.
|
Necessário? |
true |
|
Posição? |
1 |
|
Valor padrão |
|
|
Aceitar entrada do pipeline? |
false |
|
Aceitar caracteres curinga? |
false |
<CommonParameters>
Esse cmdlet oferece suporte aos parâmetros comuns: -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer e -OutVariable. Para obter mais informações, consulte about_Commonparameters.
Entradas e saídas
O tipo de entrada é o tipo dos objetos que você pode canalizar para o cmdlet. O tipo de retorno é o tipo dos objetos que o cmdlet retorna.
|
Entradas |
None Este cmdlet não aceita entrada. |
|
Saídas |
System.Xml.XmlElement Se autenticação CredSSP for habilitada com êxito, este cmdlet gerará um objeto XMLElement. |
Exemplo 1
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true Descrição ----------- Este comando permite que as credenciais do cliente sejam delegadas para o computador server02.
Exemplo 2
C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true Descrição ----------- Este comando permite que as credenciais do cliente sejam delegadas para todos os computadores no domínio accounting.fabrikam.com.
Exemplo 3
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true Descrição ----------- Este comando permite que as credenciais do cliente sejam delegadas para vários computadores.
Exemplo 4
C:\PS>enable-wsmancredssp -role server Descrição ----------- Este comando permite que um computador atue como delegado de outro. O cmdlet Enable-WSManCredSSP (mostrado nos exemplos anteriores) só habilita a autenticação CredSSP no cliente e especifica os computadores remotos que podem atuar em seu nome. Para que o computador remoto atue como delegado do cliente, o item CredSSP no nó Serviço do WSMan deve ser definido como true.
Exemplo 5
C:\PS>connect-wsman server02 set-item wsman:\server02\service\auth\credSSP -value $true Descrição ----------- Este comando permite que um computador atue como delegado de outro. Os comandos Enable-WSManCredSSP mostrados nos exemplos anteriores habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem atuar em nome do computador cliente. Para que o computador remoto atue como delegado do computador cliente, o item CredSSP no diretório Serviço do provedor WSMan deve ser definido como true. Neste exemplo, o primeiro comando cria uma conexão com o computador remoto server02. O segundo comando define o valor credSSP no computador remoto server02, o que permite que o computador remoto atue como delegado.
See Also