Включает проверку подлинности поставщика услуг безопасности CredSSP на клиентском компьютере.

Синтаксис

Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]

Описание

Командлет Enable-WSManCredSPP включает проверку подлинности поставщика услуг безопасности CredSSP на клиентском или серверном компьютере. При использовании проверки подлинности CredSSP учетные данные пользователя передаются для проверки подлинности на удаленный компьютер. Этот тип проверки подлинности предназначен для команд, которые создают удаленный сеанс из другого удаленного сеанса. Например, он используется в случаях, когда требуется запустить фоновое задание на удаленном компьютере.

Чтобы включить с помощью этого командлета CredSSP на клиенте, необходимо указать для параметра Role значение "Client". В этом случае командлет выполняет следующие операции:

- Включает проверку подлинности CredSSP на клиенте. Параметру WS-Management <localhost|имя_компьютера>\Client\Auth\CredSSP присваивается значение true.

- Присваивает политике AllowFreshCredentials Windows CredSSP на клиенте значение WSMan/Delegate.

- Примечание. Эти значения параметров позволяют клиенту делегировать явные учетные данные серверу при проведении проверки подлинности сервера.

Чтобы включить с помощью этого командлета CredSSP на сервере, необходимо указать для параметра Role значение "Server". В этом случае командлет выполняет следующие операции:

- Включает проверку подлинности CredSSP на сервере. Параметру WS-Management <localhost|имя_компьютера>\Service\Auth\CredSSP присваивается значение true.

- Примечание. Этот значение параметра политики позволяет серверу выступать в качестве делегата для клиентов.

Внимание! При проверке подлинности CredSSP учетные данные пользователя делегируются с локального компьютера на удаленный компьютер. Такой подход повышает угрозы безопасности удаленных операций. Если безопасность удаленного компьютера нарушена, при передаче на него учетных данных эти данные могут быть использованы для управления сетевым сеансом.

Для отключения проверки подлинности CredSSP используйте командлет Disable-WSManCredSSP.

Параметры

-DelegateComputer <string>

Разрешает делегирование учетных данных клиента серверу или нескольким серверам, заданным данным параметром. Значением данного параметра должно быть полное доменное имя.

Если параметр Role имеет значение "Client", параметр DelegateComputer является обязательным.

Если параметр Role имеет значение "Server", параметр DelegateComputer не допускается.

Обязательно?

false

Позиция?

2

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

-Role <string>

Принимает одно из двух возможных значений: "Client" или "Server". Эти значения указывают, как следует включить CredSSP — как клиент или как сервер.

Если параметр Role имеет значение "Client", командлет выполняет следующие операции:

- Включает проверку подлинности CredSSP на клиенте. Параметру WS-Management <localhost|имя_компьютера>\Client\Auth\CredSSP присваивается значение true.

- Присваивает политике AllowFreshCredentials Windows CredSSP на клиенте значение WSMan/Delegate.

- Примечание. Эти значения параметров позволяют клиенту делегировать явные учетные данные серверу при проведении проверки подлинности сервера.

Если параметр Role имеет значение "Server", командлет выполняет следующие операции:

- Включает проверку подлинности CredSSP на сервере. Параметру WS-Management <localhost|имя_компьютера>\Service\Auth\CredSSP присваивается значение true.

- Примечание. Этот значение параметра политики позволяет серверу выступать в качестве делегата для клиентов.

Обязательно?

true

Позиция?

1

Значение по умолчанию

Принимать входные данные из конвейера?

false

Принимать подстановочные знаки?

false

<CommonParameters>

Данный командлет поддерживает общие параметры -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer и -OutVariable. Дополнительные сведения см. в разделе about_Commonparameters.

Ввод и вывод

Входным типом является тип объектов, которые можно передавать командлету по конвейеру. Возвращаемым типом является тип объектов, возвращаемых командлетом.

Входные данные

Нет

Этот командлет не принимает никаких входных данных.

Выходные данные

System.Xml.XmlElement

Если проверка подлинности CredSSP успешно включена, этот командлет формирует объект XMLElement.

Пример 1

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Описание
-----------
Эта команда разрешает делегирование учетных данных клиента компьютеру server02.






Пример 2

C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Описание
-----------
Эта команда разрешает делегирование учетных данных клиента всем компьютерам в домене "accounting.fabrikam.com".






Пример 3

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Описание
-----------
Эта команда разрешает делегирование учетных данных клиента нескольким компьютерам.






Пример 4

C:\PS>enable-wsmancredssp -role server

Описание
-----------
Эта команда разрешает компьютеру выступать в качестве делегата для другого компьютера. Командлет Enable-WSManCredSSP (показанный в предыдущих примерах) только включает проверку подлинности CredSSP на клиенте и задает удаленные компьютеры, которые могут выступать от его имени. Чтобы удаленный компьютер выступал в качестве делегата для клиента, элементу CredSSP в узле Service поставщика WSMan должно быть присвоено значение true.






Пример 5

C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true

Описание
-----------
Эта команда разрешает компьютеру выступать в качестве делегата для другого компьютера. Показанные в предыдущих примерах команды Enable-WSManCredSSP включают проверку подлинности CredSSP только на клиентском компьютере и задают удаленные компьютеры, которые могут выступать от имени клиентского компьютера. Чтобы удаленный компьютер выступал в качестве делегата для клиентского компьютера, элементу CredSSP в каталоге Service поставщика WSMan должно быть присвоено значение true. 

В этом примере первая команда создает подключение к удаленному компьютеру server02.

Вторая команда задает значение элемента credSSP на удаленном компьютере server02, что позволяет компьютеру выступать в качестве делегата.






См. также




Содержание