Aktiviert die CredSSP (Credential Security Service Provider)-Authentifizierung auf einem Clientcomputer.
Syntax
Enable-WSManCredSSP [-Rolle] <string> [[-DelegateComputer] <string>] [<CommonParameters>]
Beschreibung
Das Cmdlet "Enable-WSManCredSPP" aktiviert die CredSSP-Authentifizierung auf einem Client oder einem Servercomputer. Bei Verwendung der CredSSP-Authentifizierung werden die Anmeldeinformationen des Benutzers zur Authentifizierung an einen Remotecomputer übergeben. Dieser Authentifizierungstyp ist für Befehle vorgesehen, mit denen eine Remotesitzung innerhalb einer anderen Remotesitzung erstellt wird. Diesen Typ von Authentifizierung verwenden Sie beispielsweise, wenn Sie auf einem Remotecomputer einen Hintergrundauftrag ausführen möchten.
Mit diesem Cmdlet wird CredSSP auf dem Client aktiviert, indem im Role-Parameter "Client" angegeben wird. Das Cmdlet führt dann Folgendes aus:
– Aktiviert CredSSP auf dem Client. Die WS-Verwaltungseinstellung "<localhost|Computername>\Client\Auth\CredSSP" wird auf "True" festgelegt.
– Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf dem Client auf "WSMan/Delegate" fest.
– Hinweis: Diese Einstellungen ermöglichen es dem Client, explizite Anmeldeinformationen an einen Server zu delegieren, wenn die Serverauthentifizierung erfolgreich war.
Mit diesem Cmdlet wird CredSSP auf dem Server aktiviert, indem im Role-Parameter "Server" angegeben wird. Das Cmdlet führt dann Folgendes aus:
– Aktiviert CredSSP auf dem Server. Die WS-Verwaltungseinstellung "<localhost|Computername>\Service\Auth\CredSSP" wird auf "True" festgelegt.
– Hinweis: Mit dieser Richtlinieneinstellung kann der Server als Delegat für Clients verwendet werden.
Vorsicht: Mit der CredSSP-Authentifizierung werden die Anmeldeinformationen des Benutzers vom lokalen Computer an einen Remotecomputer delegiert. Dieses Verfahren erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers beim Übergeben von Anmeldeinformationen an diesen gefährdet ist, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.
Um die CredSSP-Authentifizierung zu deaktivieren, verwenden Sie das Cmdlet "Disable-WSManCredSSP".
Parameter
-DelegateComputer <string>
Ermöglicht das Delegieren der Clientanmeldeinformationen an die von diesem Parameter angegebenen Server. Als Wert dieses Parameters muss ein vollqualifizierter Domänenname verwendet werden.
Wenn im Role-Parameter "Client" angegeben wurde, ist der DelegateComputer-Parameter erforderlich.
Wenn im Role-Parameter "Server" angegeben wurde, ist der DelegateComputer-Parameter nicht zulässig.
Erforderlich? |
false |
Position? |
2 |
Standardwert |
|
Pipelineeingaben akzeptieren? |
false |
Platzhalterzeichen akzeptieren? |
false |
-Rolle <string>
Akzeptiert einen von zwei möglichen Werten: "Client" oder "Server". Diese Werte geben an, ob CredSSP als Client oder als Server aktiviert werden soll.
Wenn im Role-Parameter "Client" angegeben ist, führt das Cmdlet Folgendes aus:
– Aktiviert CredSSP auf dem Client. Die WS-Verwaltungseinstellung "<localhost|Computername>\Client\Auth\CredSSP" wird auf "True" festgelegt.
– Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf dem Client auf "WSMan/Delegate" fest.
– Hinweis: Diese Einstellungen ermöglichen es dem Client, explizite Anmeldeinformationen an einen Server zu delegieren, wenn die Serverauthentifizierung erfolgreich war.
Wenn im Role-Parameter "Server" angegeben ist, führt das Cmdlet Folgendes aus:
– Aktiviert CredSSP auf dem Server. Die WS-Verwaltungseinstellung "<localhost|Computername>\Service\Auth\CredSSP" wird auf "True" festgelegt.
– Hinweis: Mit dieser Richtlinieneinstellung kann der Server als Delegat für Clients verwendet werden.
Erforderlich? |
true |
Position? |
1 |
Standardwert |
|
Pipelineeingaben akzeptieren? |
false |
Platzhalterzeichen akzeptieren? |
false |
<CommonParameters>
Dieses Cmdlet unterstützt die folgenden allgemeinen Parameter: -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer und -OutVariable. Weitere Informationen finden Sie unter about_Commonparameters.
Eingaben und Ausgaben
Der Eingabetyp ist der Typ der Objekte, die über die Pipeline an das Cmdlet übergeben werden können. Der Rückgabetyp ist der Typ der Objekte, die das Cmdlet zurückgibt.
Eingaben |
Keine Dieses Cmdlet akzeptiert keine Eingabe. |
Ausgaben |
System.Xml.XmlElement Wenn die CredSSP-Authentifizierung erfolgreich aktiviert wurde, generiert dieses Cmdlet ein XMLElement-Objekt. |
Beispiel 1
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true Beschreibung ----------- Mit diesem Befehl können die Clientanmeldeinformationen an den Computer "server02" delegiert werden.
Beispiel 2
C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true Beschreibung ----------- Mit diesem Befehl können die Clientanmeldeinformationen an alle Computer in der Domäne "accounting.fabrikam.com" delegiert werden.
Beispiel 3
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true Beschreibung ----------- Mit diesem Befehl können die Clientanmeldeinformationen an mehrere Computer delegiert werden.
Beispiel 4
C:\PS>enable-wsmancredssp -role server Beschreibung ----------- Mit diesem Befehl kann ein Computer als Delegat für einen anderen verwendet werden. Das Cmdlet "Enable-WSManCredSSP" (in den obigen Beispielen gezeigt) aktiviert die CredSSP-Authentifizierung nur auf dem Client und gibt die Remotecomputer an, die an dessen Stelle verwendet werden können. Wenn der Remotecomputer als Delegat für den Client verwendet werden soll, muss das CredSSP-Element im Service-Knoten von WSMan auf "True" festgelegt werden.
Beispiel 5
C:\PS>connect-wsman server02 set-item wsman:\server02\service\auth\credSSP -value $true Beschreibung ----------- Mit diesem Befehl kann ein Computer als Delegat für einen anderen Computer verwendet werden. Die in den früheren Beispielen gezeigten Enable-WSManCredSSP-Befehle aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer und geben die Remotecomputer an, die anstelle des Clientcomputers verwendet werden können. Wenn der Remotecomputer als Delegat für den Clientcomputer verwendet werden soll, muss das CredSSP-Element im Verzeichnis "Service" des WSMan-Anbieters auf "True" festgelegt werden. In diesem Beispiel wird mit dem ersten Befehl eine Verbindung mit dem Remotecomputer "server02" hergestellt. Mit dem zweiten Befehl wird der CredSSP-Wert auf den Remotecomputer "server02" festgelegt, wodurch der Remotecomputer als Delegat verwendet werden kann.
Siehe auch