Aktiviert die CredSSP (Credential Security Service Provider)-Authentifizierung auf einem Clientcomputer.

Syntax

Enable-WSManCredSSP [-Rolle] <string> [[-DelegateComputer] <string>] [<CommonParameters>]

Beschreibung

Das Cmdlet "Enable-WSManCredSPP" aktiviert die CredSSP-Authentifizierung auf einem Client oder einem Servercomputer. Bei Verwendung der CredSSP-Authentifizierung werden die Anmeldeinformationen des Benutzers zur Authentifizierung an einen Remotecomputer übergeben. Dieser Authentifizierungstyp ist für Befehle vorgesehen, mit denen eine Remotesitzung innerhalb einer anderen Remotesitzung erstellt wird. Diesen Typ von Authentifizierung verwenden Sie beispielsweise, wenn Sie auf einem Remotecomputer einen Hintergrundauftrag ausführen möchten.

Mit diesem Cmdlet wird CredSSP auf dem Client aktiviert, indem im Role-Parameter "Client" angegeben wird. Das Cmdlet führt dann Folgendes aus:

– Aktiviert CredSSP auf dem Client. Die WS-Verwaltungseinstellung "<localhost|Computername>\Client\Auth\CredSSP" wird auf "True" festgelegt.

– Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf dem Client auf "WSMan/Delegate" fest.

– Hinweis: Diese Einstellungen ermöglichen es dem Client, explizite Anmeldeinformationen an einen Server zu delegieren, wenn die Serverauthentifizierung erfolgreich war.

Mit diesem Cmdlet wird CredSSP auf dem Server aktiviert, indem im Role-Parameter "Server" angegeben wird. Das Cmdlet führt dann Folgendes aus:

– Aktiviert CredSSP auf dem Server. Die WS-Verwaltungseinstellung "<localhost|Computername>\Service\Auth\CredSSP" wird auf "True" festgelegt.

– Hinweis: Mit dieser Richtlinieneinstellung kann der Server als Delegat für Clients verwendet werden.

Vorsicht: Mit der CredSSP-Authentifizierung werden die Anmeldeinformationen des Benutzers vom lokalen Computer an einen Remotecomputer delegiert. Dieses Verfahren erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers beim Übergeben von Anmeldeinformationen an diesen gefährdet ist, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.

Um die CredSSP-Authentifizierung zu deaktivieren, verwenden Sie das Cmdlet "Disable-WSManCredSSP".

Parameter

-DelegateComputer <string>

Ermöglicht das Delegieren der Clientanmeldeinformationen an die von diesem Parameter angegebenen Server. Als Wert dieses Parameters muss ein vollqualifizierter Domänenname verwendet werden.

Wenn im Role-Parameter "Client" angegeben wurde, ist der DelegateComputer-Parameter erforderlich.

Wenn im Role-Parameter "Server" angegeben wurde, ist der DelegateComputer-Parameter nicht zulässig.

Erforderlich?

false

Position?

2

Standardwert

Pipelineeingaben akzeptieren?

false

Platzhalterzeichen akzeptieren?

false

-Rolle <string>

Akzeptiert einen von zwei möglichen Werten: "Client" oder "Server". Diese Werte geben an, ob CredSSP als Client oder als Server aktiviert werden soll.

Wenn im Role-Parameter "Client" angegeben ist, führt das Cmdlet Folgendes aus:

– Aktiviert CredSSP auf dem Client. Die WS-Verwaltungseinstellung "<localhost|Computername>\Client\Auth\CredSSP" wird auf "True" festgelegt.

– Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf dem Client auf "WSMan/Delegate" fest.

– Hinweis: Diese Einstellungen ermöglichen es dem Client, explizite Anmeldeinformationen an einen Server zu delegieren, wenn die Serverauthentifizierung erfolgreich war.

Wenn im Role-Parameter "Server" angegeben ist, führt das Cmdlet Folgendes aus:

– Aktiviert CredSSP auf dem Server. Die WS-Verwaltungseinstellung "<localhost|Computername>\Service\Auth\CredSSP" wird auf "True" festgelegt.

– Hinweis: Mit dieser Richtlinieneinstellung kann der Server als Delegat für Clients verwendet werden.

Erforderlich?

true

Position?

1

Standardwert

Pipelineeingaben akzeptieren?

false

Platzhalterzeichen akzeptieren?

false

<CommonParameters>

Dieses Cmdlet unterstützt die folgenden allgemeinen Parameter: -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer und -OutVariable. Weitere Informationen finden Sie unter about_Commonparameters.

Eingaben und Ausgaben

Der Eingabetyp ist der Typ der Objekte, die über die Pipeline an das Cmdlet übergeben werden können. Der Rückgabetyp ist der Typ der Objekte, die das Cmdlet zurückgibt.

Eingaben

Keine

Dieses Cmdlet akzeptiert keine Eingabe.

Ausgaben

System.Xml.XmlElement

Wenn die CredSSP-Authentifizierung erfolgreich aktiviert wurde, generiert dieses Cmdlet ein XMLElement-Objekt.

Beispiel 1

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beschreibung
-----------
Mit diesem Befehl können die Clientanmeldeinformationen an den Computer "server02" delegiert werden.






Beispiel 2

C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beschreibung
-----------
Mit diesem Befehl können die Clientanmeldeinformationen an alle Computer in der Domäne "accounting.fabrikam.com" delegiert werden.






Beispiel 3

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Beschreibung
-----------
Mit diesem Befehl können die Clientanmeldeinformationen an mehrere Computer delegiert werden.






Beispiel 4

C:\PS>enable-wsmancredssp -role server

Beschreibung
-----------
Mit diesem Befehl kann ein Computer als Delegat für einen anderen verwendet werden. Das Cmdlet "Enable-WSManCredSSP" (in den obigen Beispielen gezeigt) aktiviert die CredSSP-Authentifizierung nur auf dem Client und gibt die Remotecomputer an, die an dessen Stelle verwendet werden können. Wenn der Remotecomputer als Delegat für den Client verwendet werden soll, muss das CredSSP-Element im Service-Knoten von WSMan auf "True" festgelegt werden.






Beispiel 5

C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true

Beschreibung
-----------
Mit diesem Befehl kann ein Computer als Delegat für einen anderen Computer verwendet werden. Die in den früheren Beispielen gezeigten Enable-WSManCredSSP-Befehle aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer und geben die Remotecomputer an, die anstelle des Clientcomputers verwendet werden können. Wenn der Remotecomputer als Delegat für den Clientcomputer verwendet werden soll, muss das CredSSP-Element im Verzeichnis "Service" des WSMan-Anbieters auf "True" festgelegt werden. 

In diesem Beispiel wird mit dem ersten Befehl eine Verbindung mit dem Remotecomputer "server02" hergestellt.

Mit dem zweiten Befehl wird der CredSSP-Wert auf den Remotecomputer "server02" festgelegt, wodurch der Remotecomputer als Delegat verwendet werden kann.






Siehe auch




Inhaltsverzeichnis