클라이언트 컴퓨터에서 CredSSP(자격 증명 보안 서비스 공급자) 인증을 사용하도록 설정합니다.

구문

Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]

설명

Enable-WSManCredSPP cmdlet은 클라이언트 또는 서버 컴퓨터에서 CredSSP 인증을 사용하도록 설정합니다. CredSSP 인증을 사용하는 경우 인증을 위해 사용자 자격 증명이 원격 컴퓨터로 전달됩니다. 이 인증 유형은 다른 원격 세션 내에서 원격 세션을 만드는 명령에 사용됩니다. 예를 들어 원격 컴퓨터에서 백그라운드 작업을 실행하려는 경우 이 인증 유형을 사용합니다.

이 cmdlet은 Role 매개 변수에 Client를 지정하여 클라이언트에서 CredSSP를 사용하도록 설정하는 데 사용됩니다. 그런 후에 이 cmdlet은 다음을 수행합니다.

- 클라이언트에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Client\Auth\CredSSP가 true로 설정됩니다.

- 클라이언트에서 Windows CredSSP 정책인 AllowFreshCredentials를 WSMan/Delegate로 설정합니다.

- 참고: 이러한 설정을 사용하면 서버 인증이 수행될 때 클라이언트가 명시적 자격 증명을 서버로 위임할 수 있습니다.

이 cmdlet은 Role 매개 변수에 Server를 지정하여 서버에서 CredSSP를 사용하도록 설정하는 데 사용됩니다. 그런 후에 이 cmdlet은 다음을 수행합니다.

- 서버에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Service\Auth\CredSSP가 true로 설정됩니다.

- 참고: 이 정책 설정을 사용하면 서버가 클라이언트의 위임자 역할을 할 수 있습니다.

주의: CredSSP 인증은 사용자의 자격 증명을 로컬 컴퓨터에서 원격 컴퓨터로 위임합니다. 이렇게 하면 원격 작업의 보안 위험이 높아집니다. 원격 컴퓨터가 손상된 경우 자격 증명이 이 컴퓨터로 전달되면 이 자격 증명을 사용하여 네트워크 세션을 제어할 수 있습니다.

CredSSP 인증을 사용하지 않도록 설정하려면 Disable-WSManCredSSP cmdlet을 사용합니다.

매개 변수

-DelegateComputer <string>

클라이언트 자격 증명이 이 매개 변수에 지정된 서버로 위임되도록 허용합니다. 이 매개 변수의 값은 정규화된 도메인 이름이어야 합니다.

Role 매개 변수가 Client를 지정하는 경우 DelegateComputer 매개 변수는 필수 사항입니다.

Role 매개 변수가 Server를 지정하는 경우 DelegateComputer 매개 변수는 허용되지 않습니다.

필수 여부

false

위치

2

기본값

파이프라인 입력 적용 여부

false

와일드카드 문자 적용 여부

false

-Role <string>

두 가지 가능한 값(Client 또는 Server) 중 하나를 적용합니다. 이러한 값은 CredSSP를 클라이언트 또는 서버로 사용하도록 설정해야 할지를 지정합니다.

Role 매개 변수가 Client를 지정하는 경우 cmdlet은 다음을 수행합니다.

- 클라이언트에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Client\Auth\CredSSP가 true로 설정됩니다.

- 클라이언트에서 Windows CredSSP 정책인 AllowFreshCredentials를 WSMan/Delegate로 설정합니다.

- 참고: 이러한 설정을 사용하면 서버 인증이 수행될 때 클라이언트가 명시적 자격 증명을 서버로 위임할 수 있습니다.

Role 매개 변수가 Server를 지정하는 경우 cmdlet은 다음을 수행합니다.

- 서버에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Service\Auth\CredSSP가 true로 설정됩니다.

- 참고: 이 정책 설정을 사용하면 서버가 클라이언트의 위임자 역할을 할 수 있습니다.

필수 여부

true

위치

1

기본값

파이프라인 입력 적용 여부

false

와일드카드 문자 적용 여부

false

<CommonParameters>

이 cmdlet은 -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer, -OutVariable 등의 일반 매개 변수를 지원합니다. 자세한 내용은 about_Commonparameters.

입력 및 출력

입력 유형은 cmdlet으로 파이프할 수 있는 개체의 유형입니다. 반환 유형은 cmdlet에서 반환되는 개체의 유형입니다.

입력

없음

이 cmdlet은 어떠한 입력도 받지 않습니다.

출력

System.Xml.XmlElement

CredSSP 인증을 사용하도록 설정한 경우 이 cmdlet은 XMLElement 개체를 생성합니다.

예 1

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

설명
-----------
이 명령을 사용하면 클라이언트 자격 증명을 server02 컴퓨터에 위임할 수 있습니다.






예 2

C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

설명
-----------
이 명령을 사용하면 클라이언트 자격 증명을 accounting.fabrikam.com 도메인에 있는 모든 컴퓨터에 위임할 수 있습니다.






예 3

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

설명
-----------
이 명령을 사용하면 클라이언트 자격 증명을 여러 컴퓨터에 위임할 수 있습니다.






예 4

C:\PS>enable-wsmancredssp -role server

설명
-----------
이 명령을 사용하면 컴퓨터가 다른 컴퓨터의 대리자 역할을 할 수 있습니다. 앞의 예에 표시된 Enable-WSManCredSSP cmdlet은 클라이언트에서만 CredSSP 인증을 사용하도록 설정하며 클라이언트를 대신할 수 있는 원격 컴퓨터를 지정합니다. 원격 컴퓨터가 클라이언트의 대리자 역할을 하려면 WSMan의 Service 노드에서 CredSSP 항목을 true로 설정해야 합니다.






예 5

C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true

설명
-----------
이 명령을 사용하면 컴퓨터가 다른 컴퓨터의 대리자 역할을 할 수 있습니다. 앞의 예에 표시된 Enable-WSManCredSSP 명령은 클라이언트 컴퓨터에서만 CredSSP 인증을 사용하도록 설정하며 클라이언트 컴퓨터를 대신할 수 있는 원격 컴퓨터를 지정합니다. 원격 컴퓨터가 클라이언트 컴퓨터의 대리자 역할을 하려면 WSMan 공급자의 Service 디렉터리에서 CredSSP 항목을 true로 설정해야 합니다. 

이 예에서 첫 번째 명령은 원격 컴퓨터 server02에 대한 연결을 만듭니다.

두 번째 명령은 원격 컴퓨터 server02에 credSSP 값을 설정하여 원격 컴퓨터가 대리자 역할을 할 수 있도록 합니다.






참고 항목




목차