클라이언트 컴퓨터에서 CredSSP(자격 증명 보안 서비스 공급자) 인증을 사용하도록 설정합니다.
구문
Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]
설명
Enable-WSManCredSPP cmdlet은 클라이언트 또는 서버 컴퓨터에서 CredSSP 인증을 사용하도록 설정합니다. CredSSP 인증을 사용하는 경우 인증을 위해 사용자 자격 증명이 원격 컴퓨터로 전달됩니다. 이 인증 유형은 다른 원격 세션 내에서 원격 세션을 만드는 명령에 사용됩니다. 예를 들어 원격 컴퓨터에서 백그라운드 작업을 실행하려는 경우 이 인증 유형을 사용합니다.
이 cmdlet은 Role 매개 변수에 Client를 지정하여 클라이언트에서 CredSSP를 사용하도록 설정하는 데 사용됩니다. 그런 후에 이 cmdlet은 다음을 수행합니다.
- 클라이언트에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Client\Auth\CredSSP가 true로 설정됩니다.
- 클라이언트에서 Windows CredSSP 정책인 AllowFreshCredentials를 WSMan/Delegate로 설정합니다.
- 참고: 이러한 설정을 사용하면 서버 인증이 수행될 때 클라이언트가 명시적 자격 증명을 서버로 위임할 수 있습니다.
이 cmdlet은 Role 매개 변수에 Server를 지정하여 서버에서 CredSSP를 사용하도록 설정하는 데 사용됩니다. 그런 후에 이 cmdlet은 다음을 수행합니다.
- 서버에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Service\Auth\CredSSP가 true로 설정됩니다.
- 참고: 이 정책 설정을 사용하면 서버가 클라이언트의 위임자 역할을 할 수 있습니다.
주의: CredSSP 인증은 사용자의 자격 증명을 로컬 컴퓨터에서 원격 컴퓨터로 위임합니다. 이렇게 하면 원격 작업의 보안 위험이 높아집니다. 원격 컴퓨터가 손상된 경우 자격 증명이 이 컴퓨터로 전달되면 이 자격 증명을 사용하여 네트워크 세션을 제어할 수 있습니다.
CredSSP 인증을 사용하지 않도록 설정하려면 Disable-WSManCredSSP cmdlet을 사용합니다.
매개 변수
-DelegateComputer <string>
클라이언트 자격 증명이 이 매개 변수에 지정된 서버로 위임되도록 허용합니다. 이 매개 변수의 값은 정규화된 도메인 이름이어야 합니다.
Role 매개 변수가 Client를 지정하는 경우 DelegateComputer 매개 변수는 필수 사항입니다.
Role 매개 변수가 Server를 지정하는 경우 DelegateComputer 매개 변수는 허용되지 않습니다.
|
필수 여부 |
false |
|
위치 |
2 |
|
기본값 |
|
|
파이프라인 입력 적용 여부 |
false |
|
와일드카드 문자 적용 여부 |
false |
-Role <string>
두 가지 가능한 값(Client 또는 Server) 중 하나를 적용합니다. 이러한 값은 CredSSP를 클라이언트 또는 서버로 사용하도록 설정해야 할지를 지정합니다.
Role 매개 변수가 Client를 지정하는 경우 cmdlet은 다음을 수행합니다.
- 클라이언트에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Client\Auth\CredSSP가 true로 설정됩니다.
- 클라이언트에서 Windows CredSSP 정책인 AllowFreshCredentials를 WSMan/Delegate로 설정합니다.
- 참고: 이러한 설정을 사용하면 서버 인증이 수행될 때 클라이언트가 명시적 자격 증명을 서버로 위임할 수 있습니다.
Role 매개 변수가 Server를 지정하는 경우 cmdlet은 다음을 수행합니다.
- 서버에서 CredSSP를 사용하도록 설정합니다. WS-Management 설정 <localhost|computername>\Service\Auth\CredSSP가 true로 설정됩니다.
- 참고: 이 정책 설정을 사용하면 서버가 클라이언트의 위임자 역할을 할 수 있습니다.
|
필수 여부 |
true |
|
위치 |
1 |
|
기본값 |
|
|
파이프라인 입력 적용 여부 |
false |
|
와일드카드 문자 적용 여부 |
false |
<CommonParameters>
이 cmdlet은 -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer, -OutVariable 등의 일반 매개 변수를 지원합니다. 자세한 내용은 about_Commonparameters.
입력 및 출력
입력 유형은 cmdlet으로 파이프할 수 있는 개체의 유형입니다. 반환 유형은 cmdlet에서 반환되는 개체의 유형입니다.
|
입력 |
없음 이 cmdlet은 어떠한 입력도 받지 않습니다. |
|
출력 |
System.Xml.XmlElement CredSSP 인증을 사용하도록 설정한 경우 이 cmdlet은 XMLElement 개체를 생성합니다. |
예 1
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true 설명 ----------- 이 명령을 사용하면 클라이언트 자격 증명을 server02 컴퓨터에 위임할 수 있습니다.
예 2
C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true 설명 ----------- 이 명령을 사용하면 클라이언트 자격 증명을 accounting.fabrikam.com 도메인에 있는 모든 컴퓨터에 위임할 수 있습니다.
예 3
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true 설명 ----------- 이 명령을 사용하면 클라이언트 자격 증명을 여러 컴퓨터에 위임할 수 있습니다.
예 4
C:\PS>enable-wsmancredssp -role server 설명 ----------- 이 명령을 사용하면 컴퓨터가 다른 컴퓨터의 대리자 역할을 할 수 있습니다. 앞의 예에 표시된 Enable-WSManCredSSP cmdlet은 클라이언트에서만 CredSSP 인증을 사용하도록 설정하며 클라이언트를 대신할 수 있는 원격 컴퓨터를 지정합니다. 원격 컴퓨터가 클라이언트의 대리자 역할을 하려면 WSMan의 Service 노드에서 CredSSP 항목을 true로 설정해야 합니다.
예 5
C:\PS>connect-wsman server02 set-item wsman:\server02\service\auth\credSSP -value $true 설명 ----------- 이 명령을 사용하면 컴퓨터가 다른 컴퓨터의 대리자 역할을 할 수 있습니다. 앞의 예에 표시된 Enable-WSManCredSSP 명령은 클라이언트 컴퓨터에서만 CredSSP 인증을 사용하도록 설정하며 클라이언트 컴퓨터를 대신할 수 있는 원격 컴퓨터를 지정합니다. 원격 컴퓨터가 클라이언트 컴퓨터의 대리자 역할을 하려면 WSMan 공급자의 Service 디렉터리에서 CredSSP 항목을 true로 설정해야 합니다. 이 예에서 첫 번째 명령은 원격 컴퓨터 server02에 대한 연결을 만듭니다. 두 번째 명령은 원격 컴퓨터 server02에 credSSP 값을 설정하여 원격 컴퓨터가 대리자 역할을 할 수 있도록 합니다.
참고 항목