在客户端计算机上启用凭据安全服务提供程序 (CredSSP) 身份验证。
语法
Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]
说明
Enable-WSManCredSPP cmdlet 用于启用客户端或服务器计算机上的 CredSSP 身份验证。使用 CredSSP 身份验证时,用户凭据将传递给要进行身份验证的远程计算机。这种身份验证用于从一个远程会话中创建另一个远程会话的命令。例如,如果要在远程计算机上运行后台作业,可以使用这种身份验证。
此 cmdlet 通过在 Role 参数中指定 Client 来启用客户端上的 CredSSP。然后,该 cmdlet 将执行以下操作:
- 启用客户端上的 CredSSP。WS-Management 设置 <localhost|computername>\Client\Auth\CredSSP 将设置为 true。
- 将客户端上的 Windows CredSSP 策略 AllowFreshCredentials 设置为 WSMan/Delegate。
- 注意:这些设置允许客户端在实现服务器身份验证时将显式凭据委派给服务器。
此 cmdlet 通过在 Role 参数中指定 Server 来启用服务器上的 CredSSP。然后,该 cmdlet 将执行以下操作:
- 启用服务器上的 CredSSP。WS-Management 设置 <localhost|computername>\Service\Auth\CredSSP 将设置为 true。
- 注意:此策略设置允许服务器充当客户端的代理。
注意:CredSSP 身份验证将本地计算机中的用户凭据委派给远程计算机。此操作增加了远程操作的安全风险。如果远程计算机的安全受到威胁,则在向该计算机传递凭据时,可使用这些凭据来控制网络会话。
若要禁用 CredSSP 身份验证,请使用 Disable-WSManCredSSP cmdlet。
参数
-DelegateComputer <string>
允许将客户端凭据委派给此参数指定的一台或多台服务器。此参数的值应为完全限定的域名。
如果 Role 参数指定 Client,则必须使用 DelegateComputer 参数。
如果 Role 参数指定 Server,则不允许使用 DelegateComputer 参数。
|
是否为必需? |
false |
|
位置? |
2 |
|
默认值 |
|
|
是否接受管道输入? |
false |
|
是否接受通配符? |
false |
-Role <string>
接受以下两个可能值之一:Client 或 Server。这两个值指定是启用以客户端身份还是以服务器身份出现的 CredSSP。
如果 Role 参数指定 Client,则该 cmdlet 将执行以下操作:
- 启用客户端上的 CredSSP。WS-Management 设置 <localhost|computername>\Client\Auth\CredSSP 将设置为 true。
- 将客户端上的 Windows CredSSP 策略 AllowFreshCredentials 设置为 WSMan/Delegate。
- 注意:这些设置允许客户端在实现服务器身份验证时将显式凭据委派给服务器。
如果 Role 参数指定 Server,则该 cmdlet 将执行以下操作:
- 启用服务器上的 CredSSP。WS-Management 设置 <localhost|computername>\Service\Auth\CredSSP 将设置为 true。
- 注意:此策略设置允许服务器充当客户端的代理。
|
是否为必需? |
true |
|
位置? |
1 |
|
默认值 |
|
|
是否接受管道输入? |
false |
|
是否接受通配符? |
false |
<CommonParameters>
此 cmdlet 支持通用参数:-Verbose、-Debug、-ErrorAction、-ErrorVariable、-OutBuffer 和 -OutVariable。有关详细信息,请参阅 about_Commonparameters.
输入和输出
输入类型是指可通过管道传递给 cmdlet 的对象的类型。返回类型是指 Cmdlet 所返回对象的类型。
|
输入 |
None 此 cmdlet 不接受任何输入。 |
|
输出 |
System.Xml.XmlElement 如果成功启用 CredSSP 身份验证,此 cmdlet 会生成一个 XMLElement 对象。 |
示例 1
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true 说明 ----------- 此命令允许将客户端凭据委派给计算机 server02。
示例 2
C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true 说明 ----------- 此命令允许将客户端凭据委派给 accounting.fabrikam.com 域中的所有计算机。
示例 3
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth lang : en-US Basic : true Digest : true Kerberos : true Negotiate : true Certificate : true CredSSP : true 说明 ----------- 此命令允许将客户端凭据委派给多台计算机。
示例 4
C:\PS>enable-wsmancredssp -role server 说明 ----------- 此命令允许一台计算机充当另一台计算机的代理。Enable-WSManCredSSP cmdlet(如上述示例所示)只启用相应客户端上的 CredSSP 身份验证,并指定可代理该客户端的远程计算机。若要使远程计算机充当客户端的代理,必须将 WSMan 的服务节点中的 CredSSP 项设置为 true。
示例 5
C:\PS>connect-wsman server02 set-item wsman:\server02\service\auth\credSSP -value $true 说明 ----------- 此命令允许一台计算机充当另一台计算机的代理。Enable-WSManCredSSP 命令(如上述示例所示)只启用相应客户端计算机上的 CredSSP 身份验证,并指定可代理该客户端计算机的远程计算机。若要使远程计算机充当客户端计算机的代理,必须将 WSMan 提供程序的服务目录中的 CredSSP 项设置为 true。 在本例中,第一条命令创建一个与远程计算机 server02 的连接。 第二条命令在远程计算机 server02 上设置允许该远程计算机充当代理的 credSSP 值。
另请参阅