啟用用戶端電腦上的認證安全性服務提供者 (CredSSP) 驗證。

語法

Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]

描述

Enable-WSManCredSPP Cmdlet 會啟用用戶端或伺服器電腦的 CredSSP 驗證。使用 CredSSP 驗證時,使用者的認證會傳送到遠端電腦進行驗證。這類驗證是專為從某個遠端工作階段建立另一遠端工作階段的命令而設計。例如,如果您要在遠端電腦執行背景工作,請使用這類驗證。

這個 Cmdlet 是用來在 Role 參數中指定 Client,藉以啟用用戶端的 CredSSP。接著,這個 Cmdlet 會執行下列作業:

- 啟用用戶端的 CredSSP。將 WS-Management 設定 <localhost|電腦名稱>\Client\Auth\CredSSP 設為 true。

- 在用戶端將 Windows CredSSP 原則 AllowFreshCredentials 設為 WSMan/Delegate。

- 注意:在完成伺服器認證時,這些設定可讓用戶端將明確的認證委派至伺服器。

這個 Cmdlet 是用來在 Role 參數中指定 Server,藉以啟用伺服器的 CredSSP。接著,這個 Cmdlet 會執行下列作業:

- 啟用伺服器的 CredSSP。將 WS-Management 設定 <localhost|電腦名稱>\Service\Auth\CredSSP 設為 true。

- 注意:此原則設定可以讓伺服器做為用戶端的委派使用。

警告:CredSSP 驗證會從本機電腦將使用者的認證委派給遠端電腦。此做法會提高遠端操作的安全性風險。如果遠端電腦已經遭受危害,當認證傳送到遠端電腦時,便可能遭到利用來控制網路工作階段。

若要停用 CredSSP 驗證,請使用 Disable-WSManCredSSP Cmdlet。

參數

-DelegateComputer <string>

允許將用戶端認證委派至此參數所指定的伺服器。此參數的值必須是完整網域名稱。

如果 Role 參數指定 Client,DelegateComputer 參數便為必要項。

如果 Role 參數指定 Server,則不允許使用 DelegateComputer 參數。

必要?

false

位置?

2

預設值

接受管線輸入?

false

接受萬用字元?

false

-Role <string>

接受其中一個可能的值:Client 或 Server。這些值指出要以用戶端或伺服器身分來啟用 CredSSP。

如果 Role 參數指定 Client,這個 Cmdlet 會執行下列作業:

- 啟用用戶端的 CredSSP。將 WS-Management 設定 <localhost|電腦名稱>\Client\Auth\CredSSP 設為 true。

- 在用戶端將 Windows CredSSP 原則 AllowFreshCredentials 設為 WSMan/Delegate。

- 注意:在完成伺服器認證時,這些設定可讓用戶端將明確的認證委派至伺服器。

如果 Role 參數指定 Server,這個 Cmdlet 會執行下列作業:

- 啟用伺服器的 CredSSP。將 WS-Management 設定 <localhost|電腦名稱>\Service\Auth\CredSSP 設為 true。

- 注意:此原則設定可以讓伺服器做為用戶端的委派使用。

必要?

true

位置?

1

預設值

接受管線輸入?

false

接受萬用字元?

false

<CommonParameters>

這個 Cmdlet 支援一般參數:-Verbose、-Debug、-ErrorAction、-ErrorVariable、-OutBuffer 和 -OutVariable。如需詳細資訊,請參閱 about_Commonparameters.

輸入和輸出

輸入型別是可經由管道輸出至 Cmdlet 的物件型別。傳回型別則是 Cmdlet 所傳回的物件型別。

輸入

這個 Cmdlet 不接受任何輸入。

輸出

System.Xml.XmlElement

如果已成功啟用 CredSSP 驗證,這個 Cmdlet 會產生 XMLElement 物件。

範例 1

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Description
-----------
這個命令允許將用戶端認證委派至 server02 電腦。






範例 2

C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Description
-----------
這個命令允許將用戶端認證委派至所有在 accounting.fabrikam.com 網域中的電腦。






範例 3

C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Description
-----------
這個命令允許將用戶端認證委派至多台電腦。






範例 4

C:\PS>enable-wsmancredssp -role server

Description
-----------
此命令可以讓電腦做為另一台電腦的委派使用。Enable-WSManCredSSP Cmdlet (如先前的範例所示) 只會啟用用戶端的 CredSSP 驗證,並指定可代表該用戶端的遠端電腦。在 WSMan 的 Service 節點中,CredSSP 項目必須設定為 true,遠端電腦才能當做用戶端的委派。






範例 5

C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true

Description
-----------
此命令可以讓電腦做為另一台電腦的委派使用。先前範例中顯示的 Enable-WSManCredSSP 命令只會啟用用戶端電腦的 CredSSP 驗證,並指定可代表該用戶端電腦的遠端電腦。在 WSMan 提供者的 Service 目錄中,CredSSP 項目必須設定為 true,遠端電腦才能當做用戶端的委派。

在這個範例中,第一個命令會建立與遠端 server02 電腦的連線。

第二個命令會在遠端 server02 電腦上設定 credSSP 值,讓遠端電腦能夠當做委派使用。






請參閱




目錄