Enable-WSManCredSSP
Active l’authentification credSSP (Credential Security Support Provider) sur un ordinateur.
Syntaxe
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>] Description
L’applet Enable-WSManCredSSP de commande active l’authentification CredSSP sur un client ou sur un ordinateur serveur.
Lorsque l’authentification CredSSP est utilisée, les informations d’identification de l’utilisateur sont transmises à un ordinateur distant à authentifier. Ce type d’authentification est conçu pour les commandes qui créent une session distante à partir d’une autre session distante. Par exemple, si vous souhaitez exécuter un travail en arrière-plan sur un ordinateur distant, utilisez ce type d’authentification.
Enable-WSManCredSSP peut activer CredSSP sur un client ou un serveur. Pour activer CredSSP sur un client, spécifiez Client dans le paramètre Role. Les clients délèguent des informations d’identification explicites à un serveur lorsque l’authentification du serveur est obtenue. Pour activer CredSSP sur un serveur, spécifiez le serveur dans le paramètre Role . Un serveur agit en tant que délégué pour les clients. Pour plus d’informations, consultez Rôle dans la section Paramètres.
Attention
L’authentification CredSSP délègue les informations d’identification de l’utilisateur de l’ordinateur local à un ordinateur distant. Cette pratique augmente le risque de sécurité lié à l'opération distante. Si l'ordinateur distant n'est pas fiable, les informations d'identification qui lui sont passées peuvent être utilisées pour contrôler la session réseau.
Exemples
Exemple 1 : Déléguer les informations d’identification du client
Cet exemple permet aux informations d’identification du client d’être déléguées à un ordinateur à l’aide du nom de domaine complet.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemple 2 : Déléguer les informations d’identification du client à tous les ordinateurs d’un domaine
Cet exemple permet au client d’être délégué à tous les ordinateurs du domaine fabrikam.com . Le caractère générique astérisque (*) spécifie tous les ordinateurs.
Remarque
L’utilisation de caractères génériques avec le paramètre DelegateComputer peut activer CredSSP sur plus d’ordinateurs que nécessaire.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueExemple 3 : Déléguer les informations d’identification du client à plusieurs ordinateurs
Cet exemple permet au client d’être délégué à plusieurs ordinateurs.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : trueLa $servers variable contient une liste de noms de serveurs. Enable-WSManCredSSP utilise le paramètre Rôle pour spécifier le rôle client . DelegateComputer obtient les noms d’ordinateurs de la $servers variable.
Exemple 4 : Autoriser un ordinateur à agir en tant que délégué
Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre. L’applet Enable-WSManCredSSP de commande, illustrée dans les exemples précédents, active uniquement l’authentification CredSSP sur le client et spécifie les ordinateurs distants qui peuvent agir en son nom. Pour que l’ordinateur distant agisse en tant que délégué pour le client, l’élément CredSSP dans le nœud service de WSMan doit être défini sur true. Cet exemple montre comment définir la valeur true de l’élément CredSSP dans le nœud service de WSMan.
Enable-WSManCredSSP -Role "Server"Exemple 5 : Autoriser un ordinateur à agir en tant que délégué à l’aide de Set-Item
Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre ordinateur. Les Enable-WSManCredSSP commandes, présentées dans les exemples précédents, activent l’authentification CredSSP uniquement sur l’ordinateur client et spécifient les ordinateurs distants qui peuvent agir pour le compte de l’ordinateur client. Pour que l'ordinateur distant agisse en tant que délégué pour l'ordinateur client, l'élément CredSSP dans le répertoire Service du fournisseur WSMan doit avoir la valeur true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $TrueConnect-WSMan crée une connexion à l’ordinateur distant, server02. Set-Item utilise le paramètre Path pour spécifier l’emplacement du fournisseur WSMan . Le paramètre Valeur définit le paramètre Service sur true.
Paramètres
-DelegateComputer
Spécifie les serveurs auxquels les informations d’identification du client sont déléguées. La meilleure pratique consiste à utiliser des noms de domaine complets.
Les caractères génériques sont acceptés, mais peuvent activer CredSSP sur plus d’ordinateurs que nécessaire.
Si le paramètre Rôle est Client, vous devez spécifier ce paramètre. Si le rôle est serveur, ne spécifiez pas ce paramètre.
| Type: | String[] |
| Position: | 1 |
| Valeur par défaut: | None |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | True |
-Force
Force l’exécution de la commande sans demander la confirmation de l’utilisateur.
| Type: | SwitchParameter |
| Position: | Named |
| Valeur par défaut: | False |
| Obligatoire: | False |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
-Role
Spécifie s’il faut activer CredSSP en tant que client ou en tant que serveur. Les valeurs acceptables pour ce paramètre sont : client et serveur.
Si vous spécifiez Client, les actions suivantes sont effectuées. Ces paramètres permettent au client de déléguer les informations d'identification explicites à un serveur quand l'authentification du serveur est effectuée.
- Active CredSSP sur le client.
- Définit le paramètre
\<localhost|computername\>\Client\Auth\CredSSPWS-Management sur true. - Définit la stratégie Windows CredSSP AllowFreshCredentials sur WSMan/Delegate sur le client.
Si vous spécifiez Le serveur, les actions suivantes sont effectuées. Ce paramètre de stratégie permet au serveur d'agir en tant que délégué pour les clients.
- Active CredSSP sur le serveur.
- Définit le paramètre
\<localhost|computername\>\Service\Auth\CredSSPWS-Management sur true.
| Type: | String |
| Valeurs acceptées: | Client, Server |
| Position: | 0 |
| Valeur par défaut: | None |
| Obligatoire: | True |
| Accepter l'entrée de pipeline: | False |
| Accepter les caractères génériques: | False |
Entrées
None
Vous ne pouvez pas diriger les objets vers cette applet de commande.
Sorties
Si l’authentification CredSSP est correctement activée, cette applet de commande retourne un objet XMLElement .
Notes
Pour désactiver l’authentification CredSSP, utilisez l’applet de Disable-WSManCredSSP commande.
