Enable-WSManCredSSP
Abilita l'autenticazione CredSSP (Credential Security Service Provider) in un computer client.
Sintassi
Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]
Descrizione
Il cmdlet Enable-WSManCredSPP consente di abilitare l'autenticazione CredSSP in un client o in un computer server. Quando viene utilizzata l'autenticazione CredSSP, le credenziali dell'utente vengono passate a un computer remoto per l'autenticazione. Questo tipo di autenticazione è progettato per i comandi che creano una sessione remota dall'interno di un'altra sessione remota. Viene ad esempio utilizzato se si desidera eseguire un processo in background in un computer remoto.
Questo cmdlet viene utilizzato per abilitare CredSSP nel client specificando come valore Client nel parametro Role, quindi effettua le azioni seguenti:
- Abilita CredSSP nel client. L'impostazione di WS-Management <localhost|nomecomputer>\Client\Auth\CredSSP è impostata su true.
- Imposta il criterio AllowFreshCredentials di Windows CredSSP su WSMan/Delegate nel client.
Nota: queste impostazioni consentono al client di delegare le credenziali esplicite a un server quando viene realizzata l'autenticazione server.
Questo cmdlet viene utilizzato per abilitare CredSSP nel server specificando come valore Server nel parametro Role, quindi effettua le azioni seguenti:
- Abilita CredSSP nel server. L'impostazione di WS-Management <localhost|nomecomputer>\Service\Auth\CredSSP è impostata su true.
Nota: tramite questa impostazione dei criteri è possibile utilizzare il server come delegato dei client.
Attenzione: l'autenticazione CredSSP delega le credenziali dell'utente dal computer locale a un computer remoto. Questa procedura aumenta il rischio per la sicurezza dell'operazione remota. Se il computer remoto è compromesso, quando le credenziali vengono passate a tale computer è possibile utilizzarle per controllare la sessione di rete.
Per disattivare l'autenticazione CredSSP, utilizzare il cmdlet Disable-WSManCredSSP.
Parametri
-DelegateComputer <string>
Consente di delegare le credenziali del client al server o ai server specificati dal parametro. Il valore di questo parametro deve essere un nome di dominio completo.
Se il valore specificato nel parametro Role è Client, il parametro DelegateComputer è obbligatorio.
Se il valore specificato nel parametro Role è Server, il parametro DelegateComputer non è consentito.
Obbligatorio? |
false |
Posizione? |
2 |
Valore predefinito |
|
Accettare input da pipeline? |
false |
Accettare caratteri jolly? |
false |
-Role <string>
Accetta uno dei due valori possibili: Client o Server. Questi valori specificano se CredSSP deve essere abilitato come client o come server.
Se il valore specificato nel parametro Role è Client, il cmdlet effettua le azioni seguenti:
- Abilita CredSSP nel client. L'impostazione di WS-Management <localhost|nomecomputer>\Client\Auth\CredSSP è impostata su true.
- Imposta il criterio AllowFreshCredentials di Windows CredSSP su WSMan/Delegate nel client.
Nota: queste impostazioni consentono al client di delegare le credenziali esplicite a un server quando viene realizzata l'autenticazione server.
Se il valore specificato nel parametro Role è Server, il cmdlet effettua le azioni seguenti:
- Abilita CredSSP nel server. L'impostazione di WS-Management <localhost|nomecomputer>\Service\Auth\CredSSP è impostata su true.
Nota: tramite questa impostazione dei criteri è possibile utilizzare il server come delegato dei client.
Obbligatorio? |
true |
Posizione? |
1 |
Valore predefinito |
|
Accettare input da pipeline? |
false |
Accettare caratteri jolly? |
false |
<CommonParameters>
Questo cmdlet supporta i parametri comuni -Verbose, -Debug, -ErrorAction, -ErrorVariable, -OutBuffer e -OutVariable. Per ulteriori informazioni, vedere about_Commonparameters.
Input e output
Il tipo di input è il tipo degli oggetti che è possibile reindirizzare al cmdlet. Il tipo restituito è il tipo degli oggetti restituiti dal cmdlet.
Input |
Nessuno Questo cmdlet non accetta alcun input. |
Output |
System.Xml.XmlElement Se l'autenticazione CredSSP è stata abilitata, questo cmdlet genera un oggetto XMLElement. |
Esempio 1
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Descrizione
-----------
Questo comando consente di delegare le credenziali del client al computer server02.
Esempio 2
C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Descrizione
-----------
Questo comando consente di delegare le credenziali dal client a tutti i computer nel dominio accounting.fabrikam.com.
Esempio 3
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com
cfg : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Descrizione
-----------
Questo comando consente di delegare le credenziali del client a più computer.
Esempio 4
C:\PS>enable-wsmancredssp -role server
Descrizione
-----------
Questo comando consente di utilizzare un computer come delegato di un altro. Il cmdlet Enable-WSManCredSSP degli esempi precedenti abilita solo l'autenticazione CredSSP nel client e specifica i computer remoti che possono essere utilizzati per suo conto. Affinché il computer remoto venga utilizzato come delegato del client, è necessario che l'elemento CredSSP nel nodo Service di WS-Management sia impostato su true.
Esempio 5
C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true
Descrizione
-----------
Questo comando consente di utilizzare un computer come delegato di un altro computer. I comandi Enable-WSManCredSSP degli esempi precedenti abilitano l'autenticazione CredSSP solo nel computer client e specificano i computer remoti che possono essere utilizzati per suo conto. Affinché il computer remoto venga utilizzato come delegato del computer client, è necessario che l'elemento CredSSP nella directory Service del provider di WS-Management sia impostato su true.
In questo esempio, il primo comando crea una connessione al computer remoto server02.
Il secondo comando imposta il valore credSSP nel computer remoto server02 in modo che tale computer possa essere utilizzato come delegato.
Vedere anche
Concetti
Connect-WSMan
Disable-WSManCredSSP
Disconnect-WSMan
Get-WSManCredSSP
Get-WSManInstance
Invoke-WSManAction
New-WSManInstance
New-WSManSessionOption
Remove-WSManInstance
Set-WSManInstance
Set-WSManQuickConfig
Test-WSMan