Enable-WSManCredSSP
Habilita a autenticação do Provedor de Suporte à Segurança de Credenciais (CredSSP) em um computador.
Sintaxe
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Force]
[-Role] <String>
[<CommonParameters>]
Description
O Enable-WSManCredSSP
cmdlet habilita a autenticação CredSSP em um computador cliente ou servidor.
Quando a autenticação CredSSP é usada, as credenciais do usuário são passadas para um computador remoto para serem autenticadas. Esse tipo de autenticação foi projetado para comandos que criam uma sessão remota a partir de outra sessão remota. Por exemplo, se você quiser executar um trabalho em segundo plano em um computador remoto, use esse tipo de autenticação.
Enable-WSManCredSSP
pode habilitar o CredSSP em um cliente ou servidor. Para habilitar o CredSSP em um cliente, especifique Client no parâmetro Role . Os clientes delegam credenciais explícitas a um servidor quando a autenticação do servidor é obtida. Para habilitar o CredSSP em um servidor, especifique Server no parâmetro Role . Um servidor atua como um delegado para clientes. Para obter mais detalhes, consulte Função na seção Parâmetros.
Cuidado
A autenticação CredSSP delega as credenciais do usuário do computador local para um computador remoto. Essa prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, no momento em que as credenciais forem passadas a ele essas credenciais poderão ser usadas para controlar a sessão de rede.
Exemplos
Exemplo 1: Delegar credenciais de cliente
Este exemplo permite que as credenciais do cliente sejam delegadas a um computador usando o nome de domínio totalmente qualificado.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Exemplo 2: Delegar credenciais de cliente a todos os computadores em um domínio
Este exemplo permite que as credenciais do cliente sejam delegadas a todos os computadores no domínio fabrikam.com . O curinga asterisco (*
) especifica todos os computadores.
Observação
O uso de curingas com o parâmetro DelegateComputer pode habilitar o CredSSP em mais computadores do que o necessário.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Exemplo 3: Delegar credenciais de cliente a vários computadores
Este exemplo permite que as credenciais do cliente sejam delegadas a vários computadores.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
A $servers
variável contém uma lista de nomes de servidor. Enable-WSManCredSSP
usa o parâmetro Role para especificar a função Client . O DelegateComputer obtém os nomes de computador da $servers
variável.
Exemplo 4: Permitir que um computador atue como um delegado
Este exemplo permite que um computador atue como um delegado para outro. O Enable-WSManCredSSP
cmdlet, mostrado nos exemplos anteriores, habilita apenas a autenticação CredSSP no cliente e especifica os computadores remotos que podem agir em seu nome. Para que o computador remoto atue como um representante para o cliente, o item CredSSP no nó Serviço do WSMan deve ser definido como true. Este exemplo define o item CredSSP no nó Serviço do WSMan como true.
Enable-WSManCredSSP -Role "Server"
Exemplo 5: Permitir que um computador atue como um representante usando Set-Item
Este exemplo permite que um computador atue como um representante para outro computador. Os Enable-WSManCredSSP
comandos, mostrados nos exemplos anteriores, habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem agir em nome do computador cliente. Para que o computador remoto atue como um delegado do cliente remoto, o item CredSSP do diretório de Serviço do provedor WSMan deve ser definido como true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True
Connect-WSMan
Cria uma conexão com o computador remoto, Server02. Set-Item
usa o parâmetro Path para especificar o local do provedor WSMan . O parâmetro Value define a configuração Service como true.
Parâmetros
-DelegateComputer
Especifica os servidores aos quais as credenciais do cliente são delegadas. A prática recomendada é usar nomes de domínio totalmente qualificados.
Os curingas são aceitos, mas podem habilitar o CredSSP em mais computadores do que o necessário.
Se o parâmetro Role for Client, você deverá especificar esse parâmetro. Se Role for Server, não especifique esse parâmetro.
Tipo: | String[] |
Cargo: | 1 |
Valor padrão: | None |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | True |
-Force
Força o comando a ser executado sem solicitar a confirmação do usuário.
Tipo: | SwitchParameter |
Cargo: | Named |
Valor padrão: | False |
Obrigatório: | False |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
-Role
Especifica se o CredSSP deve ser habilitado como cliente ou servidor. Os valores aceitáveis para esse parâmetro são: Cliente e Servidor.
Se você especificar Cliente, as ações a seguir serão executadas. Essas configurações permitem que o cliente delegue credenciais explícitas a um servidor quando a autenticação do servidor é obtida.
- Habilita o CredSSP no cliente.
- Define a configuração
\<localhost|computername\>\Client\Auth\CredSSP
WS-Management como true. - Define a política CredSSP do Windows AllowFreshCredentials como WSMan/Delegate no cliente.
Se você especificar Servidor, as ações a seguir serão executadas. Essa configuração de política permite que o servidor aja como um delegado para clientes.
- Habilita o CredSSP no servidor.
- Define a configuração
\<localhost|computername\>\Service\Auth\CredSSP
WS-Management como true.
Tipo: | String |
Valores aceitos: | Client, Server |
Cargo: | 0 |
Valor padrão: | None |
Obrigatório: | True |
Aceitar a entrada de pipeline: | False |
Aceitar caracteres curinga: | False |
Entradas
None
Você não pode canalizar objetos para esse cmdlet.
Saídas
Se a autenticação CredSSP for habilitada com êxito, esse cmdlet retornará um objeto XMLElement .
Observações
Para desabilitar a autenticação CredSSP, use o Disable-WSManCredSSP
cmdlet.