Aktiviert die CredSSP (Credential Security Service Provider)-Authentifizierung auf einem Clientcomputer. (Enable-WSManCredSSP)
NAME
Enable-WSManCredSSP
# ÜBERSICHT
Aktiviert die CredSSP (Credential Security Service Provider)-Authentifizierung auf einem Clientcomputer.
# SYNTAX
Enable-WSManCredSSP [-Role] <string> [[-DelegateComputer] <string>] [<CommonParameters>]
# BESCHREIBUNG
Das Cmdlet "Enable-WSManCredSPP" aktiviert die CredSSP-Authentifizierung auf einem Client oder einem Servercomputer. Bei Verwendung der CredSSP-Authentifizierung werden die Anmeldeinformationen des Benutzers zur Authentifizierung an einen Remotecomputer übergeben. Dieser Authentifizierungstyp ist für Befehle vorgesehen, mit denen eine Remotesitzung innerhalb einer anderen Remotesitzung erstellt wird. Diesen Typ von Authentifizierung verwenden Sie beispielsweise, wenn Sie auf einem Remotecomputer einen Hintergrundauftrag ausführen möchten.
Mit diesem Cmdlet wird CredSSP auf dem Client aktiviert, indem im Role-Parameter "Client" angegeben wird. Das Cmdlet führt dann Folgendes aus:
- Aktiviert CredSSP auf dem Client. Die WS-Verwaltungseinstellung "<localhost|Computername>\Client\Auth\CredSSP" wird auf "True" festgelegt.
- Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf dem Client auf "WSMan/Delegate" fest.
- Hinweis: Diese Einstellungen ermöglichen es dem Client, explizite Anmeldeinformationen an einen Server zu delegieren, wenn die Serverauthentifizierung erfolgreich war.
Mit diesem Cmdlet wird CredSSP auf dem Server aktiviert, indem im Role-Parameter "Server" angegeben wird. Das Cmdlet führt dann Folgendes aus:
- Aktiviert CredSSP auf dem Server. Die WS-Verwaltungseinstellung "<localhost|Computername>\Service\Auth\CredSSP" wird auf "True" festgelegt.
- Hinweis: Mit dieser Richtlinieneinstellung kann der Server als Delegat für Clients verwendet werden.
Vorsicht: Mit der CredSSP-Authentifizierung werden die Anmeldeinformationen des Benutzers vom lokalen Computer an einen Remotecomputer delegiert. Dieses Verfahren erhöht das Sicherheitsrisiko des Remotevorgangs. Wenn die Sicherheit des Remotecomputers beim Übergeben von Anmeldeinformationen an diesen gefährdet ist, können die Anmeldeinformationen zum Steuern der Netzwerksitzung verwendet werden.
Um die CredSSP-Authentifizierung zu deaktivieren, verwenden Sie das Cmdlet "Disable-WSManCredSSP".
# PARAMETER
-DelegateComputer <string>
Ermöglicht das Delegieren der Clientanmeldeinformationen an die von diesem Parameter angegebenen Server. Als Wert dieses Parameters muss ein vollqualifizierter Domänenname verwendet werden.
Wenn im Role-Parameter "Client" angegeben wurde, ist der DelegateComputer-Parameter erforderlich.
Wenn im Role-Parameter "Server" angegeben wurde, ist der DelegateComputer-Parameter nicht zulässig.
Erforderlich? false
Position? 2
Standardwert
Pipelineeingaben akzeptieren?false
Platzhalterzeichen akzeptieren?false
-Role <string>
Akzeptiert einen von zwei möglichen Werten: "Client" oder "Server". Diese Werte geben an, ob CredSSP als Client oder als Server aktiviert werden soll.
Wenn im Role-Parameter "Client" angegeben ist, führt das Cmdlet Folgendes aus:
- Aktiviert CredSSP auf dem Client. Die WS-Verwaltungseinstellung "<localhost|Computername>\Client\Auth\CredSSP" wird auf "True" festgelegt.
- Legt die Windows CredSSP-Richtlinie AllowFreshCredentials auf dem Client auf "WSMan/Delegate" fest.
- Hinweis: Diese Einstellungen ermöglichen es dem Client, explizite Anmeldeinformationen an einen Server zu delegieren, wenn die Serverauthentifizierung erfolgreich war.
Wenn im Role-Parameter "Server" angegeben ist, führt das Cmdlet Folgendes aus:
- Aktiviert CredSSP auf dem Server. Die WS-Verwaltungseinstellung "<localhost|Computername>\Service\Auth\CredSSP" wird auf "True" festgelegt.
- Hinweis: Mit dieser Richtlinieneinstellung kann der Server als Delegat für Clients verwendet werden.
Erforderlich? true
Position? 1
Standardwert
Pipelineeingaben akzeptieren?false
Platzhalterzeichen akzeptieren?false
<CommonParameters>
Dieses Cmdlet unterstützt folgende allgemeine Parameter: "Verbose", "Debug",
"ErrorAction", "ErrorVariable", "WarningAction", "WarningVariable",
"OutBuffer" und "OutVariable". Weitere Informationen
erhalten Sie mit dem Befehl "get-help about_commonparameters".
# EINGABEN
Keiner
Dieses Cmdlet akzeptiert keine Eingabe.
# AUSGABEN
System.Xml.XmlElement
Wenn die CredSSP-Authentifizierung erfolgreich aktiviert wurde, generiert dieses Cmdlet ein XMLElement-Objekt.
# HINWEISE
# BEISPIEL 1
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Beschreibung
-----------
Mit diesem Befehl können die Clientanmeldeinformationen an den Computer "server02" delegiert werden.
# BEISPIEL 2
C:\PS>enable-wsmancredssp -role client -delegatecomputer *.accounting.fabrikam.com
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Beschreibung
-----------
Mit diesem Befehl können die Clientanmeldeinformationen an alle Computer in der Domäne "accounting.fabrikam.com" delegiert werden.
# BEISPIEL 3
C:\PS>enable-wsmancredssp -role client -delegatecomputer server02.accounting.fabrikam.com, server03.accounting.fabrikam.com, server04.accounting.fabrikam.com
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Beschreibung
-----------
Mit diesem Befehl können die Clientanmeldeinformationen an mehrere Computer delegiert werden.
# BEISPIEL 4
C:\PS>enable-wsmancredssp -role server
Beschreibung
-----------
Mit diesem Befehl kann ein Computer als Delegat für einen anderen verwendet werden. Das Cmdlet "Enable-WSManCredSSP" (in den obigen Beispielen gezeigt) aktiviert die CredSSP-Authentifizierung nur auf dem Client und gibt die Remotecomputer an, die an dessen Stelle verwendet werden können. Wenn der Remotecomputer als Delegat für den Client verwendet werden soll, muss das CredSSP-Element im Service-Knoten von WSMan auf "True" festgelegt werden.
# BEISPIEL 5
C:\PS>connect-wsman server02
set-item wsman:\server02\service\auth\credSSP -value $true
Beschreibung
-----------
Mit diesem Befehl kann ein Computer als Delegat für einen anderen Computer verwendet werden. Die in den früheren Beispielen gezeigten Enable-WSManCredSSP-Befehle aktivieren die CredSSP-Authentifizierung nur auf dem Clientcomputer und geben die Remotecomputer an, die anstelle des Clientcomputers verwendet werden können. Wenn der Remotecomputer als Delegat für den Clientcomputer verwendet werden soll, muss das CredSSP-Element im Verzeichnis "Service" des WSMan-Anbieters auf "True" festgelegt werden.
In diesem Beispiel wird mit dem ersten Befehl eine Verbindung mit dem Remotecomputer "server02" hergestellt.
Mit dem zweiten Befehl wird der CredSSP-Wert auf den Remotecomputer "server02" festgelegt, wodurch der Remotecomputer als Delegat verwendet werden kann.
VERWANDTE LINKS
Online version: http://go.microsoft.com/fwlink/?LinkId=141442 (möglicherweise auf Englisch)
Connect-WSMan
Disable-WSManCredSSP
Disconnect-WSMan
Get-WSManCredSSP
Get-WSManInstance
Invoke-WSManAction
New-WSManInstance
New-WSManSessionOption
Remove-WSManInstance
Set-WSManInstance
Set-WSManQuickConfig
Test-WSMan
C:\Windows>powershell get-help Get-WSManCredSSP -full
ColorConsole [Version 1.7.1000] PowerShell 2.0-Export
Microsoft Windows [Version 6.1.7600]
Copyright (c) 2014 Microsoft Corporation.
