Partager via

Enable-WSManCredSSP

Module:
Microsoft.WSMan.Management Module

Active l’authentification credSSP (Credential Security Support Provider) sur un ordinateur.

Syntaxe

All 

Enable-WSManCredSSP
    [[-DelegateComputer] <String[]>]
    [-Role] <String>
    [-Force]
    [<CommonParameters>]

Description

L’applet de commande Enable-WSManCredSSP active l’authentification CredSSP sur un client ou sur un ordinateur serveur. Lorsque l’authentification CredSSP est utilisée, les informations d’identification de l’utilisateur sont transmises à un ordinateur distant à authentifier. Ce type d’authentification est conçu pour les commandes qui créent une session distante à partir d’une autre session distante. Par exemple, si vous souhaitez exécuter un travail en arrière-plan sur un ordinateur distant, utilisez ce type d’authentification.

pouvez activer CredSSP sur un client ou un Server. Pour activer CredSSP sur un client, spécifiez client dans le paramètre Role. Les clients délèguent des informations d’identification explicites à un serveur lorsque l’authentification du serveur est obtenue. Pour activer CredSSP sur un serveur, spécifiez serveur dans le paramètre Role. Un serveur agit en tant que délégué pour les clients. Pour plus d’informations, consultez de rôle dans la section Paramètres.

Avertissement

L’authentification CredSSP délègue les informations d’identification de l’utilisateur de l’ordinateur local à un ordinateur distant. Cette pratique augmente le risque de sécurité de l’opération à distance. Si l’ordinateur distant est compromis, lorsque les informations d’identification sont transmises, les informations d’identification peuvent être utilisées pour contrôler la session réseau.

Exemples

Exemple 1 : Déléguer les informations d’identification du client

Cet exemple permet aux informations d’identification du client d’être déléguées à un ordinateur à l’aide du nom de domaine complet.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Exemple 2 : Déléguer les informations d’identification du client à tous les ordinateurs d’un domaine

Cet exemple permet de déléguer les informations d’identification du client à tous les ordinateurs du domaine fabrikam.com. Le caractère générique astérisque (*) spécifie tous les ordinateurs.

Remarque

L’utilisation de caractères génériques avec le paramètre DelegateComputer peut activer CredSSP sur plus d’ordinateurs que nécessaire.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Exemple 3 : Déléguer les informations d’identification du client à plusieurs ordinateurs

Cet exemple permet au client d’être délégué à plusieurs ordinateurs.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

La variable $servers contient une liste de noms de serveurs. utilise le paramètre de rôle pour spécifier le rôle client . Le DelegateComputer obtient les noms d’ordinateurs de la variable $servers.

Exemple 4 : Autoriser un ordinateur à agir en tant que délégué

Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre. L’applet de commande Enable-WSManCredSSP, illustrée dans les exemples précédents, active uniquement l’authentification CredSSP sur le client et spécifie les ordinateurs distants qui peuvent agir en son nom. Pour que l’ordinateur distant agisse en tant que délégué pour le client, l’élément CredSSP dans le nœud Service de WSMan doit être défini sur true. Cet exemple montre comment définir l’élément CredSSP dans le nœud service de WSMan sur true.

Enable-WSManCredSSP -Role "Server"

Exemple 5 : Autoriser un ordinateur à agir en tant que délégué à l’aide de Set-Item

Cet exemple permet à un ordinateur d’agir en tant que délégué pour un autre ordinateur. Les commandes Enable-WSManCredSSP, présentées dans les exemples précédents, activent l’authentification CredSSP uniquement sur l’ordinateur client et spécifient les ordinateurs distants qui peuvent agir pour le compte de l’ordinateur client. Pour que l’ordinateur distant agisse en tant que délégué pour l’ordinateur client, l’élément CredSSP dans le répertoire de service du fournisseur WSMan doit avoir la valeur true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $true

Connect-WSMan crée une connexion à l’ordinateur distant, server02. utilise le paramètre Path pour spécifier l’emplacement du fournisseur WSMan . Le paramètre Valeur définit le paramètre Service sur true.

Paramètres

-DelegateComputer

Spécifie les serveurs auxquels les informations d’identification du client sont déléguées. La meilleure pratique consiste à utiliser des noms de domaine complets.

Les caractères génériques sont acceptés, mais peuvent activer CredSSP sur plus d’ordinateurs que nécessaire.

Si le paramètre rôle est client, vous devez spécifier ce paramètre. Si rôle est serveur, ne spécifiez pas ce paramètre.

Propriétés du paramètre

Type:

String[]

Valeur par défaut:None
Prend en charge les caractères génériques:True
DontShow:False

Jeux de paramètres

(All)
Position:1
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Force

Force l’exécution de la commande sans demander la confirmation de l’utilisateur.

Propriétés du paramètre

Type:SwitchParameter
Valeur par défaut:False
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:Named
Obligatoire:False
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

-Role

Spécifie s’il faut activer CredSSP en tant que client ou en tant que serveur. Les valeurs acceptables pour ce paramètre sont les suivantes : client et Server.

Si vous spécifiez client, les actions suivantes sont effectuées. Ces paramètres permettent au client de déléguer des informations d’identification explicites à un serveur lorsque l’authentification du serveur est obtenue.

  • Active CredSSP sur le client.
  • Définit le paramètre WS-Management \<localhost|computername\>\Client\Auth\CredSSP sur true.
  • Définit la stratégie Windows CredSSP AllowFreshCredentials sur WSMan/Delegate sur le client.

Si vous spécifiez serveur, les actions suivantes sont effectuées. Ce paramètre de stratégie permet au serveur d’agir en tant que délégué pour les clients.

  • Active CredSSP sur le serveur.
  • Définit le paramètre WS-Management \<localhost|computername\>\Service\Auth\CredSSP sur true.

Propriétés du paramètre

Type:String
Valeur par défaut:None
Valeurs acceptées:Client, Server
Prend en charge les caractères génériques:False
DontShow:False

Jeux de paramètres

(All)
Position:0
Obligatoire:True
Valeur du pipeline:False
Valeur du pipeline par nom de propriété:False
Valeur des arguments restants:False

CommonParameters

Cette applet de commande prend en charge les paramètres courants : -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction et -WarningVariable. Pour plus d’informations, consultez about_CommonParameters.

Entrées

None

Vous ne pouvez pas diriger les objets vers cette applet de commande.

Sorties

XmlElement

Si l’authentification CredSSP est correctement activée, cette applet de commande retourne un objet XMLElement.

Notes

Pour désactiver l’authentification CredSSP, utilisez l’applet de commande Disable-WSManCredSSP.