Enable-WSManCredSSP
Habilita a autenticação credSSP (Provedor de Suporte à Segurança de Credencial) em um computador.
Sintaxe
All
Enable-WSManCredSSP
[[-DelegateComputer] <String[]>]
[-Role] <String>
[-Force]
[<CommonParameters>]
Description
O cmdlet Enable-WSManCredSSP habilita a autenticação CredSSP em um cliente ou em um computador servidor.
Quando a autenticação credSSP é usada, as credenciais do usuário são passadas para um computador remoto a ser autenticado. Esse tipo de autenticação foi projetado para comandos que criam uma sessão remota de outra sessão remota. Por exemplo, se você quiser executar um trabalho em segundo plano em um computador remoto, use esse tipo de autenticação.
Enable-WSManCredSSP pode habilitar o CredSSP em um cliente ou em um servidor . Para habilitar o CredSSP em um cliente, especifique Cliente no parâmetro Função. Os clientes delegam credenciais explícitas a um servidor quando a autenticação do servidor é obtida. Para habilitar o CredSSP em um servidor, especifique o Servidor no parâmetro de Função. Um servidor atua como um delegado para clientes. Para obter mais detalhes, consulte a Função na seção Parâmetros.
Cuidado
A autenticação credSSP delega as credenciais do usuário do computador local para um computador remoto. Essa prática aumenta o risco de segurança da operação remota. Se o computador remoto estiver comprometido, quando as credenciais forem passadas para ele, as credenciais poderão ser usadas para controlar a sessão de rede.
Exemplos
Exemplo 1: Delegar credenciais do cliente
Este exemplo permite que as credenciais do cliente sejam delegadas a um computador usando o nome de domínio totalmente qualificado.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Exemplo 2: Delegar credenciais de cliente a todos os computadores em um domínio
Este exemplo permite que as credenciais do cliente sejam delegadas a todos os computadores no domínio fabrikam.com. O curinga asterisco (*) especifica todos os computadores.
Observação
Usar curingas com o parâmetro DelegateComputer pode habilitar o CredSSP em mais computadores do que o necessário.
Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
Exemplo 3: Delegar credenciais de cliente a vários computadores
Este exemplo permite que as credenciais do cliente sejam delegadas a vários computadores.
$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers
cfg : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang : en-US
Basic : true
Digest : true
Kerberos : true
Negotiate : true
Certificate : true
CredSSP : true
A variável $servers contém uma lista de nomes de servidor.
Enable-WSManCredSSP usa o parâmetro de Função para especificar a função Cliente. O DelegateComputer obtém os nomes de computador da variável $servers.
Exemplo 4: Permitir que um computador atue como delegado
Este exemplo permite que um computador atue como um delegado para outro. O cmdlet Enable-WSManCredSSP, mostrado nos exemplos anteriores, habilita apenas a autenticação CredSSP no cliente e especifica os computadores remotos que podem atuar em seu nome. Para que o computador remoto atue como um delegado para o cliente, o item CredSSP no nó do serviço do WSMan deve ser definido como verdadeiro. Este exemplo define o item CredSSP no nó de Serviço do WSMan como true.
Enable-WSManCredSSP -Role "Server"
Exemplo 5: permitir que um computador atue como delegado usando Set-Item
Este exemplo permite que um computador atue como delegado para outro computador. Os comandos Enable-WSManCredSSP, mostrados nos exemplos anteriores, habilitam a autenticação CredSSP somente no computador cliente e especificam os computadores remotos que podem atuar em nome do computador cliente. Para que o computador remoto atue como um delegado para o computador cliente, o item CredSSP no diretório de serviço do provedor WSMan deve ser definido como true.
Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $true
Connect-WSMan cria uma conexão com o computador remoto, server02.
Set-Item usa o parâmetro Path para especificar a localização do provedor de WSMan. O parâmetro Value define a configuração de Serviço como true.
Parâmetros
-DelegateComputer
Especifica servidores aos quais as credenciais do cliente são delegadas. A melhor prática é usar nomes de domínio totalmente qualificados.
Curingas são aceitos, mas podem habilitar o CredSSP em um número maior de computadores do que o necessário.
Se o parâmetro Função for Cliente, você deverá especificar esse parâmetro. Se a Função for de Servidor, não especifique esse parâmetro.
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | True |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | 1 |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Force
Força o comando a ser executado sem solicitar a confirmação do usuário.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | False |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Role
Especifica se o CredSSP deve ser habilitado como um cliente ou como um servidor. Os valores aceitáveis para esse parâmetro são: Cliente e Servidor.
Se você especificar Cliente, as ações a seguir serão executadas. Essas configurações permitem que o cliente delegar credenciais explícitas a um servidor quando a autenticação do servidor for obtida.
- Habilita o CredSSP no cliente.
- Define a configuração WS-Management
\<localhost|computername\>\Client\Auth\CredSSPcomo true. - Configura a política CredSSP do Windows AllowFreshCredentials para WSMan/Delegate no cliente.
Se você especificar Server, as ações a seguir serão executadas. Essa configuração de política permite que o servidor atue como um delegado para clientes.
- Habilita o CredSSP no servidor.
- Define a configuração WS-Management
\<localhost|computername\>\Service\Auth\CredSSPcomo true.
Propriedades do parâmetro
| Tipo: | String |
| Valor padrão: | None |
| Valores aceitos: | Client, Server |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | 0 |
| Obrigatório: | True |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
CommonParameters
Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, consulte about_CommonParameters.
Entradas
None
Não é possível transferir objetos para esse cmdlet.
Saídas
XmlElement
Se a autenticação CredSSP estiver habilitada com êxito, esse cmdlet retornará um objeto XMLElement.
Observações
Para desabilitar a autenticação credSSP, use o cmdlet Disable-WSManCredSSP.
