Compartir a través de

Enable-WSManCredSSP

Módulo:
Microsoft.WSMan.Management Module

Habilita la autenticación del proveedor de soporte técnico de seguridad de credenciales (CredSSP) en un equipo.

Sintaxis

All 

Enable-WSManCredSSP
    [-Role] <String>
    [[-DelegateComputer] <String[]>]
    [-Force]
    [<CommonParameters>]

Description

El cmdlet Enable-WSManCredSSP habilita la autenticación CredSSP en un cliente o en un equipo servidor. Cuando se usa la autenticación CredSSP, las credenciales de usuario se pasan a un equipo remoto para autenticarse. Este tipo de autenticación está diseñado para comandos que crean una sesión remota desde otra sesión remota. Por ejemplo, si desea ejecutar un trabajo en segundo plano en un equipo remoto, use este tipo de autenticación.

puede habilitar CredSSP en un de cliente de o en un servidor . Para habilitar CredSSP en un cliente, especifique Client en el parámetro Role de . Los clientes delegan credenciales explícitas en un servidor cuando se logra la autenticación del servidor. Para habilitar CredSSP en un servidor, especifique Server en el parámetro Role. Un servidor actúa como delegado para los clientes. Para obtener más información, consulte rol en la sección Parámetros.

Precaución

La autenticación credSSP delega las credenciales de usuario del equipo local a un equipo remoto. Esta práctica aumenta el riesgo de seguridad de la operación remota. Si el equipo remoto está en peligro, cuando se le pasan las credenciales, las credenciales se pueden usar para controlar la sesión de red.

Ejemplos

Ejemplo 1: Delegar credenciales de cliente

En este ejemplo se permiten delegar las credenciales de cliente en un equipo mediante el nombre de dominio completo.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Ejemplo 2: Delegar credenciales de cliente en todos los equipos de un dominio

En este ejemplo se permiten delegar las credenciales de cliente en todos los equipos del dominio fabrikam.com. El comodín asterisco (*) especifica todos los equipos.

Nota:

El uso de caracteres comodín con el parámetro delegateComputer puede habilitar CredSSP en más equipos de los necesarios.

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

Ejemplo 3: Delegación de credenciales de cliente en varios equipos

En este ejemplo se permiten delegar las credenciales de cliente en varios equipos.

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : https://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

La variable $servers contiene una lista de nombres de servidor. usa el parámetro Role de para especificar el rol de cliente de . El DelegateComputer obtiene los nombres de equipo de la variable $servers.

Ejemplo 4: Permitir que un equipo actúe como delegado

En este ejemplo se permite que un equipo actúe como delegado para otro. El cmdlet Enable-WSManCredSSP, que se muestra en los ejemplos anteriores, solo habilita la autenticación CredSSP en el cliente y especifica los equipos remotos que pueden actuar en su nombre. Para que el equipo remoto actúe como delegado para el cliente, el elemento CredSSP del Service nodo de WSMan debe establecerse en true. En este ejemplo se establece el elemento CredSSP en el nodo de Service de WSMan en true.

Enable-WSManCredSSP -Role "Server"

Ejemplo 5: Permitir que un equipo actúe como delegado mediante Set-Item

En este ejemplo se permite que un equipo actúe como delegado para otro equipo. Los comandos Enable-WSManCredSSP, que se muestran en los ejemplos anteriores, habilitan la autenticación CredSSP solo en el equipo cliente y especifican los equipos remotos que pueden actuar en nombre del equipo cliente. Para que el equipo remoto actúe como delegado para el equipo cliente, el elemento CredSSP del directorio de servicio del proveedor WSMan debe establecerse en true.

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan crea una conexión al equipo remoto, server02. usa el parámetro path de para especificar la ubicación del proveedor WSMan. El parámetro Value establece el valor de Service en true.

Parámetros

-DelegateComputer

Especifica los servidores a los que se deleguen las credenciales de cliente. El procedimiento recomendado es usar nombres de dominio completos.

Se aceptan caracteres comodín, pero pueden habilitar CredSSP en más equipos de los necesarios.

Si el parámetro Role de es Client, debe especificar este parámetro. Si rol es Server, no especifique este parámetro.

Propiedades de parámetro

Tipo:

String[]

Valor predeterminado:None
Admite caracteres comodín:True
DontShow:False

Conjuntos de parámetros

(All)
Posición:1
Obligatorio:False
Valor de la canalización:False
Valor de la canalización por nombre de propiedad:False
Valor de los argumentos restantes:False

-Force

Obliga a que el comando se ejecute sin pedir confirmación del usuario.

Propiedades de parámetro

Tipo:SwitchParameter
Valor predeterminado:False
Admite caracteres comodín:False
DontShow:False

Conjuntos de parámetros

(All)
Posición:Named
Obligatorio:False
Valor de la canalización:False
Valor de la canalización por nombre de propiedad:False
Valor de los argumentos restantes:False

-Role

Especifica si se debe habilitar CredSSP como cliente o como servidor. Los valores aceptables para este parámetro son: Client y Server.

Si especifica cliente, se realizan las siguientes acciones. Esta configuración permite al cliente delegar credenciales explícitas en un servidor cuando se logra la autenticación del servidor.

  • Habilita CredSSP en el cliente.
  • Establece la configuración de WS-Management \<localhost|computername\>\Client\Auth\CredSSP en true.
  • Establece la directiva de Windows CredSSP AllowFreshCredentials en WSMan/Delegate en el cliente.

Si especifica Server, se realizan las siguientes acciones. Esta configuración de directiva permite que el servidor actúe como delegado para los clientes.

  • Habilita CredSSP en el servidor.
  • Establece la configuración de WS-Management \<localhost|computername\>\Service\Auth\CredSSP en true.

Propiedades de parámetro

Tipo:String
Valor predeterminado:None
Valores aceptados:Client, Server
Admite caracteres comodín:False
DontShow:False

Conjuntos de parámetros

(All)
Posición:0
Obligatorio:True
Valor de la canalización:False
Valor de la canalización por nombre de propiedad:False
Valor de los argumentos restantes:False

CommonParameters

Este cmdlet admite los parámetros comunes: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction y -WarningVariable. Para obtener más información, vea about_CommonParameters.

Entradas

None

Este cmdlet no acepta ninguna entrada.

Salidas

XmlElement

Si la autenticación CredSSP está habilitada correctamente, este cmdlet genera un objeto XMLElement.

Notas

Para deshabilitar la autenticación CredSSP, use el cmdlet Disable-WSManCredSSP.