Enable-WSManCredSSP

  • リファレンス
モジュール:
Microsoft.WSMan.Management

コンピューターで資格情報セキュリティ サポート プロバイダー (CredSSP) 認証を有効にします。

構文

Enable-WSManCredSSP
      [[-DelegateComputer] <String[]>]
      [-Force]
      [-Role] <String>
      [<CommonParameters>]

説明

Enable-WSManCredSSP コマンドレットは、クライアントまたはサーバー コンピューターで CredSSP 認証を有効にします。 CredSSP 認証を使用すると、認証されるリモート コンピューターにユーザー資格情報が渡されます。 この種類の認証は、別のリモート セッションからリモート セッションを作成するコマンド用に設計されています。 たとえば、リモート コンピューターでバックグラウンド ジョブを実行する場合は、この種の認証を使用します。

Enable-WSManCredSSP では、 Client または Server で CredSSP を有効にすることができます。 クライアントで CredSSP を有効にするには、Role パラメーターに Client を指定します。 クライアントは、サーバー認証が実現されたときに、明示的な資格情報をサーバーに委任します。 サーバーで CredSSP を有効にするには、Role パラメーターに Server を指定します。 サーバーは、クライアントのデリゲートとして機能します。 詳細については、「パラメーター」セクションの「 Role 」を参照してください。

注意事項

CredSSP 認証は、ローカル コンピューターからリモート コンピューターにユーザー資格情報を委任します。 そのため、リモート操作のセキュリティ リスクが高まります。 リモート コンピューターのセキュリティが低下している場合は、そのリモート コンピューターに渡された資格情報を使用してネットワーク セッションが制御される場合があります。

例 1: クライアント資格情報を委任する

この例では、完全修飾ドメイン名を使用して、クライアント資格情報をコンピューターに委任できます。

Enable-WSManCredSSP -Role "Client" -DelegateComputer "Server02.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

例 2: ドメイン内のすべてのコンピューターにクライアント資格情報を委任する

この例では、 fabrikam.com ドメイン内のすべてのコンピューターにクライアント資格情報を委任できます。 アスタリスク (*) ワイルドカードは、すべてのコンピューターを指定します。

Note

DelegateComputer パラメーターでワイルドカードを使用すると、必要以上に多くのコンピューターで CredSSP を有効にすることができます。

Enable-WSManCredSSP -Role "Client" -DelegateComputer "*.fabrikam.com"

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

例 3: クライアント資格情報を複数のコンピューターに委任する

この例では、クライアント資格情報を複数のコンピューターに委任できます。

$servers = "server02.fabrikam.com", "server03.fabrikam.com", "server04.fabrikam.com"
Enable-WSManCredSSP -Role "Client" -DelegateComputer $servers

cfg         : http://schemas.microsoft.com/wbem/wsman/1/config/client/auth
lang        : en-US
Basic       : true
Digest      : true
Kerberos    : true
Negotiate   : true
Certificate : true
CredSSP     : true

$servers変数には、サーバー名の一覧が含まれています。 Enable-WSManCredSSP では、 Role パラメーターを使用して、 Client ロールを指定します。 DelegateComputer$servers変数からコンピューター名を取得します。

例 4: コンピューターが代理人として機能することを許可する

この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例に示した Enable-WSManCredSSP コマンドレットは、クライアントで CredSSP 認証のみを有効にし、その代わりに動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアントのデリゲートとして機能するためには、WSMan の Service ノードの CredSSP 項目を true に設定する必要があります。 次の使用例は、WSMan の Service ノードの CredSSP 項目を true に設定します。

Enable-WSManCredSSP -Role "Server"

例 5: Set-Item を使用してコンピューターがデリゲートとして機能することを許可する

この例では、コンピューターが別のコンピューターの代理人として機能することを許可します。 前の例に示した Enable-WSManCredSSP コマンドは、クライアント コンピューターでのみ CredSSP 認証を有効にし、クライアント コンピューターに代わって動作できるリモート コンピューターを指定します。 リモート コンピューターがクライアント コンピューターの代理として動作するためには、WSMan プロバイダーの Service ディレクトリの CredSSP 項目を true に設定する必要があります。

Connect-WSMan -ComputerName "server02"
Set-Item -Path "WSMan:\server02\service\auth\credSSP" -Value $True

Connect-WSMan は、リモート コンピューター server02 への接続を作成します。 Set-Item では、 Path パラメーターを使用して、 WSMan プロバイダーの場所を指定します。 Value パラメーターは、Service 設定を true に設定します。

パラメーター

-DelegateComputer

クライアント資格情報を委任するサーバーを指定します。 ベスト プラクティスは、完全修飾ドメイン名を使用する方法です。

ワイルドカードは受け入れられますが、必要以上に多くのコンピューターで CredSSP を有効にすることができます。

Role パラメーターが Client の場合は、このパラメーターを指定する必要があります。 RoleServer の場合は、このパラメーターを指定しないでください。

型:String[]
配置:1
規定値:None
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:True

-Force

ユーザーに確認せずに、直ちにコマンドを実行します。

型:SwitchParameter
配置:Named
規定値:False
必須:False
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

-Role

CredSSP をクライアントとして有効にするか、サーバーとして有効にするかを指定します。 このパラメーターに使用できる値は、 Client および Server です。

Client を指定すると、次のアクションが実行されます。 これらの設定では、サーバー認証が実行されるときに、クライアントがサーバーに明示的な資格情報を委任することが許可されます。

  • クライアントで CredSSP を有効にします。
  • WS-Management 設定の \<localhost|computername\>\Client\Auth\CredSSP を true に設定します。
  • Windows CredSSP ポリシー AllowFreshCredentials をクライアントの WSMan/Delegate に設定します。

Serverを指定すると、次のアクションが実行されます。 このポリシー設定では、サーバーがクライアントの代理として動作することが許可されます。

  • サーバーで CredSSP を有効にします。
  • WS-Management 設定の \<localhost|computername\>\Service\Auth\CredSSP を true に設定します。
型:String
指定可能な値:Client, Server
配置:0
規定値:None
必須:True
パイプライン入力を受け取る:False
ワイルドカード文字を受け取る:False

入力

None

このコマンドレットにオブジェクトをパイプすることはできません。

出力

XmlElement

CredSSP 認証が正常に有効になっている場合、このコマンドレットは XMLElement オブジェクトを返します。

メモ

CredSSP 認証を無効にするには、 Disable-WSManCredSSP コマンドレットを使用します。