Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Windows Remoteverwaltung behält die Sicherheit für die Kommunikation zwischen Computern bei, indem mehrere Standardmethoden der Authentifizierung und Nachrichtenverschlüsselung unterstützt werden.
Standardgruppenzugriff
Während des Setups erstellt WinRM die lokale Gruppe WinRMRemoteWMIUsers__. WinRM schränkt dann den Remotezugriff auf jeden Benutzer ein, der kein Mitglied der lokalen Verwaltungsgruppe oder der WinRMRemoteWMIUsers__-Gruppe ist. Sie können WinRMRemoteWMIUsers__ einen lokalen Benutzer, Domänenbenutzer oder eine Domänengruppe hinzufügen, indem Sie net localgroup WinRMRemoteWMIUsers__ /add <Domäne>\<Benutzernamen> an der Eingabeaufforderung eingeben. Optional können Sie die Gruppenrichtlinie verwenden, um der Gruppe einen Benutzer hinzuzufügen.
Standardauthentifizierungseinstellungen
Die Standardanmeldeinformationen, Der Benutzername und das Kennwort sind die Anmeldeinformationen für das angemeldete Benutzerkonto, das das Skript ausführt.
So wechseln Sie zu einem anderen Konto auf einem Remotecomputer
- Geben Sie die Anmeldeinformationen in einem ConnectionOptions- oder IWSManConnectionOptions-objekt an, und geben Sie diese an den CreateSession Aufruf an.
- Legen Sie WSManFlagCredUserNamePassword im flags Parameter im CreateSession Aufruf fest.
Die folgende Liste enthält eine Liste der Aktionen, die auftreten, wenn ein Skript oder eine Anwendung unter den Standardanmeldeinformationen ausgeführt wird:
- Kerberos- ist die Standardauthentifizierungsmethode, wenn sich der Client in einer Domäne befindet und die Remotezielzeichenfolge keine der folgenden Ist: localhost, 127.0.0.1 oder [::1].
- Negotiate ist die Standardmethode, wenn sich der Client nicht in einer Domäne befindet, aber die Remotezielzeichenfolge ist eine der folgenden: localhost, 127.0.0.1 oder [::1].
Wenn Sie explizite Anmeldeinformationen mit einem ConnectionOptions--Objekt angeben, ist Negotiate die Standardmethode. Die Verhandlung der Authentifizierung bestimmt, ob die aktuelle Authentifizierungsmethode Kerberos oder NTLM ist, abhängig davon, ob sich die Computer in einer Domäne oder Arbeitsgruppe befinden. Wenn Sie über ein lokales Konto eine Verbindung zu einem entfernten Zielcomputer herstellen, sollte dem Konto der Computername vorangestellt werden. Beispiel: myComputer\myUsername.
Wenn Sie "Negotiate", "Digest" oder "Standardauthentifizierung" angeben und ein ConnectionOptions- -Objekt nicht angeben, wird eine Fehlermeldung angezeigt, die angibt, dass explizite Anmeldeinformationen erforderlich sind. Wenn HTTPS nicht der Transport ist, muss der Ziel-Remotecomputer in der Liste der vertrauenswürdigen Hostcomputer konfiguriert werden.
Weitere Informationen zu den Authentifizierungstypen, die in den Standardkonfigurationseinstellungen aktiviert sind, finden Sie unter Installation and Configuration for Windows Remote Management.
Standardauthentifizierung
Wenn Sie Basic--Authentifizierung explizit im Aufruf von WSMan.CreateSessioneinrichten möchten, legen Sie die WSManFlagUseBasic und WSManFlagCredUserNamePassword Flags im Flags Parameter fest. Die Standardauthentifizierung ist in den Standardkonfigurationseinstellungen sowohl für den WinRM-Client als auch für den WinRM-Server deaktiviert.
Digestauthentifizierung
Wenn Sie Digest--Authentifizierung explizit im Aufruf von WSMan.CreateSessioneinrichten möchten, legen Sie das WSManFlagUseDigest Flag im Flags Parameter fest. Digest wird nicht unterstützt. Sie kann nicht für die WinRM-Serverkomponente konfiguriert werden.
Aushandeln der Authentifizierung
So richten Sie die Negotiate-Authentifizierung explizit ein, auch als Windows integrierte Authentifizierung bezeichnet, indem Sie beim Aufruf von WSMan.CreateSession das WSManFlagUseNegotiate-Flag im Parameter flags festlegen.
Benutzerkontensteuerung (User Account Control, UAC) wirkt sich auf den Zugriff auf den WinRM-Dienst aus. Wenn die Aushandlungsauthentifizierung in einer Arbeitsgruppe verwendet wird, kann nur das integrierte Administratorkonto auf den Dienst zugreifen. Um allen Konten in der Gruppe "Administratoren" den Zugriff auf den Dienst zu ermöglichen, legen Sie den folgenden Registrierungswert fest:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy = 1
Kerberos-Authentifizierung
Wenn Sie Kerberos--Authentifizierung explizit im Aufruf von WSMan.CreateSession-einrichten möchten, legen Sie die WSManFlagUseKerberos Flag im Flags Parameter fest. Sowohl der Client als auch der Servercomputer müssen einer Domäne beigetreten sein. Wenn Sie Kerberos als Authentifizierungsmethode verwenden, können Sie im Aufruf von WSMan.CreateSession oder IWSMan::CreateSessionkeine IP-Adresse verwenden.
Clientzertifikatbasierte Authentifizierung
Wenn Sie die clientzertifikatbasierte Authentifizierung im Aufruf von WSMan.CreateSessioneinrichten möchten, legen Sie das WSManFlagUseClientCertificate Flag im Flags Parameter fest.
Sie müssen zuerst die Zertifikatauthentifizierung sowohl auf dem Client als auch im Dienst mithilfe des Befehlszeilentools Winrm aktivieren. Weitere Informationen finden Sie unter Aktivieren von Authentifizierungsoptionen. Sie müssen auch einen Eintrag in der CertMapping-Tabelle auf dem WinRM-Servercomputer erstellen. Dadurch wird eine Zuordnung zwischen einem oder mehreren Zertifikaten und einem lokalen Konto eingerichtet. Nachdem das Zertifikat für die Authentifizierung und Autorisierung verwendet wurde, wird das entsprechende lokale Konto für Vorgänge verwendet, die vom WinRM-Dienst ausgeführt werden.
Die Zuordnung kann für eine bestimmte Ressourcen-URI erstellt werden. Um mehr zu erfahren, einschließlich der Erstellung eines CertMapping-Tabelleneintrags, geben Sie winrm help certmapping an der Eingabeaufforderung ein.
Anmerkung
Das von WinRM in diesem Kontext verwendbare Zertifikat der maximalen Größe beträgt 16 KB.
Aktivieren oder Deaktivieren von Authentifizierungsoptionen
Die Standardauthentifizierungsoption bei der Systeminstallation ist Kerberos. Weitere Informationen finden Sie unter Installation und Konfiguration für Windows Remoteverwaltung.
Wenn Für Ihr Skript oder Ihre Anwendung eine bestimmte Authentifizierungsmethode erforderlich ist, die nicht aktiviert ist, müssen Sie die Konfiguration ändern, um diesen Authentifizierungstyp zu aktivieren. Diese Änderung kann mithilfe des Befehlszeilentools Winrm oder über die Gruppenrichtlinie für das Windows Remoteverwaltungsgruppenrichtlinienobjekt vorgenommen werden. Sie können auch bestimmte Authentifizierungsmethoden deaktivieren.
So aktivieren oder deaktivieren Sie die Authentifizierung mit dem Winrm-Tool
Um die Konfiguration für den WinRM-Client festzulegen, verwenden Sie den Befehl Winrm Set und geben Sie den Client an. Mit dem folgenden Befehl wird beispielsweise die Digestauthentifizierung für den Client deaktiviert.
winrm set winrm/config/client/auth @{Digest="false"}
Verwenden Sie zum Festlegen der Konfiguration für den WinRM-Server den Befehl Winrm Set, und geben Sie den Dienst an. Mit dem folgenden Befehl wird beispielsweise die Kerberos-Authentifizierung für den Dienst aktiviert.
winrm set winrm/config/service/auth @{Kerberos="true"}
Verwandte Themen