27

我是 powershell 新手,我在使用凭据委派时遇到了麻烦。我有以下脚本:

$session = New-PSSession myserver -Authentication CredSSP -Credential DOMAIN\Administrator
Invoke-Command -Session $session -ScriptBlock { <Some PowerShell Command> }

在运行它之前,我做了以下事情:

  1. 在我的服务器上运行Enable-PSRemoting
  2. 在我的服务器上运行Enable-WSManCredSSP Server
  3. 在我的服务器上运行Restart-Service WinRM
  4. 在客户端上运行Enable-WSManCredSSP Client –DelegateComputer myserver
  5. 重新启动服务器和客户端。

但是一旦我运行脚本,我会收到以下错误消息:

[myserver] Connecting to remote server failed with the following error message : The WinRM client cannot process the request. A computer policy does not allow the delegation of
 the user credentials to the target computer. Use gpedit.msc and look at the following policy: Computer Configuration -> Administrative Templates -> System -> Credentials Delega
tion -> Allow Delegating Fresh Credentials.  Verify that it is enabled and configured with an SPN appropriate for the target computer. For example, for a target computer name "m
yserver.domain.com", the SPN can be one of the following: WSMAN/myserver.domain.com or WSMAN/*.domain.com. For more information, see the about_Remote_Troubleshooting Help topic.
    + CategoryInfo          : OpenError: (System.Manageme....RemoteRunspace:RemoteRunspace) [], PSRemotingTransportException
    + FullyQualifiedErrorId : PSSessionOpenFailed

我检查了错误消息中提到的政策,但一切似乎都很好。还有什么能阻止我?

4

4 回答 4

29

在服务器上执行以下操作:

Enable-WSManCredSSP -Role Server

在客户端执行以下操作:

set-item wsman:localhost\client\trustedhosts -value *

Enable-WSManCredSSP -Role Client –DelegateComputer *

在客户端上使用gpedit.msc以启用将新鲜凭证委托给 WSMAN/*:

  1. 展开Local Computer Policy、展开Computer Configuration、展开 Administrative Templates、展开System,然后单击Credential Delegation
  2. Settings窗格中,双击Allow Delegating Fresh Credentials with NTLM-only Server Authentication
  3. Allow Delegating Fresh Credentials with NTLM-only Server Authentication对话框中,执行以下操作:
  4. 单击Enabled
  5. 在该Options区域中,单击Show
  6. 在值中,键入WSMAN/*,然后单击OK。确保 Concatenate OS defaults with input above已选中,然后单击OK

以下命令现在可以工作(在密码提示之后):

Invoke-Command { dir \\fileserver\devtools } -computer appserver01 -authentication credssp -credential domain\user

请参阅MSDN 论坛

技术网

于 2013-12-05T21:51:34.093 回答
15

多亏了这个页面,我终于让它工作了。它提供了一个脚本,通过直接设置适当的注册表项来设置所需的凭据委派策略。一旦我以管理员权限运行该脚本,我就能够成功地建立到 myserver 的 CredSSP 连接:

Enable-WSManCredSSP -Role client -DelegateComputer *.mydomain.com

$allowed = @('WSMAN/*.mydomain.com')

$key = 'hklm:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation'
if (!(Test-Path $key)) {
    md $key
}
New-ItemProperty -Path $key -Name AllowFreshCredentials -Value 1 -PropertyType Dword -Force            

$key = Join-Path $key 'AllowFreshCredentials'
if (!(Test-Path $key)) {
    md $key
}
$i = 1
$allowed |% {
    # Script does not take into account existing entries in this key
    New-ItemProperty -Path $key -Name $i -Value $_ -PropertyType String -Force
    $i++
}
于 2013-08-13T18:17:20.900 回答
6

我不得不完全自动化我的解决方案,特别是解决方案中让您进入 GPO 编辑器的部分部分。

1) 启用远程 PS

Enable-PSRemoting -force

2) 启用 CredSSP

Enable-WSManCredSSP -Role Server -Force
Enable-WSManCredSSP -Role Client -DelegateComputer locahost -Force
Enable-WSManCredSSP -Role Client -DelegateComputer $env:COMPUTERNAME -Force
Enable-WSManCredSSP -Role Client -DelegateComputer $domain -Force
Enable-WSManCredSSP -Role Client -DelegateComputer "*.$domain" -Force
Set-Item -Path "wsman:\localhost\service\auth\credSSP" -Value $True -Force

3) 通过注册表启用 NTLM 新鲜凭证:

New-Item -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation -Name AllowFreshCredentialsWhenNTLMOnly -Force
New-ItemProperty -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentialsWhenNTLMOnly -Name 1 -Value * -PropertyType String

只有在此之后,我才能以能够在 PSSession 中运行并执行 AD 操作的本地管理员身份启动 powershell 脚本。

$secpasswd = ConvertTo-SecureString $adPassword -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential ("$domain\Admin", $secpasswd)
$adminSession = New-PSSession -Credential $credential -Authentication Credssp;

$sb = {
  param($p1, $p2)

  whoami

  New-ADUser ....
}

Invoke-Command -Session $adminSession -Script $sb -ArgumentList $domain,$userPassword
于 2018-02-01T21:25:57.273 回答
5

扩展上面 Akira 的回答,在 gpedit.msc 中,我必须设置“允许使用仅 NTLM 的服务器身份验证委派新凭据”而不是“允许委派新凭据”。

于 2016-01-04T22:45:39.750 回答