5

いくつかのマシンでリモート管理をセットアップしようとしています。自分のコンピューターからリモート マシンでコマンドを正常に実行できますが、他のユーザーに実行させたくありません。

リモート コンピューターで信頼できるホストを設定しようとしましたが、サービスを再起動しましたが、何もしていないようです。

たとえば、リモート マシンでは次のようになります。

 winrm set winrm/config/client '@{TrustedHosts="someIncorrectName"}'

次に、winrm サービスを再起動します。

ラップトップからリモート コマンドを実行できるのはなぜですか? コマンドの実行を妨げるべきではありませんか?

次の方法でコマンドを実行しています。

Invoke-Command -cn remoteMachine -Credential $cred -scriptblock {get-process}

get-credential domain/username を使用して $cred が生成された場所。

TrustedHosts についていくつか読んだことがありますが、それが何をするかについて矛盾した報告をしているようです。一部の人々は、信頼されたホスト リストにリストされていないコンピューターでコマンドが実行されるのを防いでいると言っているようです。そのマシンでコマンドを実行できるコンピューターのリストだと言う人もいます。

MSDN は次のように述べています。「信頼されているリモート コンピューターのリストを指定します。」これは、2 番目のオプション (マシン上でコマンドを実行できるコンピューターのリスト) であることを暗示しているようです。

私は何を間違っていますか?

ありがとう

4

1 に答える 1

6

TrustedHostsは、あなたが思っていることをしません。Unix .rhostsとは異なり、この設定はPowerShellクライアント用であり、リモートサーバーエンドポイント用ではありません。これが、次の場所にある理由です。

WSMan:\localhost\Client

リスナーに関連する場合は、Serviceノードの下にあります。

他の回答が触れているように、これは通常、非ドメイン環境または混合環境で使用され、クライアントが信頼できないリモートマシンにNTLMチャレンジレスポンスまたは基本認証の試行を送信するのを防ぎます。なんで?リモートの不正なサーバーがこの情報をキャプチャし、それを使用してネットワークを危険にさらす可能性があるためです。混合環境にいる場合、利用可能な唯一の保護はSSLであり、多くの場合、これもドライブAllowUnencrypted = $falseClientノードで無効にすることを選択できます。WSMAN

では、着信接続をどのように制限しますか?WSMAN:\localhost\Serviceこれで接続が確立され、リモートサーバー上のノードの下を調べ始めたはずです。これを行うと、次のように表示されます。

   WSManConfig: Microsoft.WSMan.Management\WSMan::localhost\Service

Type            Name                           SourceOfValue   Value                                                                       
----            ----                           -------------   -----                                                                       
System.String   RootSDDL                                       ...    
System.String   MaxConcurrentOperations                        4294967295                                                                  
System.String   MaxConcurrentOperationsPerUser                 1500                                                                        
System.String   EnumerationTimeoutms                           240000                                                                      
System.String   MaxConnections                                 300                                                                         
System.String   MaxPacketRetrievalTimeSeconds                  120                                                                         
System.String   AllowUnencrypted                               false                                                                       
Container       Auth                                                                                                                       
Container       DefaultPorts                                                                                                               
System.String   IPv4Filter                                     *                                                                           
System.String   IPv6Filter                                     *                                                                           
System.String   EnableCompatibilityHttpList...                 false                                                                       
System.String   EnableCompatibilityHttpsLis...                 false                                                                       
System.String   CertificateThumbprint                                                                                                      
System.String   AllowRemoteAccess                              true

このリストを見下ろすIPv4Filterと、やのような適切な名前のプロパティがいくつか表示されますIPv6Filter。これらが何をするかを推測します;-)

于 2012-08-24T21:11:45.797 に答える