禁用 WinRM 身份验证方法会产生什么影响？

Question 1

在 AD 域中，Kerberos 将被默认选中。但如果出现任何问题，客户端将无法恢复到任何其他身份验证机制。例如，如果服务的 SPN 未注册，则无法使用 Kerberos，并且 WinRM 连接将失败。在无法使用 Kerberos 的其他情况下，您也无法使用 WinRM，例如连接到工作组计算机或不受信任域中的计算机。

编辑：

当客户端位于域中且远程目标字符串不是以下之一时，Kerberos 是默认的身份验证方法：localhost、127.0.0.1 或 [::1]。

当客户端在域中但远程目标字符串是以下之一时，协商是默认方法：localhost、127.0.0.1 或 [::1]。

从这里：http://msdn.microsoft.com/en-us/library/windows/desktop/aa384295%28v=vs.85%29.aspx

Answer

在 AD 域中，Kerberos 将被默认选中。但如果出现任何问题，客户端将无法恢复到任何其他身份验证机制。例如，如果服务的 SPN 未注册，则无法使用 Kerberos，并且 WinRM 连接将失败。在无法使用 Kerberos 的其他情况下，您也无法使用 WinRM，例如连接到工作组计算机或不受信任域中的计算机。

编辑：

当客户端位于域中且远程目标字符串不是以下之一时，Kerberos 是默认的身份验证方法：localhost、127.0.0.1 或 [::1]。

当客户端在域中但远程目标字符串是以下之一时，协商是默认方法：localhost、127.0.0.1 或 [::1]。

从这里：http://msdn.microsoft.com/en-us/library/windows/desktop/aa384295%28v=vs.85%29.aspx

Question 2

CredSSP 身份验证适用于无法使用 Kerberos 委派的环境。它最初是为了支持远程桌面服务单点登录而开发的，但也可以被其他技术（如 PowerShell 远程处理）利用。CredSSP 提供了一种非 Kerberos 机制，用于将会话的本地凭据委派给远程资源。

必须在客户端设置和远程计算机的服务设置中启用 CredSSP 委派。如果您当前没有任何依赖于此功能的代码或功能，则可能不会产生任何影响。

WinRM 中的多跳支持 (Windows)
http://msdn.microsoft.com/en-us/library/windows/desktop/ee309365%28v=vs.85%29.aspx

Answer

CredSSP 身份验证适用于无法使用 Kerberos 委派的环境。它最初是为了支持远程桌面服务单点登录而开发的，但也可以被其他技术（如 PowerShell 远程处理）利用。CredSSP 提供了一种非 Kerberos 机制，用于将会话的本地凭据委派给远程资源。

必须在客户端设置和远程计算机的服务设置中启用 CredSSP 委派。如果您当前没有任何依赖于此功能的代码或功能，则可能不会产生任何影响。

WinRM 中的多跳支持 (Windows)
http://msdn.microsoft.com/en-us/library/windows/desktop/ee309365%28v=vs.85%29.aspx

禁用 WinRM 身份验证方法会产生什么影响？

答案1

答案2

相关内容