Как включить winrm на удаленном компьютере

Обновлено: 15.01.2025

В ОС Windows Server® 2008 R2 при помощи Диспетчер серверов можно выполнять ряд задач управления на удаленных компьютерах. Для удаленного управления компьютером при помощи Диспетчер серверов необходимо подключить Диспетчер серверов к удаленному компьютеру так же, как подключаются консоли управления (ММС) при использовании других технологий.

Поддерживаемые сценарии удаленного управления

Перечисленные ниже сценарии удаленного управления поддерживаются из Диспетчер серверов в ОС Windows Server 2008 R2.

При управлении удаленным компьютером с компьютера, на котором установлена ОС Windows 7, запустите службу удаленного управления Windows (WinRM), чтобы добавить доверенные узлы. Откройте командную строку с повышенными правами пользователя. Для этого нажмите кнопку Пуск, выберите компоненты Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора. Введите приведенную ниже команду и нажмите клавишу ВВОД: net start winrm
Для удаленных подключений по сценарию «Рабочая группа - рабочая группа/домен» удаленный компьютер необходимо добавить в список доверенных узлов на исходном компьютере. Для этого введите следующую команду на исходном компьютере в окне командной строки, открытой с повышенными правами пользователя:
winrm set winrm/config/client @
Для удаленных подключений по сценарию «Рабочая группа - рабочая группа/домен», если пользователь не использовал для входа в систему встроенную учетную запись администратора на исходном компьютере, необходимо настроить следующий раздел реестра WinRM, чтобы разрешить удаленный доступ с исходного компьютера. Это изменение необходимо из-за ограничения, налагаемого контролем учетных записей пользователей (UAC) на учетные записи членов группы Администраторы, не являющихся администраторами. Чтобы изменить этот раздел реестра, введите следующую команду на исходном компьютере в командной строке, открытой с повышенными правами пользователя:
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
По умолчанию WinRM допускает не более пяти подключений каждого пользователя к удаленному компьютеру. Чтобы увеличить этот предел, введите следующую команду в командной строке, открытой с повышенными правами пользователя на исходном компьютере, где Х соответствует числу подключений, которое нужно разрешить:
winrm s winrm/config/winrs @

Вопросы безопасности для удаленного управления с использованием диспетчера сервера

Необходимо быть членом группы Администраторы на компьютерах, которыми планируется управлять при помощи диспетчера сервера.

Поскольку возможности удаленного управления Диспетчер серверов обеспечивает технология Windows PowerShell, для удаленного управления Диспетчер серверов характерны те же особенности безопасности, что и для Windows PowerShell. Злоумышленник может попытаться украсть учетные данные для входа в систему, предоставленные администратором по удаленному подключению, но в общем случае это маловероятно. Другие потенциальные угрозы (которые характеризуются столь же малым риском) включают изменение злоумышленником динамических библиотек (DLL), а также попытки получить доступ к конфиденциальным сведениям или данным, удостоверяющим личность, которые содержатся в файле журнала Диспетчер серверов. Пользователи с правами доступа к локальному компьютеру могут читать файлы журнала Диспетчер серверов, однако эти файлы не содержат конфиденциальной информации и сведений об учетных записях, таких как пароли.

Задачи, которые можно выполнять на удаленном сервере при помощи диспетчера сервера

В Диспетчер серверов на удаленном компьютере можно выполнять следующие задачи.

Чтобы использовать средства и оснастки, предназначенные для конкретных ролей или компонентов в консоли Диспетчер серверов, подключенной к удаленному серверу, эти средства необходимо установить на исходном компьютере при помощи Средства администрирования удаленного сервера.

Задачи, которые нельзя выполнять удаленно при помощи диспетчера сервера

Перечисленные ниже задачи нельзя выполнять в удаленном сеансе Диспетчер серверов. Это ограничение связано, главным образом, с целью минимизировать риски безопасности для серверов.

Включение и отключение удаленного управления в Windows Server 2008 R2

Чтобы защитить серверы от несанкционированного доступа, прежде чем администраторы смогут удаленно подключиться к компьютеру под управлением Windows Server 2008 R2 при помощи Диспетчер серверов, необходимо включить удаленное управление Диспетчер серверов на компьютере назначения.

Перед тем как настроить на сервере удаленное управление при помощи Диспетчер серверов, необходимо включить несколько параметров групповой политики, которые управляют исключениями брандмауэра Windows. Выполните действия, изложенные в разделе Настройка групповой политики для удаленного управления с помощью диспетчера сервера, чтобы убедиться, что параметры групповой политики не переопределяют конфигурацию сервера для удаленного управления.

Процедуры этого раздела можно выполнить только на компьютере под управлением Windows Server 2008 R2. Нельзя включить или отключить удаленное управление на компьютере под управлением Windows 7, поскольку ОС Windows 7 нельзя управлять при помощи Диспетчер серверов.

На компьютере, предназначенном для удаленного управления, откройте Редактор локальной групповой политики. Для этого нажмите кнопку Пуск, выберите пункт Выполнить, введите gpedit.msc в поле Открыть и нажмите клавишу ВВОД.

Разверните компоненты Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Удаленное управление Windows, а затем выберите Служба WinRM.

В области сведений дважды щелкните команду Разрешить автоматическую настройку прослушивателей.

Выберите Включено и нажмите кнопку ОК.

В древовидном представлении разверните компоненты Параметры Windows, Параметры безопасности, Брандмауэр Windows в режиме повышенной безопасности и выберите Брандмауэр Windows в режиме повышенной безопасности.

Щелкните правой кнопкой мыши пункт Правила для входящих подключений и выберите команду Создать правило.

В мастере создания правила для нового входящего подключения на странице Тип правила выберите Предопределенное.

На странице Предопределенные правила нажмите кнопку Далее, чтобы принять новые правила.

На странице Действие выберите пункт Разрешить подключение и нажмите кнопку Готово. По умолчанию выбран вариант Разрешить подключение.

Повторите шаги 5-10, чтобы создать новые правила для входящих подключений для следующих двух дополнительных типов предопределенных правил.

Закройте Редактор локальной групповой политики.

На компьютере, предназначенном для удаленного управления, откройте Диспетчер серверов. Чтобы открыть компонент "Управление сервером", нажмите Пуск, Администрирование, а затем Управление сервером.

В области Сводка сервера домашней страницы Диспетчер серверов щелкните команду Настроить удаленное управление с помощью диспетчера сервера.

Выполните одно из указанных ниже действий.

Убедитесь, что исключения для приведенных ниже правил брандмауэра включены и не переопределяются параметрами групповой политики.

Для этого выполните следующие действия.

Откройте оснастку Брандмауэр Windows в режиме повышенной безопасности одним из следующих способов.

В области «Сведения о безопасности» главного окна диспетчера сервера выберите Перейти к брандмауэру Windows.

В древовидном представлении диспетчера сервера разверните раздел Конфигурация и щелкните заголовок Брандмауэр Windows в режиме повышенной безопасности.

В меню Пуск выберите компонент Администрирование, а затем выберите пункт Брандмауэр Windows в режиме повышенной безопасности.

В области Начало работы области сведений компонента Брандмауэр Windows в режиме повышенной безопасности щелкните пункт Правила для входящих подключений.

В списке правил найдите правила, указанные в этом шаге.

Если в столбце Включено указано значение Нет для какого-либо из заданных правил, дважды щелкните это правило, чтобы открыть для него диалоговое окно Свойства.

Хотя удаленное управление с помощью диспетчера сервера возможно, даже если исключения для правил брандмауэра «Удаленное управление журналом событий» отключены, удаленные подключения могут работать очень медленно, в зависимости от количества ролей и компонентов, выполняющихся на компьютере, которым вы хотите управлять, если исключения для этих правил брандмауэра не включены. Рекомендуется включить правила брандмауэра «Удаленное управление журналом событий», чтобы избежать задержек в подключении.

На компьютере, предназначенном для удаленного управления, откройте сеанс Windows PowerShell с повышенными правами пользователя. Для этого нажмите кнопку Пуск, последовательно выберите компоненты Все программы, Стандартные и Windows PowerShell, затем щелкните правой кнопкой мыши ярлык Windows PowerShell и выберите команду Запуск от имени администратора.

В сеансе Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Чтобы включить все необходимые исключения из правил брандмауэра, введите следующую команду и нажмите клавишу ВВОД:

Configure-SMRemoting.ps1 -force -enable

На компьютере, предназначенном для удаленного управления, в командной строке, которая открывается по умолчанию при входе члена группы Администраторы в систему Windows Server 2008 R2 в установке Server Core, введите следующую команду и нажмите клавишу ВВОД:

Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets

После завершения установки закройте все приложения и перезагрузите компьютер.

Чтобы убедиться, что Windows PowerShell и командлеты для Диспетчер серверов и анализатора соответствия рекомендациям установлены, попробуйте ввести команду oclist, которая возвращает список всех компонентов Windows, установленных на данном компьютере.

По завершении загрузки операционной системы, войдите в систему как минимум с правами члена локальной группы Администраторы.

В окне командной строки, которое откроется после входа в систему, введите следующую команду, чтобы открыть сеанс Windows PowerShell, и нажмите клавишу ВВОД:

В сеансе Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Configure-SMRemoting.ps1 -force -enable

Подключение к удаленным компьютерам при помощи диспетчера сервера

Для управления удаленным сервером с помощью Диспетчер серверов, выполните следующие действия.

Запустите программу Диспетчер серверов. Чтобы открыть компонент "Управление сервером", нажмите Пуск, Администрирование, а затем Управление сервером.

В древовидном представлении щелкните правой кнопкой мыши узел Диспетчер сервера и выберите команду Подключиться к другому компьютеру.

В поле Другой компьютер можно указать NetBIOS-имя, полное доменное имя либо адрес IPv4 или IPv6. Если номер порта не указан, то используется номер порта по умолчанию. Далее приведены примеры форматов, которые можно указать в поле Другой компьютер.

Если администратор изменил на компьютере номер порта по умолчанию, то нужно открыть нестандартный порт в брандмауэре Windows, чтобы разрешить для этого порта принимать входящие подключения. Порт 5985 открыт по умолчанию, если служба удаленного управления Windows настроена так, как описано в разделе Настройка групповой политики для удаленного управления с помощью диспетчера сервера в этой главе. Нестандартные порты остаются заблокированными, пока не будут открыты. Дополнительные сведения о том, как разблокировать порт в брандмауэре Windows, см. в справке по брандмауэру Windows. Для получения дополнительных сведений о настройке службы удаленного управления Windows в сеансе командной строки введите winrm help и нажмите клавишу ВВОД.

Обратите внимание, что после подключения к удаленному компьютеру имя вашего компьютера изменилось в консоли Диспетчер серверов. Имя компьютера в узле Диспетчер серверов древовидного представления, значение поля Полное имя компьютера в области Сводка сервера Диспетчер серверов и имя компьютера в заголовке консоли меняются на имя удаленного компьютера, к которому вы подключились. Поскольку Диспетчер серверов разрешает IP-адреса в полные доменные имена, то при подключении к удаленному компьютеру с использованием IP-адреса консоль Диспетчер серверов отображает полное доменное имя удаленного компьютера.

При подключении к компьютеру в другом домене с использованием IP-адреса возможен сбой удаленного подключения из-за ограничений DNS-сервера, которые могут привести к ошибке разрешения IP-адреса в имя узла. В этом случае попробуйте подключиться, указав полное доменное имя.

Откройте сеанс Windows PowerShell с повышенными правами пользователя. Для этого нажмите кнопку Пуск, последовательно выберите компоненты Все программы, Стандартные и Windows PowerShell, затем щелкните правой кнопкой мыши ярлык Windows PowerShell и выберите команду Запуск от имени администратора.

Введите следующую команду (где ComputerName - имя удаленного компьютера, работающего под управлением Windows Server 2008 R2, а UserName - имя пользователя, являющегося членом группы Администраторы на удаленном компьютере), затем нажмите клавишу ВВОД:

Enter-PSSession <имя_компьютера> -credential <имя_пользователя>

Будет запрошен пароль, который нужно ввести в защищенном диалоговом окне. Введите пароль и нажмите клавишу ВВОД.

Для загрузки оснастки Диспетчер серверов в сеансе Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:

Import-Module ServerManager

Введите приведенную ниже команду и нажмите клавишу ВВОД:

Get-WindowsFeature

После того, как результаты выполнения командлета Get-WindowsFeature будут показаны в сеансе Windows PowerShell, введите следующую команду, чтобы закрыть сеанс Windows PowerShell, и нажмите клавишу ВВОД:

Exit-PSSession

Управление несколькими компьютерами с помощью диспетчера сервера и консоли ММС

Можно также создать настраиваемую консоль управления (ММС), содержащую несколько оснасток Диспетчер серверов - каждая для управления отдельным удаленным компьютером.

Чтобы открыть консоль MMC (Microsoft Management Console), нажмите кнопку Пуск, выберите пункт Выполнить, введите mmc и нажмите кнопку ОК.

В меню Файл выберите команду Добавить или удалить оснастку.

В списке Доступные оснастки выберите Диспетчер сервера.

В древовидном представлении новой консоли ММС щелкните правой кнопкой мыши верхний узел оснастки Диспетчер серверов и выберите команду Подключиться к другому компьютеру.

Обратите внимание, что после подключения к удаленному компьютеру имя вашего компьютера изменилось в узле Диспетчер серверов древовидного представления.

Если у вас есть дополнительные оснастки Диспетчер серверов в консоли ММС, повторите данную процедуру, начиная с шага 6, для подключения дополнительных оснасток Диспетчер серверов к другим удаленным компьютерам.

В меню Файл выберите команду Сохранить, чтобы сохранить настраиваемую консоль ММС.

Удаленное управление из Windows 7

Установив Средства администрирования удаленного сервера на компьютере под управлением Windows 7, так же как на компьютере под управлением Windows Server 2008 R2, можно создать настраиваемую консоль ММС Диспетчер серверов для управления несколькими удаленными компьютерами, на которых установлен Windows Server 2008 R2. Чтобы создать настраиваемую консоль ММС Диспетчер серверов на компьютере, где установлены ОС Windows 7 и Средства администрирования удаленного сервера, см. пункт Управление несколькими компьютерами с помощью диспетчера сервера и консоли ММС настоящего раздела.

Установите Средства администрирования удаленного сервера на компьютере под управлением Windows 7.

После установки Средства администрирования удаленного сервера откройте Диспетчер серверов. Чтобы открыть компонент "Управление сервером", нажмите Пуск, Администрирование, а затем Управление сервером.

Обратите внимание, что после подключения к удаленному компьютеру имя компьютера появится в консоли Диспетчер серверов. Вы увидите имя удаленного компьютера, к которому подключены, в узле Диспетчер серверов древовидного представления, в поле Полное имя компьютера области Сводка сервера Диспетчер серверов и имя компьютера в заголовке консоли.

для выполнения сценариев служба удаленного управления Windows (winrm) и для выполнения операций с данными с помощью программы командной строки winrm служба удаленного управления Windows (winrm) должны быть установлены и настроены.

Эти элементы также зависят от конфигурации WinRM.

Windows средство командной строки удаленной оболочки (Winrs). .
удаленное взаимодействие Windows PowerShell 2,0.

Где установлен WinRM

служба WinRM автоматически устанавливается со всеми поддерживаемыми версиями Windows операционной системы.

Настройка WinRM и IPMI

Эти компоненты поставщика службы удаленного управления (IPMI) и SNMP-интерфейса WMI устанавливаются вместе с операционной системой.

Используйте Winrm команду, чтобы нахождение прослушивателей и адресов, введя в командной строке следующую команду.

Чтобы проверить состояние параметров конфигурации, введите следующую команду.

Быстрая настройка по умолчанию

Можно включить протокол WS-Management на локальном компьютере и настроить конфигурацию по умолчанию для удаленного управления с помощью команды winrm quickconfig .

winrm quickconfig Команда (или сокращенная версия winrm qc ) выполняет эти операции.

winrm quickconfig Команда создает исключение брандмауэра только для текущего профиля пользователя. Если профиль брандмауэра изменился по какой-либо причине, следует запустить, winrm quickconfig чтобы включить исключение брандмауэра для нового профиля; в противном случае исключение может быть не включено.

Чтобы получить сведения о настройке конфигурации, введите winrm help config в командной строке.

Настройка WinRM с параметрами по умолчанию

Введите winrm quickconfig в командной строке.

Если вы не используете учетную запись администратора локального компьютера, необходимо выбрать пункт Запуск от имени администратора в меню " Пуск " или использовать команду runas в командной строке.

Когда средство выводит на экран команду сделать эти изменения [ y/n ] ?, введите y.

Если настройка прошла успешно, отображаются следующие выходные данные.

Используйте параметры по умолчанию для клиентских и серверных компонентов WinRM или настройте их. Например, может потребоваться добавить определенные удаленные компьютеры в список TrustedHosts конфигурации клиента.

Если невозможно установить взаимную проверку подлинности, следует настроить список надежных узлов. Kerberos допускает взаимную проверку подлинности, но не может использоваться — только в доменах рабочих групп. При настройке доверенных узлов для Рабочей группы рекомендуется сделать список максимально ограниченным.

Параметры по умолчанию прослушивателя и протокола WS-Management

winrm quickconfig создает следующие параметры по умолчанию для прослушивателя. Можно создать более одного прослушивателя. Для получения дополнительных сведений введите winrm help config в командной строке.

Адрес

Задает адрес, для которого был создан данный прослушиватель.

Транспортировка

Задает TCP-порт, для которого создается данный прослушиватель.

Hostname (Имя узла)

Указывает имя узла компьютера, на котором запущена служба WinRM. Значением должно быть полное доменное имя, строка литерала IPv4 или IPv6 или символ-шаблон.

Активировано

Указывает, включен или отключен прослушиватель. По умолчанию используется значение True.

URLPrefix

CertificateThumbprint

Указывает отпечаток сертификата службы. Это значение представляет собой строку шестнадцатеричных значений из двух цифр, найденных в поле отпечатка сертификата. Эта строка содержит хэш SHA-1 сертификата. Сертификаты используются при проверке подлинности на основе сертификата клиента. Сертификаты могут быть сопоставлены только с локальными учетными записями пользователей и не работают с учетными записями домена.

ListeningOn

Указывает адреса IPv4 и IPv6, используемые прослушивателем. Например: "111.0.0.1, 111.222.333.444. 1, 1000:2000:2c: 3: C19:9ec8: a715:5e24, 3FFE: 8311: FFFF: f70f: 0:5EFE: 111.222.333.444, FE80:: 5EFE: 111.222.333.444% 8, FE80:: C19:9ec8: a715:5e24% 6".

Параметры протокола по умолчанию

Многие параметры конфигурации, такие как максенвелопесизекб или соаптрацеенаблед, определяют взаимодействие клиентских и серверных компонентов WinRM с протоколом WS-Management. В следующем списке описаны доступные параметры конфигурации.

MaxEnvelopeSizekb

Указывает максимальный объем данных протокола доступа к объектам (в килобайтах). Значение по умолчанию — 150 КБ.

Поведение не поддерживается, если для максенвелопесизекб задано значение больше 1039440.

макстимеаутмс

Указывает максимальное время ожидания (в миллисекундах), которое может использоваться для любого запроса, кроме запросов на включение внесенных изменений. Значение по умолчанию — 60000.

MaxBatchItems

Задает максимальное количество элементов, которое может быть использовано в ответе Pull. Значение по умолчанию — 32000.

MaxProviderRequests

Задает максимальное количество одновременных запросов, допускаемое службой. Значение по умолчанию — 25.

WinRM 2,0: Этот параметр является устаревшим и имеет значение только для чтения.

Параметры конфигурации клиента WinRM по умолчанию

Клиентская версия WinRM имеет следующие параметры конфигурации по умолчанию.

нетворкделаймс

Задает дополнительное время ожидания клиента в миллисекундах для поправки на сетевую задержку. Значение по умолчанию — 5000 миллисекунд.

URLPrefix

алловуненкриптед

Позволяет клиентскому компьютеру запрашивать передачу данных в незашифрованном виде. По умолчанию клиентский компьютер требует зашифрованный сетевой трафик, а этот параметр имеет значение false.

Basic

Позволяет клиентскому компьютеру использовать обычную проверку подлинности. При использовании обычной проверки подлинности имя пользователя и пароль передаются серверу или прокси-серверу открытым текстом. Эта схема является наименее безопасным методом проверки подлинности. Значение по умолчанию равно True.

Digest (дайджест)

Сертификат

Позволяет клиенту использовать проверку подлинности на основе сертификата клиента. Проверка подлинности на основе сертификатов — это схема, в которой сервер проверяет подлинность клиента, идентифицируемого сертификатом X509. Значение по умолчанию равно True.

Kerberos

Позволяет клиентскому компьютеру использовать проверку подлинности Kerberos. Проверка подлинности Kerberos подразумевает взаимную проверку подлинности клиента и сервера с использованием сертификатов Kerberos. Значение по умолчанию равно True.

Согласование

Позволяет клиенту использовать проверку подлинности согласованием. При проверке подлинности с согласованием клиент отправляет серверу запрос на проверку подлинности. Сервер определяет, какой протокол использовать — Kerberos или NTLM. Протокол Kerberos выбирается для проверки подлинности учетной записи домена, а NTLM — для учетных записей локального компьютера. Имя пользователя должно быть указано в \ _ формате имени пользователя домена для пользователя домена. Имя пользователя должно быть указано в _ формате "имя \ пользователя сервера _ " для локального пользователя на компьютере сервера. Значение по умолчанию равно True.

CredSSP

Позволяет клиенту использовать проверку подлинности с помощью поставщика поддержки безопасности учетных данных (CredSSP). CredSSP позволяет приложению делегировать учетные данные пользователя с клиентского компьютера на целевой сервер. По умолчанию False.

дефаултпортс

TrustedHosts

Указывает список доверенных удаленных компьютеров. В этот список необходимо добавить другие компьютеры в Рабочей группе или компьютерах в другом домене.

Если для Трустедхост указан IPv6-адрес, адрес должен быть заключен в квадратные скобки, как показано в следующей команде WinRM Utility: winrm set winrm/config/client '@' .

Чтобы получить дополнительные сведения о добавлении компьютеров в список TrustedHosts, введите winrm help config .

Параметры конфигурации по умолчанию для службы WinRM

Версия службы WinRM имеет следующие параметры конфигурации по умолчанию.

RootSDDL

Указывает дескриптор безопасности, управляющий удаленным доступом к прослушивателю. Значение по умолчанию — "О:НСГ: BAD: P (A;; Общедоступный;;; BA) (A;; GR;;; ER) С:П (AU; FA; Общедоступный;;; WD) (AU; SA; ГВГКС;;; WD) ".

максконкуррентоператионс

Максимальное количество одновременных операций. Значение по умолчанию — 100.

WinRM 2,0: Параметр Максконкуррентоператионс является устаревшим и имеет значение только для чтения. Этот параметр заменен на свойств maxconcurrentoperationsperuser.

Свойств maxconcurrentoperationsperuser

Указывает максимальное количество одновременных операций, которые любой пользователь может удаленно открыть в одной системе. Значение по умолчанию — 1500.

енумератионтимеаутмс

MaxConnections

Указывает максимальное количество активных запросов, которые служба может обрабатывать одновременно. Значение по умолчанию — 300.

WinRM 2,0: Значение по умолчанию — 25.

макспаккетретриевалтимесекондс

Указывает максимальное время в секундах, необходимое службе WinRM для получения пакета. Значение по умолчанию — 120 секунд.

алловуненкриптед

Позволяет клиентскому компьютеру запрашивать передачу данных в незашифрованном виде. По умолчанию False.

Basic

Позволяет службе WinRM использовать обычную проверку подлинности. По умолчанию False.

Сертификат

Позволяет службе WinRM использовать проверку подлинности на основе сертификата клиента. По умолчанию False.

Kerberos

Позволяет службе WinRM использовать проверку подлинности Kerberos. Значение по умолчанию равно True.

Согласование

Позволяет службе WinRM использовать проверку подлинности Negotiate. Значение по умолчанию равно True.

CredSSP

Позволяет службе WinRM использовать проверку подлинности с помощью поставщика поддержки безопасности учетных данных (CredSSP). По умолчанию False.

CbtHardeningLevel

Задает политику относительно требований к токенам привязки канала в запросах проверки подлинности. Значение по умолчанию — ослабление.

дефаултпортс

IPv4Filter и IPv6Filter

Указывает адреса IPv4 или IPv6, которые могут использоваться прослушивателями. Значения по умолчанию: IPv4Filter = * и IPv6Filter = * .

IPv4: Литеральная строка IPv4 состоит из четырех десятичных чисел с точками в диапазоне от 0 до 255. Например: 192.168.0.0.

IPv6: Строка литерала IPv6 заключена в квадратные скобки и содержит шестнадцатеричные числа, разделенные двоеточиями. Например:: [ : 1 ] или [ 3FFE: FFFF:: 6ECB: 0101 ] .

енаблекомпатибилитихттплистенер

енаблекомпатибилитихттпслистенер

Параметры конфигурации по умолчанию для Winrs

winrm quickconfig также настраивает параметры по умолчанию для WinRS .

AllowRemoteShellAccess

Разрешает доступ к удаленным оболочкам. Если для этого параметра задано значение false, то новые подключения удаленной оболочки будут отклонены сервером. Значение по умолчанию равно True.

IdleTimeout

Задает максимальное время в миллисекундах, в течение которого удаленная оболочка будет оставаться открытой при отсутствии в ней пользовательской активности. По истечении заданного времени удаленная оболочка автоматически удаляется.

WinRM 2,0: Значение по умолчанию — 180000. Минимальное значение — 60000. Установка этого значения ниже 60000 не влияет на время ожидания.

MaxConcurrentUsers

Задает максимальное количество пользователей, могущих одновременно выполнять удаленные операции на одном и том же компьютере через удаленную оболочку. Новые подключения удаленной оболочки будут отклонены, если они превышают указанный предел. Значение по умолчанию — 5.

MaxShellRunTime

Указывает максимальное время в миллисекундах, в течение которого разрешено выполнение удаленной команды или сценария. Значение по умолчанию — 28800000.

WinRM 2,0: Параметр Максшеллрунтиме имеет значение только для чтения. Изменение значения Максшеллрунтиме не повлияет на удаленные оболочки.

MaxProcessesPerShell

Задает максимальное количество процессов, которое разрешается запускать любой операции оболочки. 0 означает неограниченное количество процессов. Значение по умолчанию — 15.

MaxMemoryPerShellMB

Указывает максимальный объем памяти, выделяемой на оболочку, включая дочерние процессы оболочки. Значение по умолчанию — 150 МБ.

MaxShellsPerUser

Задает максимальное число одновременно существующих оболочек, которые пользователь может одновременно открыть на одном компьютере. Если этот параметр политики включен, пользователь не сможет открывать новые удаленные оболочки, если число превышает указанный предел. Если этот параметр политики отключен или не задан, будет установлен предел по умолчанию в 5 удаленных оболочек.

Настройка WinRM с групповая политика

используйте редактор групповая политика для настройки Windows удаленной оболочки и WinRM для компьютеров в вашей организации.

Настройка с помощью групповая политика

Откройте окно командной строки с правами администратора.
В командной строке введите gpedit.msc . Откроется окно Редактор объектов групповой политики .
найдите служба удаленного управления Windows и Windows удаленную оболочку групповая политика объектов (GPO) в разделе конфигурация компьютера \ административные шаблоны \ Windows компоненты.
На вкладке Расширенная выберите параметр, чтобы просмотреть описание. Дважды щелкните параметр, чтобы изменить его.

Windows Порты брандмауэра и WinRM 2,0

Если компьютер обновлен до WinRM 2,0, ранее настроенные прослушиватели переносятся и по-прежнему получают трафик.

Заметки об установке и настройке WinRM

Если на компьютере установлен клиент брандмауэра ISA2004, это может привести к тому, что клиент веб-служб для управления (WS-Management) перестает отвечать на запросы. Чтобы избежать этой проблемы, установите брандмауэр ISA2004 с пакетом обновления 1 (SP1).

Заметки об установке драйвера и поставщика IPMI

Драйвер может не обнаружить наличие драйверов IPMI, которые не относятся к корпорации Майкрософт. Если драйвер не запускается, может потребоваться отключить его.

Если в BIOS системы отображаются ресурсы контроллера управления основной платой (BMC) , то ACPI (Самонастраивающийся) обнаруживает оборудование BMC и автоматически устанавливает драйвер IPMI. Поддержка самонастраивающийся может отсутствовать во всех BMC. Если контроллер BMC обнаруживается самонастраивающийся, то перед установкой компонента управления оборудованием в диспетчер устройств появляется неизвестное устройство. При установке драйвера в диспетчер устройств появляется новый компонент, поддерживающий универсальное IPMI-устройство, совместимое с Microsoft ACPI.

Если система не обнаруживает BMC и не устанавливает драйвер автоматически, но во время установки был обнаружен контроллер BMC, необходимо создать устройство BMC. Для этого введите в командной строке следующую команду: Rundll32 ipmisetp.dll, AddTheDevice . После выполнения этой команды создается устройство IPMI, которое отображается в диспетчер устройств. Если удалить компонент управления оборудованием, устройство будет удалено.

Поставщик IPMI помещает классы оборудования в корневое пространство имен \ оборудования WMI. Дополнительные сведения о классах оборудования см. в разделе поставщик IPMI. Дополнительные сведения о пространствах имен WMI см. в разделе Архитектура WMI.

Примечания по конфигурации подключаемого модуля WMI

начиная с Windows 8 и Windows Server 2012 подключаемые модули WMI имеют собственные конфигурации безопасности. Чтобы пользователь с обычным или энергопотреблением (не администратором) мог использовать подключаемый модуль WMI, необходимо включить доступ для этого пользователя после настройки прослушивателя . Во-первых, необходимо настроить пользователя для удаленного доступа к WMI с помощью одного из этих действий.

Когда появится пользовательский интерфейс, добавьте пользователя.

После настройки пользователя для удаленного доступа к инструментарию WMIнеобходимо настроить WMI , чтобы разрешить пользователю доступ к подключаемому модулю. Для этого выполните команду, wmimgmt.msc чтобы изменить безопасность WMI для пространства имен , к которому будет осуществляться доступ в окне управления WMI .

Большинство классов WMI для управления находятся в корневом пространстве имен \ CIMV2 .

Здесь минимум теории, в основном практическая часть. Описывается как настроить WinRM, как изменить профиль сетевого адаптера, дается скрипт по добавлению в TrustedHosts с фильтрацией, объясняется зачем нужны доверенные хосты, и рассматриваются поверхностно удаленные подключения так чтобы можно было сесть и сразу админить удаленные машины.

для проверки куда можно подключаться используем:

для разрешения подключаться ко всем

Если вы открываете доступ для всех указав * то WinRM будет подключаться ко ВСЕМ машинам без проверки. Помните, что вы открываете самого себя для потенциального взлома из локальной сети. Лучше указывать адреса хостов куда вам нужно подключится, тогда WinRM будет отклонять все остальные адреса или имена. Если машина с которой ведется управление находится в домене она будет доверять всем машинам этого домена. Если она не в домене, или в другом домене, то нужно указать в TrustedHosts адрес или имя машины на которую мы будем подключаться. Добавлять себя на машине к которой мы подключаемся не нужно.

в хелпе указаны команды, я их чуть чуть переделал в скрипт

он проверяет на есть ли такая запись, если нет то добавляет в список. Вызывать можно из командной строки указав адрес или имя.

Есть разница указывать имя или адрес. Если в TrustedHosts будет только адрес то открыть сессию по имени не получится, и наоборот — если указать имя то прицепится по адресу не получится. Учитывайте это.

Часто встречается ссылка на команду

это не тоже самое что Enable-PSRemoting

Enable-PSRemoting делает больше действий чем «winrm quickconfig». Командлет Set-WSManQuickConfig делает точно такие же действия как «winrm quickconfig». Enable-PSRemoting запускает Set-WSManQuickConfig когда ведет настройку системы

Удаленные подключения
1. Сессии 1-to-1
открываются командой

Вы получите оболочку на удаленной машине. Подключится можно к самому себе указав localhost. Альтернативные кредиталы указываются с параметром -Credential, выход происходит командлетом Exit-PSSession

нельзя сделать второй прыжок — только 1 сессия, внутри сессии подключиться дальше нельзя
вы не можете использовать команды имеющие графический интерфейс. Если вы это сделаете оболочка повиснет, нажмите Ctrl+C чтобы отвисло
вы не можете запускать команды имеющие свой собственый шел, например nslookup, netsh
вы можете запускать скрипты если политика запуска на удаленной машине позволяет их запускать
нельзя прицепится к интерактивной сессии, вы заходите как «network logon», как будто прицепились к сетевому диску. Поэтому не запустятся логон скрипты, и вы можете не получить домашнюю папку на удаленной машине (лишний довод чтобы не мапать хом фолдеры логон скриптами)
вы не сможете взаимодействовать с юзером на удаленной машине даже если он туда залогинен. Не получится показать ему окошко или попечатать чтонибудь ему.

Комментарий.
объекты переданные по сети обрезаются и перестают быть живыми. У них удаляются методы, свойства остаются. Вытащить объект на свою машину, поколдовать и засунуть обратно не получится. Если нужно больше пишите, допишу отдельно.

2. Сессии 1-to-many

определяем что будем исполнять так:

передаем на удаленные машины Test1 и Test2

за раз можно забросить на 32 машины. Если альтернативные кредиталы то используем параметр -Credential

Запомним что на той стороне будет новый скоп, так что ваш скрипт не получит значений из вашей консоли, а переменные скрипта могут оказаться на той стороне пустыми. Поэтому передавайте сразу целиком готовые инструкции и скрипты с параметрами.

kuda78
В статье пропущен очень важный момент — передача параметров в скрипт на удаленной машине.

Invoke-Command -Session $session -ScriptBlock $deployRemote -ArgumentList ($targetEnvName, $targetUsername)

Да действительно пропущен. Сделал сознательно чтобы не загромождать обзор параметрами и описаниями. Спасибо. Параметр -ArgumentList работает как со скрипт блоками так и со сценариями

3. Сессии
Это когда с той стороны создается копия пошика постоянно висящая в памяти, и в нее отправляются команды. Как результат к ней можно переподключится, ченить долгое запустить на исполнение, цепляться из разных скриптов или разными юзерами. Например у вас есть набор скриптов решающих одну задачу по частям, каждый из них поочереди может подключатся к одной удаленной сессии, видеть результаты работы предыдущих команд, иметь одни загруженные модули, общие переменные, общее окружение, до тех пор пока сессия не будет принудительно закрыта.

Создание сессии происходит командлетом New-PSSession, результат можно поместить в переменную

использовать можно такие же параметры подключения как в Invoke-Command

Как использовать:
если 1-to-1

посмотреть какие сессии открыты можно с помощью Get-PSSession, закрыть Remove-PSSession
закрыть вообще все сессии

прицепится к сессии можно с помощью Connect-PSSession, отключиться через Disconnect-PSSession

Invoke-Command может создать сразу disconnected сессию, он отправляет команды на исполнение и отключатся, позже можно подключится и сгрузить результаты работы. Делается это параметром -Disconnected. Получение результатов через командлет Recieve-PSSession.

Сессии имеют очень много настроек, возможно даже создание сессий с обрезаным набором команд, модулей и т.п. Называется custom endpoints

В Windows Server 2008 WinRM установлен, но (по соображениям безопасности) по умолчанию не включен. Чтобы проверить, запущен ли WinRM на нашей машине, набираем в командной строке winrm enumerate winrm/config/listener

Если ответа нет, значит WinRM не запущен. Для того, чтобы настроить WinRM на автоматический запуск и разрешить удаленное подключение к компьютеру, набираем команду winrm quickconfig или winrm qc

Чтобы WinRM не спрашивал подтверждения, можно добавить к вызову ключ -quiet. Узнать информацию о более тонкой настройке можно посмотреть встроенную справку WinRM: winrm help config

Также все необходимые настройки можно сделать с помощью групповых политик. Для этого нужно:

Настроить службу WinRM на автоматический запуск
Разрешить подключения на соответствующие порты (80 и 443) в брандмауэре Windows
Настроить элемент групповой политики Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Удаленное управление Windows\Служба удаленного управления Windows\Разрешить автоматическую установку прослушивателей (Computer Configuration\Administrative Templates\Windows Components\Windows Remote Management \WinRM Service\Allow automatic configuration of listeners). Тут нужно будет указать IP-адреса, с которых разрешаются подключения.

Теперь перейдем непосредственно к использованию. Для подключения к удаленному компьютеру используем утилиту WinRS. WinRS – аббревиатура для Windows Remote Shell (удаленная среда Windows). С WinRS мы можем делать удаленные запросы на компьютеры, на которых запущен WinRM. Однако имейте ввиду, что на вашей машине также необходимо запускать WinRM для работы с WinRS.

Основным способом использования WinRS является выполнение команд на удаленной машине. Имя компьютера задаётся ключом -r, а после него следует выполняемая команда, например winrs –r:SRV2 ipconfig /all запускает на удаленном компьютере SRV2 команду ipconfig /all

Также можно с помощью WinRS открыть интерактивный сеанс на удалённом компьютере: winrs -r:SRV2 cmd.exe

Эта функция аналогична подключению по telnet, но использование WinRS однозначно лучше с точки зрения безопасности.

Для использования WinRM все компьютеры должны быть членами одного домена. Если в вашем случае это не так, то можно попробовать понизить уровень безопасности. Для этого на компьютере, к которому хотим получить доступ, вводим следующие команды:

На компьютере, с которого будем подключаться, вводим :

Затем устанавливаем соедининие с помощью команды:

Читайте также: