Настройка удаленного управления контроллером домена через WinRM

Для удаленного управления контроллером домена Microsoft Active Directory необходимо настроить HTTPS-подключение и авторизацию с помощью сертификата через WinRM (технология удаленного управления Windows).

Настройка HTTPS-подключения к контроллере домена через WinRM

Вам нужно настроить параметры WinRM для подключения к контроллеру домена Microsoft Active Directory по HTTPS.

Чтобы настроить HTTPS-подключение на WinRM:

Создайте служебную учетную запись для подключения службы идентификации пользователей и предоставьте ей необходимые доступы:
1. Добавьте созданного пользователя в группу для чтения журнала событий.
2. Предоставьте пользователю права для подключения к WinRM:
  1. Запустите PowerShell от имени администратора.
  2. Откройте окно изменения доступов для подключения к WinRM, выполнив следующую команду:
    winrm configSDDL default
  3. Нажмите на кнопку Добавить... и выберите созданного пользователя.
  4. Предоставьте пользователю права на выполнение, установив флажок напротив строки Выполнение в столбце Разрешить.
  5. Нажмите на кнопку ОК, чтобы применить изменения.
Запустите PowerShell от имени администратора.
Проверьте, работает ли WinRM, выполнив следующую команду:
winRM enumerate winrm/config/listener
Если WinRM выключен, включите его, выполнив следующую команду:
winrm quickconfig
Выберите способ подключения к WinRM по сертификату, выполнив следующую команду:
winrm set winrm/config/service/auth '@{Certificate="true"}'
Создайте самоподписанный сертификат для подключения к WinRM:
1. Создайте переменные для хоста и IP-адреса для добавления в сертификат, выполнив следующую команду:
  $hostName='<адрес контроллера домена>'
  
  $hostIP='172.17.11.240'
2. Создайте самоподписанный сертификат, выполнив следующую команду:
  $srvCert = New-SelfSignedCertificate -DnsName $hostName,$hostIP -CertStoreLocation <путь к сертификату>
3. Проверьте содержимое переменной $srvCert, выполнив следующую команду:
  $srvCert
Проверьте, какие существуют экземпляры Listener, выполнив следующую команду:
Get-ChildItem wsman:\localhost\Listener
Удалите существующие экземпляры Listener для HTTPS, выполнив следующую команду:
Get-ChildItem wsman:\localhost\Listener\ | Where-Object -Property Keys -like 'Transport=HTTPS*' | Remove-Item -Recurse
Создайте новый экземпляр Listener для HTTPS с выпущенным сертификатом, выполнив следующую команду:
New-Item -Path WSMan:\localhost\Listener\ -Transport HTTPS -Address * -CertificateThumbPrint $srvCert.Thumbprint -Force
Перезапустите WinRM, выполнив следующую команду:
Restart-Service WinRM

Настройка подключения к WinRM по сертификату

Вам нужно разрешить для WinRM подключения по сертификату пользователя, выпущенному при настройке HTTPS-подключения. После этого для подключения к WinRM не будет требоваться ввод имени пользователя и пароля.

Чтобы настроить подключение к WinRM по сертификату:

Запустите PowerShell от имени администратора.
Привяжите сертификат для подключения к контроллеру домена через WinRM к пользователю, от имени которого будет осуществляться подключение, выполнив следующие команды:
$credential = Get-Credential "<имя пользователя>"

$cert = [System.Security.Cryptography.X509Certificates.X509Certificate2]::new("<путь к файлу сертификата>/useruaws.crt")

$certChain = [System.Security.Cryptography.X509Certificates.X509Chain]::new()

[void]$certChain.Build($cert)

$caThumbprint = $certChain.ChainElements.Certificate[-1].Thumbprint

$certMapping = @{

Path = 'WSMan:\localhost\ClientCertificate'

Subject = $cert.GetNameInfo('UpnName', $false)

Issuer = $caThumbprint

Credential = $credential

Force = $true

}

New-Item @certMapping

Развертывание службы идентификации пользователей успешно завершено. Вы можете использовать функции службы идентификации пользователей в Kaspersky NGFW.

В начало