株洲做网站定制手机端网站建设

株洲做网站定制,手机端网站建设,服装定制价格,汽车销售管理系统信任主机配置Set-Item wsman:\localhost\client\trustedhosts 远程计算机IP或名称完成后#xff0c;通常需要重启 WinRM 服务以使更改生效Restart-Service WinRM在建立正式连接前#xff0c;可以先测试远程计算机是否已准备好接受 PowerShell 远程连接Test-WSMan…信任主机配置Set-Item wsman:\localhost\client\trustedhosts 远程计算机IP或名称完成后通常需要重启 WinRM 服务以使更改生效Restart-Service WinRM在建立正式连接前可以先测试远程计算机是否已准备好接受 PowerShell 远程连接Test-WSMan -ComputerName 远程计算机名或IP远程管理配置检查清单为了确保远程管理功能正常工作你可以使用以下清单进行检查网络连通性确保本地计算机与远程计算机之间网络畅通例如可以互相 ping 通。PowerShell 权限以管理员身份运行 PowerShell。启用 PSRemoting在远程计算机上已执行 Enable-PSRemoting -Force。WinRM 服务状态确保远程计算机上的 WinRM 服务正在运行Get-Service WinRM。防火墙规则确认防火墙允许 WinRM 流量通常 Enable-PSRemoting 会自动配置。信任的主机在工作组环境中已在本地计算机上使用 Set-Item wsman:\localhost\client\trustedhosts 将远程计算机添加为受信任主机。用户权限你使用的凭据在远程计算机上具有管理员权限。执行策略远程计算机的 PowerShell 执行策略Execution Policy是否允许运行所需的脚本可使用 Get-ExecutionPolicy 查看如需设置可使用 Set-ExecutionPolicy RemoteSigned是否对面被控主机也开启了winrm服务交互式远程会话(一对一)要启动一个交互式的远程会话类似于使用 SSH进入一个仿佛直接操作远程计算机的命令行环境可以使用 Enter-PSSession 命令Enter-PSSession -ComputerName 远程计算机名或IP -Credential 用户名系统会提示你输入该用户对应的密码。执行成功后命令提示符会变成 [远程计算机名或IP]: PS 的格式表示你当前的操作都在远程计算机上生效。要退出交互式会话回到本地 PowerShell 环境只需执行Exit-PSSession执行远程命令和脚本(一对多)执行单条命令Invoke-Command -ComputerName 远程计算机名或IP -ScriptBlock { 你的命令 } -Credential 用户名这里会让你输入登录目标主机的密码输入的密码是你指定的这个Credential参数的用户名的密码输入密码正确就执行成功了执行脚本文件Invoke-Command -ComputerName 远程计算机名或IP -FilePath 本地脚本路径 -Credential 用户名对多台进行操作$computers Server01, Server02, Server03 # 将计算机名或IP放入数组Invoke-Command -ComputerName $computers -ScriptBlock { 你的命令 } -Credential 用户名Credential参数上面说了一个就是直接给用户名没给密码如果希望直接用脚本进行管理的话每次都需要弹出来窗口上输入密码这会比较麻烦所以我们可以先做好一个Credential参数值直接登入当然这是有风险的因为你的密码直接嵌入脚本里面$username 用户名$password ConvertTo-SecureString 你的密码 -AsPlainText -Force$credential New-Object System.Management.Automation.PSCredential($username, $password)# 然后在 -Credential 参数中使用 $credential 变量Enter-PSSession -ComputerName 远程计算机名或IP -Credential $credential常见远程处理技术参数 (Parameter) 适用命令 作用描述 常见使用场景与说明-Port Enter-PSSession, Invoke-Command 指定连接的TCP端口 连接非默认端口5985/5986的远程主机常用于端口转发或特殊安全配置。-UseSSL Enter-PSSession, Invoke-Command 指示使用 SSL/TLS加密 的HTTPS协议进行连接 安全连接必备对传输数据进行加密防止窃听。需目标计算机配置了有效的SSL证书。-Credential Enter-PSSession, Invoke-Command 指定用于连接的另一组用户名和密码PSCredential对象 使用非当前登录的域用户或本地用户身份进行连接。在工作组环境中尤其重要。-ConfigurationName Enter-PSSession, Invoke-Command 连接到指定的会话配置Endpoint而非默认的 microsoft.powershell 连接32位PowerShell (microsoft.powershell32) 或访问受限制的自定义端点。-Authentication Enter-PSSession, Invoke-Command 指定身份验证机制 主要在非域环境如工作组或跨域信任出现问题时的备选方案如 Basic, CredSSP (用于双跳)Negotiate。-SessionOption Enter-PSSession, Invoke-Command 接受一个由 New-PSSessionOption 创建的对象用于精细控制会话的各种超时和连接行为 需要调整会话空闲超时(-IdleTimeout)、操作超时(-OperationTimeout) 或跳过证书检查等高级场景。认证方式此参数在复杂网络环境中至关重要。以下是几种常见机制的对比认证机制 安全性 主要应用场景 重要注意事项Kerberos (默认) 高 同一域或相互信任的域内的计算机之间。这是最方便、最安全的选择。 无需指定自动使用。依赖正常的AD信任关系。Negotiate 中-高 尝试使用Kerberos失败后降级至NTLM。可用于某些跨域场景。 比直接使用NTLM更优的选择。NTLM 中 工作组环境或无法使用Kerberos的域环境。 比Basic安全但仍可能受暴力破解威胁。在TrustedHosts中列出目标计算机。CredSSP 高 需要双跳认证的场景例如从计算机A连接到计算机B再从计算机B访问计算机C上的资源。 需在客户端和服务器端显式启用 (Enable-WSManCredSSP)。因 delegation 特性会带来一定安全风险需谨慎使用。Basic 低 需要与旧系统兼容或其他机制均失败时。 密码以Base64编码传输极易被解码。必须与 -UseSSL 一同使用以加密通道否则极度危险。实际案例1.连接到非标准端口并使用 SSL假设目标服务器 ServerA 的 WinRM HTTPS 监听在端口 9999并且你信任其自签名证书通过 -SessionOption 跳过部分检查。# 创建一个跳过CA检查和CN检查的会话选项测试环境常用生产环境请使用有效证书$so New-PSSessionOption -SkipCACheck -SkipCNCheck# 建立交互式会话Enter-PSSession -ComputerName ServerA -Port 9999 -UseSSL -SessionOption $so -Credential (Get-Credential)2.在工作组环境中使用特定认证方式你的计算机和工作组中的计算机 192.168.1.100 都需要已配置 WinRM# 1. 先将目标IP添加到本地TrustedHosts信任所有主机仅供参考请注意安全风险Set-Item WSMan:\localhost\Client\TrustedHosts -Value 192.168.1.100 -Force# 2. 使用Basic认证并连接必须配合SSL$cred Get-Credential # 输入192.168.1.100上的本地用户名和密码Invoke-Command -ComputerName 192.168.1.100 -UseSSL -Authentication Basic -Credential $cred -ScriptBlock { Get-Service WinRM } -Port 59863.使用 CredSSP 实现双跳认证CredSSP 将凭据缓存在远程服务器使用 CredSSP 会使你面临潜在的凭据盗窃攻击。 如果远程计算机被攻破攻击者将有权访问用户的凭据。 默认情况下CredSSP 在客户端和服务器计算机上都处于禁用状态。 应该仅在最受信任的环境中启用 CredSSP。 例如连接到域控制器的域管理员可能已启用 CredSSP因为域控制器是高度可信任的。假设你从本地客户端需要先登录到跳板机 JumpServer然后从跳板机访问另一台内部服务器 AppServer 上的资源。在跳板机 (JumpServer) 上启用 CredSSP 服务端以管理员身份运行Enable-WSManCredSSP -Role Server在你的本地客户端上启用 CredSSP 客户端并指定委托以管理员身份运行Enable-WSManCredSSP -Role Client -DelegateComputer JumpServer建立到跳板机的会话并使用 CredSSP$cred Get-Credential$session New-PSSession -ComputerName JumpServer -Credential $cred -Authentication CredSSPInvoke-Command -Session $session -ScriptBlock {# 现在可以从 JumpServer 访问 AppServer 上的资源了Get-Item \\AppServer\C$\SomeFile.txt}Remove-PSSession $session4.连接到 32 位 PowerShell 端点在某些需要兼容旧版32位应用程序或脚本的场景下可能需要连接到此端点Invoke-Command -ComputerName LegacyServer -ConfigurationName microsoft.powershell32 -ScriptBlock {# 这里运行在32位环境中[Environment]::Is64BitProcess # 会返回 False}5.基于资源的 Kerberos 约束委派从 Windows Server 2012 开始可以放弃使用 CredSSP而改为使用约束委派。 约束委派通过使用安全描述符而不是服务器名称允许列表来实现服务票证的委派。 这允许资源确定哪些安全主体可以代表另一个用户请求票证。 无论域的功能级别如何基于资源的约束委派都能正确工作。约束委派需要访问与运行 Windows PowerShell 远程处理命令的主机计算机位于同一域中的域控制器。访问托管你尝试从中间远程服务器访问的远程服务器的域中的域控制器。设置权限的代码需要一台使用 Active Directory PowerShell 远程服务器管理工具 (RSAT) 运行 Windows Server 的计算机。 可通过运行以下两个命令将 RSAT 添加为 Windows 功能Add-WindowsFeature RSAT-AD-PowerShellImport-Module ActiveDirectory要将基于资源的 Kerberos 约束委派从 LON-SVR1 授予到 LON-SVR2然后再到 LON-SVR3请运行以下命令Set-ADComputer -Identity LON-SVR2 -PrincipalsAllowedToDelegateToAccount LON-SVR3有一个问题可能导致此命令失败。 密钥发行中心 (KDC) 有 15 分钟的 SPN 负缓存。 如果 LON-SVR2 已尝试与 LON-SVR3 通信则存在一个负缓存条目。 需要使用以下方法之一来清除 LON-SVR2 上的缓存运行命令 klist purge -li 0x3e7。 这是首选方法也是最快的方法。等待 15 分钟使缓存自动清除。重启 LON-SVR2。要测试约束委派请运行以下代码示例$cred Get-Credential Adatum\TestUserInvoke-Command -ComputerName LON-SVR1.Name -Credential $cred -ScriptBlock {Test-Path \\$($using:ServerC.Name)\C$ Get-Process lsass -ComputerName $($using:LON-SVR2.Name)Get-EventLog -LogName System -Newest 3 -ComputerName $using:LON-SVR3.Name}6.Just Enough Administration这种技术比较高级暂时还handle不了略过。感兴趣可以看下图官网解释会话控制New-PSSessionOption 创建的会话选项对象可以精细控制会话行为并通过 -SessionOption 参数传递给命令# 创建一个会话选项调整各种超时设置并跳过证书检查测试用$options New-PSSessionOption -IdleTimeout (60 * 60 * 1000) # 空闲超时1小时单位毫秒-OperationTimeout (5 * 60 * 1000) # 操作超时5分钟-OpenTimeout (2 * 60 * 1000) # 打开连接超时2分钟-SkipCACheck # 跳过CA检查测试环境自签名证书时-SkipCNCheck # 跳过CN检查测试环境证书名称不匹配时# 在Invoke-Command中使用此会话选项Invoke-Command -ComputerName SecureServer -UseSSL -SessionOption $options -ScriptBlock { Get-Process }重要提醒 -SkipCACheck 和 -SkipCNCheck 会降低连接的安全性仅建议在测试环境或受信任的隔离网络中使用。生产环境应部署有效的、由受信任CA签发的证书并确保证书名称与主机名匹配。参数发送到远程计算机以下命令的意图是列出每台目标计算机上 10 条最近的安全事件日志项。 但此命令将不会按编写的那样起作用$Log Security$Quantity 10Invoke-Command –Computer ONE,TWO –ScriptBlock {Get-EventLog –LogName $Log –Newest $Quantity}原因在于变量 $Log 和 $Quantity 仅在本地计算机上有意义在将这些值发送到远程计算机之前这些值不会插入到脚本块中。 因此远程计算机不能理解这些值。此命令的正确语法如下所示$Log Security$Quantity 10Invoke-Command –Computer ONE,TWO –ScriptBlock {Param($x,$y) Get-EventLog –LogName $x –Newest $y} –ArgumentList $Log,$Quantity通过此语法局部变量将传递给 Invoke-Command 的 ArgumentList 参数。 在脚本块中创建了一个 Param() 块其中包含与 –ArgumentList 值列表相同数量的变量在本例中为两个。Windows PowerShell 3.0 引入了简化的替代方法。 如果有一个局部变量 $variable并且希望将其内容包含在将在远程计算机上运行的命令中可运行以下语法Invoke-Command –ScriptBlock { Do-Something $Using:variable } –ComputerName REMOTE$Using: 前缀经本地和远程计算机正确处理从而让 $Using:variable 被局部变量 $variable 的内容替换。更多范围可以回顾函数与模块变量的变量范围里查看会话管理与远程计算机的持久连接每台计算机都有一个名为 WSMan 的驱动器其中包含许多与会话相关的配置参数例如最大会话运行时最长空闲时间最大传入连接数每个管理员的最大会话数可运行 dir WSMan:\localhost\shell 来浏览这些配置参数并在同一位置更改它们。 还可以通过组策略控制许多设置。创建和管理持久 PSSession以下命令在 Server01 和 Server02 上创建远程会话而会话对象将存储在 变量中$s$s New-PSSession -ComputerName Server01, Server02建立会话后你可以在这些会话中运行任何命令。 此外由于会话是持久的因此你可以从一个命令收集数据并在另一个命令中使用它。接着你可以统一管理不同session例如下面的命令在 变量中的会话中运行 Get-HotFix 命令并将结果保存在 $s 变量中$hInvoke-Command -Session $s {$h Get-HotFix}这些个session中都存了一个叫$h的变量所以后续操作依旧可以操作$hInvoke-Command -Session $s {$h | where {$_.InstalledBy -ne NTAUTHORITY\SYSTEM}}断开连接如你所了解当启动计算机和远程计算机都运行 Windows PowerShell 3.0 及更高版本时可以断开与 PSSession 的连接。 断开连接通常需要手动进行。 在某些情况下如果连接中断Windows PowerShell 会自动将连接置于“断开连接”状态。 但是如果手动关闭 Windows PowerShell 主机应用程序则其不会断开与会话的连接而只是将会话关闭。命令 作用 会话是否还存在远程机上 使用场景Exit-PSSession 退出交互模式返回本地 ✅ 存在 相当于“挂起对话”但不销毁Disconnect-PSSession 断开连接保留远程会话 ✅ 存在 想留着会话稍后从本地或其他机器再连上Remove-PSSession 销毁远程会话 ❌ 不存在 完全结束不再保留断开会话Disconnect-PSSession -Session $session会话不会销毁只是把连接切断。重新连接Connect-PSSession -ComputerName Server01 -Name 会话名或者如果你已经有 $session 对象比如导出来保存过也可以直接Connect-PSSession -Session $session断开 ≠ 关闭Disconnect-PSSession会话还在远程机上保持。Remove-PSSession才是真的销毁。自动断开如果网络掉线、远程机重启PowerShell 可能自动把状态变成 Disconnected。但是如果你直接关掉 PowerShell 窗口会话就直接被关闭了不会留在远程机。限制只能 reconnect 自己的会话不能接管别人开的。需要 Windows PowerShell 3.0。