5

Я должен управлять школьной сетью из примерно 60 компьютеров Windows, которые настроены как компьютеры рабочей группы, а не как домен. Чтобы упростить настройку, я собираюсь включить удаленное взаимодействие PowerShell на всех компьютерах. (Я знаю о Enable-PSRemoting и о том, как его настроить вообще). Чтобы максимально снизить риски безопасности, удаленное взаимодействие с этими компьютерами должно быть возможно только с моего компьютера администратора с определенным IP-адресом.

Итак, рассмотрим этот пример:

Computer 1: only accepts remoting connection from admin, not from computer 2
Computer 2: only accepts remoting connection from admin, not from computer 1
Admin computer: can remote on all computers

Я не уверен, как настроить брандмауэр Windows на компьютерах, чтобы разрешить трафик протокола WinRM только с одного IP-адреса. Вся сеть настроена как «частная».

Может кто-нибудь помочь мне с включением правильных правил брандмауэра?

|источник

2 ответа2

6

Как описано в этой статье: Включение удаленного взаимодействия PowerShell только для указанного набора IP-адресов.

(для каждого клиента pc1/pc2/pc ...) вам необходимо:

enable-psremoting

дальше: удалите прослушиватель winrm, созданный enable-psremoting

Remove-WSManInstance winrm/config/Listener -SelectorSet @{Address="*";Transport="http"}

теперь машина никого не слушает, поэтому вам нужно создать новый слушатель для администратора -client

New-WSManInstance winrm/config/Listener -SelectorSet @{Address="IP:10.11.12.13";Transport="http"}

теперь перезапустите сервис winrm

spsv winrm -pass | sasv -pass |gsv   #*

(вы должны запустить PowerShell от имени администратора)

\*
*spsv = stop-service // sasv = start-service // gsv = get-service // -pass = -passThrough*
|источник
0

Может быть, вам нужен список доверенных лиц Powershell?
Вы не можете удаленно в машину, если вы не в списке доверенных лиц

Запустите консоль Powershell от имени администратора

запустите этот комманд:

get-item wsman:\localhost\client\trustedhosts

"Значение" должно быть IP-адресом или именем клиента администратора. Чтобы установить это значение, выполните:

set-item wsman:\localhost\client\trustedhosts 192.168.1.2

(если уже есть одно значение или если у вас есть admin-клиенты:

set-item wsman:\localhost\client\trustedhosts -concatenate admin02pcName

) Конечно, подстановочные знаки разрешены
Вы можете сократить get-item с помощью gi и set-item с помощью si и -concatenate с -concat

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .