Suppression d'un ordinateur de délégué pour une utilisation avec CredSSP

Question

J'ai un client CREDSSP activé sur mon bureau pour autoriser un transfert double-hop vers un certain nombre de serveurs. Certains de ces serveurs ont maintenant été décommandés, alors ma question est de savoir comment supprimer ces délégués spécifiques sans désactiver et réactiver CREDSSP, ce que j'ai fait jusqu'à présent?

Par exemple, pour ajouter un délégué supplémentaire que je peux faire:

Enable-WSManCredSSP -Role Client -DelegateComputer "mynewserver.mydomain.local" 

donc je veux être capable de faire quelque chose comme:

Remove-WSMANCredSSPDelegate -DelegateComputer "mynewserver.mydomain.local" 

mais tout ce que je peux faire est

Disable-WSManCredSSP -Role Client 

Des pensées?

Answer 1

Les paramètres pour les ordinateurs délégués sont conservés dans le Registre sous HKLM: \ SOFTWARE \ Policies \ Microsoft \ Windows \ CredentialsDelegation \ AllowFreshCredentials

J'ai essayé directement modifier ces valeurs, mais trouvé alors qu'ils pourraient être enlevés, il n'a pas effet. Heureusement, en utilisant les valeurs du registre, vous pouvez comparer les valeurs existantes à celles que vous souhaitez conserver, supprimer et désactiver/réactiver.

Voici un exemple, devrait être facile de se convertir à une applet de commande si on le souhaite:

$remove = 'COMPUTER-TO-REMOVE' 

$item = Get-Item 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials' 

$keep = $item | Select-Object -ExpandProperty 'Property' ` 
    | ForEach-Object { $item.GetValue($_).TrimStart('wsman/') } ` 
    | Where-Object { $_ -ne $remove } 

Disable-WSManCredSSP -Role Client 
if ($keep) { 
    Enable-WSManCredSSP -Role Client -DelegateComputer $keep -Force 1>$null 
}