请在此处输入显示名称 请在此处输入描述 允许通过 WinRM 进行远程服务器管理 允许基本身份验证 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否使用基本身份验证。 如果启用此策略设置，则 WinRM 客户端使用基本身份验证。如果将 WinRM 配置为使用 HTTP 传输，则以明文形式通过网络发送用户名和密码。 如果禁用或未配置此策略设置，则 WinRM 客户端不使用基本身份验证。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否接受来自远程客户端的基本身份验证。 如果启用此策略设置，则 WinRM 服务接受来自远程客户端的基本身份验证。 如果禁用或未配置此策略设置，则 WinRM 服务不接受来自远程客户端的基本身份验证。 允许未加密通信 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否通过网络发送和接收未加密的邮件。 如果启用此策略设置，则 WinRM 客户端通过网络发送和接收未加密的邮件。 如果禁用或未配置此策略设置，则 WinRM 客户端仅通过网络发送或接收加密的邮件。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否通过网络发送和接收未加密的邮件。 如果启用此策略设置，则 WinRM 客户端通过网络发送和接收未加密的邮件。 如果禁用或未配置此策略设置，则 WinRM 客户端仅通过网络发送或接收加密的邮件。 不允许 WinRM 存储 RunAs 凭据 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否允许为任何插件存储 RunAs 凭据。 如果启用此策略设置，则 WinRM 服务不允许为任何插件设置 RunAsUser 或 RunAsPassword 配置值。 如果插件已设置 RunAsUser 和 RunAsPassword 配置值，则会从此计算机上的凭据存储中清除 RunAsPassword 配置值。 如果禁用或未配置此策略设置，则 WinRM 服务允许为插件设置 RunAsUser 和 RunAsPassword 配置值并安全地存储 RunAsPassword 值。 如果启用并随后禁用了此策略设置，则需要重置以前为 RunAsPassword 配置的任何值。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否在网络上自动侦听通过默认 HTTP 端口的 HTTP 传输请求。 如果启用此策略设置，则 WinRM 服务在网络上自动侦听通过默认 HTTP 端口的 HTTP 传输请求。 要允许 WinRM 服务通过网络接收请求，请为端口 5985 (HTTP 默认端口)以外的端口配置 Windows 防火墙策略设置。 如果禁用或未配置此策略设置，则 WinRM 服务不会响应来自远程计算机的请求，无论是否配置了任何 WinRM 侦听器。 该服务侦听由 IPv4 和 IPv6 筛选器指定的地址。IPv4 筛选器指定一个或多个 IPv4 地址范围，而 IPv6 筛选器指定一个或多个 IPv6 地址范围。如果指定，则该服务枚举计算机上的可用 IP 地址，并仅使用某个筛选器范围内的地址。 你应该使用星号(*)指示该服务侦听计算机上的所有可用 IP 地址。使用 * 时，将会忽略筛选器中的其他范围。如果将筛选器保留空白，则该服务不会侦听任何地址。 例如，如果要让该服务仅侦听 IPv4 地址，请将 IPv6 筛选器保留空白。 范围是使用语法 IP1-IP2 指定的。多个范围之间使用“,”(逗号)作为分隔符进行分隔。 示例 IPv4 筛选器:\n2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 示例 IPv6 筛选器:\n3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562 不允许使用摘要式身份验证 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否使用摘要式身份验证。 如果启用此策略设置，则 WinRM 客户端不使用摘要式身份验证。 如果禁用或未配置此策略设置，则 WinRM 客户端使用摘要式身份验证。 不允许协商身份验证 不允许使用 Kerberos 身份验证 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否使用协商身份验证。 如果启用此策略设置，则 WinRM 客户端不使用协商身份验证。 如果禁用或未配置此策略设置，则 WinRM 客户端使用协商身份验证。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否接受来自远程客户端的协商身份验证。 如果启用此策略设置，则 WinRM 服务不接受来自远程客户端的协商身份验证。 如果禁用或未配置此策略设置，则 WinRM 服务接受来自远程客户端的协商身份验证。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否使用 Kerberos 身份验证。 如果启用此策略设置，则 Windows 远程管理(WinRM)客户端不直接使用 Kerberos 身份验证。如果 WinRM 客户端正在使用协商身份验证并且选择了 Kerberos，则仍然可以使用 Kerberos。 如果禁用或未配置此策略设置，则 WinRM 客户端直接使用 Kerberos 身份验证。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否通过网络接受 Kerberos 凭据。 如果启用此策略设置，则 WinRM 服务不通过网络接受 Kerberos 凭据。 如果禁用或未配置此策略设置，则 WinRM 服务接受来自远程客户端的 Kerberos 身份验证。 允许 CredSSP 身份验证 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否使用 CredSSP 身份验证。 如果启用此策略设置，则 WinRM 客户端使用 CredSSP 身份验证。 如果禁用或未配置此策略设置，则 WinRM 客户端不使用 CredSSP 身份验证。 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)服务是否接受来自远程客户端的 CredSSP 身份验证。 如果启用此策略设置，则 WinRM 服务接受来自远程客户端的 CredSSP 身份验证。 如果禁用或未配置此策略设置，则 WinRM 服务不接受来自远程客户端的 CredSSP 身份验证。 指定通道绑定令牌强化级别 通过使用此策略设置，可以设置与通道绑定令牌有关的 Windows 远程管理(WinRM)服务强化级别。 如果启用此策略设置，则 WinRM 服务使用“强化级别”中指定的级别，根据提供的通道绑定令牌来确定是否接受收到的请求。 如果禁用或未配置此策略设置，则可以在每个计算机上本地配置强化级别。 如果“强化级别”设置为“严格”，则拒绝所有不包含有效通道绑定令牌的请求。 如果“强化级别”设置为“宽松”(默认值)，则拒绝所有包含无效通道绑定令牌的请求。不过，接受不包含通道绑定令牌的请求(但不会为其提供保护以免遭凭据转发攻击)。 如果“强化级别”设置为“无”，则接受所有请求(但不会为其提供保护以免遭凭据转发攻击)。 无 严格 宽松 Windows 远程管理(WinRM) WinRM 客户端 WinRM 服务 受信任的主机 通过使用此策略设置，可以管理 Windows 远程管理(WinRM)客户端是否使用 TrustedHostsList 中指定的列表来确定目标主机是否为受信任的实体。 如果启用此策略设置，则 WinRM 客户端使用 TrustedHostsList 中指定的列表来确定目标主机是否为受信任的实体。如果不使用 HTTPS 和 Kerberos 对主机身份进行验证，则 WinRM 客户端使用此列表。 如果禁用或未配置此策略设置，而 WinRM 需要使用受信任的主机列表，你必须在每个计算机上本地配置受信任的主机列表。 启用兼容性 HTTP 侦听器 启用兼容性 HTTPS 侦听器 此策略设置启用或关闭在 Windows 远程管理(WinRM)服务中为保持向后兼容而创建的 HTTP 侦听器。 如果启用此策略设置，则始终显示 HTTP 侦听器。 如果禁用或未配置此策略设置，则从不显示 HTTP 侦听器。 在将某些端口 80 侦听器迁移到 WinRM 2.0 时，侦听器端口号将更改为 5985。 可以在端口 80 上自动创建一个侦听器以确保向后兼容。 此策略设置启用或关闭在 Windows 远程管理(WinRM)服务中为保持向后兼容而创建的 HTTPS 侦听器。 如果启用此策略设置，则始终显示 HTTPS 侦听器。 如果禁用或未配置此策略设置，则从不显示 HTTPS 侦听器。 在将某些端口 443 侦听器迁移到 WinRM 2.0 时，侦听器端口号将更改为 5986。 可以在端口 443 上自动创建一个侦听器以确保向后兼容。 IPv4 筛选器: IPv6 筛选器: 语法: 键入“*”以允许来自任何 IP 地址的消息，或 将该字段保留空白，以便不侦听任何 IP 地址。可以指定一个 或多个 IP 地址范围。 示例 IPv4 筛选器: 2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 * 示例 IPv6 筛选器: 3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562 * TrustedHostsList: 语法: 按照以逗号分隔的主机名列表配置受信任的 主机。可以使用通配符(*)，但 主机名模式中仅允许有一个通配符。 使用“<local>”(不区分大小写)来指示 不包含句点(.)的所有主机名。 此列表可以为空，以指示没有受信任的主机。 使用星号(*)指示所有主机都是受信任的。 如果使用 *，则列表中不会出现任何其他模式。 示例: *.mydomain.com 指示 mydomain.com 中的所有计算机都是受信任的 2.0.* 指示所有以 2.0. 开头的 IP 地址都是受信任的 强化级别: