რა არის WinRM (იგივე Poweshell Remoting)?

WinRM ტექნოლოგია (იგივე Powershell Remote) გვაძლევს საშუალებას ერთი კომპიუტერიდან დისტანციურად ვიმუშაოთ მეორე კომპიუტერის Powershell-თან. სტანდარტულად ეს ტექნოლოგია გათვლილია Domain ქსელებში სამუშაოდ და იყენებს Kerberos ავთენტიფიკაციის მექანიზმს.

ერთი კომპიუტერიდან მეორე კომპიუტერზე დისტანციურად Powershell-ის გამოყენება რათქმა უნდა უსაფრთხოებას გარკვეულ პრობლემას უქმნის. Microsoft-ს შეფასებით Workgroup ქსელები ნაკლებად უსაფრთხოა ვიდრე Domain ქსელები, ამიტომ WinRM-ის გამართვა Workgroup ქსელში მეტ მოქმედებას მოითხოვს. Workgrop ქსელებში WinRM იყენებს NTLM ავთენტიფიკაციას.

WinRM გამართვის გეგმა

წარმოვიდგინოთ რომ არსებობს ორი კომპიუტერი Worgroup-ში

  • ადმინის კომპიუტერი, რომლიდანაც მოხდება მართვა – guest – 192.168.88.2
  • მომხმარებლის კომპიუტერი, რომელიც დისტანციურად უნდა ვმართოთ – host – 192.168.88.241

რა დაგვჭირდება?

  • ორივე კომპიუტერი უნდა იყოს Private ქსელში
  • host კომპიუტერზე ჩავრთოთ და დავუშვათ WinRM
  • host კომპიუტერზე ფაირვოლში უნდა იყოს დაშვებული 5985 პორტი
  • guest კომპიუტერზე უნდა მოხდეს ჰოსტების ნდობა
  • host კომპიუტერზე უნდა გვქონდეს ადმინის უფლებების მქონე იუზერი, რომელსაც ადევს ჩვენთვის ცნობილი პაროლი

WinRM ჩართვა

ამ ეტაპის შესრულებამდე დარწმუნდით, რომ ორივე კომპიუტერი Private ქსელშია

host კომპიუტერზე გახსენით Powershell ადმინის უფლებებით და გაუშვით ბრძანება

Enable-PsRemote

საჭიროებისამებრ დაეთანხმეთ ყველა მოთხოვნას, რომელსაც Powershell წაგიყენებთ

5985 პორტის დაშვება

დაუშვით host კომპიუტერზე 5985 პორტი. ეს შეიძლება გააკეთოთ Powershell ბრძანებითაც:

Set-NetFirewallRule -DisplayName “Windows Remote Management (HTTP-In)” -RemoteAddress 192.168.88.2

Enable-NetFirewallRule -DisplayName “Windows Remote Management (HTTP-In)”

ამ კონკრეტულ მაგალითზე მე დავუშვი კონკრეტულად ადმინის კომპიუტერის IP 88.2 თქვენ ჩასვით თქვენი კომპის IP ან თუ ნებისმიერი IP-ის დაშვება გინდათ კონკრეტული მისამართს მითითების ნაცვლად ჩაწერეთ Any

დარწმუნდით რომ ქსელური კავშირი მყარდება. guest კომპიუტერიდან გაუშვით

Test-NetConnection 192.168.88.241 –Port 5985

შემდეგ

Test-WsMan 192.168.88.241

ბოლო ბრძანებით თქვენ დარწმუნდებით, რომ guest კომპიუტერიდან ჩანს  host კომპიუტერზე მომუშავე WinRM სერვისი

ნდობის ჩართვა ადმინის კომპზე

იმისთვის რომ დაუკავშირდეთ დისტანციურ კომპიუტერს WinRM-ით საჭიროა თქვენი კომპიუტერი ენდობოდეს მას.

ამისთვის guest კომპზე გამოვიყენოთ ბრძანება:

Set-Item wsman:\localhost\client\TrustedHosts -Value 192.168.88.241 -Force

იმისთვის, რომ გაიგოთ რა აიპები გაქვთ დაშვებული აკრიფეთ ბრძანება

get-Item WSMan:\localhost\Client\TrustedHosts

ახალი აიპის დასაშვებად გამოგადგებათ -Concatenate

Set-Item WSMan:\localhost\Client\TrustedHosts -Value 192.168.88.240 -Concatenate

ნებისმიერი აიპის დასაშვებად გამოიყენება:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value “*” –Force

დაშვების სიის გასანულებლად და ყველაფრის აკრძალვისთვის

Set-Item WSMan:\localhost\Client\TrustedHosts -Value “” –Force

გაითვალისწინეთ დაშვება უნდა გააკეთოთ კომპიუტერზე, რომლითაც შედიხართ და არა სადაც შედიხართ!

შესვლა

ამ ეტაპისთვის ყველაფერი მზად გვაქვს. guest კომპიუტერში აკრიფეთ:

Enter-PSSession -ComputerName 192.168.88.241 -Credential 192.168.13.241\User

გამოსულ ფანჯარაში ჩავწეროთ ჩვენი იუზერის პაროლი

რა თქმა უნდა -Credential 192.168.13.241\User თქვენ User-ის ნაცვლად უნდა მიუთითოთ ის ადმინისტრატორის უფლებების მქონე მომხარებელი, რომელიც გაქვთ თქვენ სამიზნე კომპიუტერზე.