Jak povolit vzdálenou správu počítačů v AD pro PowerShell?

Všude se píše, že pro povolení vzdálené správy počítačů přes PowerShell stačí, když v PowerShellu spustíte příkaz Enable-PSRemoting -force. Prý, že to stačí. Jenže ono to není tak snadné, protože firewal je poměrně dost složitý software. Do jisté míry si myslím, že ten defaultní Windows Firewall je mnohem složitější na konfiguraci, než programy třetích stran. Je to tím, že je mnohem více integrovaný do operačního systému a na jeho správu potřebujete znát i trochu té omáčky kolem.

Jedna ze srandiček Microsoftu spočívá v překladech. Firewall se spravuje pomocí názvů pravidel, která jsou u nás počeštěná, takže když už si vygooglíte nějaký ten chytrý příkaz, musíte si ho ještě dopřeložit do češtiny.

Takže v čem je problém?

Cmdlet Enable-PSRemoting sice nastaví WinRM (port 5985) službu pro správu Windows, ale udělá to tak, že mu nastaví vysokou úroveň zabezpečení no a pokud nepoužíváte pro autentizaci uživatelů Kerberos a podobné srandičky, tak máte problém.

OK. Co s tím?

  • Spustit firewall jako admin.
  • Najít službu s názvem „Vzdálená správa systému Windows (HTTP-IN)“ u doménového profilu.
  • Po otevření na záložce „Vzdálené počítače„, odkliknout „Povolit připojení pouze z těchto počítačů„.
  • Na záložce „Vzdálení uživatelé“ odkliknout „Povolit připojení pouze od těchto uživatelů„.
  • Na záložce obecné vybrat v AkcíchPovolit připojení„.

To je asi vše. Respektive tohle vyřešilo moje problémy. Je to sice prasárna, ale co se dá dělat, když pracujete v podniku jako já. Jinak v případě problémů určitě dobrým zdrojem informací je příkaz v PS get-help about_Remote_Troubleshooting -ShowWindow. Jinak docela užitečný je také příkaz winrm.cmd, který docela hezky umí, mimo jiné, vypsat konfuguraci WinRM. Třeba winrm get winrm/config vypíše docela důležité informace. No a pokud následovně upravíte příkaz na winrm get winrm/config/listener, zjistíte, jestli a jak je nastavený listener na naslouchání. Je totiž potřeba, aby naslouchal na nějakém rozhraní, jinak docela logicky nefunguje. Defaultně je tam *, takže naslouchá všude, ale co když jste to už dříve měnili?

Testováno na Windows 10.