删除要与CredSSP一起使用的代理计算机

Question

我在我的桌面上启用了CREDSSP客户端，以允许对许多服务器进行双跳远程处理。其中一些服务器现在已经退役，所以我的问题是，我如何在不禁用和重新启用CREDSSP的情况下删除这些特定的委托？

例如，添加一个额外的委托，我可以这样做：

Enable-WSManCredSSP -Role Client -DelegateComputer "mynewserver.mydomain.local"

因此，我希望能够做到以下几点：

Remove-WSMANCredSSPDelegate -DelegateComputer "mynewserver.mydomain.local"

但我所能做的

Disable-WSManCredSSP -Role Client

有什么想法吗？

Answer 1

委派计算机的设置保存在注册表中的HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials下

我尝试直接修改这些值，但发现虽然可以删除它们，但它不起作用。幸运的是，使用注册表值，您可以将现有值与您希望保留、删除和禁用/重新启用的值进行比较。

下面是一个示例，如果需要，应该可以很容易地转换为cmdlet：

$remove = 'COMPUTER-TO-REMOVE'

$item = Get-Item 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCredentials'

$keep = $item | Select-Object -ExpandProperty 'Property' `
    | ForEach-Object { $item.GetValue($_).TrimStart('wsman/') } `
    | Where-Object { $_ -ne $remove }

Disable-WSManCredSSP -Role Client
if ($keep) {
    Enable-WSManCredSSP -Role Client -DelegateComputer $keep -Force 1>$null
}

Answer 2

Disable-WSManCredSSP -Role Server

和

Disable-WSManCredSSP -Role Client

=全部清理干净