Configurazione di WinRM tramite Criteri di gruppo su computer Windows

Windows Remote Management, comunemente noto come WinRM, è un protocollo sviluppato da Microsoft che facilita la gestione remota dei computer. Utilizza il protocollo WS-Management, progettato specificamente per la gestione remota di desktop e server Windows. Questo articolo ti guiderà su come configurare efficacemente WinRM tramite Group Policy Objects (GPO) su macchine Windows.

Come configurare WinRM tramite GPO su macchine Windows

Per configurare WinRM tramite GPO, seguire i passaggi descritti di seguito:

1. Cambia la tua connessione di rete in Privata o Dominio
2. Verifica se WinRM è abilitato sul tuo dispositivo
3. Utilizzare la console di gestione dei criteri di gruppo per configurare WinRM
4. Forzare un aggiornamento delle impostazioni GPO su Windows

Analizziamo nel dettaglio ogni passaggio.

1] Cambia la tua connessione in privata o dominio

Per abilitare WinRM, devi essere connesso a una rete privata o di dominio. Se sei attualmente su una rete pubblica, segui questi passaggi per passare al tipo di rete appropriato:

1. Aprire le Impostazioni di Windows utilizzando Win+I.
2. Andare su Rete e Internet.
3. Seleziona Wi-Fi e clicca sulla tua connessione Wi-Fi.
4. Seleziona Rete privata.

Se stai usando Ethernet, assicurati di applicare le stesse modifiche. Una volta completato questo, procedi al passaggio successivo.

2] Verifica se WinRM è abilitato sul tuo dispositivo

Il passo successivo è determinare se WinRM è già abilitato sul tuo sistema. In genere, i sistemi Windows Server hanno questa funzionalità preinstallata, mentre potrebbe non essere il caso dei sistemi client Windows. Per verificarlo, apri PowerShell con privilegi di amministratore e inserisci il seguente comando:

WinRM enumerate winrm/config/listener

Se ricevi un messaggio di errore come quello riportato di seguito, significa che WinRM non è attivato:

WSManFaultMessage = Il client non riesce a connettersi alla destinazione specificata nella richiesta. Verificare che il servizio sulla destinazione sia in esecuzione e accetti richieste. Consultare i log e la documentazione per il servizio WS-Management in esecuzione sulla destinazione, più comunemente IIS o WinRM. Se la destinazione è il servizio WinRM, eseguire il seguente comando sulla destinazione per analizzare e configurare il servizio WinRM: “winrm quickconfig”.

Numero di errore: -2144108526 0x80338012

Per abilitarlo, esegui il comando winrm quickconfig. Tuttavia, tieni presente che questo abilita la funzionalità solo sulla macchina locale, mentre la configurazione tramite GPO la applica a tutti gli utenti del dominio.

3] Configurare WinRM tramite la console di gestione dei criteri di gruppo

La Group Policy Management Console (GPMC) è la tua interfaccia di riferimento per la gestione delle impostazioni di Group Policy in vari domini e foreste. Le modifiche apportate qui avranno un impatto su tutti gli utenti connessi al tuo Active Directory. Ecco come puoi configurare l’impostazione WinRM:

1. Aprire GPMC cercandolo nel menu Start.
2. Seleziona il contenitore Active Directory (Unità organizzativa) e crea un nuovo GPO denominato corpEnableWinRM.
3. Aprire il nuovo GPO per modificarlo e andare su Configurazione computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Servizi di sistema.
4. Trova il servizio remoto Windows (WS-Management) e imposta la modalità di avvio su Automatico.
5. Vai a Criteri del computer > Preferenze.
6. Selezionare Impostazioni Pannello di controllo e quindi Servizi.
7. Per creare un nuovo servizio, seleziona Nuovo > Servizio, inserisci WinRM come nome del servizio e clicca su Riavvia il servizio nella scheda Ripristino.
8. Passare a Configurazione computer > Criteri > Modelli amministrativi > Componenti di Windows > Gestione remota Windows (WinRM) > Servizio WinRM.
9. Trova Consenti la gestione remota del server tramite WinRM , fai doppio clic per modificarlo.
10. Impostalo su Enabled e specifica gli indirizzi IP o le subnet nella casella del filtro IPv4/IPv6. Per consentire tutti gli indirizzi IP, lascialo come *.
11. Creare una regola del firewall di Windows Defender per le connessioni WinRM sulle porte predefinite TCP/5985 e TCP/5986 andando su Computer > Criteri > Impostazioni di Windows > Impostazioni di sicurezza > Windows Firewall con sicurezza avanzata > Regole in entrata.
12. Selezionare le regole predefinite per Gestione remota Windows e creare la regola.
13. Infine, vai su Configurazione computer > Criteri > Modelli amministrativi > Componenti di Windows > Windows Remote Shell, trova Consenti accesso Remote Shell e abilitalo.

Hai configurato correttamente una regola GPO per WinRM.

4] Forza Windows ad aggiornare le impostazioni GPO

Per applicare le nuove impostazioni GPO sui dispositivi client, esegui GPUdate.exe. Apri il Prompt dei comandi con diritti amministrativi e inserisci il seguente comando:

gpupdate /force

Questo comando forza il sistema a elaborare tutte le policy configurate nel controller di dominio e ad applicarle.

Se desideri confermare che WinRM è stato abilitato, esegui WinRM enumerate winrm/config/listener. Ciò fornirà i dettagli di configurazione dell’ascoltatore.

E questo è tutto!

Come abilitare WinRM tramite GPO?

Per abilitare WinRM tramite oggetti Criteri di gruppo, il criterio critico da configurare è “Consenti la gestione remota del server tramite WinRM”. Assicurarsi di seguire i passaggi prerequisiti necessari per applicare correttamente questa configurazione ai sistemi client.

Come abilitare WinRM dalla riga di comando?

Per abilitare WinRM tramite la riga di comando, apri PowerShell o il prompt dei comandi con privilegi elevati ed esegui winrm quickconfigo Enable-PSRemoting –Force. Per controllare lo stato corrente di WinRM, esegui WinRM enumerate winrm/config/listener.

Fonte