WinRM configureren via Groepsbeleid op Windows-machines

WinRM configureren via Groepsbeleid op Windows-machines

Windows Remote Management, algemeen bekend als WinRM, is een protocol ontwikkeld door Microsoft dat het beheer op afstand van computers vergemakkelijkt. Het maakt gebruik van het WS-Management Protocol, dat speciaal is ontworpen voor het op afstand beheren van Windows-desktops en -servers. Dit artikel begeleidt u bij het effectief configureren van WinRM via Group Policy Objects (GPO) op Windows-machines.

WinRM configureren via GPO

Hoe WinRM via GPO op Windows-machines te configureren

Om WinRM in te stellen met behulp van GPO, volgt u de onderstaande stappen:

  1. Wijzig uw netwerkverbinding naar Privé of Domein
  2. Controleer of WinRM op uw apparaat is ingeschakeld
  3. Gebruik de Group Policy Management Console om WinRM te configureren
  4. Forceer een vernieuwing van GPO-instellingen op Windows

Laten we elke stap eens nader bekijken.

1] Wijzig uw verbinding naar privé of domein

Netwerkinstellingen voor WinRM wijzigen

Om WinRM in te schakelen, moet u verbonden zijn met een privé- of domeinnetwerk. Als u zich momenteel op een openbaar netwerk bevindt, volgt u deze stappen om over te schakelen naar het juiste netwerktype:

  1. Open Windows Instellingen met Win + I.
  2. Ga naar Netwerk en internet.
  3. Selecteer Wi-Fi en klik op uw WiFi-verbinding.
  4. Kies Privénetwerk.

Als u Ethernet gebruikt, zorg er dan voor dat u dezelfde wijzigingen toepast. Ga naar de volgende stap zodra u dit hebt voltooid.

2] Controleer of WinRM is ingeschakeld op uw apparaat

Controleer WinRM-status

De volgende stap is om te bepalen of WinRM al is ingeschakeld op uw systeem. Normaal gesproken hebben Windows Server-systemen deze functie vooraf geïnstalleerd, terwijl dit mogelijk niet het geval is voor Windows-clientsystemen. Om dit te controleren, opent u PowerShell met beheerdersrechten en voert u de volgende opdracht in:

WinRM enumerate winrm/config/listener

Als u een foutmelding zoals hieronder krijgt, betekent dit dat WinRM niet is geactiveerd:

WSManFaultMessage = De client kan geen verbinding maken met de bestemming die is opgegeven in de aanvraag. Controleer of de service op de bestemming actief is en aanvragen accepteert. Raadpleeg de logboeken en documentatie voor de WS-Management-service die op de bestemming wordt uitgevoerd, meestal IIS of WinRM. Als de bestemming de WinRM-service is, voert u de volgende opdracht uit op de bestemming om de WinRM-service te analyseren en configureren: “winrm quickconfig”.

Foutnummer: -2144108526 0x80338012

Om het in te schakelen, voert u de opdracht uit winrm quickconfig. Houd er echter rekening mee dat dit de functie alleen op de lokale machine inschakelt, terwijl configureren via GPO het op alle gebruikers in het domein toepast.

3] WinRM configureren met behulp van de Group Policy Management Console

WinRM configureren met de Group Policy Management Console

De Group Policy Management Console (GPMC) is uw go-to interface voor het beheren van Group Policy-instellingen in verschillende domeinen en forests. Wijzigingen die hier worden aangebracht, hebben invloed op alle gebruikers die zijn verbonden met uw Active Directory. Zo configureert u de WinRM-instelling:

  1. Open de GPMC door ernaar te zoeken in het Startmenu.
  2. Selecteer uw Active Directory-container (organisatie-eenheid) en maak een nieuwe GPO met de naam corpEnableWinRM.
  3. Open het nieuwe GPO om het te bewerken en ga naar Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Systeemservices.
  4. Zoek de Windows Remote Service (WS-Management) en stel de opstartmodus in op Automatisch.
  5. Ga naar Computerbeleid > Voorkeuren.
  6. Selecteer Configuratiescherminstellingen en vervolgens Services.
  7. Om een ​​nieuwe service te maken, kiest u Nieuw > Service, voert u WinRM in als servicenaam en klikt u op Service opnieuw starten op het tabblad Herstel.
  8. Ga naar Computerconfiguratie > Beleid > Beheersjablonen > Windows-onderdelen > Windows Remote Management (WinRM) > WinRM-service.
  9. Zoek Sta extern serverbeheer toe via WinRM en dubbelklik erop om te bewerken.
  10. Stel het in op Enabled en specificeer IP-adressen of subnetten in het IPv4/IPv6-filtervak. Om alle IP-adressen toe te staan, laat u het staan ​​op *.
  11. Maak een Windows Defender Firewall-regel voor WinRM-verbindingen op de standaardpoorten TCP/5985 en TCP/5986 via Computer > Beleid > Windows-instellingen > Beveiligingsinstellingen > Windows Firewall met geavanceerde beveiliging > Inkomende regels.
  12. Selecteer de vooraf gedefinieerde regels voor Windows Remote Management en maak de regel.
  13. Ga ten slotte naar Computerconfiguratie > Beleid > Beheersjablonen > Windows-onderdelen > Windows Remote Shell, zoek naar Toegang tot externe shell toestaan ​​en schakel deze optie in.

U hebt nu met succes een GPO-regel voor WinRM geconfigureerd.

4] Forceer Windows om GPO-instellingen te vernieuwen

GPO-update afdwingen

Om de nieuwe GPO-instellingen op de clientapparaten toe te passen, voert u GPUdate.exe uit. Open de opdrachtprompt met beheerdersrechten en voer de volgende opdracht in:

gpupdate /force

Met deze opdracht wordt het systeem gedwongen alle beleidsregels die binnen de domeincontroller zijn geconfigureerd, te verwerken en toe te passen.

Als u wilt bevestigen dat WinRM is ingeschakeld, voert u uit WinRM enumerate winrm/config/listener. Dit geeft de listenerconfiguratiedetails.

En dat is alles!

Hoe schakel ik WinRM in via GPO?

Om WinRM via Groepsbeleidsobjecten in te schakelen, is het kritieke beleid dat moet worden geconfigureerd ‘Beheer van externe servers via WinRM toestaan’. Zorg ervoor dat u de vereiste stappen volgt om deze configuratie succesvol toe te passen op uw clientsystemen.

Hoe schakel ik WinRM in vanaf de opdrachtregel?

Om WinRM in te schakelen via de opdrachtregel, opent u PowerShell of de opdrachtprompt met verhoogde bevoegdheden en voert u winrm quickconfigof uit Enable-PSRemoting –Force. Om de huidige status van WinRM te controleren, voert u uit WinRM enumerate winrm/config/listener.

Bron

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *