Konfigurowanie usługi WinRM za pomocą zasad grupy na komputerach z systemem Windows

Windows Remote Management, powszechnie znany jako WinRM, to protokół opracowany przez Microsoft, który ułatwia zdalne zarządzanie komputerami. Wykorzystuje protokół WS-Management, który został zaprojektowany specjalnie do zdalnej obsługi komputerów stacjonarnych i serwerów Windows. Ten artykuł poprowadzi Cię przez efektywne konfigurowanie WinRM za pomocą Group Policy Objects (GPO) na komputerach z systemem Windows.

Jak skonfigurować WinRM za pomocą GPO na komputerach z systemem Windows

Aby skonfigurować usługę WinRM za pomocą obiektu GPO, wykonaj poniższe czynności:

1. Zmień połączenie sieciowe na prywatne lub domenowe
2. Sprawdź, czy na Twoim urządzeniu włączona jest usługa WinRM
3. Użyj Konsoli zarządzania zasadami grupy, aby skonfigurować usługę WinRM
4. Wymuś odświeżenie ustawień GPO w systemie Windows

Przyjrzyjmy się szczegółowo każdemu krokowi.

1] Zmień połączenie na prywatne lub domenowe

Aby włączyć WinRM, musisz być połączony z siecią prywatną lub domenową. Jeśli obecnie znajdujesz się w sieci publicznej, wykonaj następujące kroki, aby przełączyć się na odpowiedni typ sieci:

1. Otwórz Ustawienia systemu Windows za pomocą kombinacji klawiszy Win + I.
2. Przejdź do sekcji Sieć i Internet.
3. Wybierz Wi-Fi i kliknij na swoje połączenie WiFi.
4. Wybierz Sieć prywatną.

Jeśli używasz Ethernetu, upewnij się, że zastosujesz te same zmiany. Po wykonaniu tej czynności przejdź do następnego kroku.

2] Sprawdź, czy WinRM jest włączony na Twoim urządzeniu

Następnym krokiem jest ustalenie, czy WinRM jest już włączony w systemie. Zazwyczaj systemy Windows Server mają tę funkcję wstępnie zainstalowaną, podczas gdy w systemach klienckich Windows może tak nie być. Aby to sprawdzić, otwórz program PowerShell z uprawnieniami administratora i wprowadź następujące polecenie:

WinRM enumerate winrm/config/listener

Jeśli pojawi się komunikat o błędzie podobny do poniższego, oznacza to, że usługa WinRM nie została aktywowana:

WSManFaultMessage = Klient nie może połączyć się z miejscem docelowym określonym w żądaniu. Sprawdź, czy usługa w miejscu docelowym jest uruchomiona i akceptuje żądania. Zapoznaj się z dziennikami i dokumentacją usługi WS-Management uruchomionej w miejscu docelowym, najczęściej IIS lub WinRM. Jeśli miejscem docelowym jest usługa WinRM, uruchom następujące polecenie w miejscu docelowym, aby przeanalizować i skonfigurować usługę WinRM: „winrm quickconfig” .

Numer błędu: -2144108526 0x80338012

Aby ją włączyć, uruchom polecenie winrm quickconfig. Należy jednak pamiętać, że ta funkcja jest włączana tylko na komputerze lokalnym, podczas gdy konfiguracja za pomocą GPO dotyczy wszystkich użytkowników w domenie.

3] Konfigurowanie usługi WinRM za pomocą konsoli zarządzania zasadami grupy

Konsola zarządzania zasadami grupy (GPMC) to Twój interfejs do zarządzania ustawieniami zasad grupy w różnych domenach i lasach. Zmiany wprowadzone tutaj będą miały wpływ na wszystkich użytkowników podłączonych do usługi Active Directory. Oto, jak możesz skonfigurować ustawienia WinRM:

1. Otwórz GPMC, wyszukując go w menu Start.
2. Wybierz kontener Active Directory (jednostkę organizacyjną) i utwórz nowy obiekt GPO o nazwie corpEnableWinRM.
3. Otwórz nowy obiekt zasad grupy do edycji i przejdź do Konfiguracja komputera > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Usługi systemowe.
4. Znajdź usługę Windows Remote Service (WS-Management) i ustaw jej tryb uruchamiania na Automatyczny.
5. Przejdź do Zasad komputera > Preferencje.
6. Wybierz Ustawienia Panelu sterowania, a następnie Usługi.
7. Aby utworzyć nową usługę, wybierz Nowy > Usługa, wpisz WinRM jako nazwę usługi i kliknij Uruchom ponownie usługę na karcie Odzyskiwanie.
8. Przejdź do Konfiguracja komputera > Zasady > Szablony administracyjne > Składniki systemu Windows > Zdalne zarządzanie systemem Windows (WinRM) > Usługa WinRM.
9. Znajdź opcję Zezwalaj na zdalne zarządzanie serwerem za pomocą WinRM i kliknij ją dwukrotnie, aby ją edytować.
10. Ustaw na Włączone i określ adresy IP lub podsieci w polu Filtr IPv4/IPv6. Aby zezwolić na wszystkie adresy IP, pozostaw jako *.
11. Utwórz regułę Zapory systemu Windows Defender dla połączeń WinRM na domyślnych portach TCP/5985 i TCP/5986, wybierając kolejno Komputer > Zasady > Ustawienia systemu Windows > Ustawienia zabezpieczeń > Zapora systemu Windows z zabezpieczeniami zaawansowanymi > Reguły przychodzące.
12. Wybierz wstępnie zdefiniowane reguły dla zdalnego zarządzania systemem Windows i utwórz regułę.
13. Na koniec przejdź do Konfiguracja komputera > Zasady > Szablony administracyjne > Składniki systemu Windows > Powłoka zdalna systemu Windows, znajdź opcję Zezwalaj na dostęp do powłoki zdalnej i włącz ją.

Pomyślnie skonfigurowano regułę GPO dla usługi WinRM.

4] Wymuś odświeżenie ustawień GPO w systemie Windows

Aby zastosować nowe ustawienia GPO na urządzeniach klienckich, uruchom GPUdate.exe. Otwórz wiersz poleceń z uprawnieniami administratora i wprowadź następujące polecenie:

gpupdate /force

To polecenie wymusza na systemie przetworzenie wszystkich zasad skonfigurowanych w kontrolerze domeny i ich zastosowanie.

Jeśli chcesz potwierdzić, że WinRM został włączony, uruchom WinRM enumerate winrm/config/listener. Spowoduje to wyświetlenie szczegółów konfiguracji programu nasłuchującego.

I to wszystko!

Jak włączyć WinRM poprzez GPO?

Aby włączyć usługę WinRM za pośrednictwem obiektów zasad grupy, należy skonfigurować krytyczną zasadę „Zezwalaj na zdalne zarządzanie serwerem za pośrednictwem usługi WinRM”. Upewnij się, że wykonałeś niezbędne kroki wstępne, aby pomyślnie zastosować tę konfigurację w systemach klienckich.

Jak włączyć WinRM z poziomu wiersza poleceń?

Aby włączyć WinRM za pomocą wiersza poleceń, otwórz program PowerShell lub wiersz poleceń z podwyższonymi uprawnieniami i wykonaj polecenie winrm quickconfiglub Enable-PSRemoting –Force. Aby sprawdzić bieżący stan WinRM, uruchom polecenie WinRM enumerate winrm/config/listener.

Źródło