【PowerShell】Enable-PSRemotingで変更される設定についてのご質問

ローカルサーバ(A)からリモートサーバ(B)にPowerShellを使ってリモート接続をしようと考えています。
色々自分なりに調べたところ、「Enable-PSRemoting」を実行する必要があると他サイトに記載がありました。

以下他サイトのPowerShellコンソール画面です。

PowerShellコンソール画面

PS > Enable-PSRemoting
WinRM クイック構成
Set-WSManQuickConfig コマンドを実行すると、WinRM
サービスによるこのコンピューターのリモート管理が有効になるため、セキュリティ面で重大な影響があります。
このコマンドには次の処理が含まれます:

WinRM サービスが実行されているかどうかを確認します。WinRM サービスが実行されていない場合は、サービスを開始します。
WinRM サービスのスタートアップの種類を自動に設定します。
どの IP アドレスでも要求を受け付けるリスナーを作成します。既定では、トランスポートは HTTP です。
WS-Management トラフィック用のファイアウォール例外を有効にします。

WinRM サービスによるこのコンピューターのリモート管理を有効にしますか?
[Y] はい(Y) [N] いいえ(N) [S] 中断(S) [?] ヘルプ (既定値は "Y"):

ご質問内容ですが以下に記載します。

1.この「Enable-PSRemoting」を実行したことによって、どの設定のどの部分が変更されるのでしょうか。
それは変更される前と変更された後で確認することは可能ですか。

2.「Enable-PSRemoting」を実行するサーバはリモートサーバ(B)だと思いますがその認識でよろしいですか。

以上、よろしくお願いいたします。

行動規範の内容に同意します

回答1件

ベストアンサー

簡単に調べた結果を記載します。
私自身あまり詳しくないため、内容の正確性については保証できません。

この「Enable-PSRemoting」を実行したことによって、どの設定のどの部分が変更されるのでしょうか。

以下のページを見ると、基本的にはEnable-PSRemoting実行時の説明と同じですが、一部詳細に書かれている箇所があります。

Enable-PSRemoting

Set-WSManQuickConfig

とりあえずEnable-PSRemoting実行時のメッセージについて確認していくと

WinRM サービスが実行されているかどうか
WinRM サービスのスタートアップの種類を自動に設定

以下のコマンドで確認できます。

powershell
1Get-Service -Name WinRM

text
1Status   Name               DisplayName                           
2------   ----               -----------                           
3Running  WinRM              Windows Remote Management (WS-Manag...

IP アドレスでも要求を受け付けるリスナーを作成します

以下の場所に作成されるようです。

powershell
1Get-ChildItem -LiteralPath WSMan:\localhost\Listener

text
1   WSManConfig: Microsoft.WSMan.Management\WSMan::localhost\Listener
2
3Type            Keys                                Name                       
4----            ----                                ----                       
5Container       {Transport=HTTP, Address=*}         Listener_*******

WS-Management トラフィック用のファイアウォール例外を有効にします

以下の設定だと思われます。

powershell
1Get-NetFirewallRule -Name WINRM-HTTP*

text
1Name                  : WINRM-HTTP-In-TCP-NoScope
2DisplayName           : Windows リモート管理 (HTTP 受信)
3Description           : WS-Management による Windows リモート管理のための受信規則です。[TCP 5985]
4DisplayGroup          : Windows リモート管理
5Group                 : @FirewallAPI.dll,-30267
6Enabled               : True
7Profile               : Domain, Private
8Platform              : {}
9Direction             : Inbound
10Action                : Allow
11EdgeTraversalPolicy   : Block
12LooseSourceMapping    : False
13LocalOnlyMapping      : False
14Owner                 : 
15PrimaryStatus         : OK
16Status                : 規則は、ストアから正常に解析されました。 (65536)
17EnforcementStatus     : NotApplicable
18PolicyStoreSource     : PersistentStore
19PolicyStoreSourceType : Local

参考：`Disable-PSRemoting`

Disable-PSRemotingを実行すると設定が無効化されるようですが、以下の設定は復帰されないようです。

警告: セッション構成を無効にしても、Enable-PSRemoting またはEnable-PSSessionConfiguration コマンドレットによる変更がすべて元に戻るわけではりません。次の手順に従って、手動で変更を元に戻す必要がある可能性があります。

WinRM サービスを停止または無効にします。
IP アドレスを使用して要求を受け付けるリスナーを削除します。
WS-Management 通信用のファイアウォール例外を無効にします。
LocalAccountTokenFilterPolicy の値を 0 に戻します。これにより、リモートアクセスがこのコンピューターの Administrators グループのメンバーに制限されます。

1・2・3に関しては上記のものだと思いますが、4に関してはレジストリの以下の設定のようです。

powershell
1# https://technet.microsoft.com/ja-jp/library/hh847845.aspx?f=255&MSPPError=-2147217396
2Get-ItemProperty -Name LocalAccountTokenFilterPolicy -LiteralPath HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System