组策略：为 Windows 客户端操作系统（Windows 10、Windows 8、Windows 7）启用 WinRM

Windows 远程管理是远程管理 Windows 系统的强大功能。默认情况下，WinRM 在所有 Windows Server 操作系统（自 Windows Server 2012 及更高版本）上启用，但在所有客户端操作系统（如 Windows 10、Windows 8 和 Windows 7）上禁用。在这篇博文中，我将向您展示如何在您的客户端计算机使用组策略。

介绍

如果您想要执行一些神奇的操作，例如重新启动所有客户端计算机、远程启用远程桌面、查询登录用户或只是使用 PowerShell 连接到客户端计算机，那么您必须在客户端上启用 WinRM。

在这一点上，我想提一下，我的 Active Directory 服务工具只能与启用 WinRM 的客户端完美配合。有关此工具的更多信息，请参见：Active Directory 域服务部分（版本 1.1）

与 Windows Server 操作系统不同，Windows 客户端操作系统缺少以下设置：

• 未配置 WinRM 侦听器

• 未配置防火墙例外

  

• WinRM 服务已禁用

  

让我们改变这一点。我们必须为客户端计算机配置三个设置。

创建 GPO

在您的域的域控制器上打开 gpmc.msc 并创建一个新的 GPO（组策略对象）。

输入新 GPO 的名称，然后单击“确定”。

配置 WinRM 设置

接下来，右键单击新创建的 GPO 并选择编辑。

创建防火墙例外

导航

计算机配置 - Windows 设置 - 安全设置 - 高级安全 Windows 防火墙 - 入站规则。

右键单击入站规则并选择新建规则...

选择“预定义”，然后从下拉菜单中选择Windows 远程管理。

接下来，取消选中公共网络的预定义规则。

确保选择允许连接。单击“完成”。

检查设置。

我们已经完成了第一部分。让我们继续配置 WinRM 服务。

配置 WinRM 服务

右键单击您的 GPO，然后再次选择编辑。

导航

计算机配置 - 首选项 - 控制面板设置 - 服务

右键单击服务并选择新建 - 服务。您必须配置启动、服务名称和服务操作，如下所示：

单击“确定”。我们到这里就完成了。接下来我们将配置 WinRM 侦听器。

配置 WinRM 侦听器

最后一次编辑新创建的 GPO。导航

计算机配置 - 策略 - 管理模板 - Windows 组件 - Windows 远程管理 (WinRM) - WinRM 服务

打开允许通过 WinRM 进行远程服务器管理。单击启用。

现在输入 IPv4 和 IPv6 过滤器的值。让我们在这里做一个简短的解释。如果您输入*，则您域中的所有计算机都可以通过 WinRM 建立连接。如果您想限制对单台计算机的访问，那么我建议提供该远程主机的 IP 地址。

单击“确定”。

将 GPO 链接到客户端计算机的 OU

就我而言，所有客户端计算机都位于 OU 工作站中。因此，我单击 GPO 并通过拖放将其链接到 OU 工作站。

接下来，我通过右键单击 OU 并运行组策略更新来在所有客户端计算机上运行 gpupdate。

测试设置

您现在应该能够使用 PowerShell 连接到您的客户端计算机。

还有一个有用的 cmdlet 可以测试一切是否正常。它称为 Test-WSMan，它应该向您显示如下内容：

Test-WSMan -ComputerName client01

您现在还应该能够使用我的 Active Directory 域服务工具来执行一些很棒的操作，例如收集有关登录用户的信息。

在此处下载该工具：Active Directory 域服务部分（版本 1.1）