= WinRM の信頼できるホスト リストを使用して PSRemoting をロックダウンできますか? 私のマネージャーは、PSRemoting が約 4 つのサーバーのグループである「管理サーバー」からのみに制限されるように要求しました。 他のサーバーからリモート「管理」サーバーの 1 つではないドメイン上の別のサーバーはブロックされる必要があります =


信頼できるホストは使用しません。発信接続のみに使用します。

~~「winrm によるリモート サーバー管理を許可する」gpo では、コンピュータが接続を受け入れる IP または IP 範囲を設定できます。管理サブネットのみをカバーするように設定します。コンピュータの設定を更新するには、gpupdate で十分です。e: 代わりにファイアウォールを使用してください。
どのようなファイアウォール構成を使用すればよいでしょうか。私が読んだすべての内容は、リモート管理を開き、WinRM で IP リスナーを使用するように指示しています。以前、ファイアウォールレベルで受け入れリストを設定しようとしましたが、うまくいかなかったようです。 「許可されたコンピュータにホスト名を追加してみました」リスト
これが答えです。 Windows ファイアウォール GPO を使用して、ネットワーク レベルで WinRM ポートへのアクセスをブロックするだけです

管理者およびリモート管理ユーザーを制限する必要があります。また、ホスト ファイアウォールで Windows リモート管理をブロックし、許可された管理ホストのみを許可します。

ホストのファイアウォールが鍵

ファイアウォールを使用してこれに対処しましたが、ドメイン上にある場合と比較すると、非常に手間がかかります。

ネットワークの規模によっては、GPO が最も簡単です

また、ルーティング インターフェイス (数が少ない場合) に ACL を設定して、WinRM ポート上の管理サーバー IP がそれらのデバイスにアクセスできるようにすることもできます。

必要な 2 つのルール

これらのポートで管理 IP を許可します
それらのポート上の他のすべての IP をブロックします

それは、アクセスをどのように管理したいか、そのアクセスをどのように文書化したいかによって異なります。

同じテスト GPO 内の異なるマシンで異なる結果が得られる。 IP4 リスニング フィールドにサーバー A の IP を追加および削除すると、ポート 5985 でのリスニングになります& 5986 はオフですが、サーバー B で同じことをしても違いはありません。どうやっても接続できます。gpo 設定かどうかはわかりません。

IPV4 フィルターに個別の IP アドレスを追加するにはどうすればよいですか? 議論されているのは範囲のみです

== コミュニティについて ==
メンバー
オンライン