WinRM یا Windows Remote Management سرویسی است که امکان اجرای دستورات و کوئری ها را روی یک کامپیوتر ریموت از بستر شبکه فراهم می کند. درست مانند SSH یا Remote Terminal در سیستم عامل های دیگر ، WinRM ابزاری بسیار مفید برای Administrator در یک شبکه دامین می باشد. در ویندوزهای سروری این سرویس بصورت پیشفرض فعال است ولی در ویندوزهای کلاینتی مانند ویندوز 10 فعال نیست و باید آن را فعال کنید.


در این پست طریقه استارت کردن این سرویس از طریق Group policy ویندوز سرور را بررسی خواهیم کرد. شما بدین روش می توانید برای تعداد زیادی کلاینت، این سرویس را از طریق Group policy فعال کنید.




در اینجا ما ویندوز سرور 2012 داریم که در نقض دامین کنترلر و ویندز 10 که جوین به دامین است و قرار است این تغییر در گروپ پالیسی روی این سیستم اعمال شود. در این سناریو دامنه asaputra.com نام داشته و آدرس OU در واقع asaputra.com\Workstations\W10 می باشد.

Create the policy

در گام نخست باید پالیسی مورد نظر را بسازیم. در تصویر زیر یک گروپ پالیسی با نام Global Management ایجاد دشه است که البته نام آن را مطابق نیاز خود تغییر دهید.

Edit the settings — Enable WinRM service

روی پالیسی ایجاد شده کلیک راست کرده و گزینه Edit را کلیک کنید. اولین کاری که قصد درایم انجام دهیم این است که سرویس WinRM را برای کامپیوتر مورد نظرمان فعال کنیم.
پس مانند تصویر زیر آدرس Computer Configuration > Preferences > Control Panel Settings > Services را دنبال کنید. پس از اینکه بدان آدرس وارد شدید، در یک فضای خالی کلیک راست کرده و از New گزینه Service را کلیک کنید.



پارامترهایی که در این سرویس باید پر شود، به شرح ذیل می باشد:



فرم فوق را ok کنید ولی از پالیسی خارج نشوید که هنوز با آن کار داریم.

Edit the settings — Allowing remote management access

در این مرحله باید لیست IP address هایی که مجاز به دسترسی remote management روی کامپیوتر مورد دارند را مشخص کنیم.
پس آدرس زیر هم در این پالیسی دنبال کنید:

Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Services

در این مسیر پالیسی Allow remote server management through WinRM را خواهید دید. روی این پالیسی دابل کلیک کنید تا فرم تنظیمات آن باز شود.
در این فرم گزینه Enabled را فعال کرده و باید آدرس های IP مورد نظر را در قسمت IPv4 وارد کنید. ولی در شکل زیر * وارد شده که هر ip Address امکان remote management را خواهد داشت.
سپس فرم را ok کنید.

Edit the settings — Opening Firewall ports

در آخر هم نیاز است که فایروال را برای کامپیوتر مقصد پیکربندی کنید ت اپورت های مورد نظر در سیستم مقصد باز شوند. البته اگر فایروال های ویندوز را off کرده اید اینکار نیاز نیست و در غیر اینصورت انجام اینکار ضروری است.
این بار مسیر زیر را در گروپ پالیسی دنبال کنید:

Computer Configurations > Policies > Security Settings > Windows Firewall and Advanced Security > Windows Firewall and Advanced Security

از Inbound Rules گزینه New Rule را کلیک کنید.
در پنجره شکل زیر با انتخاب گزینه predefined، گزینه Windows Remote Management را انتخاب و Next کنید.



تیک گزینه Domain, Private مانند تصویر زیر فعال کرده و Next کنید.



از آنجایی که باید این ترافیک را در ویندوز مقصد مجاز کنید، گزینه Allow the connection را انتخاب و Finish را کلیک کنید.

Apply the policy to the computer OU

از آنجایی که این پالیسی مربوط به computer policy است پس باید در ou یا ou هایی که کامپیوترها در آن ذخیره می شوند، اعمال شود. دقیقا شما باید این پالیسی را برای ou ها یا ou هایی که کامیپوترهای سازمان در آن ذخیره شده اند و تصمیم دارید که این سرویس را روی آنها فعال شود، اعمال کنید.



با استفاده از دستور زیر در Powershell می توانید اتصال WinRM را در کامپیوتر مقصد تست کنید.

Test-WsMan [Target Hostname/IP address]

اگر WinRM با موفقیت فعال شود ، پاسخ زیر را در یافت خواهید کرد:



بدین ترتیب در کامپیوتر مقصد، سرویس WinRMفعال می شود:



حتی اگر به رول های inbound فایروال در کامپیوتر مقصد وارد شوید، رول زیر را مشاهده خواهید کرد که به واسطه این رول در فایروال، ترافیک WinRM مجاز خواهد شد.