WinRM یا Windows Remote Management سرویسی است که امکان اجرای کوئری ها و دستورات را در کامپیوتر ویندوزی ریموت از یک کامپیوتر ویندوزی دیگر در شبکه فراهم می کند. درست مانند SSH یا Remote Terminal در سيستم عامل های دیگر ، WinRM ابزاری بسیار مفید برای Administrator در یک شبکه دامین شده است. به طور پیش فرض WinRM در ویندوز سرور 2012 و ویندوز سرورهای بعدی فعال است، اما در ویندوزهای کلاینتی مانند ویندوز 7 ، 8 یا 10 فعال نیست. اما Administrator می توانید این ویژگی را با کمک Group Policy در سیستم های کلاینت تحت دامین خود فعال کند. این مقاله نحوه فعال سازی WinRM از طریق Group Policy در Server 2012 R2 را نشان می دهد ولی دقیقا همین مراحل در ویندوز سرورهای بعد(2016/2019/2022) قابل پیاده سازی است.

How to Enable WinRM via Group Policy

سه کار است که باید در کامپیوتر مورد نظر انجام شود و همه این موارد با استفاده از GPO حاصل خواهد شد:

Enabling WinRM service

Allowing remote management access on the computer

Opening firewall ports required for Windows Remote Management

در اینجا Windows Server 2012 R2 به عنوان دامین کنترلر و ویندوز 10 به عنوان ممبر دامین برای این هدف استفاده می شود. کلاینت یا همان کامپیوتر ویندوز 10 در دامینی با نام asaputra.com جوین شده و OU path آن "asaputra.com\Workstations\W10" می باشد.
شما باید یک GPO جدید یا از GPO های موجود استفاده کنید. در هر صورت به کنسول Group Policy Management Console در دامین کنترلرتان وارد شوید و سپس یا GPO جدید ایجاد کنید و یا از GPO های موجود برای این منظور استفاده کنید.
سپس روی GPO مورد نظرتان کلیک راست کرده و گزینه Edit را کلیک کنید. سپس سمیر زیر را در این GPO دنبال کنید:

Computer Configuration > Preferences > Control Panel Settings > Services

در قسمت مقابل مانند تصویر زیر در یک فضای خالی کلیک راست کرده و از New گزینه Service را کلیک کنید.


پارامترهای سرویس های باید مشابه تصویر زیر پر شود.


فرم OK کنید ولی هنوز در گروپ پالیسی کار داریم. حالا باید لیست IP address هایی که مجاز به دسترسی remote management به کامپیوتر مورد نظر هستند را باید مشخص کنیم.
پس مسیر زیر در GPO دنبال کنید:

Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Services

در این مسیر پالیسی Allow remote server management through WinRM را مشاهده خواهید کرد. روی آن دابل کلیک کنید.


گزینه enabled را فعال کرده و سپس در قسمت Options برای گزینه های IPV4 Filter و IPv6 Filter باید IP address range مورد نظرتان را وارد کنید. از نظر امنیتی بهتر IP address range یا مجدود IP address های مورد نظرتان را وارد کنید ولی در اینجا wildcard * استفاده شده که تمامی IP ها مجاز به دسترسی هستند.
سپس فرم را OK کنید.
در ادامه باید ترافیک مربوطه را در Firewall کلاینت باز و مجاز کنیم. پس باید یک Firewall Rule جدید ایجاد کنیم. البته اگر فایروال کلاینت ها Off باشد نیازی به اینکار نیست در غیر اینصورت باید رول برای آن ایجاد کنیم. پس مسیر زیر را در GPO دنبال کنید:

Computer Configurations > Policies > Security Settings > Windows Firewall and Advanced Security > Windows Firewall and Advanced Security

روی Inbound Rules کلیک راست کرده و گزینه New Rule را کلیک کنید. گزینه predefined را انتخاب کرده و از کامبوباکس Windows Remote Management را انتخاب کنید. سپس فرم را Next کنید.


سپس در این مرحله گزینه Domain و Private را مانند تصویر زیر فعال کرده و Next کنید.


در این مرحله چون قصد مجاز کردن ترافیک را داریم، گزینه Allow the connection را فعال نهایتا Finish کنید.


خب، کارهای ما در گروپ پالیسی به اتمام رسید. از آنجایی که این پالیسی یک computer policy است، با به OU ای که اکانتهای کامپیوتری در آن قرار دارند، لینک شود.
خب، حالا برای WinRM connection، ابتدا PowerShell را بصورت Run as administrator اجرا کنید و سپس دستور زیر را در آن وارد و Enter کنید:

Test-WsMan [Target Hostname/IP address]

بدیهی است که باید در دستور فوق، IP یا Computer name سیستم مقصد را جایگزین کنید.


اگر با موفقیت WinRM در کامپیوتر مقصد فعال شده باشدف خروجحی مانند تصویر فوق را دریافت می کنید.