WinRM / PowerShell Remoting in einer Workgroup konfigurieren

Innerhalb einer AD Domain ist die Konfiguration von WinRM / PS-Remoting recht einfach einrichten (z.B. durch Group Policies). Schwieriger gestaltet sich dieses Unterfangen in einer Workgroup oder wenn man einen Standalone-Server von einem Domain-joined Client aus administrieren möchte.

Konfiguration des Remote-Computers (WinRM-Server)

Zuerst stellen wir sicher, dass keine Netzwerkverbindung mehr als Public kategorisiert ist:

Get-NetConnectionProfile | Set-NetConnectionProfile -NetworkCategory Private

Danach lässt sich WinRM / PS-Remoting wie folgt aktivieren:

Enable-PSRemoting -Force

Wird die Konfiguration erfolgreich ausgeführt, erhält man folgenden Output:

WinRM has been updated to receive requests.
WinRM service type changed successfully.
WinRM service started.

WinRM has been updated for remote management.
WinRM firewall exception enabled.
Configured LocalAccountTokenFilterPolicy to grant administrative rights remotely to local users.

Die erfolgreiche Konfiguration lässt sich im Anschluss verifizieren, indem der Status des WinRM-Ports abgefragt wird:

Get-NetTCPConnection | Where-Object -Property LocalPort -eq 5985

Konfiguration des Admin-Computers (WinRM-Client)

Auf dem lokalen Admin-Computer muss zur Nutzung von WinRM/PS-Remoting der entsprechende Remote-Computer in die Liste der Trusted Hosts eingetragen werden (mehrere Remote-Computer durch Komma getrennt):

Set-Item WSMan:\localhost\Client\TrustedHosts -Value "<Servername/-IP>" -Force

Administriert man mehrere Workgroup-Server, lässt sich die Verwaltung der Trusted Hosts vereinfachen, indem man allen Hosts vertraut:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value "*" -Force

Nachdem der/die Remote-Computer in die Trusted Hosts eingetragen sind, lässt sich eine Remote-PowerShell Session wie folgt verbinden:

$Credential = Get-Credential
Enter-PSSession -Computername <Servername/-IP> -Credential $Credential