Может ли Windows включить делегирование между доменами?
У меня два домена
foo.local
test.local
Я могу запустить командлеты powershell hyper-v для сервера hyper.v test.local, если я использую виртуальную машину, которая находится в домене test.local.
Get-VM -ComputerName hyperv01.test.local
Я хочу иметь возможность запускать эту же команду с моей рабочей станции, которая находится в домене foo.local.
Я считаю, что мне нужно включить делегирование на сервере hyper-v, чтобы моя рабочая станция могла выполнять команды hyperv, однако, похоже, я не могу изменить домены в консоли администратора. 
Есть ли способ разрешить запуск моей рабочей станции в домене foo.local? Get-VM на сервере hyperv в домене test.local?
2 ответа
PowerShell Remoting и Windows Credential Delegation - это две разные вещи. Большая часть удаленного взаимодействия выполняется без делегирования полномочий.
Делегирование позволяет компьютеру, к которому вы подключаетесь, удаленно принимать ваши учетные данные и повторно использовать их для перехода на третий сервер. Это имеет значение для безопасности, но иногда необходимо, особенно при управлении группами хостов hyper-v.
Удаленное взаимодействие не требует делегирования для вашего первоначального подключения. Существует несколько способов аутентификации на удаленном сервере. В вашем домене вы используете Kerberos по умолчанию. Если вы хотите использовать Kerberos для аутентификации на сервере в удаленном домене, администраторы домена должны будут установить доверие домена.
Для компьютеров, которые не находятся в одном домене (или даже в рабочей группе), вы можете использовать проверку подлинности сертификата. Секреты PowerShell Remoting - это бесплатная электронная книга от сообщества PowerShell, которая проведет вас через настройку.
Вам нужно будет либо установить доверие между двумя доменами, либо использовать Powershell Remoting и установить удаленный сеанс PS для hyperv01.test.local с помощью test.local учетные данные, а затем запустить Get-VM в контексте этой сессии WinRM.