雖然PowerShell遠程管理被構建在 WS-Management的之上，但它是協議中的協議。如果嘗試使用 PSRP （PowerShell遠程處理協議）直接進行交互，本質上需要在客戶端機器上運行一個PowerShell副本。另一種方法是使用一個鮮為人知的遠程命令行工具，稱為WinRS。WinRS是一個簡單的工具，允許遠程CMD.EXE，它也是構建在WS-Management之上的。所不同的是WinRS重用了 WS-Transfer中的Create和Delete，并引入了一些新的自定義的SOAP web-methods。本文中，我將重點放在WinRS“協議”，不會討論 WS-Transfer，SOAP，HTTP等細節。關于WinRS，WS-Management的一些詳細文檔可以參考：[MS-WSMV]: Web Services Management Protocol Extensions for Windows Vista。

WinRS具有相對簡單的協議，工作流程為：

WS-Transfer創建一個Shell，一個EPR（端點引用）。創建的Shell會被返回，用于接下來的一系列操作。
調用命令的自定義SOAP動作，開始一個新的命令
調用自定義的SOAP接受動作，來接收命令輸出（發送輸入時有相應的Send命令，但不是該場景必須的）
重復步驟3，直到CommandState完成
WS-Transfer來刪除shell上的端點引用。
讓我們較為詳細地瀏覽每個步驟吧:
對于WS-Transfer Create SOAP消息，body中應當包含你要發送或者接受的流，資源的URI應當為：http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd.
所以本質上我們創建了一個cmd.exe shell用來運行PowerShell。

如果請求成功，你會接受到一個標準的WS-Transfer Create SOAP響應，它包含了一個剛才創建的類似的Shell EPR：

這個EPR應該緩存的所有后續操作。第一個自定義SOAP動作命令使用動作URI：http://schemas.microsoft.com/wbem/wsman/1/windows/shell/Command。 WinRS支持兩種控制臺模式：交互式和批處理。對于一個交互式會話，WinRS將等待輸入（即使命令已經完成），直到客戶端指示沒有更多。對于一個批處理會話，WinRS期望只在運行命令的生命周期有輸入被發送。對于此場景，指定的WS-Management選項WINRS_CONSOLEMODE_STDIN為true來意味正在使用批處理模式非常重要。命令行被分成單獨的命令和參數。SOAP片段像這樣：

如果這個請求是成功的，該響應將包含一個 CommandId元素，應當會被緩存在Body中，用于后續操作來接收輸出。雖然該協議被定義為允許一個Shell來托管多個命令，但是WinRS被限制了每個Shell只能處理單個命令。類似的響應例子如下：

一旦接收到命令的響應，該命令在服務器上運行。 一旦數據量達到了最大值，WinRS將阻止輸出（當然也包括命令）。自定義SOAP動作，接收使用操作URI。自定義SOAP使用動作uri：。因為所產生的輸出可能會超過SOAP請求大小，客戶端需要指定一個遞增SequenceId防止數據包丟失。 WinRS只會緩存最后發送的數據包。請求應當包含你想讀取的數據流，CommandId也會關聯Body中的數據流。

響應將包含base64流編碼的文本輸出（保持SOAP XML格式良好和有效）。客戶端應檢查命令的狀態，以了解是否繼續以調用接收更多的輸出。

一旦CommandState為“Done”，會沒有更多的輸出，并且WS-Transfer Delete 會在Shelll EPR上被調用。這將會清理服務器上正在使用的資源。

該示例代碼展示如何調用一個PowerShell 命令。它不使用任何WinRM的API，而是從模板創建必要的SOAP消息，并使用System.Net.HttpWebRequest將其通過網絡發送。為了使用Windows中的示例代碼，您需要啟用WinRM服務配置基本身份驗證（只適用于本地賬號），您可以以管理員權限運行此PowerShell命令：

如果你想讓輸出更加規范一點可以轉換為為XML（(.Net serialization）：

注意上面的例子中，你必須把管道字符轉義，這樣cmd.exe就不會去解釋它了。