Sdílet prostřednictvím

Registrace konfigurací JEA

  • Článek

Jakmile budete mít vytvořené možnosti role a konfigurační soubor relace, posledním krokem je registrace koncového bodu JEA. Registrace koncového bodu JEA v systému zpřístupňuje koncový bod pro použití uživateli a automatizačními moduly.

Konfigurace jednoho počítače

V malých prostředích můžete nasadit JEA registrací konfiguračního souboru relace pomocí rutiny Register-PSSessionConfiguration .

Než začnete, ujistěte se, že byly splněny následující požadavky:

  • Jedna nebo více rolí se vytvořila a umístila do složky RoleCapabilities modulu PowerShellu.
  • Vytvořil a otestoval konfigurační soubor relace.
  • Uživatel, který registruje konfiguraci JEA, má v systému práva správce.
  • Vybrali jste název koncového bodu JEA.

Název koncového bodu JEA se vyžaduje, když se uživatelé připojují k systému pomocí JEA. Rutina Get-PSSessionConfiguration uvádí názvy koncových bodů v systému. Koncové body, které začínají, microsoft se obvykle dodávají s Windows. Koncový microsoft.powershell bod je výchozí koncový bod použitý při připojování ke vzdálenému koncovému bodu PowerShellu.

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Spuštěním následujícího příkazu zaregistrujte koncový bod.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Upozorňující

Předchozí příkaz restartuje službu WinRM v systému. Tím se ukončí všechny relace vzdálené komunikace PowerShellu a všechny probíhající konfigurace DSC. Před spuštěním příkazu doporučujeme převést produkční počítače do offline režimu, abyste se vyhnuli narušení obchodních operací.

Po registraci jste připraveni použít JEA. Konfigurační soubor relace můžete kdykoli odstranit. Konfigurační soubor se po registraci koncového bodu nepoužívá.

Konfigurace více počítačů pomocí DSC

Při nasazování JEA na více počítačů používá nejjednodušší model nasazení prostředek DSC (JEA Desired State Configuration) k rychlému a konzistentnímu nasazení JEA na každý počítač.

Pokud chcete nasadit JEA s DSC, ujistěte se, že jsou splněné následující požadavky:

  • Jedna nebo více funkcí rolí se vytvořilo a přidalo do modulu PowerShellu.
  • Modul PowerShellu obsahující role se ukládá do sdílené složky (jen pro čtení) přístupné pro každý počítač.
  • Nastavení konfigurace relace byla stanovena. Při použití prostředku JEA DSC nemusíte vytvářet konfigurační soubor relace.
  • Máte přihlašovací údaje, které umožňují akce správy na každém počítači nebo přístup k serveru vyžádané replikace DSC používanému ke správě počítačů.
  • Stáhli jste prostředek JEA DSC.

Vytvořte konfiguraci DSC pro koncový bod JEA na cílovém počítači nebo na serveru vyžádané replikace. V této konfiguraci prostředek JustEnough Správa istration DSC definuje konfigurační soubor relace a prostředek Soubor zkopíruje možnosti role ze sdílené složky.

Pomocí prostředku DSC je možné konfigurovat následující vlastnosti:

  • Definice rolí
  • Skupiny virtuálních účtů
  • Název účtu služby spravované skupiny
  • Adresář přepisu
  • Uživatelská jednotka
  • Pravidla podmíněného přístupu
  • Spouštěcí skripty pro relaci JEA

Syntaxe každé z těchto vlastností v konfiguraci DSC je konzistentní s konfiguračním souborem relace PowerShellu.

Níže je ukázková konfigurace DSC pro obecný modul údržby serveru. Předpokládá se, že platný modul PowerShellu obsahující funkce role se nachází ve \\myfileshare\JEA sdílené složce.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Dále se konfigurace použije v systému tak, že přímo vyvolá místní Configuration Manager nebo aktualizuje konfiguraci serveru vyžádané replikace.

Prostředek DSC také umožňuje nahradit výchozí koncový bod Microsoft.PowerShellu . Po nahrazení prostředek automaticky zaregistruje koncový bod zálohování s názvem Microsoft.PowerShell.Restricted. Koncový bod zálohování má výchozí seznam ACL winRM, který umožňuje přístup uživatelům vzdálené správy a místním členům skupiny Správa istrators.

Zrušení registrace konfigurací JEA

Rutina Unregister-PSSessionConfiguration odebere koncový bod JEA. Zrušení registrace koncového bodu JEA brání novým uživatelům v vytváření nových relací JEA v systému. Umožňuje také aktualizovat konfiguraci JEA opětovnou registrací aktualizovaného konfiguračního souboru relace pomocí stejného názvu koncového bodu.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Upozorňující

Zrušení registrace koncového bodu JEA způsobí restartování služby WinRM. Tím se přeruší většina probíhajících operací vzdálené správy, včetně dalších relací PowerShellu, vyvolání rozhraní WMI a některých nástrojů pro správu. Během časových období plánované údržby zrušíte registraci koncových bodů PowerShellu.

Další kroky

Testování koncového bodu JEA