Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokud jste to ještě neudělali, seznamte se s možnostmi řízení přístupu uživatelů v Centru pro správu Windows.
Note
Přístup založený na skupinách v centru Windows Admin Center není podporován v prostředích pracovních skupin ani v nedůvěryhodných doménách.
Definice rolí přístupu k bráně
Pro přístup ke službě brány Windows Admin Center existují dvě role:
Uživatelé brány se můžou připojit ke službě brány Windows Admin Center, aby mohli spravovat servery prostřednictvím této brány, ale nemůžou měnit přístupová oprávnění ani ověřovací mechanismus použitý k ověření brány.
Správci brány můžou nakonfigurovat, kdo získá přístup a jak se uživatelé ověřují pro bránu. Nastavení přístupu můžou zobrazit a konfigurovat jenom správci brány v Centru pro správu Windows. Místní správci na počítači brány jsou vždy správci služby brány Windows Admin Center.
Existuje také další role specifická pro správu CredSSP:
správci programu Windows Admin Center CredSSP jsou zaregistrovaní v koncovém bodu CredSSP centra Windows Admin Center a mají oprávnění k provádění předdefinovaných operací CredSSP. Tato skupina je zvlášť užitečná pro instalace Centra pro správu Systému Windows v režimu plochy, kde tato oprávnění mají ve výchozím nastavení jenom uživatelský účet, který nainstaloval Windows Admin Center.
Note
Přístup k bráně neznamená přístup ke spravovaným serverům viditelným bránou. Pokud chcete spravovat cílový server, musí připojující se uživatel používat přihlašovací údaje (buď prostřednictvím předávaných přihlašovacích údajů systému Windows, nebo prostřednictvím přihlašovacích údajů zadaných v relaci Windows Admin Center pomocí akce Spravovat jako ), které mají přístup správce k danému cílovému serveru. Důvodem je to, že většina nástrojů Windows Admin Center vyžaduje oprávnění správce, která se mají použít.
Active Directory nebo místní skupiny počítačů
Ve výchozím nastavení se ke kontrole přístupu k bráně používají skupiny active directory nebo místních počítačů. Pokud máte doménu služby Active Directory, můžete spravovat přístup uživatele brány a správce z rozhraní Windows Admin Center.
Na kartě Uživatelé můžete určit, kdo má přístup k Centru pro správu Windows jako uživatel brány. Ve výchozím nastavení a pokud nezadáte skupinu zabezpečení, má přístup každý uživatel, který přistupuje k adrese URL brány. Po přidání jedné nebo více skupin zabezpečení do seznamu uživatelů je přístup omezený na členy těchto skupin.
Pokud ve svém prostředí nepoužíváte doménu služby Active Directory, řídí se přístup místními skupinami Uživatelé a správci na počítači brány služby Windows Admin Center.
Ověřování pomocí čipové karty
Ověřování pomocí čipové karty můžete vynutit zadáním další požadované skupiny pro zabezpečení skupin založených na čipových kartách. Po přidání skupiny zabezpečení založené na čipové kartě může uživatel získat přístup ke službě Windows Admin Center pouze v případě, že je členem jakékoli skupiny zabezpečení A skupina čipových karet, která je součástí seznamu uživatelů.
Na kartě Správci můžete určit, kdo má přístup k Centru pro správu Windows jako správce brány. Skupina místních správců v počítači bude mít vždy úplný přístup správce a nelze ji ze seznamu odebrat. Přidáním skupin zabezpečení udělíte členům těchto skupin oprávnění ke změně nastavení brány centra Windows Admin Center. Seznam správců podporuje ověřování pomocí čipové karty stejným způsobem jako seznam uživatelů: s podmínkou AND pro skupinu zabezpečení a skupinu čipových karet.
Microsoft Entra ID
Pokud vaše organizace používá Microsoft Entra ID, můžete do Centra pro správu Windows přidat další vrstvu zabezpečení tím, že pro přístup k bráně vyžaduje ověření Microsoft Entra. Aby bylo možné získat přístup k Centru pro správu Systému Windows, musí mít účet uživatele také přístup k serveru brány (i když se používá ověřování Microsoft Entra). Pokud používáte ID Microsoft Entra, budete spravovat přístupová oprávnění správce a uživatele Centra pro správu Windows z webu Azure Portal, a ne v uživatelském rozhraní Centra pro správu Windows.
Přístup k Centru pro správu Windows, když je povolené ověřování Microsoft Entra
V závislosti na použitém prohlížeči dostanou někteří uživatelé přístup k Centru pro správu Windows s nakonfigurovaným ověřováním Microsoft Entra další výzvu z prohlížeče, kde potřebují zadat přihlašovací údaje k účtu Systému Windows pro počítač, na kterém je nainstalována služba Windows Admin Center. Po zadání těchto informací se uživatelům zobrazí další výzva k ověření Microsoft Entra, která vyžaduje přihlašovací údaje účtu Azure, kterému byl udělen přístup v aplikaci Microsoft Entra v Azure.
Note
Uživatelé, jejichž účet Systému Windows má na počítači brány oprávnění správce , nebudou vyzváni k ověření Microsoft Entra.
Konfigurace ověřování Microsoft Entra pro Windows Admin Center Preview
Přejděte do Windows Admin Center>Přístup a pomocí přepínače zapněte "Použití ID Microsoft Entra k přidání vrstvy zabezpečení do brány". Pokud jste ještě nezaregistrovali bránu do Azure, budete k tomu nyní vyzváni.
Ve výchozím nastavení mají všichni členové tenanta Microsoft Entra přístup uživatele ke službě brány Windows Admin Center. Přístup správce k bráně windows Admin Center mají jenom místní správci na počítači brány. Mějte na paměti, že práva místních správců na počítači brány nelze omezit – místní správci můžou dělat cokoli bez ohledu na to, jestli se k ověřování používá ID Microsoft Entra.
Pokud chcete konkrétním uživatelům nebo skupinám "Microsoft Entra" udělit přístup uživatele brány nebo přístup správce brány ke službě Windows Admin Center, je třeba provést následující:
- Na webu Azure Portal přejděte do aplikace Microsoft Entra pro Windows Admin Center pomocí hypertextového odkazu uvedeného v Nastavení přístupu. Poznámka: Tento hypertextový odkaz je k dispozici pouze v případě, že je povoleno ověřování Microsoft Entra.
- Aplikaci najdete také v Azure portálu tak, že přejdete na Microsoft Entra ID>Podnikové aplikace>Všechny aplikace a vyhledáte WindowsAdminCenter (aplikace Microsoft Entra bude mít název WindowsAdminCenter-<název brány>). Pokud se nezobrazí žádné výsledky hledání, ujistěte se, že je možnost Zobrazit nastavená na všechny aplikace, stav aplikace je nastavený na libovolnou a vyberte Použít a pak zkuste hledání. Jakmile aplikaci najdete, přejděte na Uživatelé a skupiny
- Na kartě Vlastnosti nastavte Požadované přiřazení uživatele na Ano. Jakmile to uděláte, přístup k bráně Centra pro správu Windows budou mít pouze členové uvedení na kartě Uživatelé a skupiny.
- Na kartě Uživatelé a skupiny vyberte Přidat uživatele. Musíte přiřadit roli uživatele brány nebo správce brány pro každého přidaného uživatele nebo skupiny.
Jakmile zapnete ověřování Microsoft Entra, služba brány se restartuje a musíte aktualizovat prohlížeč. Přístup uživatelů pro aplikaci Microsoft Entra pro SME můžete kdykoli aktualizovat na webu Azure Portal.
Uživatelům se při pokusu o přístup k adrese URL brány centra Windows Admin Center zobrazí výzva k přihlášení pomocí své identity Microsoft Entra. Nezapomeňte, že uživatelé musí být také členem místního uživatele na serveru brány, aby měli přístup k Centru pro správu Windows.
Uživatelé a správci můžou zobrazit svůj aktuálně přihlášený účet a také se z tohoto účtu Microsoft Entra odhlásit z karty Účet v nastavení centra Windows Admin Center.
Konfigurace ověřování Microsoft Entra pro Windows Admin Center
Pokud chcete nastavit ověřování Microsoft Entra, musíte bránu nejdřív zaregistrovat v Azure (stačí to udělat jenom jednou pro bránu Windows Admin Center). Tento krok vytvoří aplikaci Microsoft Entra, ze které můžete spravovat přístup uživatele brány a správce brány.
Pokud chcete konkrétním uživatelům nebo skupinám "Microsoft Entra" udělit přístup uživatele brány nebo přístup správce brány ke službě Windows Admin Center, je třeba provést následující:
- Na webu Azure Portal přejděte do aplikace Microsoft Entra pro SME.
- Když vyberete Změnit řízení přístupu a pak v nastavení přístupu k Centru pro správu Windows vyberete Microsoft Entra ID, můžete k přístupu k aplikaci Microsoft Entra na webu Azure Portal použít hypertextový odkaz uvedený v uživatelském rozhraní. Tento hypertextový odkaz je také k dispozici v nastavení přístupu poté, co vyberete možnost Uložit a zvolíte Microsoft Entra ID jako poskytovatele identity pro řízení přístupu.
- Aplikaci najdete také v Azure portálu tak, že přejdete na Microsoft Entra ID>Podnikové aplikace>Všechny aplikace a vyhledáte SME (aplikace Microsoft Entra se bude jmenovat SME-<brána>). Pokud se nezobrazí žádné výsledky hledání, ujistěte se, že je možnost Zobrazit nastavená na všechny aplikace, stav aplikace je nastavený na libovolnou a vyberte Použít a pak zkuste hledání. Jakmile aplikaci najdete, přejděte na Uživatelé a skupiny
- Na kartě Vlastnosti nastavte Požadované přiřazení uživatele na Ano. Jakmile to uděláte, přístup k bráně Centra pro správu Windows budou mít pouze členové uvedení na kartě Uživatelé a skupiny.
- Na kartě Uživatelé a skupiny vyberte Přidat uživatele. Musíte přiřadit roli uživatele brány nebo správce brány pro každého přidaného uživatele nebo skupiny.
Jakmile uložíte řízení přístupu Microsoft Entra v podokně Změnit řízení přístupu, služba brány se restartuje a musíte aktualizovat prohlížeč. Přístup uživatelů pro aplikaci Microsoft Entra pro Windows Admin Center můžete kdykoli aktualizovat na webu Azure Portal.
Uživatelům se při pokusu o přístup k adrese URL brány centra Windows Admin Center zobrazí výzva k přihlášení pomocí své identity Microsoft Entra. Nezapomeňte, že uživatelé musí být také členem místního uživatele na serveru brány, aby měli přístup k Centru pro správu Windows.
Uživatelé a správci můžou zobrazit svůj aktuálně přihlášený účet a také odhlásit se z tohoto účtu Microsoft Entra pomocí karty Azure v Centru pro správu Windows.
Podmíněný přístup a vícefaktorové ověřování
Jednou z výhod použití Microsoft Entra ID jako další vrstvy zabezpečení k řízení přístupu k bráně Windows Admin Center je, že můžete využít výkonné funkce zabezpečení Microsoft Entra ID, jako je podmíněný přístup a vícefaktorové ověřování.
Další informace o konfiguraci podmíněného přístupu pomocí ID Microsoft Entra.
Konfigurace jednotného přihlašování
jednotné přihlašování při nasazení jako služba ve Windows Serveru
Když nainstalujete Centrum pro správu Windows ve Windows 10, je připravené používat jednotné přihlašování. Pokud ale budete používat Centrum pro správu Windows na Windows Serveru, musíte ve svém prostředí nastavit určitou formu delegování protokolu Kerberos, abyste mohli používat jednotné přihlašování. Delegace nakonfiguruje počítač brány jako důvěryhodný pro přesměrování na cílový uzel.
Pokud chcete nakonfigurovat omezené delegování založené na prostředcích ve vašem prostředí, použijte následující příklad PowerShellu. Tento příklad ukazuje, jak byste nakonfigurovali Windows Server [node01.contoso.com] tak, aby přijímal delegování z brány centra Windows Admin Center [wac.contoso.com] v doméně contoso.com.
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)
Chcete-li tuto relaci odebrat, spusťte následující cmdlet:
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null
Řízení přístupu na základě role (RBAC)
Řízení přístupu na základě role umožňuje zprostředkovat uživatelům omezený přístup k počítači, místo aby se stali úplnými místními správci. Přečtěte si další informace o řízení přístupu na základě role a dostupných rolích.
Nastavení RBAC se skládá ze dvou kroků: povolení podpory na cílových počítačích a přiřazení uživatelů k příslušným rolím.
Tip
Ujistěte se, že máte na počítačích, na kterých konfigurujete podporu řízení přístupu na základě role, oprávnění místního správce.
Použití řízení přístupu na základě role na jednom počítači
Model nasazení jednoho počítače je ideální pro jednoduchá prostředí s několika počítači ke správě. Konfigurace počítače s podporou řízení přístupu na základě role způsobí následující změny:
- Moduly PowerShellu s funkcemi vyžadovanými aplikací Windows Admin Center se nainstalují na systémovou jednotku v části
C:\Program Files\WindowsPowerShell\Modules. Všechny moduly začnou s Microsoft.Sme. - Konfigurace požadovaného stavu spustí jednorázovou konfiguraci pro konfiguraci koncového bodu Just Enough Administration na počítači s názvem Microsoft.Sme.PowerShell. Tento koncový bod definuje tři role používané centrem pro správu Systému Windows a poběží jako dočasný místní správce, když se k němu uživatel připojí.
- Vytvoří se tři nové místní skupiny, které určují, kteří uživatelé mají přiřazený přístup k jakým rolím:
- Správci Centra pro správu Windows
- Správci Windows Admin Center Hyper-V
- Čtečky Windows Admin Center
Note
Řízení přístupu na základě role není podporováno pro správu clusteru (tj. funkce, které jsou závislé na RBAC, jako je CredSSP, selžou).
Pokud chcete povolit podporu řízení přístupu na základě role na jednom počítači, postupujte takto:
- Otevřete Centrum pro správu Windows a připojte se k počítači, který chcete nakonfigurovat pomocí řízení přístupu na základě role pomocí účtu s oprávněními místního správce na cílovém počítači.
- V nástroji Přehledvyberte>Nastavení řízení přístupu na základě role.
- Výběrem možnosti Použít v dolní části stránky povolíte podporu řízení přístupu na základě role na cílovém počítači. Proces aplikace zahrnuje kopírování skriptů PowerShellu a vyvolání konfigurace (pomocí PowerShellu Desired State Configuration) na cílovém počítači. Dokončení může trvat až 10 minut a výsledkem bude restartování WinRM. Tím se dočasně odpojí uživatelé Windows Admin Center, PowerShellu a rozhraní WMI.
- Aktualizujte stránku a zkontrolujte stav řízení přístupu na základě role. Jakmile bude připravený k použití, stav se změní na Použitý.
Po použití konfigurace můžete přiřadit uživatele k rolím:
- Otevřete nástroj místní uživatelé a skupiny a přejděte na kartu Skupiny .
- Vyberte skupinu čtenáři Windows Admin Center.
- V podokně Podrobností v dolní části vyberte Přidat uživatele a zadejte jméno uživatele nebo skupiny zabezpečení, které by měly mít přístup k serveru jen pro čtení prostřednictvím centra Windows Admin Center. Uživatelé a skupiny můžou pocházet z místního počítače nebo vaší domény služby Active Directory.
- Opakujte kroky 2 až 3 pro skupiny správci centra Windows Admin Center Hyper-V a správci centra Windows Admin Center.
Tyto skupiny můžete také konzistentně vyplnit v rámci domény konfigurací objektu zásad skupiny pomocí nastavení zásad skupiny omezené skupiny.
Použití řízení přístupu na základě role na více počítačích
Ve velkém podnikovém nasazení můžete pomocí stávajících nástrojů pro automatizaci vysdílit funkci řízení přístupu na základě role do počítačů stažením konfiguračního balíčku z brány Windows Admin Center. Konfigurační balíček je navržený tak, aby se používal s powershellovou konfigurací požadovaného stavu, ale můžete ho přizpůsobit tak, aby fungoval s upřednostňovaným automatizačním řešením.
Stažení konfigurace řízení přístupu na základě role
Pokud chcete stáhnout konfigurační balíček řízení přístupu na základě role, budete muset mít přístup k Centru pro správu Windows a k příkazovému řádku PowerShellu.
Pokud používáte bránu Windows Admin Center v režimu služby na Windows Serveru, stáhněte konfigurační balíček pomocí následujícího příkazu. Nezapomeňte aktualizovat adresu brány správnou pro vaše prostředí.
$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Pokud používáte bránu Windows Admin Center na počítači s Windows 10, spusťte místo toho následující příkaz:
$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Když rozbalíte archiv zip, uvidíte následující strukturu složek:
- InstallJeaFeatures.ps1
- JustEnoughAdministration (adresář)
- Moduly (adresář)
- Microsoft.SME.* (adresáře)
Pokud chcete nakonfigurovat podporu řízení přístupu na základě role na uzlu, musíte provést následující akce:
- Zkopírujte moduly JustEnoughAdministration a Microsoft.SME.* do adresáře modulu PowerShellu na cílovém počítači. Obvykle se nachází v
C:\Program Files\WindowsPowerShell\Modules. - Aktualizujte InstallJeaFeature.ps1 soubor tak, aby odpovídal požadované konfiguraci koncového bodu RBAC.
- Chcete-li zkompilovat prostředek DSC, spusťte
InstallJeaFeature.ps1. - Nasadit konfiguraci DSC na všechny vaše počítače, aby se aplikovala nastavení.
Následující část vysvětluje, jak to provést pomocí vzdálené komunikace PowerShellu.
Nasazení na více počítačích
Pokud chcete nasadit konfiguraci, kterou jste stáhli do více počítačů, budete muset aktualizovat skriptInstallJeaFeatures.ps1 tak, aby zahrnoval příslušné skupiny zabezpečení pro vaše prostředí, zkopírujte soubory do každého počítače a vyvoláte konfigurační skripty. K tomuto účelu můžete použít upřednostňované nástroje pro automatizaci, ale tento článek se zaměří na čistý přístup založený na PowerShellu.
Ve výchozím nastavení konfigurační skript vytvoří na počítači místní skupiny zabezpečení pro řízení přístupu ke každé z rolí. To je vhodné pro počítače připojené k pracovní skupině a doméně, ale pokud nasazujete v prostředí jen pro doménu, můžete chtít přímo přidružit skupinu zabezpečení domény k jednotlivým rolím. Pokud chcete aktualizovat konfiguraci tak, aby používala skupiny zabezpečení domény, otevřete InstallJeaFeatures.ps1 a proveďte následující změny:
- Odeberte ze souboru 3 prostředky skupiny :
- Skupina MS-Readers-Skupina
- Skupina MS-Hyper-V-Administrators-Group
- "Group MS-Administrators-Group"
- Odebrání prostředků skupiny 3 z vlastnosti JeaEndpoint DependsOn
- "[Group]MS-Readers-Group"
- "[Group]MS-Hyper-V-Administrators-Group"
- "[Group]MS-Administrators-Group"
- Změňte názvy skupin ve vlastnosti JeaEndpoint RoleDefinitions na požadované skupiny zabezpečení. Pokud máte například skupinu zabezpečení CONTOSO\MyTrustedAdmins , která by měla být přiřazena k roli Správci Centra pro správu Windows, přejděte
'$env:COMPUTERNAME\Windows Admin Center Administrators'na'CONTOSO\MyTrustedAdmins'. Tři řetězce, které potřebujete aktualizovat, jsou:- '$env:COMPUTERNAME\Správci Windows Admin Centra'
- '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
- '$env:NÁZEV_POČÍTAČE\Čtenáři Windows Admin Center'
Note
Nezapomeňte pro každou roli použít jedinečné skupiny zabezpečení. Pokud je stejná skupina zabezpečení přiřazená více rolím, konfigurace selže.
Dále na konec souboru InstallJeaFeatures.ps1 přidejte následující řádky PowerShellu do dolní části skriptu:
Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
AllNodes = @()
ModuleBasePath = @{
Source = "$PSScriptRoot\Modules"
Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
}
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force
Nakonec můžete zkopírovat složku obsahující moduly, prostředek DSC a konfiguraci do každého cílového uzlu a spustit skriptInstallJeaFeature.ps1 . Pokud to chcete provést vzdáleně z pracovní stanice správce, můžete spustit následující příkazy:
$ComputersToConfigure = 'MyServer01', 'MyServer02'
$ComputersToConfigure | ForEach-Object {
$session = New-PSSession -ComputerName $_ -ErrorAction Stop
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
Disconnect-PSSession $session
}