Konfigurieren der Benutzerzugriffssteuerung und von Berechtigungen
Gilt für: Windows Admin Center, Windows Admin Center-Vorschau
Wenn du es noch nicht getan hast, mache dich mit den Benutzerzugriffssteuerungs-Optionen im Windows Admin Center vertraut.
Hinweis
Gruppenbasierter Zugriff im Windows Admin Center wird in Arbeitsgruppenumgebungen oder über vertrauenswürdige Domänen hinweg nicht unterstützt.
Rollendefinitionen für Gatewayzugriff
Es gibt zwei Rollen für den Zugriff auf den Gatewaydienst von Windows Admin Center:
Gatewaybenutzer können eine Verbindung mit dem Windows Admin Center-Gateway herstellen, um Servern über dieses Gateway zu verwalten, aber sie können weder die Zugriffsberechtigungen noch den Authentifizierungsmechanismus ändern, der zum Authentifizieren des Gateways verwendet wird.
Gatewayadministratoren können konfigurieren, wer Zugriff erhält und wie sich Benutzer beim Gateway authentifizieren. Nur Gatewayadministratoren können die Zugriffseinstellungen im Windows Admin Center anzeigen und konfigurieren. Lokale Administratoren auf dem Gatewaycomputer sind immer Administratoren des Windows Admin Center-Gatewaydiensts.
Es gibt auch eine zusätzliche Rolle speziell zur Verwaltung von CredSSP:
Windows Admin Center CredSSP-Administratoren sind beim Windows Admin Center CredSSP-Endpunkt registriert und verfügen über Berechtigungen zum Ausführen vordefinierter CredSSP-Vorgänge. Diese Gruppe ist besonders nützlich für Installationen von Windows Admin Center im Desktopmodus, wobei nur das Benutzerkonto, das Windows Admin Center installiert hat, standardmäßig diese Berechtigungen erhält.
Hinweis
Der Zugriff auf das Gateway impliziert nicht den Zugriff auf verwaltete Server, die durch das Gateway sichtbar sind. Um einen Zielserver zu verwalten, muss der sich verbindende Benutzer Anmeldeinformationen verwenden (entweder über seine weitergeleiteten Windows-Anmeldeinformationen oder über Anmeldeinformationen, die in der Windows Admin Center-Sitzung mit der Aktion Verwalten als bereitgestellt werden), die über Administratorzugriff auf diesen Zielserver verfügen. Dies liegt daran, dass für die meisten Windows Admin Center-Tools Administratorberechtigungen erforderlich sind.
Active Directory- oder lokale Computergruppen
Standardmäßig werden Active Directory- oder lokale Computergruppen verwendet, um den Gatewayzugriff zu steuern. Wenn du über eine Active Directory-Domäne verfügst, kannst du den Gatewaybenutzer- und Administratorzugriff über die Windows Admin Center-Schnittstelle verwalten.
Auf der Registerkarte Benutzer kannst du steuern, wer als Gatewaybenutzer auf Windows Admin Center zugreifen kann. Standardmäßig, und wenn du keine Sicherheitsgruppe angibst, hat jeder Benutzer, der auf die Gateway-URL zugreift, Zugriff. Nachdem du der Benutzerliste eine oder mehrere Sicherheitsgruppen hinzugefügt hast, ist der Zugriff auf die Mitglieder dieser Gruppen beschränkt.
Wenn du in deiner Umgebung keine Active Directory-Domäne verwendest, wird der Zugriff durch die lokalen Gruppen Benutzer und Administratoren auf dem Windows Admin Center-Gatewaycomputer gesteuert.
Smartcard-Authentifizierung
Du kannst Smartcard-Authentifizierung erzwingen, indem du eine zusätzliche, für Smartcard-basierte Sicherheitsgruppen erforderliche Gruppe angibst. Nachdem du eine Smartcard-basierte Sicherheitsgruppe hinzugefügt hast, kann ein Benutzer nur auf den Windows Admin Center-Dienst zugreifen, wenn er Mitglied einer beliebigen Sicherheitsgruppe UND einer in der Benutzerliste enthaltenen Smartcard-Gruppe ist.
Auf der Registerkarte Administratoren kannst du steuern, wer als Gatewayadministrator auf das Windows Admin Center zugreifen kann. Die lokale Gruppe „Administratoren“" auf dem Computer hat immer vollständigen Administratorzugriff und kann nicht aus der Liste entfernt werden. Durch das Hinzufügen von Sicherheitsgruppen erteilst du Mitgliedern dieser Gruppen Berechtigungen zum Ändern der Einstellungen des Windows Admin Center-Gateways. Die Liste der Administratoren unterstützt Smartcard-Authentifizierung auf dieselbe Weise wie die Benutzerliste: mit der UND-Bedingung für eine Sicherheitsgruppe und eine Smartcard-Gruppe.
Microsoft Entra ID
Wenn Ihr Unternehmen Microsoft Entra ID verwendet, können Sie sich dafür entscheiden, Windows Admin Center eine zusätzliche Sicherheitsschicht hinzuzufügen, indem Sie für den Zugriff auf das Gateway die Microsoft Entra-Authentifizierung verlangen. Um auf das Windows Admin Center zuzugreifen muss das Windows-Konto des Benutzers auch Zugriff auf den Gatewayserver haben (selbst wenn Microsoft Entra-Authentifizierung verwendet wird). Wenn Sie Microsoft Entra ID verwenden, verwalten Sie die Windows Admin Center-Zugriffsberechtigungen für Benutzer und Administratoren über das Azure-Portal, anstatt über die Windows Admin Center-Benutzeroberfläche.
Zugreifen auf das Windows Admin Center bei aktivierter Microsoft Entra-Authentifizierung
Abhängig vom verwendeten Browser erhalten einige Benutzer, die mit konfigurierter Microsoft Entra-Authentifizierung auf Windows Admin Center zugreifen, eine zusätzliche Eingabeaufforderung aus dem Browser, in der sie die Anmeldeinformationen ihres Windows-Kontos für den Computer angeben müssen, auf dem Windows Admin Center installiert ist. Nachdem Sie diese Informationen eingegeben haben, erhalten die Benutzer die zusätzliche Microsoft Entra-Authentifizierungsaufforderung, für die die Anmeldeinformationen eines Azure-Kontos erforderlich sind, dem Zugriff in der Microsoft Entra-Anwendung in Azure gewährt wurde.
Hinweis
Benutzer, deren Windows-Konto auf dem Gatewaycomputer Administratorrechte besitzt, werden nicht zur Microsoft Entra-Authentifizierung aufgefordert.
Konfigurieren der Microsoft Entra-Authentifizierung für Windows Admin Center-Vorschau
Wechseln Sie im Windows Admin Center zu Einstellungen>Zugriff, und aktivieren Sie über die Umschaltfläche „Verwenden von Microsoft Entra ID, um dem Gateway eine Sicherheitsschicht hinzuzufügen“. Wenn du das Gateway nicht bei Azure registriert hast, wirst du zu diesem Zeitpunkt dazu angeleitet.
Standardmäßig verfügen alle Mitglieder des Microsoft Entra-Mandanten über Benutzerzugriff auf den Gatewaydienst von Windows Admin Center. Nur lokale Administratoren auf dem Gatewaycomputer besitzen Administratorzugriff auf das Windows Admin Center-Gateway. Beachten Sie, dass die Rechte lokaler Administratoren auf dem Gatewaycomputer nicht eingeschränkt werden können. Lokale Administratoren können sämtliche Aktionen ausführen, unabhängig davon, ob Microsoft Entra ID für die Authentifizierung verwendet wird.
Wenn Sie bestimmten Microsoft Entra-Benutzern oder -Gruppen Gatewaybenutzer- oder Gatewayadministratorzugriff auf den Windows Admin Center-Dienst erteilen möchten, gehen Sie wie folgt vor:
- Wechseln Sie zu Ihrer Windows Admin Center Microsoft Entra-Anwendung im Azure-Portal, indem Sie den in den Zugriffseinstellungen bereitgestellten Link verwenden. Beachten Sie, dass dieser Link nur verfügbar ist, wenn Microsoft Entra-Authentifizierung aktiviert ist.
- Sie können deine Anwendung auch im Azure-Portal finden, indem Sie zu Microsoft Entra ID>Unternehmensanwendungen>Alle Anwendungen wechseln und WindowsAdminCenter suchen (die Microsoft Entra ID-App heißt „WindowsAdminCenter-<Gatewayname>“). Wenn du keine Suchergebnisse erhältst, vergewissere dich, dass Anzeigen auf Alle Anwendungen festgelegt ist, dass Anwendungsstatus auf Beliebig festgelegt ist, wähle dann „Anwenden“ aus, und versuche, deine Suche auszuführen. Nachdem du die Anwendung gefunden hast, wechsle zu Benutzer und Gruppen.
- Lege auf der Registerkarte „Eigenschaften“ Benutzerzuweisung erforderlich auf „Ja“ fest. Nachdem du dies getan hast, können nur Mitglieder, die auf der Registerkarte Benutzer und Gruppen aufgelistet sind, auf das Windows Admin Center-Gateway zugreifen.
- Wähle auf der Registerkarte „Benutzer und Gruppen“ Benutzer hinzufügen aus. Du musst für jede/n hinzugefügte/n Benutzer/Gruppe eine Gatewaybenutzer- oder Gatewayadministratorrolle zuweisen.
Sobald Sie Microsoft Entra-Authentifizierung aktiviert haben, wird der Gatewaydienst neu gestartet, und Sie müssen Ihren Browser aktualisieren. Sie können den Benutzerzugriff für die Microsoft Entra-Anwendung SME jederzeit im Azure-Portal aktualisieren.
Benutzer werden aufgefordert, sich mit ihrer Microsoft Entra-Identität anzumelden, wenn sie versuchen, auf die Gateway-URL des Windows Admin Centers zuzugreifen. Denke daran, dass Benutzer ebenfalls Mitglied der lokalen Benutzergruppe auf dem Gatewayserver sein müssen, um auf das Windows Admin Center zugreifen zu können.
Benutzer und Administratoren können auf der Registerkarte Konto in den Windows Admin Center-Einstellungen sowohl ihr aktuell angemeldetes Konto anzeigen als auch sich bei diesem Microsoft Entra-Konto abmelden.
Konfigurieren der Microsoft Entra-Authentifizierung für Windows Admin Center
Um Microsoft Entra-Authentifizierung einzurichten, müssen Sie zuerst Ihr Gateway bei Azure registrieren (Sie müssen dies nur einmal für Ihr Windows Admin Center-Gateway durchführen). In diesem Schritt wird eine Microsoft Entra-Anwendung erstellt, mit der Sie den Gatewaybenutzer- und Gatewayadministratorzugriff verwalten können.
Wenn Sie bestimmten Microsoft Entra-Benutzern oder -Gruppen Gatewaybenutzer- oder Gatewayadministratorzugriff auf den Windows Admin Center-Dienst erteilen möchten, gehen Sie wie folgt vor:
- Gehen Sie zu Ihrer SME Microsoft Entra-Anwendung im Azure Portal.
- Wenn Sie Zugriffssteuerung ändern auswählen und dann in den Zugriffseinstellungen von Windows Admin Center Microsoft Entra ID auswählen, können Sie den in der Benutzeroberfläche bereitgestellten Link verwenden, um auf Ihre Microsoft Entra-Anwendung im Azure-Portal zuzugreifen. Dieser Link ist auch in den Zugriffseinstellungen verfügbar, nachdem Sie Speichern ausgewählt und Microsoft Entra ID als Identitätsanbieter für die Zugriffssteuerung ausgewählt haben.
- Sie können Ihre Anwendung auch im Azure-Portal finden, indem Sie zu Microsoft Entra ID>Unternehmensanwendungen>Alle Anwendungen wechseln und SME suchen (die Microsoft Entra-App heißt SME-<Gateway>). Wenn du keine Suchergebnisse erhältst, vergewissere dich, dass Anzeigen auf Alle Anwendungen festgelegt ist, dass Anwendungsstatus auf Beliebig festgelegt ist, wähle dann „Anwenden“ aus, und versuche, deine Suche auszuführen. Nachdem du die Anwendung gefunden hast, wechsle zu Benutzer und Gruppen.
- Lege auf der Registerkarte „Eigenschaften“ Benutzerzuweisung erforderlich auf „Ja“ fest. Nachdem du dies getan hast, können nur Mitglieder, die auf der Registerkarte Benutzer und Gruppen aufgelistet sind, auf das Windows Admin Center-Gateway zugreifen.
- Wähle auf der Registerkarte „Benutzer und Gruppen“ Benutzer hinzufügen aus. Du musst für jede/n hinzugefügte/n Benutzer/Gruppe eine Gatewaybenutzer- oder Gatewayadministratorrolle zuweisen.
Sobald Sie die Microsoft Entra-Zugriffssteuerung im Bereich Zugriffssteuerung ändern gespeichert haben, wird der Gatewaydienst neu gestartet, und Sie müssen Ihren Browser aktualisieren. Sie können den Benutzerzugriff für die Windows Admin Center Microsoft Entra-Anwendung jederzeit im Azure-Portal aktualisieren.
Benutzer werden aufgefordert, sich mit ihrer Microsoft Entra-Identität anzumelden, wenn sie versuchen, auf die Gateway-URL des Windows Admin Centers zuzugreifen. Denke daran, dass Benutzer ebenfalls Mitglied der lokalen Benutzergruppe auf dem Gatewayserver sein müssen, um auf das Windows Admin Center zugreifen zu können.
Auf der Registerkarte Azure in den allgemeinen Windows Admin Center-Einstellungen können Benutzer und Administratoren sowohl ihr aktuell angemeldetes Konto anzeigen als auch sich bei diesem Microsoft Entra-Konto abmelden.
Bedingter Zugriff und mehrstufige Authentifizierung
Einer der Vorteile der Verwendung von Microsoft Entra ID als zusätzliche Sicherheitsschicht zum Steuern des Zugriffs auf das Windows Admin Center-Gateway besteht darin, dass Sie die leistungsstarken Sicherheitsfeatures von Microsoft Entra ID nutzen können wie bedingten Zugriff und mehrstufige Authentifizierung.
Erfahren Sie mehr über die Konfiguration des bedingten Zugriffs mit Microsoft Entra ID.
Einmaliges Anmelden konfigurieren
Einmaliges Anmelden bei Bereitstellung als Dienst unter Windows Server
Wenn du Windows Admin Center unter Windows 10 installierst, ist es bereit für die Verwendung der einmaligen Anmeldung. Wenn du Windows Admin Center unter Windows Server verwenden möchtest, musst du jedoch eine Form der Kerberos-Delegierung in deiner Umgebung einrichten, bevor du einmaliges Anmelden verwenden kannst. Die Delegierung konfiguriert den Gatewaycomputer als vertrauenswürdig für die Delegierung an den Zielknoten.
Um ressourcenbasierte eingeschränkte Delegierung in deiner Umgebung zu konfigurieren, verwendest du folgendes PowerShell-Beispiel. Dieses Beispiel zeigt, wie du einen Windows-Server [node01.contoso.com] so konfigurierst, dass die Delegierung von deinem Windows Admin Center-Gateway [wac.contoso.com] in der Domäne „contoso.com“ akzeptiert wird.
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)
Um diese Beziehung zu entfernen, führst du das folgende Cmdlet aus:
Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null
Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)
Mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) kannst du Benutzern eingeschränkten Zugriff auf den Computer gewähren, anstatt sie zu vollständigen lokalen Administratoren zu machen. Weitere Informationen zur rollenbasierten Zugriffssteuerung und den verfügbaren Rollen.
Das Einrichten von RBAC besteht aus zwei Schritten: Aktivieren der Unterstützung auf den Zielcomputern und Zuweisen von Benutzern zu den relevanten Rollen.
Tipp
Stelle sicher, dass du über lokale Administratorrechte auf den Computern verfügst, auf denen du die Unterstützung für die rollenbasierte Zugriffssteuerung konfigurierst.
Anwenden der rollenbasierten Zugriffssteuerung auf einen einzelnen Computer
Das Modell für die Bereitstellung auf einem einzelnen Computer eignet sich ideal für einfache Umgebungen, in denen nur wenige Computer verwaltet werden. Die Konfiguration eines Computers mit Unterstützung für die rollenbasierte Zugriffssteuerung führt zu folgenden Änderungen:
- PowerShell-Module mit Funktionen, die für das Windows Admin Center erforderlich sind, werden auf deinem Systemlaufwerk unter
C:\Program Files\WindowsPowerShell\Modules
installiert. Alle Module beginnen mit Microsoft.Sme. - Die Desired State Configuration (Konfiguration des gewünschten Zustands, DSC) führt eine einmalige Konfiguration aus, um einen „Just Enough Administration“-Endpunkt (JEA) namens Microsoft.Sme.PowerShell auf dem Computer zu konfigurieren. Dieser Endpunkt definiert die drei von Windows Admin Center verwendeten Rollen und wird als temporärer lokaler Administrator ausgeführt, wenn ein Benutzer eine Verbindung damit herstellt.
- Drei neue lokale Gruppen werden erstellt, um zu steuern, welchen Benutzern der Zugriff auf welche Rollen zugewiesen wird:
- Windows Admin Center-Administratoren
- Windows Admin Center Hyper-V-Administratoren
- Windows Admin Center-Leser
Hinweis
Die rollenbasierte Zugriffssteuerung wird für die Clusterverwaltung nicht unterstützt (d. h. Features, die von RBAC abhängig sind, z. B. CredSSP, lassen sich nicht nutzen).
Um die Unterstützung für die rollenbasierte Zugriffssteuerung auf einem einzelnen Computer zu aktivieren, führe diese folgenden Schritte durch:
- Öffne das Windows Admin Center, und stelle mit einem Konto mit lokalen Administratorrechten auf dem Zielcomputer eine Verbindung mit dem Computer her, den du mit der rollenbasierten Zugriffssteuerung konfigurieren möchtest.
- Wähle im Tool ÜbersichtEinstellungen>Rollenbasierte Zugriffssteuerung aus.
- Wähle unten auf der Seite Anwenden aus, um die Unterstützung für die rollenbasierte Zugriffssteuerung auf dem Zielcomputer zu aktivieren. Der Anwendungsprozess umfasst das Kopieren von PowerShell-Skripts sowie das Aufrufen einer Konfiguration (mithilfe von PowerShell DSC) auf dem Zielcomputer. Bis zum Abschluss des Vorgangs kann es bis zu 10 Minuten dauern, und anschließend wird WinRM neu gestartet. Hierdurch werden Windows Admin Center-, PowerShell- und WMI-Benutzer vorübergehend getrennt.
- Aktualisiere die Seite, um den Status der rollenbasierten Zugriffssteuerung zu überprüfen. Wenn sie einsatzbereit ist, ändert sich der Status in Angewendet.
Nach dem Anwenden der Konfiguration kannst du den Rollen Benutzer zuweisen:
- Öffne das Tool Lokale Benutzer und Gruppen, und navigiere zur Registerkarte Gruppen.
- Wähle die Gruppe Windows Admin Center-Leser aus.
- Wähle im Bereich Details am unteren Rand Benutzer hinzufügen aus, und gib den Namen eines Benutzers oder einer Sicherheitsgruppe ein, der/die schreibgeschützten Zugriff über das Windows Admin Center auf den Server erhalten soll. Die Benutzer und Gruppen können von dem lokalen Computer oder aus deiner Active Directory-Domäne stammen.
- Wiederhole die Schritte 2 bis 3 für die Gruppen Windows Admin Center Hyper-V-Administratoren und Windows Admin Center-Administratoren.
Du kannst diese Gruppen auch konsistent in deiner ganzen Domäne auffüllen, indem du ein Gruppenrichtlinienobjekt mit der Richtlinieneinstellung für eingeschränkte Gruppen konfigurierst.
Anwenden der rollenbasierten Zugriffssteuerung auf mehrere Computer
In einer großen Unternehmensbereitstellung kannst du deine vorhandenen Automatisierungstools verwenden, um die Funktion für rollenbasierte Zugriffssteuerung auf deine Computer zu übertragen, indem du das Konfigurationspaket vom Windows Admin Center-Gateway herunterlädst. Das Konfigurationspaket ist für die Verwendung mit PowerShell DSC gedacht, aber du kannst es so anpassen, dass es mit deiner bevorzugten Automatisierungslösung arbeitet.
Herunterladen der Konfiguration für die rollenbasierte Zugriffssteuerung
Um das Konfigurationspaket für die rollenbasierte Zugriffssteuerung herunterzuladen, benötigst du Zugriff auf das Windows Admin Center und eine PowerShell-Eingabeaufforderung.
Wenn du das Windows Admin Center-Gateway im Wartungsmodus unter Windows Server ausführst, verwende den folgenden Befehl, um das Konfigurationspaket herunterzuladen. Stelle sicher, dass du die Gatewayadresse mit der richtigen für deine Umgebung aktualisierst.
$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Wenn du das Windows Admin Center-Gateway auf deinem Windows 10-Computer ausführst, führe stattdessen den folgenden Befehl aus:
$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"
Wenn du das ZIP-Archiv erweiterst, wird folgende Ordnerstruktur angezeigt:
- InstallJeaFeatures.ps1
- JustEnoughAdministration (Verzeichnis)
- Module (Verzeichnis)
- Microsoft.SME.* (Verzeichnisse)
Um die Unterstützung für rollenbasierte Zugriffssteuerung auf einem Knoten zu konfigurieren, musst du die folgenden Aktionen ausführen:
- Kopieren Sie die ModuleJustEnoughAdministration und Microsoft.SME.* in das PowerShell-Modulverzeichnis auf dem Zielcomputer. Normalerweise befindet sich dieses in
C:\Program Files\WindowsPowerShell\Modules
. - Aktualisiere die Datei InstallJeaFeature.ps1 so, dass sie deiner gewünschten Konfiguration für den RBAC-Endpunkt entspricht.
- Führe
InstallJeaFeature.ps1
zum Kompilieren der DSC-Ressource aus. - Stelle die DSC-Konfiguration auf allen deinen Computern bereit, um die Konfiguration anzuwenden.
Im folgenden Abschnitt wird erläutert, wie dies mithilfe von PowerShell-Remoting durchzuführen ist.
Bereitstellen auf mehreren Computern
Um die heruntergeladene Konfiguration auf mehreren Computern bereitzustellen, musst du das Skript InstallJeaFeatures.ps1 so aktualisieren, dass es die entsprechenden Sicherheitsgruppen für deine Umgebung enthält, die Dateien auf jeden deiner Computer kopieren und die Konfigurationsskripts aufrufen. Hierfür kannst du deine bevorzugten Automatisierungstools verwenden. Dieser Artikel konzentriert sich jedoch auf einen reinen PowerShell-basierten Ansatz.
Standardmäßig erstellt das Konfigurationsskript lokale Sicherheitsgruppen auf dem Computer, um den Zugriff auf die einzelnen Rollen zu steuern. Dies eignet sich für Arbeitsgruppen- und einer Domäne beigetretene Computer. Wenn du jedoch in einer reinen Domänenumgebung bereitstellst, solltest du eventuell jeder Rolle direkt eine Domänensicherheitsgruppe zuordnen. Um die Konfiguration auf die Verwendung von Domänensicherheitsgruppen zu aktualisieren, öffne InstallJeaFeatures.ps1, und nimm die folgenden Änderungen vor:
- Entferne die 3 Group-Ressourcen aus der Datei:
- "Group MS-Readers-Group"
- "Group MS-Hyper-V-Administrators-Group"
- "Group MS-Administrators-Group"
- Entferne die 3 Group-Ressourcen aus der JeaEndpoint-Eigenschaft DependsOn.
- "[Group]MS-Readers-Group"
- "[Group]MS-Hyper-V-Administrators-Group"
- "[Group]MS-Administrators-Group"
- Ändere die Gruppennamen in der JeaEndpoint-Eigenschaft RoleDefinitions in deine gewünschten Sicherheitsgruppen. Wenn du z. B. über eine Sicherheitsgruppe CONTOSO\MyTrustedAdmins verfügst, der Zugriff auf die Rolle „Windows Admin Center-Administratoren“ zugewiesen werden soll, ändere
'$env:COMPUTERNAME\Windows Admin Center Administrators'
in'CONTOSO\MyTrustedAdmins'
. Die drei Zeichen folgen, die du aktualisieren musst, lauten wie folgt:- '$env:COMPUTERNAME\Windows Admin Center Administrators'
- '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
- '$env:COMPUTERNAME\Windows Admin Center Readers'
Hinweis
Achte darauf, dass du eindeutige Sicherheitsgruppen für jede Rolle verwendest. Die Konfiguration schlägt fehl, wenn dieselbe Sicherheitsgruppe mehreren Rollen zugewiesen wird.
Füge als Nächstes die folgenden PowerShell-Zeilen am Ende der Datei InstallJeaFeatures.ps1 am Ende des Skripts hinzu:
Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
AllNodes = @()
ModuleBasePath = @{
Source = "$PSScriptRoot\Modules"
Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
}
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force
Schließlich kannst du den Ordner, der die Module, die DSC-Ressource und die Konfiguration enthält, auf jeden Zielknoten kopieren und das Skript InstallJeaFeature.ps1 ausführen. Um dies remote von ihrer Administrator-Workstation aus auszuführen, kannst du die folgenden Befehle ausführen:
$ComputersToConfigure = 'MyServer01', 'MyServer02'
$ComputersToConfigure | ForEach-Object {
$session = New-PSSession -ComputerName $_ -ErrorAction Stop
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
Disconnect-PSSession $session
}