Registrieren von JEA-Konfigurationen
Nachdem Sie Ihre Rollenfunktionen und die Sitzungskonfigurationsdatei erstellt haben, müssen Sie nur noch den JEA-Endpunkt registrieren. Das Registrieren des JEA-Endpunkts beim System stellt den Endpunkt für Benutzer und Automatisierungs-Engines zur Verfügung.
Einzelcomputerkonfiguration
Sie können JEA für kleine Umgebungen bereitstellen, indem Sie die Konfigurationsdatei mithilfe des Register-PSSessionConfiguration-Cmdlets registrieren.
Vergewissern Sie sich vor Beginn, dass die folgenden Voraussetzungen erfüllt sind:
- Eine oder mehrere Rollen wurden erstellt und im Ordner RoleCapabilities eines PowerShell-Moduls abgelegt.
- Eine Sitzungskonfigurationsdatei wurde erstellt und getestet.
- Der Benutzer, der die JEA-Konfiguration registriert, verfügt über Administratorrechte auf dem System.
- Sie haben einen Namen für Ihren JEA-Endpunkt ausgewählt.
Der Name des JEA-Endpunkts wird benötigt, wenn Benutzer mit JEA eine Verbindung mit dem System herstellen. Das Get-PSSessionConfiguration-Cmdlet listet die Namen der Endpunkte auf einem System auf. Endpunkte, deren Name mit microsoft beginnen, gehören normalerweise zum Funktionsumfang von Windows. Der Endpunkt microsoft.powershell ist der Standardendpunkt, der verwendet wird, wenn eine Verbindung mit einem PowerShell-Remoteendpunkt hergestellt wird.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Führen Sie den folgenden Befehl aus, um den Endpunkt zu registrieren:
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Warnung
Der oben angegebene Befehl startet den WinRM-Dienst im System neu. Dadurch werden alle PowerShell-Remotingsitzungen und alle laufenden DSC-Konfigurationen beendet. Schalten Sie nach Möglichkeit vor dem Ausführen des Befehls alle Produktionscomputer offline, um Unterbrechung des Geschäftsbetriebs zu vermeiden.
Nach der Registrierung können Sie JEA verwenden. Sie können die Sitzungskonfigurationsdatei jederzeit löschen. Die Konfigurationsdatei wird nach der Registrierung des Endpunkts nicht verwendet.
Konfigurieren mehrerer Computer mit DSC (Desired State Configuration)
Wenn Sie JEA auf mehreren Computern bereitstellen, bietet sich als einfachstes Bereitstellungsmodell die Verwendung der JEA-DSC--Ressource (Desired State Configuration) an, um JEA schnell und konsistent auf jedem Computer bereitzustellen.
Um JEA mit DSC bereitzustellen, müssen die folgenden Voraussetzungen erfüllt sein:
- Eine oder mehrere Rollenfunktionen wurden erstellt und einem PowerShell-Modul hinzugefügt.
- Das PowerShell-Modul, das die Rollen enthält, ist auf einer (schreibgeschützten) Freigabe gespeichert, auf die von jedem Computer aus zugegriffen werden kann.
- Die Einstellungen für die Sitzungskonfiguration wurden festgelegt. Sie müssen keine Sitzungskonfigurationsdatei erstellen, um die JEA-DSC-Ressource zu verwenden.
- Sie verfügen über Anmeldeinformationen, die Verwaltungsaktionen auf allen Computern ermöglichen, oder Sie haben Zugriff auf einen DSC-Pullserver, um die Computer zu verwalten.
- Sie haben die JEA-DSC-Ressourcen heruntergeladen.
Erstellen Sie auf einem Zielcomputer (oder gegebenenfalls einem Pullserver) eine DSC-Konfiguration für Ihren JEA-Endpunkt. In dieser Konfiguration definiert die JustEnoughAdministration-DSC-Ressource die Sitzungskonfigurationsdatei, und die Dateiressource kopiert die Rollenfunktionen aus der Dateifreigabe.
Die folgenden Eigenschaften können mithilfe der DSC-Ressource konfiguriert werden:
- Rollendefinitionen
- Virtuelle Kontogruppen
- Gruppenverwalteter Dienstkontoname
- Aufzeichnungsverzeichnis
- Benutzerlaufwerk
- Regeln für bedingten Zugriff
- Skripts zum Starten der JEA-Sitzung
Die Syntax für jede dieser Eigenschaften in einer DSC-Konfiguration stimmt mit Konfigurationsdatei der PowerShell-Sitzung überein.
Es folgt ein Beispiel einer DSC-Konfiguration für ein allgemeines Serverwartungsmodul. Dabei wird von einem gültigen PowerShell-Modul mit Rollenfunktionen ausgegangen, das sich auf der Dateifreigabe \\myfileshare\JEA befindet.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Diese Konfiguration wird danach auf einem System angewendet. Dazu müssen Sie den lokalen Konfigurations-Manager aufrufen oder die Pullserverkonfiguration aktualisieren.
Mithilfe der DSC-Ressource können Sie außerdem den Microsoft.PowerShell-Standardendpunkt ersetzen. Wenn dieser ersetzt wird, registriert die Ressource automatisch einen Sicherungsendpunkt namens Microsoft.PowerShell.Restricted. Der Sicherungsendpunkt verfügt über die Standard-WinRM-ACL, die Remotemanagementbenutzern und Mitgliedern der lokalen Administratorengruppe erlaubt, auf diesen zuzugreifen.
Aufheben der Registrierung von JEA-Konfigurationen
Verwenden Sie das Unregister-PSSessionConfiguration-Cmdlet, um einen JEA-Endpunkt von einem System zu entfernen. Das Aufheben der Registrierung eines JEA-Endpunkts verhindert, dass neue Benutzer neue JEA-Sitzungen auf dem System erstellen. Sie können auch eine JEA-Konfiguration aktualisieren, indem Sie eine aktualisierte Sitzungskonfigurationsdatei erneut registrieren und den gleichen Endpunktnamen verwenden.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Warnung
Wenn Sie die Registrierung eines JEA-Endpunkts aufheben, wird der WinRM-Dienst neu gestartet. Dadurch werden die meisten aktuell ausgeführten Remoteverwaltungsvorgänge unterbrochen, z.B. andere PowerShell-Sitzungen, WMI-Aufrufe und einige Verwaltungstools. Heben Sie daher die Registrierung von PowerShell-Endpunkte nur während geplanter Wartungsfenster auf.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für