Registro de configuraciones de JEA
Una vez que ha creado las funcionalidades de rol y el archivo de configuración de sesión, el último paso consiste en registrar el punto de conexión de JEA. El registro del punto de conexión de JEA en el sistema pone a disposición el punto de conexión para que lo usen los motores de automatización y los usuarios.
Configuración de la máquina sencilla
Para entornos pequeños, puede implementar JEA al registrar el archivo de configuración de sesión mediante el cmdlet Register-PSSessionConfiguration.
Antes de comenzar, asegúrese de que se cumplen los requisitos previos siguientes:
- Se han creado uno o varios roles, y se han colocado en la carpeta RoleCapabilities de un módulo de PowerShell.
- Se ha creado y probado un archivo de configuración de sesión.
- El usuario que registra la configuración de JEA tiene derechos de administrador en el sistema.
- Ha seleccionado un nombre para el punto de conexión de JEA.
El nombre del punto de conexión de JEA es obligatorio cuando los usuarios se conectan al sistema mediante JEA. El cmdlet Get-PSSessionConfiguration enumera los nombres de los puntos de conexión de un sistema. Los puntos de conexión que empiezan por microsoft normalmente se entregan con Windows. El punto de conexión microsoft.powershell es el que se usa de manera predeterminada al conectarse a un punto de conexión remoto de PowerShell.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Ejecute el comando siguiente para registrar el punto de conexión.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Advertencia
El comando anterior reinicia el servicio WinRM en el sistema. Esto finaliza todas las sesiones de comunicación remota de PowerShell y todas las configuraciones de DSC en curso. Se recomienda desconectar las máquinas de producción antes de ejecutar el comando para evitar interrumpir las operaciones empresariales.
Después del registro, estará listo para usar JEA. Puede eliminar el archivo de configuración de sesión en cualquier momento. El archivo de configuración no se usa después del registro del punto de conexión.
Configuración de varios equipos con DSC
Al implementar JEA en varios equipos, el modelo de implementación más sencillo usa el recurso de configuración de estado deseado (DSC) de JEA para implementar JEA en todos los equipos de forma rápida y coherente.
Para implementar JEA con DSC, asegúrese de que se cumplen los requisitos previos siguientes:
- Se han creado una o varias funcionalidades de rol y se han agregado a un módulo de PowerShell.
- El módulo de PowerShell que contiene los roles se almacena en un recurso compartido de archivo (de solo lectura) al que pueden obtener acceso todos los equipos.
- Se ha determinado la configuración de la sesión. No es necesario crear un archivo de configuración de sesión cuando se usa el recurso DSC de JEA.
- Tiene credenciales que le permiten realizar acciones administrativas en todos los equipos, o bien tiene acceso al servidor de extracción de DSC que se usa para administrar los equipos.
- Ha descargado el recurso de DSC de JEA.
Cree una configuración de DSC para el punto de conexión de JEA en un equipo de destino o servidor de extracción. En esta configuración, el recurso de DSC JustEnoughAdministration define el archivo de configuración de sesión y el recurso File copia las funcionalidades de rol desde el recurso compartido de archivos.
Se pueden configurar las siguientes propiedades con el recurso de DSC:
- Definiciones de roles
- Grupos de cuenta virtual
- Nombre de cuenta de servicio administrada de grupo
- Directorio de transcripciones
- Unidad de usuario
- Reglas de acceso condicional
- Scripts de inicio de la sesión de JEA
La sintaxis de cada una de estas propiedades en una configuración de DSC es coherente con el archivo de configuración de sesión de PowerShell.
A continuación se muestra un ejemplo de configuración de DSC de un módulo de mantenimiento general del servidor. Supone que un módulo de PowerShell válido que contiene las funcionalidades de rol se encuentra en el recurso compartido de archivos \\myfileshare\JEA.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Después, esta configuración se aplica en un sistema mediante la invocación directa del administrador de configuración local o la actualización de la configuración del servidor de extracción.
El recurso de DSC también permite reemplazar el punto de conexión de Microsoft.PowerShell predeterminado. Cuando se reemplaza, el recurso registra de forma automática un punto de conexión de reserva denominado Microsoft.PowerShell.Restricted. El punto de conexión de reserva tiene la ACL de WinRM predeterminada que permite el acceso a los miembros del grupo Usuarios de administración remota y Administradores local.
Anular el registro de configuraciones de JEA
El cmdlet Unregister-PSSessionConfiguration quita un punto de conexión de JEA. Si anula el registro de un punto de conexión de JEA, evitará que nuevos usuarios creen sesiones de JEA en el sistema. También permite actualizar una configuración de JEA al volver a registrar un archivo de configuración de sesión actualizado con el mismo nombre de punto de conexión.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Advertencia
Anular el registro de un punto de conexión de JEA provocará que se reinicie el servicio WinRM. Esto interrumpe la mayoría de las operaciones de administración remotas en curso, incluidas otras sesiones de PowerShell, invocaciones de WMI y algunas herramientas de administración. Anule el registro de puntos de conexión de PowerShell solo durante ventanas de mantenimiento planificadas.
