Compartir a través de

Instalar y usar Windows PowerShell Web Access

Actualizado: 5 de noviembre de 2013 (Editado: 23 de agosto de 2017)

Aplica a: Windows Server 2012 R2, Windows Server 2012

Introducción

Windows PowerShell Web Access, introducido por primera vez en Windows Server 2012, actúa como una pasarela Windows PowerShell, proporcionando una consola web de Windows PowerShell dirigida a un ordenador remoto. Permite a los profesionales de TI ejecutar comandos y scripts de Windows PowerShell desde una consola de Windows PowerShell en un navegador web, sin necesidad de Windows PowerShell, software de gestión remota ni instalación de complementos de navegador en el dispositivo cliente. Todo lo que se requiere para ejecutar la consola web de Windows PowerShell es una pasarela de acceso web Windows PowerShell correctamente configurada y un navegador de dispositivos cliente que soporte JavaScript y acepte cookies.

Ejemplos de dispositivos clientes incluyen portátiles, ordenadores personales no laborales, ordenadores prestados, tabletas, quioscos web, ordenadores que no ejecutan un sistema operativo Windows y navegadores de teléfonos móviles. Los profesionales de TI pueden realizar tareas de gestión críticas en servidores remotos basados en Windows desde dispositivos que tienen acceso a una conexión a Internet y un navegador web.

Tras la configuración y configuración exitosa de la pasarela, los usuarios pueden acceder a una consola PowerShell de Windows usando un navegador web. Cuando los usuarios abren el sitio web seguro de Windows PowerShell Web Access, pueden ejecutar una consola Windows PowerShell basada en la web tras la autenticación exitosa.

La configuración y configuración de Windows PowerShell Web Access es un proceso de tres pasos:

  1. Instalar Windows PowerShell Web Access
  2. Configurar la pasarela
  3. Configurar una regla de autorización restrictiva

Antes de instalar y configurar Windows PowerShell Web Access, te recomendamos leer esta guía completa, que incluye instrucciones sobre cómo instalar, asegurar y desinstalar Windows PowerShell Web Access. El tema Usar la consola web de Windows PowerShell describe cómo los usuarios inician sesión en la consola web, y cubre las limitaciones y diferencias entre la consola web de Windows PowerShell y la consolapowershell.exe . Los usuarios finales de la consola web deben leer Usar la consola PowerShell de Windows basada en la web, pero no necesitan leer el resto de esta guía.

Este tema no ofrece una guía detallada sobre las operaciones del servidor web IIS; solo se describen en este tema los pasos necesarios para configurar la pasarela de acceso web Windows PowerShell. Para más información sobre cómo configurar y proteger sitios web en IIS, consulte los recursos de documentación del IIS en la sección Véase también.

El siguiente diagrama muestra cómo funciona Windows PowerShell Web Access.

Diagrama de acceso web de Windows PowerShell

Requisitos para ejecutar Windows PowerShell Web Access

Windows PowerShell Web Access requiere que Web Server (IIS), .NET Framework 4.5 y Windows PowerShell 3.0 o Windows PowerShell 4.0 se ejecuten en el servidor donde quieres ejecutar la pasarela. Puedes instalar Windows PowerShell Web Access en un servidor que ejecute Windows Server 2012 R2 o Windows Server 2012 utilizando el Asistente de Añadir Roles y Características en el Administrador de Servidores, o los comandos de despliegue de Windows PowerShell para el Administrador de Servidores. Cuando instalas Windows PowerShell Web Access usando Server Manager o sus comandos de despliegue, los roles y características necesarios se añaden automáticamente como parte del proceso de instalación.

Windows PowerShell Web Access permite a usuarios remotos acceder a ordenadores de tu organización utilizando Windows PowerShell en un navegador web. Aunque Windows PowerShell Web Access es una herramienta de gestión cómoda y potente, el acceso web supone riesgos de seguridad y debe configurarse de la forma más segura posible. Recomendamos que los administradores que configuren la pasarela de acceso web de Windows PowerShell utilicen las capas de seguridad disponibles, tanto las reglas de autorización basadas en cmdlets incluidas con Windows PowerShell Web Access, como las capas de seguridad disponibles en Web Server (IIS) y aplicaciones de terceros. Esta documentación incluye tanto ejemplos no seguros que solo se recomiendan para entornos de prueba, como ejemplos recomendados para despliegues seguros.

Soporte para navegadores y dispositivos cliente

Windows PowerShell Web Access es compatible con los siguientes navegadores de Internet. Aunque los navegadores móviles no son oficialmente compatibles, muchos pueden ejecutar la consola web de Windows PowerShell. Se espera que otros navegadores que acepten cookies, ejecuten JavaScript y sitios web HTTPS funcionen, pero no son probados oficialmente.

Navegadores de ordenador de escritorio compatibles

  • Explorador de Internet de Windows para Microsoft Windows 8.0, 9.0, 10.0 y 11.0
  • Mozilla Firefox 10.0.2
  • Busca en Google Chrome 17.0.963.56m para Windows
  • Apple Safari 5.1.2 para Windows
  • Apple Safari 5.1.2 para Mac OS

Dispositivos móviles o navegadores mínimamente probados

  • Windows Phone 7 y 7.5
  • Google Android WebKit 3.1 Navegador Android 2.2.1 (Kernel 2.6)
  • Apple Safari para iPhone sistema operativo 5.0.1
  • Apple Safari para iPad 2 sistema operativo 5.0.1

Requisitos de los exploradores

Para utilizar la consola web de Windows PowerShell Web Access, los navegadores deben hacer lo siguiente.

  • Permitir cookies desde el sitio web de la pasarela de acceso web de Windows PowerShell.
  • Ser capaz de abrir y leer páginas HTTPS.
  • Abre y ejecuta sitios web que usen JavaScript.

Puedes instalar la pasarela de acceso web de Windows PowerShell en un servidor que ejecute Windows Server 2012 R2 o Windows Server 2012 utilizando los comandos de Windows PowerShell o el asistente de Añadir Roles y Características que se abre desde el Administrador de Servidores. Para una instalación y configuración rápidas, utiliza los cmdlets de PowerShell de Windows, como se describe en esta sección.

  1. Instalar Windows PowerShell Web Access
  2. Configurar la pasarela
  3. Configurar una regla de autorización restrictiva

Instalar Windows PowerShell Web Access usando los cmdlets de PowerShell

Para instalar Windows PowerShell Web Access usando los cmdlets de Windows PowerShell

  1. Realice una de las siguientes acciones para abrir una sesión de Windows PowerShell con derechos de usuario elevados.

    • En el escritorio de Windows, haga clic con el botón derecho en Windows PowerShell en la barra de tareas y, a continuación, haga clic en Ejecutar como administrador.
    • En la pantalla de inicio de Windows, haz clic derecho en PowerShell de Windows y luego haz clic en Ejecutar como administrador.

    Nota:

    En Windows PowerShell 3.0 y 4.0, no es necesario importar el módulo cmdlet del Server Manager a la sesión de Windows PowerShell antes de ejecutar los cmdlets que forman parte del módulo. Un módulo se importa automáticamente la primera vez que ejecutas un cmdlet que forma parte del módulo. Además, los cmdlets de PowerShell de Windows no son sensibles a mayúsculas y minúsculas.

  2. Escribe lo siguiente y luego pulsa Enter, donde computer_name representa un ordenador remoto en el que quieres instalar Windows PowerShell Web Access, si procede. El -Restart parámetro reinicia automáticamente los servidores de destino si es necesario.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

    Nota:

    Instalar Windows PowerShell Web Access mediante los cmdlets de Windows PowerShell no añade herramientas de gestión del Web Server (IIS) por defecto. Si quieres instalar las herramientas de gestión en el mismo servidor que la puerta de enlace de acceso web de Windows PowerShell, añade el -IncludeManagementTools parámetro al comando de instalación (como se proporciona en este paso). Si gestionas la web de Windows PowerShell Web Access desde un ordenador remoto, instala el complemento del gestor IIS instalando Remote Server Administration Tools para Windows 8.1 o Remote Server Administration Tools para Windows 8 en el ordenador desde el que quieras gestionar la pasarela.

    Para instalar roles y características en un VHD offline, debes añadir tanto el -ComputerName parámetro como el -VHD parámetro. El -ComputerName parámetro contiene el nombre del servidor en el que se debe montar el VHD, y el -VHD parámetro contiene la ruta hacia el archivo VHD en el servidor especificado.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

  3. Cuando la instalación esté completa, verifica que Windows PowerShell Web Access se haya instalado en servidores de destino ejecutando el Get-WindowsFeature cmdlet en un servidor de destino, en una consola PowerShell de Windows que se haya abierto con derechos de usuario elevados. También puedes verificar que Windows PowerShell Web Access estaba instalado en la consola del Gestor de Servidores, seleccionando un servidor de destino en la página de Todos los Servidores y luego viendo la casilla de Roles y Características del servidor seleccionado. También puedes ver el archivo readme para Windows PowerShell Web Access.

  4. Después de instalar Windows PowerShell Web Access, se te pide que revises el archivo readme, que contiene instrucciones básicas y necesarias de configuración para la pasarela. Estas instrucciones de configuración también se encuentran en la siguiente sección, Configurar la pasarela. La ruta al archivo readme es C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Configurar la pasarela

El cmdlet Install-PswaWebApplication es una forma rápida de configurar Windows PowerShell Web Access. Aunque puedes añadir el UseTestCertificate parámetro al Install-PswaWebApplication cmdlet para instalar un certificado SSL autofirmado con fines de prueba, esto no es seguro; para un entorno de producción seguro, siempre utiliza un certificado SSL válido que haya sido firmado por una autoridad certificadora (CA). Los administradores pueden reemplazar el certificado de prueba por uno firmado de su elección utilizando la consola del Administrador IIS.

Puedes completar la configuración de aplicaciones web de Windows PowerShell Web Access ejecutando el Install-PswaWebApplication cmdlet o realizando pasos de configuración basados en interfaz gráfica en IIS Manager. Por defecto, el cmdlet instala la aplicación web, pswa (y un pool de aplicaciones para ella, pswa_pool), en el contenedor Default Web Site, como se muestra en IIS Manager; Si se desea, puedes indicar al cmdlet que cambie el contenedor predeterminado del sitio de la aplicación web. IIS Manager ofrece opciones de configuración disponibles para aplicaciones web, como cambiar el número de puerto o el certificado de la Capa Secure Sockets (SSL).

Importante

Recomendamos encarecidamente que los administradores configuren la pasarela para que utilice un certificado válido firmado por una CA.

Para configurar la pasarela de acceso web de Windows PowerShell con un certificado de prueba usando Install-PswaWebApplication

  1. Haz una de las siguientes acciones para abrir una sesión de PowerShell de Windows.

    • En el escritorio de Windows, haz clic derecho en PowerShell de Windows en la barra de tareas.
    • En la pantalla de inicio de Windows, haz clic en Windows PowerShell.

  2. Escriba lo siguiente y presione Entrar.

    Install-PswaWebApplication -UseTestCertificate

    Importante

    El UseTestCertificate parámetro solo debe usarse en un entorno de prueba privado. Para un entorno de producción seguro, recomendamos usar un certificado válido firmado por una CA.

    Ejecutar el cmdlet instala la aplicación web Windows PowerShell Web Access dentro del contenedor de sitio web predeterminado de IIS. El cmdlet crea la infraestructura necesaria para ejecutar Windows PowerShell Web Access en el sitio web por defecto, https://<server_name>/pswa. Para instalar la aplicación web en otra página web, proporciona el nombre del sitio añadiendo el WebSiteName parámetro. Para cambiar el nombre de la aplicación web (el valor predeterminado es pswa), añade el WebApplicationName parámetro.

    Los siguientes ajustes se configuran ejecutando el cmdlet. Puedes cambiarlas manualmente en la consola de IIS Manager, si lo deseas.

    • Ruta: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Ejemplo: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

    En este ejemplo, el sitio web resultante para Windows PowerShell Web Access es https://<server_name>/myWebApp.

    Nota:

    No puedes iniciar sesión hasta que los usuarios hayan recibido acceso al sitio web añadiendo reglas de autorización. Para más información, consulte configurar una regla de autorización restrictiva y Reglas de Autorización y Características de Seguridad de Windows PowerShell Web Access.

Para configurar la pasarela de acceso web de Windows PowerShell con un certificado genuino usando Install-PswaWebApplication e IIS Manager

  1. Haz una de las siguientes acciones para abrir una sesión de PowerShell de Windows.

    • En el escritorio de Windows, haz clic derecho en PowerShell de Windows en la barra de tareas.
    • En la pantalla de inicio de Windows, haz clic en Windows PowerShell.

  2. Escriba lo siguiente y presione Entrar.

    Install-PswaWebApplication

    Los siguientes ajustes de pasarela se configuran ejecutando el cmdlet. Puedes cambiarlas manualmente en la consola de IIS Manager, si lo deseas. También puedes especificar valores para los WebsiteName parámetros y WebApplicationName del Install-PswaWebApplication cmdlet.

    • Ruta: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Abre la consola de gestor IIS haciendo una de las siguientes acciones.

    • En el escritorio de Windows, inicie el Administrador del servidor haciendo clic en Administrador del servidor en la barra de tareas de Windows. En el menú de herramientas del Administrador de servidores, haz clic en Administrador de Servicios de Información de Internet (IIS).
    • En la pantalla de inicio de Windows, haz clic en Administrador de servidores.

  4. En el panel de árbol del Administrador IIS, expande el nodo del servidor en el que está instalado Windows PowerShell Web Access hasta que la carpeta Sitios sea visible. Amplía la carpeta Sitios .

  5. Selecciona la página web en la que has instalado la aplicación web Windows PowerShell Web Access. En el panel Acciones , haga clic en Enlaces.

  6. En el cuadro de diálogo de Enlace de sitio , haz clic en Añadir.

  7. En el cuadro de diálogo Añadir Enlace de Sitio , en el campo Tipo , selecciona https.

  8. En el campo del certificado SSL , selecciona tu certificado firmado en el menú desplegable. Haz clic en Aceptar. Consulte Para configurar un certificado SSL en IIS Manager en este tema para más información sobre cómo obtener un certificado.

    La aplicación web de acceso web Windows PowerShell Web Access está ahora configurada para usar tu certificado SSL firmado.

    Puedes acceder a Windows PowerShell Web Access abriéndolo https://<server_name>/pswa en una ventana del navegador.

    Nota:

    No puedes iniciar sesión hasta que los usuarios hayan recibido acceso al sitio web añadiendo reglas de autorización. Para más información, consulte Configurar una regla de autorización restrictiva, en este tema, y Reglas de autorización y características de seguridad de Windows PowerShell Web Access.

Configurar una regla de autorización restrictiva

Una vez instalado Windows PowerShell Web Access y configurado el gateway, los usuarios pueden abrir la página de inicio de sesión en un navegador, pero no pueden iniciar sesión hasta que el administrador de Windows PowerShell Web Access conceda acceso explícitamente a los usuarios. El control de acceso a Windows PowerShell Web Access se gestiona utilizando el conjunto de cmdlets de Windows PowerShell descritos en la siguiente tabla. No existe una interfaz gráfica comparable para añadir o gestionar reglas de autorización. Para información más detallada sobre los cmdlets de acceso web de Windows PowerShell, consulte los temas de referencia de los cmdlets, Cmdlets de Acceso Web de Windows PowerShell.

Para más detalles sobre las reglas de autorización y seguridad de Windows PowerShell Web Access, consulte Reglas de Autorización y Características de Seguridad de Windows PowerShell Web Access.

Para añadir una regla restrictiva de autorización

  1. Realice una de las siguientes acciones para abrir una sesión de Windows PowerShell con derechos de usuario elevados.

    • En el escritorio de Windows, haga clic con el botón derecho en Windows PowerShell en la barra de tareas y, a continuación, haga clic en Ejecutar como administrador.
    • En la pantalla de inicio de Windows, haz clic derecho en PowerShell de Windows y luego haz clic en Ejecutar como administrador.

  2. Paso opcional para restringir el acceso del usuario usando configuraciones de sesión: verifica que ya existan configuraciones de sesión que quieres usar en tus reglas. Si aún no se han creado, utiliza instrucciones para crear configuraciones de sesión en about_Session_Configuration_Files.

  3. Escriba lo siguiente y presione Entrar.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Esta regla de autorización permite a un usuario específico acceder a un ordenador de la red al que normalmente tiene acceso, con acceso a una configuración de sesión específica que se ajusta a las necesidades típicas de scripting y cmdlet del usuario.

    En el siguiente ejemplo, un usuario nombrado JSmith en el Contoso dominio obtiene acceso para gestionar el ordenador Contoso_214, y usar una configuración de sesión llamada NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Verifica que la regla se haya creado ejecutando ya sea el Get-PswaAuthorizationRule cmdlet, o Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

    Por ejemplo: Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Una vez configurada una regla de autorización, estarás listo para que los usuarios autorizados inicien sesión en la consola web y comiencen a usar Windows PowerShell Web Access.

Despliegue personalizado

Puedes instalar la pasarela de acceso web Windows PowerShell en un servidor que ejecute Windows Server 2012 R2 o Windows Server 2012 usando el asistente de Añadir Roles y Características en el Administrador de Servidores. Después de instalar Windows PowerShell Web Access, puedes personalizar la configuración de la pasarela en IIS Manager.

Instalar Windows PowerShell Web Access usando el asistente de Añadir Roles y Características

  1. Si ya se ha abierto el Administrador del servidor, vaya al siguiente paso. Si todavía no se ha abierto el Administrador del servidor, ábralo mediante una de las siguientes acciones.

    • En el escritorio de Windows, inicie el Administrador del servidor haciendo clic en Administrador del servidor en la barra de tareas de Windows.
    • En la pantalla de inicio de Windows, haz clic en Administrador de servidores.

  2. En el menú Gestionar , haz clic en Añadir Roles y Características.

  3. En la página Seleccionar tipo de instalación, seleccione Instalación basada en características o en roles. Haga clic en Siguiente.

  4. En la página Seleccionar servidor de destino , selecciona un servidor del pool de servidores o selecciona un VHD fuera de línea. Para seleccionar un VHD offline como servidor de destino, primero selecciona el servidor en el que montar el VHD y luego el archivo VHD. Para información sobre cómo añadir servidores a tu pool de servidores, consulta la Ayuda con el Gestor de Servidores. Después de seleccionar el servidor de destino, haz clic en Siguiente.

  5. En la página de Seleccionar características del asistente, expande Windows PowerShell y luego selecciona Windows PowerShell Web Access.

  6. Ten en cuenta que se te pide añadir funciones necesarias, como .NET Framework 4.5 y los servicios de rol del Web Server (IIS). Añade las funciones necesarias y continúa.

    Nota:

    Instalar Windows PowerShell Web Access utilizando el Asistente de Añadir Roles y Características también instala el Web Server (IIS), incluyendo el snap-in del Administrador IIS. El snap-in y otras herramientas de gestión del IIS se instalan por defecto si usas el Asistente de Añadir Roles y Características. Si instalas Windows PowerShell Web Access usando los cmdlets de Windows PowerShell como se describe en el siguiente procedimiento, las herramientas de gestión no se añaden por defecto.

  7. En la página Confirmar selecciones de instalación , si los archivos de funcionalidades para Windows PowerShell Web Access no se almacenan en el servidor de destino que seleccionaste en el paso 4, haz clic en Especificar una ruta de origen alternativa y proporciona la ruta hacia los archivos de funcionalidades. Si no, haz clic en Instalar.

  8. Después de hacer clic en Instalar, la página de progreso de la instalación muestra el progreso de la instalación, los resultados y mensajes como advertencias, fallos o pasos de configuración posteriores a la instalación que se requieren para Windows PowerShell Web Access. Después de instalar Windows PowerShell Web Access, se te pide que revises el archivo readme, que contiene instrucciones básicas y necesarias de configuración para la pasarela. Estas instrucciones también se incluyen en este tema. La ruta al archivo readme es C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Configuración de la puerta de enlace

Las instrucciones de esta sección son para instalar la aplicación web Windows PowerShell Web Access en un subdirectorio y no en el directorio raíz de tu sitio web. Este procedimiento es el equivalente basado en interfaz gráfica de las acciones realizadas por el Install-PswaWebApplication cmdlet. Esta sección también incluye instrucciones sobre cómo usar IIS Manager para configurar la pasarela de acceso web PowerShell de Windows como sitio raíz.

Para usar IIS Manager y configurar la pasarela en un sitio web existente

  1. Abre la consola de gestor IIS haciendo una de las siguientes acciones.

    • En el escritorio de Windows, inicie el Administrador del servidor haciendo clic en Administrador del servidor en la barra de tareas de Windows. En el menú de herramientas del Administrador de servidores, haz clic en Administrador de Servicios de Información de Internet (IIS).
    • En la pantalla de inicio de Windows, escribe cualquier parte del nombre Administrador de Servicios de Información de Internet (IIS). Haz clic en el acceso directo cuando aparezca en los resultados de la Apps .

  2. Crea un nuevo grupo de aplicaciones para Windows PowerShell Web Access. Expande el nodo del servidor gateway en el panel del árbol del Administrador IIS, selecciona Pools de aplicaciones y haz clic en Añadir pool de aplicaciones en el panel de Acciones .

  3. Añade un nuevo grupo de solicitudes con el nombre pswa_pool, o proporciona otro nombre. Haz clic en Aceptar.

  4. En el panel de árbol del Administrador IIS, expande el nodo del servidor en el que está instalado Windows PowerShell Web Access hasta que la carpeta Sitios sea visible. Selecciona la carpeta Sitios.

  5. Haz clic derecho en el sitio web (por ejemplo, Sitio web predeterminado) al que quieres añadir el sitio web de Windows PowerShell Web Access y luego haz clic en Añadir aplicación.

  6. En el campo de Alias , escribe pswa o proporciona otro alias. El alias se convierte en el nombre del directorio virtual. Por ejemplo, pswa en la siguiente URL representa el alias especificado en este paso: https://<server-name>/pswa.

  7. En el campo del grupo de aplicaciones , selecciona el conjunto de aplicaciones que creaste en el paso 3.

  8. En el campo Ruta física , busca la ubicación de la aplicación. Puedes usar la ubicación predeterminada, $env:windir/Web/PowerShellWebAccess/wwwroot. Haz clic en Aceptar.

  9. Sigue los pasos del procedimiento Para configurar un certificado SSL en IIS Manager en este tema.

  10. Paso opcional de seguridad:

    Con la web seleccionada en el panel de árbol, haz doble clic en Configuración SSL en el panel de contenido. Selecciona Requerir SSL y, en el panel de Acciones , haz clic en Aplicar. Opcionalmente, en el panel de Configuración SSL , puedes exigir que los usuarios que se conecten al sitio web de Windows PowerShell Web Access tengan certificados de cliente. Los certificados cliente ayudan a verificar la identidad del usuario del dispositivo cliente. Para más información sobre cómo la necesidad de certificados de cliente puede aumentar la seguridad del acceso web a Windows PowerShell, consulte Reglas de Autorización y Características de Seguridad de Windows PowerShell Web Access en esta guía.

  11. Abre una sesión de navegador en un dispositivo cliente. Para más información sobre navegadores y dispositivos compatibles, consulte Soporte para navegadores y dispositivos cliente en este tema.

  12. Abre el nuevo sitio web de Windows PowerShell Web Access, https://<gateway-server-name>/pswa.

    El navegador debería mostrar la página de inicio de sesión de la consola de Windows PowerShell Web Access.

    Nota:

    No puedes iniciar sesión hasta que los usuarios hayan recibido acceso al sitio web añadiendo reglas de autorización. Para más información, consulte Configurar una regla de autorización restrictiva, en este tema, y Reglas de autorización y características de seguridad de Windows PowerShell Web Access.

  13. En una sesión de PowerShell de Windows que se haya abierto con derechos de usuario elevados (Ejecutar como administrador), ejecuta el siguiente script, en el que application_pool_name representa el nombre del pool de aplicaciones que creaste en el paso 3, para otorgar al pool de aplicaciones derechos de acceso al archivo de autorización.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Para ver los derechos de acceso existentes en el archivo de autorización, ejecute el siguiente comando:

    c:\windows\system32\icacls.exe $authorizationFile

Utilizar IIS Manager para configurar la pasarela como un sitio web raíz con un certificado de prueba

  1. Abre la consola de gestor IIS haciendo una de las siguientes acciones.

    • En el escritorio de Windows, inicie el Administrador del servidor haciendo clic en Administrador del servidor en la barra de tareas de Windows. En el menú de herramientas del Administrador de servidores, haz clic en Administrador de Servicios de Información de Internet (IIS).
    • En la pantalla de inicio de Windows, escribe cualquier parte del nombre Administrador de Servicios de Información de Internet (IIS). Haz clic en el acceso directo cuando aparezca en los resultados de la Apps .

  2. En el panel de árbol del Administrador IIS, expande el nodo del servidor en el que está instalado Windows PowerShell Web Access hasta que la carpeta Sitios sea visible. Selecciona la carpeta Sitios.

  3. En el panel de Acciones , haz clic en Añadir sitio web.

  4. Escribe un nombre para la página web, como Windows PowerShell Web Access.

  5. Se crea automáticamente un grupo de aplicaciones para el nuevo sitio web. Para usar un grupo de aplicaciones diferente, haz clic en Seleccionar para seleccionar un grupo de aplicaciones que asociar con el nuevo sitio web. Selecciona el pool de aplicaciones alternativas en el cuadro de diálogo Seleccionar pool de aplicaciones y luego haz clic en OK.

  6. En el cuadro de texto de ruta física , navega a %windir%/Web/PowerShellWebAccess/wwwroot.

  7. En el campo Type del área de Vinculación , selecciona https.

  8. Asigna un número de puerto al sitio web que no esté ya en uso por otro sitio o aplicación. Para localizar puertos abiertos, puedes ejecutar el comando netstat en una ventana del Símbolo del Prompt. El número de puerto por defecto es 443.

    Cambia el puerto predeterminado si otra web ya usa 443, o si tienes otros motivos de seguridad para cambiar el número de puerto. Si otro sitio web que está funcionando en tu servidor gateway está usando el puerto seleccionado, se muestra una advertencia cuando haces clic en Aceptar en el cuadro de diálogo Añadir sitio web . Debes usar un puerto no utilizado para ejecutar Windows PowerShell Web Access.

  9. Opcionalmente, si es necesario para tu organización, especifica un nombre de host que tenga sentido para tu organización y usuarios, como www.contoso.com. Haz clic en Aceptar.

  10. Para un entorno de producción más seguro, recomendamos encarecidamente proporcionar un certificado válido firmado por una CA. Debes proporcionar un certificado SSL, porque los usuarios solo pueden conectarse a Windows PowerShell Web Access a través de un sitio web HTTPS. Consulte Para configurar un certificado SSL en IIS Manager en este tema para más información sobre cómo obtener un certificado.

  11. Haz clic en OK para cerrar el cuadro de diálogo Añadir sitio web .

  12. En una sesión de PowerShell de Windows que se ha abierto con derechos de usuario elevados (Ejecutar como administrador), ejecuta el siguiente script, en el que application_pool_name representa el nombre del pool de aplicaciones que creaste en el paso 4, para otorgar al pool de aplicaciones derechos de acceso al archivo de autorización.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Para ver los derechos de acceso existentes en el archivo de autorización, ejecute el siguiente comando:

    c:\windows\system32\icacls.exe $authorizationFile

  13. Con el nuevo sitio web seleccionado en el panel de árbol del Administrador IIS, haz clic en Iniciar en el panel de Acciones para iniciar el sitio web.

  14. Abre una sesión de navegador en un dispositivo cliente. Para más información sobre navegadores y dispositivos compatibles, consulte Soporte para navegadores y dispositivos cliente en este documento.

  15. Abre el nuevo sitio web de Windows PowerShell Web Access.

    Como el sitio raíz apunta a la carpeta de Acceso Web de Windows PowerShell, el navegador debería mostrar la página de inicio de sesión de Windows PowerShell Web Access cuando abras https://<gateway_server_name>. No deberías necesitar añadir /pswa a la URL.

    Nota:

    No puedes iniciar sesión hasta que los usuarios hayan recibido acceso al sitio web añadiendo reglas de autorización. Para más información, consulte Configurar una regla de autorización restrictiva, en este tema, y Reglas de autorización y características de seguridad de Windows PowerShell Web Access.

Configuración de una regla de autorización restrictiva

Una vez instalado Windows PowerShell Web Access y configurado el gateway, los usuarios pueden abrir la página de inicio de sesión en un navegador, pero no pueden iniciar sesión hasta que el administrador de Windows PowerShell Web Access conceda acceso explícitamente a los usuarios. El control de acceso a Windows PowerShell Web Access se gestiona utilizando el conjunto de cmdlets de Windows PowerShell descritos en la siguiente tabla. No existe una interfaz gráfica comparable para añadir o gestionar reglas de autorización. Para información más detallada sobre los cmdlets de acceso web de Windows PowerShell, consulte los temas de referencia de los cmdlets, Cmdlets de Acceso Web de Windows PowerShell.

Para más detalles sobre las reglas de autorización y seguridad de Windows PowerShell Web Access, consulte Reglas de Autorización y Características de Seguridad de Windows PowerShell Web Access.

Añadiendo una regla restrictiva de autorización

  1. Realice una de las siguientes acciones para abrir una sesión de Windows PowerShell con derechos de usuario elevados.

    • En el escritorio de Windows, haga clic con el botón derecho en Windows PowerShell en la barra de tareas y, a continuación, haga clic en Ejecutar como administrador.
    • En la pantalla de inicio de Windows, haz clic derecho en PowerShell de Windows y luego haz clic en Ejecutar como administrador.

  2. Paso opcional para restringir el acceso del usuario utilizando configuraciones de sesión:

    Verifica que ya existan configuraciones de sesión que quieres usar en tus reglas. Si aún no se han creado, utiliza instrucciones para crear configuraciones de sesión en about_Session_Configuration_Files.

  3. Escriba lo siguiente y presione Entrar.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Esta regla de autorización permite a un usuario específico acceder a un ordenador de la red al que normalmente tiene acceso, con acceso a una configuración de sesión específica que se ajusta a las necesidades típicas de scripting y cmdlet del ™usuario.

    En el siguiente ejemplo, un usuario nombrado JSmith en el Contoso dominio obtiene acceso para gestionar el ordenador Contoso_214, y usar una configuración de sesión llamada NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Verifica que la regla se ha creado ejecutando el Get-PswaAuthorizationRule cmdlet o Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

    Por ejemplo: Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

    Una vez configurada una regla de autorización, estarás listo para que los usuarios autorizados inicien sesión en la consola web y comiencen a usar Windows PowerShell Web Access.

Configurar un certificado genuino

Para un entorno de producción seguro, utiliza siempre un certificado SSL válido que haya sido firmado por una autoridad certificadora (CA). El procedimiento de esta sección describe cómo obtener y aplicar un certificado SSL válido de una CA.

Para configurar un certificado SSL en IIS Manager

  1. En el panel de árbol del Administrador IIS, seleccione el servidor en el que está instalado Windows PowerShell Web Access.

  2. En el panel de contenido, haz doble clic en Certificados de Servidor.

  3. En el panel de Acciones , haz una de las siguientes cosas. Para más información sobre cómo configurar certificados de servidor en IIS, consulte Configuración de certificados de servidor en IIS 7.

    • Haz clic en Importar para importar un certificado existente y válido desde una ubicación de tu red.

    • Haz clic en Crear solicitud de certificado para solicitar un certificado a una CA como VeriSign, Thawte o GeoTrust. El nombre común del certificado debe coincidir con la cabecera del host en la solicitud.

      Por ejemplo, si el navegador cliente solicita https://www.contoso.com/, entonces el nombre común también debe ser https://www.contoso.com/. Esta es la opción más segura y recomendada para proporcionar un certificado al gateway de acceso web Windows PowerShell.

    • Haz clic en Crear un Certificado Self-Signed para crear un certificado que puedas usar inmediatamente y que una CA firme más tarde si lo deseas. Especifica un nombre amistoso para el certificado auto-firmado, como Windows PowerShell Web Access. Esta opción no se considera segura y solo se recomienda para un entorno de prueba privado.

  4. Después de crear u obtener un certificado, selecciona el sitio web al que se aplica el certificado (por ejemplo, Sitio Web Predeterminado) en el panel del árbol del Administrador IIS y luego haz clic en Vinculaciones en el panel de Acciones .

  5. En el cuadro de diálogo Añadir enlace de sitio , añade un enlace https para el sitio, si no se muestra ya. Si no usas un certificado autofirmado, especifica el nombre de host del paso 3 de este procedimiento. Si usas un certificado autofirmado, este paso no es obligatorio.

  6. Selecciona el certificado que obtuviste o creaste en el paso 3 de este procedimiento y luego haz clic en OK.

Usando la consola web de Windows PowerShell

Una vez instalado Windows PowerShell Web Access y finalizada la configuración de la pasarela tal y como se describe en este tema, la consola web de Windows PowerShell estará lista para su uso. Para más información sobre cómo empezar en la consola web, consulta Usar la consola PowerShell de Windows basada en la web.

Véase también

Documentación de los Servicios de Información de Internet (IIS) 7.0

Ayuda con IIS Manager 7.0

Configurar la seguridad del servidor web (IIS 7)

Recursos de despliegue de IPsec

  • Last updated on