Descripción de cómo funcionan los puntos de conexión de JEA para limitar el acceso a una sesión de PowerShell
Un punto de conexión de JEA (Just Enough Administration) es un punto de conexión de Windows PowerShell configurado para que solo usuarios autenticados específicos puedan conectarse a él. Una vez conectados, esos usuarios solo tienen acceso a conjuntos predefinidos de cmdlets, parámetros y valores de Windows PowerShell, en función de las definiciones de funcionalidad de rol y grupo de seguridad.
Los servidores pueden tener varios puntos de conexión de JEA. Cada punto de conexión de JEA debe configurarse para una tarea administrativa específica. Por ejemplo, podría tener un punto de conexión de Operaciones del sistema de nombres de dominio (DNSOps) para realizar tareas administrativas de DNS y un punto de conexión DHCPOps para realizar tareas administrativas del Protocolo de configuración dinámica de host (DHCP).
Con los puntos de conexión de JEA, el personal de TI no necesita tener cuentas con privilegios que sean miembros de grupos, como el grupo de administradores local, para conectarse a un punto de conexión. En su lugar, los usuarios tienen los privilegios asignados a la cuenta virtual, que está configurada en el archivo de configuración de sesión y podría incluir los privilegios de un administrador local o un administrador de dominio.
Registro de JEA en una sola máquina
En un solo equipo, puede crear puntos de conexión de JEA mediante el cmdlet Register-PSSessionConfiguration. Cuando se usa este cmdlet, se especifica un nombre de punto de conexión y un archivo de configuración de sesión ubicados en la máquina local. Sin embargo, antes de crear el punto de conexión de JEA, debe asegurarse de que se cumplen los siguientes requisitos previos:
Debe haber definido uno o varios roles y el archivo (o archivos) de funcionalidades de rol debe colocarse en la carpeta RoleCapabilities de un módulo de Windows PowerShell.
Ha creado un archivo de configuración de sesión.
El usuario que registra JEA debe ser administrador en la máquina.
Ha decidido un nombre para el punto de conexión de JEA.
Windows Server se distribuye con algunos puntos de conexión de JEA predefinidos, que tienen un nombre que empieza por Microsoft. Puede encontrar puntos de conexión de JEA existentes mediante el siguiente comando de Windows PowerShell:
Get-PSSessionConfiguration | Select-Object Name
Por ejemplo, para registrar el punto de conexión DNSOps con el archivo de configuración de sesión DNSOps.pssc, use el siguiente comando:
Register-PSSessionConfiguration -Name DNSOps -Path .\DNSOps.pssc
Registro de JEA en varias máquinas
Puede registrar JEA en varias máquinas mediante Desired State Configuration (DSC). Para usar DSC para implementar JEA, deben cumplirse los siguientes requisitos previos:
Debe haber definido uno o varios roles y el archivo (o archivos) de funcionalidades de rol debe colocarse en la carpeta RoleCapabilities de un módulo de Windows PowerShell.
El módulo de PowerShell debe almacenarse en un recurso compartido de archivos de solo lectura al que puedan acceder las máquinas.
Ha determinado los valores de configuración de sesión. (Sin embargo, no es necesario crear un archivo de configuración de sesión).
Tiene credenciales de cuenta con acceso administrativo a cada máquina.
Ha descargado el recurso de DSC de JEA de https://github.com/PowerShell/JEA/tree/master/DSC Resource.
Ha decidido un nombre para el punto de conexión de JEA.
Puede aplicar la configuración de DSC mediante la instancia local de Configuration Manager o actualizando la configuración del servidor de extracción.
Para más información sobre el registro de JEA en varias máquinas, consulte la página de GitHub JEA/DSC Resource/.
Compruebe sus conocimientos
Elija la respuesta más adecuada para cada una de las preguntas siguientes. Después, seleccione Comprobar las respuestas.