Megosztás a következőn keresztül:

JEA-konfigurációk regisztrálása

  • Cikk

Miután létrehozta a szerepkör-képességeket és a munkamenet-konfigurációs fájlt , az utolsó lépés a JEA-végpont regisztrálása. A JEA-végpont rendszerbeli regisztrálásával a végpont elérhetővé válik a felhasználók és az automatizálási motorok számára.

Egygépes konfiguráció

Kis környezetek esetén a JEA üzembe helyezéséhez regisztrálja a munkamenet-konfigurációs fájlt a Register-PSSessionConfiguration parancsmaggal.

Mielőtt hozzákezdene, győződjön meg arról, hogy a következő előfeltételek teljesültek:

  • Egy vagy több szerepkör lett létrehozva és elhelyezve egy PowerShell-modul RoleCapabilities mappájában.
  • Létrejött és tesztelt egy munkamenet-konfigurációs fájlt.
  • A JEA-konfigurációt regisztráló felhasználó rendszergazdai jogosultságokkal rendelkezik a rendszeren.
  • Kiválasztotta a JEA-végpont nevét.

A JEA-végpont nevére akkor van szükség, ha a felhasználók a JEA használatával csatlakoznak a rendszerhez. A Get-PSSessionConfiguration parancsmag felsorolja a rendszer végpontjainak nevét. A kezdő microsoft végpontokat általában a Windows szállítja. A microsoft.powershell végpont az alapértelmezett végpont, amelyet távoli PowerShell-végponthoz való csatlakozáskor használnak.

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Futtassa a következő parancsot a végpont regisztrálásához.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Figyelmeztetés

Az előző parancs újraindítja a WinRM szolgáltatást a rendszeren. Ez leállítja az összes PowerShell-újraküldési munkamenetet és a folyamatban lévő DSC-konfigurációkat. Javasoljuk, hogy a parancs futtatása előtt vegye offline állapotba az éles gépeket az üzleti műveletek megzavarásának elkerülése érdekében.

A regisztráció után készen áll a JEA használatára. A munkamenet konfigurációs fájlját bármikor törölheti. A konfigurációs fájlt a rendszer nem használja a végpont regisztrálása után.

Többgépes konfiguráció a DSC-vel

A JEA több gépen való üzembe helyezésekor a legegyszerűbb üzembehelyezési modell a JEA Desired State Configuration (DSC) erőforrást használja a JEA gyors és következetes üzembe helyezéséhez minden gépen.

A JEA DSC-vel való üzembe helyezéséhez győződjön meg arról, hogy a következő előfeltételek teljesülnek:

  • Egy vagy több szerepkör-képességet már létrehoztak és hozzáadtak egy PowerShell-modulhoz.
  • A szerepköröket tartalmazó PowerShell-modult az egyes gépek által elérhető (írásvédett) fájlmegosztás tárolja.
  • Gépház a munkamenet-konfiguráció meghatározása megtörtént. A JEA DSC-erőforrás használatakor nem kell munkamenet-konfigurációs fájlt létrehoznia.
  • Hitelesítő adatokkal rendelkezik, amelyek lehetővé teszik az egyes gépek rendszergazdai műveleteit, vagy hozzáféréssel rendelkezik a gépek kezeléséhez használt DSC lekéréses kiszolgálóhoz.
  • Letöltötte a JEA DSC-erőforrást.

Hozzon létre egy DSC-konfigurációt a JEA-végponthoz egy célszámítógépen vagy lekéréses kiszolgálón. Ebben a konfigurációban a JustEnough Rendszergazda istration DSC-erőforrás határozza meg a munkamenet-konfigurációs fájlt, a Fájl erőforrás pedig a fájlmegosztásból másolja át a szerepkör-képességeket.

A következő tulajdonságok konfigurálhatók a DSC-erőforrás használatával:

  • Szerepkör-definíciók
  • Virtuális fiókcsoportok
  • Csoport által felügyelt szolgáltatásfiók neve
  • Átirat könyvtár
  • Felhasználói meghajtó
  • Feltételes hozzáférési szabályok
  • Indítási szkriptek a JEA-munkamenethez

A DSC-konfiguráció egyes tulajdonságainak szintaxisa összhangban van a PowerShell-munkamenet konfigurációs fájljával.

Az alábbiakban egy általános kiszolgálókarbantartási modulhoz tartozó DSC-mintakonfiguráció látható. Feltételezi, hogy a szerepkör-képességeket tartalmazó érvényes PowerShell-modul a \\myfileshare\JEA fájlmegosztáson található.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Ezután a rendszer a Helyi konfigurációkezelő meghívásával vagy a lekéréses kiszolgáló konfigurációjának frissítésével alkalmazza a konfigurációt egy rendszeren.

A DSC-erőforrás lehetővé teszi az alapértelmezett Microsoft.PowerShell-végpont cseréjét is. A lecserélt erőforrás automatikusan regisztrál egy Microsoft.PowerShell.Restricted nevű biztonsági mentési végpontot. A biztonsági mentési végpont rendelkezik az alapértelmezett WinRM ACL-sel, amely lehetővé teszi a távfelügyeleti felhasználók és a helyi Rendszergazda istrators csoporttagok számára, hogy elérhessék azt.

JEA-konfigurációk regisztrációjának megszüntetése

A Unregister-PSSessionConfiguration parancsmag eltávolít egy JEA-végpontot. A JEA-végpont regisztrációjának megszüntetése megakadályozza, hogy az új felhasználók új JEA-munkameneteket hozzanak létre a rendszeren. Lehetővé teszi a JEA-konfiguráció frissítését úgy is, hogy újra regisztrál egy frissített munkamenet-konfigurációs fájlt ugyanazzal a végpontnévvel.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Figyelmeztetés

A JEA-végpont regisztrációjának megszüntetése miatt a WinRM szolgáltatás újraindul. Ez megszakítja a legtöbb folyamatban lévő távfelügyeleti műveletet, beleértve az egyéb PowerShell-munkameneteket, a WMI-hívásokat és néhány felügyeleti eszközt. A Tervezett karbantartási időszakokban csak a PowerShell-végpontok regisztrációja törölve.

Következő lépések

A JEA-végpont tesztelése