JEA-konfigurációk regisztrálása
Miután létrehozta a szerepkör-képességeket és a munkamenet-konfigurációs fájlt , az utolsó lépés a JEA-végpont regisztrálása. A JEA-végpont rendszerbeli regisztrálásával a végpont elérhetővé válik a felhasználók és az automatizálási motorok számára.
Egygépes konfiguráció
Kis környezetek esetén a JEA üzembe helyezéséhez regisztrálja a munkamenet-konfigurációs fájlt a Register-PSSessionConfiguration parancsmaggal.
Mielőtt hozzákezdene, győződjön meg arról, hogy a következő előfeltételek teljesültek:
- Egy vagy több szerepkör lett létrehozva és elhelyezve egy PowerShell-modul RoleCapabilities mappájában.
- Létrejött és tesztelt egy munkamenet-konfigurációs fájlt.
- A JEA-konfigurációt regisztráló felhasználó rendszergazdai jogosultságokkal rendelkezik a rendszeren.
- Kiválasztotta a JEA-végpont nevét.
A JEA-végpont nevére akkor van szükség, ha a felhasználók a JEA használatával csatlakoznak a rendszerhez. A Get-PSSessionConfiguration parancsmag felsorolja a rendszer végpontjainak nevét. A kezdő microsoft
végpontokat általában a Windows szállítja. A microsoft.powershell
végpont az alapértelmezett végpont, amelyet távoli PowerShell-végponthoz való csatlakozáskor használnak.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Futtassa a következő parancsot a végpont regisztrálásához.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Figyelmeztetés
Az előző parancs újraindítja a WinRM szolgáltatást a rendszeren. Ez leállítja az összes PowerShell-újraküldési munkamenetet és a folyamatban lévő DSC-konfigurációkat. Javasoljuk, hogy a parancs futtatása előtt vegye offline állapotba az éles gépeket az üzleti műveletek megzavarásának elkerülése érdekében.
A regisztráció után készen áll a JEA használatára. A munkamenet konfigurációs fájlját bármikor törölheti. A konfigurációs fájlt a rendszer nem használja a végpont regisztrálása után.
Többgépes konfiguráció a DSC-vel
A JEA több gépen való üzembe helyezésekor a legegyszerűbb üzembehelyezési modell a JEA Desired State Configuration (DSC) erőforrást használja a JEA gyors és következetes üzembe helyezéséhez minden gépen.
A JEA DSC-vel való üzembe helyezéséhez győződjön meg arról, hogy a következő előfeltételek teljesülnek:
- Egy vagy több szerepkör-képességet már létrehoztak és hozzáadtak egy PowerShell-modulhoz.
- A szerepköröket tartalmazó PowerShell-modult az egyes gépek által elérhető (írásvédett) fájlmegosztás tárolja.
- Gépház a munkamenet-konfiguráció meghatározása megtörtént. A JEA DSC-erőforrás használatakor nem kell munkamenet-konfigurációs fájlt létrehoznia.
- Hitelesítő adatokkal rendelkezik, amelyek lehetővé teszik az egyes gépek rendszergazdai műveleteit, vagy hozzáféréssel rendelkezik a gépek kezeléséhez használt DSC lekéréses kiszolgálóhoz.
- Letöltötte a JEA DSC-erőforrást.
Hozzon létre egy DSC-konfigurációt a JEA-végponthoz egy célszámítógépen vagy lekéréses kiszolgálón. Ebben a konfigurációban a JustEnough Rendszergazda istration DSC-erőforrás határozza meg a munkamenet-konfigurációs fájlt, a Fájl erőforrás pedig a fájlmegosztásból másolja át a szerepkör-képességeket.
A következő tulajdonságok konfigurálhatók a DSC-erőforrás használatával:
- Szerepkör-definíciók
- Virtuális fiókcsoportok
- Csoport által felügyelt szolgáltatásfiók neve
- Átirat könyvtár
- Felhasználói meghajtó
- Feltételes hozzáférési szabályok
- Indítási szkriptek a JEA-munkamenethez
A DSC-konfiguráció egyes tulajdonságainak szintaxisa összhangban van a PowerShell-munkamenet konfigurációs fájljával.
Az alábbiakban egy általános kiszolgálókarbantartási modulhoz tartozó DSC-mintakonfiguráció látható. Feltételezi, hogy a szerepkör-képességeket tartalmazó érvényes PowerShell-modul a \\myfileshare\JEA
fájlmegosztáson található.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Ezután a rendszer a Helyi konfigurációkezelő meghívásával vagy a lekéréses kiszolgáló konfigurációjának frissítésével alkalmazza a konfigurációt egy rendszeren.
A DSC-erőforrás lehetővé teszi az alapértelmezett Microsoft.PowerShell-végpont cseréjét is. A lecserélt erőforrás automatikusan regisztrál egy Microsoft.PowerShell.Restricted nevű biztonsági mentési végpontot. A biztonsági mentési végpont rendelkezik az alapértelmezett WinRM ACL-sel, amely lehetővé teszi a távfelügyeleti felhasználók és a helyi Rendszergazda istrators csoporttagok számára, hogy elérhessék azt.
JEA-konfigurációk regisztrációjának megszüntetése
A Unregister-PSSessionConfiguration parancsmag eltávolít egy JEA-végpontot. A JEA-végpont regisztrációjának megszüntetése megakadályozza, hogy az új felhasználók új JEA-munkameneteket hozzanak létre a rendszeren. Lehetővé teszi a JEA-konfiguráció frissítését úgy is, hogy újra regisztrál egy frissített munkamenet-konfigurációs fájlt ugyanazzal a végpontnévvel.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Figyelmeztetés
A JEA-végpont regisztrációjának megszüntetése miatt a WinRM szolgáltatás újraindul. Ez megszakítja a legtöbb folyamatban lévő távfelügyeleti műveletet, beleértve az egyéb PowerShell-munkameneteket, a WMI-hívásokat és néhány felügyeleti eszközt. A Tervezett karbantartási időszakokban csak a PowerShell-végpontok regisztrációja törölve.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: