JEA-configuraties registreren
Zodra u uw rolmogelijkheden en sessieconfiguratiebestand hebt gemaakt, is de laatste stap het JEA-eindpunt te registreren. Als u het JEA-eindpunt registreert bij het systeem, is het eindpunt beschikbaar voor gebruik door gebruikers en automatiseringsengines.
Configuratie van één machine
Voor kleine omgevingen kunt u JEA implementeren door het sessieconfiguratiebestand te registreren met behulp van de cmdlet Register-PSSessionConfiguration .
Voordat u begint, moet u ervoor zorgen dat aan de volgende vereisten is voldaan:
- Een of meer rollen zijn gemaakt en in de map RoleCapabilities van een PowerShell-module geplaatst.
- Er is een sessieconfiguratiebestand gemaakt en getest.
- De gebruiker die de JEA-configuratie registreert, heeft beheerdersrechten op het systeem.
- U hebt een naam geselecteerd voor uw JEA-eindpunt.
De naam van het JEA-eindpunt is vereist wanneer gebruikers verbinding maken met het systeem met behulp van JEA. De cmdlet Get-PSSessionConfiguration bevat de namen van de eindpunten op een systeem. Eindpunten die beginnen met microsoft , worden doorgaans geleverd met Windows. Het microsoft.powershell eindpunt is het standaardeindpunt dat wordt gebruikt bij het maken van verbinding met een extern PowerShell-eindpunt.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Voer de volgende opdracht uit om het eindpunt te registreren.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Waarschuwing
Met de vorige opdracht wordt de WinRM-service op het systeem opnieuw gestart. Hiermee worden alle externe sessies van PowerShell en eventuele lopende DSC-configuraties beëindigd. We raden u aan productiemachines offline te halen voordat u de opdracht uitvoert om te voorkomen dat bedrijfsactiviteiten worden onderbroken.
Na registratie bent u klaar om JEA te gebruiken. U kunt het sessieconfiguratiebestand op elk gewenst moment verwijderen. Het configuratiebestand wordt niet gebruikt na de registratie van het eindpunt.
Configuratie van meerdere machines met DSC
Bij het implementeren van JEA op meerdere computers gebruikt het eenvoudigste implementatiemodel de DSC-resource (JEA Desired State Configuration) om JEA snel en consistent op elke computer te implementeren.
Als u JEA wilt implementeren met DSC, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:
- Er zijn een of meer rolmogelijkheden gemaakt en toegevoegd aan een PowerShell-module.
- De PowerShell-module met de rollen wordt opgeslagen op een (alleen-lezen) bestandsshare die toegankelijk is voor elke computer.
- Instellingen voor de sessieconfiguratie zijn vastgesteld. U hoeft geen sessieconfiguratiebestand te maken wanneer u de JEA DSC-resource gebruikt.
- U hebt referenties die beheeracties op elke computer toestaan of toegang hebben tot de DSC-pull-server die wordt gebruikt voor het beheren van de machines.
- U hebt de JEA DSC-resource gedownload.
Maak een DSC-configuratie voor uw JEA-eindpunt op een doelcomputer of pull-server. In deze configuratie definieert de JUSTEnough Beheer istration DSC-resource het sessieconfiguratiebestand en kopieert de bestandsresource de rolmogelijkheden van de bestandsshare.
De volgende eigenschappen kunnen worden geconfigureerd met behulp van de DSC-resource:
- Roldefinities
- Virtuele accountgroepen
- Naam van door groep beheerd serviceaccount
- Transcriptiemap
- Gebruikersstation
- Regels voor voorwaardelijke toegang
- Opstartscripts voor de JEA-sessie
De syntaxis voor elk van deze eigenschappen in een DSC-configuratie is consistent met het configuratiebestand van de PowerShell-sessie.
Hieronder ziet u een voorbeeld van een DSC-configuratie voor een algemene module voor serveronderhoud. Hierbij wordt ervan uitgegaan dat een geldige PowerShell-module met rolmogelijkheden zich op de \\myfileshare\JEA bestandsshare bevindt.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Vervolgens wordt de configuratie toegepast op een systeem door de lokale Configuration Manager rechtstreeks aan te roepen of de configuratie van de pull-server bij te werken.
Met de DSC-resource kunt u ook het standaardeindpunt Microsoft.PowerShell vervangen. Wanneer deze wordt vervangen, registreert de resource automatisch een back-upeindpunt met de naam Microsoft.PowerShell.Restricted. Het back-upeindpunt heeft de standaard WinRM-ACL waarmee externe beheergebruikers en lokale Beheer istrators groepsleden toegang hebben tot het.
Registratie van JEA-configuraties ongedaan maken
Met de cmdlet Unregister-PSSessionConfiguration wordt een JEA-eindpunt verwijderd. Als u de registratie van een JEA-eindpunt ongedaan maakt, voorkomt u dat nieuwe GEBRUIKERS nieuwe JEA-sessies op het systeem maken. Hiermee kunt u ook een JEA-configuratie bijwerken door een bijgewerkt sessieconfiguratiebestand opnieuw te registreren met dezelfde eindpuntnaam.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Waarschuwing
Als u de registratie van een JEA-eindpunt ongedaan maakt, wordt de WinRM-service opnieuw opgestart. Hierdoor worden de meeste bewerkingen voor extern beheer onderbroken, waaronder andere PowerShell-sessies, WMI-aanroepen en enkele beheerhulpprogramma's. Hef de registratie van PowerShell-eindpunten alleen op tijdens geplande onderhoudsvensters.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor