Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Bijgewerkt: 24 juni 2013
Van toepassing op: Windows Server 2012 R2, Windows Server 2012
Windows PowerShell Web Access in Windows Server 2012 R2 en Windows Server 2012 heeft een beperkend beveiligingsmodel. Gebruikers moeten expliciet toegang krijgen voordat ze kunnen inloggen op de Windows PowerShell Web Access-gateway en de webgebaseerde Windows PowerShell-console kunnen gebruiken.
Configuratie van autorisatieregels en sitebeveiliging
Nadat Windows PowerShell Web Access is geïnstalleerd en de gateway is geconfigureerd, kunnen gebruikers de aanmeldpagina in een browser openen, maar ze kunnen pas inloggen als de Windows PowerShell Web Access-beheerder expliciet toegang verleent. 'Windows PowerShell Web Access' toegangscontrole wordt beheerd met behulp van de set Windows PowerShell-cmdlets die in de volgende tabel zijn beschreven. Er is geen vergelijkbare GUI voor het toevoegen of beheren van autorisatieregels. Zie Windows PowerShell Web Access Cmdlets.
Beheerders kunnen authenticatieregels definiëren {0-n} voor Windows PowerShell Web Access. De standaard zekerheid is beperkend in plaats van permissief; Geen authenticatieregels betekent dat geen gebruikers toegang hebben tot iets.
Add-PswaAuthorizationRule en Test-PswaAuthorizationRule in Windows Server 2012 R2 bevatten een Credential-parameter waarmee je Windows PowerShell Web Access-autorisatieregels kunt toevoegen en testen vanaf een externe computer, of vanuit een actieve Windows PowerShell Web Access-sessie. Net als bij andere Windows PowerShell-cmdlets die een Credential-parameter hebben, kun je een PSCredential-object specificeren als de waarde van de parameter. Om een PSCredential-object te maken dat inloggegevens bevat die je aan een externe computer wilt doorgeven, voer je de Get-Credential-cmdlet uit.
Windows PowerShell Web Access authenticatieregels zijn toestaande regels. Elke regel is een definitie van een toegestane verbinding tussen gebruikers, doelcomputers en specifieke Windows PowerShell-sessieconfiguraties (ook wel endpoints of runspaces genoemd) op gespecificeerde doelcomputers. Voor een uitleg over runspaces zie Begin met PowerShell Runspaces
Belangrijk
Een gebruiker hoeft maar één regel te zijn die waar is om toegang te krijgen. Als een gebruiker toegang krijgt tot één computer met volledige taaltoegang of alleen toegang tot Windows PowerShell remote management cmdlets, kan de gebruiker vanaf de webconsole inloggen (of overstappen) naar andere computers die verbonden zijn met de eerste doelcomputer. De veiligste manier om Windows PowerShell Web Access te configureren is door gebruikers alleen toegang te geven tot configuraties van beperkte sessies waarmee ze specifieke taken kunnen uitvoeren die ze normaal gesproken op afstand moeten uitvoeren.
De cmdlets die in Windows PowerShell Web Access Cmdlets worden genoemd, maken het mogelijk een set toegangsregels te maken die worden gebruikt om een gebruiker te autoriseren op de Windows PowerShell Web Access gateway. De regels verschillen van de toegangscontrolelijsten (ACL's) op de bestemmingscomputer en bieden een extra beveiligingslaag voor webtoegang. Meer details over beveiliging worden in de volgende sectie beschreven.
Als gebruikers geen van de voorgaande beveiligingslagen kunnen passeren, ontvangen zij een generiek bericht 'toegang geweigerd' in hun browservensters. Hoewel beveiligingsdetails op de gatewayserver worden geregistreerd, krijgen eindgebruikers geen informatie te zien over hoeveel beveiligingslagen ze hebben doorlopen, of op welke laag de inlog- of authenticatiefout heeft plaatsgevonden.
Voor meer informatie over het configureren van autorisatieregels, zie het configureren van autorisatieregels in dit onderwerp.
Security
Het beveiligingsmodel voor Windows PowerShell Web Access bestaat uit vier lagen tussen een eindgebruiker van de webgebaseerde console en een doelcomputer. Windows PowerShell Web Access-beheerders kunnen beveiligingslagen toevoegen via extra configuratie in de IIS Manager-console. Voor meer informatie over het beveiligen van websites in de IIS Manager-console, zie Configure Web Server Security (IIS7).
Voor meer informatie over IIS best practices en het voorkomen van denial-of-service-aanvallen, zie Best Practices for Prevention DoS/Denial of Service Attacks. Een beheerder kan ook extra retail-authenticatiesoftware kopen en installeren.
De volgende tabel beschrijft de vier beveiligingslagen tussen eindgebruikers en doelcomputers.
Gedetailleerde informatie over elke laag is te vinden onder de volgende koppen:
IIS Web Server beveiligingsfuncties
Windows PowerShell Web Access-gebruikers moeten altijd een gebruikersnaam en wachtwoord opgeven om hun accounts op de gateway te authenticeren. Windows PowerShell Web Access-beheerders kunnen echter ook optionele clientcertificaatauthenticatie aan- of uitzetten, zie installeren en Windows PowerShell Web Access gebruiken om een testcertificaat in te schakelen en, later, hoe een echt certificaat te configureren.
De optionele clientcertificaatfunctie vereist dat eindgebruikers een geldig clientcertificaat hebben, naast hun gebruikersnamen en wachtwoorden, en maakt deel uit van de Web Server (IIS)-configuratie. Wanneer de clientcertificaatlaag is ingeschakeld, vraagt de Windows PowerShell Web Access-aanmeldpagina gebruikers om geldige certificaten te geven voordat hun inloggegevens worden geëvalueerd. Clientcertificaatauthenticatie controleert automatisch op het clientcertificaat. Als er geen geldig certificaat wordt gevonden, informeert Windows PowerShell Web Access de gebruikers, zodat zij het certificaat kunnen verstrekken. Als er een geldig clientcertificaat wordt gevonden, opent Windows PowerShell Web Access de aanmeldpagina zodat gebruikers hun gebruikersnamen en wachtwoorden kunnen invoeren.
Dit is een voorbeeld van extra beveiligingsinstellingen die door IIS Web Server worden aangeboden. Voor meer informatie over andere IIS-beveiligingsfuncties, zie Configure Web Server Security (IIS 7).
Windows PowerShell Web Access formulieren-gebaseerde gateway-authenticatie
De Windows PowerShell Web Access-aanmeldpagina vereist een set inloggegevens (gebruikersnaam en wachtwoord) en biedt gebruikers de mogelijkheid om verschillende inloggegevens voor de doelcomputer te geven. Als de gebruiker geen alternatieve inloggegevens opgeeft, worden de primaire gebruikersnaam en het wachtwoord die worden gebruikt om verbinding te maken met de gateway ook gebruikt om verbinding te maken met de doelcomputer.
De vereiste inloggegevens worden geauthenticeerd op de Windows PowerShell Web Access-gateway. Deze inloggegevens moeten geldige gebruikersaccounts zijn op de lokale Windows PowerShell Web Access gateway-server, hetzij in Active Directory.
Windows PowerShell Web Access-autorisatieregels
Nadat een gebruiker is geauthenticeerd bij de gateway, controleert Windows PowerShell Web Access de autorisatieregels om te verifiëren of de gebruiker toegang heeft tot de gevraagde doelcomputer. Na succesvolle autorisatie worden de inloggegevens van de gebruiker doorgegeven aan de doelcomputer.
Deze regels worden pas geëvalueerd nadat een gebruiker door de gateway is geauthenticeerd, en voordat een gebruiker op een doelcomputer kan worden geauthenticeerd.
Doelwitauthenticatie en autorisatieregels
De laatste beveiligingslaag voor Windows PowerShell Web Access is de eigen beveiligingsconfiguratie van de doelcomputer. Gebruikers moeten de juiste toegangsrechten hebben geconfigureerd op de doelcomputer, en ook in de Windows PowerShell Web Access-autorisatieregels, om een Windows PowerShell webgebaseerde console te draaien die een doelcomputer beïnvloedt via Windows PowerShell Web Access.
Deze laag biedt dezelfde beveiligingsmechanismen die verbindingspogingen zouden evalueren als gebruikers proberen een externe Windows PowerShell-sessie aan te maken naar een doelcomputer vanuit Windows PowerShell door de Enter-PSSession of New-PSSession cmdlets te draaien.
Standaard gebruikt Windows PowerShell Web Access de primaire gebruikersnaam en wachtwoord voor authenticatie op zowel de gateway als de doelcomputer. De webgebaseerde inlogpagina, in een sectie getiteld Optionele verbindingsinstellingen, biedt gebruikers de mogelijkheid om verschillende inloggegevens voor de doelcomputer te geven, indien nodig. Als de gebruiker geen alternatieve inloggegevens opgeeft, worden de primaire gebruikersnaam en het wachtwoord die worden gebruikt om verbinding te maken met de gateway ook gebruikt om verbinding te maken met de doelcomputer.
Autorisatieregels kunnen worden gebruikt om gebruikers toegang te geven tot een bepaalde sessieconfiguratie. Je kunt beperkte runspaces of sessieconfiguraties maken voor Windows PowerShell Web Access, en specifieke gebruikers toestaan alleen verbinding te maken met specifieke sessieconfiguraties wanneer ze inloggen bij Windows PowerShell Web Access. Je kunt toegangscontrolelijsten (ACL's) gebruiken om te bepalen welke gebruikers toegang hebben tot specifieke eindpunten, en de toegang tot het eindpunt verder beperken voor een specifieke groep gebruikers door autorisatieregels te gebruiken zoals beschreven in deze sectie. Voor meer informatie over beperkte runspaces, zie Het creëren van een beperkte runspace.
Autorisatieregels configureren
Beheerders willen waarschijnlijk dezelfde autorisatieregel voor Windows PowerShell Web Access-gebruikers die al in hun omgeving is gedefinieerd voor Windows PowerShell remote management. De eerste procedure in deze sectie beschrijft hoe een veilige autorisatieregel wordt toegevoegd die toegang geeft aan één gebruiker, inloggen om één computer te beheren, en binnen een enkele sessieconfiguratie. De tweede procedure beschrijft hoe een autorisatieregel die niet langer nodig is, kan worden verwijderd.
Als je van plan bent aangepaste sessieconfiguraties te gebruiken zodat specifieke gebruikers alleen binnen beperkte runspaces in Windows PowerShell Web Access kunnen werken, maak dan je aangepaste sessieconfiguraties voordat je autorisatieregels toevoegt die ernaar verwijzen. Je kunt de Windows PowerShell Web Access-cmdlets niet gebruiken om aangepaste sessieconfiguraties te maken. Voor meer informatie over het maken van aangepaste sessieconfiguraties, zie about_Session_Configuration_Files.
Windows PowerShell Web Access-cmdlets ondersteunen één wildcard-teken, een asterisk ( * ). Wildcard-tekens binnen strings worden niet ondersteund; Gebruik één asterisk per eigenschap (gebruikers, computers of sessieconfiguraties).
Opmerking
Voor meer manieren waarop je autorisatieregels kunt gebruiken om gebruikers toegang te geven en de Windows PowerShell Web Access-omgeving te beveiligen, zie andere voorbeelden van autorisatieregelscenario's in dit onderwerp.
Om een beperkende autorisatieregel toe te voegen
Ga op een van de volgende manieren te werk om een Windows PowerShell-sessie met verhoogde gebruikersrechten te openen.
Klik op het Windows-bureaublad met de rechtermuisknop op Windows PowerShell- op de taakbalk en klik vervolgens op Als administrator uitvoeren.
Klik op het Windows Start-scherm met de rechtermuisknop op Windows PowerShell en klik vervolgens op Uitvoeren als Beheerder.
Optionele stap Voor het beperken van gebruikerstoegang door gebruik te maken van sessieconfiguraties:
Controleer of de sessieconfiguraties die je wilt gebruiken al in je regels bestaan.
Als ze nog niet zijn aangemaakt, gebruik dan instructies voor het maken van sessieconfiguraties in about_Session_Configuration_Files.
Deze autorisatieregel geeft een specifieke gebruiker toegang tot één computer op het netwerk waar hij doorgaans toegang toe heeft, met toegang tot een specifieke sessieconfiguratie die is afgestemd op de typische scripting- en cmdlet-behoeften van de gebruiker. Typ het volgende en druk op Enter-.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- In het volgende voorbeeld krijgt een gebruiker genaamd JSmith in het Contoso-domein toegang om de computer Contoso_214 te beheren en een sessieconfiguratie genaamd NewAdminsOnly te gebruiken.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlyControleer of de regel is gemaakt door ofwel de Get-PswaAuthorizationRule-cmdlet uit te voeren, of
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>. Bijvoorbeeld:Test-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Om een autorisatieregel te verwijderen
Als een Windows PowerShell-sessie nog niet geopend is, zie stap 1 van om een beperkende autorisatieregel toe te voegen in deze sectie.
Typ het volgende en druk vervolgens op Enter, waarbij regel-ID het unieke ID-nummer van de regel die je wilt verwijderen vertegenwoordigt.
Remove-PswaAuthorizationRule -ID <rule ID>Als alternatief, als je het ID-nummer niet weet, maar wel de vriendelijke naam van de regel die je wilt verwijderen, kun je de naam van de regel krijgen en deze naar de
Remove-PswaAuthorizationRulecmdlet sturen om de regel te verwijderen, zoals in het volgende voorbeeld te zien is:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Opmerking
Je wordt niet gevraagd te bevestigen of je de gespecificeerde autorisatieregel wilt verwijderen; de regel wordt verwijderd wanneer je op Enter drukt. Zorg ervoor dat je de autorisatieregel wilt verwijderen voordat je de cmdlet uitvoert Remove-PswaAuthorizationRule .
Andere voorbeelden van autorisatieregelscenario's
Elke Windows PowerShell-sessie gebruikt een sessieconfiguratie; als er geen is gespecificeerd voor een sessie, gebruikt Windows PowerShell de standaard, ingebouwde Windows PowerShell-sessieconfiguratie, genaamd Microsoft.PowerShell. De standaard sessieconfiguratie omvat alle cmdlets die op een computer beschikbaar zijn. Beheerders kunnen de toegang tot alle computers beperken door een sessieconfiguratie te definiëren met een beperkte runspace (een beperkt aantal cmdlets en taken die hun eindgebruikers kunnen uitvoeren). Een gebruiker die toegang krijgt tot één computer met volledige taaltoegang of alleen de Windows PowerShell remote management cmdlets, kan verbinding maken met andere computers die met de eerste computer zijn verbonden. Het definiëren van een beperkte runspace kan voorkomen dat gebruikers toegang krijgen tot andere computers vanuit hun toegestane Windows PowerShell-runspace, en verbetert de beveiliging van je Windows PowerShell Web Access-omgeving. De sessieconfiguratie kan worden verspreid (door gebruik te maken van Group Policy) naar alle computers die beheerders toegankelijk willen maken via Windows PowerShell Web Access. Zie about_Session_Configurationsvoor meer informatie over sessieconfiguraties. Hieronder volgen enkele voorbeelden van dit scenario.
Een beheerder maakt een endpoint aan, genaamd PswaEndpoint, met een beperkte runspace. Vervolgens maakt de beheerder een regel aan,
*,*,PswaEndpoint, en verspreidt het eindpunt naar andere computers. De regel stelt alle gebruikers in staat toegang te krijgen tot alle computers met het eindpunt PswaEndpoint. Als dit de enige autorisatieregel is die in de regelset is gedefinieerd, zijn computers zonder dat eindpunt niet toegankelijk.De beheerder heeft een endpoint met een beperkte runspace genaamd PswaEndpoint aangemaakt en wil de toegang beperken tot specifieke gebruikers. De beheerder maakt een groep gebruikers aan genaamd Level1Support en definieert de volgende regel: Level1Support,*,PswaEndpoint. De regel geeft gebruikers in de groep Level1Support toegang tot alle computers met de PswaEndpoint-configuratie . Op dezelfde manier kan toegang worden beperkt tot een specifieke set computers.
Sommige beheerders geven bepaalde gebruikers meer toegang dan anderen. Bijvoorbeeld, een beheerder maakt twee gebruikersgroepen aan, Admins en BasicSupport. De beheerder maakt ook een endpoint aan met een beperkte runspace genaamd PswaEndpoint, en definieert de volgende twee regels: Admins,*,* en BasicSupport,*,PswaEndpoint. De eerste regel geeft alle gebruikers in de Admin-groep toegang tot alle computers, en de tweede regel geeft alle gebruikers in de BasicSupport-groep alleen toegang tot die computers met PswaEndpoint.
Een beheerder heeft een privé testomgeving opgezet en wil alle geautoriseerde netwerkgebruikers toegang geven tot alle computers op het netwerk waar zij doorgaans toegang toe hebben, met toegang tot alle sessieconfiguraties waartoe zij doorgaans toegang hebben. Omdat dit een privé testomgeving is, maakt de beheerder een autorisatieregel aan die niet veilig is. - De beheerder voert de cmdlet
Add-PswaAuthorizationRule * * *uit , die het jokerteken * gebruikt om alle gebruikers, alle computers en alle configuraties te representeren. - Deze regel is het equivalent van het volgende:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Opmerking
Deze regel wordt niet aanbevolen in een veilige omgeving en omzeilt de autorisatieregellaag die door Windows PowerShell Web Access wordt geboden.
Een beheerder moet gebruikers toestaan verbinding te maken met doelcomputers in een omgeving die zowel werkgroepen als domeinen omvat, waar werkgroepcomputers soms worden gebruikt om verbinding te maken met doelcomputers in domeinen, en computers in domeinen af en toe worden gebruikt om verbinding te maken met doelcomputers in werkgroepen. De beheerder heeft een gateway-server, PswaServer, in een werkgroep; en doelcomputer srv1.contoso.com zich in een domein bevindt. Gebruiker Chris is een geautoriseerde lokale gebruiker op zowel de gatewayserver van de werkgroep als de doelcomputer. Zijn gebruikersnaam op de werkgroepserver is chrisLocal; En zijn gebruikersnaam op de doelcomputer is Contoso\chris. Om toegang tot srv1.contoso.com voor Chris te autoriseren, voegt de beheerder de volgende regel toe.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Het voorgaande regelvoorbeeld authenticeert Chris op de gatewayserver en autoriseert vervolgens zijn toegang tot srv1. Op de aanmeldpagina moet Chris een tweede set inloggegevens opgeven in het gedeelte Optionele verbindingsinstellingen (contoso\chris). De gatewayserver gebruikt de extra set inloggegevens om hem te authenticeren op de doelcomputer, srv1.contoso.com.
In het voorgaande scenario stelt Windows PowerShell Web Access pas een succesvolle verbinding met de doelcomputer tot stand nadat de volgende succesvol zijn geweest en zijn toegestaan door ten minste één autorisatieregel.
Authenticatie op de werkgroep-gatewayserver door een gebruikersnaam toe te voegen in het formaat server_name\user_name aan de autorisatieregel
Authenticatie op de doelcomputer door gebruik te maken van alternatieve inloggegevens die op de aanmeldpagina staan, in het gedeelte Optionele verbindingsinstellingen
Opmerking
Als gateway- en doelcomputers in verschillende werkgroepen of domeinen zitten, moet er een vertrouwensrelatie worden opgezet tussen de twee werkgroepcomputers, de twee domeinen, of tussen de werkgroep en het domein. Deze relatie kan niet worden geconfigureerd met Windows PowerShell Web Access autorisatieregel-cmdlets. Autorisatieregels definiëren geen vertrouwensrelatie tussen computers; Ze kunnen gebruikers alleen machtigen om verbinding te maken met specifieke doelcomputers en sessieconfiguraties. Voor meer informatie over hoe een vertrouwensrelatie tussen verschillende domeinen configureert, zie Domein en Bostrusts creëren. Voor meer informatie over hoe je werkgroepcomputers toevoegt aan een lijst met vertrouwde hosts, zie Remote Management with Server Manager.
Een enkele set autorisatieregels gebruiken voor meerdere locaties
Autorisatieregels worden opgeslagen in een XML-bestand. Standaard is $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xmlde padnaam van het XML-bestand .
Het pad naar het XML-bestand van de autorisatieregels wordt opgeslagen in het powwa.config-bestand , dat te vinden is in $env:windir\Web\PowershellWebAccess\data. De beheerder heeft de flexibiliteit om de verwijzing naar het standaardpad te wijzigen in powwa.config om aan voorkeuren of vereisten te voldoen. Door de beheerder toe te staan de locatie van het bestand te wijzigen, kunnen meerdere Windows PowerShell Web Access-gateways dezelfde autorisatieregels gebruiken, indien een dergelijke configuratie gewenst is.
Sessiebeheer
Standaard beperkt Windows PowerShell Web Access een gebruiker tot drie sessies tegelijk. Je kunt het web.config-bestand van de webapplicatie bewerken in IIS Manager om een verschillend aantal sessies per gebruiker te ondersteunen. Het pad naar het web.config-bestand is $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Standaard is IIS Web Server geconfigureerd om de applicatiepool opnieuw te starten als er instellingen worden aangepast. Bijvoorbeeld, de applicatiepool wordt opnieuw gestart als er wijzigingen worden aangebracht in het web.config-bestand . >Omdat Windows PowerShell Web Access gebruikmaakt van sessiestanden in het geheugen, >verliezen gebruikers die zijn ingelogd op Windows PowerShell Web Access-sessies hun sessies wanneer de applicatiepool opnieuw wordt opgestart.
Standaardparameters instellen op de aanmeldpagina
Als je Windows PowerShell Web Access-gateway draait op Windows Server 2012 R2, kun je standaardwaarden instellen voor de instellingen die op de Windows PowerShell Web Access-aanmeldpagina worden weergegeven. Je kunt waarden configureren in het web.config bestand dat in de voorgaande alinea wordt beschreven. Standaardwaarden voor de instellingen voor de aanmeldpagina zijn te vinden in het appSettings-gedeelte van het web.config-bestand; het volgende is een voorbeeld van de sectie appInstellingen . Geldige waarden voor veel van deze instellingen zijn hetzelfde als die voor de overeenkomstige parameters van de New-PSSession cmdlet in Windows PowerShell.
Bijvoorbeeld, de defaultApplicationName sleutel, zoals getoond in het volgende codeblok, is de waarde van de $PSSessionApplicationName voorkeurvariabele op de doelcomputer.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Time-outs en ongeplande onderbrekingen
Windows PowerShell Web Access-sessies time-out. In Windows PowerShell Web Access die draait op Windows Server 2012, wordt na 15 minuten sessieinactiviteit een time-out bericht weergegeven aan ingelogde gebruikers. Als de gebruiker niet binnen vijf minuten na het tonen van het time-outbericht reageert, wordt de sessie beëindigd en wordt de gebruiker uitgelogd. Je kunt time-outperiodes voor sessies wijzigen in de website-instellingen in IIS Manager.
In Windows PowerShell Web Access die draait op Windows Server 2012 R2, lopen sessies standaard af na 20 minuten inactiviteit. Als gebruikers worden losgekoppeld van sessies in de webgebaseerde console vanwege netwerkfouten of andere ongeplande uitvals- of storingen, en niet omdat ze de sessies zelf hebben gesloten, blijven de Windows PowerShell Web Access-sessies draaien, verbonden met doelcomputers, totdat de time-outperiode aan de clientzijde verstreken. De sessie wordt verbroken na ofwel de standaard 20 minuten, of na de door de gateway-beheerder gespecificeerde time-outperiode, afhankelijk van wat korter is.
Als de gatewayserver Windows Server 2012 R2 draait, laat Windows PowerShell Web Access gebruikers later opnieuw verbinding maken met opgeslagen sessies, maar wanneer netwerkfouten, ongeplande uitschakelingen of andere storingen sessies verbreken, kunnen gebruikers opgeslagen sessies niet zien of opnieuw verbinden totdat de door de gateway-beheerder opgegeven time-out periode is verstreken.