Delen via

Gebruikerstoegangsbeheer en -machtigingen configureren

  • Van toepassing op: ✅ Windows Admin Center, ✅ Windows Admin Center Preview

Als u dat nog niet hebt gedaan, moet u vertrouwd raken met de opties voor gebruikerstoegangsbeheer in het Windows-beheercentrum.

Notitie

Toegang op basis van groepen in het Windows-beheercentrum wordt niet ondersteund in werkgroepomgevingen of in niet-vertrouwde domeinen.

Roldefinities voor gatewaytoegang

Er zijn twee rollen voor toegang tot de Windows Admin Center-gatewayservice:

Gatewaygebruikers verbinding kunnen maken met de Gatewayservice van het Windows-beheercentrum om servers via die gateway te beheren, maar ze kunnen geen toegangsmachtigingen wijzigen of het verificatiemechanisme dat wordt gebruikt voor verificatie bij de gateway.

Gatewaybeheerders kunnen configureren wie toegang krijgt en hoe gebruikers zich verifiëren bij de gateway. Alleen gatewaybeheerders kunnen de toegangsinstellingen weergeven en configureren in het Windows-beheercentrum. Lokale beheerders op de gatewaycomputer zijn altijd beheerders van de Windows Admin Center-gatewayservice.

Er is ook een extra rol specifiek voor het beheer van CredSSP:

Windows Admin Center CredSSP-beheerders zijn geregistreerd bij het Windows Admin Center CredSSP-eindpunt en zijn gemachtigd om vooraf gedefinieerde CredSSP-bewerkingen uit te voeren. Deze groep is met name handig voor installaties van het Windows-beheercentrum in de bureaubladmodus, waarbij alleen het gebruikersaccount dat Windows Admin Center heeft geïnstalleerd, deze machtigingen standaard krijgt.

Notitie

Toegang tot de gateway impliceert geen toegang tot beheerde servers die zichtbaar zijn voor de gateway. Als u een doelserver wilt beheren, moet de verbinding makende gebruiker referenties gebruiken (via hun doorgegeven Windows-referentie of via referenties die zijn opgegeven in de Windows-beheercentrumsessie met behulp van de beheren als actie) die beheerderstoegang hebben tot die doelserver. Dit komt doordat voor de meeste Hulpprogramma's van het Windows-beheercentrum beheerdersmachtigingen nodig zijn om te gebruiken.

Active Directory- of lokale computergroepen

Active Directory- of lokale-computergroepen worden standaard gebruikt voor het beheren van gatewaytoegang. Als u een Active Directory-domein hebt, kunt u gatewaygebruikers en beheerderstoegang beheren vanuit de interface van het Windows-beheercentrum.

Op het tabblad Gebruikers kunt u bepalen wie toegang heeft tot het Windows-beheercentrum als gatewaygebruiker. Als u standaard geen beveiligingsgroep opgeeft, heeft elke gebruiker die toegang heeft tot de gateway-URL toegang. Zodra u een of meer beveiligingsgroepen aan de lijst met gebruikers toevoegt, is de toegang beperkt tot de leden van deze groepen.

Als u geen Active Directory-domein in uw omgeving gebruikt, wordt de toegang beheerd door de gebruikers en beheerders lokale groepen op de Windows Admin Center-gatewaycomputer.

Smartcardauthenticatie

U kunt smartcardverificatie afdwingen door een extra vereiste groep op te geven voor beveiligingsgroepen op basis van smartcards. Zodra u een op smartcard gebaseerde beveiligingsgroep hebt toegevoegd, heeft een gebruiker alleen toegang tot de Windows Admin Center-service als deze lid is van een beveiligingsgroep EN een smartcardgroep die is opgenomen in de lijst met gebruikers.

Op het tabblad Administrators kunt u bepalen wie toegang heeft tot het Windows-beheercentrum als gatewaybeheerder. De lokale beheerdersgroep op de computer heeft altijd volledige beheerderstoegang en kan niet worden verwijderd uit de lijst. Door beveiligingsgroepen toe te voegen, geeft u leden van deze groepen bevoegdheden om de gatewayinstellingen van het Windows-beheercentrum te wijzigen. De lijst met beheerders ondersteunt smartcardverificatie op dezelfde manier als de lijst met gebruikers: met de voorwaarde AND voor een beveiligingsgroep en een smartcardgroep.

Microsoft Entra-id

Als uw organisatie Gebruikmaakt van Microsoft Entra ID, kunt u ervoor kiezen om een extra beveiligingslaag toe te voegen aan het Windows-beheercentrum door Microsoft Entra-verificatie te vereisen voor toegang tot de gateway. Als u toegang wilt krijgen tot het Windows-beheercentrum, moet het Windows-account van de gebruiker ook toegang hebben tot de gatewayserver (zelfs als Microsoft Entra-verificatie wordt gebruikt). Wanneer u Microsoft Entra ID gebruikt, beheert u de gebruikers- en beheerdersmachtigingen voor het Windows-beheercentrum vanuit Azure Portal in plaats van vanuit de gebruikersinterface van het Windows-beheercentrum.

Toegang tot het Windows-beheercentrum wanneer Microsoft Entra-verificatie is ingeschakeld

Afhankelijk van de browser die wordt gebruikt, ontvangen sommige gebruikers die toegang hebben tot het Windows-beheercentrum met Microsoft Entra-verificatie geconfigureerd, een extra prompt in de browser waar ze hun Windows-accountreferenties moeten opgeven voor de computer waarop het Windows-beheercentrum is geïnstalleerd. Nadat deze gegevens zijn ingevoerd, krijgen de gebruikers de extra Microsoft Entra-verificatieprompt. Hiervoor zijn de referenties vereist van een Azure-account dat toegang heeft gekregen in de Microsoft Entra-toepassing in Azure.

Notitie

Gebruikers van wie het Windows-account beheerdersrechten heeft op de gatewaycomputer, zullen niet gevraagd worden om de Microsoft Entra-verificatie.

Microsoft Entra-verificatie configureren voor Windows Admin Center Preview

Ga naar het Windows-beheercentrum Instellingen>Access en gebruik de wisselknop om 'Microsoft Entra-id gebruiken om een beveiligingslaag toe te voegen aan de gateway' in te schakelen. Als u de gateway niet hebt geregistreerd bij Azure, wordt u op dit moment begeleid om dit te doen.

Standaard hebben alle leden van de Microsoft Entra-tenant gebruikerstoegang tot de gatewayservice van het Windows-beheercentrum. Alleen lokale beheerders op de gatewaycomputer hebben beheerderstoegang tot de Windows Admin Center-gateway. Houd er rekening mee dat de rechten van lokale beheerders op de gatewaycomputer niet kunnen worden beperkt. Lokale beheerders kunnen alles doen, ongeacht of Microsoft Entra-id wordt gebruikt voor verificatie.

Als u specifieke Microsoft Entra-gebruikers of groepsgatewaygebruikers of gatewaybeheerders toegang wilt geven tot de Windows Admin Center-service, moet u het volgende doen:

  1. Ga naar uw Windows Admin Center Microsoft Entra-toepassing in Azure Portal met behulp van de hyperlink in Access Settings. Deze hyperlink is alleen beschikbaar wanneer Microsoft Entra-verificatie is ingeschakeld.
    • U kunt uw toepassing ook vinden in Azure Portal door naar Microsoft Entra ID>Enterprise-toepassingen te gaan>Alle toepassingen en zoeken WindowsAdminCenter (de Microsoft Entra-app krijgt de naam WindowsAdminCenter-<gatewaynaam>). Als u geen zoekresultaten krijgt, controleert u of Weergeven is ingesteld op alle toepassingen, en of toepassingsstatus is ingesteld op iedere. Selecteer dan Toepassen, en probeer vervolgens opnieuw te zoeken. Zodra u de toepassing hebt gevonden, gaat u naar gebruikers en groepen
  2. Stel op het tabblad Eigenschappen vereiste gebruikerstoewijzing in op Ja. Zodra u dit hebt gedaan, hebben alleen leden die worden vermeld op het tabblad Gebruikers en groepen toegang tot de Gateway van het Windows-beheercentrum.
  3. Selecteer op het tabblad Gebruikers en groepen Gebruikertoevoegen. U moet een rol van gatewaygebruiker of gatewaybeheerder toewijzen voor elke toegevoegde gebruiker/groep.

Zodra u Microsoft Entra-verificatie hebt ingeschakeld, wordt de gatewayservice opnieuw opgestart en moet u uw browser vernieuwen. U kunt gebruikerstoegang voor de SME Microsoft Entra-toepassing op elk gewenst moment bijwerken in Azure Portal.

Gebruikers wordt gevraagd zich aan te melden met hun Microsoft Entra-identiteit wanneer ze toegang proberen te krijgen tot de gateway-URL van het Windows-beheercentrum. Houd er rekening mee dat gebruikers ook lid moeten zijn van de lokale gebruikers op de gatewayserver om toegang te krijgen tot het Windows-beheercentrum.

Gebruikers en beheerders kunnen hun momenteel aangemelde account bekijken en zich afmelden bij dit Microsoft Entra-account via het tabblad Account van instellingen voor het Windows-beheercentrum.

Microsoft Entra-verificatie configureren voor Windows Admin Center

Als u Microsoft Entra-verificatie wilt instellen, moet u eerst uw gateway registreren bij Azure (u hoeft dit slechts eenmaal te doen voor uw Windows Admin Center-gateway). Met deze stap maakt u een Microsoft Entra-toepassing waarmee u de toegang van gatewaygebruikers en gatewaybeheerders kunt beheren.

Als u specifieke Microsoft Entra-gebruikers of groepsgatewaygebruikers of gatewaybeheerders toegang wilt geven tot de Windows Admin Center-service, moet u het volgende doen:

  1. Ga naar uw SME Microsoft Entra-toepassing in het Azure-portaal.
    • Wanneer u Toegangsbeheer wijzigen selecteert en vervolgens Microsoft Entra ID selecteert in de toegangsinstellingen van het Windows-beheercentrum, kunt u de hyperlink in de gebruikersinterface gebruiken om toegang te krijgen tot uw Microsoft Entra-toepassing in Azure Portal. Deze hyperlink is ook beschikbaar in de Access-instellingen nadat u Opslaan hebt geselecteerd en Microsoft Entra-id hebt geselecteerd als uw id-provider voor toegangsbeheer.
    • U kunt uw toepassing ook vinden in Azure Portal door naar Microsoft Entra ID>Enterprise-toepassingen te gaan>Alle toepassingen en SME- te zoeken (de Microsoft Entra-app krijgt de naam SME-<gateway>). Als u geen zoekresultaten krijgt, controleert u of Weergeven is ingesteld op alle toepassingen, en of toepassingsstatus is ingesteld op iedere. Selecteer dan Toepassen, en probeer vervolgens opnieuw te zoeken. Zodra u de toepassing hebt gevonden, gaat u naar gebruikers en groepen
  2. Stel op het tabblad Eigenschappen vereiste gebruikerstoewijzing in op Ja. Zodra u dit hebt gedaan, hebben alleen leden die worden vermeld op het tabblad Gebruikers en groepen toegang tot de Gateway van het Windows-beheercentrum.
  3. Selecteer op het tabblad Gebruikers en groepen Gebruikertoevoegen. U moet een rol van gatewaygebruiker of gatewaybeheerder toewijzen voor elke toegevoegde gebruiker/groep.

Nadat u het Microsoft Entra-toegangsbeheer hebt opgeslagen in het deelvenster Toegangsbeheer wijzigen, wordt de gatewayservice opnieuw opgestart en moet u uw browser vernieuwen. U kunt gebruikerstoegang voor de Microsoft Entra-toepassing Windows Admin Center op elk gewenst moment bijwerken in Azure Portal.

Gebruikers wordt gevraagd zich aan te melden met hun Microsoft Entra-identiteit wanneer ze toegang proberen te krijgen tot de gateway-URL van het Windows-beheercentrum. Houd er rekening mee dat gebruikers ook lid moeten zijn van de lokale gebruikers op de gatewayserver om toegang te krijgen tot het Windows-beheercentrum.

Met behulp van het tabblad Azure van algemene instellingen van het Windows-beheercentrum kunnen gebruikers en beheerders hun momenteel aangemelde account bekijken en zich afmelden bij dit Microsoft Entra-account.

Voorwaardelijke toegang en meervoudige verificatie

Een van de voordelen van het gebruik van Microsoft Entra ID als extra beveiligingslaag om de toegang tot de Windows Admin Center-gateway te beheren, is dat u de krachtige beveiligingsfuncties van Microsoft Entra ID, zoals voorwaardelijke toegang en meervoudige verificatie, kunt gebruiken.

Meer informatie over het configureren van voorwaardelijke toegang met Microsoft Entra-id.

Eenmalige aanmelding configureren

eenmalige aanmelding bij implementatie als een service op Windows Server

Wanneer u Windows Admin Center installeert in Windows 10, kunt u eenmalige aanmelding gebruiken. Als u Windows Admin Center op Windows Server gaat gebruiken, moet u echter een vorm van Kerberos-delegering instellen in uw omgeving voordat u eenmalige aanmelding kunt gebruiken. De delegatie configureert de gatewaycomputer als vertrouwd, zodat deze kan delegeren naar het doelknooppunt.

Gebruik het volgende PowerShell-voorbeeld om resource-gebaseerde beperkte delegatie te configureren in uw omgeving. In dit voorbeeld ziet u hoe u een Windows Server [node01.contoso.com] configureert voor het accepteren van delegatie van uw Windows Admin Center-gateway [wac.contoso.com] in het contoso.com domein.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Voer de volgende cmdlet uit om deze relatie te verwijderen:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Op rollen gebaseerd toegangsbeheer (RBAC)

Met op rollen gebaseerd toegangsbeheer kunt u gebruikers beperkte toegang bieden tot de computer in plaats van hen volledige lokale beheerders te maken. Lees meer over op rollen gebaseerd toegangsbeheer en de beschikbare rollen.

Het instellen van RBAC bestaat uit twee stappen: ondersteuning op de doelcomputer(s) inschakelen en gebruikers toewijzen aan de relevante rollen.

Hint

Zorg ervoor dat u lokale beheerdersbevoegdheden hebt op de computers waarop u ondersteuning configureert voor op rollen gebaseerd toegangsbeheer.

Op rollen gebaseerd toegangsbeheer toepassen op één computer

Het implementatiemodel voor één machine is ideaal voor eenvoudige omgevingen met slechts een paar computers die moeten worden beheerd. Het configureren van een machine met ondersteuning voor op rollen gebaseerd toegangsbeheer leidt tot de volgende wijzigingen:

  • PowerShell-modules met functies die vereist zijn voor het Windows-beheercentrum, worden geïnstalleerd op uw systeemstation, onder C:\Program Files\WindowsPowerShell\Modules. Alle modules beginnen met Microsoft.Sme
  • Desired State Configuration voert een eenmalige configuratie uit om een Just Enough Administration-eindpunt te configureren op de computer, met de naam Microsoft.Sme.PowerShell. Dit eindpunt definieert de drie rollen die door het Windows-beheercentrum worden gebruikt en worden uitgevoerd als een tijdelijke lokale beheerder wanneer een gebruiker er verbinding mee maakt.
  • Er worden drie nieuwe lokale groepen gemaakt om te bepalen welke gebruikers toegang krijgen tot welke rollen:
    • Beheerders van Het Windows-beheercentrum
    • Beheerders van het Windows Admin Center Hyper-V
    • Lezers van Windows Admin Center

Notitie

Op rollen gebaseerd toegangsbeheer wordt niet ondersteund voor clusterbeheer (d.w. functies die afhankelijk zijn van RBAC, zoals CredSSP mislukken).

Voer de volgende stappen uit om ondersteuning in te schakelen voor op rollen gebaseerd toegangsbeheer op één computer:

  1. Open het Windows-beheercentrum en maak verbinding met de computer die u wilt configureren met op rollen gebaseerd toegangsbeheer met behulp van een account met lokale beheerdersbevoegdheden op de doelcomputer.
  2. Selecteer in het Overzicht hulpprogramma Instellingen>Rolgebaseerde toegangscontrole.
  3. Selecteer onder aan de pagina toepassen om ondersteuning voor op rollen gebaseerd toegangsbeheer op de doelcomputer in te schakelen. Het toepassingsproces omvat het kopiëren van PowerShell-scripts en het aanroepen van een configuratie (met behulp van PowerShell Desired State Configuration) op de doelcomputer. Het kan tot 10 minuten duren voordat WinRM opnieuw wordt gestart. Hiermee wordt de verbinding met windows-beheercentrum, PowerShell en WMI-gebruikers tijdelijk verbroken.
  4. Vernieuw de pagina om de status van op rollen gebaseerd toegangsbeheer te controleren. Wanneer deze gereed is voor gebruik, wordt de status gewijzigd in Toegepaste.

Zodra de configuratie is toegepast, kunt u gebruikers toewijzen aan de rollen:

  1. Open het hulpprogramma Lokale gebruikers en groepen en ga naar het tabblad Groepen.
  2. Selecteer de Windows Admin Center Readers groep.
  3. Selecteer in het deelvenster Details onderaan Gebruiker toevoegen en voer de naam in van een gebruiker of beveiligingsgroep die alleen-lezentoegang tot de server moet hebben via het Windows-beheercentrum. De gebruikers en groepen kunnen afkomstig zijn van de lokale computer of uw Active Directory-domein.
  4. Herhaal stap 2-3 voor de Windows Admin Center Hyper-V Beheerders en Windows Admin Center Beheerders groepen.

U kunt deze groepen ook consistent in uw domein doorvoeren door een groepsbeleidsobject te configureren met de beleidsinstelling voor beperkte groepen.

Op rollen gebaseerd toegangsbeheer toepassen op meerdere computers

In een grote bedrijfsimplementatie kunt u uw bestaande automatiseringsprogramma's gebruiken om de functie voor op rollen gebaseerd toegangsbeheer naar uw computers te pushen door het configuratiepakket te downloaden van de Windows Admin Center-gateway. Het configuratiepakket is ontworpen voor gebruik met PowerShell Desired State Configuration, maar u kunt het aanpassen aan uw voorkeursautomatiseringsoplossing.

De configuratie voor op rollen gebaseerd toegangsbeheer downloaden

Als u het configuratiepakket voor op rollen gebaseerd toegangsbeheer wilt downloaden, moet u toegang hebben tot het Windows-beheercentrum en een PowerShell-prompt.

Als u de Windows Admin Center-gateway uitvoert in de servicemodus op Windows Server, gebruikt u de volgende opdracht om het configuratiepakket te downloaden. Zorg ervoor dat u het gatewayadres bijwerkt met het juiste adres voor uw omgeving.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Als u de Windows Admin Center-gateway op uw Windows 10-computer uitvoert, voert u in plaats daarvan de volgende opdracht uit:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Wanneer u het zip-archief uitvouwt, ziet u de volgende mapstructuur:

  • InstallJeaFeatures.ps1
  • JustEnoughAdministration (directory)
  • Modules (bestandsmap)
    • Microsoft.SME.* (mappen)

Als u ondersteuning wilt configureren voor op rollen gebaseerd toegangsbeheer op een knooppunt, moet u de volgende acties uitvoeren:

  1. Kopieer de JustEnoughAdministration- en Microsoft.SME.* modules naar de map van de PowerShell-module op de doelcomputer. Dit bevindt zich meestal op C:\Program Files\WindowsPowerShell\Modules.
  2. Werk InstallJeaFeature.ps1 bestand bij zodat het overeenkomt met de gewenste configuratie voor het RBAC-eindpunt.
  3. Voer InstallJeaFeature.ps1 uit om de DSC-resource te compileren.
  4. Implementeer uw DSC-configuratie op al uw computers om de configuratie toe te passen.

In de volgende sectie wordt uitgelegd hoe u dit doet met behulp van externe communicatie van PowerShell.

Implementeren op meerdere computers

Als u de configuratie wilt implementeren die u op meerdere computers hebt gedownload, moet u het InstallJeaFeatures.ps1 script bijwerken om de juiste beveiligingsgroepen voor uw omgeving op te nemen, de bestanden naar elk van uw computers te kopiëren en de configuratiescripts aan te roepen. U kunt hiervoor uw favoriete automatiseringsprogramma's gebruiken, maar dit artikel richt zich op een pure PowerShell-benadering.

Standaard maakt het configuratiescript lokale beveiligingsgroepen op de computer om de toegang tot elk van de rollen te beheren. Dit is geschikt voor computers die lid zijn van een werkgroep en domein, maar als u in een omgeving met alleen domein implementeert, kunt u een domeinbeveiligingsgroep rechtstreeks aan elke rol koppelen. Als u de configuratie voor het gebruik van domeinbeveiligingsgroepen wilt bijwerken, opent u InstallJeaFeatures.ps1 en voert u de volgende wijzigingen aan:

  1. Verwijder de 3 Groep resources uit het bestand:
    1. "Groep MS-Readers-Group"
    2. Groep MS-Hyper-V-Administratorsgroep
    3. Groep MS-Administrators-Groep
  2. Verwijder de drie groepsbronnen uit de eigenschap JeaEndpoint DependsOn
    1. "[Groep]MS-Readers-Group"
    2. "[Groep]MS-Hyper-V-Administrators-Group"
    3. "[Groep]MS-Administrators-Group"
  3. Wijzig de groepsnamen in de eigenschap JeaEndpoint RoleDefinitions naar de gewenste beveiligingsgroepen. Als u bijvoorbeeld een beveiligingsgroep hebt CONTOSO\MyTrustedAdmins die toegang moet krijgen tot de rol Beheerders van het Windows-beheercentrum, wijzigt u '$env:COMPUTERNAME\Windows Admin Center Administrators' in 'CONTOSO\MyTrustedAdmins'. De drie tekenreeksen die u moet bijwerken, zijn:
    1. '$env:COMPUTERNAAM\Beheerders van Windows-beheercentrum'
    2. '$env:COMPUTERNAAM\Windows-beheercentrum Hyper-V beheerders'
    3. '$env:COMPUTERNAAM\Lezers van het Windows-beheercentrum'

Notitie

Zorg ervoor dat u voor elke rol unieke beveiligingsgroepen gebruikt. De configuratie mislukt als dezelfde beveiligingsgroep is toegewezen aan meerdere rollen.

Voeg vervolgens aan het einde van het bestand InstallJeaFeatures.ps1 de volgende regels van PowerShell toe aan de onderkant van het script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Ten slotte kunt u de map met de modules, DSC-resource en -configuratie naar elk doelknooppunt kopiëren en het InstallJeaFeature.ps1 script uitvoeren. Als u dit op afstand wilt doen vanaf uw beheerwerkstation, kunt u de volgende opdrachten uitvoeren:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}