Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Aktualizacja: 24 czerwca 2013
Dotyczy do: Windows Server 2012 R2, Windows Server 2012
Windows PowerShell Web Access w Windows Server 2012 R2 oraz Windows Server 2012 posiada restrykcyjny model bezpieczeństwa. Użytkownicy muszą mieć wyraźny dostęp przed zalogowaniem się do bramki Windows PowerShell Web Access i korzystaniem z przeglądarkowej konsoli Windows PowerShell.
Konfiguracja zasad autoryzacji i bezpieczeństwa lokalizacji
Po zainstalowaniu Windows PowerShell Web Access i skonfigurowaniu bramy użytkownicy mogą otworzyć stronę logowania w przeglądarce, ale nie mogą się zalogować, dopóki administrator Windows PowerShell Web Access nie udzieli użytkownikom wyraźnego dostępu. Kontrola dostępu do sieci 'Windows PowerShell Web Access' jest zarządzana za pomocą zestawu cmdletów Windows PowerShell opisanych w poniższej tabeli. Nie ma porównywalnego interfejsu GUI do dodawania lub zarządzania regułami autoryzacji. Zobacz CMDLETS dostępu do sieci Windows PowerShell.
Administratorzy mogą definiować {0-n} reguły uwierzytelniania dla Windows PowerShell Web Access. Domyślne zabezpieczenie jest ograniczające, a nie tolerujące; Zero reguł uwierzytelniania oznacza, że żaden użytkownik nie ma dostępu do niczego.
Add-PswaAuthorizationRule oraz Test-PswaAuthorizationRule w Windows Server 2012 R2 zawierają parametr Credential pozwalający dodawać i testować reguły autoryzacji Windows PowerShell Web Access z komputera zdalnego lub z aktywnej sesji Windows PowerShell Web Access. Podobnie jak w innych cmdletach Windows PowerShell zawierających parametr Credential, możesz określić obiekt PSCredential jako wartość parametru. Aby utworzyć obiekt PSCredential zawierający poświadczenia uwierzytelniające przesłane zdalnemu komputerowi, uruchom cmdlet Get-Credential .
Reguły uwierzytelniania dostępu do sieci Windows PowerShell to reguły zezwalające . Każda reguła to definicja dozwolonego połączenia między użytkownikami, komputerami docelowymi oraz konkretnymi konfiguracjami sesji Windows PowerShell (nazywanymi także punktami końcowymi lub przestrzeniami działania) na określonych komputerach docelowych. Wyjaśnienie dotyczące przestrzeni biegowych można znaleźć w artykule Początkowe użycie przestrzeni PowerShell
Ważne
Użytkownik potrzebuje tylko jednej reguły, aby uzyskać dostęp. Jeśli użytkownik otrzyma dostęp do jednego komputera z pełnym dostępem językowym lub tylko do zdalnych komandletów zarządzania Windows PowerShell, z konsoli internetowej może zalogować się (lub przeskoczyć) na inne komputery podłączone do pierwszego docelowego komputera. Najbezpieczniejszym sposobem konfiguracji Windows PowerShell Web Access jest umożliwienie użytkownikom dostępu tylko do ograniczonych konfiguracji sesji, które pozwalają im wykonać konkretne zadania, które zwykle muszą wykonywać zdalnie.
Cmdlety wspomniane w Windows PowerShell Web Access Cmdlets pozwalają tworzyć zestaw reguł dostępu, które służą do autoryzacji użytkownika na bramie Windows PowerShell Web Access. Reguły różnią się od list kontroli dostępu (ACL) na komputerze docelowym i zapewniają dodatkową warstwę bezpieczeństwa dostępu do sieci. Więcej szczegółów dotyczących bezpieczeństwa opisano w następnej sekcji.
Jeśli użytkownicy nie mogą przejść żadnej z poprzednich warstw bezpieczeństwa, otrzymują ogólną wiadomość "dostęp odrzucony" w oknie przeglądarki. Chociaż szczegóły bezpieczeństwa są rejestrowane na serwerze bramy, użytkownikom końcowym nie pokazują się informacji o tym, ile warstw bezpieczeństwa przeszli ani na której warstwie doszło do awarii logowania lub uwierzytelnienia.
Więcej informacji na temat konfiguracji reguł autoryzacji można znaleźć w artykule o konfigurowaniu reguł autoryzacji w tym temacie.
Zabezpieczenia
Model bezpieczeństwa Windows PowerShell Web Access składa się z czterech warstw: użytkownika końcowego konsoli webowej a docelowego komputera. Administratorzy dostępu do sieci Windows PowerShell mogą dodawać warstwy zabezpieczeń poprzez dodatkową konfigurację w konsoli Menedżera IIS. Aby uzyskać więcej informacji na temat zabezpieczania stron internetowych w konsoli Menedżera IIS, zobacz Konfiguruj bezpieczeństwo serwera internetowego (IIS7).
Więcej informacji o najlepszych praktykach IIS i zapobieganiu atakom typu denial-of-service znajdziesz w sekcji Najlepsze praktyki zapobiegania atakom DoS/Denial of Service. Administrator może także kupić i zainstalować dodatkowe oprogramowanie do uwierzytelniania detalicznego.
Poniższa tabela opisuje cztery warstwy zabezpieczeń między użytkownikami końcowymi a komputerami docelowymi.
Szczegółowe informacje o każdej warstwie można znaleźć pod następującymi nagłówkami:
Funkcje bezpieczeństwa serwera sieciowego IIS
Użytkownicy Windows PowerShell Web Access muszą zawsze podawać nazwę użytkownika i hasło, aby uwierzytelnić swoje konta na bramie. Jednak administratorzy Windows PowerShell Web Access mogą również włączyć lub wyłączyć opcjonalne uwierzytelnianie certyfikatów klienta, zobacz : instaluj i użyj dostępu do sieci Windows PowerShell, aby włączyć certyfikat testowy, a później dowiedzieć się, jak skonfigurować certyfikat autentyczny).
Opcjonalna funkcja certyfikatu klienta wymaga od użytkowników posiadania ważnego certyfikatu klienta, oprócz nazw użytkowników i haseł, i jest częścią konfiguracji serwera sieciowego (IIS). Gdy warstwa certyfikatów klienta jest włączona, strona logowania Windows PowerShell Web Access prosi użytkowników o podanie ważnych certyfikatów przed oceną ich danych uwierzytelniających. Uwierzytelnianie certyfikatem klienta automatycznie sprawdza certyfikat klienta. Jeśli nie zostanie znaleziony ważny certyfikat, Windows PowerShell Web Access informuje użytkowników, aby mogli dostarczyć certyfikat. Jeśli zostanie znaleziony ważny certyfikat klienta, Windows PowerShell Web Access otwiera stronę logowania, aby użytkownicy mogli podać swoje nazwy użytkownika i hasła.
To jeden z przykładów dodatkowych ustawień bezpieczeństwa oferowanych przez IIS Web Server. Aby uzyskać więcej informacji o innych funkcjach bezpieczeństwa IIS, zobacz Configure Web Server Security (IIS 7).
Uwierzytelnianie bram oparte na formularzach Windows PowerShell Web Access
Strona logowania do Windows PowerShell Web Access wymaga zestawu danych uwierzytelniających (nazwa użytkownika i hasło) oraz oferuje użytkownikom możliwość podania różnych danych uwierzytelniających dla docelowego komputera. Jeśli użytkownik nie poda alternatywnych danych uwierzytelniających, do połączenia z docelowym komputerem używa się także nazwy użytkownika i hasła używanego do połączenia z bramą.
Wymagane dane uwierzytelniające są uwierzytelniane na bramie Windows PowerShell Web Access. Te poświadczenia muszą być ważnymi kontami użytkownika na lokalnym serwerze bram dostępu Windows PowerShell lub w Active Directory.
Reguły autoryzacji dostępu do sieci Windows PowerShell
Po uwierzytelnieniu użytkownika na bramie, Windows PowerShell Web Access sprawdza reguły autoryzacji, aby zweryfikować, czy użytkownik ma dostęp do żądanego komputera docelowego. Po pomyślnym autoryzowaniu dane uwierzytelniające użytkownika są przekazywane do docelowego komputera.
Reguły te są oceniane dopiero po uwierzytelnieniu użytkownika przez bramę i przed uzyskaniem uwierzytelnienia na docelowym komputerze.
Reguły uwierzytelniania i autoryzacji docelowych
Ostatnią warstwą zabezpieczeń dla Windows PowerShell Web Access jest własna konfiguracja zabezpieczeń komputera docelowego. Użytkownicy muszą mieć odpowiednie uprawnienia dostępu skonfigurowane na docelowym komputerze oraz w regułach autoryzacji Windows PowerShell Web Access, aby uruchomić konsolę internetową Windows PowerShell, która wpływa na komputer docelowy za pomocą Windows PowerShell Web Access.
Ta warstwa oferuje te same mechanizmy bezpieczeństwa, które oceniałyby próby połączenia, jeśli użytkownicy próbowaliby utworzyć zdalną sesję Windows PowerShell do docelowego komputera z poziomu Windows PowerShell, uruchamiając cmdlety Enter-PSSession lub New-PSSession .
Domyślnie Windows PowerShell Web Access używa głównej nazwy użytkownika i hasła do uwierzytelniania zarówno na bramce, jak i na komputerze docelowym. Strona logowania w sieci internetowej, w sekcji zatytułowanej Opcjonalne ustawienia połączenia, oferuje użytkownikom możliwość podania różnych danych uwierzytelniających dla docelowego komputera, jeśli są one potrzebne. Jeśli użytkownik nie poda alternatywnych danych uwierzytelniających, do połączenia z docelowym komputerem używa się także nazwy użytkownika i hasła używanego do połączenia z bramą.
Reguły autoryzacji mogą być używane do umożliwienia użytkownikom dostępu do konkretnej konfiguracji sesji. Możesz tworzyć ograniczone przestrzenie biegu lub konfiguracje sesji dla Windows PowerShell Web Access i pozwolić wybranym użytkownikom łączyć się tylko z określonymi konfiguracjami sesji podczas logowania się do Windows PowerShell Web Access. Możesz użyć list kontroli dostępu (ACL), aby określić, którzy użytkownicy mają dostęp do konkretnych punktów końcowych, a dodatkowo ograniczać dostęp do tego punktu dla określonej grupy użytkowników, korzystając z reguł autoryzacji opisanych w tej sekcji. Więcej informacji o ograniczonych przestrzeniach biegu można znaleźć w artykule Tworzenie ograniczonej przestrzeni biegu.
Konfigurowanie reguł autoryzacji
Administratorzy prawdopodobnie chcą tej samej reguły autoryzacji dla użytkowników Windows PowerShell Web Access, która jest już zdefiniowana w ich środowisku dla zdalnego zarządzania Windows PowerShell. Pierwsza procedura w tej sekcji opisuje, jak dodać regułę bezpiecznej autoryzacji, która przyznaje dostęp jednemu użytkownikowi, logowaniu się w celu zarządzania jednym komputerem oraz w ramach konfiguracji jednej sesji. Druga procedura opisuje, jak usunąć regułę autoryzacji, która nie jest już potrzebna.
Jeśli planujesz używać niestandardowych konfiguracji sesji, które pozwolą konkretnym użytkownikom pracować tylko w ograniczonych przestrzeniach biegowych w Windows PowerShell Web Access, stwórz własne konfiguracje sesji przed dodaniem reguł autoryzacji odnoszących się do nich. Nie można używać CMDLETS Windows Web Access do tworzenia niestandardowych konfiguracji sesji. Więcej informacji o tworzeniu niestandardowych konfiguracji sesji można znaleźć w about_Session_Configuration_Files.
Cmdlets Windows PowerShell Web Access obsługują jeden znak dziki, gwiazdkę ( * ). Znaki dzikie w ciągu znaków nie są obsługiwane; Używaj jednej gwiazdki dla każdej właściwości (użytkowników, komputerów lub konfiguracji sesji).
Uwaga / Notatka
Aby dowiedzieć się więcej o sposobach wykorzystania reguł autoryzacji do przyznawania dostępu użytkownikom i zabezpieczania środowiska dostępu do sieci Windows PowerShell, zobacz inne przykłady scenariuszy reguł autoryzacji w tym temacie.
Aby dodać restrykcyjną regułę autoryzacji
Wykonaj jedną z następujących czynności, aby otworzyć sesję programu Windows PowerShell z podwyższonym poziomem uprawnień użytkownika.
Na pulpicie systemu Windows kliknij prawym przyciskiem myszy program Windows PowerShell na pasku zadań, a następnie kliknij polecenie Uruchom jako administrator.
Na ekranie startowym Windows kliknij prawym przyciskiem Windows PowerShell, a następnie kliknij Uruchom jako administrator.
Krok opcjonalny Do ograniczania dostępu użytkownika za pomocą konfiguracji sesji:
Sprawdź, czy konfiguracje sesji, których chcesz użyć, już istnieją w twoich regułach.
Jeśli nie zostały jeszcze stworzone, użyj instrukcji tworzenia konfiguracji sesji w about_Session_Configuration_Files.
Ta reguła autoryzacji pozwala konkretnemu użytkownikowi na dostęp do jednego komputera w sieci, do którego zazwyczaj ma dostęp, z dostępem do konkretnej konfiguracji sesji dostosowanej do typowych potrzeb skryptowych i cmdlet użytkownika. Wpisz następujące polecenie, a następnie naciśnij Enter.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- W poniższym przykładzie użytkownik o nazwie JSmith w domenie Contoso otrzymuje dostęp do zarządzania Contoso_214 komputera i korzysta z konfiguracji sesji o nazwie NewAdminsOnly.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlySprawdź, czy reguła została utworzona, uruchamiając cmdlet Get-PswaAuthorizationRule lub
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>. Na przykładTest-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Aby usunąć regułę autoryzacji
Jeśli sesja Windows PowerShell nie jest jeszcze otwarta, zobacz krok 1 , aby dodać restrykcyjną regułę autoryzacji w tej sekcji.
Wpisz następujące, a następnie naciśnij Enter, gdzie ID reguły oznacza unikalny numer ID reguły, którą chcesz usunąć.
Remove-PswaAuthorizationRule -ID <rule ID>Alternatywnie, jeśli nie znasz numeru ID, ale znasz przyjazną nazwę reguły, którą chcesz usunąć, możesz uzyskać nazwę reguły i przesłać ją do cmdletu
Remove-PswaAuthorizationRule, aby usunąć regułę, jak pokazano w następującym przykładzie:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Uwaga / Notatka
Nie jesteś proszony o potwierdzenie, czy chcesz usunąć określoną regułę autoryzacji; reguła zostaje usunięta po naciśnięciu Enter. Upewnij się, że chcesz usunąć regułę autoryzacji przed uruchomieniem Remove-PswaAuthorizationRule cmdletu.
Inne przykłady scenariuszy reguł autoryzacji
Każda sesja Windows PowerShell korzysta z konfiguracji sesji; jeśli nie jest określony dla sesji, Windows PowerShell używa domyślnej, wbudowanej konfiguracji sesji Windows PowerShell, zwanej Microsoft.PowerShell. Domyślna konfiguracja sesji obejmuje wszystkie cmdlety dostępne na komputerze. Administratorzy mogą ograniczyć dostęp do wszystkich komputerów, definiując konfigurację sesji z ograniczoną przestrzenią działania (ograniczonym zakresem cmdletów i zadań, które mogą wykonywać ich użytkownicy końcowi). Użytkownik, który otrzyma dostęp do jednego komputera z pełnym systemem językowym lub tylko z CMDLETS zdalnego zarządzania Windows PowerShell, może połączyć się z innymi komputerami podłączonymi do pierwszego komputera. Zdefiniowanie ograniczonej przestrzeni działania może uniemożliwić użytkownikom dostęp do innych komputerów z ich dozwolonej przestrzeni działania Windows PowerShell i poprawić bezpieczeństwo środowiska dostępu do sieci Windows PowerShell. Konfiguracja sesji może być dystrybuowana (za pomocą polityki grupowej) na wszystkie komputery, które administratorzy chcą udostępnić za pomocą Windows PowerShell Web Access. Aby uzyskać więcej informacji na temat konfiguracji sesji, zobacz about_Session_Configurations. Poniżej przedstawiono kilka przykładów tego scenariusza.
Administrator tworzy punkt końcowy, zwany PswaEndpoint, z ograniczoną przestrzenią działania. Następnie administrator tworzy regułę
*,*,PswaEndpoint, i rozdziela punkt końcowy na inne komputery. Reguła pozwala wszystkim użytkownikom na dostęp do wszystkich komputerów z końcowym PswaEndpoint. Jeśli jest to jedyna reguła autoryzacji zdefiniowana w zbiorze reguł, komputery bez tego punktu końcowego nie będą dostępne.Administrator stworzył endpoint z ograniczonym obszarem działania o nazwie PswaEndpoint i chce ograniczyć dostęp do konkretnych użytkowników. Administrator tworzy grupę użytkowników o nazwie Level1Support i definiuje następującą regułę: Level1Support,*,PswaEndpoint. Reguła ta przyznaje wszystkim użytkownikom w grupie Level1Support dostęp do wszystkich komputerów z konfiguracją PswaEndpoint . Podobnie dostęp może być ograniczony do konkretnego zestawu komputerów.
Niektórzy administratorzy dają wybranym użytkownikom większy dostęp niż inni. Na przykład administrator tworzy dwie grupy użytkowników: Admins i BasicSupport. Administrator tworzy także endpoint z ograniczoną przestrzenią działania o nazwie PswaEndpoint i definiuje następujące dwie reguły: Admins,*,* oraz BasicSupport,*,PswaEndpoint. Pierwsza reguła zapewnia wszystkim użytkownikom w grupie Admin dostęp do wszystkich komputerów, a druga daje wszystkim użytkownikom w grupie BasicSupport dostęp tylko do tych komputerów z PswaEndpoint.
Administrator utworzył prywatne środowisko testowe i chce umożliwić wszystkim autoryzowanym użytkownikom sieci dostęp do wszystkich komputerów w sieci, do których zazwyczaj mają dostęp, z dostępem do wszystkich konfiguracji sesji, do których zazwyczaj mają dostęp. Ponieważ jest to prywatne środowisko testowe, administrator tworzy regułę autoryzacji, która nie jest bezpieczna. - Administrator uruchamia cmdlet
Add-PswaAuthorizationRule * * *, który używa znaku * dzikego do reprezentowania wszystkich użytkowników, wszystkich komputerów i wszystkich konfiguracji. - Ta reguła jest odpowiednikiem następującego:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Uwaga / Notatka
Ta reguła nie jest zalecana w bezpiecznym środowisku i omija warstwę reguł autoryzacji zapewnianą przez Windows PowerShell Web Access.
Administrator musi umożliwić użytkownikom łączenie się z docelowymi komputerami w środowisku obejmującym zarówno grupy robocze, jak i domeny, gdzie komputery grupowe są czasami używane do łączenia się z docelowymi w domenach, a komputery w domenach czasami do łączenia się z docelowymi komputerami w grupach roboczych. Administrator ma serwer bramowy, PswaServer, w grupie roboczej; a srv1.contoso.com komputera docelowego znajduje się w danej dziedzinie. Użytkownik Chris jest autoryzowanym użytkownikiem lokalnym zarówno na serwerze bramy grupy roboczej, jak i na komputerze docelowym. Jego nazwa użytkownika na serwerze grupy roboczej to chrisLocal; A jego nazwa użytkownika na docelowym komputerze to Contoso\Chris. Aby autoryzować dostęp do srv1.contoso.com dla Chrisa, administrator dodaje następującą zasadę.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Powyższy przykład reguły uwierzytelnia Chrisa na serwerze bramowym, a następnie autoryzuje jego dostęp do srv1. Na stronie logowania Chris musi podać drugi zestaw danych uwierzytelniających w obszarze Opcjonalne ustawienia połączenia (contoso\chris). Serwer bramowy wykorzystuje dodatkowy zestaw danych uwierzytelniających do uwierzytelnienia go na docelowym komputerze, srv1.contoso.com.
W poprzednim scenariuszu Windows PowerShell Web Access ustanawia skuteczne połączenie z docelowym komputerem dopiero po pomyślnym wykonaniu następującego procesu i dopuszczeniu go przynajmniej przez jedną regułę autoryzacji.
Uwierzytelnianie na serwerze bramy grupy roboczej poprzez dodanie nazwy użytkownika w formacie server_name\user_name do reguły autoryzacji
Uwierzytelnianie na docelowym komputerze za pomocą alternatywnych danych podanych na stronie logowania, w obszarze ustawień połączenia opcjonalnego
Uwaga / Notatka
Jeśli komputery bramowe i docelowe znajdują się w różnych grupach roboczych lub domenach, należy ustanowić relację zaufania między dwoma komputerami grupowymi, obiema domenami lub między grupą roboczą a domeną. Tej relacji nie można skonfigurować za pomocą reguł autoryzacji Windows PowerShell Web Access. Reguły autoryzacji nie definiują relacji zaufania między komputerami; mogą one upoważniać użytkowników jedynie do łączenia się z konkretnymi docelowymi komputerami i konfiguracjami sesji. Więcej informacji o konfiguracji relacji zaufania między różnymi domenami można znaleźć w artykule Tworzenie domen i funduszy leśnych. Aby uzyskać więcej informacji o tym, jak dodać komputery grupy roboczej do listy zaufanych hostów, zobacz Zdalne zarządzanie za pomocą Server Managera.
Używanie jednego zestawu reguł autoryzacji dla wielu lokalizacji
Reguły autoryzacji są przechowywane w pliku XML. Domyślnie nazwa ścieżki pliku XML to $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xml.
Ścieżka do pliku XML reguł autoryzacji jest przechowywana w pliku powwa.config, który znajduje się w .$env:windir\Web\PowershellWebAccess\data Administrator ma elastyczność zmiany odniesienia do domyślnej ścieżki w powwa.config dostosowanym do preferencji lub wymagań. Pozwolenie administratorowi na zmianę lokalizacji pliku pozwala wielu bramom Windows PowerShell Web Access korzystać z tych samych reguł autoryzacji, jeśli taka konfiguracja jest pożądana.
Zarządzanie sesjami
Domyślnie Windows PowerShell Web Access ogranicza użytkownika do trzech sesji jednocześnie. Możesz edytować plik web.config aplikacji webowej w Menedżerze IIS, aby obsługiwać różną liczbę sesji na użytkownika. Ścieżka do pliku web.config to $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Domyślnie serwer sieciowy IIS jest skonfigurowany tak, aby restartować pulę aplikacji w przypadku zmiany jakichkolwiek ustawień. Na przykład pula aplikacji jest ponownie uruchamiana, jeśli zostaną wprowadzone zmiany w pliku web.config . >Ponieważ Windows PowerShell Web Access korzysta ze stanów sesji w pamięci, >użytkownicy zalogowani do sesji Web Access w Windows PowerShell tracą swoje sesje po ponownym uruchomieniu puli aplikacji.
Ustawianie domyślnych parametrów na stronie logowania
Jeśli Twoja brama Windows PowerShell Web Access działa na Windows Server 2012 R2, możesz skonfigurować domyślne wartości dla ustawień wyświetlanych na stronie logowania Windows PowerShell Web Access. Możesz skonfigurować wartości w pliku web.config opisanym w poprzednim akapicie. Domyślne wartości ustawień strony logowania znajdują się w sekcji appSettings pliku web.config; Poniżej znajduje się przykład sekcji appSettings . Ważne wartości dla wielu z tych ustawień są takie same jak dla odpowiadających parametrów w komandorze New-PSSession w Windows PowerShell.
Na przykład klucz, defaultApplicationName jak pokazano w poniższym bloku kodu, to wartość zmiennej preferencji $PSSessionApplicationName na docelowym komputerze.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Przerwy i nieplanowane rozłączenia
Czas wygaśnięcia sesji Windows PowerShell Web Access. W Windows PowerShell Web Access działającym na Windows Server 2012 po 15 minutach nieaktywności sesji wyświetlany jest komunikat o wygaśnięciu czasu gry. Jeśli użytkownik nie odpowie w ciągu pięciu minut od wyświetlenia komunikatu o przerwie czasu, sesja zostaje zakończona, a użytkownik wylogowany z listy. Możesz zmienić okresy przerw na sesje w ustawieniach strony internetowej w Menedżerze IIS.
W Windows PowerShell Web Access działającym na Windows Server 2012 R2, sesje domyślnie się wyłączają po 20 minutach bezczynności. Jeśli użytkownicy zostaną odłączeni od sesji w konsoli internetowej z powodu błędów sieciowych lub innych nieplanowanych wyłączeń lub awarii, a nie dlatego, że sami zamknęli sesje, sesje Windows PowerShell Web Access będą kontynuowane, połączone z docelowymi komputerami, aż upłynie okres przerwy po stronie klienta. Sesja zostaje rozłączona po domyślnych 20 minutach lub po upływie czasu wyznaczonego przez administratora bramy, w zależności od tego, co jest krótsze.
Jeśli serwer bramy działa na Windows Server 2012 R2, Windows PowerShell Web Access pozwala użytkownikom ponownie łączyć się z zapisanymi sesjami w późniejszym czasie, ale gdy błędy sieciowe, nieplanowane wyłączenia lub inne awarie powodują rozłączenie sesji, użytkownicy nie mogą zobaczyć ani ponownie połączyć się z zapisanymi sesjami przed upływem określonego przez administratora bramki okresu przekroczenia czasu.