Pré-requisitos do JEA
O Just Enough Administration é um recurso incluído no PowerShell 5.0 e posterior. Este artigo descreve os pré-requisitos que precisam ser atendidos para começar a usar o JEA.
Verificar qual versão do PowerShell que está instalada
Para verificar qual a versão do PowerShell que está instalada em seu sistema, verifique a variável $PSVersionTable em um prompt do Windows PowerShell.
$PSVersionTable.PSVersion
Major Minor Build Revision
----- ----- ----- --------
5 1 14393 1000
O JEA está disponível no PowerShell 5.0 e posterior. Para obter a funcionalidade completa, é recomendável que você instale a última versão do PowerShell disponível para seu sistema. A tabela a seguir descreve a disponibilidade do JEA no Windows Server:
| Sistema operacional de servidor | Disponibilidade do JEA |
|---|---|
| Windows Server 2016 e posterior | Pré-instalado |
| Windows Server 2012 R2 | Funcionalidade completa com o WMF 5.1 |
| Windows Server 2012 | Funcionalidade completa com o WMF 5.1 |
| Windows Server 2008 R2 | Funcionalidade reduzida1 com WMF 5.1 |
Você também pode usar o JEA no seu computador residencial ou do trabalho:
| Sistema Operacional do Cliente | Disponibilidade do JEA |
|---|---|
| Windows 10 1607+ | Pré-instalado |
| Windows 10 1603, 1511 | Pré-instalado, com funcionalidade reduzida2 |
| Windows 10 1507 | Não disponível |
| Windows 8, 8.1 | Funcionalidade completa com o WMF 5.1 |
| Windows 7 | Funcionalidade reduzida1 com WMF 5.1 |
1 O JEA não pode ser configurado para usar contas de serviço gerenciado de grupo no Windows Server 2008 R2 ou no Windows 7. Há suporte para contas virtuais e outros recursos de JEA.
2 Os seguintes recursos do JEA não têm suporte no Windows 10 versões 1511 e 1603:
- Execução como uma conta de serviço gerenciado de grupo
- Regras de acesso condicional nas configurações de sessão
- A unidade de usuário
- Como permitir acesso às contas de usuário locais
Para obter suporte para esses recursos, atualize o Windows para a versão 1607 (Atualização de Aniversário) ou superior.
Instalar o Windows Management Framework
Se estiver executando uma versão mais antiga do PowerShell, talvez você precise atualizar o sistema com a atualização mais recente do WMF (Windows Management Framework). Para obter mais informações, confira a documentação do WMF.
É recomendável que você teste a compatibilidade da carga de trabalho com o WMF antes de atualizar todos os servidores.
Os usuários do Windows 10 devem instalar as atualizações mais recentes do recurso para obter a versão atual do Windows PowerShell.
Habilitar a Comunicação Remota do PowerShell
A Comunicação Remota do PowerShell fornece a base na qual o JEA é criado. É necessário garantir que a comunicação remota do PowerShell esteja habilitada e devidamente protegida antes de usar o JEA. Para obter mais informações, confira Segurança do WinRM.
A comunicação remota do PowerShell é habilitada por padrão no Windows Server 2012 e superior. Você pode habilitar a Comunicação Remota do PowerShell executando o seguinte comando em uma janela elevada do PowerShell.
Enable-PSRemoting
Habilitar o módulo do PowerShell e o registro em log de bloco de script (opcional)
As etapas a seguir habilitam o log para todas as ações do PowerShell em seu sistema. O Log de Módulo do PowerShell não é necessário para o JEA; no entanto, é recomendável que você ative o registro em log para garantir que os comandos executados pelos usuários sejam registrados em uma localização central.
Você pode configurar a política de Registro em Log do Módulo do PowerShell usando a Política de Grupo.
- Abra o Editor de Política de Grupo Local em uma estação de trabalho ou um Objeto de Política de Grupo no Console de Gerenciamento de Política de Grupo em um Controlador de Domínio do Active Directory
- Navegue até Configuração do computador\Modelos administrativos\Componentes do Windows\Windows PowerShell
- Clique duas vezes em Ativar o Log de Módulo
- Clique em Habilitado
- Na seção Opções, clique em Mostrar ao lado dos Nomes de Módulo
- Digite
*na janela pop-up para registrar em log os comandos de todos os módulos. - Clique em OK para definir a política
- Clique duas vezes em Ativar Log de Bloco de Script do PowerShell
- Clique em Habilitado
- Clique em OK para definir a política
- (Somente em computadores ingressados no domínio) Execute
gpupdateou aguarde a Política de Grupo processar a política atualizada e aplicar as configurações
Você também pode habilitar transcrição do PowerShell de todo o sistema por meio da Política de Grupo.
