Pré-requisitos do JEA
Just Enough Administration é um recurso incluído no PowerShell 5.0 e superior. Este artigo descreve os pré-requisitos que devem ser satisfeitos para começar a usar o JEA.
Verifique qual versão do PowerShell está instalada
Para verificar qual versão do PowerShell está instalada em seu sistema, verifique a $PSVersionTable variável em um prompt do Windows PowerShell.
$PSVersionTable.PSVersion
Major Minor Build Revision
----- ----- ----- --------
5 1 14393 1000
O JEA está disponível com o PowerShell 5.0 e superior. Para obter funcionalidade completa, é recomendável instalar a versão mais recente do PowerShell disponível para seu sistema. A tabela a seguir descreve a disponibilidade do JEA no Windows Server:
| Sistema Operativo Servidor | Disponibilidade do JEA |
|---|---|
| Windows Server 2016+ | Pré-instalado |
| Windows Server 2012 R2 | Funcionalidade completa com WMF 5.1 |
| Windows Server 2012 | Funcionalidade completa com WMF 5.1 |
| Windows Server 2008 R2 | Funcionalidadereduzida 1 com WMF 5.1 |
Você também pode usar o JEA em seu computador de casa ou do trabalho:
| Sistema operacional cliente | Disponibilidade do JEA |
|---|---|
| Windows 10 1607+ | Pré-instalado |
| Windows 10 1603, 1511 | Pré-instalado, com funcionalidadereduzida 2 |
| Windows 10 1507 | Não disponível |
| Janelas 8, 8.1 | Funcionalidade completa com WMF 5.1 |
| Windows 7 | Funcionalidadereduzida 1 com WMF 5.1 |
1 O JEA não pode ser configurado para usar contas de serviço gerenciadas por grupo no Windows Server 2008 R2 ou no Windows 7. Contas virtuais e outros recursos JEA são suportados.
2 As seguintes funcionalidades JEA não são suportadas nas versões 1511 e 1603 do Windows 10:
- Executando como uma conta de serviço gerenciada por grupo
- Regras de acesso condicional em configurações de sessão
- A unidade do usuário
- Concedendo acesso a contas de usuário locais
Para obter suporte para esses recursos, atualize o Windows para a versão 1607 (Atualização de aniversário) ou superior.
Instalar o Windows Management Framework
Se você estiver executando uma versão mais antiga do PowerShell, talvez seja necessário atualizar seu sistema com a atualização mais recente do Windows Management Framework (WMF). Para obter mais informações, consulte a documentação da WMF.
É recomendável testar a compatibilidade da carga de trabalho com o WMF antes de atualizar todos os servidores.
Os usuários do Windows 10 devem instalar as atualizações de recursos mais recentes para obter a versão atual do Windows PowerShell.
Habilitar a comunicação remota do PowerShell
A comunicação remota do PowerShell fornece a base sobre a qual o JEA é criado. É necessário garantir que a comunicação remota do PowerShell esteja habilitada e devidamente protegida antes de poder usar o JEA. Para obter mais informações, consulte Segurança do WinRM.
A comunicação remota do PowerShell é habilitada por padrão no Windows Server 2012 e superior. Você pode habilitar a comunicação remota do PowerShell executando o seguinte comando em uma janela elevada do PowerShell.
Enable-PSRemoting
Habilitar o módulo do PowerShell e o log de blocos de script (opcional)
As etapas a seguir habilitam o registro em log para todas as ações do PowerShell em seu sistema. O Registro em Log do Módulo PowerShell não é necessário para o JEA, no entanto, é recomendável ativar o log para garantir que os comandos executados pelos usuários sejam registrados em um local central.
Você pode configurar a política de Log do Módulo PowerShell usando a Política de Grupo.
- Abra o Editor de Diretiva de Grupo Local em uma estação de trabalho ou um Objeto de Diretiva de Grupo no Console de Gerenciamento de Diretiva de Grupo em um Controlador de Domínio Ative Directory
- Navegue até Configuração do Computador\Modelos Administrativos\Componentes do Windows\Windows PowerShell
- Clique duas vezes em Ativar registro de módulo
- Clique em Ativado
- Na seção Opções, clique em Mostrar ao lado de Nomes de módulos
- Digite
*a janela pop-up para registrar comandos de todos os módulos. - Clique em OK para definir a política
- Clique duas vezes em Ativar Log de Bloco de Script do PowerShell
- Clique em Ativado
- Clique em OK para definir a política
- (Apenas em máquinas associadas ao domínio) Executar
gpupdateou aguardar até que a Diretiva de Grupo processe a diretiva atualizada e aplique as configurações
Você também pode habilitar a transcrição do PowerShell em todo o sistema por meio da Diretiva de Grupo.
