Instalar e Utilizar o Acesso Web ao Windows PowerShell

Atualizado: 5 de novembro de 2013 (Editado: 23 de agosto de 2017)

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Introdução

O Windows PowerShell Web Access, introduzido pela primeira vez no Windows Server 2012, funciona como um gateway Windows PowerShell, fornecendo uma consola Windows PowerShell baseada na web direcionada a um computador remoto. Permite aos profissionais de TI executar comandos e scripts do Windows PowerShell a partir de uma consola Windows PowerShell num navegador web, sem necessidade de instalar Windows PowerShell, software de gestão remota ou plug-ins de navegador no dispositivo cliente. Tudo o que é necessário para correr a consola PowerShell do Windows baseado na web é um gateway Windows PowerShell Web Access devidamente configurado e um navegador de dispositivos cliente que suporte JavaScript e aceite cookies.

Exemplos de dispositivos clientes incluem portáteis, computadores pessoais não operacionais, computadores emprestados, tablets, quiosques web, computadores que não utilizam um sistema operativo Windows e navegadores de telemóveis. Os profissionais de TI podem realizar tarefas críticas de gestão em servidores remotos baseados em Windows a partir de dispositivos que têm acesso a uma ligação à Internet e a um navegador web.

Após a configuração e configuração bem-sucedidas do gateway, os utilizadores podem aceder a uma consola PowerShell do Windows através de um navegador web. Quando os utilizadores abrem o site seguro Windows PowerShell Web Access, podem executar uma consola Windows PowerShell baseada na web após autenticação bem-sucedida.

A configuração e configuração do Windows PowerShell Web Access é um processo de três etapas:

Instalar o Acesso Web ao Windows PowerShell
Configurar o Gateway
Configure uma regra de autorização restritiva

Antes de instalar e configurar o Windows PowerShell Web Access, recomendamos que leia este guia completo, que inclui instruções sobre como instalar, proteger e desinstalar o Windows PowerShell Web Access. O tópico Use the Web-based Windows PowerShell Console descreve como os utilizadores iniciam sessão na consola web e aborda limitações e diferenças entre a consola Windows PowerShell baseada na web e a consolapowershell.exe . Os utilizadores finais da consola web devem ler Use the Web Based Windows PowerShell Console, mas não precisam de ler o resto deste guia.

Este tópico não fornece orientações aprofundadas sobre operações de servidores web do IIS; apenas os passos necessários para configurar o gateway de acesso Web PowerShell do Windows PowerShell são descritos neste tópico. Para mais informações sobre como configurar e proteger websites no IIS, consulte os recursos de documentação do IIS na secção Ver Também.

O diagrama seguinte mostra como funciona o Windows PowerShell Web Access.

Diagrama de Acesso Web do Windows PowerShell

Requisitos para correr o Windows PowerShell Web Access

O Windows PowerShell Web Access requer que o Web Server (IIS), .NET Framework 4.5 e Windows PowerShell 3.0 ou Windows PowerShell 4.0 estejam a correr no servidor onde pretende executar o gateway. Pode instalar o Windows PowerShell Web Access num servidor que esteja a correr Windows Server 2012 R2 ou Windows Server 2012, utilizando o Assistente de Adicionar Papéis e Funcionalidades no Server Manager, ou os cmdlets de implementação do Windows PowerShell para o Server Manager. Quando instala o Windows PowerShell Web Access usando o Server Manager ou os seus comandos de implementação, os papéis e funcionalidades obrigatórios são automaticamente adicionados como parte do processo de instalação.

O Windows PowerShell Web Access permite que utilizadores remotos acedam a computadores da sua organização utilizando o Windows PowerShell num navegador web. Embora o Windows PowerShell Web Access seja uma ferramenta de gestão conveniente e poderosa, o acesso baseado na web representa riscos de segurança e deve ser configurado da forma mais segura possível. Recomendamos que os administradores que configuram o gateway de Acesso Web PowerShell do Windows utilizem as camadas de segurança disponíveis, tanto as regras de autorização baseadas em cmdlets incluídas no Windows PowerShell Web Access, como as camadas de segurança disponíveis em Web Server (IIS) e aplicações de terceiros. Esta documentação inclui tanto exemplos não seguros que são apenas recomendados para ambientes de teste, como exemplos recomendados para implementações seguras.

Suporte para browser e dispositivo cliente

O Windows PowerShell Web Access suporta os seguintes navegadores de Internet. Embora os navegadores móveis não sejam oficialmente suportados, muitos podem conseguir executar a consola PowerShell do Windows, baseada na web. Outros navegadores que aceitam cookies, executam JavaScript e sites HTTPS deverão funcionar, mas não são oficialmente testados.

Navegadores de computadores de secretária suportados

Windows Internet Explorer para Microsoft Windows 8.0, 9.0, 10.0 e 11.0
Mozilla Firefox 10.0.2
Google Chrome 17.0.963.56m para Windows
Apple Safari 5.1.2 para Windows
Apple Safari 5.1.2 para Mac OS

Dispositivos móveis ou navegadores minimamente testados

Windows Phone 7 e 7.5
Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
Apple Safari para iPhone sistema operativo 5.0.1
Apple Safari para iPad 2 sistema operativo 5.0.1

Requisitos do browser

Para utilizar a consola web Windows PowerShell Web Access, os navegadores devem fazer o seguinte.

Permitir cookies do site do gateway Windows PowerShell Web Access.
Ser capaz de abrir e ler páginas HTTPS.
Abrir e gerir sites que usem JavaScript.

Recomendação de desdobramento rápido

Pode instalar o gateway Windows PowerShell Web Access num servidor que esteja a correr Windows Server 2012 R2 ou Windows Server 2012, utilizando os cmdlets do Windows PowerShell ou o Assistente de Adicionar Papéis e Funcionalidades, que é aberto dentro do Server Manager. Para instalação e configuração rápidas, utilize os comandos do Windows PowerShell, conforme descrito nesta secção.

Instalar o Acesso Web ao Windows PowerShell
Configurar o Gateway
Configure uma regra de autorização restritiva

Instalar o Acesso Web do Windows PowerShell usando cmdlets PowerShell

Para instalar o Windows PowerShell Web Access usando cmdlets do Windows PowerShell

Siga um destes procedimentos para abrir uma sessão do Windows PowerShell com direitos de usuário elevados.
- Na área de trabalho do Windows, clique com o botão direito do mouse em Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
- No ecrã Iniciar do Windows, clique com o botão direito em PowerShell do Windows e depois clique em Executar como Administrador.
Observação

No Windows PowerShell 3.0 e 4.0, não é necessário importar o módulo cmdlet Server Manager para a sessão do Windows PowerShell antes de executar os cmdlets que fazem parte do módulo. Um módulo é automaticamente importado na primeira vez que executas um cmdlet que faz parte do módulo. Além disso, os cmdlets do Windows PowerShell não são sensíveis a maiúsculas minúsculas.
Escreva o seguinte e depois pressione Enter, onde computer_name representa um computador remoto onde pretende instalar o Windows PowerShell Web Access, se aplicável. O -Restart parâmetro reinicia automaticamente os servidores de destino, se necessário.

Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

Observação

Instalar o Windows PowerShell Web Access usando os cmdlets do Windows PowerShell não adiciona ferramentas de gestão do Web Server (IIS) por defeito. Se quiser instalar as ferramentas de gestão no mesmo servidor do gateway Windows PowerShell Web Access, adicione o -IncludeManagementTools parâmetro ao comando de instalação (conforme fornecido neste passo). Se estiver a gerir o site Windows PowerShell Web Access a partir de um computador remoto, instale o snap-in do IIS Manager instalando Remote Server Administration Tools para Windows 8.1 ou Remote Server Administration Tools para Windows 8 no computador a partir do qual pretende gerir o gateway.

Para instalar funções e funcionalidades num VHD offline, deve adicionar tanto o -ComputerName parâmetro como o -VHD parâmetro. O -ComputerName parâmetro contém o nome do servidor onde montar o VHD, e o -VHD parâmetro contém o caminho para o ficheiro VHD no servidor especificado.

Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
Quando a instalação estiver concluída, verifique se o Windows PowerShell Web Access foi instalado em servidores de destino, executando o Get-WindowsFeature cmdlet num servidor de destino, numa consola PowerShell do Windows que foi aberta com direitos de utilizador elevados. Também pode verificar se o Windows PowerShell Web Access estava instalado na consola do Server Manager, selecionando um servidor de destino na página de Todos os Servidores e depois visualizando o bloco Roles and Features do servidor selecionado. Também pode visualizar o ficheiro readme do Windows PowerShell Web Access.
Depois de instalar o Windows PowerShell Web Access, é solicitado a rever o ficheiro readme, que contém instruções básicas e obrigatórias de configuração para o gateway. Estas instruções de configuração encontram-se também na secção seguinte, Configurar o Gateway. O caminho para o ficheiro readme é C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Configurar o Gateway

O cmdlet Install-PswaWebApplication é uma forma rápida de configurar o Windows PowerShell Web Access. Embora possa adicionar o UseTestCertificate parâmetro ao Install-PswaWebApplication cmdlet para instalar um certificado SSL auto-assinado para fins de teste, isto não é seguro; para um ambiente de produção seguro, use sempre um certificado SSL válido que tenha sido assinado por uma autoridade certificadora (CA). Os administradores podem substituir o certificado de teste por um certificado assinado à sua escolha utilizando a consola do IIS Manager.

Pode completar a configuração da aplicação web do Windows PowerShell Web Access executando o Install-PswaWebApplication cmdlet ou executando passos de configuração baseados em interface gráfica no IIS Manager. Por defeito, o cmdlet instala a aplicação web, pswa (e um pool de aplicações para ela, pswa_pool), no contentor Default Web Site, conforme mostrado no IIS Manager; Se desejar, pode instruir o cmdlet a alterar o contentor padrão do site da aplicação web. O IIS Manager oferece opções de configuração disponíveis para aplicações web, como alterar o número de porta ou o certificado Secure Sockets Layer (SSL).

Importante

Recomendamos vivamente que os administradores configurem o gateway para usar um certificado válido que tenha sido assinado por uma CA.

Para configurar o gateway Windows PowerShell Web Access com um certificado de teste usando Install-PswaWebApplication

Faça uma das seguintes ações para abrir uma sessão PowerShell do Windows.
- No ambiente de trabalho do Windows, clique com o botão direito em PowerShell do Windows na barra de tarefas.
- No ecrã de Iniciar do Windows, clique em Windows PowerShell.
Digite o seguinte e pressione Enter.

Install-PswaWebApplication -UseTestCertificate

Importante

O UseTestCertificate parâmetro deve ser usado apenas num ambiente de teste privado. Para um ambiente de produção seguro, recomendamos o uso de um certificado válido assinado por uma CA.

A execução do cmdlet instala a aplicação web Windows PowerShell Web Access dentro do contentor IIS Default Web Site. O cmdlet cria a infraestrutura necessária para executar o Windows PowerShell Web Access no site predefinido, https://<server_name>/pswa. Para instalar a aplicação web num site diferente, forneça o nome do site adicionando o WebSiteName parâmetro. Para alterar o nome da aplicação web (o padrão é pswa), adicione o WebApplicationName parâmetro.

As seguintes definições são configuradas ao executar o cmdlet. Podes alterar estes manualmente na consola do Gestor IIS, se assim desejares.
- Caminho: /pswa
- ApplicationPool: pswa_pool
- EnabledProtocols: http
- PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot
Exemplo: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

Neste exemplo, o site resultante para o Windows PowerShell Web Access é https://<server_name>/myWebApp.

Observação

Não pode iniciar sessão até que os utilizadores tenham recebido acesso ao site através da adição de regras de autorização. Para mais informações, consulte configurar uma regra de autorização restritiva e Regras de Autorização e Funcionalidades de Segurança do Windows PowerShell Web Access.

Para configurar o gateway de acesso Web PowerShell do Windows com um certificado genuíno usando o Install-PswaWebApplication e o IIS Manager

Faça uma das seguintes ações para abrir uma sessão PowerShell do Windows.
- No ambiente de trabalho do Windows, clique com o botão direito em PowerShell do Windows na barra de tarefas.
- No ecrã de Iniciar do Windows, clique em Windows PowerShell.
Digite o seguinte e pressione Enter.

Install-PswaWebApplication

As seguintes definições do gateway são configuradas ao executar o cmdlet. Podes alterar estes manualmente na consola do Gestor IIS, se assim desejares. Também pode especificar valores para os WebsiteName parâmetros e WebApplicationName do Install-PswaWebApplication cmdlet.
- Caminho: /pswa
- ApplicationPool: pswa_pool
- EnabledProtocols: http
- PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot
Abra a consola do IIS Manager fazendo uma das seguintes opções.
- Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows. No menu Ferramentas do Gestor de Servidores, clique em Gestor de Serviços de Informação da Internet (IIS).
- No ecrã Iniciar do Windows, clique em Gestor de Servidores.
No painel de árvore do IIS Manager, expanda o nó do servidor onde o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Expanda a pasta Sites .
Selecione o site onde instalou a aplicação web Windows PowerShell Web Access. No painel Ações , clique em Ligações.
Na caixa de diálogo Vinculação de Site , clique em Adicionar.
Na caixa de diálogo Adicionar Ligação de Site , no campo Tipo , selecione https.
No campo do certificado SSL , selecione o seu certificado assinado no menu suspenso. Clique em OK. Consulte Para configurar um certificado SSL no IIS Manager neste tópico para mais informações sobre como obter um certificado.

A aplicação web Windows PowerShell Web Access está agora configurada para usar o seu certificado SSL assinado.

Pode aceder ao Windows PowerShell Web Access abrindo https://<server_name>/pswa numa janela do navegador.

Observação

Não pode iniciar sessão até que os utilizadores tenham recebido acesso ao site através da adição de regras de autorização. Para mais informações, consulte Configurar uma regra de autorização restritiva, neste tópico, e Regras de Autorização e Funcionalidades de Segurança do Acesso Web ao Windows PowerShell.

Configure uma regra de autorização restritiva

Depois de o Windows PowerShell Web Access estar instalado e o gateway configurado, os utilizadores podem abrir a página de início de sessão num navegador, mas não podem iniciar sessão até que o administrador do Windows PowerShell Web Access conceda explicitamente aos utilizadores. O controlo de acesso ao Windows PowerShell Web Access é gerido utilizando o conjunto de cmdlets do Windows PowerShell descritos na tabela seguinte. Não existe uma interface gráfica comparável para adicionar ou gerir regras de autorização. Para informações mais detalhadas sobre os cmdlets de Acesso Web do Windows PowerShell, consulte os tópicos de referência dos cmdlets, Cmdlets de Acesso Web do Windows PowerShell.

Para mais detalhes sobre as regras de autorização e segurança do Windows PowerShell Web Access, consulte Regras de Autorização e Funcionalidades de Segurança do Windows PowerShell Web Access.

Para adicionar uma regra de autorização restritiva

Siga um destes procedimentos para abrir uma sessão do Windows PowerShell com direitos de usuário elevados.
- Na área de trabalho do Windows, clique com o botão direito do mouse em Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
- No ecrã Iniciar do Windows, clique com o botão direito em PowerShell do Windows e depois clique em Executar como Administrador.
Passo opcional para restringir o acesso do utilizador usando configurações de sessão: Verifique se as configurações de sessão que pretende usar nas suas regras já existem. Se ainda não foram criados, use instruções para criar configurações de sessão em about_Session_Configuration_Files.
Digite o seguinte e pressione Enter.

Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

Esta regra de autorização permite a um utilizador específico o acesso a um computador na rede ao qual normalmente tem acesso, com acesso a uma configuração de sessão específica adaptada às necessidades típicas de scripts e cmdlets do utilizador.

No exemplo seguinte, um utilizador nomeado JSmith no Contoso domínio recebe acesso para gerir o computador Contoso_214, e usar uma configuração de sessão chamada NewAdminsOnly.

Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
Verifique se a regra foi criada executando o Get-PswaAuthorizationRule cmdlet, ou Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

Por exemplo, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Depois de configurar uma regra de autorização, está pronto para que os utilizadores autorizados iniciem sessão na consola web e comecem a usar o Windows PowerShell Web Access.

Implementação personalizada

Pode instalar o gateway Windows PowerShell Web Access num servidor que esteja a correr Windows Server 2012 R2 ou Windows Server 2012 usando o Assistente de Adicionar Papéis e Funcionalidades no Server Manager. Depois de instalar o Windows PowerShell Web Access, pode personalizar a configuração do gateway no IIS Manager.

Instalar o Windows PowerShell Web Access usando o Assistente de Adicionar Papéis e Funcionalidades

Se o Gerenciador do Servidor já estiver aberto, vá para a próxima etapa. Se o Gerenciador do Servidor ainda não estiver aberto, abra-o seguindo um destes procedimentos.
- Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows.
- No ecrã Iniciar do Windows, clique em Gestor de Servidores.
No menu Gerir , clique em Adicionar Papéis e Funcionalidades.
Na página Selecionar tipo de instalação , selecione Instalação baseada em função ou recurso. Clique em Next.
Na página Selecionar servidor de destino , selecione um servidor do pool de servidores ou selecione um VHD offline. Para selecionar um VHD offline como servidor de destino, primeiro selecione o servidor onde montar o VHD e depois selecione o ficheiro VHD. Para informações sobre como adicionar servidores ao seu pool de servidores, consulte a Ajuda do Gestor de Servidores. Depois de selecionar o servidor de destino, clique em Próximo.
Na página Selecionar funcionalidades do assistente, expanda o Windows PowerShell e depois selecione Windows PowerShell Web Access.
Note que lhe é pedido adicionar funcionalidades obrigatórias, como o .NET Framework 4.5, e os serviços de função do Web Server (IIS). Adicione as funcionalidades obrigatórias e continue.

Observação

Instalar o Windows PowerShell Web Access através do Assistente de Adicionar Papéis e Funcionalidades também instala o Web Server (IIS), incluindo o snap-in do Gestor IIS. O snap-in e outras ferramentas de gestão do IIS estão instalados por defeito se usares o Assistente de Adicionar Papéis e Funcionalidades. Se instalar o Windows PowerShell Web Access usando os cmdlets do Windows PowerShell conforme descrito no procedimento seguinte, as ferramentas de gestão não são adicionadas por defeito.
Na página Confirmar seleções de instalação , se os ficheiros de funcionalidades do Windows PowerShell Web Access não estiverem armazenados no servidor de destino que selecionou no passo 4, clique em Especificar um caminho de origem alternativo e forneça o caminho para os ficheiros de funcionalidades. Caso contrário, clique em Instalar.
Depois de clicar em Instalar, a página de progresso da instalação mostra o progresso da instalação, resultados e mensagens como avisos, falhas ou passos de configuração pós-instalação necessários para o Acesso Web ao Windows PowerShell. Depois de instalar o Windows PowerShell Web Access, é solicitado a rever o ficheiro readme, que contém instruções básicas e obrigatórias de configuração para o gateway. Estas instruções também estão incluídas neste tópico. O caminho para o ficheiro readme é C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Configurar o gateway

As instruções nesta secção são para instalar a aplicação web Windows PowerShell Web Access num subdiretório e não no diretório raiz do seu site. Este procedimento é o equivalente baseado em interface gráfica das ações realizadas pelo Install-PswaWebApplication cmdlet. Esta secção inclui também instruções sobre como usar o IIS Manager para configurar o gateway Windows PowerShell Web Access como um site raiz.

Para usar o IIS Manager para configurar o gateway num site existente

Abra a consola do IIS Manager fazendo uma das seguintes opções.
- Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows. No menu Ferramentas do Gestor de Servidores, clique em Gestor de Serviços de Informação da Internet (IIS).
- No ecrã de Início do Windows, escreva qualquer parte do nome Gestor de Serviços de Informação da Internet (IIS). Clique no atalho quando aparecer nos resultados da Aplicação .
Crie um novo pool de aplicações para o Windows PowerShell Web Access. Expanda o nó do servidor gateway no painel da árvore do Gestor IIS, selecione Pools de Aplicações e clique em Adicionar Pool de Aplicações no painel de Ações .
Adicione um novo grupo de candidaturas com o nome pswa_pool, ou dê outro nome. Clique em OK.
No painel de árvore do IIS Manager, expanda o nó do servidor onde o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Selecione a pasta Sites .
Clique com o botão direito no site (por exemplo, Site Predefinido) ao qual pretende adicionar o site Windows PowerShell Web Access, e depois clique em Adicionar Aplicação.
No campo Alias , escreve pswa ou fornece outro alias. O pseudónimo torna-se o nome do diretório virtual. Por exemplo, pswa no seguinte URL representa o alias especificado neste passo: https://<server-name>/pswa.
No campo do pool de aplicações , selecione o pool de aplicações que criou no passo 3.
No campo Caminho Físico , procure a localização da aplicação. Pode usar a localização padrão, $env:windir/Web/PowerShellWebAccess/wwwroot. Clique em OK.
Siga os passos do procedimento Para configurar um certificado SSL no IIS Manager neste tópico.
Passo opcional de segurança:

Com o site selecionado no painel de árvore, clique duas vezes em Definições SSL no painel de conteúdo. Selecione Exigir SSL e, no painel de Ações , clique em Aplicar. Opcionalmente, no painel de Definições SSL , pode exigir que os utilizadores que se ligam ao site Windows PowerShell Web Access tenham certificados de cliente. Os certificados do cliente ajudam a verificar a identidade do utilizador do dispositivo cliente. Para mais informações sobre como a exigência de certificados de cliente pode aumentar a segurança do Acesso Web ao Windows PowerShell, consulte Regras de Autorização e Funcionalidades de Segurança do Acesso Web ao Windows PowerShell neste guia.
Abra uma sessão de navegador num dispositivo cliente. Para mais informações sobre navegadores e dispositivos suportados, consulte Suporte a navegadores e dispositivos clientes neste tópico.
Abra o novo site do Windows PowerShell Web Access, https://<gateway-server-name>/pswa.

O navegador deve mostrar a página de início de sessão da consola do Windows PowerShell Web Access.

Observação

Não pode iniciar sessão até que os utilizadores tenham recebido acesso ao site através da adição de regras de autorização. Para mais informações, consulte Configurar uma regra de autorização restritiva, neste tópico, e Regras de Autorização e Funcionalidades de Segurança do Acesso Web ao Windows PowerShell.
Numa sessão PowerShell do Windows que foi aberta com direitos de utilizador elevados (Executar como Administrador), execute o seguinte script, no qual application_pool_name representa o nome do pool de aplicações que criou no passo 3, para dar ao pool de aplicações direitos de acesso ao ficheiro de autorização.
```
$applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
```
Para visualizar os direitos de acesso existentes no ficheiro de autorização, execute o seguinte comando:
```
c:\windows\system32\icacls.exe $authorizationFile
```

Para usar o IIS Manager para configurar o gateway como um site raiz com um certificado de teste

Abra a consola do IIS Manager fazendo uma das seguintes opções.
- Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows. No menu Ferramentas do Gestor de Servidores, clique em Gestor de Serviços de Informação da Internet (IIS).
- No ecrã de Início do Windows, escreva qualquer parte do nome Gestor de Serviços de Informação da Internet (IIS). Clique no atalho quando aparecer nos resultados da Aplicação .
No painel de árvore do IIS Manager, expanda o nó do servidor onde o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Selecione a pasta Sites .
No painel de Ações , clique em Adicionar Website.
Escreva um nome para o site, como Windows PowerShell Web Access.
Um pool de candidaturas é criado automaticamente para o novo site. Para usar um pool de aplicações diferente, clique em Select para selecionar um pool de aplicações a associar ao novo site. Selecione o pool de aplicações alternativas na caixa de diálogo Selecionar Pool de Aplicações e depois clique em OK.
Na caixa de texto Caminho físico , navegue até %windir%/Web/PowerShellWebAccess/wwwroot.
No campo Type da área de Ligação , selecione https.
Atribua um número de porta ao site que não esteja já em uso por outro site ou aplicação. Para localizar portas abertas, podes executar o comando netstat numa janela do Prompt de Comandos. O número de porta padrão é 443.

Muda a porta por defeito se outro site já estiver a usar 443, ou se tiveres outras razões de segurança para alterar o número da porta. Se outro site que esteja a correr no seu servidor gateway estiver a usar a porta selecionada, um aviso é exibido quando clica em OK na caixa de diálogo Adicionar Website . Deve usar uma porta não utilizada para executar o Windows PowerShell Web Access.
Opcionalmente, se necessário para a sua organização, especifique um nome de host que faça sentido para a sua organização e para os utilizadores, como www.contoso.com. Clique em OK.
Para um ambiente de produção mais seguro, recomendamos vivamente fornecer um certificado válido assinado por uma CA. Deve fornecer um certificado SSL, pois os utilizadores só podem ligar-se ao Windows PowerShell Web Access através de um site HTTPS. Consulte Para configurar um certificado SSL no IIS Manager neste tópico para mais informações sobre como obter um certificado.
Clique em OK para fechar a caixa de diálogo Adicionar Website .
Numa sessão Windows PowerShell que foi aberta com direitos elevados de utilizador (Executar como Administrador), execute o seguinte script, no qual application_pool_name representa o nome do pool de aplicações que criou no passo 4, para dar ao pool de aplicações direitos de acesso ao ficheiro de autorização.
```
$applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
```
Para visualizar os direitos de acesso existentes no ficheiro de autorização, execute o seguinte comando:
```
c:\windows\system32\icacls.exe $authorizationFile
```
Com o novo site selecionado no painel de árvore do Gestor IIS, clique em Iniciar no painel de Ações para iniciar o site.
Abra uma sessão de navegador num dispositivo cliente. Para mais informações sobre navegadores e dispositivos suportados, consulte Suporte a navegadores e dispositivos clientes neste documento.
Abra o novo site do Windows PowerShell Web Access.

Como o site raiz aponta para a pasta do Windows PowerShell Web Access, o navegador deve mostrar a página de início de sessão do Windows PowerShell Web Access quando abrir https://<gateway_server_name>. Não deves precisar de adicionar /pswa à URL.

Observação

Não pode iniciar sessão até que os utilizadores tenham recebido acesso ao site através da adição de regras de autorização. Para mais informações, consulte Configurar uma regra de autorização restritiva, neste tópico, e Regras de Autorização e Funcionalidades de Segurança do Acesso Web ao Windows PowerShell.

Configuração de uma regra de autorização restritiva

Para mais detalhes sobre as regras de autorização e segurança do Windows PowerShell Web Access, consulte Regras de Autorização e Funcionalidades de Segurança do Windows PowerShell Web Access.

Adição de uma regra de autorização restritiva

Siga um destes procedimentos para abrir uma sessão do Windows PowerShell com direitos de usuário elevados.
- Na área de trabalho do Windows, clique com o botão direito do mouse em Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
- No ecrã Iniciar do Windows, clique com o botão direito em PowerShell do Windows e depois clique em Executar como Administrador.
Passo opcional para restringir o acesso do utilizador usando configurações de sessão:

Verifica se as configurações de sessão que queres usar nas tuas regras já existem. Se ainda não foram criados, use instruções para criar configurações de sessão em about_Session_Configuration_Files.
Digite o seguinte e pressione Enter.

Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

Esta regra de autorização permite a um utilizador específico o acesso a um computador na rede ao qual normalmente tem acesso, com acesso a uma configuração de sessão específica adaptada às necessidades típicas de scripts e cmdlets do ™utilizador.

No exemplo seguinte, um utilizador nomeado JSmith no Contoso domínio recebe acesso para gerir o computador Contoso_214, e usar uma configuração de sessão chamada NewAdminsOnly.

Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
Verifique se a regra foi criada executando o Get-PswaAuthorizationRule cmdlet ou Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

Por exemplo, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Depois de configurar uma regra de autorização, está pronto para que os utilizadores autorizados iniciem sessão na consola web e comecem a usar o Windows PowerShell Web Access.

Configurar um certificado genuíno

Para um ambiente de produção seguro, utilize sempre um certificado SSL válido que tenha sido assinado por uma autoridade certificadora (CA). O procedimento nesta secção descreve como obter e aplicar um certificado SSL válido de uma CA.

Para configurar um certificado SSL no IIS Manager

No painel de árvore do IIS Manager, selecione o servidor onde o Windows PowerShell Web Access está instalado.
No painel de conteúdo, clique duas vezes em Certificados do Servidor.
No painel de Ações , faça uma das seguintes. Para mais informações sobre a configuração de certificados de servidor no IIS, veja Configurar Certificados de Servidor no IIS 7.
- Clique em Importar para importar um certificado existente e válido a partir de um local na sua rede.
- Clique em Criar Pedido de Certificado para solicitar um certificado a uma CA como a VeriSign, Thawte ou GeoTrust. O nome comum do certificado deve corresponder ao cabeçalho do host no pedido.
  
  Por exemplo, se o navegador cliente solicitar https://www.contoso.com/, então o nome comum também deve ser https://www.contoso.com/. Esta é a opção mais segura e recomendada para fornecer um certificado ao gateway Windows PowerShell Web Access.
- Clique em Criar um Certificado de Self-Signed para criar um certificado que possa usar imediatamente e que possa assinar posteriormente por uma CA, se desejar. Especifique um nome amigável para o certificado auto-assinado, como Windows PowerShell Web Access. Esta opção não é considerada segura e é recomendada apenas para um ambiente de teste privado.
Depois de criar ou obter um certificado, selecione o site ao qual o certificado é aplicado (por exemplo, Site Padrão) no painel de árvore do IIS Manager e depois clique em Vinculações no painel de Ações .
Na caixa de diálogo Adicionar Ligação ao Site , adicione uma ligação https para o site, caso ainda não esteja apresentada. Se não estiver a usar um certificado auto-assinado, especifique o nome do host do passo 3 deste procedimento. Se estiver a usar um certificado auto-assinado, este passo não é obrigatório.
Selecione o certificado que obteve ou criou no passo 3 deste procedimento e depois clique em OK.

Utilização da consola Windows PowerShell baseada na web

Após a instalação do Windows PowerShell Web Access e a configuração do gateway concluída conforme descrito neste tópico, a consola web do Windows PowerShell está pronta para uso. Para mais informações sobre como começar na consola baseada na web, consulte Utilizar a Consola PowerShell do Windows baseada na Web.

Ver também

Documentação dos Serviços de Informação da Internet (IIS) 7.0

Ajuda do IIS Manager 7.0

Configurar a Segurança do Servidor Web (IIS 7)

Recursos de Implementação IPsec

Last updated on 2017-08-23

Partilhar via