Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
Just Enough Administration — это функция, включенная в PowerShell 5.0 и выше. В этой статье описаны предварительные требования, которые должны быть удовлетворены для начала использования JEA.
Проверьте, какая версия PowerShell установлена
Чтобы проверить, какая версия PowerShell установлена в вашей системе, проверьте $PSVersionTable переменную в командной строке Windows PowerShell.
$PSVersionTable.PSVersion
Major Minor Build Revision
----- ----- ----- --------
5 1 14393 1000
JEA доступен в PowerShell 5.0 и более поздних версиях. Для полной функциональности рекомендуется установить последнюю версию PowerShell, доступную для системы. В следующей таблице описывается доступность JEA на Windows Server:
| Операционная система сервера | Доступность JEA |
|---|---|
| Windows Server 2016+ | Предустанавливается |
| Windows Server 2012 R2 | Полная функциональность с WMF 5.1 |
| Windows Server 2012 | Полная функциональность с WMF 5.1 |
| Windows Server 2008 R2 | Сокращенная функциональность1 с WMF 5.1 |
Вы также можете использовать JEA на домашнем или рабочем компьютере:
| Операционная система клиента | Доступность JEA |
|---|---|
| Windows 10 1607+ | Предустанавливается |
| Windows 10 1603, 1511 | Предварительная установка с уменьшенной функциональностью2 |
| Windows 10 1507 | Недоступно |
| Windows 8, 8.1 | Полная функциональность с WMF 5.1 |
| Windows 7 | Сокращенная функциональность1 с WMF 5.1 |
1 JEA нельзя настроить для использования учетных записей служб под управлением группы в Windows Server 2008 R2 или Windows 7. Поддерживаются виртуальные учетные записи и другие функции JEA.
2 Следующие функции JEA не поддерживаются в Windows 10 версии 1511 и 1603:
- Выполнение от имени служебной учетной записи, управляемой группой
- Правила условного доступа в конфигурациях сеансов
- Диск пользователя
- Предоставление доступа к локальным учетным записям пользователей
Чтобы получить поддержку этих функций, обновите Windows до версии 1607 (юбилейное обновление) или более поздней.
Установка Windows Management Framework
Если вы используете старую версию PowerShell, может потребоваться обновить систему с помощью последнего обновления Windows Management Framework (WMF). Дополнительные сведения см. в документации WMF.
Перед обновлением всех серверов рекомендуется проверить совместимость рабочей нагрузки с WMF.
Пользователи Windows 10 должны установить последние обновления компонентов, чтобы получить текущую версию Windows PowerShell.
Включить удаленное взаимодействие PowerShell
Удаленное взаимодействие PowerShell предоставляет собой основу, на которой построена функция JEA. Перед использованием JEA необходимо включить удаленное взаимодействие PowerShell и должным образом защитить его в своей системе. Дополнительные сведения см. в статье "Безопасность WinRM".
Удаленное взаимодействие PowerShell включено по умолчанию в Windows Server 2012 и более поздних версиях. Вы можете включить удаленное управление через PowerShell, выполнив следующую команду в окне PowerShell с повышенными привилегиями.
Enable-PSRemoting
Включение модуля PowerShell и ведения журнала блоков скриптов (необязательно)
Ниже описано, как включить ведение журнала для всех действий PowerShell в системе. Ведение журнала модулей PowerShell не требуется для JEA, однако рекомендуется включить ведение журнала, чтобы убедиться, что команды пользователей фиксируются в центральном расположении.
Политику ведения журнала модулей PowerShell можно настроить с помощью групповой политики.
- Откройте редактор локальной групповой политики на рабочей станции или объект групповой политики в консоли управления групповыми политиками на контроллере домена Active Directory.
- Перейдите в раздел "Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows PowerShell"
- Дважды щелкните "Включить ведение журнала модулей"
- Щелкните "Включено"
- В разделе "Параметры" щелкните Показать рядом с именами модулей.
- Во всплывающем окне введите
*, чтобы записывать команды из всех модулей. - Нажмите кнопку "ОК", чтобы задать политику
- Дважды щёлкните по Включение ведения журнала блоков скриптов PowerShell
- Щелкните "Включено"
- Нажмите кнопку "ОК", чтобы задать политику
- (Только на компьютерах, присоединенных к домену) Запустите
gpupdateили дождитесь, пока групповая политика не обработает обновленную политику и не применит параметры.
Вы также можете включить транскрибирование PowerShell на уровне системы с помощью групповой политики.
Дальнейшие шаги
См. также
- Безопасность WinRM
- PowerShell ♥ синюю команду
Сотрудничайте с нами на GitHub
Исходный код этого содержимого можно найти на GitHub, где вы также можете создавать и просматривать проблемы и запросы на вытягивание. Для получения дополнительной информации см. наше руководство для авторов.
