Установка и использование Windows PowerShell Web Access

Обновлено: 5 ноября 2013 г. (изменено: 23 августа 2017 г.)

Область применения: Windows Server 2012 R2, Windows Server 2012

Введение

Компонент Windows PowerShell Web Access, впервые представленный в Windows Server 2012, действует как шлюз Windows PowerShell, предоставляя веб-консоль Windows PowerShell для удаленного компьютера. Она позволяет ИТ-специалистам выполнять команды и сценарии Windows PowerShell с консоли Windows PowerShell в веб-браузере без установки Windows PowerShell, программ для удаленного управления или подключаемых модулей браузера, необходимых на устройстве клиента. Для работы веб-консоли Windows PowerShell требуются только правильно настроенный шлюз Windows PowerShell и браузер на устройстве клиента, который поддерживает JavaScript и принимает cookie-файлы.

Примерами клиентских устройств могут служить ноутбуки, персональные компьютеры, не являющиеся служебными, арендованные компьютеры, планшетные компьютеры, веб-киоски, компьютеры без операционной системы на базе Windows и браузеры сотовых телефонов. ИТ-специалисты могут выполнять важные задачи управления на удаленных серверах на базе ОС Windows с устройств, имеющих доступ к Интернету и веб-браузер.

После успешной установки и настройки шлюза пользователи получают доступ к консоли Windows PowerShell с помощью веб-браузера. Пользователи, открывающие защищенный веб-сайт Windows PowerShell, могут запускать веб-консоль Windows PowerShell после успешной проверки подлинности.

Для установки и настройки Windows PowerShell Web Access требуются три шага.

1. Установка Windows PowerShell Web Access
2. Настройка шлюза
3. Настройка ограничивающего правила авторизации

Перед установкой и настройкой Windows PowerShell Web Access рекомендуется внимательно ознакомиться с этим руководством, поскольку здесь содержатся инструкции по установке, удалению и обеспечению безопасности Windows PowerShell Web Access. В разделе Использование веб-консоли Windows PowerShell описан вход пользователей в веб-консоль, представлены ограничения и различия между веб-консолью Windows PowerShell и консолью powershell.exe. Конечным пользователям веб-консоли необходимо ознакомиться со статьей Использование веб-консоли Windows PowerShell, но нет необходимости читать остальное руководство.

В этой статье не приводятся подробные рекомендации по работе с веб-сервером IIS. Описаны только шаги, необходимые для настройки шлюза Windows PowerShell Web Access. Дополнительные сведения о настройке и обеспечении безопасности веб-сайтов в IIS см. в документации по IIS (в разделе "См. также").

Следующая схема демонстрирует работу Windows PowerShell Web Access.

Требования для запуска веб-доступа Windows PowerShell

Для работы Windows PowerShell Web Access необходимо, чтобы веб-сервер (IIS), .NET Framework 4.5 и Windows PowerShell 3.0 или Windows PowerShell 4.0 выполнялись на сервере, на котором предполагается запустить шлюз. Можно установить Windows PowerShell Web Access на сервер под управлением Windows Server 2012 R2 или Windows Server 2012 с помощью мастера добавления ролей и компонентов в диспетчере серверов или командлетов развертывания Windows PowerShell для диспетчера серверов. При установке Windows PowerShell Web Access с помощью диспетчера серверов или командлетов развертывания необходимые роли и компоненты добавляются автоматически в процессе установки.

Windows PowerShell Web Access позволяет удаленным пользователям получать доступ к компьютерам в вашей организации, используя Windows PowerShell в веб-браузере. Хотя Windows PowerShell Web Access является удобным и мощным инструментом управления, доступ через Интернет связан с рисками для безопасности и должен настраиваться с максимально возможной безопасностью. Мы рекомендуем администраторам, настраивающим шлюз Windows PowerShell Web Access, использовать как уровни безопасности, доступные в правилах авторизации на основе командлетов, включаемых в Windows PowerShell Web Access, так и уровни безопасности, доступные в веб-сервере (IIS) и приложениях сторонних производителей. В данную документацию включены как небезопасные примеры, которые рекомендуются только для тестовых сред, так и примеры, рекомендуемые для безопасного развертывания.

Поддержка браузеров и клиентских устройств

Windows PowerShell Web Access поддерживает перечисленные ниже веб-браузеры. Хотя браузеры для мобильных устройств официально не поддерживаются, многие из них могут выполнять веб-консоль Windows PowerShell. Ожидается, что другие браузеры, которые принимают куки-файлы, выполняют JavaScript и выполняют веб-сайты HTTPS, также будут работать, но официально они не протестированы.

Поддерживаемые браузеры для настольных компьютеров

• Windows Internet Explorer для Microsoft Windows 8.0, 9.0, 10.0 и 11.0
• Mozilla Firefox 10.0.2
• Google Chrome 17.0.963.56m для Windows
• Apple Safari 5.1.2 для Windows
• Apple Safari 5.1.2 для Mac OS

Минимально протестированные мобильные устройства или браузеры

• Windows Phone 7 и 7.5
• Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
• Apple Safari для операционной системы 5.0.1 для iPhone
• Apple Safari для операционной системы 5.0.1 для iPad 2

Требования к браузеру

Чтобы использовать веб-консоль Windows PowerShell Web Access, браузеры должны иметь следующие возможности.

• Разрешать файлы cookie с веб-сайта шлюза Windows PowerShell Web Access.
• Открывать и читать HTTPS-страницы.
• Открывать и выполнять веб-сайты, использующие JavaScript.

Рекомендуемая схема быстрого развертывания

Шлюз Windows PowerShell Web Access можно установить на сервер под управлением Windows Server 2012 R2 или Windows Server 2012 с помощью командлетов развертывания Windows PowerShell или мастера добавления ролей и компонентов в диспетчере серверов. Для быстрой установки и настройки воспользуйтесь командлетами Windows PowerShell, как описано в этом разделе.

1. Установка Windows PowerShell Web Access
2. Настройка шлюза
3. Настройка ограничивающего правила авторизации

Установка Windows PowerShell Web Access с помощью командлетов PowerShell

Установка Windows PowerShell Web Access с помощью командлетов Windows PowerShell

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и выберите команду Запустить от имени администратора.
   • На начальном экране Windows щелкните правой кнопкой мыши Windows PowerShell, а затем выберите Запуск от имени администратора.

   Примечание

   В Windows PowerShell 3.0 и 4.0 не нужно импортировать модуль командлета диспетчера серверов в сеанс Windows PowerShell перед запуском командлетов, которые являются частью этого модуля. Модуль автоматически импортируется при первом выполнении командлета, входящего в модуль. Кроме того, командлеты Windows PowerShell не учитывают регистр.

2. Введите следующую команду, а затем нажмите клавишу ВВОД, где computer_name представляет удаленный компьютер, на котором требуется установить Windows PowerShell Web Access, если применимо. Параметр -Restart автоматически перезапускает целевой сервер при необходимости.

   Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

   Примечание

   Установка Windows PowerShell Web Access с помощью командлетов Windows PowerShell не добавляет средства управления веб-сервера (IIS) по умолчанию. Если требуется установить средства управления на тот же сервер, на котором выполняется шлюз Windows PowerShell Web Access, добавьте в команду установки параметр -IncludeManagementTools (как указано в этом шаге). Если управление веб-сайтом Windows PowerShell Web Access осуществляется с удаленного компьютера, установите оснастку "Диспетчер служб IIS", установив Средства удаленного администрирования сервера для Windows 8.1 или Средства удаленного администрирования сервера для Windows 8 на компьютере, с которого будет осуществляться управление шлюзом.

   Чтобы установить роли и компоненты на автономный виртуальный жесткий диск (VHD), необходимо добавить оба параметра, -ComputerName и -VHD . Параметр -ComputerName содержит имя сервера, на котором следует подключить виртуальный жесткий диск, а параметр -VHD — путь к VHD-файлу на указанном сервере.

   Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

3. Когда установка завершена, убедитесь, что Windows PowerShell Web Access установлен на целевых серверах, запустив командлет Get-WindowsFeature на целевом сервере в консоли Windows PowerShell, которая была открыта с повышенными правами пользователя. Можно также проверить установку Windows PowerShell Web Access в консоли диспетчера серверов, выбрав целевой сервер на странице Все серверы, а затем просмотрев плитку Роли и компоненты для выбранного сервера. Можно также просмотреть файл сведений для Windows PowerShell Web Access.

4. После завершения установки Windows PowerShell Web Access выводится приглашение прочитать файл сведений, содержащий основные инструкции по установке шлюза. Эти инструкции по установке приводятся также в следующем разделе Настройка шлюза. Путь к файлу сведений: C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Настройка шлюза

Командлет Install-PswaWebApplication позволяет быстро выполнить настройку Windows PowerShell Web Access. Хотя можно добавить параметр UseTestCertificate в командлет Install-PswaWebApplication , чтобы установить самозаверяющий SSL-сертификат для целей тестирования, это небезопасно. Для безопасной производственной среды всегда используйте действительный SSL-сертификат, подписанный центром сертификации. Администраторы могут заменить тестовый сертификат на подписанный сертификат по своему выбору с помощью консоли "Диспетчер служб IIS".

Вы можете выполнить настройку веб-приложения Windows PowerShell Web Access с помощью командлета Install-PswaWebApplication или процедуры настройки через пользовательский интерфейс диспетчера служб IIS. По умолчанию командлет устанавливает веб-приложение, pswa (и пул приложений для него , pswa_pool), в контейнере веб-сайта по умолчанию , как показано в диспетчере IIS; При необходимости можно указать командлету изменить контейнер сайта по умолчанию для веб-приложения. Диспетчер служб IIS предлагает параметры настройки, доступные для веб-приложений, например, изменение номера порта или SSL-сертификата.

Важно!

Мы настоятельно рекомендуем администраторам настраивать шлюз на использование действительного сертификата, подписанного центром сертификации.

Настройка шлюза Windows PowerShell Web Access с тестовым сертификатом с помощью Install-PswaWebApplication

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач.
   • На экране Пуск Windows щелкните Windows PowerShell.

2. Введите следующую команду и нажмите клавишу ВВОД:

   Install-PswaWebApplication -UseTestCertificate

   Важно!

   Параметр UseTestCertificate следует использовать только в частной тестовой среде. Для безопасной производственной среды мы рекомендуем использовать действительный сертификат, подписанный центром сертификации.

   При выполнении командлета веб-приложение Windows PowerShell Web Access устанавливается в контейнер IIS "Веб-сайт по умолчанию". Этот командлет создает инфраструктуру, необходимую для выполнения Windows PowerShell Web Access на веб-сайте по умолчанию, https://<server_name>/pswa. Чтобы установить веб-приложение на другой веб-сайт, введите имя веб-сайта, добавив параметр WebSiteName . Чтобы изменить имя веб-приложения (по умолчанию pswa), добавьте параметр WebApplicationName .

   Следующие параметры настраиваются при выполнении командлета. Если требуется, вы можете изменить их вручную в консоли "Диспетчер служб IIS".

   • Path: /pswa
   • ApplicationPool: pswa_pool
   • EnabledProtocols: http
   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

   Например: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate.

   В этом примере адрес результирующего сайта для Windows PowerShell Web Access таков: https://<server_name>/myWebApp.

   Примечание

   Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации. Дополнительные сведения см. в разделе Настройка ограничивающего правила авторизации и Правила авторизации и средства безопасности Windows PowerShell Web Access.

Настройка шлюза Windows PowerShell Web Access с подлинным сертификатом с использованием командлета Install-PswaWebApplication и диспетчера IIS

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач.
   • На экране Пуск Windows щелкните Windows PowerShell.

2. Введите следующую команду и нажмите клавишу ВВОД:

   Install-PswaWebApplication

   Следующие параметры шлюза настраиваются при выполнении командлета. Если требуется, вы можете изменить их вручную в консоли "Диспетчер служб IIS". Можно также указать значения параметров WebsiteName и WebApplicationName в командлете Install-PswaWebApplication .

   • Path: /pswa
   • ApplicationPool: pswa_pool
   • EnabledProtocols: http
   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

3. Откройте консоль "Диспетчер служб IIS", выполнив одно из следующих действий.

   • На рабочем столе Windows запустите диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows. В диспетчере серверов откройте меню Сервис и выберите пункт Диспетчер служб IIS.
   • На экране Пуск в Windows выберите Диспетчер серверов.

4. В области дерева диспетчера служб IIS разверните узел для сервера, на котором установлен компонент Windows PowerShell Web Access, и перейдите к папке Сайты. Разверните папку Сайты.

5. Выберите веб-сайт, на котором было установлено веб-приложение Windows PowerShell Web Access. В области Действия щелкните элемент Привязки.

6. В диалоговом окне Привязка сайта нажмите кнопку Добавить.

7. В диалоговом окне Добавление привязки сайта выберите в поле Тип значение https.

8. В поле SSL-сертификат выберите ваш подписанный сертификат в раскрывающемся меню. Нажмите кнопку ОК. Дополнительные сведения о получении сертификата см. в разделе Настройка SSL-сертификата в диспетчере служб IIS в данной статье.

   Теперь веб-приложение Windows PowerShell Web Access настроено для использования вашего подписанного сертификата.

   Чтобы получить доступ к Windows PowerShell Web Access, откройте https://<server_name>/pswa в окне браузера.

   Примечание

   Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации. Дополнительные сведения см. в разделе Настройка ограничивающего правила авторизации в этой статье и Правила авторизации и средства безопасности Windows PowerShell Web Access.

Настройка ограничивающего правила авторизации

После установки Windows PowerShell Web Access и настройки шлюза пользователи могут открывать страницу входа в браузере, но они не могут выполнить вход, пока администратор Windows PowerShell Web Access не предоставит им доступ в явном виде. Управление доступом в Windows PowerShell Web Access осуществляется с помощью набора командлетов Windows PowerShell, описанных в следующей таблице. Нет соответствующего графического пользовательского интерфейса для добавления правил авторизации или управления ими. Дополнительные сведения о командлетах Windows PowerShell Web Access см. в справочных разделах по командлетам Windows PowerShell Web Access Командлеты.

Дополнительные сведения о безопасности и правилах авторизации Windows PowerShell Web Access см. в разделе Правила авторизации и средства безопасности Windows PowerShell Web Access.

Добавление ограничивающего правила авторизации

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и выберите команду Запустить от имени администратора.
   • На начальном экране Windows щелкните правой кнопкой мыши Windows PowerShell, а затем выберите Запуск от имени администратора.

2. Необязательный шаг для ограничения доступа пользователей с помощью конфигураций сеансов: убедитесь, что конфигурации сеансов, которые вы хотите использовать в своих правилах, уже существуют. В противном случае выполните инструкции по созданию конфигураций сеансов, приведенные в статье about_Session_Configuration_Files.

3. Введите следующую команду и нажмите клавишу ВВОД:

   Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

   Это правило авторизации разрешает конкретному пользователю доступ к одному сетевому компьютеру, к которому обычно требуется доступ, с доступом к конкретной конфигурации сеанса, область которого соответствует потребностям пользовательских сценариев и командлетов.

   В следующем примере пользователю с именем JSmith в домене Contoso предоставляется доступ для управления компьютером Contoso_214и использования конфигурации сеанса с именем NewAdminsOnly.

   Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

4. Убедитесь, что правило было создано, выполнив командлет Get-PswaAuthorizationRule или Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>.

   Например, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

После настройки правила авторизации авторизованные пользователи могут выполнить вход в веб-консоль и приступить к использованию Windows PowerShell Web Access.

Настраиваемое развертывание

Шлюз Windows PowerShell Web Access можно установить на сервер под управлением Windows Server 2012 R2 или Windows Server 2012 с помощью мастера добавления ролей и компонентов в диспетчере серверов. После установки Windows PowerShell Web Access можно настроить конфигурацию шлюза в диспетчере IIS.

Установка Windows PowerShell Web Access с помощью мастера добавления ролей и компонентов

1. Если диспетчер серверов уже открыт, переходите к следующему шагу. Если диспетчер серверов еще не открыт, откройте его одним из следующих способов.

   • На рабочем столе Windows запустите диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows.
   • На экране Пуск в Windows выберите Диспетчер серверов.

2. В меню Управление выберите команду Добавить роли и компоненты.

3. На странице Выбор типа установки выберите Установка ролей или компонентов. Щелкните Далее.

4. На странице Выбор целевого сервера выберите сервер из пула серверов или автономный виртуальный жесткий диск. Чтобы выбрать автономный виртуальный жесткий диск в качестве конечного сервера, сначала выберите сервер, на котором будет подключен виртуальный жесткий диск, а затем выберите VHD-файл. Сведения о добавлении серверов в пул серверов см. в справке диспетчера серверов. Выбрав конечный сервер, нажмите кнопку Далее.

5. На странице Выбор компонентов мастера разверните узел Windows PowerShell и выберите Windows PowerShell Web Access.

6. Отметим, что выводится приглашение добавить необходимые компоненты, такие как .NET Framework 4.5 и службы ролей веб-сервера (IIS). Добавьте необходимые компоненты и продолжайте работу.

   Примечание

   При установке Windows PowerShell Web Access с помощью мастера добавления ролей и компонентов также устанавливается веб-сервер (IIS), включая оснастку диспетчера служб IIS. Если используется мастер добавления ролей и компонентов, оснастка и другие средства управления IIS устанавливаются по умолчанию. При установке Windows PowerShell Web Access с помощью командлетов Windows PowerShell, как описано в следующей процедуре, средства управления не устанавливаются по умолчанию.

7. На странице Подтверждение выбранных элементов для установки, если файлы компонентов для Windows PowerShell Web Access не сохраняются на целевом сервере, выбранном на шаге 4, щелкните Указать альтернативный исходный путь и укажите путь к файлам компонентов. В противном случае нажмите кнопку Установить.

8. После щелчка Установить на странице Ход установки отображаются ход выполнения установки, результаты и сообщения, такие как предупреждения, сообщения об ошибках и шаги по настройке после установки, необходимые для Windows PowerShell Web Access. После завершения установки Windows PowerShell Web Access выводится приглашение прочитать файл сведений, содержащий основные инструкции по установке шлюза. Эти инструкции также являются частью этого раздела. Путь к файлу сведений: C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Настройка шлюза

Этот раздел содержит инструкции по установке веб-приложения Windows PowerShell Web Access в подкаталог, а не в корневой каталог веб-сайта. Данная процедура, выполняемая через пользовательский интерфейс, эквивалентна действиям, выполняемым с помощью командлета Install-PswaWebApplication . В раздел также включены инструкции по использованию диспетчера служб IIS для настройки шлюза Windows PowerShell Web Access в качестве корневого веб-сайта.

Использование диспетчера служб IIS для настройки шлюза в существующем веб-сайте

1. Откройте консоль "Диспетчер служб IIS", выполнив одно из следующих действий.

   • На рабочем столе Windows запустите диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows. В диспетчере серверов откройте меню Сервис и выберите пункт Диспетчер служб IIS.
   • На экране Пуск Windows введите любую часть имени Диспетчер Internet Information Services (IIS). Щелкните ярлык, когда он появится в списке результатов Приложения.

2. Создайте новый пул приложений для Windows PowerShell Web Access. Разверните узел сервера шлюза в древовидном представлении диспетчера служб IIS, выберите Пулы приложений и щелкните Добавить пул приложений в области Действия.

3. Добавьте новый пул приложений с именем pswa_pool или укажите другое имя. Нажмите кнопку ОК.

4. В области дерева диспетчера служб IIS разверните узел для сервера, на котором установлен компонент Windows PowerShell Web Access, и перейдите к папке Сайты. Выберите папку Сайты.

5. Щелкните правой кнопкой мыши веб-сайт (например, Веб-сайт по умолчанию), в который следует добавить веб-сайт Windows PowerShell Web Access, а затем выберите команду Добавить приложение.

6. В поле Псевдоним введите pswa или укажите другой псевдоним. Псевдоним становится именем виртуального каталога. Например, pswa в следующем URL-адресе представляет псевдоним, указанный на этом шаге: https://<server-name>/pswa.

7. В поле Пул приложений выберите пул приложений, созданный на шаге 3.

8. В поле Физический путь найдите расположение приложения. Можно также оставить расположение по умолчанию ($env:windir/Web/PowerShellWebAccess/wwwroot). Нажмите кнопку ОК.

9. Выполните шаги, описанные в процедуре Настройка SSL-сертификата в диспетчере служб IIS в данной статье.

10. Необязательный шаг для обеспечения безопасности:

    если веб-сайт выбран в панели дерева, дважды щелкните Параметры SSL в панели содержимого. Выберите Требовать SSL, а затем в области Действия нажмите кнопку Применить. Дополнительно в области Параметры SSL можно потребовать, чтобы пользователи, подключающиеся к веб-сайту Windows PowerShell Web Access, имели клиентские сертификаты. Клиентские сертификаты помогают проверить идентификацию пользователя клиентского устройства. Дополнительные сведения о том, как требование клиентских сертификатов может повысить безопасность Windows PowerShell Web Access, см. в разделе Правила авторизации и средства безопасности Windows PowerShell Web Access в этом руководстве.

11. Откройте сеанс браузера на клиентском устройстве. Дополнительные сведения о поддерживаемых браузерах и устройствах см. в разделе Поддержка браузеров и клиентских устройств в этой статье.

12. Откройте новый веб-сайт Windows PowerShell Web Access — https://<имя_сервера_шлюза>/pswa.

    В браузере должна появиться страница входа в консоль Windows PowerShell Web Access.

    Примечание

    Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации. Дополнительные сведения см. в разделе Настройка ограничивающего правила авторизации в этой статье и Правила авторизации и средства безопасности Windows PowerShell Web Access.

13. В Windows PowerShell сеансе, который был открыт с повышенными правами пользователя (запуск от имени администратора), выполните следующий сценарий, в котором application_pool_name представляет имя пула приложений, созданного на шаге 3, чтобы предоставить пулу приложений права доступа к файлу авторизации.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Чтобы просмотреть права доступа к файлу авторизации, выполните следующую команду:

    c:\windows\system32\icacls.exe $authorizationFile
    

Использование диспетчера служб IIS для настройки шлюза в качестве корневого веб-сайта с тестовым сертификатом

1. Откройте консоль "Диспетчер служб IIS", выполнив одно из следующих действий.

   • На рабочем столе Windows запустите диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows. В диспетчере серверов откройте меню Сервис и выберите пункт Диспетчер служб IIS.
   • На экране Пуск Windows введите любую часть имени Диспетчер Internet Information Services (IIS). Щелкните ярлык, когда он появится в списке результатов Приложения.

2. В области дерева диспетчера служб IIS разверните узел для сервера, на котором установлен компонент Windows PowerShell Web Access, и перейдите к папке Сайты. Выберите папку Сайты.

3. В области Действия щелкните Добавить веб-сайт.

4. Введите имя веб-сайта, например Windows PowerShell Web Access.

5. Автоматически создается пул приложений для нового веб-сайта. Чтобы использовать другой пул приложений, щелкните Выбрать, чтобы выбрать пул приложений, связываемый с новым веб-сайтом. Выберите другой пул приложений в диалоговом окне Выбор пула приложений и нажмите кнопку ОК.

6. В поле Физический путь перейдите к папке %windir%/Web/PowerShellWebAccess/wwwroot.

7. В поле Тип в области Привязка выберите https.

8. Назначьте веб-сайту номер порта, который еще не используется другим сайтом или приложением. Чтобы найти открытые порты, можно выполнить команду netstat в окне командной строки. Номер порта по умолчанию: 443.

   Измените номер порта по умолчанию, если порт 443 уже используется другим веб-сайтом или имеются другие соображения безопасности для изменения номера порта. Если выбранный вами порт используется другим веб-сайтом, который работает на вашем сервере шлюза, при нажатии кнопки ОК в диалоговом окне Добавление веб-сайта выводится предупреждение. Для запуска Windows PowerShell Web Access необходимо использовать неиспользуемый порт.

9. Дополнительно, если требуется для вашей организации, укажите имя узла, имеющего смысл для вашей организации, например www.contoso.com. Нажмите кнопку ОК.

10. Чтобы обезопасить производственную среду, мы настоятельно рекомендуем предоставить действительный сертификат, подписанный центром сертификации. Вы должны предоставить SSL-сертификат, поскольку пользователи могут подключаться к Windows PowerShell Web Access только по протоколу HTTPS. Дополнительные сведения о получении сертификата см. в разделе Настройка SSL-сертификата в диспетчере служб IIS в данной статье.

11. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Добавление веб-сайта.

12. В Windows PowerShell сеансе, который был открыт с повышенными правами пользователя (запуск от имени администратора), выполните следующий сценарий, в котором application_pool_name представляет имя пула приложений, созданного на шаге 4, чтобы предоставить пулу приложений права доступа к файлу авторизации.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Чтобы просмотреть права доступа к файлу авторизации, выполните следующую команду:

    c:\windows\system32\icacls.exe $authorizationFile
    

13. Выбрав новый веб-сайт в древовидном представлении диспетчера служб IIS, щелкните Запуск в области Действия, чтобы запустить веб-сайт.

14. Откройте сеанс браузера на клиентском устройстве. Дополнительные сведения о поддерживаемых браузерах и устройствах см. в разделе Поддержка браузеров и клиентских устройств в данном документе.

15. Откройте новый веб-сайт Windows PowerShell Web Access.

    Так как корневой веб-сайт указывает на папку Windows PowerShell Web Access, если открыть в браузере адрес https://<gateway_server_name>, появится страница входа Windows PowerShell Web Access. Нет необходимости добавлять /pswa в URL-адрес.

    Примечание

    Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации. Дополнительные сведения см. в разделе Настройка ограничивающего правила авторизации в этой статье и Правила авторизации и средства безопасности Windows PowerShell Web Access.

Настройка ограничивающего правила авторизации

После установки Windows PowerShell Web Access и настройки шлюза пользователи могут открывать страницу входа в браузере, но они не могут выполнить вход, пока администратор Windows PowerShell Web Access не предоставит им доступ в явном виде. Управление доступом в Windows PowerShell Web Access осуществляется с помощью набора командлетов Windows PowerShell, описанных в следующей таблице. Нет соответствующего графического пользовательского интерфейса для добавления правил авторизации или управления ими. Дополнительные сведения о командлетах Windows PowerShell Web Access см. в справочных разделах по командлетам Windows PowerShell Web Access Командлеты.

Дополнительные сведения о безопасности и правилах авторизации Windows PowerShell Web Access см. в разделе Правила авторизации и средства безопасности Windows PowerShell Web Access.

Добавление ограничивающего правила авторизации

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и выберите команду Запустить от имени администратора.
   • На начальном экране Windows щелкните правой кнопкой мыши Windows PowerShell, а затем выберите Запуск от имени администратора.

2. Необязательный шаг для ограничения пользовательского доступа путем использования конфигураций сеансов:

   Убедитесь, что конфигурации сеансов, которые требуется использовать в правилах, уже существуют. В противном случае выполните инструкции по созданию конфигураций сеансов, приведенные в статье about_Session_Configuration_Files.

3. Введите следующую команду и нажмите клавишу ВВОД:

   Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

   Это правило авторизации разрешает конкретному пользователю доступ к одному сетевому компьютеру, к которому обычно требуется доступ, с доступом к конкретной конфигурации сеанса, область которого соответствует потребностям пользовательских сценариев и командлетов.

   В следующем примере пользователю с именем JSmith в домене Contoso предоставляется доступ для управления компьютером Contoso_214и использования конфигурации сеанса с именем NewAdminsOnly.

   Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

4. Убедитесь, что правило было создано, выполнив командлет Get-PswaAuthorizationRule или Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

   Например, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

   После настройки правила авторизации авторизованные пользователи могут выполнить вход в веб-консоль и приступить к использованию Windows PowerShell Web Access.

Настройка подлинного сертификата

Для безопасной производственной среды следует всегда использовать действительный сертификат SSL, подписанный центром сертификации (ЦС). В этом разделе описано, как получить и установить действительный SSL-сертификат от центра сертификации.

Настройка SSL-сертификата в диспетчере служб IIS

1. В области дерева диспетчера служб IIS выберите сервер, на котором установлен компонент Windows PowerShell Web Access.

2. В области содержимого дважды щелкните Сертификаты сервера.

3. В области Действия выполните одно из следующих действий. Дополнительные сведения о настройке сертификатов сервера в IIS см. в статье Настройка сертификатов сервера в службах IIS 7.

   • Щелкните Импорт, чтобы импортировать существующий действительный сертификат из расположения в вашей сети.

   • Щелкните "Создать запрос сертификата ", чтобы запросить сертификат из ЦС, например VeriSign, Thawte или GeoTrust. Общее имя сертификата должно совпадать с заголовком узла в запросе.

     Например, если браузер клиента запрашивает https://www.contoso.com/, общим именем также должно быть https://www.contoso.com/. Это самый безопасный и рекомендуемый вариант предоставления сертификата для шлюза Windows PowerShell Web Access.

   • Щелкните Создать самозаверяющий сертификат, чтобы создать сертификат, который можно использовать немедленно, а позже при необходимости подписать в центре сертификации. Введите понятное имя самозаверяющего сертификата, например Windows PowerShell Web Access. Этот вариант не считается безопасным и рекомендуется только для частной тестовой среды.

4. После создания или получения сертификата выберите веб-сайт, к которому применяется сертификат (например, Веб-сайт по умолчанию) в древовидном представлении диспетчера служб IIS, а затем щелкните Привязки в области Действия.

5. В диалоговом окне Добавление привязки сайта добавьте привязку https для сайта, если такая привязка еще не отображается. Если вы не используете самозаверяющий сертификат, укажите имя узла из шага 3 данной процедуры. Если вы используете самозаверяющий сертификат, этот шаг не требуется.

6. Выберите сертификат, полученный или созданный на шаге 3 данной процедуры, и нажмите кнопку ОК.

Использование веб-консоли Windows PowerShell

После установки Windows PowerShell Web Access и завершения настройки шлюза, описанной в этой статье, веб-консоль Windows PowerShell готова к использованию. Дополнительные сведения о начале работы с веб-консолью см. в статье Использование веб-консоли Windows PowerShell.

См. также:

Документация по Internet Information Services (IIS) 7.0

Справка по диспетчеру IIS 7.0

Настройка безопасности веб-сервера (IIS 7)

Ресурсы развертывания IPsec