Поделиться через

Установка и использование Windows PowerShell Web Access

Обновлено: 5 ноября 2013 (редактировано: 23 августа 2017)

Применимо к: Windows Server 2012 R2, Windows Server 2012

Введение

Windows PowerShell Web Access, впервые представленный в Windows Server 2012, выступает в роли шлюза Windows PowerShell, предоставляя веб-консоль Windows PowerShell, ориентированную на удалённый компьютер. Он позволяет IT Pro запускать команды и скрипты Windows PowerShell из консоли Windows PowerShell в веб-браузере, при этом на клиентском устройстве не требуется Windows PowerShell, программное обеспечение удалённого управления или плагин для браузера. Для запуска веб-консоли Windows PowerShell требуется только правильно настроенный шлюз Windows PowerShell Web Access и браузер клиентского устройства, поддерживающий JavaScript и файлы cookie.

Примеры клиентских устройств включают ноутбуки, нерабочие персональные компьютеры, одолженные компьютеры, планшетные компьютеры, веб-киоски, компьютеры без операционной системы на базе Windows и браузеры мобильных телефонов. IT Pro может выполнять критически важные задачи управления на удалённых серверах Windows с устройств, имеющих доступ к Интернету и веб-браузеру.

После успешной настройки и настройки шлюза пользователи могут получить доступ к консоли Windows PowerShell с помощью веб-браузера. Когда пользователи открывают защищённый сайт Windows PowerShell Web Access, они могут запускать веб-консоль Windows PowerShell после успешной аутентификации.

Настройка и настройка Windows PowerShell Web Access — это трёхэтапный процесс:

  1. Установка Windows PowerShell Web Access
  2. Настройка шлюза
  3. Настройте ограничительное правило авторизации

Перед установкой и настройкой Windows PowerShell Web Access мы рекомендуем прочитать это полное руководство, которое включает инструкции по установке, безопасности и удалению Windows PowerShell Web Access. Тема «Использовать веб-платформу Windows PowerShell Console» описывает, как пользователи входят в веб-консоль, а также охватывает ограничения и различия между веб-консолью Windows PowerShell и консольюpowershell.exe. Конечным пользователям веб-консоли следует прочитать «Использовать веб-версию Windows PowerShell Console», но не обязательно читать остальную часть этого руководства.

В данной теме нет подробных рекомендаций по работе с веб-сервером IIS; в этой теме описаны только те шаги, необходимые для настройки шлюза Windows PowerShell Web Access. Для получения дополнительной информации о настройке и защите сайтов в IIS смотрите ресурсы документации IIS в разделе «См. также».

Следующая схема показывает, как работает Windows PowerShell Web Access.

Диаграмма веб-доступа Windows PowerShell

Требования к запуску Windows PowerShell Web Access

Windows PowerShell Web Access требует, чтобы Web Server (IIS), .NET Framework 4.5 и Windows PowerShell 3.0 или Windows PowerShell 4.0 работали на сервере, на котором вы хотите запустить шлюз. Вы можете установить Windows PowerShell Web Access на сервер, на котором работают Windows Server 2012 R2 или Windows Server 2012, используя мастер добавления ролей и функций в Server Manager или командующие команды развертывания Windows PowerShell для Server Manager. Когда вы устанавливаете Windows PowerShell Web Access с помощью Server Manager или его команд развертывания, необходимые роли и функции автоматически добавляются в процессе установки.

Windows PowerShell Web Access позволяет удалёным пользователям получать доступ к компьютерам вашей организации, используя Windows PowerShell в веб-браузере. Хотя Windows PowerShell Web Access — это удобный и мощный инструмент управления, веб-доступ несёт риски безопасности и должен быть настроен максимально безопасно. Мы рекомендуем администраторам, настраивающим шлюз Windows PowerShell Web Access, использовать доступные уровни безопасности, как правила авторизации на основе cmdlet, входящие в Windows PowerShell Web Access, так и уровни безопасности, доступные в Web Server (IIS) и сторонних приложениях. Эта документация включает как небезопасные примеры, рекомендованные только для тестовых сред, так и примеры, рекомендуемые для безопасных развертываний.

Поддержка браузера и клиентских устройств

Windows PowerShell Web Access поддерживает следующие интернет-браузеры. Хотя мобильные браузеры официально не поддерживаются, многие из них могут запускать веб-консоль Windows PowerShell. Ожидается, что другие браузеры, принимающие файлы cookie, запускающие JavaScript и сайты с HTTPS, но официально не проходят тестирование.

Поддерживаемые браузеры настольных компьютеров

  • Windows Internet Explorer для Microsoft Windows 8.0, 9.0, 10.0 и 11.0
  • Mozilla Firefox 10.0.2
  • Google Chrome 17.0.963.56m для Windows
  • Apple Safari 5.1.2 для Windows
  • Apple Safari 5.1.2 для Mac OS

Минимально протестированные мобильные устройства или браузеры

  • Windows Phone 7 и 7.5
  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
  • Apple Safari для операционной системы iPhone 5.0.1
  • Apple Safari для iPad 2, операционная система 5.0.1

Требования к браузеру

Чтобы использовать веб-консоль Windows PowerShell Web Access, браузеры должны выполнять следующее.

  • Разрешить файлы cookie с сайта шлюза Windows PowerShell Web Access.
  • Умейте открывать и читать страницы HTTPS.
  • Открывайте и запускайте сайты, использующие JavaScript.

Вы можете установить шлюз Windows PowerShell Web Access на сервер, на котором работают Windows Server 2012 R2 или Windows Server 2012, используя команды Windows PowerShell или мастер добавления ролей и функций, который открывается внутри Server Manager. Для быстрой установки и настройки используйте команды Windows PowerShell, как описано в этом разделе.

  1. Установка Windows PowerShell Web Access
  2. Настройка шлюза
  3. Настройте ограничительное правило авторизации

Установите Windows PowerShell Web Access с помощью cmdlets PowerShell

Чтобы установить Windows PowerShell Web Access с помощью командослов Windows PowerShell

  1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами.

    • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и нажмите кнопку "Запуск от имени администратора".
    • На экране «Пуск » Windows кликните правой кнопкой мыши по Windows PowerShell, а затем нажмите «Запустить как администратор».

    Замечание

    В Windows PowerShell 3.0 и 4.0 нет необходимости импортировать модуль cmdlet Server Manager в сессию Windows PowerShell перед запуском cmdlet, входящих в модуль. Модуль автоматически импортируется при первом запуске cmdlet, который входит в модуль. Кроме того, cmdlets Windows PowerShell не зависят от регистра.

  2. Введите следующее, затем нажмите Enter, где computer_name представляет удалённый компьютер, на который вы хотите установить Windows PowerShell Web Access, если применимо. Параметр автоматически перезапускает -Restart серверы назначения, если это необходимо.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

    Замечание

    Установка Windows PowerShell Web Access с помощью cmdlets Windows PowerShell по умолчанию не добавляет инструменты управления Web Server (IIS). Если вы хотите установить инструменты управления на том же сервере, что и шлюз Windows PowerShell Web Access, добавьте -IncludeManagementTools параметр в команду установки (как указано на этом шаге). Если вы управляете веб-сайтом Windows PowerShell Web Access с удалённого компьютера, установите IIS Manager Snap-in, установив Remote Server Administration Tools for Windows 8.1 или Remote Server Administration Tools для Windows 8 на тот компьютер, с которого хотите управлять шлюзом.

    Чтобы установить роли и функции на офлайн-VHD, необходимо добавить и параметр-ComputerName, и параметр.-VHD -ComputerName Параметр содержит имя сервера, на который нужно монтировать VHD, а -VHD параметр содержит путь к VHD-файлу на указанном сервере.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

  3. После завершения установки проверьте, был ли Windows PowerShell Web Access установлен на серверах назначения, запустив Get-WindowsFeature cmdlet на сервере назначения в консоли Windows PowerShell, открытой с повышенными правами пользователя. Вы также можете проверить, установлен ли Windows PowerShell Web Access в консоли Server Manager, выбрав сервер-назначения на странице All Servers и затем просмотрев плитку Роли и Функции для выбранного сервера. Вы также можете просмотреть файл readme для Windows PowerShell Web Access.

  4. После установки Windows PowerShell Web Access вам предлагается просмотреть файл readme, который содержит базовые и необходимые инструкции по установке шлюза. Эти инструкции по установке также находятся в следующем разделе «Настройка шлюза». Путь к файлу readme — .C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt

Настройка шлюза

Cmdlet Install-PswaWebApplication — это быстрый способ настроить Windows PowerShell Web Access. Хотя параметр можно добавить UseTestCertificate в Install-PswaWebApplication cmdlet для установки самоподписанного SSL-сертификата для тестов, это не является безопасным; в безопасной производственной среде всегда используйте действительный SSL-сертификат, подписанный сертификационным органом (CA). Администраторы могут заменить тестовый сертификат на подписанный по своему выбору, используя консоль IIS Manager.

Вы можете завершить конфигурацию веб-приложений Windows PowerShell Web Access либо с помощью Install-PswaWebApplication cmdlet, либо выполнив шаги конфигурации на основе графического интерфейса в IIS Manager. По умолчанию cmdlet устанавливает веб-приложение, pswa (и пул приложений для него, pswa_pool), в контейнер Default Web Site, как показано в IIS Manager; Если нужно, вы можете поручить CMDLET изменить стандартный контейнер сайта веб-приложения. IIS Manager предлагает опции конфигурации, доступные для веб-приложений, такие как изменение номера порта или сертификата Secure Sockets Layer (SSL).

Это важно

Мы настоятельно рекомендуем администраторам настроить шлюз на использование действительного сертификата, подписанного CA.

Для настройки шлюза Windows PowerShell Web Access с тестовым сертификатом с помощью Install-PswaWebApplication

  1. Сделайте одно из следующих способов, чтобы открыть сессию Windows PowerShell.

    • На рабочем столе Windows кликните правой кнопкой мыши по Windows PowerShell на панели задач.
    • На стартовом экране Windows нажмите Windows PowerShell.

  2. Введите следующее, а затем нажмите клавишу ВВОД.

    Install-PswaWebApplication -UseTestCertificate

    Это важно

    Параметр UseTestCertificate следует использовать только в частной тестовой среде. Для безопасной производственной среды мы рекомендуем использовать действительный сертификат, подписанный CA.

    Запуск cmdlet устанавливает веб-приложение Windows PowerShell Web Access в контейнер IIS Default Web Site. Cmdlet создаёт инфраструктуру, необходимую для запуска Windows PowerShell Web Access на стандартном сайте. https://<server_name>/pswa Чтобы установить веб-приложение на другом сайте, введите имя сайта, добавив WebSiteName параметр. Чтобы изменить имя веб-приложения (по умолчанию pswa), добавьте параметр WebApplicationName .

    Следующие настройки настраиваются при запуске cmdlet. Вы можете изменить их вручную в консоли IIS Manager, если хотите.

    • Путь: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Пример:Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

    В этом примере полученный веб-сайт Windows PowerShell Web Access — это https://<server_name>/myWebApp.

    Замечание

    Вы не можете войти, пока пользователи не получат доступ к сайту с добавлением правил авторизации. Для получения дополнительной информации см. разделы «Настройка ограничительного правила авторизации » и «Правила авторизации и функции безопасности Windows PowerShell Web Access».

Для настройки шлюза Windows PowerShell Web Access с подлинным сертификатом с помощью Install-PswaWebApplication и IIS Manager

  1. Сделайте одно из следующих способов, чтобы открыть сессию Windows PowerShell.

    • На рабочем столе Windows кликните правой кнопкой мыши по Windows PowerShell на панели задач.
    • На стартовом экране Windows нажмите Windows PowerShell.

  2. Введите следующее, а затем нажмите клавишу ВВОД.

    Install-PswaWebApplication

    Следующие настройки шлюза настраиваются при запуске cmdlet. Вы можете изменить их вручную в консоли IIS Manager, если хотите. Вы также можете задать значения параметров WebsiteName и WebApplicationName cmdlet Install-PswaWebApplication .

    • Путь: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Откройте консоль IIS Manager, выполнив одну из следующих задач.

    • На рабочем столе Windows запустите диспетчер серверов, щелкнув диспетчер серверов на панели задач Windows. В меню Инструменты в Server Manager нажмите Менеджер Internet Information Services (IIS).
    • На экране «Пуск » Windows нажмите «Менеджер серверов».

  4. В панели дерева IIS Manager расширите узел сервера, на котором установлен Windows PowerShell Web Access, пока папка Sites не станет видимой. Расширите папку Sites .

  5. Выберите сайт, на котором вы установили веб-приложение Windows PowerShell Web Access. На панели Действия щелкните Привязки.

  6. В диалоговом окне «Связка сайта » нажмите «Добавить».

  7. В диалоговом окне Add Site Binding в поле Type выберите https.

  8. В поле SSL-сертификата выберите подписанный сертификат в выпадающем меню. Нажмите кнопку ОК. См. раздел «Настроить SSL-сертификат в IIS Manager » в этой теме для получения дополнительной информации о том, как получить сертификат.

    Веб-приложение Windows PowerShell Web Access теперь настроено на использование вашего подписанного SSL-сертификата.

    Доступ к Windows PowerShell Web Access можно открыть https://<server_name>/pswa в окне браузера.

    Замечание

    Вы не можете войти, пока пользователи не получат доступ к сайту с добавлением правил авторизации. Для получения дополнительной информации см. разделы «Настройка ограничительного правила авторизации» в этой теме, а также «Правила авторизации и функции безопасности Windows PowerShell Web Access».

Настройте ограничительное правило авторизации

После установки Windows PowerShell Web Access и настройки шлюза пользователи могут открыть страницу входа в браузере, но не могут войти, пока администратор Windows PowerShell Web Access не предоставит им доступ явно. Контроль доступа к веб-доступу Windows PowerShell управляется с помощью набора командоров Windows PowerShell, описанных в следующей таблице. Не существует сопоставимого графического интерфейса для добавления или управления правилами авторизации. Для получения более подробной информации о командлах Windows PowerShell Web Access см. справочные темы cmdlet, Windows PowerShell Web Access Cmdlets.

Для получения дополнительной информации о правилах авторизации и безопасности Windows PowerShell Web Access см. раздел «Правила авторизации и функции безопасности Windows PowerShell Web Access».

Добавить ограничительное правило авторизации

  1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами.

    • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и нажмите кнопку "Запуск от имени администратора".
    • На экране «Пуск » Windows кликните правой кнопкой мыши по Windows PowerShell, а затем нажмите «Запустить как администратор».

  2. Необязательный шаг для ограничения доступа пользователей с помощью конфигураций сессий: убедитесь, что конфигурации сессий, которые вы хотите использовать в правилах, уже существуют. Если они ещё не созданы, используйте инструкции для создания конфигураций сессий в about_Session_Configuration_Files.

  3. Введите следующее, а затем нажмите клавишу ВВОД.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Это правило авторизации позволяет конкретному пользователю получить доступ к одному компьютеру в сети, к которому он обычно имеет доступ, с доступом к конкретной конфигурации сессии, соответствующей типичным потребностям пользователя в скриптах и cmdlet.

    В следующем примере пользователю, указанному JSmith в Contoso домене, предоставляется доступ к управлению компьютером Contoso_214, и использовать конфигурацию сессии под названием NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Проверьте, что правило создано, запустив либо Get-PswaAuthorizationRule cmdlet, либо Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

    Например: Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

После настройки правила авторизации вы готовы для авторизованных пользователей войти в веб-консоль и начать использовать Windows PowerShell Web Access.

Пользовательское развертывание

Вы можете установить шлюз Windows PowerShell Web Access на сервер, на котором работают Windows Server 2012 R2 или Windows Server 2012, используя мастер добавления ролей и функций в Server Manager. После установки Windows PowerShell Web Access можно настроить конфигурацию шлюза в IIS Manager.

Установите Windows PowerShell Web Access с помощью мастера добавления ролей и функций

  1. Если диспетчер серверов уже открыт, переходите к следующему шагу. Если диспетчер серверов еще не открыт, откройте его одним из следующих способов.

    • На рабочем столе Windows запустите диспетчер серверов, щелкнув диспетчер серверов на панели задач Windows.
    • На экране «Пуск » Windows нажмите «Менеджер серверов».

  2. В меню «Управление » нажмите «Добавить роли и функции».

  3. На странице "Выбор типа установки" выберите установку на основе ролей или компонентов. Нажмите кнопку Далее.

  4. На странице Select destination server выберите сервер из пула серверов или офлайн-VHD. Чтобы выбрать офлайн-VHD в качестве целевого сервера, сначала выберите сервер для монтажа VHD, а затем VHD-файл. Для получения информации о том, как добавить серверы в ваш пул серверов, смотрите справку с менеджером серверов. После выбора сервера назначения нажмите «Далее».

  5. На странице Select features мастера разверните Windows PowerShell, а затем выберите Windows PowerShell Web Access.

  6. Обратите внимание, что вас просят добавить необходимые функции, такие как .NET Framework 4.5 и ролевые сервисы Web Server (IIS). Добавьте необходимые функции и продолжайте.

    Замечание

    Установка Windows PowerShell Web Access с помощью мастера добавления ролей и функций также устанавливает Web Server (IIS), включая прищепку IIS Manager. Snap-in и другие инструменты управления IIS устанавливаются по умолчанию, если вы используете мастер добавления ролей и функций. Если вы установите Windows PowerShell Web Access с помощью cmdlets Windows PowerShell, как описано в следующей процедуре, инструменты управления по умолчанию не добавляются.

  7. На странице «Подтвердить выбор установки», если файлы функций Windows PowerShell Web Access не хранятся на выбранном на шаге 4 сервера, нажмите «Указать альтернативный исходный путь» и укажите путь к файлам функций. В противном случае нажмите «Установить».

  8. После нажатия «Установить» на странице прогресса установки отображаются результаты и сообщения, такие как предупреждения, сбои или шаги настройки после установки, необходимые для Windows PowerShell Web Access. После установки Windows PowerShell Web Access вам предлагается просмотреть файл readme, который содержит базовые и необходимые инструкции по установке шлюза. Эти инструкции также включены в эту тему. Путь к файлу readme — .C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt

Настройка шлюза

Инструкции в этом разделе предназначены для установки веб-приложения Windows PowerShell Web Access в подкаталог, а не в корневую директорию вашего сайта. Эта процедура является GUI-эквивалентом действий, выполняемых Install-PswaWebApplication командором. В этом разделе также приведены инструкции по использованию IIS Manager для настройки шлюза Windows PowerShell Web Access как корневого сайта.

Использовать IIS Manager для настройки шлюза на существующем сайте

  1. Откройте консоль IIS Manager, выполнив одну из следующих задач.

    • На рабочем столе Windows запустите диспетчер серверов, щелкнув диспетчер серверов на панели задач Windows. В меню Инструменты в Server Manager нажмите Менеджер Internet Information Services (IIS).
    • На экране «Пуск » Windows введите любую часть имени Internet Information Services (IIS) Manager. Нажмите на ярлык, когда он отображается в результатах приложений .

  2. Создайте новый пул приложений для Windows PowerShell Web Access. Разверните узел сервера шлюза в панели дерева IIS Manager, выберите Пулы приложений и нажмите Добавить пул приложений в панели действий .

  3. Добавьте новый пул приложений с именем pswa_pool или укажите другое имя. Нажмите кнопку ОК.

  4. В панели дерева IIS Manager расширите узел сервера, на котором установлен Windows PowerShell Web Access, пока папка Sites не станет видимой. Выберите папку Sites .

  5. Кликните правой кнопкой мыши по сайту (например, по умолчанию), куда хотите добавить сайт Windows PowerShell Web Access, а затем нажмите Добавить приложение.

  6. В поле Alias введите pswa или уведите другой псевдоним. Псевдоним становится виртуальным именем каталога. Например, pswa в следующем URL представляет псевдоним, указанный на этом шаге: https://<server-name>/pswa.

  7. В поле пула приложений выберите пул приложений, созданный на шаге 3.

  8. В поле «Физический путь » найдите местоположение приложения. Вы можете использовать стандартное местоположение, $env:windir/Web/PowerShellWebAccess/wwwroot. Нажмите кнопку ОК.

  9. Следуйте шагам в процедуре «Для настройки SSL-сертификата в IIS Manager » в этой теме.

  10. Необязательный шаг безопасности:

    Когда сайт выбран в панели дерева, дважды кликните по SSL Settings в панели содержимого. Выберите «Требовать SSL», а затем в панели «Действия » нажмите «Применить». По желанию, в панели настроек SSL вы можете потребовать, чтобы пользователи подключались к веб-сайту Windows PowerShell Web Access имели сертификаты клиента. Клиентские сертификаты помогают подтвердить личность пользователя клиентского устройства. Для получения дополнительной информации о том, как требование клиентских сертификатов может повысить безопасность Windows PowerShell Web Access, см. раздел «Правила авторизации и функции безопасности Windows PowerShell Web Access» в этом руководстве.

  11. Откройте сессию браузера на клиентском устройстве. Для получения дополнительной информации о поддерживаемых браузерах и устройствах см. раздел «Поддержка браузеров и клиентских устройств » в этой теме.

  12. Откройте новый сайт Windows PowerShell Web Access, https://<gateway-server-name>/pswa.

    Браузер должен отображать страницу входа в консоль Windows PowerShell Web Access.

    Замечание

    Вы не можете войти, пока пользователи не получат доступ к сайту с добавлением правил авторизации. Для получения дополнительной информации см. разделы «Настройка ограничительного правила авторизации» в этой теме, а также «Правила авторизации и функции безопасности Windows PowerShell Web Access».

  13. В сессии Windows PowerShell, открытой с повышенными правами пользователя (Run as Administrator), запустите следующий скрипт, в котором application_pool_name представляет имя пула приложений, созданного на шаге 3, чтобы предоставить пулу приложений доступ к файлу авторизации.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Чтобы просмотреть существующие права доступа к файлу авторизации, выполните следующую команду:

    c:\windows\system32\icacls.exe $authorizationFile

Использовать IIS Manager для настройки шлюза как корневого сайта с тестовым сертификатом

  1. Откройте консоль IIS Manager, выполнив одну из следующих задач.

    • На рабочем столе Windows запустите диспетчер серверов, щелкнув диспетчер серверов на панели задач Windows. В меню Инструменты в Server Manager нажмите Менеджер Internet Information Services (IIS).
    • На экране «Пуск » Windows введите любую часть имени Internet Information Services (IIS) Manager. Нажмите на ярлык, когда он отображается в результатах приложений .

  2. В панели дерева IIS Manager расширите узел сервера, на котором установлен Windows PowerShell Web Access, пока папка Sites не станет видимой. Выберите папку Sites .

  3. В панели действий нажмите «Добавить сайт».

  4. Введите название сайта, например Windows PowerShell Web Access.

  5. Для нового сайта автоматически создаётся пул заявок. Чтобы использовать другой пул приложений, нажмите Select , чтобы выбрать пул приложений для связи с новым сайтом. Выберите альтернативный пул приложений в диалоговом окне «Выбрать пул приложений », затем нажмите OK.

  6. В текстовом поле «Физический путь » перейдите к %windir%/Web/PowerShellWebAccess/wwwroot.

  7. В поле Type в области Binding выберите https.

  8. Присвоите сайт номер порта, который ещё не используется другим сайтом или приложением. Чтобы найти открытые порты, можно запустить команду netstat в окне командной строки. Номер порта по умолчанию — 443.

    Измените порт по умолчанию, если другой сайт уже использует 443 или если у вас есть другие причины безопасности для изменения номера порта. Если другой сайт, работающий на вашем сервере шлюза, использует выбранный вами порт, предупреждение появляется при нажатии OK в диалоговом окне «Добавить сайт ». Для запуска Windows PowerShell Web Access необходимо использовать неиспользуемый порт.

  9. По желанию, если это необходимо для вашей организации, укажите имя хоста, которое имеет смысл для вашей организации и пользователей, например www.contoso.com. Нажмите кнопку ОК.

  10. Для более безопасной производственной среды мы настоятельно рекомендуем предоставить действительный сертификат, подписанный CA. Вы должны предоставить SSL-сертификат, так как пользователи могут подключаться к Windows PowerShell Web Access только через HTTPS-сайт. См. раздел «Настроить SSL-сертификат в IIS Manager » в этой теме для получения дополнительной информации о том, как получить сертификат.

  11. Нажмите OK , чтобы закрыть диалоговое окно «Добавить сайт ».

  12. В сессии Windows PowerShell, открытой с повышенными правами пользователя (Run as Administrator), запустите следующий скрипт, в котором application_pool_name представляет имя пула приложений, созданного на шаге 4, чтобы предоставить пулу приложений доступ к файлу авторизации.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Чтобы просмотреть существующие права доступа к файлу авторизации, выполните следующую команду:

    c:\windows\system32\icacls.exe $authorizationFile

  13. С новым сайтом, выбранным в панели дерева IIS Manager, нажмите «Старт » в панели действий , чтобы запустить сайт.

  14. Откройте сессию браузера на клиентском устройстве. Для получения дополнительной информации о поддерживаемых браузерах и устройствах см. раздел «Поддержка браузеров и клиентских устройств » в этом документе.

  15. Откройте новый веб-сайт Windows PowerShell Web Access.

    Поскольку корневой сайт указывает на папку Windows PowerShell Web Access, браузер должен отображать страницу входа в Windows PowerShell Web Access при открытии https://<gateway_server_name>. Вам не нужно добавлять /pswa в URL.

    Замечание

    Вы не можете войти, пока пользователи не получат доступ к сайту с добавлением правил авторизации. Для получения дополнительной информации см. разделы «Настройка ограничительного правила авторизации» в этой теме, а также «Правила авторизации и функции безопасности Windows PowerShell Web Access».

Настройка правила ограничительной авторизации

После установки Windows PowerShell Web Access и настройки шлюза пользователи могут открыть страницу входа в браузере, но не могут войти, пока администратор Windows PowerShell Web Access не предоставит им доступ явно. Контроль доступа к веб-доступу Windows PowerShell управляется с помощью набора командоров Windows PowerShell, описанных в следующей таблице. Не существует сопоставимого графического интерфейса для добавления или управления правилами авторизации. Для получения более подробной информации о командлах Windows PowerShell Web Access см. справочные темы cmdlet, Windows PowerShell Web Access Cmdlets.

Для получения дополнительной информации о правилах авторизации и безопасности Windows PowerShell Web Access см. раздел «Правила авторизации и функции безопасности Windows PowerShell Web Access».

Добавление ограничительного правила авторизации

  1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами.

    • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и нажмите кнопку "Запуск от имени администратора".
    • На экране «Пуск » Windows кликните правой кнопкой мыши по Windows PowerShell, а затем нажмите «Запустить как администратор».

  2. Необязательный шаг для ограничения доступа пользователя с помощью конфигураций сессий:

    Проверьте, что конфигурации сессий, которые вы хотите использовать в своих правилах, уже существуют. Если они ещё не созданы, используйте инструкции для создания конфигураций сессий в about_Session_Configuration_Files.

  3. Введите следующее, а затем нажмите клавишу ВВОД.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Это правило авторизации позволяет конкретному пользователю получить доступ к одному компьютеру в сети, к которому он обычно имеет доступ, с доступом к конкретной конфигурации сессии, соответствующей ™типичным потребностям пользователя в скриптах и cmdlet.

    В следующем примере пользователю, указанному JSmith в Contoso домене, предоставляется доступ к управлению компьютером Contoso_214, и использовать конфигурацию сессии под названием NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Проверьте, что правило создано, запустив либо Get-PswaAuthorizationRule cmdlet, либо Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

    Например: Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

    После настройки правила авторизации вы готовы для авторизованных пользователей войти в веб-консоль и начать использовать Windows PowerShell Web Access.

Настройте подлинный сертификат

Для безопасной производственной среды всегда используйте действующий SSL-сертификат, подписанный сертификационным органом (CA). Процедура в этом разделе описывает, как получить и применить действительный SSL-сертификат от CA.

Для настройки SSL-сертификата в IIS Manager

  1. В панели дерева IIS Manager выберите сервер, на котором установлен Windows PowerShell Web Access.

  2. В панели контента дважды кликните «Сертификаты сервера».

  3. В панели «Действия » выполните одно из следующих действий. Для получения дополнительной информации о конфигурировании серверных сертификатов в IIS см. раздел Configuring Server Certificates в IIS 7.

    • Нажмите «Импортировать », чтобы импортировать существующий действительный сертификат из места в вашей сети.

    • Нажмите «Создать запрос на сертификат », чтобы запросить сертификат у CA, такого как VeriSign, Thawte или GeoTrust. Общее название сертификата должно совпадать с заголовком хоста в запросе.

      Например, если клиентский браузер запрашивает https://www.contoso.com/, то распространённое имя также должно быть https://www.contoso.com/. Это самый безопасный и рекомендуемый вариант для предоставления сертификата шлюзу Windows PowerShell Web Access.

    • Нажмите «Создать сертификат Self-Signed », чтобы создать сертификат, который можно использовать сразу и подписать позже, если захотите. Укажите удобное название для самоподписанного сертификата, например Windows PowerShell Web Access. Этот вариант не считается безопасным и рекомендуется только для частной тестовой среды.

  4. После создания или получения сертификата выберите сайт, к которому он применяется (например, Default Web Website) в панели дерева IIS Manager, а затем нажмите Bindings в панели действий .

  5. В диалоговом окне Add Site Binding добавьте https-привязку для сайта, если она ещё не отображается. Если вы не используете самоподписанный сертификат, укажите имя хоста на шаге 3 этой процедуры. Если вы используете самоподписанный сертификат, этот шаг не требуется.

  6. Выберите сертификат, который вы получили или создали на этапе 3 этой процедуры, затем нажмите OK.

Использование веб-консоли Windows PowerShell

После установки Windows PowerShell Web Access и завершения конфигурации шлюза, как описано в этой теме, веб-консоль Windows PowerShell готова к использованию. Для получения дополнительной информации о начале работы в веб-консоли см. раздел «Использовать веб-консоль Windows PowerShell».

См. также

Документация Internet Information Services (IIS) 7.0

Помощь по IIS Manager 7.0

Настройка безопасности веб-серверов (IIS 7)

Ресурсы для развертывания IPsec

  • Last updated on