Настройка управления доступом и разрешениями на уровне пользователей

  • Статья

Область применения: Windows Администратор Center, Windows Администратор Center Preview

Если вы еще не сделали этого, ознакомьтесь с параметрами управления доступом пользователей в Центре Администратор Windows.

Примечание.

В средах рабочей группы или в доменах, не являющихся доверенными, доступ на основе групп в Windows Admin Center не поддерживается.

Определения ролей доступа к шлюзу

Существует две роли для доступа к службе шлюза Windows Admin Center.

Пользователи шлюза могут подключаться к службе шлюза Windows Admin Center, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для аутентификации шлюза.

Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей на шлюзе. Просматривать и настраивать параметры доступа в Windows Admin Center могут только администраторы шлюза. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза Windows Admin Center.

Существует также дополнительная роль, связанная с управлением CredSSP:

Windows Администратор Center CredSSP Администратор istrator зарегистрированы в конечной точке Центра Windows Администратор Center CredSSP и имеют разрешения на выполнение предопределенных операций CredSSP. Эта группа особенно полезна для установки Windows Администратор Center в классическом режиме, где по умолчанию предоставляется только учетная запись пользователя, установленная в Центре Администратор Windows.

Примечание.

Доступ к шлюзу не подразумевает доступ к управляемым серверам, отображаемым шлюзом. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (через переданные учетные данные Windows или учетные данные, предоставленные в сеансе Windows Admin Center с помощью действия Управлять как) с административным доступом к этому целевому серверу. Это связано с тем, что большинство средств Windows Администратор Center требуют административных разрешений для использования.

Active Directory или группы локальных компьютеров

По умолчанию для управления доступом к шлюзу используются Active Directory или группы локальных компьютеров. При наличии домена Active Directory доступом пользователей и администраторов шлюза можно управлять из интерфейса Windows Admin Center.

На вкладке "Пользователи" вы можете управлять доступом к Центру Администратор Windows в качестве пользователя шлюза. По умолчанию, и если не указать группу безопасности, доступ будет иметь любой пользователь, обращающийся к URL-адресу шлюза. После добавления одной или нескольких групп безопасности в список пользователей доступ будет ограничен членами этих групп.

Если в вашей среде не используется домен Active Directory, доступ управляется локальными группами пользователей и Администратор istrators на компьютере шлюза Центра Windows Администратор Центра.

Проверка подлинности смарт-карты

Вы можете принудительно применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карты. После добавления группы безопасности на основе смарт-карты пользователь может получить доступ к службе Windows Admin Center, только если он является членом любой группы безопасности и группы смарт-карты, включенной в список пользователей.

На вкладке Администратор istrators вы можете управлять доступом к Центру Администратор Windows в качестве администратора шлюза. Локальная группа администраторов на компьютере всегда будет иметь полный доступ администратора и ее не можно удалить из списка. Добавляя группы безопасности, вы даете членам этих групп разрешения на изменение параметров шлюза Windows Admin Center. Список администраторов поддерживает проверку подлинности смарт-карты такую же, как и для списка пользователей: с условием AND и для группы безопасности и для группы смарт-карт.

Microsoft Entra ID

Если ваша организация использует идентификатор Microsoft Entra, вы можете добавить дополнительный уровень безопасности в Центр Windows Администратор, требуя проверки подлинности Microsoft Entra для доступа к шлюзу. Чтобы получить доступ к Центру Администратор Windows, учетная запись Windows пользователя также должна иметь доступ к серверу шлюза (даже если используется проверка подлинности Microsoft Entra). При использовании идентификатора Microsoft Entra вы будете управлять разрешениями доступа пользователей и администраторов Центра Windows Администратор Center из портал Azure, а не из пользовательского интерфейса Windows Администратор Center.

Доступ к Центру Администратор Windows при включенной проверке подлинности Microsoft Entra

В зависимости от используемого браузера некоторые пользователи, обращающиеся к Центру Администратор Windows с настроенной проверкой подлинности Microsoft Entra, получат дополнительный запрос из браузера, в котором необходимо предоставить учетные данные учетной записи Windows для компьютера, на котором установлен Центр Администратор Windows. После ввода этих сведений пользователи получат дополнительный запрос проверки подлинности Microsoft Entra, который требует учетных данных учетной записи Azure, предоставленной в приложении Microsoft Entra в Azure.

Примечание.

Пользователи, у которых у учетной записи Windows есть права Администратор istrator на компьютере шлюза, не будут запрашиваться для проверки подлинности Microsoft Entra.

Настройка проверки подлинности Microsoft Entra для Windows Администратор Center Preview

Перейдите в Центр windows Администратор Center Параметры> Access и используйте переключатель переключателя, чтобы включить параметр "Использование идентификатора Записи Майкрософт для добавления уровня безопасности в шлюз". Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это в данный момент.

По умолчанию все члены клиента Microsoft Entra имеют доступ пользователей к службе шлюза Windows Администратор Center. Доступ администратора к шлюзу Windows Admin Center имеют только локальные администраторы на компьютере шлюза. Обратите внимание, что права локальных администраторов на компьютере шлюза не могут быть ограничены. Локальные администраторы могут делать что-либо независимо от того, используется ли идентификатор Microsoft Entra для проверки подлинности.

Если вы хотите предоставить определенным пользователям Microsoft Entra или группам доступа пользователя шлюза или администратора шлюза к службе Центра windows Администратор, необходимо выполнить следующее:

  1. Перейдите в приложение Microsoft Entra Центра Windows Администратор в портал Azure с помощью гиперссылки, предоставленной в Access Параметры. Обратите внимание, что эта гиперссылка доступна только в том случае, если включена проверка подлинности Microsoft Entra.
    • Вы также можете найти приложение в портал Azure, перейдя в приложения>Microsoft Entra ID>Enterprise Для всех приложений и поиска Windows Администратор Center (приложение Microsoft Entra будет называться Windows Администратор Center-gateway< name).> Если результаты поиска не отображаются, убедитесь, что для всех приложений задано значение Show, состояние приложения установлено в любом случае и нажмите кнопку "Применить", а затем попробуйте выполнить поиск. Найдя приложение, перейдите в раздел Пользователи и группы
  2. На вкладке "Свойства" задайте для параметра Требуется назначение пользователей значение "Да". После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы.
  3. На вкладке "Пользователи и группы" выберите Добавить пользователя. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.

После включения проверки подлинности Microsoft Entra служба шлюза перезапускается и необходимо обновить браузер. В любое время вы можете обновить доступ пользователей для приложения SME Microsoft Entra в портал Azure.

Пользователям будет предложено войти с помощью удостоверения Microsoft Entra при попытке получить доступ к URL-адресу шлюза Центра Администратор Windows. Помните, что пользователи также должны быть членами локальных "Пользователей" на сервере шлюза для доступа к центру администрирования Windows Admin Center.

Пользователи и администраторы могут просматривать учетную запись, вошедшего в систему, а также выйти из этой учетной записи Microsoft Entra на вкладке "Учетная запись Windows Администратор Центра Параметры".

Настройка проверки подлинности Microsoft Entra для Центра Администратор Windows

Чтобы настроить проверку подлинности Microsoft Entra, необходимо сначала зарегистрировать шлюз в Azure (это необходимо сделать только один раз для шлюза Центра Windows Администратор). На этом шаге создается приложение Microsoft Entra, из которого можно управлять доступом администратора шлюза и пользователя шлюза.

Если вы хотите предоставить определенным пользователям Microsoft Entra или группам доступа пользователя шлюза или администратора шлюза к службе Центра windows Администратор, необходимо выполнить следующее:

  1. Перейдите в приложение SME Microsoft Entra в портал Azure.
    • При выборе параметра "Изменить управление доступом", а затем выберите идентификатор Microsoft Entra из параметров доступа Центра Администратор Windows, вы можете использовать гиперссылку, указанную в пользовательском интерфейсе, для доступа к приложению Microsoft Entra в портал Azure. Эта гиперссылка также доступна в параметрах Access после выбора сохранения и выбора идентификатора Microsoft Entra в качестве поставщика удостоверений управления доступом.
    • Кроме того, вы можете найти приложение в портал Azure, перейдя в приложения>Microsoft Entra ID>Enterprise Все приложения и выполнив поиск SME (приложение Microsoft Entra будет называться шлюзом> SME).< Если результаты поиска не отображаются, убедитесь, что для всех приложений задано значение Show, состояние приложения установлено в любом случае и нажмите кнопку "Применить", а затем попробуйте выполнить поиск. Найдя приложение, перейдите в раздел Пользователи и группы
  2. На вкладке "Свойства" задайте для параметра Требуется назначение пользователей значение "Да". После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы.
  3. На вкладке "Пользователи и группы" выберите Добавить пользователя. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.

После сохранения управления доступом Microsoft Entra в области управления доступом "Изменить" служба шлюза перезапускается и необходимо обновить браузер. Вы можете обновить доступ пользователей для приложения Microsoft Entra Центра Windows Администратор в портал Azure в любое время.

Пользователям будет предложено войти с помощью удостоверения Microsoft Entra при попытке получить доступ к URL-адресу шлюза Центра Администратор Windows. Помните, что пользователи также должны быть членами локальных "Пользователей" на сервере шлюза для доступа к центру администрирования Windows Admin Center.

С помощью вкладки Azure в Windows Администратор Центра общих параметров пользователи и администраторы могут просматривать учетную запись, вошедшего в систему, а также выходить из этой учетной записи Microsoft Entra.

Условный доступ и многофакторная проверка подлинности

Одним из преимуществ использования идентификатора Microsoft Entra в качестве дополнительного уровня безопасности для управления доступом к шлюзу Центра Windows Администратор является использование мощных функций безопасности Microsoft Entra ID, таких как условный доступ и многофакторная проверка подлинности.

Дополнительные сведения о настройке условного доступа с помощью идентификатора Microsoft Entra.

Настройка единого входа

Единый вход при развертывании в качестве службы в Windows Server

После установки Windows Admin Center в Windows 10 все готово к использованию единого входа. Однако если вы собираетесь использовать Windows Admin Center в Windows Server, то перед использованием единого входа необходимо настроить в среде некоторую форму делегирования Kerberos. Делегирование настраивает компьютер шлюза как доверенный для делегирования к целевому узлу.

Используйте следующий пример PowerShell, чтобы настроить ограниченное делегирование на основе ресурсов в вашей среде. В этом примере показано, как настроить Windows Server [node01.contoso.com] для принятия делегирования из шлюза Windows Admin Center [wac.contoso.com] в домене contoso.com.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Чтобы удалить эту связь, выполните следующий командлет:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Управление доступом на основе ролей (RBAC)

Управление доступом на основе ролей позволяет предоставлять пользователям ограниченный доступ к компьютеру, не делая их полными локальными администраторами. Role-based access control (Управление доступом на основе ролей)

Настройка RBAC состоит из двух шагов: включение поддержки на целевых компьютерах и назначение пользователей соответствующим ролям.

Совет

Убедитесь, что у вас есть права локального администратора на компьютерах, для которых вы настраиваете поддержку управления доступом на основе ролей.

Применение управления доступом на основе ролей к одному компьютеру

Модель развертывания на одном компьютере идеально подходит для простых сред, в которых управление нужно представить только нескольким компьютерам. Настройка компьютера с поддержкой управления доступом на основе ролей приведет к следующим изменениям:

  • Модули PowerShell с функциями, необходимыми для Windows Admin Center, будут установлены на системный диск в C:\Program Files\WindowsPowerShell\Modules. Все модули будут начинаться с Microsoft.Sme
  • Desired State Configuration выполняет одноразовую настройку для конфигурации конечной точки профиля "Достаточно для администрирования" на компьютере с именем Microsoft.Sme.PowerShell. Эта конечная точка определяет три роли, используемые Центром Администратор Windows, и будет работать в качестве временного локального администратора при подключении пользователя к нему.
  • Для управления доступом пользователей к каким ролям будут назначены три новых локальных группы:
    • Администраторы Windows Admin Center
    • Администраторы Hyper-V Windows Admin Center
    • Читатели Windows Admin Center

Примечание.

Управление доступом на основе ролей не поддерживается для управления кластерами (т. е. функции, зависящие от RBAC, например CredSSP, завершаются ошибкой).

Чтобы включить поддержку управления доступом на основе ролей на одном компьютере, выполните следующие действия.

  1. Откройте Windows Admin Center и подключитесь к компьютеру, который нужно настроить для управления доступом на основе ролей, используя на целевом компьютере учетную запись с правами локального администратора.
  2. В средстве обзора выберите элемент управления доступом на основе Параметры> Role.
  3. Выберите "Применить" в нижней части страницы, чтобы включить поддержку управления доступом на основе ролей на целевом компьютере. Процесс приложения включает копирование скриптов PowerShell и вызов конфигурации (с помощью Desired State Configuration PowerShell) на целевом компьютере. Выполнение может занять до 10 минут, и приведет к перезапуску WinRM. Это приведет к временному отключению пользователей Windows Admin Center, PowerShell и WMI.
  4. Обновите страницу, чтобы проверить состояние управления доступом на основе ролей. Когда оно будет готово к использованию, состояние изменится на Применено.

После применения конфигурации вы можете назначить пользователям приведенные ниже роли.

  1. Откройте средство Локальные пользователи и группы и перейдите на вкладку Группы.
  2. Выберите группу Читатели Windows Admin Center.
  3. В области сведений в нижней части выберите "Добавить пользователя" и введите имя пользователя или группы безопасности, которая должна иметь доступ только для чтения к серверу через Центр Windows Администратор. Пользователи и группы могут поступать с локального компьютера или домена Active Directory.
  4. Повторите шаги 2-3 для групп Администраторы Hyper-V Windows Admin Center и Администраторы Windows Admin Center.

Вы также можете последовательно заполнять эти группы по всему домену, настраивая объект групповой политики с помощью параметра Restricted Groups Policy Setting (Настройка политики групп с ограниченным доступом).

Применение управления доступом на основе ролей к нескольким компьютерам

При развертывании на крупном предприятии вы можете использовать существующие средства автоматизации для распространения функции управления доступом на основе ролей на компьютеры, скачав пакет конфигурации со шлюза Windows Admin Center. Пакет конфигурации предназначен для использования с Desired State Configuration PowerShell, но его можно адаптировать для работы с предпочтительным решением для автоматизации.

Скачивание конфигурации управления доступом на основе ролей

Чтобы загрузить пакет конфигурации управления доступом на основе ролей, необходимо иметь доступ к Windows Admin Center и командной строке PowerShell.

Если вы используете шлюз Windows Admin Center в Windows Server в режиме службы, используйте следующую команду, чтобы скачать пакет конфигурации. Не забудьте обновить адрес шлюза, указав подходящий для своей среды.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Если вы используете шлюз Windows Admin Center на компьютере с Windows 10, выполните следующую команду:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

При развертывании ZIP-архива вы увидите следующую структуру папок:

  • InstallJeaFeatures.ps1
  • JustEnoughAdministration (каталог)
  • Модули (каталог)
    • Microsoft.SME.* (каталоги)

Чтобы настроить поддержку управления доступом на основе ролей на узле, необходимо выполнить следующие действия.

  1. Скопируйте модули JustEnough Администратор istration и Microsoft.SME.* в каталог модулей PowerShell на целевом компьютере. Как правило, они расположены в C:\Program Files\WindowsPowerShell\Modules.
  2. Обновите файл InstallJeaFeature.ps1 в соответствии с требуемой конфигурацией для конечной точки RBAC.
  3. Выполните компиляцию InstallJeaFeature.ps1 ресурса DSC.
  4. Разверните конфигурацию DSC на всех компьютерах, чтобы применить ее.

В следующем разделе объясняется, как это сделать с помощью удаленного взаимодействия PowerShell.

Развертывание на нескольких компьютерах

Чтобы развернуть конфигурацию, загруженную на несколько компьютеров, необходимо обновить скрипт InstallJeaFeatures.ps1, чтобы включить соответствующие группы безопасности для среды, скопировать файлы на каждый из компьютеров и вызвать скрипты конфигурации. Для этого можно использовать предпочтительные средства автоматизации, однако в этой статье основное внимание уделяется чистому подходу на основе PowerShell.

По умолчанию скрипт конфигурации будет создавать локальные группы безопасности на компьютере, чтобы управлять доступом к каждой из ролей. Это подходит для компьютеров, присоединенных к рабочей группе и доменам, но если развертывание выполняется в среде только для домена, вам может потребоваться напрямую связать группу безопасности домена с каждой ролью. Чтобы обновить конфигурацию для использования групп безопасности домена, откройте InstallJeaFeatures.ps1 и внесите следующие изменения:

  1. Удалите из файла ресурсы группы 3:
    1. "Группа MS-Readers-Group"
    2. "Группа MS-Hyper-V-Administrators-Group"
    3. "Группа MS-Administrators-Group"
  2. Удаление ресурсов группы 3 из свойства JeaEndpoint DependsOn
    1. "[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group]MS-Administrators-Group"
  3. Измените имена групп в свойстве JeaEndpoint RoleDefinitions на нужные группы безопасности. Например, если у вас есть группа безопасности CONTOSO\MyTrustedAdmins, которой нужно назначить доступ с ролью администраторов Windows Admin Center, измените '$env:COMPUTERNAME\Windows Admin Center Administrators' на 'CONTOSO\MyTrustedAdmins'. Три строки, которые необходимо обновить:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers'

Примечание.

Обязательно используйте уникальные группы безопасности для каждой роли. Если одна и та же группа безопасности назначена нескольким ролям, настройка завершится ошибкой.

Затем в конце файла InstallJeaFeatures.ps1 добавьте в нижнюю часть скрипта следующие строки PowerShell:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Наконец, вы можете скопировать папку с модулями, ресурсом DSC и конфигурацией на каждый целевой узел и запустить скрипт InstallJeaFeature.ps1. Чтобы сделать это удаленно с рабочей станции администратора, можно выполнить следующие команды:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}