Installera och använd Windows PowerShell Web Access

Uppdaterad: 5 november 2013 (Redigerad: 23 augusti 2017)

Gäller för: Windows Server 2012 R2, Windows Server 2012

Introduction

Windows PowerShell Web Access, som först introducerades i Windows Server 2012, fungerar som en Windows PowerShell-gateway och tillhandahåller en webbaserad Windows PowerShell-konsol som riktar sig mot en fjärrdator. Det gör det möjligt för IT-proffs att köra Windows PowerShell-kommandon och skript från en Windows PowerShell-konsol i en webbläsare, utan att installation av Windows PowerShell, fjärrhanteringsprogramvara eller webbläsartillägg krävs på klientenheten. Allt som krävs för att köra den webbaserade Windows PowerShell-konsolen är en korrekt konfigurerad Windows PowerShell Web Access-gateway och en klientwebbläsare som stödjer JavaScript och accepterar cookies.

Exempel på klientenheter inkluderar bärbara datorer, persondatorer som inte är för arbete, lånade datorer, surfplattor, webbkiosker, datorer som inte kör ett Windows-baserat operativsystem och webbläsare på mobiltelefoner. IT-proffs kan utföra kritiska hanteringsuppgifter på fjärrstyrda Windows-servrar från enheter som har tillgång till internetanslutning och webbläsare.

Efter lyckad gateway-installation och konfiguration kan användare komma åt en Windows PowerShell-konsol via en webbläsare. När användare öppnar den säkra Windows PowerShell Web Access-webbplatsen kan de köra en webbaserad Windows PowerShell-konsol efter framgångsrik autentisering.

Windows PowerShell Web Access-installation och konfiguration är en trestegsprocess:

1. Installera Windows PowerShell Web Access
2. Konfigurera gatewayen
3. Konfigurera en restriktiv auktorisationsregel

Innan du installerar och konfigurerar Windows PowerShell Web Access rekommenderar vi att du läser hela denna guide, som innehåller instruktioner om hur du installerar, säkrar och avinstallerar Windows PowerShell Web Access. Ämnet Använd den webbaserade Windows PowerShell Console beskriver hur användare loggar in på webbkonsolen och täcker begränsningar och skillnader mellan den webbaserade Windows PowerShell-konsolen ochpowershell.exe-konsolen . Slutanvändare av den webbaserade konsolen bör läsa Use the Web Based Windows PowerShell Console, men behöver inte läsa resten av denna guide.

Detta ämne ger inte djupgående vägledning för driften av IIS-webbservern; endast de steg som krävs för att konfigurera Windows PowerShell Web Access-gateway beskrivs i detta ämne. För mer information om att konfigurera och säkra webbplatser i IIS, se IIS-dokumentationsresurserna i avsnittet Se även.

Följande diagram visar hur Windows PowerShell Web Access fungerar.

Krav för att köra Windows PowerShell Web Access

Windows PowerShell Web Access kräver att Web Server (IIS), .NET Framework 4.5 och Windows PowerShell 3.0 eller Windows PowerShell 4.0 körs på den server där du vill köra gatewayen. Du kan installera Windows PowerShell Web Access på en server som kör Windows Server 2012 R2 eller Windows Server 2012 genom att använda antingen Add Roles and Features Wizard i Server Manager, eller Windows PowerShell-distributions-cmdlets för Server Manager. När du installerar Windows PowerShell Web Access med Server Manager eller dess distributions-cmdlets, läggs nödvändiga roller och funktioner automatiskt till som en del av installationsprocessen.

Windows PowerShell Web Access gör det möjligt för fjärranvändare att komma åt datorer i din organisation genom att använda Windows PowerShell i en webbläsare. Även om Windows PowerShell Web Access är ett bekvämt och kraftfullt hanteringsverktyg, innebär den webbaserade åtkomsten säkerhetsrisker och bör konfigureras så säkert som möjligt. Vi rekommenderar att administratörer som konfigurerar Windows PowerShell Web Access-gateway använder tillgängliga säkerhetslager, både de cmdlet-baserade auktoriseringsreglerna som ingår i Windows PowerShell Web Access och säkerhetslager som finns i Web Server (IIS) och tredjepartsapplikationer. Denna dokumentation inkluderar både osäkra exempel som endast rekommenderas för testmiljöer, samt exempel som rekommenderas för säkra distributioner.

Stöd för webbläsare och klientenheter

Windows PowerShell Web Access stöder följande webbläsare. Även om mobila webbläsare inte är officiellt stödda, kan många köra den webbaserade Windows PowerShell-konsolen. Andra webbläsare som accepterar cookies, kör JavaScript och kör HTTPS-webbplatser förväntas fungera, men är inte officiellt testade.

Stödda webbläsare för stationära datorer

• Windows Internet Explorer för Microsoft Windows 8.0, 9.0, 10.0 och 11.0
• Mozilla Firefox 10.0.2
• Google Chrome 17.0.963.56m för Windows
• Apple Safari 5.1.2 för Windows
• Apple Safari 5.1.2 för Mac OS

Minimalt testade mobila enheter eller webbläsare

• Windows Phone 7 och 7.5
• Google Android WebKit 3.1 Webbläsare Android 2.2.1 (Kärna 2.6)
• Apple Safari för iPhone-operativsystemet 5.0.1
• Apple Safari för iPad 2 operativsystem 5.0.1

Webbläsarkrav

För att använda Windows PowerShell Web Access-konsolen måste webbläsare göra följande.

• Tillåt cookies från Windows PowerShell Web Access-gateway-webbplatsen.
• Kunna öppna och läsa HTTPS-sidor.
• Öppna och kör webbplatser som använder JavaScript.

Rekommenderad snabb utplacering

Du kan installera Windows PowerShell Web Access-gateway på en server som kör Windows Server 2012 R2 eller Windows Server 2012 genom att använda antingen Windows PowerShell-cmdlets, eller genom att använda guiden Add Roles and Features som öppnas i Server Manager. För snabb installation och konfiguration, använd Windows PowerShell-cmdlets, som beskrivs i detta avsnitt.

1. Installera Windows PowerShell Web Access
2. Konfigurera gatewayen
3. Konfigurera en restriktiv auktorisationsregel

Installera Windows PowerShell Web Access med PowerShell-cmdlets

För att installera Windows PowerShell Web Access genom att använda Windows PowerShell-cmdlets

1. Gör något av följande för att öppna en Windows PowerShell-session med utökade användarrättigheter.

   • Högerklicka på Windows PowerShell i aktivitetsfältet på Windows-skrivbordet och klicka sedan på Kör som administratör.
   • På Windows Start-skärmen , högerklicka på Windows PowerShell och klicka sedan på Kör som administratör.

   Anmärkning

   I Windows PowerShell 3.0 och 4.0 finns det inget behov av att importera Server Manager-cmdletmodulen till Windows PowerShell-sessionen innan man kör cmdlets som ingår i modulen. En modul importeras automatiskt första gången du kör en cmdlet som är en del av modulen. Dessutom är Windows PowerShell-cmdlets inte kasuskänsliga.

2. Skriv följande och tryck sedan på Enter, där computer_name representerar en fjärrdator där du vill installera Windows PowerShell Web Access, om det är tillämpligt. Parametern startar -Restart automatiskt om destinationsservrar om det behövs.

   Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

   Anmärkning

   Installation av Windows PowerShell Web Access med Windows PowerShell-cmdlets lägger inte till Web Server (IIS)-hanteringsverktyg som standard. Om du vill installera hanteringsverktygen på samma server som Windows PowerShell Web Access-gatewayen, lägg till parametern -IncludeManagementTools i installationskommandot (som anges i detta steg). Om du hanterar Windows PowerShell Web Access-webbplatsen från en fjärrdator, installera IIS Manager snap-in genom att installera Remote Server Administration Tools för Windows 8.1 eller Remote Server Administration Tools för Windows 8 på den dator du vill hantera gatewayen från.

   För att installera roller och funktioner på en offline-VHD måste du lägga till både parametern -ComputerName och parametern -VHD . Parametern -ComputerName innehåller namnet på servern där VHD:n ska monteras, och parametern -VHD innehåller sökvägen till VHD-filen på den angivna servern.

   Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

3. När installationen är klar, kontrollera att Windows PowerShell Web Access installerats på destinationsservrar genom att köra cmdleten Get-WindowsFeature på en destinationsserver, i en Windows PowerShell-konsol som har öppnats med förhöjda användarrättigheter. Du kan också verifiera att Windows PowerShell Web Access installerats i Server Manager-konsolen genom att välja en destinationsserver på sidan Alla servrar och sedan titta på Roller och Funktioner-tilen för den valda servern. Du kan också se readme-filen för Windows PowerShell Web Access.

4. Efter att Windows PowerShell Web Access är installerad blir du ombedd att granska readme-filen, som innehåller grundläggande, nödvändiga installationsinstruktioner för gatewayen. Dessa installationsinstruktioner finns också i följande avsnitt, Konfigurera gatewayen. Vägen till readme-filen är C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurera gatewayen

Install-PswaWebApplication-cmdleten är ett snabbt sätt att konfigurera Windows PowerShell Web Access. Även om du kan lägga till parametern UseTestCertificate i cmdleten Install-PswaWebApplication för att installera ett självsignerat SSL-certifikat för teständamål, är detta inte säkert; för en säker produktionsmiljö, använd alltid ett giltigt SSL-certifikat som har signerats av en certifieringsmyndighet (CA). Administratörer kan ersätta testcertifikatet med ett signerat certifikat efter eget val genom att använda IIS Manager-konsolen.

Du kan slutföra Windows PowerShell Web Access-konfiguration av webbapplikationen antingen genom att köra cmdleten Install-PswaWebApplication eller genom att utföra GUI-baserade konfigurationssteg i IIS Manager. Som standard installerar cmdleten webbapplikationen, pswa (och en applikationspool för den, pswa_pool), i Default Web Site-containern , som visas i IIS Manager; Om så önskas kan du instruera cmdleten att ändra standardcontainern för webbapplikationen. IIS Manager erbjuder konfigurationsalternativ som finns tillgängliga för webbapplikationer, såsom att ändra portnumret eller Secure Sockets Layer (SSL)-certifikatet.

Viktigt!

Vi rekommenderar starkt att administratörer konfigurerar gatewayen att använda ett giltigt certifikat som har signerats av en CA.

För att konfigurera Windows PowerShell Web Access-gateway med ett testcertifikat genom att använda Install-PswaWebApplication

1. Gör något av följande för att öppna en Windows PowerShell-session.

   • På Windows-skrivbordet, högerklicka på Windows PowerShell i aktivitetsfältet.
   • På Windows Start-skärmen , klicka på Windows PowerShell.

2. Skriv följande och tryck sedan på Retur.

   Install-PswaWebApplication -UseTestCertificate

   Viktigt!

   Parametern UseTestCertificate ska endast användas i en privat testmiljö. För en säker produktionsmiljö rekommenderar vi att använda ett giltigt certifikat som har signerats av en CA.

   Genom att köra cmdleten installeras Windows PowerShell Web Access-webbapplikationen i IIS Default Web Site-containern. Cmdleten skapar infrastrukturen som krävs för att köra Windows PowerShell Web Access på standardwebbplatsen, https://<server_name>/pswa. För att installera webbapplikationen på en annan webbplats, ange webbplatsens namn genom att lägga till parametern WebSiteName . För att ändra namnet på webbapplikationen (standarden är pswa), lägg till parametern WebApplicationName .

   Följande inställningar konfigureras genom att köra cmdleten. Du kan ändra dessa manuellt i IIS Manager-konsolen om du vill.

   • Väg: /pswa
   • ApplicationPool: pswa_pool
   • EnabledProtocols: http
   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

   Exempel: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

   I detta exempel är https://<server_name>/myWebAppden resulterande webbplatsen för Windows PowerShell Web Access .

   Anmärkning

   Du kan inte logga in förrän användarna har fått tillgång till webbplatsen genom att lägga till auktorisationsregler. För mer information, se konfigurera en restriktiv auktorisationsregel och auktorisationsregler och säkerhetsfunktioner i Windows PowerShell Web Access.

För att konfigurera Windows PowerShell Web Access-gateway med ett äkta certifikat genom att använda Install-PswaWebApplication och IIS Manager

1. Gör något av följande för att öppna en Windows PowerShell-session.

   • På Windows-skrivbordet, högerklicka på Windows PowerShell i aktivitetsfältet.
   • På Windows Start-skärmen , klicka på Windows PowerShell.

2. Skriv följande och tryck sedan på Retur.

   Install-PswaWebApplication

   Följande gateway-inställningar konfigureras genom att köra cmdlet. Du kan ändra dessa manuellt i IIS Manager-konsolen om du vill. Du kan också ange värden för WebsiteName och WebApplicationName parametrarna för Install-PswaWebApplication cmdleten.

   • Väg: /pswa
   • ApplicationPool: pswa_pool
   • EnabledProtocols: http
   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

3. Öppna IIS Manager-konsolen genom att göra något av följande.

   • Starta Serverhanteraren på Windows-skrivbordet genom att klicka på Serverhanteraren i Aktivitetsfältet i Windows. På menyn Verktyg i Server Manager, klicka på Internet Information Services (IIS) Manager.
   • På Windows Start-skärm , klicka på Serverhanteraren.

4. I IIS Manager-trädpanelen, expandera noden för servern där Windows PowerShell Web Access är installerad tills mappen Sites är synlig. Expandera mappen Sites .

5. Välj webbplatsen där du har installerat Windows PowerShell Web Access-webbapplikationen. I fönstret Åtgärder klickar du på Bindningar.

6. I dialogrutan för Site Binding , klicka på Lägg till.

7. I dialogrutan Lägg till webbplatsbindning, välj https i Typ-fältet.

8. I SSL-certifikatfältet väljer du ditt signerade certifikat från rullgardinsmenyn. Klicka på OK. Se För att konfigurera ett SSL-certifikat i IIS Manager i detta ämne för mer information om hur du får ett certifikat.

   Windows PowerShell Web Access-webbapplikationen är nu konfigurerad att använda ditt signerade SSL-certifikat.

   Du kan komma åt Windows PowerShell Web Access genom att öppna https://<server_name>/pswa i ett webbläsarfönster.

   Anmärkning

   Du kan inte logga in förrän användarna har fått tillgång till webbplatsen genom att lägga till auktorisationsregler. För mer information, se Konfigurera en restriktiv auktoriseringsregel i detta ämne samt Auktorisationsregler och säkerhetsfunktioner för Windows PowerShell Web Access.

Konfigurera en restriktiv auktorisationsregel

Efter att Windows PowerShell Web Access har installerats och gatewayen är konfigurerad kan användare öppna inloggningssidan i en webbläsare, men de kan inte logga in förrän Windows PowerShell Web Access-administratören uttryckligen ger användarna åtkomst. Windows PowerShell Web Access åtkomstkontroll hanteras genom att använda den uppsättning Windows PowerShell-cmdlets som beskrivs i följande tabell. Det finns inget jämförbart grafiskt gränssnitt för att lägga till eller hantera auktorisationsregler. För mer detaljerad information om Windows PowerShell Web Access-cmdlets, se cmdlet-referensämnena, Windows PowerShell Web Access Cmdlets.

För mer detaljer om Windows PowerShell Web Access-auktoriseringsregler och säkerhet, se Auktorisationsregler och säkerhetsfunktioner i Windows PowerShell Web Access.

För att lägga till en restriktiv auktorisationsregel

1. Gör något av följande för att öppna en Windows PowerShell-session med utökade användarrättigheter.

   • Högerklicka på Windows PowerShell i aktivitetsfältet på Windows-skrivbordet och klicka sedan på Kör som administratör.
   • På Windows Start-skärmen , högerklicka på Windows PowerShell och klicka sedan på Kör som administratör.

2. Valfritt steg för att begränsa användaråtkomst genom att använda sessionskonfigurationer: Verifiera att sessionskonfigurationer som du vill använda i dina regler redan finns. Om de ännu inte har skapats, använd instruktioner för att skapa sessionskonfigurationer i about_Session_Configuration_Files.

3. Skriv följande och tryck sedan på Retur.

   Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

   Denna auktorisationsregel ger en specifik användare tillgång till en dator i nätverket som de vanligtvis har tillgång till, med åtkomst till en specifik sessionskonfiguration som är anpassad till användarens typiska skript- och cmdlet-behov.

   I följande exempel ges en användare som är namngiven i domänen Contoso åtkomst att hantera datorn Contoso_214, och använda en sessionskonfiguration som heter NewAdminsOnly.JSmith

   Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

4. Verifiera att regeln har skapats genom att köra Get-PswaAuthorizationRule antingen cmdleten, eller Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

   Till exempel Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

När du har konfigurerat en auktorisationsregel är du redo för behöriga användare att logga in på webbkonsolen och börja använda Windows PowerShell Web Access.

Anpassad distribution

Du kan installera Windows PowerShell Web Access-gateway på en server som kör Windows Server 2012 R2 eller Windows Server 2012 genom att använda guiden Lägg till roller och funktioner i Server Manager. Efter att Windows PowerShell Web Access är installerad kan du anpassa konfigurationen av gatewayen i IIS Manager.

Installera Windows PowerShell Web Access med hjälp av guiden Lägg till roller och funktioner

1. Om Serverhanteraren redan är öppen går du vidare till nästa steg. Om Serverhanteraren inte redan är öppen öppnar du den genom att göra något av följande.

   • Starta Serverhanteraren på Windows-skrivbordet genom att klicka på Serverhanteraren i Aktivitetsfältet i Windows.
   • På Windows Start-skärm , klicka på Serverhanteraren.

2. På menyn Hantera, klicka på Lägg till roller och funktioner.

3. På sidan Välj installationstyp väljer du Rollbaserad eller funktionsbaserad installation. Klicka på Nästa.

4. På sidan Välj destinationsserver , välj en server från serverpoolen eller välj en offline VHD. För att välja en offline VHD som din destinationsserver, välj först servern där VHD:n ska monteras och sedan VHD-filen. För information om hur du lägger till servrar i din serverpool, se Server Manager Help. När du har valt destinationsservern, klicka på Nästa.

5. På sidan Välj funktioner i guiden, expandera Windows PowerShell och välj sedan Windows PowerShell Web Access.

6. Observera att du ombeds lägga till nödvändiga funktioner, såsom .NET Framework 4.5 och rolltjänster för Web Server (IIS). Lägg till nödvändiga funktioner och fortsätt.

   Anmärkning

   Installation av Windows PowerShell Web Access med hjälp av Lägg till roller och funktioner Wizard installerar också Web Server (IIS), inklusive IIS Manager snap-in. Snap-in och andra IIS-hanteringsverktyg installeras som standard om du använder Lägg till roller och funktioner Wizard. Om du installerar Windows PowerShell Web Access med Windows PowerShell-cmdlets som beskrivs i följande procedur, läggs inte hanteringsverktyg till som standard.

7. På sidan Bekräfta installationsval, om funktionsfilerna för Windows PowerShell Web Access inte lagras på den destinationsserver du valde i steg 4, klicka på Specificera en alternativ källväg och ange sökvägen till funktionsfilerna. Annars, klicka på Installera.

8. Efter att du klickar på Installera visar sidan för installationsframsteg , resultat och meddelanden såsom varningar, fel eller konfigurationssteg efter installation som krävs för Windows PowerShell Web Access. Efter att Windows PowerShell Web Access är installerad blir du ombedd att granska readme-filen, som innehåller grundläggande, nödvändiga installationsinstruktioner för gatewayen. Dessa instruktioner ingår också i detta ämne. Vägen till readme-filen är C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurera gatewayen

Instruktionerna i detta avsnitt gäller för att installera Windows PowerShell Web Access-webbapplikationen i en underkatalog och inte i rotkatalogen på din webbplats. Denna procedur är den GUI-baserade motsvarigheten till de åtgärder som utförs Install-PswaWebApplication av cmdleten. Detta avsnitt innehåller också instruktioner för hur man använder IIS Manager för att konfigurera Windows PowerShell Web Access-gateway som en root-webbplats.

Att använda IIS Manager för att konfigurera gatewayen på en befintlig webbplats

1. Öppna IIS Manager-konsolen genom att göra något av följande.

   • Starta Serverhanteraren på Windows-skrivbordet genom att klicka på Serverhanteraren i Aktivitetsfältet i Windows. På menyn Verktyg i Server Manager, klicka på Internet Information Services (IIS) Manager.
   • På Windows Start-skärmen , skriv någon del av namnet Internet Information Services (IIS) Manager. Klicka på genvägen när den visas i Apparnas resultat.

2. Skapa en ny applikationspool för Windows PowerShell Web Access. Expandera noden på gateway-servern i IIS Manager-trädpanelen, välj Application Pools och klicka på Add Application Pool i Actions-panelen.

3. Lägg till en ny ansökningspool med namnet pswa_pool, eller ange ett annat namn. Klicka på OK.

4. I IIS Manager-trädpanelen, expandera noden för servern där Windows PowerShell Web Access är installerad tills mappen Sites är synlig. Välj mappen Webbplatser .

5. Högerklicka på webbplatsen (till exempel Standardwebbplatsen) där du vill lägga till Windows PowerShell Web Access-webbplatsen, och klicka sedan på Lägg till applikation.

6. I Alias-fältet , skriv pswa eller ange ett annat alias. Alias blir namnet på den virtuella katalogen. Till exempel representerar pswa i följande URL aliaset som anges i detta steg: https://<server-name>/pswa.

7. I fältet Application pool , välj applikationspoolen som du skapade i steg 3.

8. I fältet Fysisk väg , bläddra efter applikationens plats. Du kan använda standardplatsen, $env:windir/Web/PowerShellWebAccess/wwwroot. Klicka på OK.

9. Följ stegen i proceduren För att konfigurera ett SSL-certifikat i IIS Manager i detta ämne.

10. Valfritt säkerhetssteg:

    Med webbplatsen vald i trädpanelen, dubbelklicka på SSL-inställningar i innehållspanelen. Välj Kräv SSL och klicka sedan i Handlingspanelen på Tillämpa. Valfritt kan du i SSL-inställningspanelen kräva att användare som ansluter till Windows PowerShell Web Access-webbplatsen har klientcertifikat. Klientcertifikat hjälper till att verifiera identiteten på en användare av klientenheten. För mer information om hur krav på klientcertifikat kan öka säkerheten i Windows PowerShell Web Access, se Authorization Rules and Security Features of Windows PowerShell Web Access i denna guide.

11. Öppna en webbläsarsession på en klientenhet. För mer information om stödda webbläsare och enheter, se stöd för webbläsare och klientenheter i detta ämne.

12. Öppna den nya Windows PowerShell Web Access-webbplatsen, https://<gateway-server-name>/pswa.

    Webbläsaren ska visa inloggningssidan för Windows PowerShell Web Access-konsol.

    Anmärkning

    Du kan inte logga in förrän användarna har fått tillgång till webbplatsen genom att lägga till auktorisationsregler. För mer information, se Konfigurera en restriktiv auktoriseringsregel i detta ämne samt Auktorisationsregler och säkerhetsfunktioner för Windows PowerShell Web Access.

13. I en Windows PowerShell-session som har öppnats med förhöjda användarrättigheter (Kör som administratör), kör följande skript, där application_pool_name representerar namnet på applikationspoolen du skapade i steg 3, för att ge applikationspoolen åtkomsträttigheter till auktorisationsfilen.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    För att se befintliga åtkomsträttigheter i auktorisationsfilen, kör följande kommando:

    c:\windows\system32\icacls.exe $authorizationFile
    

För att använda IIS Manager för att konfigurera gatewayen som en root-webbplats med ett testcertifikat

1. Öppna IIS Manager-konsolen genom att göra något av följande.

   • Starta Serverhanteraren på Windows-skrivbordet genom att klicka på Serverhanteraren i Aktivitetsfältet i Windows. På menyn Verktyg i Server Manager, klicka på Internet Information Services (IIS) Manager.
   • På Windows Start-skärmen , skriv någon del av namnet Internet Information Services (IIS) Manager. Klicka på genvägen när den visas i Apparnas resultat.

2. I IIS Manager-trädpanelen, expandera noden för servern där Windows PowerShell Web Access är installerad tills mappen Sites är synlig. Välj mappen Webbplatser .

3. I Handlingspanelen , klicka på Lägg till webbplats.

4. Skriv ett namn på webbplatsen, till exempel Windows PowerShell Web Access.

5. En applikationspool skapas automatiskt för den nya webbplatsen. För att använda en annan applikationspool, klicka på Välj för att välja en applikationspool att associera med den nya webbplatsen. Välj den alternativa applikationspoolen i dialogrutan Välj applikationspool och klicka sedan på OK.

6. I textrutan Fysisk sökväg , navigera till %windir%/Web/PowerShellWebAccess/wwwroot.

7. I typfältet i bindningsområdet , välj https.

8. Tilldela ett portnummer till webbplatsen som inte redan används av en annan webbplats eller applikation. För att hitta öppna portar kan du köra kommandot netstat i ett kommandopromptfönster. Standardportnumret är 443.

   Ändra standardporten om en annan webbplats redan använder 443, eller om du har andra säkerhetsskäl för att ändra portnumret. Om en annan webbplats som körs på din gateway-server använder din valda port visas en varning när du klickar OK i dialogrutan Lägg till webbplats . Du måste använda en oanvänd port för att köra Windows PowerShell Web Access.

9. Valfritt, om det behövs för din organisation, ange ett värdnamn som är meningsfullt för din organisation och användare, såsom www.contoso.com. Klicka på OK.

10. För en säkrare produktionsmiljö rekommenderar vi starkt att tillhandahålla ett giltigt certifikat som har undertecknats av en CA. Du måste tillhandahålla ett SSL-certifikat, eftersom användare endast kan ansluta till Windows PowerShell Web Access via en HTTPS-webbplats. Se För att konfigurera ett SSL-certifikat i IIS Manager i detta ämne för mer information om hur du får ett certifikat.

11. Klicka på OK för att stänga dialogrutan Lägg till webbplats .

12. I en Windows PowerShell-session som har öppnats med förhöjda användarrättigheter (Kör som administratör), kör följande skript, där application_pool_name representerar namnet på applikationspoolen du skapade i steg 4, för att ge applikationspoolen åtkomsträttigheter till auktorisationsfilen.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    För att se befintliga åtkomsträttigheter i auktorisationsfilen, kör följande kommando:

    c:\windows\system32\icacls.exe $authorizationFile
    

13. Med den nya webbplatsen vald i IIS Manager-trädpanelen, klicka på Start i Actions-panelen för att starta webbplatsen.

14. Öppna en webbläsarsession på en klientenhet. För mer information om stödda webbläsare och enheter, se stöd för webbläsare och klientenheter i detta dokument.

15. Öppna den nya Windows PowerShell Web Access-webbplatsen.

    Eftersom rotwebbplatsen pekar på Windows PowerShell Web Access-mappen bör webbläsaren visa inloggningssidan för Windows PowerShell Web Access när du öppnar https://<gateway_server_name>. Du ska inte behöva lägga till /pswa i URL:en.

    Anmärkning

    Du kan inte logga in förrän användarna har fått tillgång till webbplatsen genom att lägga till auktorisationsregler. För mer information, se Konfigurera en restriktiv auktoriseringsregel i detta ämne samt Auktorisationsregler och säkerhetsfunktioner för Windows PowerShell Web Access.

Konfigurera en restriktiv auktorisationsregel

Efter att Windows PowerShell Web Access har installerats och gatewayen är konfigurerad kan användare öppna inloggningssidan i en webbläsare, men de kan inte logga in förrän Windows PowerShell Web Access-administratören uttryckligen ger användarna åtkomst. Windows PowerShell Web Access åtkomstkontroll hanteras genom att använda den uppsättning Windows PowerShell-cmdlets som beskrivs i följande tabell. Det finns inget jämförbart grafiskt gränssnitt för att lägga till eller hantera auktorisationsregler. För mer detaljerad information om Windows PowerShell Web Access-cmdlets, se cmdlet-referensämnena, Windows PowerShell Web Access Cmdlets.

För mer detaljer om Windows PowerShell Web Access-auktoriseringsregler och säkerhet, se Auktorisationsregler och säkerhetsfunktioner i Windows PowerShell Web Access.

Tillägg av en restriktiv auktorisationsregel

1. Gör något av följande för att öppna en Windows PowerShell-session med utökade användarrättigheter.

   • Högerklicka på Windows PowerShell i aktivitetsfältet på Windows-skrivbordet och klicka sedan på Kör som administratör.
   • På Windows Start-skärmen , högerklicka på Windows PowerShell och klicka sedan på Kör som administratör.

2. Valfritt steg för att begränsa användaråtkomst genom att använda sessionskonfigurationer:

   Kontrollera att sessionskonfigurationer som du vill använda i dina regler redan finns. Om de ännu inte har skapats, använd instruktioner för att skapa sessionskonfigurationer i about_Session_Configuration_Files.

3. Skriv följande och tryck sedan på Retur.

   Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

   Denna auktorisationsregel ger en specifik användare tillgång till en dator i nätverket som de vanligtvis har tillgång till, med åtkomst till en specifik sessionskonfiguration som är anpassad till användarens ™typiska skript- och cmdlet-behov.

   I följande exempel ges en användare som är namngiven i domänen Contoso åtkomst att hantera datorn Contoso_214, och använda en sessionskonfiguration som heter NewAdminsOnly.JSmith

   Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

4. Verifiera att regeln har skapats genom att köra Get-PswaAuthorizationRule antingen cmdleten, eller Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

   Till exempel Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

   När du har konfigurerat en auktorisationsregel är du redo för behöriga användare att logga in på webbkonsolen och börja använda Windows PowerShell Web Access.

Konfigurera ett äkta certifikat

För en säker produktionsmiljö, använd alltid ett giltigt SSL-certifikat som har signerats av en certifieringsmyndighet (CA). Proceduren i detta avsnitt beskriver hur man erhåller och tillämpar ett giltigt SSL-certifikat från en CA.

För att konfigurera ett SSL-certifikat i IIS Manager

1. I IIS Manager-trädpanelen, välj servern där Windows PowerShell Web Access är installerad.

2. I innehållspanelen, dubbelklicka på Servercertifikat.

3. I Handlingspanelen , gör något av följande. För mer information om att konfigurera servercertifikat i IIS, se Konfigurera servercertifikat i IIS 7.

   • Klicka på Importera för att importera ett befintligt, giltigt certifikat från en plats i ditt nätverk.

   • Klicka på Skapa certifikatförfrågan för att begära ett certifikat från en CA som VeriSign, Thawte eller GeoTrust. Certifikatets gemensamma namn måste matcha värdheadern i förfrågan.

     Till exempel, om klientwebbläsaren begär https://www.contoso.com/, måste det gemensamma namnet också vara https://www.contoso.com/. Detta är det säkraste och mest rekommenderade alternativet för att förse Windows PowerShell Web Access-gatewayen med ett certifikat.

   • Klicka på Create a Self-Signed Certificate för att skapa ett certifikat som du kan använda omedelbart och senare låta en CA signera om så vill. Ange ett vänligt namn för det självsignerade certifikatet, såsom Windows PowerShell Web Access. Detta alternativ anses inte vara säkert och rekommenderas endast för en privat testmiljö.

4. Efter att ha skapat eller erhållit ett certifikat, välj webbplatsen där certifikatet ska tillämpas (till exempel Standardwebbplats) i IIS Manager-trädpanelen och klicka sedan på Bindningar i Åtgärder-panelen .

5. I dialogrutan Lägg till webbplatsbindning , lägg till en https-bindning för webbplatsen, om en sådan inte redan visas. Om du inte använder ett självsignerat certifikat, ange värdnamnet från steg 3 i denna procedur. Om du använder ett självsignerat certifikat krävs inte detta steg.

6. Välj certifikatet som du fick eller skapade i steg 3 i denna procedur, och klicka sedan på OK.

Att använda den webbaserade Windows PowerShell-konsolen

Efter att Windows PowerShell Web Access är installerad och gateway-konfigurationen är klar enligt beskrivningen i detta ämne, är Windows PowerShell webbaserade konsol redo att användas. För mer information om hur du kommer igång med webbaserad konsol, se Använd den webbaserade Windows PowerShell-konsolen.

Se även

Internet Information Services (IIS) 7.0-dokumentation

IIS Manager 7.0 Hjälp

Konfigurera webbserversäkerhet (IIS 7)

IPsec-distributionsresurser