Windows PowerShell Web Erişimi Yetkilendirme Kuralları ve Güvenlik Özellikleri
Güncelleştirme: 24 Haziran 2013
Şunlar için geçerlidir: Windows Server 2012 R2, Windows Server 2012
Windows Server 2012 R2 ve Windows Server 2012 Windows PowerShell Web Erişimi kısıtlayıcı bir güvenlik modeline sahiptir. Kullanıcılara Windows PowerShell Web Erişimi ağ geçidinde oturum açabilmesi ve web tabanlı Windows PowerShell konsolunu kullanabilmeleri için açıkça erişim verilmesi gerekir.
Yetkilendirme kurallarını ve site güvenliğini yapılandırma
Windows PowerShell Web Erişimi yüklendikten ve ağ geçidi yapılandırıldıktan sonra, kullanıcılar oturum açma sayfasını tarayıcıda açabilir, ancak Windows PowerShell Web Erişimi yöneticisi kullanıcılara açıkça erişim verene kadar oturum açamazlar. 'Windows PowerShell Web Erişimi' erişim denetimi, aşağıdaki tabloda açıklanan Windows PowerShell cmdlet'leri kümesi kullanılarak yönetilir. Yetkilendirme kurallarını eklemek veya yönetmek için karşılaştırılabilir bir GUI yoktur. Bkz. Windows PowerShell Web Erişimi Cmdlet'leri.
Yöneticiler Windows PowerShell Web Erişimi için kimlik doğrulama kuralları tanımlayabilir{0-n}. Varsayılan güvenlik izin verme yerine kısıtlayıcıdır; sıfır kimlik doğrulama kuralı, hiçbir kullanıcının hiçbir şeye erişimi olmadığı anlamına gelir.
Windows Server 2012 R2'deki Add-PswaAuthorizationRule ve Test-PswaAuthorizationRule, uzak bir bilgisayardan veya etkin bir bilgisayardan Windows PowerShell Web Erişimi yetkilendirme kuralları eklemenizi ve test etmenizi sağlayan bir Credential parametresi içerir oturum Windows PowerShell Web Erişimi. Credential parametresi olan diğer Windows PowerShell cmdlet'lerinde olduğu gibi, parametrenin değeri olarak bir PSCredential nesnesi belirtebilirsiniz. Uzak bilgisayara geçirmek istediğiniz kimlik bilgilerini içeren bir PSCredential nesnesi oluşturmak için Get-Credential cmdlet'ini çalıştırın.
Windows PowerShell Web Erişimi kimlik doğrulama kuralları izin verme kurallarıdır. Her kural, belirtilen hedef bilgisayarlarda kullanıcılar, hedef bilgisayarlar ve belirli Windows PowerShell oturumu yapılandırmaları (uç noktalar veya runspaces olarak da adlandırılır) arasında izin verilen bir bağlantının tanımıdır. Runspaces hakkında bir açıklama için bkz. PowerShell Runspaces Kullanmaya Başlama
Önemli
Kullanıcının erişim elde etmek için yalnızca bir kuralın true olması gerekir. Kullanıcıya tam dil erişimi olan bir bilgisayara veya yalnızca Windows PowerShell uzaktan yönetim cmdlet'lerine erişim verilirse, kullanıcı web tabanlı konsoldan ilk hedef bilgisayara bağlı diğer bilgisayarlarda oturum açabilir (veya atlayabilir). Windows PowerShell Web Erişimi yapılandırmanın en güvenli yolu, kullanıcıların yalnızca normalde uzaktan gerçekleştirmeleri gereken belirli görevleri gerçekleştirmelerine olanak sağlayan kısıtlanmış oturum yapılandırmalarına erişmesine izin vermektir.
Windows PowerShell Web Erişimi Cmdlet'lerinde başvurulan cmdlet'ler, bir kullanıcıyı Windows PowerShell Web Erişimi ağ geçidinde yetkilendirmek için kullanılan bir erişim kuralları kümesi oluşturmaya olanak tanır. Kurallar, hedef bilgisayardaki erişim denetim listelerinden (ACL) farklıdır ve web erişimi için ek bir güvenlik katmanı sağlar. Güvenlik hakkında daha fazla ayrıntı aşağıdaki bölümde açıklanmıştır.
Kullanıcılar önceki güvenlik katmanlarından herhangi birini geçiremezse tarayıcı pencerelerinde genel bir 'erişim reddedildi' iletisi alır. Güvenlik ayrıntıları ağ geçidi sunucusunda günlüğe kaydedilmiş olsa da, son kullanıcılara kaç güvenlik katmanı geçtikleri veya oturum açma veya kimlik doğrulama hatasının hangi katmanda gerçekleştiği hakkında bilgi gösterilmez.
Yetkilendirme kurallarını yapılandırma hakkında daha fazla bilgi için bu konudaki yetkilendirme kurallarını yapılandırma konusuna bakın.
Güvenlik
Windows PowerShell Web Erişimi güvenlik modeli, web tabanlı konsolun son kullanıcısı ile hedef bilgisayar arasında dört katmana sahiptir. Windows PowerShell Web Erişimi yöneticileri IIS Yöneticisi konsolunda ek yapılandırma aracılığıyla güvenlik katmanları ekleyebilir. IIS Yöneticisi konsolunda web sitelerinin güvenliğini sağlama hakkında daha fazla bilgi için bkz. Web Sunucusu Güvenliğini Yapılandırma (IIS7).
IIS en iyi yöntemleri ve hizmet reddi saldırılarını önleme hakkında daha fazla bilgi için bkz. DoS/Hizmet Reddi Saldırılarını Önlemeye Yönelik En İyi Yöntemler. Yönetici ayrıca ek perakende kimlik doğrulama yazılımı satın alıp yükleyebilir.
Aşağıdaki tabloda, son kullanıcılar ve hedef bilgisayarlar arasındaki dört güvenlik katmanı açıklanmaktadır.
Her katman hakkında ayrıntılı bilgileri aşağıdaki başlıklar altında bulabilirsiniz:
IIS Web Sunucusu güvenlik özellikleri
Windows PowerShell Web Erişimi kullanıcıların ağ geçidinde hesaplarının kimliğini doğrulamak için her zaman bir kullanıcı adı ve parola sağlaması gerekir. Ancak, Windows PowerShell Web Erişimi yöneticileri isteğe bağlı istemci sertifikası kimlik doğrulamasını da açabilir veya kapatabilir, bkz. Windows PowerShell web erişimini yükleyip kullanarak test sertifikasını etkinleştirme ve daha sonra orijinal sertifikayı yapılandırma).
İsteğe bağlı istemci sertifikası özelliği, son kullanıcıların kullanıcı adları ve parolalarına ek olarak geçerli bir istemci sertifikasına sahip olmasını gerektirir ve Web Sunucusu (IIS) yapılandırmasının bir parçasıdır. İstemci sertifika katmanı etkinleştirildiğinde Windows PowerShell Web Erişimi oturum açma sayfası, oturum açma kimlik bilgileri değerlendirilmeden önce kullanıcılardan geçerli sertifikalar sağlamalarını ister. İstemci sertifikası kimlik doğrulaması, istemci sertifikasını otomatik olarak denetler. Geçerli bir sertifika bulunamazsa, Windows PowerShell Web Erişimi sertifikayı sağlayabilmeleri için kullanıcıları bilgilendirir. Geçerli bir istemci sertifikası bulunursa, Windows PowerShell Web Erişimi kullanıcıların kullanıcı adlarını ve parolalarını sağlaması için oturum açma sayfasını açar.
Bu, IIS Web Sunucusu tarafından sunulan ek güvenlik ayarlarının bir örneğidir. Diğer IIS güvenlik özellikleri hakkında daha fazla bilgi için bkz. Web Sunucusu Güvenliğini Yapılandırma (IIS 7).
Form tabanlı ağ geçidi kimlik doğrulaması Windows PowerShell Web Erişimi
Windows PowerShell Web Erişimi oturum açma sayfası bir dizi kimlik bilgisi (kullanıcı adı ve parola) gerektirir ve kullanıcılara hedef bilgisayar için farklı kimlik bilgileri sağlama seçeneği sunar. Kullanıcı alternatif kimlik bilgileri sağlamazsa, hedef bilgisayara bağlanmak için ağ geçidine bağlanmak için kullanılan birincil kullanıcı adı ve parola da kullanılır.
Gerekli kimlik bilgileri Windows PowerShell Web Erişimi ağ geçidinde doğrulanır. Bu kimlik bilgileri yerel Windows PowerShell Web Erişimi ağ geçidi sunucusunda veya Active Directory'de geçerli kullanıcı hesapları olmalıdır.
yetkilendirme kurallarını Windows PowerShell Web Erişimi
Bir kullanıcının ağ geçidinde kimliği doğrulandıktan sonra Windows PowerShell Web Erişimi kullanıcının istenen hedef bilgisayara erişimi olup olmadığını doğrulamak için yetkilendirme kurallarını denetler. Başarılı yetkilendirmeden sonra, kullanıcının kimlik bilgileri hedef bilgisayara geçirilir.
Bu kurallar yalnızca bir kullanıcının ağ geçidi tarafından kimliği doğrulandıktan sonra ve bir kullanıcının hedef bilgisayarda kimliğinin doğrulanmasından önce değerlendirilir.
Hedef kimlik doğrulaması ve yetkilendirme kuralları
Windows PowerShell Web Erişimi için son güvenlik katmanı, hedef bilgisayarın kendi güvenlik yapılandırmasıdır. Kullanıcıların hedef bilgisayarda ve Windows PowerShell Web Erişimi yetkilendirme kurallarında, Windows PowerShell Web Erişimi aracılığıyla hedef bilgisayarı etkileyen Windows PowerShell bir web tabanlı konsol çalıştırmak için uygun erişim haklarına sahip olması gerekir.
Bu katman, kullanıcılar Enter-PSSession veya New-PSSession cmdlet'lerini çalıştırarak Windows PowerShell içinden bir hedef bilgisayara uzak Windows PowerShell oturumu oluşturmayı denerse bağlantı girişimlerini değerlendirecek güvenlik mekanizmalarını sunar.
varsayılan olarak, Windows PowerShell Web Erişimi hem ağ geçidinde hem de hedef bilgisayarda kimlik doğrulaması için birincil kullanıcı adını ve parolasını kullanır. İsteğe bağlı bağlantı ayarları başlıklı bölümdeki web tabanlı oturum açma sayfası, kullanıcılara gerekirse hedef bilgisayar için farklı kimlik bilgileri sağlama seçeneği sunar. Kullanıcı alternatif kimlik bilgileri sağlamazsa, hedef bilgisayara bağlanmak için ağ geçidine bağlanmak için kullanılan birincil kullanıcı adı ve parola da kullanılır.
Yetkilendirme kuralları, kullanıcıların belirli bir oturum yapılandırmasına erişmesine izin vermek için kullanılabilir. Windows PowerShell Web Erişimi için kısıtlı çalışma alanları veya oturum yapılandırmaları oluşturabilir ve belirli kullanıcıların Windows PowerShell Web Erişimi oturum açtıklarında yalnızca belirli oturum yapılandırmalarına bağlanmasına izin vekleyebilirsiniz. Erişim denetim listelerini (ACL) kullanarak belirli uç noktalara erişimi olan kullanıcıları belirleyebilir ve bu bölümde açıklanan yetkilendirme kurallarını kullanarak belirli bir kullanıcı kümesi için uç noktaya erişimi daha fazla kısıtlayabilirsiniz. Kısıtlanmış çalışma alanları hakkında daha fazla bilgi için bkz. Kısıtlanmış çalışma alanı oluşturma.
Yetkilendirme kurallarını yapılandırma
Yöneticiler, Windows PowerShell uzaktan yönetim için ortamlarında önceden tanımlanmış olan Windows PowerShell Web Erişimi kullanıcıları için büyük olasılıkla aynı yetkilendirme kuralını istiyor. Bu bölümdeki ilk yordamda, bir kullanıcıya erişim izni veren, bir bilgisayarı yönetmek için ve tek bir oturum yapılandırması içinde oturum açma izni veren güvenli bir yetkilendirme kuralının nasıl ekleneceği açıklanmaktadır. İkinci yordamda, artık gerekli olmayan bir yetkilendirme kuralının nasıl kaldırılacağı açıklanır.
Belirli kullanıcıların yalnızca Windows PowerShell Web Erişimi'daki kısıtlı çalışma alanları içinde çalışmasına izin vermek için özel oturum yapılandırmaları kullanmayı planlıyorsanız, bunlara başvuran yetkilendirme kuralları eklemeden önce özel oturum yapılandırmalarınızı oluşturun. Özel oturum yapılandırmaları oluşturmak için Windows PowerShell Web Erişimi cmdlet'lerini kullanamazsınız. Özel oturum yapılandırmaları oluşturma hakkında daha fazla bilgi için bkz. about_Session_Configuration_Files.
Windows PowerShell Web Erişimi cmdlet'leri bir joker karakteri( * ) destekler. Dizelerin içindeki joker karakterler desteklenmez; özellik başına tek bir yıldız işareti (kullanıcılar, bilgisayarlar veya oturum yapılandırmaları) kullanın.
Not
Kullanıcılara erişim vermek ve Windows PowerShell Web Erişimi ortamının güvenliğini sağlamaya yardımcı olmak için yetkilendirme kurallarını kullanmanın diğer yolları için bu konudaki diğer yetkilendirme kuralı senaryo örneklerine bakın.
Kısıtlayıcı yetkilendirme kuralı eklemek için
Yükseltilmiş kullanıcı haklarına sahip bir Windows PowerShell oturumu açmak için aşağıdakilerden birini yapın.
Windows masaüstünde, görev çubuğunda Windows PowerShell öğesine sağ tıklayın ve sonra Yönetici olarak çalıştır‘a tıklayın.
Windows Başlangıç ekranında Windows PowerShell sağ tıklayın ve ardından Yönetici Olarak Çalıştır'a tıklayın.
İsteğe bağlı adım Oturum yapılandırmalarını kullanarak kullanıcı erişimini kısıtlamak için:
Kullanmak istediğiniz oturum yapılandırmalarının kurallarınızda zaten mevcut olduğunu doğrulayın.
Henüz oluşturulmadıysa, about_Session_Configuration_Files oturum yapılandırmaları oluşturmaya yönelik yönergeleri kullanın.
Bu yetkilendirme kuralı, kullanıcının tipik betik ve cmdlet gereksinimleri kapsamındaki belirli bir oturum yapılandırmasına erişimle, belirli bir kullanıcının normalde erişimi olan ağdaki bir bilgisayara erişmesine izin verir. Aşağıdaki komutu yazın ve Enter tuşuna basın.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- Aşağıdaki örnekte Contoso etki alanındaki JSmith adlı kullanıcıya bilgisayar Contoso_214 yönetme ve NewAdminsOnly adlı bir oturum yapılandırmasını kullanma erişimi verilmiştir.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlyGet-PswaAuthorizationRule cmdlet'ini veya
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>çalıştırarak kuralın oluşturulduğunu doğrulayın. Örneğin,Test-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Yetkilendirme kuralını kaldırmak için
Windows PowerShell oturumu henüz açık değilse, bu bölümde kısıtlayıcı yetkilendirme kuralı eklemek için 1. adıma bakın.
Aşağıdakileri yazın ve Enter tuşuna basın; burada kural kimliği , kaldırmak istediğiniz kuralın benzersiz kimlik numarasını temsil eder.
Remove-PswaAuthorizationRule -ID <rule ID>Alternatif olarak, kimlik numarasını bilmiyorsanız ancak kaldırmak istediğiniz kuralın kolay adını biliyorsanız, kuralın adını alabilir ve aşağıdaki örnekte gösterildiği gibi kuralı kaldırmak için cmdlet'ine geçirebilirsiniz
Remove-PswaAuthorizationRule:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Not
Belirtilen yetkilendirme kuralını silmek isteyip istemediğiniz sorulmuyor; Kural , Enter tuşuna bastığınızda silinir. Cmdlet'i çalıştırmadan önce yetkilendirme kuralını kaldırmak istediğinizden Remove-PswaAuthorizationRule emin olun.
Diğer yetkilendirme kuralı senaryosu örnekleri
Her Windows PowerShell oturumu bir oturum yapılandırması kullanır; oturum için belirtilmemişse, Windows PowerShell Microsoft.PowerShell adlı varsayılan yerleşik Windows PowerShell oturum yapılandırmasını kullanır. Varsayılan oturum yapılandırması, bir bilgisayarda kullanılabilen tüm cmdlet'leri içerir. Yöneticiler, kısıtlı bir çalışma alanı (son kullanıcılarının gerçekleştirebileceği sınırlı bir cmdlet ve görev aralığı) ile oturum yapılandırması tanımlayarak tüm bilgisayarlara erişimi kısıtlayabilir. Tam dil erişimi olan bir bilgisayara veya yalnızca Windows PowerShell uzaktan yönetim cmdlet'lerine erişim verilen bir kullanıcı, ilk bilgisayara bağlı diğer bilgisayarlara bağlanabilir. Kısıtlı bir çalışma alanı tanımlamak, kullanıcıların izin verilen Windows PowerShell çalışma alanından diğer bilgisayarlara erişmesini engelleyebilir ve Windows PowerShell Web Erişimi ortamınızın güvenliğini artırır. Oturum yapılandırması yöneticilerin Windows PowerShell Web Erişimi aracılığıyla erişilebilir hale getirmek istediği tüm bilgisayarlara dağıtılabilir (grup ilkesi kullanılarak). Oturum yapılandırmaları hakkında daha fazla bilgi edinmek için bkz. about_Session_Configurations. Aşağıda bu senaryonun bazı örnekleri verilmiştir.
Yönetici, sınırlı bir çalışma alanıyla PswaEndpoint adlı bir uç nokta oluşturur. Ardından, yönetici bir kural
*,*,PswaEndpointoluşturur ve uç noktayı diğer bilgisayarlara dağıtır. Kural, tüm kullanıcıların PswaEndpoint uç noktası olan tüm bilgisayarlara erişmesine izin verir. Kural kümesinde tanımlanan tek yetkilendirme kuralı buysa, uç noktası olmayan bilgisayarlara erişilemez.Yönetici , PswaEndpoint adlı kısıtlı bir çalışma alanına sahip bir uç nokta oluşturdu ve erişimi belirli kullanıcılarla kısıtlamak istiyor. Yönetici , Level1Support adlı bir kullanıcı grubu oluşturur ve şu kuralı tanımlar: Level1Support,*,PswaEndpoint. Kural, Gruptaki tüm kullanıcılara Level1Support erişimini PswaEndpoint yapılandırmasına sahip tüm bilgisayarlara verir. Benzer şekilde, erişim belirli bir bilgisayar kümesiyle kısıtlanabilir.
Bazı yöneticiler bazı kullanıcılara diğerlerinden daha fazla erişim sağlar. Örneğin, bir yönetici Admins ve BasicSupport adlı iki kullanıcı grubu oluşturur. Yönetici ayrıca PswaEndpoint adlı kısıtlı bir çalışma alanı olan bir uç nokta oluşturur ve şu iki kuralı tanımlar: Admins,*,* ve BasicSupport,*,PswaEndpoint. İlk kural, Yönetici grubundaki tüm kullanıcılara tüm bilgisayarlara erişim sağlar ve ikinci kural, BasicSupport grubundaki tüm kullanıcılara yalnızca PswaEndpoint bulunan bilgisayarlara erişim sağlar.
Yönetici özel bir test ortamı ayarlamıştır ve tüm yetkili ağ kullanıcılarının genellikle erişim sahibi oldukları ağdaki tüm bilgisayarlara erişmesine izin vermek ve normalde erişim sahibi oldukları tüm oturum yapılandırmalarına erişim izni vermek istemektedir. Bu özel bir test ortamı olduğundan, yönetici güvenli olmayan bir yetkilendirme kuralı oluşturur. - Yönetici, tüm kullanıcıları, tüm bilgisayarları ve tüm yapılandırmaları temsil etmek için joker karakterini * kullanan cmdlet'ini
Add-PswaAuthorizationRule * * *çalıştırır. - Bu kural aşağıdakilerin eşdeğeridir:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Not
Bu kural güvenli bir ortamda önerilmez ve Windows PowerShell Web Erişimi tarafından sağlanan güvenlik yetkilendirme kuralı katmanını atlar.
Bir yönetici, kullanıcıların hem çalışma gruplarını hem de etki alanlarını içeren bir ortamda hedef bilgisayarlara bağlanmasına izin vermelidir; burada çalışma grubu bilgisayarları zaman zaman etki alanlarındaki hedef bilgisayarlara bağlanmak için kullanılır ve etki alanlarındaki bilgisayarlar zaman zaman çalışma gruplarındaki hedef bilgisayarlara bağlanmak için kullanılır. Yöneticinin bir çalışma grubunda PswaServer adlı bir ağ geçidi sunucusu vardır; ve hedef bilgisayar srv1.contoso.com bir etki alanındadır. Kullanıcı Chris, hem çalışma grubu ağ geçidi sunucusunda hem de hedef bilgisayarda yetkili bir yerel kullanıcıdır. Çalışma grubu sunucusundaki kullanıcı adı chrisLocal'dır; ve hedef bilgisayardaki kullanıcı adı contoso\chris şeklindedir. Yönetici, Chris için srv1.contoso.com erişimi yetkilendirmek için aşağıdaki kuralı ekler.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Yukarıdaki kural örneği, ağ geçidi sunucusunda Chris'in kimliğini doğrular ve ardından srv1'e erişimini yetkiler. Oturum açma sayfasında, Chris'in İsteğe bağlı bağlantı ayarları alanında (contoso\chris) ikinci bir kimlik bilgileri kümesi sağlaması gerekir. Ağ geçidi sunucusu, hedef bilgisayarda kimliğini doğrulamak için ek kimlik bilgileri kümesini kullanır srv1.contoso.com.
Önceki senaryoda, Windows PowerShell Web Erişimi hedef bilgisayara ancak aşağıdakiler başarılı olduktan ve en az bir yetkilendirme kuralı tarafından izin verildikten sonra başarılı bir bağlantı kurar.
Yetkilendirme kuralına user_name server_name\ biçiminde bir kullanıcı adı ekleyerek çalışma grubu ağ geçidi sunucusunda kimlik doğrulaması
Oturum açma sayfasında , İsteğe bağlı bağlantı ayarları alanında sağlanan alternatif kimlik bilgilerini kullanarak hedef bilgisayarda kimlik doğrulaması
Not
Ağ geçidi ve hedef bilgisayarlar farklı çalışma gruplarında veya etki alanlarındaysa, iki çalışma grubu bilgisayarı, iki etki alanı veya çalışma grubu ile etki alanı arasında bir güven ilişkisi kurulmalıdır. Bu ilişki, Windows PowerShell Web Erişimi yetkilendirme kuralı cmdlet'leri kullanılarak yapılandırılamaz. Yetkilendirme kuralları bilgisayarlar arasında bir güven ilişkisi tanımlamaz; kullanıcılara yalnızca belirli hedef bilgisayarlara ve oturum yapılandırmalarına bağlanma yetkisi verebilirler. Farklı etki alanları arasında güven ilişkisi yapılandırma hakkında daha fazla bilgi için bkz. Etki Alanı ve Orman Güvenleri Oluşturma. Çalışma grubu bilgisayarlarını güvenilen konaklar listesine ekleme hakkında daha fazla bilgi için bkz. Sunucu Yöneticisi ile Uzaktan Yönetim.
Birden çok site için tek bir yetkilendirme kuralları kümesi kullanma
Yetkilendirme kuralları bir XML dosyasında depolanır. Varsayılan olarak, XML dosyasının yol adı şeklindedir $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xml.
Yetkilendirme kuralları XML dosyasının yolu, içinde bulunan $env:windir\Web\PowershellWebAccess\datapowwa.config dosyasında depolanır. Yönetici, tercihlere veya gereksinimlere uyacak şekilde powwa.config'daki varsayılan yola başvuruyu değiştirme esnekliğine sahiptir. Yöneticinin dosyanın konumunu değiştirmesine izin vermek, birden çok Windows PowerShell Web Erişimi ağ geçidinin, böyle bir yapılandırma isteniyorsa aynı yetkilendirme kurallarını kullanmasına olanak tanır.
Oturum yönetimi
Varsayılan olarak, Windows PowerShell Web Erişimi bir kullanıcıyı aynı anda üç oturumla sınırlar. Kullanıcı başına farklı sayıda oturumu desteklemek için web uygulamasının web.config dosyasını IIS Yöneticisi'nde düzenleyebilirsiniz. web.config dosyasının yolu şeklindedir$env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Varsayılan olarak, herhangi bir ayar düzenlenirse IIS Web Sunucusu uygulama havuzunu yeniden başlatacak şekilde yapılandırılır. Örneğin, web.config dosyasında değişiklik yapılırsa uygulama havuzu yeniden başlatılır. >Windows PowerShell Web Erişimi bellek içi oturum durumları kullandığından, >Windows PowerShell Web Erişimi oturumlarında oturum açan kullanıcılar, uygulama havuzu yeniden başlatıldığında oturumlarını kaybeder.
Oturum açma sayfasında varsayılan parametreleri ayarlama
Windows PowerShell Web Erişimi ağ geçidiniz Windows Server 2012 R2 üzerinde çalışıyorsa, Windows PowerShell Web Erişimi oturum açma sayfasında görüntülenen ayarlar için varsayılan değerleri yapılandırabilirsiniz. Önceki paragrafta açıklanan web.config dosyasındaki değerleri yapılandırabilirsiniz. Oturum açma sayfası ayarları için varsayılan değerler, web.config dosyasının appSettings bölümünde bulunur; aşağıda appSettings bölümüne bir örnek verilmiştir. Bu ayarların çoğu için geçerli değerler, Windows PowerShell'daki New-PSSession cmdlet'ine karşılık gelen parametrelerle aynıdır.
Örneğin, defaultApplicationName aşağıdaki kod bloğunda gösterildiği gibi anahtar, hedef bilgisayardaki $PSSessionApplicationName tercih değişkeninin değeridir.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Zaman aşımları ve planlanmamış bağlantı kesilmeleri
Windows PowerShell Web Erişimi oturumları zaman aşımına uğradı. Windows Server 2012 üzerinde çalışan Windows PowerShell Web Erişimi, oturum açmadan geçen 15 dakika sonra oturum açan kullanıcılara zaman aşımı iletisi görüntülenir. Kullanıcı, zaman aşımı iletisi görüntülendikten sonra beş dakika içinde yanıt vermezse oturum sona erer ve kullanıcı oturumu kapatılır. Oturumlar için zaman aşımı sürelerini IIS Yöneticisi'ndeki web sitesi ayarlarından değiştirebilirsiniz.
Windows Server 2012 R2'de çalışan Windows PowerShell Web Erişimi, oturumlar varsayılan olarak 20 dakika etkinlik dışı kaldıktan sonra zaman aşımına ular. Ağ hataları veya diğer planlanmamış kapatmalar veya hatalar nedeniyle kullanıcıların web tabanlı konsoldaki oturumlarla bağlantısı kesilirse ve oturumları kendileri kapattıklarından değil, istemci tarafındaki zaman aşımı süresi geçene kadar hedef bilgisayarlara bağlı Windows PowerShell Web Erişimi oturumları çalışmaya devam eder. Varsayılan 20 dakika veya ağ geçidi yöneticisi tarafından belirtilen zaman aşımı süresinden (hangisi daha kısaysa) sonra oturumun bağlantısı kesilir.
Ağ geçidi sunucusu R2 Windows Server 2012 çalıştırıyorsa, Windows PowerShell Web Erişimi kullanıcıların daha sonra kaydedilen oturumlara yeniden bağlanmasına izin verir, ancak ağ hataları, planlanmamış kapatmalar veya diğer hatalar oturumların bağlantısını kestiğinde, ağ geçidi yöneticisi tarafından belirtilen zaman aşımı süresi dolana kadar kullanıcılar kaydedilmiş oturumları göremez veya yeniden bağlanamaz.