安装并使用 Windows PowerShell Web Access

更新时间：2013年11月5日（编辑日期：2017年8月23日）

适用于：Windows Server 2012 R2，Windows Server 2012

介绍

Windows PowerShell Web Access 最早于 Windows Server 2012 中引入，作为 Windows PowerShell 网关，提供面向远程计算机的基于网页的 Windows PowerShell 控制台。 它使IT专业人员能够在网页浏览器中的WindowsPowerShell控制台运行Windows的PowerShell命令和脚本，无需在客户端设备上安装Windows的PowerShell、远程管理软件或浏览器插件。 运行基于网页的 Windows PowerShell 控制台所需的仅需一个正确配置的 Windows PowerShell Web 访问网关，以及一个支持 JavaScript 并接受 cookie 的客户端设备浏览器。

客户端设备的例子包括笔记本电脑、非工作用个人电脑、借来的电脑、平板电脑、网页自助终端、运行Windows作系统的电脑以及手机浏览器。 IT专业人员可以从能够访问互联网连接和网页浏览器的设备，对远程Windows服务器执行关键管理任务。

在成功设置和配置网关后，用户可以通过网页浏览器访问 Windows PowerShell 控制台。 当用户打开安全的 Windows PowerShell Web Access 网站时，在成功认证后，可以运行基于网页的 Windows PowerShell 控制台。

Windows PowerShell Web Access 的设置和配置是一个三步流程：

1. 安装Windows PowerShell Web Access
2. 配置网关
3. 配置限制性授权规则

在安装和配置Windows PowerShell Web Access之前，我们建议您阅读这份完整指南，其中包含如何安装、保护和卸载Windows PowerShell Web Access的说明。 “使用基于网页的 Windows PowerShell 控制台”主题描述了用户如何登录基于网页的控制台，并涵盖了基于网页的 Windows PowerShell 控制台与 powershell.exe 控制台之间的限制和差异。 基于网页的控制台终端用户应阅读《 使用基于网页的 Windows PowerShell 控制台》，但无需阅读本指南的其余部分。

本主题不提供深入的IIS Web Server作指导;本主题仅描述配置 Windows PowerShell Web Access 网关所需的步骤。 有关在 IIS 中配置和保护网站的更多信息，请参阅“另见”部分的 IIS 文档资源。

下图展示了Windows PowerShell Web Access的工作原理。

运行Windows PowerShell Web Access的要求

Windows PowerShell Web 访问需要在你想运行网关的服务器上运行 Web 服务器（IIS）、.NET Framework 4.5 以及 Windows PowerShell 3.0 或 Windows PowerShell 4.0。 您可以通过服务器管理器中的“添加角色与功能向导”，或在服务器管理器中的 Windows PowerShell 部署命令小工具，在运行 Windows Server 2012 R2 或 Windows Server 2012 的服务器上安装 Windows PowerShell Web Access。 当你通过Server Manager或其部署命令项安装Windows PowerShell Web Access时，安装过程中会自动添加所需的角色和功能。

Windows PowerShell Web Access 允许远程用户通过在网页浏览器中使用 Windows PowerShell 访问组织内的计算机。 尽管Windows PowerShell Web Access是一种便捷且强大的管理工具，但基于Web的访问存在安全风险，应尽可能安全地配置。 我们建议配置 Windows PowerShell Web Access 网关的管理员使用可用的安全层，包括 Windows PowerShell Web Access 中包含的基于 cmdlet 的授权规则，以及 Web 服务器（IIS）和第三方应用程序中可用的安全层。 本文档包括仅推荐用于测试环境的非安全示例，以及推荐用于安全部署的示例。

浏览器和客户端设备支持

Windows PowerShell Web Access 支持以下互联网浏览器。 虽然移动浏览器未被官方支持，但许多浏览器可能能够运行基于网页的 Windows PowerShell 控制台。 其他接受Cookie、运行JavaScript和HTTPS网站的浏览器预计能正常工作，但尚未进行官方测试。

支持的桌面电脑浏览器

• Microsoft Windows 8.0、9.0、10.0 和 11.0 的 Windows Internet Explorer
• Mozilla Firefox 10.0.2
• Google Chrome 17.0.963.56m for Windows版
• Windows 版 Apple Safari 5.1.2
• Mac OS 版 Apple Safari 5.1.2

测试极少的移动设备或浏览器

• Windows Phone 7 和 7.5
• Google Android WebKit 3.1 浏览器 Android 2.2.1（内核 2.6）
• 苹果 Safari for iPhone作系统 5.0.1
• Apple Safari for iPad 2作系统 5.0.1

浏览器要求

要使用 Windows PowerShell Web Access 基于网页的控制台，浏览器必须完成以下作。

• 允许Windows PowerShell Web Access Gateway网站的cookie。
• 能够打开并阅读HTTPS页面。
• 打开并运行使用JavaScript的网站。

推荐快速部署

您可以使用 Windows PowerShell 命令，或在服务器管理器中打开的添加角色和功能向导，在运行 Windows Server 2012 R2 或 Windows Server 2012 的服务器上安装 Windows PowerShell Web Access 网关。 为了快速安装和配置，请使用本节所述的 Windows PowerShell cmdlets。

1. 安装Windows PowerShell Web Access
2. 配置网关
3. 配置限制性授权规则

使用 PowerShell cmdlets 安装 Windows PowerShell Web Access

使用 Windows PowerShell cmdlets 安装 Windows PowerShell Web Access

1. 使用提升的用户权限执行以下操作之一打开 Windows PowerShell 会话。

   • 在 Windows 桌面上，右键单击任务栏上的 Windows PowerShell ，然后单击“ 以管理员身份运行”。
   • 在Windows 开始 界面，右键点击 Windows PowerShell，然后点击 “以管理员身份运行”。

   注释

   在 Windows PowerShell 3.0 和 4.0 中，运行模块中的 cmdlet 之前，无需先将 Server Manager cmdlet 模块导入 Windows PowerShell 会话。 模块在你第一次运行模块中的命令时会自动导入。 另外，Windows PowerShell cmdlet 不区分大小写。

2. 输入以下内容，然后按 回车， computer_name 代表你想安装Windows PowerShell Web Access的远程计算机（如适用）。 -Restart该参数可自动重启目的服务器（如有需要）。

   Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

   注释

   使用Windows PowerShell cmdlet安装Windows PowerShell Web Access默认不会添加Web服务器（IIS）管理工具。 如果你想在与 Windows PowerShell Web Access 网关同一台服务器上安装管理工具，请在安装命令中添加 -IncludeManagementTools 参数（如本步骤所示）。 如果您从远程计算机管理 Windows PowerShell Web Access 网站，请在您希望管理网关的计算机上安装 Windows 8.1 远程服务器管理工具 或 Windows 8 远程服务器管理工具 ，从而安装 IIS Manager snap-in。

   要在离线 VHD 上安装角色和功能，必须同时 -ComputerName 添加参数和参数 -VHD 。 参数 -ComputerName 包含安装 VHD 的服务器名称， -VHD 参数包含指向指定服务器上 VHD 文件的路径。

   Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

3. 安装完成后，通过在已打开并提升用户权限的 Windows PowerShell 控制台中，在目标服务器上运行 Get-WindowsFeature cmdlet，确认 Windows PowerShell Web Access 已安装在目标服务器上。 你也可以在服务器管理器控制台中确认 Windows PowerShell Web Access 已安装，方法是在 “所有服务器 ”页面选择目标服务器，然后查看所选服务器的角色 与功能 图块。 你也可以查看 Windows PowerShell Web Access 的说明文件。

4. 安装 Windows PowerShell Web Access 后，系统提示您查看 readme 文件，其中包含网关的基本、必要的设置说明。 这些设置说明也在下一节“ 配置网关”中。 通往 readme 文件的路径是 C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt。

配置网关

Install-PswaWebApplication cmdlet 是快速配置 Windows PowerShell Web Access 的一种方法。 虽然你可以在 cmdlet 中添加 UseTestCertificate 参数 Install-PswaWebApplication 以安装自签名的 SSL 证书进行测试，但这并不安全;对于安全的生产环境，始终使用由认证机构（CA）签署的有效 SSL 证书。 管理员可以通过 IIS 管理器控制台将测试证书替换为他们选择的签名证书。

您可以通过运行 Install-PswaWebApplication cmdlet 或在 IIS Manager 中执行基于图形界面的配置步骤来完成 Windows PowerShell Web Access Web 应用配置。 默认情况下，cmdlet 将网页应用、 pswa （及其应用池， pswa_pool）安装在 默认网站 容器中，如 IIS 管理器所示;如果需要，你可以指示 cmdlet 更改网页应用的默认站点容器。 IIS管理器为Web应用提供了配置选项，例如更改端口号或安全套接字层（SSL）证书。

重要

我们强烈建议管理员配置网关使用由CA签署的有效证书。

通过使用 Install-PswaWebApplication 配置Windows PowerShell Web 访问网关的测试证书

1. 请执行以下任一作以打开 Windows PowerShell 会话。

   • 在Windows桌面上，右键点击任务栏的 Windows PowerShell 。
   • 在Windows 开始 画面中，点击 Windows PowerShell。

2. 键入以下内容，然后按 Enter。

   Install-PswaWebApplication -UseTestCertificate

   重要

   该 UseTestCertificate 参数应仅在私有测试环境中使用。 对于安全的生产环境，我们建议使用由CA签署的有效证书。

   运行该 cmdlet 会在 IIS 默认网站容器中安装 Windows PowerShell Web Access Web 应用程序。 该 cmdlet 创建了在默认网站 . 上运行 Windows PowerShell Web Access 所需的基础设施。 https://<server_name>/pswa 要在不同网站安装网页应用，只需添加 WebSiteName 参数，提供网站名称。 要更改网页应用名称（默认为 pswa），添加 WebApplicationName 参数。

   以下设置是通过运行 cmdlet 进行的。 如果需要，你可以在IIS管理控制台手动更改这些设置。

   • 路径：/pswa
   • 应用池：pswa_pool
   • EnabledProtocols：http
   • PhysicalPath： %windir%/Web/PowerShellWebAccess/wwwroot

   示例：Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

   在这个例子中，Windows PowerShell Web 访问的最终网站为 https://<server_name>/myWebApp。

   注释

   在用户通过添加授权规则获得访问权限之前，你无法登录。 欲了解更多信息，请参见 配置限制性授权规则 和 Windows PowerShell Web Access的安全特性。

通过使用 Install-PswaWebApplication 和 IIS 管理器配置 Windows PowerShell Web Access 网关的正规证书

1. 请执行以下任一作以打开 Windows PowerShell 会话。

   • 在Windows桌面上，右键点击任务栏的 Windows PowerShell 。
   • 在Windows 开始 画面中，点击 Windows PowerShell。

2. 键入以下内容，然后按 Enter。

   Install-PswaWebApplication

   以下网关设置是通过运行 cmdlet 进行配置的。 如果需要，你可以在IIS管理控制台手动更改这些设置。 你也可以指定 WebsiteName cmdlet 的参数WebApplicationNameInstall-PswaWebApplication值。

   • 路径：/pswa
   • 应用池：pswa_pool
   • EnabledProtocols：http
   • PhysicalPath： %windir%/Web/PowerShellWebAccess/wwwroot

3. 通过以下其中之一打开IIS管理器控制台。

   • 在 Windows 桌面上，通过单击 Windows 任务栏中 的服务器管理器启动服务器管理器 。 在服务器管理器 的工具菜单中 ，点击 互联网信息服务（IIS）管理器。
   • 在Windows 开始 界面，点击 服务器管理器。

4. 在 IIS 管理器树窗中，展开安装 Windows PowerShell Web Access 的服务器节点，直到 Sites 文件夹可见。 展开 “网站 ”文件夹。

5. 选择您安装了 Windows PowerShell Web Access 网页应用的网站。 在操作窗格中，单击绑定。

6. 在 网站绑定 对话框中，点击 添加。

7. 在 “添加网站绑定 ”对话框的 类型 字段中，选择 https。

8. 在 SSL证书 字段中，从下拉菜单中选择你签署的证书。 单击 “确定” 。 关于如何获取证书的更多信息，请参见本主题中的 “在 IIS Manager 中配置 SSL 证书 ”。

   Windows PowerShell Web Access 网页应用现在配置为使用你签名的 SSL 证书。

   您可以通过浏览器窗口打开 https://<server_name>/pswa Windows PowerShell Web Access。

   注释

   在用户通过添加授权规则获得访问权限之前，你无法登录。 欲了解更多信息，请参见本主题中的 “配置限制性授权规则”以及“ Windows PowerShell Web 访问的授权规则与安全特性”。

配置限制性授权规则

安装 Windows PowerShell Web Access 并配置好网关后，用户可以在浏览器中打开登录页面，但在 Windows PowerShell Web Access 管理员明确授权用户之前，无法登录。 Windows PowerShell 的 Web 访问控制通过使用下表中描述的 Windows PowerShell 命令包进行管理。 没有类似的图形界面用于添加或管理授权规则。 有关 Windows PowerShell Web Access 命令项的更详细信息，请参见 cmdlet 参考主题，Windows PowerShell Web Access Cmdlets。

有关 Windows PowerShell Web Access 授权规则和安全的更多细节，请参见 Windows PowerShell Web Access 的授权规则和安全特性。

添加限制性授权规则

1. 使用提升的用户权限执行以下操作之一打开 Windows PowerShell 会话。

   • 在 Windows 桌面上，右键单击任务栏上的 Windows PowerShell ，然后单击“ 以管理员身份运行”。
   • 在Windows 开始 界面，右键点击 Windows PowerShell，然后点击 “以管理员身份运行”。

2. 通过会话配置限制用户访问的可选步骤：确认你想在规则中使用的会话配置已经存在。 如果尚未创建会话配置，请使用 about_Session_Configuration_Files创建会话配置的说明。

3. 键入以下内容，然后按 Enter。

   Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

   该授权规则允许特定用户访问其通常可访问的网络中一台计算机，并访问针对其典型脚本和命令包需求的特定会话配置。

   在以下示例中，域中一个被命名JSmithContoso的用户被授予管理计算机Contoso_214的权限，并使用名为 NewAdminsOnly的会话配置。

   Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

4. 通过运行 Get-PswaAuthorizationRule 命令小工具验证规则是否已创建，或者 Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

   例如，Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214。

配置好授权规则后，授权用户即可登录基于网页的控制台，开始使用 Windows PowerShell Web Access。

自定义部署

您可以使用服务器管理器中的“添加角色和功能向导”，在运行Windows Server 2012 R2或Windows Server 2012的服务器上安装Windows PowerShell Web Access网关。 安装 Windows PowerShell Web Access 后，你可以在 IIS Manager 中自定义网关配置。

使用添加角色和功能向导安装 Windows PowerShell 网页访问

1. 如果服务器管理器已经打开，则继续执行下一步。 如果服务器管理器尚未打开，请执行以下任一操作打开它。

   • 在 Windows 桌面上，通过单击 Windows 任务栏中 的服务器管理器启动服务器管理器 。
   • 在Windows 开始 界面，点击 服务器管理器。

2. 在 管理 菜单中，点击 添加角色和功能。

3. 在“选择安装类型”页上，选择“基于角色或基于功能的安装”。 单击 “下一步” 。

4. 在 “选择目标服务器 ”页面，从服务器池中选择服务器，或选择离线 VHD。 要选择离线VHD作为目标服务器，首先选择安装VHD的服务器，然后选择VHD文件。 有关如何将服务器添加到服务器池的信息，请参见服务器管理员帮助。 选择目标服务器后，点击 “下一步”。

5. 在向导的 “选择功能 ”页面，展开 Windows PowerShell，然后选择 Windows PowerShell Web 访问。

6. 请注意，系统提示您添加必要功能，如 .NET Framework 4.5 和 Web Server （IIS） 的角色服务。 添加必需功能后继续。

   注释

   通过添加角色和功能向导安装 Windows PowerShell Web 访问，也会安装 Web 服务器（IIS），包括 IIS Manager 的 snap-in。 如果你使用添加角色和功能向导，默认安装了 snap-in 和其他 IIS 管理工具。 如果您按照以下步骤使用Windows PowerShell cmdlet安装Windows PowerShell Web Access，默认不会添加管理工具。

7. 在 确认安装选择 页面，如果Windows PowerShell Web Access的功能文件未存储在你在步骤4中选择的目标服务器上，点击 “指定备用源路径”，并提供功能文件的路径。 否则，点击 安装。

8. 点击 安装后， 安装进度 页面会显示安装进度、结果以及诸如警告、失败或安装后配置步骤等 Windows PowerShell Web Access 所需的提示。 安装 Windows PowerShell Web Access 后，系统提示您查看 readme 文件，其中包含网关的基本、必要的设置说明。 这些说明也包含在本主题中。 通往 readme 文件的路径是 C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt。

配置网关

本节中的说明是关于将 Windows PowerShell Web Access 网页应用安装在子目录中，而非网站根目录中。 该过程是基于图形界面的命令调用（cmdlet）执行 Install-PswaWebApplication 的作的等价过程。 本节还包括如何使用 IIS Manager 将 Windows PowerShell Web Access 网关配置为根网站的说明。

使用 IIS Manager 在现有网站中配置网关

1. 通过以下其中之一打开IIS管理器控制台。

   • 在 Windows 桌面上，通过单击 Windows 任务栏中 的服务器管理器启动服务器管理器 。 在服务器管理器 的工具菜单中 ，点击 互联网信息服务（IIS）管理器。
   • 在Windows 开始 界面，输入名称中的任意部分，即互联网 信息服务（IIS）管理器。 当快捷方式显示在 应用 结果中时，点击它。

2. 为 Windows PowerShell Web Access 创建一个新的应用池。 在 IIS 管理器树窗格中展开网关服务器的节点，选择应用池，然后在作窗格中点击添加应用池。

3. 添加一个名为 pswa_pool的新应用池，或提供另一个名称。 单击 “确定” 。

4. 在 IIS 管理器树窗中，展开安装 Windows PowerShell Web Access 的服务器节点，直到 Sites 文件夹可见。 选择 “网站 ”文件夹。

5. 右键点击你想添加 Windows PowerShell Web Access 网站的网站（例如默认 网站），然后点击 添加应用程序。

6. 在 别名 字段中输入pswa，或提供其他别名。 别名即为虚拟目录名称。 例如，以下URL中的 pswa 表示此步骤中指定的别名： https://<server-name>/pswa。

7. 在 应用池 字段中，选择你在步骤3创建的应用池。

8. 在 物理路径 字段中，浏览应用的位置。 你可以使用默认位置。 $env:windir/Web/PowerShellWebAccess/wwwroot 单击 “确定” 。

9. 请按照本主题的 IIS管理器中SSL证书配置 步骤作。

10. 可选的安全步骤：

    在树状菜单中选择网站后，双击内容面板中的 SSL设置 。 选择 “要求SSL”，然后在 作 面板中点击 “应用”。 可选地，在 SSL 设置 面板中，你可以要求连接到 Windows PowerShell Web Access 网站的用户拥有客户端证书。 客户端证书有助于验证客户端设备用户的身份。 关于要求客户端证书如何提升Windows PowerShell Web Access的安全性，请参阅本指南中的 授权规则和Windows PowerShell Web Access的安全特性 。

11. 在客户端设备上打开浏览器会话。 有关支持的浏览器和设备的更多信息，请参见本主题中的 浏览器和客户端设备支持 。

12. 打开新的 Windows PowerShell Web Access 网站，https://<gateway-server-name>/pswa。

    浏览器应显示 Windows PowerShell Web Access 控制台登录页面。

    注释

    在用户通过添加授权规则获得访问权限之前，你无法登录。 欲了解更多信息，请参见本主题中的 “配置限制性授权规则”以及“ Windows PowerShell Web 访问的授权规则与安全特性”。

13. 在已以提升用户权限（以管理员身份运行）打开的 Windows PowerShell 会话中，运行以下脚本，其中 application_pool_name 代表你在步骤 3 创建的应用池名称，以赋予应用池对授权文件的访问权限。

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    要查看授权文件上的现有访问权限，请执行以下命令：

    c:\windows\system32\icacls.exe $authorizationFile
    

使用 IIS Manager 将网关配置为带有测试证书的根网站

1. 通过以下其中之一打开IIS管理器控制台。

   • 在 Windows 桌面上，通过单击 Windows 任务栏中 的服务器管理器启动服务器管理器 。 在服务器管理器 的工具菜单中 ，点击 互联网信息服务（IIS）管理器。
   • 在Windows 开始 界面，输入名称中的任意部分，即互联网 信息服务（IIS）管理器。 当快捷方式显示在 应用 结果中时，点击它。

2. 在 IIS 管理器树窗中，展开安装 Windows PowerShell Web Access 的服务器节点，直到 Sites 文件夹可见。 选择 “网站 ”文件夹。

3. 在 作 面板中，点击 添加网站。

4. 输入网站名称，比如 Windows PowerShell Web Access。

5. 新网站会自动创建一个应用池。 要使用不同的应用池，请点击 选择 以与新网站关联的应用池。 在 “选择应用池 ”对话框中选择备用应用池，然后点击 确定。

6. 在 物理路径 文本框中，导航到 %windir%/Web/PowerShellWebAccess/wwwroot。

7. 在绑定区域的类型字段中，选择 https。

8. 为尚未被其他网站或应用使用的网站分配端口号。 要查找未开端口，可以在命令提示符窗口中运行 netstat 命令。 默认端口号是443。

   如果其他网站已经使用443，或者你有其他安全原因需要更改端口号，请更改默认端口。 如果你的网关服务器上运行的其他网站正在使用你选定的端口，点击“添加网站”对话框中的确定时会显示警告。 你必须使用未使用的端口来运行 Windows PowerShell Web Access。

9. 如果你的组织需要，也可以选择一个对组织和用户都适用的主机名称，例如 www.contoso.com。 单击 “确定” 。

10. 为了更安全的生产环境，我们强烈建议提供由CA签署的有效证书。 您必须提供SSL证书，因为用户只能通过HTTPS网站访问Windows PowerShell Web Access。 关于如何获取证书的更多信息，请参见本主题中的 “在 IIS Manager 中配置 SSL 证书 ”。

11. 点击 确定 关闭 “添加网站 ”对话框。

12. 在已以提升用户权限（以管理员身份运行）打开的 Windows PowerShell 会话中，运行以下脚本，其中 application_pool_name 代表你在第 4 步创建的应用池名称，以赋予该应用池对授权文件的访问权限。

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    要查看授权文件上的现有访问权限，请执行以下命令：

    c:\windows\system32\icacls.exe $authorizationFile
    

13. 在 IIS Manager 树窗格中选择新网站后，点击作窗格中的“开始”以启动网站。

14. 在客户端设备上打开浏览器会话。 有关支持的浏览器和设备的更多信息，请参见本文档中的 浏览器和客户端设备支持 。

15. 打开新的Windows PowerShell Web Access网站。

    由于根网站指向 Windows PowerShell Web Access 文件夹，浏览器打开时应显示 Windows PowerShell Web Access 登录页面 https://<gateway_server_name>。 你不需要在网址里添加 /pswa 。

    注释

    在用户通过添加授权规则获得访问权限之前，你无法登录。 欲了解更多信息，请参见本主题中的 “配置限制性授权规则”以及“ Windows PowerShell Web 访问的授权规则与安全特性”。

配置限制性授权规则

安装 Windows PowerShell Web Access 并配置好网关后，用户可以在浏览器中打开登录页面，但在 Windows PowerShell Web Access 管理员明确授权用户之前，无法登录。 Windows PowerShell 的 Web 访问控制通过使用下表中描述的 Windows PowerShell 命令包进行管理。 没有类似的图形界面用于添加或管理授权规则。 有关 Windows PowerShell Web Access 命令项的更详细信息，请参见 cmdlet 参考主题，Windows PowerShell Web Access Cmdlets。

有关 Windows PowerShell Web Access 授权规则和安全的更多细节，请参见 Windows PowerShell Web Access 的授权规则和安全特性。

添加限制性授权规则

1. 使用提升的用户权限执行以下操作之一打开 Windows PowerShell 会话。

   • 在 Windows 桌面上，右键单击任务栏上的 Windows PowerShell ，然后单击“ 以管理员身份运行”。
   • 在Windows 开始 界面，右键点击 Windows PowerShell，然后点击 “以管理员身份运行”。

2. 通过会话配置限制用户访问的可选步骤：

   确认你想在规则中使用的会话配置是否已经存在。 如果尚未创建会话配置，请使用 about_Session_Configuration_Files创建会话配置的说明。

3. 键入以下内容，然后按 Enter。

   Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

   该授权规则允许特定用户访问其通常可访问的网络中一台计算机，并访问针对其™典型脚本和命令包需求的特定会话配置。

   在以下示例中，域中一个被命名JSmithContoso的用户被授予管理计算机Contoso_214的权限，并使用名为 NewAdminsOnly的会话配置。

   Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

4. 通过运行 Get-PswaAuthorizationRule 命令 Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>控件或 来验证该规则是否已创建。

   例如，Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214。

   配置好授权规则后，授权用户即可登录基于网页的控制台，开始使用 Windows PowerShell Web Access。

配置一份正规证书

为了安全的生产环境，始终使用由认证机构（CA）签署的有效SSL证书。 本节流程描述了如何从CA获取并应用有效的SSL证书。

在 IIS 管理器中配置 SSL 证书

1. 在 IIS 管理器树窗中，选择安装 Windows PowerShell Web Access 的服务器。

2. 在内容面板中，双击 “服务器证书”。

3. 在 作 面板中，请执行以下之一。 有关在 IIS 中配置服务器证书的更多信息，请参见 IIS 7 中的服务器证书配置。

   • 点击 导入 ，从网络中某个位置导入现有且有效的证书。

   • 点击 创建证书请求 ，向 VeriSign、 Thawte或 GeoTrust等CA请求证书。 证书的通用名称必须与请求中的主机头匹配。

     例如，如果客户端浏览器请求 https://www.contoso.com/，那么公共名称也必须是 https://www.contoso.com/。 这是为Windows PowerShell Web Access网关提供证书的最安全且推荐的选项。

   • 点击 创建 Self-Signed 证书 ，创建一个你可以立即使用、需要后由CA签署的证书。 为自签名证书指定友好名称，例如 Windows PowerShell Web Access。 该选项不被视为安全，仅推荐用于私人测试环境。

4. 创建或获得证书后，在 IIS 管理器树窗中选择应用证书的网站（例如默认网站），然后在作面板中点击绑定。

5. 在 “添加网站绑定 ”对话框中，如果网站还没有显示，请添加一个 https 绑定。 如果你没有使用自签名证书，请在本步骤第3步指定主机名。 如果您使用自签名证书，则无需此步骤。

6. 选择你在本步骤第3步获得或创建的证书，然后点击 确定。

使用 基于网页的 Windows PowerShell 控制台

安装 Windows PowerShell Web Access 并完成本主题所述的网关配置后，Windows PowerShell 基于网页的控制台即可使用。 关于如何开始使用基于网页的控制台的更多信息，请参见 “使用基于网页的 Windows PowerShell 控制台”。

另请参阅

互联网信息服务（IIS）7.0 文档

IIS Manager 7.0 帮助

配置Web服务器安全（IIS 7）

IPsec部署资源