共用方式為


Just Enough Administration

恰到好處的系統管理 (JEA) 是安全性技術,允許委派管理 PowerShell 管理的任何項目。 透過 JEA,您可以:

  • 使用虛擬機或群組管理的服務帳戶減少機器 上的系統管理員數目,以代表一般使用者執行特殊許可權動作。
  • 藉由指定他們可以執行的 Cmdlet、函式和外部命令,來限制使用者可以執行的 動作。
  • 進一步了解使用者正在執行 哪些文字記錄和記錄,其中顯示使用者在其會話期間執行哪些命令。

為什麼 JEA 很重要?

用來管理伺服器的高度特殊權限帳戶會造成嚴重的安全性風險。 如果攻擊者入侵其中一個帳戶,他們可能會在整個組織中啟動 橫向攻擊 。 每個遭入侵的帳戶可讓攻擊者存取更多帳戶和資源,並讓他們更接近竊取公司秘密、啟動阻斷服務攻擊等等。

移除系統管理權限也不一定容易。 請考慮在與 Active Directory 網域 控制器相同的電腦上安裝 DNS 角色的常見案例。 您的 DNS 系統管理員需要有本機系統管理員權限才能修正 DNS 伺服器的問題。 但若要這樣做,您必須將其成員設為高許可權網域 管理員 安全組的成員。 此方法可有效地讓 DNS 管理員 istrators 控制整個網域,以及存取該電腦上的所有資源。

JEA 透過最低許可權原則解決此問題。 透過 JEA,您可以為 DNS 系統管理員設定管理端點,以便他們只存取完成工作所需的 PowerShell 命令。 這表示您可以提供適當的存取權來修復有害的 DNS 快取或重新啟動 DNS 伺服器,而不會在無意中授與他們 Active Directory、瀏覽檔案系統或執行潛在危險指令碼的權限。 更棒的是,當 JEA 會話設定為使用暫時特殊許可權虛擬帳戶時,您的 DNS 系統管理員可以使用非系統管理員認證連線到伺服器,但仍執行通常需要系統管理員許可權的命令。 JEA 可讓您從具有廣泛許可權的本機/網域系統管理員角色中移除使用者,並仔細控制他們在每部計算機上可以執行的動作。

下一步

若要深入瞭解使用 JEA 的需求,請參閱 必要條件 一文。

範例和 DSC 資源

您可以在 JEA GitHub 存放庫中找到 JEA 設定範例和 JEA DSC 資源。