Share via

Instalace a použití aplikace Windows PowerShell Web Access

  • Článek

Aktualizováno: 5. listopadu 2013 (upraveno: 23. srpna 2017)

Platí pro: Windows Server 2012 R2, Windows Server 2012

Úvod

Windows PowerShell Web Access, poprvé představený v Windows Server 2012, funguje jako brána Windows PowerShell a poskytuje webovou Windows PowerShell konzolu, která je určená pro vzdálený počítač. It specialistům umožňuje spouštět příkazy a skripty Windows PowerShell z konzoly Windows PowerShell ve webovém prohlížeči bez nutnosti instalace Windows PowerShell, softwaru pro vzdálenou správu nebo modulu plug-in prohlížeče na klientském zařízení. Ke spuštění webové konzoly Windows PowerShell stačí správně nakonfigurovaná brána Windows PowerShell Web Access a prohlížeč klientského zařízení, který podporuje JavaScript a přijímá soubory cookie.

Mezi příklady klientských zařízení patří přenosné počítače, nepracovní osobní počítače, vypůjčené počítače, tabletové počítače, webové terminály, počítače, které nepoužívají operační systém Windows, a prohlížeče mobilních telefonů. IT specialisté mohou provádět důležité úlohy správy na vzdálených serverech se systémem Windows ze zařízení, která mají přístup k internetovému připojení a webovému prohlížeči.

Po úspěšném nastavení a konfiguraci brány můžou uživatelé přistupovat ke konzole Windows PowerShell pomocí webového prohlížeče. Když uživatelé otevřou zabezpečený web Windows PowerShell Web Access, můžou po úspěšném ověření spustit webovou konzolu Windows PowerShell.

Windows PowerShell nastavení a konfigurace webového accessu je třístupňový proces:

  1. Instalace Windows PowerShell Web Accessu
  2. Konfigurace brány
  3. Konfigurace omezujícího autorizačního pravidla

Před instalací a konfigurací aplikace Windows PowerShell Web Access doporučujeme přečíst si celou tuto příručku, která obsahuje pokyny k instalaci, zabezpečení a odinstalaci aplikace Windows PowerShell Web Access. Téma Použití webové konzoly Windows PowerShell popisuje, jak se uživatelé přihlašují k webové konzole, a popisuje omezení a rozdíly mezi webovou konzolou Windows PowerShell a konzoloupowershell.exe. Koncoví uživatelé webové konzoly by si měli přečíst článek Použití webové Windows PowerShell konzoly, ale nemusí číst zbytek této příručky.

Toto téma neposkytuje podrobné pokyny k operacím webového serveru služby IIS. V tomto tématu jsou popsány pouze kroky potřebné ke konfiguraci brány Windows PowerShell Web Access. Další informace o konfiguraci a zabezpečení webů ve službě IIS najdete v dokumentaci ke službě IIS v části Viz také.

Následující diagram znázorňuje, jak funguje Windows PowerShell Web Access.

diagram Windows PowerShell Web Accessu

Požadavky pro spuštění Windows PowerShell Web Accessu

Windows PowerShell Web Access vyžaduje, aby na serveru, na kterém chcete bránu spustit, běžel webový server (IIS), rozhraní .NET Framework 4.5 a Windows PowerShell 3.0 nebo Windows PowerShell 4.0. Windows PowerShell Web Access můžete nainstalovat na server se systémem Windows Server 2012 R2 nebo Windows Server 2012 pomocí Průvodce přidáním rolí a funkcí v Správce serveru nebo Windows PowerShell rutiny nasazení pro Správce serveru. Při instalaci aplikace Windows PowerShell Web Access pomocí rutin Správce serveru nebo jeho nasazení se v rámci procesu instalace automaticky přidají požadované role a funkce.

Windows PowerShell Web Access umožňuje vzdáleným uživatelům přistupovat k počítačům ve vaší organizaci pomocí Windows PowerShell ve webovém prohlížeči. I když je Windows PowerShell Web Access pohodlným a výkonným nástrojem pro správu, webový přístup představuje bezpečnostní rizika a měl by být nakonfigurován co nejbezpečněji. Doporučujeme, aby správci, kteří konfigurují bránu Windows PowerShell Web Access, používali dostupné vrstvy zabezpečení, a to jak pravidla autorizace založená na rutinách, která jsou součástí Windows PowerShell Web Access, tak vrstvy zabezpečení, které jsou k dispozici na webovém serveru (IIS) a v aplikacích třetích stran. Tato dokumentace obsahuje nezabezpečené příklady, které se doporučují pouze pro testovací prostředí, a také příklady, které se doporučují pro zabezpečená nasazení.

Podpora prohlížečů a klientských zařízení

Windows PowerShell Web Access podporuje následující internetové prohlížeče. I když mobilní prohlížeče nejsou oficiálně podporované, mnoho z nich může být schopno spustit webovou Windows PowerShell konzolu. U jiných prohlížečů, které přijímají soubory cookie, spouštějí JavaScript a spouští weby HTTPS, se očekává, že budou fungovat, ale nejsou oficiálně testovány.

Podporované prohlížeče stolních počítačů

  • Windows Internet Explorer pro Microsoft Windows 8.0, 9.0, 10.0 a 11.0
  • Mozilla Firefox 10.0.2
  • Google Chrome 17.0.963.56m pro Windows
  • Apple Safari 5.1.2 pro Windows
  • Apple Safari 5.1.2 pro Mac OS

Minimálně otestovaná mobilní zařízení nebo prohlížeče

  • Windows Phone 7 a 7,5
  • Google Android WebKit 3.1 Prohlížeč Android 2.2.1 (jádro 2.6)
  • Apple Safari pro iPhone operační systém 5.0.1
  • Apple Safari pro iPad 2 operační systém 5.0.1

Požadavky na prohlížeč

Pokud chcete používat webovou konzolu Windows PowerShell Web Access, musí prohlížeče provádět následující akce.

  • Povolit soubory cookie z webu brány Windows PowerShell Web Access.
  • Budete moct otevírat a číst stránky HTTPS.
  • Otevřete a spusťte weby, které používají JavaScript.

Bránu Windows PowerShell Web Access můžete nainstalovat na server, na kterém běží Windows Server 2012 R2 nebo Windows Server 2012, buď pomocí rutin Windows PowerShell, nebo pomocí Průvodce přidáním rolí a funkcí, který se otevře přímo v Správce serveru. Pro rychlou instalaci a konfiguraci použijte rutiny Windows PowerShell, jak je popsáno v této části.

  1. Instalace Windows PowerShell Web Accessu
  2. Konfigurace brány
  3. Konfigurace omezujícího autorizačního pravidla

Instalace Windows PowerShell Web Accessu pomocí rutin PowerShellu

Instalace aplikace Windows PowerShell Web Access pomocí rutin Windows PowerShell

  1. Jedním z následujících postupů otevřete relaci Windows PowerShell se zvýšenými uživatelskými právy.

    • Na ploše Windows klikněte pravým tlačítkem na Windows PowerShell na hlavním panelu a potom klikněte na Spustit jako správce.
    • Na obrazovce Start systému Windows klikněte pravým tlačítkem na Windows PowerShell a potom klikněte na Spustit jako správce.

    Poznámka

    V Windows PowerShell 3.0 a 4.0 není nutné importovat modul rutiny Správce serveru do relace Windows PowerShell před spuštěním rutin, které jsou součástí modulu. Modul se automaticky importuje, jakmile poprvé spustíte rutinu, která je součástí daného modulu. V rutinách Windows PowerShell se nerozlišují velká a malá písmena.

  2. Zadejte následující příkaz a stiskněte klávesu Enter, kde computer_name představuje vzdálený počítač, na který chcete nainstalovat Windows PowerShell Web Access, pokud je to možné. Parametr -Restart v případě potřeby automaticky restartuje cílové servery.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

    Poznámka

    Při instalaci aplikace Windows PowerShell Web Access pomocí rutin Windows PowerShell se ve výchozím nastavení nepřidají nástroje pro správu webového serveru (IIS). Pokud chcete nástroje pro správu nainstalovat na stejný server jako brána Windows PowerShell Web Access, přidejte -IncludeManagementTools parametr do instalačního příkazu (jak je uvedeno v tomto kroku). Pokud spravujete web Windows PowerShell Web Access ze vzdáleného počítače, nainstalujte modul snap-in Správce služby IIS tak, že na počítači, ze kterého chcete bránu spravovat, nainstalujte Nástroje pro vzdálenou správu serveru pro Windows 8.1 nebo Nástroje pro vzdálenou správu serveru pro Windows 8.

    Pokud chcete na offline virtuální pevný disk nainstalovat role a funkce, musíte přidat parametr -VHD i -ComputerName parametr. Parametr -ComputerName obsahuje název serveru, ke kterému chcete připojit virtuální pevný disk. Parametr -VHD pak obsahuje cestu k souboru VHD na určeném serveru.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

  3. Po dokončení instalace ověřte, že byla na cílových serverech nainstalována aplikace Windows PowerShell Web Access spuštěním Get-WindowsFeature rutiny na cílovém serveru v konzole Windows PowerShell, která byla otevřena se zvýšenými uživatelskými právy. Můžete také ověřit, že Windows PowerShell Web Access byl nainstalován v konzole Správce serveru tak, že na stránce Všechny servery vyberete cílový server a pak zobrazíte dlaždici Role a funkce pro vybraný server. Můžete také zobrazit soubor readme pro Windows PowerShell Web Access.

  4. Po instalaci aplikace Windows PowerShell Web Access se zobrazí výzva ke kontrole souboru readme, který obsahuje základní požadované pokyny k nastavení brány. Tyto pokyny k nastavení najdete také v následující části Konfigurace brány. Cesta k souboru readme je C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurace brány

Rutina Install-PswaWebApplication představuje rychlý způsob, jak Windows PowerShell Web Access nakonfigurovat. I když můžete do Install-PswaWebApplication rutiny přidat UseTestCertificate parametr a nainstalovat certifikát SSL podepsaný svým držitelem pro testovací účely, není to bezpečné. Pro zabezpečené produkční prostředí vždy používejte platný certifikát SSL podepsaný certifikační autoritou. Správci mohou testovací certifikát nahradit podepsaným certifikátem podle svého výběru pomocí konzoly Správce služby IIS.

Konfiguraci webové aplikace Windows PowerShell Web Access můžete dokončit spuštěním Install-PswaWebApplication rutiny nebo provedením kroků konfigurace založených na grafickém uživatelském rozhraní ve Správci služby IIS. Ve výchozím nastavení rutina nainstaluje webovou aplikaci , pswa (a fond aplikací pro ni , pswa_pool), do kontejneru výchozího webu , jak je znázorněno ve Správci služby IIS; V případě potřeby můžete rutině dát pokyn, aby změnila výchozí kontejner webu webové aplikace. Správce služby IIS nabízí možnosti konfigurace, které jsou k dispozici pro webové aplikace, například změna čísla portu nebo certifikátu SSL (Secure Sockets Layer).

Důležité

Důrazně doporučujeme, aby správci nakonfigurovali bránu tak, aby používala platný certifikát podepsaný certifikační autoritou.

Konfigurace brány Windows PowerShell Web Access s testovacím certifikátem pomocí Install-PswaWebApplication

  1. Pokud chcete otevřít relaci Windows PowerShell, udělejte jednu z následujících věcí.

    • Na ploše Windows klikněte pravým tlačítkem na Windows PowerShell na hlavním panelu.
    • Na obrazovce Start ve Windows klikněte na Windows PowerShell.

  2. Zadejte toto a stiskněte klávesu Enter.

    Install-PswaWebApplication -UseTestCertificate

    Důležité

    Parametr UseTestCertificate by se měl používat pouze v privátním testovacím prostředí. Pro zabezpečené produkční prostředí doporučujeme použít platný certifikát podepsaný certifikační autoritou.

    Spuštěním rutiny se webová aplikace Windows PowerShell Web Access nainstaluje do kontejneru výchozího webu služby IIS. Rutina vytvoří infrastrukturu potřebnou ke spuštění aplikace Windows PowerShell Web Access na výchozím webu https://<server_name>/pswa. Pokud chcete webovou aplikaci nainstalovat na jiný web, zadejte název webu přidáním parametru WebSiteName . Pokud chcete změnit název webové aplikace (výchozí nastavení je pswa), přidejte WebApplicationName parametr .

    Spuštěním rutiny se konfigurují následující nastavení. V případě potřeby je můžete změnit ručně v konzole Správce služby IIS.

    • Cesta: /pswa
    • Fond aplikací: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Příklad: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

    V tomto příkladu je https://<server_name>/myWebAppvýsledný web pro Windows PowerShell Web Access .

    Poznámka

    Po přidání autorizačních pravidel se nemůžete přihlásit, dokud nebude uživatelům udělen přístup k webu. Další informace najdete v tématu Konfigurace omezujícího autorizačního pravidlaa Autorizační pravidla a funkce zabezpečení Windows PowerShell Web Access.

Konfigurace brány Windows PowerShell Web Access s originálním certifikátem pomocí Install-PswaWebApplication a Správce služby IIS

  1. Pokud chcete otevřít relaci Windows PowerShell, udělejte jednu z následujících věcí.

    • Na ploše Windows klikněte pravým tlačítkem na Windows PowerShell na hlavním panelu.
    • Na obrazovce Start ve Windows klikněte na Windows PowerShell.

  2. Zadejte toto a stiskněte klávesu Enter.

    Install-PswaWebApplication

    Spuštěním rutiny se nakonfiguruje následující nastavení brány. V případě potřeby je můžete změnit ručně v konzole Správce služby IIS. Můžete také zadat hodnoty parametrů WebsiteName a WebApplicationName rutiny Install-PswaWebApplication .

    • Cesta: /pswa
    • Fond aplikací: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Otevřete konzolu Správce služby IIS jedním z následujících postupů.

    • Na ploše Windows spusťte Správce serveru kliknutím na Správce serveru na hlavním panelu Windows. V nabídce Nástroje v Správce serveru klikněte na Správce Internetové informační služby (IIS).
    • Na obrazovce Start ve Windows klikněte na Správce serveru.

  4. V podokně stromu Správce služby IIS rozbalte uzel pro server, na kterém je nainstalována Windows PowerShell Web Access, dokud se nezobrazí složka Weby. Rozbalte složku Weby .

  5. Vyberte web, na který jste nainstalovali webovou aplikaci Windows PowerShell Web Access. V podokně Akce klikněte na Vazby.

  6. V dialogovém okně Vazby webu klikněte na Přidat.

  7. V dialogovém okně Přidat vazbu webu v poli Typ vyberte https.

  8. V poli Certifikát SSL vyberte v rozevírací nabídce podepsaný certifikát. Klikněte na OK. Další informace o tom, jak certifikát získat, najdete v části Konfigurace certifikátu SSL ve Správci služby IIS v tomto tématu.

    Webová aplikace Windows PowerShell Web Access je teď nakonfigurovaná tak, aby používala podepsaný certifikát SSL.

    Přístup k Windows PowerShell Web Accessu získáte otevřením https://<server_name>/pswa v okně prohlížeče.

    Poznámka

    Po přidání autorizačních pravidel se nemůžete přihlásit, dokud nebude uživatelům udělen přístup k webu. Další informace najdete v tématech Konfigurace omezujícího autorizačního pravidla v tomto tématu a Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access.

Konfigurace omezujícího autorizačního pravidla

Po instalaci aplikace Windows PowerShell Web Access a konfiguraci brány můžou uživatelé otevřít přihlašovací stránku v prohlížeči, ale nemůžou se přihlásit, dokud správce Windows PowerShell Web Access uživatelům explicitně neudělí přístup. Windows PowerShell řízení přístupu k webovému přístupu se spravuje pomocí sady rutin Windows PowerShell popsaných v následující tabulce. Pro přidání nebo správu autorizačních pravidel neexistuje žádné srovnatelné grafické uživatelské rozhraní. Podrobnější informace o rutinách Windows PowerShell Web Access najdete v tématech s referenčními informacemi o rutinách Windows PowerShell rutinách web accessu.

Další podrobnosti o autorizačních pravidlech a zabezpečení aplikace Windows PowerShell Web Access najdete v tématu Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access.

Přidání omezujícího autorizačního pravidla

  1. Jedním z následujících postupů otevřete relaci Windows PowerShell se zvýšenými uživatelskými právy.

    • Na ploše Windows klikněte pravým tlačítkem na Windows PowerShell na hlavním panelu a potom klikněte na Spustit jako správce.
    • Na obrazovce Start systému Windows klikněte pravým tlačítkem na Windows PowerShell a potom klikněte na Spustit jako správce.

  2. Volitelný krok pro omezení přístupu uživatelů pomocí konfigurací relací: Ověřte, že už existují konfigurace relací, které chcete použít v pravidlech. Pokud ještě nejsou vytvořené, postupujte podle pokynů pro vytváření konfigurací relací v about_Session_Configuration_Files.

  3. Zadejte toto a stiskněte klávesu Enter.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Toto autorizační pravidlo umožňuje konkrétnímu uživateli přístup k jednomu počítači v síti, ke kterému má obvykle přístup, s přístupem ke konkrétní konfiguraci relace, která je vymezena podle obvyklých potřeb uživatele pro skriptování a rutiny.

    V následujícím příkladu má uživatel v JSmithContoso doméně udělený přístup ke správě počítače Contoso_214a použije konfiguraci relace s názvem NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Spuštěním rutiny Get-PswaAuthorizationRule nebo ověřte, že je pravidlo vytvořené. Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

    Například, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Po nakonfigurování autorizačního pravidla jste připraveni, aby se autorizovaní uživatelé přihlásili k webové konzole a začali používat Windows PowerShell Web Access.

Vlastní nasazení

Bránu Windows PowerShell Web Access můžete nainstalovat na server se systémem Windows Server 2012 R2 nebo Windows Server 2012 pomocí Průvodce přidáním rolí a funkcí v Správce serveru. Po instalaci aplikace Windows PowerShell Web Access můžete přizpůsobit konfiguraci brány ve Správci služby IIS.

Instalace Windows PowerShell Web Accessu pomocí Průvodce přidáním rolí a funkcí

  1. Pokud je Správce serveru už otevřená, přejděte k dalšímu kroku. Pokud Správce serveru ještě není otevřená, otevřete ji jedním z následujících postupů.

    • Na ploše Windows spusťte Správce serveru kliknutím na Správce serveru na hlavním panelu Windows.
    • Na obrazovce Start ve Windows klikněte na Správce serveru.

  2. V nabídce Spravovat klikněte na Přidat role a funkce.

  3. Na stránce Výběr typu instalace vyberte Instalace na základě role nebo funkce. Klikněte na Next (Další).

  4. Na stránce Vybrat cílový server vyberte server z fondu serverů nebo vyberte offline virtuální pevný disk. Pokud chcete jako cílový server zvolit offline virtuální pevný disk, vyberte nejdřív server, ke kterému chcete virtuální pevný disk připojit, a pak vyberte příslušný soubor VHD. Informace o tom, jak přidat servery do fondu serverů, najdete v nápovědě k Správce serveru. Po výběru cílového serveru klikněte na Další.

  5. Na stránce Vybrat funkce v průvodci rozbalte Windows PowerShell a pak vyberte Windows PowerShell Web Access.

  6. Všimněte si, že se zobrazí výzva k přidání požadovaných funkcí, jako je .NET Framework 4.5, a služeb rolí webového serveru (IIS). Přidejte požadované funkce a pokračujte.

    Poznámka

    Instalace Windows PowerShell Webového přístupu pomocí Průvodce přidáním rolí a funkcí také nainstaluje webový server (IIS), včetně modulu snap-in Správce služby IIS. Modul snap-in a další nástroje pro správu služby IIS se instalují ve výchozím nastavení, pokud použijete Průvodce přidáním rolí a funkcí. Pokud Windows PowerShell Web Access nainstalujete pomocí rutin Windows PowerShell, jak je popsáno v následujícím postupu, nástroje pro správu se ve výchozím nastavení nepřidají.

  7. Pokud nejsou soubory funkcí pro Windows PowerShell Web Access uložené na cílovém serveru, který jste vybrali v kroku 4, klikněte na stránce Potvrdit výběr instalace a zadejte cestu k souborům funkcí. V opačném případě klikněte na Nainstalovat.

  8. Po kliknutí na nainstalovat se na stránce Průběh instalace zobrazí průběh instalace, výsledky a zprávy, jako jsou upozornění, selhání nebo kroky konfigurace po instalaci, které jsou vyžadovány pro Windows PowerShell Web Access. Po instalaci aplikace Windows PowerShell Web Access se zobrazí výzva ke kontrole souboru readme, který obsahuje základní požadované pokyny k nastavení brány. Tyto pokyny jsou také zahrnuty v tomto tématu. Cesta k souboru readme je C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurace brány

Pokyny v této části se vztahují k instalaci webové aplikace Windows PowerShell Web Access do podadresáře, a ne do kořenového adresáře vašeho webu. Tento postup je založený na grafickém uživatelském rozhraní ekvivalent akcí prováděných rutinou Install-PswaWebApplication . Tato část obsahuje také pokyny, jak pomocí Správce služby IIS nakonfigurovat bránu Windows PowerShell Web Access jako kořenový web.

Konfigurace brány na existujícím webu pomocí Správce služby IIS

  1. Otevřete konzolu Správce služby IIS jedním z následujících postupů.

    • Na ploše Windows spusťte Správce serveru kliknutím na Správce serveru na hlavním panelu Windows. V nabídce Nástroje v Správce serveru klikněte na Správce Internetové informační služby (IIS).
    • Na obrazovce Start systému Windows zadejte libovolnou část názvu Správce Internetové informační služby (IIS). Klikněte na zástupce, jakmile se zobrazí ve výsledcích aplikace .

  2. Create nový fond aplikací pro Windows PowerShell Web Access. Rozbalte uzel serveru brány ve stromovém podokně Správce služby IIS, vyberte Fondy aplikací a v podokně Akce klikněte na Přidat fond aplikací.

  3. Přidejte nový fond aplikací s názvem pswa_pool nebo zadejte jiný název. Klikněte na OK.

  4. V podokně stromu Správce služby IIS rozbalte uzel pro server, na kterém je nainstalována aplikace Windows PowerShell Web Access, dokud se nezobrazí složka Weby. Vyberte složku Weby .

  5. Klikněte pravým tlačítkem na web (například Výchozí web), na který chcete přidat web Windows PowerShell Web Access, a potom klikněte na Přidat aplikaci.

  6. Do pole Alias zadejte pswa nebo zadejte jiný alias. Alias se stane názvem virtuálního adresáře. Například pswa na následující adrese URL představuje alias zadaný v tomto kroku: https://<server-name>/pswa.

  7. V poli Fond aplikací vyberte fond aplikací, který jste vytvořili v kroku 3.

  8. V poli Fyzická cesta vyhledejte umístění aplikace. Můžete použít výchozí umístění $env:windir/Web/PowerShellWebAccess/wwwroot. Klikněte na OK.

  9. Postupujte podle kroků v postupu Konfigurace certifikátu SSL ve Správci služby IIS v tomto tématu.

  10. Volitelný krok zabezpečení:

    Když je web vybraný ve stromovém podokně, poklikejte na Nastavení SSL v podokně obsahu. Vyberte Vyžadovat PROTOKOL SSL a potom v podokně Akce klikněte na Použít. Volitelně můžete v podokně Nastavení SSL vyžadovat, aby uživatelé připojující se k webu Windows PowerShell Web Access měli klientské certifikáty. Klientské certifikáty pomáhají ověřit identitu uživatele klientského zařízení. Další informace o tom, jak může vyžadování klientských certifikátů zvýšit zabezpečení aplikace Windows PowerShell Web Access naleznete v části Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access v této příručce.

  11. Otevřete relaci prohlížeče na klientském zařízení. Další informace o podporovaných prohlížečích a zařízeních najdete v části Podpora prohlížečů a klientských zařízení v tomto tématu.

  12. Otevřete nový web Windows PowerShell Web Access https://<gateway-server-name>/pswa.

    V prohlížeči by se měla zobrazit přihlašovací stránka konzoly Windows PowerShell Web Access.

    Poznámka

    Nemůžete se přihlásit, dokud uživatelům nebude udělen přístup k webu přidáním autorizačních pravidel. Další informace najdete v části Konfigurace omezujícího autorizačního pravidla v tomto tématu a Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access.

  13. V Windows PowerShell relaci, která byla otevřena se zvýšenými uživatelskými právy (Spustit jako správce), spusťte následující skript, ve kterém application_pool_name představuje název fondu aplikací, který jste vytvořili v kroku 3, a udělte fondu aplikací přístupová práva k autorizačnímu souboru.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Pokud chcete zobrazit existující přístupová práva k autorizačnímu souboru, spusťte následující příkaz:

    c:\windows\system32\icacls.exe $authorizationFile

Konfigurace brány jako kořenového webu s testovacím certifikátem pomocí Správce služby IIS

  1. Otevřete konzolu Správce služby IIS jedním z následujících způsobů.

    • Na ploše Windows spusťte Správce serveru kliknutím na Správce serveru na hlavním panelu Windows. V nabídce Nástroje v Správce serveru klikněte na Správce Internetové informační služby (IIS).
    • Na obrazovce Start systému Windows zadejte libovolnou část názvu Správce Internetové informační služby (IIS). Klikněte na zástupce, jakmile se zobrazí ve výsledcích aplikace .

  2. V podokně stromu Správce služby IIS rozbalte uzel pro server, na kterém je nainstalována aplikace Windows PowerShell Web Access, dokud se nezobrazí složka Weby. Vyberte složku Weby .

  3. V podokně Akce klikněte na Přidat web.

  4. Zadejte název webu, například Windows PowerShell Web Access.

  5. Fond aplikací se pro nový web vytvoří automaticky. Pokud chcete použít jiný fond aplikací, klikněte na Vybrat a vyberte fond aplikací, který chcete přidružit k novému webu. V dialogovém okně Vybrat fond aplikací vyberte alternativní fond aplikací a klikněte na OK.

  6. V textovém poli Fyzická cesta přejděte na %windir%/Web/PowerShellWebAccess/wwwroot.

  7. V poli Typ v oblasti Vazba vyberte https.

  8. Přiřaďte webu číslo portu, které ještě nepoužívá jiný web nebo aplikace. Otevřené porty najdete spuštěním příkazu netstat v okně příkazového řádku. Výchozí číslo portu je 443.

    Změňte výchozí port, pokud už 443 používá jiný web nebo pokud máte jiné bezpečnostní důvody pro změnu čísla portu. Pokud vybraný port používá jiný web spuštěný na serveru brány, zobrazí se po kliknutí na OK v dialogovém okně Přidat web upozornění. Ke spuštění aplikace Windows PowerShell Web Access je nutné použít nepoužívaný port.

  9. Volitelně můžete v případě potřeby pro vaši organizaci zadat název hostitele, který dává smysl pro vaši organizaci a uživatele, například www.contoso.com. Klikněte na OK.

  10. V případě bezpečnějšího produkčního prostředí důrazně doporučujeme poskytnout platný certifikát podepsaný certifikační autoritou. Musíte zadat certifikát SSL, protože uživatelé se můžou k Windows PowerShell Web Access připojovat pouze prostřednictvím webu HTTPS. Další informace o tom, jak certifikát získat, najdete v části Konfigurace certifikátu SSL ve Správci služby IIS v tomto tématu.

  11. Kliknutím na OKzavřete dialogové okno Přidat web .

  12. V relaci Windows PowerShell, která byla otevřena se zvýšenými uživatelskými právy (Spustit jako správce), spusťte následující skript, ve kterém application_pool_name představuje název fondu aplikací, který jste vytvořili v kroku 4, a udělí fondu aplikací přístupová práva k autorizačnímu souboru.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Pokud chcete zobrazit existující přístupová práva k autorizačnímu souboru, spusťte následující příkaz:

    c:\windows\system32\icacls.exe $authorizationFile

  13. Ve stromovém podokně Správce služby IIS vyberte nový web a kliknutím na Tlačítko Spustit v podokně Akce spusťte web.

  14. Otevřete relaci prohlížeče na klientském zařízení. Další informace o podporovaných prohlížečích a zařízeních najdete v části Podpora prohlížečů a klientských zařízení v tomto dokumentu.

  15. Otevřete nový web Windows PowerShell Web Access.

    Vzhledem k tomu, že kořenový web odkazuje na složku Windows PowerShell Web Access, měl by prohlížeč při otevření https://<gateway_server_name>zobrazit přihlašovací stránku Windows PowerShell Web Accessu. Na adresu URL byste neměli přidávat /pswa .

    Poznámka

    Nemůžete se přihlásit, dokud uživatelům nebude udělen přístup k webu přidáním autorizačních pravidel. Další informace najdete v části Konfigurace omezujícího autorizačního pravidla v tomto tématu a Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access.

Konfigurace omezujícího autorizačního pravidla

Po instalaci aplikace Windows PowerShell Web Access a konfiguraci brány můžou uživatelé otevřít přihlašovací stránku v prohlížeči, ale nemůžou se přihlásit, dokud správce Windows PowerShell Web Accessu uživatelům explicitně neudělí přístup. Windows PowerShell Řízení přístupu k webu se spravuje pomocí sady rutin Windows PowerShell popsaných v následující tabulce. Neexistuje srovnatelné grafické uživatelské rozhraní pro přidávání nebo správu autorizačních pravidel. Podrobnější informace o rutinách Windows PowerShell Web Access najdete v tématech s referenčními informacemi o rutinách Windows PowerShell rutiny web accessu.

Další podrobnosti o autorizačních pravidlech a zabezpečení aplikace Windows PowerShell Web Access najdete v tématu Autorizační pravidla a funkce zabezpečení aplikace Windows PowerShell Web Access.

Přidání omezujícího autorizačního pravidla

  1. Pokud chcete otevřít relaci Windows PowerShell se zvýšenými uživatelskými právy, udělejte jednu z těchto věcí.

    • Na ploše Windows klikněte pravým tlačítkem na Windows PowerShell na hlavním panelu a potom klikněte na Spustit jako správce.
    • Na obrazovce Start ve Windows klikněte pravým tlačítkem na Windows PowerShell a potom klikněte na Spustit jako správce.

  2. Volitelný krok pro omezení přístupu uživatelů pomocí konfigurací relací:

    Ověřte, že konfigurace relací, které chcete použít v pravidlech, už existují. Pokud ještě nejsou vytvořené, postupujte podle pokynů pro vytváření konfigurací relací v about_Session_Configuration_Files.

  3. Zadejte toto a stiskněte klávesu Enter.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Toto autorizační pravidlo umožňuje konkrétnímu uživateli přístup k jednomu počítači v síti, ke kterému má obvykle přístup, s přístupem ke konkrétní konfiguraci relace, která je vymezena podle obvyklých potřeb uživatele ™skriptování a rutin.

    V následujícím příkladu má uživatel v JSmithContoso doméně udělený přístup ke správě počítače Contoso_214a použití konfigurace relace s názvem NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Spuštěním rutiny Get-PswaAuthorizationRule nebo Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>ověřte, že se pravidlo vytvořilo.

    Například, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

    Po nakonfigurování autorizačního pravidla jste připravení, aby se autorizovaní uživatelé mohli přihlásit k webové konzole a začít používat Windows PowerShell Web Access.

Konfigurace originálního certifikátu

Pro zabezpečené produkční prostředí vždy používejte platný certifikát SSL podepsaný certifikační autoritou (CA). Postup v této části popisuje, jak získat a použít platný certifikát SSL od certifikační autority.

Konfigurace certifikátu SSL ve Správci služby IIS

  1. Ve stromovém podokně Správce služby IIS vyberte server, na kterém je nainstalována aplikace Windows PowerShell Web Access.

  2. V podokně obsahu poklikejte na Certifikáty serveru.

  3. V podokně Akce udělejte jednu z těchto věcí. Další informace o konfiguraci certifikátů serveru ve službě IIS naleznete v tématu Konfigurace certifikátů serveru ve službě IIS 7.

    • Kliknutím na Importovat naimportujete existující platný certifikát z umístění ve vaší síti.

    • Klikněte na Create Žádost o certifikát a požádejte o certifikát od certifikační autority, jako je VeriSign, Thawte nebo GeoTrust. Běžný název certifikátu se musí shodovat s hlavičkou hostitele v požadavku.

      Pokud například klientský prohlížeč požaduje https://www.contoso.com/, musí být https://www.contoso.com/běžný název také . Toto je nejbezpečnější a doporučená možnost pro poskytnutí certifikátu bráně Windows PowerShell Web Access.

    • Kliknutím na Create certifikát Self-Signed vytvořte certifikát, který můžete okamžitě použít a který později podepíšete certifikační autoritou(a) v případě potřeby. Zadejte popisný název certifikátu podepsaného svým držitelem, například Windows PowerShell Web Access. Tato možnost není považována za bezpečnou a doporučuje se pouze pro privátní testovací prostředí.

  4. Po vytvoření nebo získání certifikátu vyberte web, na který je certifikát použit (například Výchozí web) v podokně stromu Správce služby IIS a potom klikněte na Vazby v podokně Akce .

  5. V dialogovém okně Přidat vazbu webu přidejte pro web vazbu https , pokud ještě není zobrazená. Pokud nepoužíváte certifikát podepsaný svým držitelem, zadejte název hostitele z kroku 3 tohoto postupu. Pokud používáte certifikát podepsaný svým držitelem, tento krok se nevyžaduje.

  6. Vyberte certifikát, který jste získali nebo vytvořili v kroku 3 tohoto postupu, a klikněte na OK.

Použití webové konzoly Windows PowerShell

Po instalaci aplikace Windows PowerShell Web Access a dokončení konfigurace brány, jak je popsáno v tomto tématu, je webová konzola Windows PowerShell připravena k použití. Další informace o tom, jak začít používat webovou konzolu, najdete v tématu Použití webové konzoly Windows PowerShell.

Viz také

Dokumentace k Internetové informační službě (IIS) 7.0

Nápověda ke Správci služby IIS 7.0

Konfigurace zabezpečení webového serveru (IIS 7)

Prostředky nasazení protokolu IPsec