Just Enough AdministrationJust Enough Administration

Just Enough Administration (JEA) ist eine Sicherheitstechnologie, die eine delegierte Verwaltung für sämtliche Elemente ermöglicht, die von PowerShell verwaltet werden.Just Enough Administration (JEA) is a security technology that enables delegated administration for anything managed by PowerShell. Mit JEA ist Folgendes möglich:With JEA, you can:

  • Reduzieren Sie die Anzahl von Administratoren auf Ihren Computern, indem Sie virtuelle Konten oder gruppenverwaltete Dienstkonten nutzen, um privilegierte Aktionen für normale Benutzer auszuführen.Reduce the number of administrators on your machines using virtual accounts or group-managed service accounts to perform privileged actions on behalf of regular users.
  • Beschränken Sie Benutzeraktionen, indem Sie die Cmdlets, Funktionen und externen Befehle festlegen, die von Benutzern ausgeführt werden dürfen.Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • Verschaffen Sie sich einen besseren Überblick über die Aktionen Ihrer Benutzer, indem Sie Aufzeichnungen und Protokolle nutzen, die Ihnen genau zeigen, welche Befehle ein Benutzer während einer Sitzung ausgeführt hat.Better understand what your users are doing with transcripts and logs that show you exactly which commands a user executed during their session.

Warum ist JEA wichtig?Why is JEA important?

Konten, die mit weitreichenden Berechtigungen zum Verwalten der Server verwendet werden, stellen ein ernsthaftes Sicherheitsrisiko dar.Highly privileged accounts used to administer your servers pose a serious security risk. Sollte eines dieser Konten angegriffen werden, kann ihr gesamtes Unternehmen weiteren Angriffen ausgesetzt sein.Should an attacker compromise one of these accounts, they could launch lateral attacks across your organization. Jedes angegriffene Konto eröffnet einem Angreifer neue Zugriffsmöglichkeiten auf weitere Konten und Ressourcen. Dieser kann so unter anderem Geschäftsgeheimnisse stehlen oder einen Denial-of-Service-Angriff starten.Each compromised account gives an attacker access to even more accounts and resources, and puts them one step closer to stealing company secrets, launching a denial-of-service attack, and more.

Administrative Berechtigungen sind jedoch nicht leicht zu entfernen.It's not always easy to remove administrative privileges, either. Betrachten Sie das gängigen Szenario, in dem die DNS-Serverrolle auf dem gleichen Computer wie der Active Directory-Domänencontroller installiert ist.Consider the common scenario where the DNS role is installed on the same machine as your Active Directory Domain Controller. Ihre DNS-Administratoren benötigen lokale Administratorrechte zum Beheben von Problemen mit dem DNS-Server.Your DNS administrators require local administrator privileges to fix issues with the DNS server. Zu diesem Zweck müssen Sie jedoch Mitglied der Sicherheitsgruppe Domänenadministratoren mit weitreichenden Berechtigungen sein.But to do so, you must make them members of the highly privileged Domain Admins security group. Damit erhalten DNS-Administratoren letztendlich Kontrolle über Ihre gesamte Domäne sowie Zugriff auf alle Ressourcen auf diesem Computer.This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

JEA löst dieses Problem durch das Prinzip der geringsten Rechte.JEA addresses this problem through the principle of Least Privilege. Mit JEA können Sie einen Verwaltungsendpunkt für DNS-Administratoren konfigurieren, die dadurch über Zugriff nur auf PowerShell-Befehle verfügen, die sie für ihre Arbeit benötigen.With JEA, you can configure a management endpoint for DNS administrators that gives them access only to the PowerShell commands they need to get their job done. Das bedeutet, dass Sie ihnen den entsprechenden Zugriff gewähren können, damit ein beschädigter DNS-Cache repariert oder der DNS-Server neu gestartet werden kann, ohne gleichzeitig unbeabsichtigt Berechtigungen für Active Directory, das Durchsuchen des Dateisystems oder die Ausführung potenziell gefährlicher Skripts zu erteilen.This means you can provide the appropriate access to repair a poisoned DNS cache or restart the DNS server without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. Wenn die JEA-Sitzung so konfiguriert ist, dass temporäre privilegierte virtuelle Konten verwendet werden, können Ihre DNS-Administratoren sogar eine Verbindung mit dem Server mithilfe von Nicht-Admin- Anmeldeinformationen herstellen und trotzdem Befehle ausführen, für die normalerweise Administratorberechtigungen erforderlich sind.Better yet, when the JEA session is configured to use temporary privileged virtual accounts, your DNS administrators can connect to the server using non-admin credentials and still run commands that typically require admin privileges. Über JEA können Sie Benutzer von stark privilegierten lokalen bzw. Administratorrollen der Domäne entfernen und sorgfältig steuern, welche Aktionen sie auf jedem Computer ausführen können.JEA enables you to remove users from widely privileged local/domain administrator roles and carefully control what they can do on each machine.

Nächste SchritteNext steps

Weitere Informationen zu den Anforderungen für die Verwendung von JEA finden Sie im Artikel zu den Voraussetzungen.To learn more about the requirements to use JEA, see the Prerequisites article.

Beispiele und DSC-RessourceSamples and DSC resource

Beispielkonfigurationen von JEA und die JEA DSC-Ressource finden Sie im JEA GitHub-Repository.Sample JEA configurations and the JEA DSC resource can be found in the JEA GitHub repository.