VoraussetzungenPrerequisites

„Just Enough Administration“ ist ein in PowerShell 5.0 und höher enthaltenes Feature.Just Enough Administration is a feature included in PowerShell 5.0 and higher. In diesem Artikel werden die Voraussetzungen erläutert, die erfüllt sein müssen, um JEA verwenden zu können.This article describes the prerequisites that must be satisfied to start using JEA.

Überprüfen der installierten Version von PowerShellCheck which version of PowerShell is installed

Überprüfen Sie die $PSVersionTable-Variable in einer Windows PowerShell-Aufforderung, um festzustellen, welche PowerShell-Version auf Ihrem System installiert ist.To check which version of PowerShell is installed on your system, check the $PSVersionTable variable in a Windows PowerShell prompt.

$PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      14393  1000

JEA ist mit PowerShell 5.0 oder höher verfügbar.JEA is available with PowerShell 5.0 and higher. Wenn Sie jedoch die vollständige Funktionalität nutzen möchten, empfehlen wir Ihnen die Installation der neuesten Version von PowerShell für Ihr Betriebssystem.For full functionality, it's recommended that you install the latest version of PowerShell available for your system. Die folgende Tabelle beschreibt die Verfügbarkeit von JEA unter Windows Server:The following table describes JEA's availability on Windows Server:

ServerbetriebssystemServer Operating System JEA-VerfügbarkeitJEA Availability
Windows Server 2016+Windows Server 2016+ VorinstalliertPreinstalled
Windows Server 2012 R2Windows Server 2012 R2 Vollständige Funktionalität mit WMF 5.1Full functionality with WMF 5.1
Windows Server 2012Windows Server 2012 Vollständige Funktionalität mit WMF 5.1Full functionality with WMF 5.1
Windows Server 2008 R2Windows Server 2008 R2 Reduzierte Funktionalität1 mit WMF 5.1Reduced functionality1 with WMF 5.1

Sie können JEA auch auf Ihrem Heim- oder Firmencomputer verwenden:You can also use JEA on your home or work computer:

ClientbetriebssystemClient Operating System JEA-VerfügbarkeitJEA Availability
Windows 10 1607+Windows 10 1607+ VorinstalliertPreinstalled
Windows 10 1603, 1511Windows 10 1603, 1511 Vorinstalliert, mit eingeschränkter Funktionalität2Preinstalled, with reduced functionality2
Windows 10 1507Windows 10 1507 Nicht verfügbarNot available
Windows 8, 8.1Windows 8, 8.1 Vollständige Funktionalität mit WMF 5.1Full functionality with WMF 5.1
Windows 7Windows 7 Reduzierte Funktionalität1 mit WMF 5.1Reduced functionality1 with WMF 5.1
  • 1 JEA kann nicht konfiguriert werden, um gruppenverwaltete Dienstkonten unter Windows Server 2008 R2 oder Windows 7 zu verwenden.1 JEA can't be configured to use group-managed service accounts on Windows Server 2008 R2 or Windows 7. Virtuelle Konten und andere JEA-Features werden unterstützt.Virtual accounts and other JEA features are supported.

  • 2 Die folgenden JEA-Features werden in den Windows 10-Versionen 1511 und 1603 nicht unterstützt:2 The following JEA features aren't supported on Windows 10 versions 1511 and 1603:

    • Ausführen als gruppenverwaltetes DienstkontoRunning as a group-managed service account
    • Bedingte Zugriffsregeln in SitzungskonfigurationenConditional access rules in session configurations
    • Das BenutzerlaufwerkThe user drive
    • Gewähren des Zugriffs auf lokale BenutzerkontenGranting access to local user accounts

    Aktualisieren Sie Windows auf Version 1607 (Anniversary Update) oder höher, um Unterstützung für diese Features zu erhalten.To get support for these features, update Windows to version 1607 (Anniversary Update) or higher.

Installieren von Windows Management FrameworkInstall Windows Management Framework

Wenn Sie eine ältere Version von PowerShell ausführen, müssen Sie Ihr System möglicherweise mit dem aktuellen Update von Windows Management Framework (WMF) aktualisieren.If you're running an older version of PowerShell, you may need to update your system with the latest Windows Management Framework (WMF) update. Weitere Informationen finden Sie in der WMF-Dokumentation.For more information, see the WMF documentation.

Es wird empfohlen, vor dem Upgrade aller Server die Kompatibilität Ihrer Workload mit WMF zu testen.It's recommended that you test your workload's compatibility with WMF before upgrading all of your servers.

Windows 10-Benutzer sollten die neuesten Funktionsupdates zum Abrufen der aktuellen Version von Windows PowerShell installieren.Windows 10 users should install the latest feature updates to obtain the current version of Windows PowerShell.

Aktivieren von PowerShell-RemotingEnable PowerShell Remoting

PowerShell-Remoting stellt die Grundlage für JEA dar.PowerShell Remoting provides the foundation on which JEA is built. Sie müssen sicherstellen, dass PowerShell-Remoting aktiviert und ordnungsgemäß abgesichert ist, bevor Sie JEA verwenden können.It's necessary to ensure PowerShell Remoting is enabled and properly secured before you can use JEA. Weitere Informationen finden Sie im Artikel zu WinRM-Sicherheit.For more information, see WinRM Security.

PowerShell-Remoting ist unter Windows Server 2012, 2012 R2 und 2016 standardmäßig aktiviert.PowerShell Remoting is enabled by default on Windows Server 2012, 2012 R2, and 2016. Sie können PowerShell-Remoting aktivieren, indem Sie den folgenden Befehl in einem PowerShell-Fenster mit erhöhten Rechten ausführen.You can enable PowerShell Remoting by running the following command in an elevated PowerShell window.

Enable-PSRemoting

Aktivieren der PowerShell-Modul- und Skriptblockprotokollierung (optional)Enable PowerShell module and script block logging (optional)

Die folgenden Schritte aktivieren die Protokollierung für alle PowerShell-Aktionen in Ihrem System.The following steps enable logging for all PowerShell actions on your system. Für JEA ist die PowerShell-Modulprotokollierung nicht erforderlich. Es wird jedoch empfohlen, dass Sie die Protokollierung aktivieren, um sicherzustellen, dass von Benutzern ausgeführte Befehle zentral protokolliert werden.PowerShell Module Logging isn't required for JEA, however it's recommended you turn on logging to ensure the commands users run are logged in a central location.

Sie können die Richtlinien für die PowerShell-Modulprotokollierung mithilfe von Gruppenrichtlinien konfigurieren.You can configure the PowerShell Module Logging policy using Group Policy.

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien auf einer Arbeitsstation oder ein Gruppenrichtlinienobjekt in der Gruppenrichtlinien-Verwaltungskonsole auf einem Active Directory-Domänencontroller.Open the Local Group Policy Editor on a workstation or a Group Policy Object in the Group Policy Management Console on an Active Directory Domain Controller
  2. Navigieren Sie zu Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows PowerShell.Navigate to Computer Configuration\Administrative Templates\Windows Components\Windows PowerShell
  3. Doppelklicken Sie auf Modulprotokollierung aktivieren.Double-click on Turn on Module Logging
  4. Klicken Sie auf Aktiviert.Click Enabled
  5. Klicken Sie im Abschnitt „Optionen“ neben den Modulnamen auf AnzeigenIn the Options section, click on Show next to Module Names
  6. Geben Sie * im Popupfenster ein, um Befehle aus allen Modulen zu protokollieren.Type * in the pop-up window to log commands from all modules.
  7. Klicken Sie auf OK, um die Richtlinie festzulegen.Click OK to set the policy
  8. Doppelklicken Sie anschließend auf Protokollierung von PowerShell-Skriptblöcken aktivieren.Double-click on Turn on PowerShell Script Block Logging
  9. Klicken Sie auf Aktiviert.Click Enabled
  10. Klicken Sie auf OK, um die Richtlinie festzulegen.Click OK to set the policy
  11. (Nur in die Domäne eingebundene Computer:) Führen Sie gpupdate aus, oder warten Sie, bis die Gruppenrichtlinie die aktualisierte Richtlinie verarbeitet hat und diese Einstellungen anwendet.(On domain-joined machines only) Run gpupdate or wait for Group Policy to process the updated policy and apply the settings

Sie können über eine Gruppenrichtlinie auch die systemweite PowerShell-Aufzeichnung aktivieren.You can also enable system-wide PowerShell transcription through Group Policy.

Nächste SchritteNext steps

Create a role capability file (Erstellen einer Rollenfunktionsdatei)Create a role capability file

Create a session configuration file (Erstellen einer Sitzungskonfigurationsdatei)Create a session configuration file

Weitere InformationenSee also

WinRM-SicherheitWinRM Security

PowerShell ♥ das Blue TeamPowerShell ♥ the Blue Team