JEA-SitzungskonfigurationenJEA Session Configurations

Ein JEA-Endpunkt wird in einem System durch Erstellen und Registrieren einer PowerShell-Sitzungskonfigurationsdatei registriert.A JEA endpoint is registered on a system by creating and registering a PowerShell session configuration file. Sitzungskonfigurationen definieren, welche Benutzer den JEA-Endpunkt verwenden können und auf welche Rollen sie Zugriff haben.Session configurations define who can use the JEA endpoint and which roles they have access to. Sie legen außerdem globale Einstellungen fest, die für alle Benutzer der JEA-Sitzung gelten.They also define global settings that apply to all users of the JEA session.

Erstellen einer SitzungskonfigurationsdateiCreate a session configuration file

Sie müssen zunächst angeben, wie der JEA-Endpunkt konfiguriert ist, bevor Sie ihn registrieren können.To register a JEA endpoint, you must specify how that endpoint is configured. Dafür gibt es zahlreiche Optionen.There are many options to consider. Folgende Fragen sind dabei entscheidend:The most important options are:

  • Wer soll auf den JEA-Endpunkt zugreifen können?Who has access to the JEA endpoint
  • Welche Rollen sollen den Benutzern zugewiesen werden?Which roles they be assigned
  • Welche Identität wird von JEA im Hintergrund verwendet?Which identity JEA uses under the covers
  • Welchen Namen soll der JEA-Endpunkt erhalten?The name of the JEA endpoint

Diese Optionen werden in einer PowerShell-Datendatei mit der Erweiterung .pssc, auch PowerShell-Sitzungskonfigurationsdatei genannt, definiert.These options are defined in a PowerShell data file with a .pssc extension known as a PowerShell session configuration file. Sie können die Sitzungskonfigurationsdatei mit einem beliebigen Text-Editor bearbeiten.The session configuration file can be edited using any text editor.

Führen Sie den folgenden Befehl aus, um eine leere Vorlagenkonfigurationsdatei zu erstellen:Run the following command to create a blank template configuration file.

New-PSSessionConfigurationFile -SessionType RestrictedRemoteServer -Path .\MyJEAEndpoint.pssc

Tipp

Standardmäßig enthält die Vorlagendatei nur die häufigsten Konfigurationsoptionen.Only the most common configuration options are included in the template file by default. Verwenden Sie den -Full-Switch, um alle anwendbaren Einstellungen in die generierte PSSC-Datei einzuschließen.Use the -Full switch to include all applicable settings in the generated PSSC.

Das Feld -SessionType RestrictedRemoteServer gibt an, dass die Sitzungskonfiguration von JEA für eine sichere Verwaltung verwendet wird.The -SessionType RestrictedRemoteServer field indicates that the session configuration is used by JEA for secure management. Sitzungen dieses Typs arbeiten im Modus NoLanguage und können nur auf die folgenden Standardbefehle (und Aliase) zugreifen:Sessions of this type operate in NoLanguage mode and only have access to the following default commands (and aliases):

  • Clear-Host (cls, löschen)Clear-Host (cls, clear)
  • Exit-PSSession (exsn, beenden)Exit-PSSession (exsn, exit)
  • Get-Command (gcm)Get-Command (gcm)
  • Get-FormatDataGet-FormatData
  • Get-HelpGet-Help
  • Measure-Object (messen)Measure-Object (measure)
  • Out-DefaultOut-Default
  • Select-Object (auswählen)Select-Object (select)

Weder PowerShell-Anbieter noch externe Programme (ausführbare Dateien oder Skripts) stehen zur Verfügung.No PowerShell providers are available, nor are any external programs (executables or scripts).

Weitere Informationen zu Sprachmodi finden Sie unter About_Language_Modes (Informationen zu Sprachmodi).For more information about language modes, see about_Language_modes.

Wählen der JEA-IdentitätChoose the JEA identity

JEA benötigt ein Identitätskonto im Hintergrund, wenn die Befehle eines Benutzers ausgeführt werden, der die Verbindung herstellt.Behind the scenes, JEA needs an identity (account) to use when running a connected user's commands. Sie legen fest, welche Identität von JEA in der Sitzungskonfigurationsdatei verwendet wird.You define which identity JEA uses in the session configuration file.

Lokales virtuelles KontoLocal Virtual Account

Die Verwendung eines lokalen virtuellen Kontos ist geeignet für Fälle, in denen alle für diesen JEA-Endpunkt definierten Rollen für die Verwaltung des lokalen Computers eingesetzt werden und ein lokales Administratorkonto ausreicht, um die Befehle erfolgreich auszuführen.Local virtual accounts are useful when all roles defined for the JEA endpoint are used to manage the local machine and a local administrator account is sufficient to run the commands successfully. Virtuelle Konten sind temporäre Konten, die für einen bestimmten Benutzer eindeutig sind und nur für die Dauer seiner PowerShell-Sitzung gültig sind.Virtual accounts are temporary accounts that are unique to a specific user and only last for the duration of their PowerShell session. Virtuelle Konten auf einem Mitgliedsserver oder einer Arbeitsstation gehören zur Gruppe der Administratoren des lokalen Computers.On a member server or workstation, virtual accounts belong to the local computer's Administrators group. Auf einem Active Directory-Domänencontroller gehören virtuelle Konten zur Gruppe der Domänen-Admins der Domäne.On an Active Directory Domain Controller, virtual accounts belong to the domain's Domain Admins group.

# Setting the session to use a virtual account
RunAsVirtualAccount = $true

Wenn die durch die Sitzungskonfiguration definierten Rollen keine vollständigen Administratorrechte benötigen, können Sie die Sicherheitsgruppen angeben, zu denen das virtuelle Konto gehören soll.If the roles defined by the session configuration don't require full administrative privilege, you can specify the security groups to which the virtual account will belong. Auf einem Mitgliedsserver oder einer Arbeitsstation müssen die angegebenen Sicherheitsgruppen lokale Gruppen sein. Es darf sich nicht um Gruppen aus einer Domäne handeln.On a member server or workstation, the specified security groups must be local groups, not groups from a domain.

Wird mindestens eine Sicherheitsgruppe angegeben, wird das virtuelle Konto nicht der lokalen Gruppe oder der Gruppe der Domänenadministratoren zugewiesen.When one or more security groups are specified, the virtual account isn't assigned to the local or domain administrators group.

# Setting the session to use a virtual account that only belongs to the NetworkOperator and NetworkAuditor local groups
RunAsVirtualAccount = $true
RunAsVirtualAccountGroups = 'NetworkOperator', 'NetworkAuditor'

Hinweis

Virtuellen Konten wird die Anmeldung als Dienst direkt in der Sicherheitsrichtlinie für den lokalen Server gewährt.Virtual accounts are temporarily granted the Logon as a service right in the local server security policy. Wenn einer angegebenen Gruppe von virtuellen Konten bereits diese Berechtigung in der Richtlinie gewährt wurde, wird das individuelle virtuelle Konto nicht mehr hinzugefügt, und es wird aus der Richtlinie entfernt.If one of the VirtualAccountGroups specified has already been granted this right in the policy, the individual virtual account will no longer be added and removed from the policy. Dies kann sich beispielsweise bei Domänencontrollern als nützlich erweisen, bei denen Änderungen an der Sicherheitsrichtlinie für Domänencontroller genau überwacht werden.This can be useful in scenarios such as domain controllers where revisions to the domain controller security policy are closely audited. Dies ist nur in Windows Server 2016 mit dem Rollup vom November 2018 oder höher und Windows Server 2019 mit dem Rollup vom Januar 2019 verfügbar.This is only available in Windows Server 2016 with the November 2018 or later rollup and Windows Server 2019 with the January 2019 or later rollup.

Gruppenverwaltetes DienstkontoGroup-managed service account

Für Szenarios, in denen JEA-Benutzer Zugriff auf Netzwerkressourcen wie Dateifreigaben und Webdienste benötigen, eignet sich als Identität ein gruppenverwaltetes Dienstkonto (Group Managed Service Account, gMSA).A group-managed service account (GMSA) is the appropriate identity to use when JEA users need to access network resources such as file shares and web services. Ein gMSA-Konto bietet Ihnen eine Domänenidentität zur Authentifizierung bei Ressourcen auf einem beliebigen Computer innerhalb der Domäne.GMSAs give you a domain identity that is used to authenticate with resources on any machine within the domain. Die mit einem gMSA-Konto einhergehenden Rechte werden durch die Ressourcen bestimmt, auf die Sie zugreifen.The rights that a GMSA provides are determined by the resources you're accessing. Administratorrechte für einen beliebigen Computer oder Dienste besitzen Sie nur dann, wenn der Computer- bzw. Dienstadministrator dem gMSA-Konto diese Rechte explizit erteilt hat.You don't have admin rights on any machines or services unless the machine or service administrator has explicitly granted those rights to the GMSA.

# Configure JEA sessions to use the GMSA in the local computer's domain
# with the sAMAccountName of 'MyJEAGMSA'
GroupManagedServiceAccount = 'Domain\MyJEAGMSA'

gMSA-Konten sollten nur verwendet werden, wenn es wirklich nötig ist:GMSAs should only be used when necessary:

  • Mit einem gMSA-Konto können Aktionen nur schwer zu einem Benutzer zurückverfolgt werden –It's difficult to trace back actions to a user when using a GMSA. jeder Benutzer besitzt dieselbe ausführende Identität.Every user shares the same run-as identity. Sie müssen PowerShell-Sitzungsaufzeichnungen und -protokolle überprüfen, um einzelne Benutzer mit ihren Aktionen abzugleichen.You must review PowerShell session transcripts and logs to correlate individual users with their actions.

  • Ein gMSA-Konto besitzt möglicherweise Zugriff auf zahlreiche Netzwerkressourcen, auf die der Benutzer, der eine Verbindung herstellt, keinen Zugriff benötigt.The GMSA may have access to many network resources that the connecting user doesn't need access to. Versuchen Sie immer, effektive Berechtigungen in einer JEA-Sitzung zu beschränken und damit das Prinzip der geringsten Rechte anzuwenden.Always try to limit effective permissions in a JEA session to follow the principle of least privilege.

Hinweis

Gruppenverwaltete Dienstkonten sind nur auf Computern unter PowerShell 5.1 oder höher verfügbar, die einer Domäne angehören.Group managed service accounts are only available on domain-joined machines using PowerShell 5.1 or newer.

Weitere Informationen zum Sichern einer JEA-Sitzung finden Sie im Artikel JEA-Sicherheitsüberlegungen.For more information about securing a JEA session, see the security considerations article.

SitzungsaufzeichnungenSession transcripts

Es wird empfohlen, einen JEA-Endpunkt zu konfigurieren, um Aufzeichnungen von Benutzersitzungen automatisch zu erfassen.It's recommended that you configure a JEA endpoint to automatically record transcripts of users' sessions. PowerShell-Sitzungsaufzeichnungen enthalten Informationen zu Benutzern, die eine Verbindung herstellen, die ihnen zugewiesene ausführende Identität und die vom Benutzer ausgeführten Befehle.PowerShell session transcripts contain information about the connecting user, the run as identity assigned to them, and the commands run by the user. Diese Informationen können für ein Überwachungsteam nützlich sein, um herauszufinden, welcher Benutzer eine bestimmte Änderung in einem System vorgenommen hat.They can be useful to an auditing team who needs to understand who made a specific change to a system.

Geben Sie einen Pfad zu einem Ordner an, in dem die Aufzeichnungen gespeichert werden sollen, um eine automatische Protokollierung in der Sitzungskonfigurationsdatei festzulegen.To configure automatic transcription in the session configuration file, provide a path to a folder where the transcripts should be stored.

TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'

Aufzeichnungen werden durch das lokale Systemkonto in den Ordner geschrieben, was Lese- und Schreibzugriff auf das Verzeichnis voraussetzt.Transcripts are written to the folder by the Local System account, which requires read and write access to the directory. Standardbenutzer sollten keinen Zugriff auf diesen Ordner besitzen.Standard users should have no access to the folder. Beschränken Sie die Anzahl der Sicherheitsadministratoren, die zur Überwachung auf die Aufzeichnungen zugreifen können.Limit the number of security administrators that have access to audit the transcripts.

BenutzerlaufwerkUser drive

Wenn Benutzer, die eine Verbindung herstellen, Dateien von einem oder auf einen JEA-Endpunkt kopieren müssen, können Sie das Benutzerlaufwerk in der Sitzungskonfigurationsdatei aktivieren.If your connecting users need to copy files to or from the JEA endpoint, you can enable the user drive in the session configuration file. Das Benutzerlaufwerk ist ein PSDrive, das einem eindeutigen Ordner für jeden Benutzer zugeordnet ist, der eine Verbindung herstellt.The user drive is a PSDrive that is mapped to a unique folder for each connecting user. Benutzer können über diesen Ordner Dateien vom System oder auf das System kopieren, ohne dass sie Zugriff auf das gesamte Dateisystem benötigen bzw. ohne dass der FileSystem-Anbieter verfügbar gemacht wird.This folder allows users to copy files to or from the system without giving them access to the full file system or exposing the FileSystem provider. Der Inhalt der Benutzerlaufwerke steht durchgehend und sitzungsübergreifend zur Verfügung, um in Situationen Abhilfe zu schaffen, in denen die Netzwerkkonnektivität unterbrochen ist.The user drive contents are persistent across sessions to accommodate situations where network connectivity may be interrupted.

MountUserDrive = $true

Auf dem Benutzerlaufwerk können standardmäßig maximal 50 MB Daten pro Benutzer gespeichert werden.By default, the user drive allows you to store a maximum of 50MB of data per user. Sie können die Datenmenge, die ein Benutzer nutzen kann, mithilfe des Felds UserDriveMaximumSize einschränken.You can limit the amount of data a user can consume with the UserDriveMaximumSize field.

# Enables the user drive with a per-user limit of 500MB (524288000 bytes)
MountUserDrive = $true
UserDriveMaximumSize = 524288000

Wenn die Daten auf dem Laufwerk nicht permanent zur Verfügung stehen sollen, können Sie eine geplante Aufgabe im System konfigurieren, damit der Ordner jede Nacht automatisch bereinigt wird.If you don't want data in the user drive to be persistent, you can configure a scheduled task on the system to automatically clean up the folder every night.

Hinweis

Das Benutzerlaufwerk ist nur in PowerShell 5.1 oder höher verfügbar.The user drive is only available in PowerShell 5.1 or newer.

Weitere Informationen zu PSDrives finden Sie unter Verwalten von Windows PowerShell-Laufwerken.For more information about PSDrives, see Managing PowerShell drives.

RollendefinitionenRole definitions

Über Rollendefinitionen in einer Sitzungskonfigurationsdatei legen Sie fest, welche Benutzer welchen Rollen zugeordnet sind.Role definitions in a session configuration file define the mapping of users to roles. Jeder Benutzer bzw. jede Gruppe in diesem Feld erhält die Berechtigung für den JEA-Endpunkt, sobald er registriert ist.Every user or group included in this field is granted permission to the JEA endpoint when it's registered. Jeder Benutzer und jede Gruppe kann jeweils nur einmal als Schlüssel in der Hashtabelle eingefügt werden, darf jedoch über mehrere Rollen verfügen.Each user or group can be included as a key in the hashtable only once, but can be assigned multiple roles. Der Name der Rollenfunktion sollte dem Namen der Rollenfunktionsdatei ohne die Erweiterung .psrc entsprechen.The name of the role capability should be the name of the role capability file, without the .psrc extension.

RoleDefinitions = @{
    'CONTOSO\JEA_DNS_ADMINS'    = @{ RoleCapabilities = 'DnsAdmin', 'DnsOperator', 'DnsAuditor' }
    'CONTOSO\JEA_DNS_OPERATORS' = @{ RoleCapabilities = 'DnsOperator', 'DnsAuditor' }
    'CONTOSO\JEA_DNS_AUDITORS'  = @{ RoleCapabilities = 'DnsAuditor' }
}

Wenn ein Benutzer zu mehr als einer Gruppe in der Rollendefinition gehört, erhält er Zugriff auf die Rollen jeder einzelnen Gruppe.If a user belongs to more than one group in the role definition, they get access to the roles of each. Wenn zwei Rollen Zugriff auf die gleichen Cmdlets erteilen, erhält der Benutzer den Parametersatz mit den höchsten Berechtigungen.When two roles grant access to the same cmdlets, the most permissive parameter set is granted to the user.

Wenn Sie im Rollendefinitionsfeld lokale Benutzer bzw. Gruppen angeben, verwenden Sie den Computernamen, und nicht localhost oder Platzhalter.When specifying local users or groups in the role definitions field, be sure to use the computer name, not localhost or wildcards. Überprüfen Sie den Computernamen durch Untersuchen der Variablen $env:COMPUTERNAME.You can check the computer name by inspecting the $env:COMPUTERNAME variable.

RoleDefinitions = @{
    'MyComputerName\MyLocalGroup' = @{ RoleCapabilities = 'DnsAuditor' }
}

Suchreihenfolge für RollenfunktionenRole capability search order

Auf die Rollenfunktionen wird, wie im vorherigen Beispiel gezeigt, durch den Basisnamen der Rollenfunktionsdatei verwiesen.As shown in the example above, role capabilities are referenced by the base name of the role capability file. Der Basisname einer Datei entspricht dem Dateinamen ohne Erweiterung.The base name of a file is the filename without the extension. Sind im System mehrere Rollenfunktionen mit demselben Namen verfügbar, verwendet PowerShell die implizite Suchreihenfolge, um die gültige Rollenfunktionsdatei auszuwählen.If multiple role capabilities are available on the system with the same name, PowerShell uses its implicit search order to select the effective role capability file. JEA erteilt keinen Zugriff auf alle Rollenfunktionsdateien mit demselben Namen.JEA does not give access to all role capability files with the same name.

JEA verwendet die Umgebungsvariable $env:PSModulePath, um zu bestimmen, welche Pfaden nach Rollenfunktionsdateien gescannt werden sollen.JEA uses the $env:PSModulePath environment variable to determine which paths to scan for role capability files. JEA sucht innerhalb dieser Pfade nach gültigen PowerShell-Modulen, die einen Unterordner namens „RoleCapabilities“ enthalten.Within each of those paths, JEA looks for valid PowerShell modules that contain a "RoleCapabilities" subfolder. Wie beim Importieren von Modulen zieht JEA Rollenfunktionen, die mit Windows ausgeliefert wurden, benutzerdefinierten Rollenfunktionen gleichen Namens vor.As with importing modules, JEA prefers role capabilities that are shipped with Windows to custom role capabilities with the same name.

Bei allen anderen Namenskonflikten wird die Rangfolge durch die Reihenfolge bestimmt, in der Windows die Dateien im Verzeichnis aufzählt.For all other naming conflicts, precedence is determined by the order in which Windows enumerates the files in the directory. Diese Reihenfolge muss nicht unbedingt alphabetisch sein.The order isn't guaranteed to be alphabetical. Die erste gefundene Rollenfunktionsdatei, die mit dem angegebenen Namen übereinstimmt, wird für den Benutzer verwendet, der eine Verbindung herstellt.The first role capability file found that matches the specified name is used for the connecting user. Da die Suchreihenfolge für die Rollenfunktionen nicht deterministisch ist, wird dringend empfohlen, Rollenfunktionen eindeutige Dateinamen zu geben.Since the role capability search order isn't deterministic, it's strongly recommended that role capabilities have unique filenames.

Regeln für bedingten ZugriffConditional access rules

Alle Benutzer und Gruppen im Feld RoleDefinitions erhalten automatisch Zugriff auf JEA-Endpunkte.All users and groups included in the RoleDefinitions field are automatically granted access to JEA endpoints. Sie können diesen Zugriff über Regeln für bedingten Zugriff optimieren und festlegen, dass Benutzer zusätzlichen Sicherheitsgruppen angehören müssen, die keinen Einfluss auf die ihnen zugewiesenen Rollen haben.Conditional access rules allow you to refine this access and require users to belong to additional security groups that don't impact the roles to which they're assigned. Dies ist hilfreich, wenn Sie eine Just-in-Time-Lösung für Privileged Access Management, eine Smartcard-Authentifizierung oder eine andere mehrstufige Authentifizierungslösung in JEA integrieren möchten.This is useful when you want to integrate a just-in-time privileged access management solution, smartcard authentication, or other multifactor authentication solution with JEA.

Bedingte Zugriffsregeln werden im Feld „RequiredGroups“ in einer Sitzungskonfigurationsdatei definiert.Conditional access rules are defined in the RequiredGroups field in a session configuration file. Geben Sie dazu eine (optional geschachtelte) Hashtabelle an, die zum Erstellen Ihrer Regeln die Schlüssel „And“ und „Or“ verwendet.There, you can provide a hashtable (optionally nested) that uses 'And' and 'Or' keys to construct your rules. Nachfolgend finden Sie einige Beispiele für die Verwendung dieses Felds:Here are some examples of how to use this field:

# Example 1: Connecting users must belong to a security group called "elevated-jea"
RequiredGroups = @{ And = 'elevated-jea' }

# Example 2: Connecting users must have signed on with 2 factor authentication or a smart card
# The 2 factor authentication group name is "2FA-logon" and the smart card group name is "smartcard-logon"
RequiredGroups = @{ Or = '2FA-logon', 'smartcard-logon' }

# Example 3: Connecting users must elevate into "elevated-jea" with their JIT system and have logged on with 2FA or a smart card
RequiredGroups = @{ And = 'elevated-jea', @{ Or = '2FA-logon', 'smartcard-logon' }}

Hinweis

Regeln für bedingten Zugriff sind nur in PowerShell 5.1 oder höher verfügbar.Conditional access rules are only available in PowerShell 5.1 or newer.

Weitere EigenschaftenOther properties

Sitzungskonfigurationsdateien verfügen über die gleichen Möglichkeiten wie eine Rollenfunktionsdatei, ohne jedoch Benutzern, die eine Verbindung herstellen, Zugriff auf unterschiedliche Befehle zu geben.Session configuration files can also do everything a role capability file can do, just without the ability to give connecting users access to different commands. Wenn Sie allen Benutzern den Zugriff auf bestimmte Cmdlets, Funktionen oder Anbieter ermöglichen möchten, können Sie dies direkt in der Sitzungskonfigurationsdatei tun.If you want to allow all users access to specific cmdlets, functions, or providers, you can do so right in the session configuration file. Eine vollständige Liste der unterstützten Eigenschaften in der Sitzungskonfigurationsdatei erhalten Sie, wenn Sie Get-Help New-PSSessionConfigurationFile -Full ausführen.For a full list of supported properties in the session configuration file, run Get-Help New-PSSessionConfigurationFile -Full.

Testen einer SitzungskonfigurationsdateiTesting a session configuration file

Sie können eine Sitzungskonfigurationsdatei über das Test-PSSessionConfigurationFile-Cmdlet testen.You can test a session configuration using the Test-PSSessionConfigurationFile cmdlet. Es wird empfohlen, die Sitzungskonfigurationsdatei zu testen, wenn Sie die Datei .pssc manuell bearbeitet haben.It's recommended that you test your session configuration file if you've manually edited the .pssc file. Dadurch wird sichergestellt, dass die Syntax korrekt ist.Testing ensures the syntax is correct. Besteht eine Sitzungskonfigurationsdatei diesen Test nicht, kann sie im System auch nicht registriert werden.If a session configuration file fails this test, it can't be registered on the system.

Beispiel für eine SitzungskonfigurationsdateiSample session configuration file

Im folgenden Beispiel wird eine Sitzungskonfiguration für JEA erstellt und überprüft.The following example shows how to create and validate a session configuration for JEA. Zur Vereinfachung und aus Gründen der Lesbarkeit werden die Rollendefinitionen in der $roles-Variable erstellt und gespeichert.The role definitions are created and stored in the $roles variable for convenience and readability. Dies ist jedoch nicht unbedingt erforderlich.It isn't a requirement to do so.

$roles = @{
    'CONTOSO\JEA_DNS_ADMINS'    = @{ RoleCapabilities = 'DnsAdmin', 'DnsOperator', 'DnsAuditor' }
    'CONTOSO\JEA_DNS_OPERATORS' = @{ RoleCapabilities = 'DnsOperator', 'DnsAuditor' }
    'CONTOSO\JEA_DNS_AUDITORS'  = @{ RoleCapabilities = 'DnsAuditor' }
}

New-PSSessionConfigurationFile -SessionType RestrictedRemoteServer -Path .\JEAConfig.pssc -RunAsVirtualAccount -TranscriptDirectory 'C:\ProgramData\JEAConfiguration\Transcripts' -RoleDefinitions $roles -RequiredGroups @{ Or = '2FA-logon', 'smartcard-logon' }
Test-PSSessionConfigurationFile -Path .\JEAConfig.pssc # should yield True

Aktualisieren von SitzungskonfigurationsdateienUpdating session configuration files

Wenn Sie die Eigenschaften einer JEA-Sitzungskonfiguration einschließlich der Zuordnung von Benutzern zu Rollen ändern möchten, müssen Sie zunächst die Registrierung aufheben.To change the properties of a JEA session configuration, including the mapping of users to roles, you must unregister. Führen Sie anschließend für die JEA-Sitzungskonfiguration mit einer aktualisierten Sitzungskonfigurationsdatei eine erneute Registrierung durch.Then, re-register the JEA session configuration using an updated session configuration file.

Nächste SchritteNext steps