Konfigurieren der Zugriffssteuerung für Benutzer und BerechtigungenConfigure User Access Control and Permissions

Gilt für: Windows Admin Center, Windows Admin Center PreviewApplies To: Windows Admin Center, Windows Admin Center Preview

Wenn Sie nicht bereits getan haben, informieren Sie sich über die Benutzeroptionen Access-Steuerelement in Windows Admin CenterIf you haven't already, familiarize yourself with the user access control options in Windows Admin Center

Hinweis

Gruppe basierend auf Windows Admin Center wird nicht in arbeitsgruppenumgebungen oder in nicht vertrauenswürdigen Domänen unterstützt.Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

Rollendefinitionen für Gateway-ZugriffGateway access role definitions

Es gibt zwei Rollen für den Zugriff auf den Gateway-Dienst von Windows Admin Center:There are two roles for access to the Windows Admin Center gateway service:

Datenverwaltungsgateway-Benutzer können mit dem Gateway-Dienst von Windows Admin Center zum Verwalten von Servern über dieses Gateway verbinden, aber nicht über Zugriffsberechtigungen noch der Authentifizierungsmechanismus verwendet das Gateway zu authentifizieren.Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.

Gatewayadministratoren können konfigurieren, wer Zugriff auch erhält, wie Benutzer mit dem Gateway zu authentifizieren.Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Nur die gatewayadministratoren können anzeigen und Konfigurieren der zugriffseinstellungen in Windows Admin Center.Only gateway administrators can view and configure the Access settings in Windows Admin Center. Lokale Administratoren auf dem Gatewaycomputer sind immer die Administratoren des Gatewaydiensts Windows Admin Center.Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

Hinweis

Zugriff auf das Gateway impliziert vom Gateway nicht auf verwalteten Servern angezeigt.Access to the gateway doesn't imply access to managed servers visible by the gateway. Um einen Zielserver verwalten zu können, muss der verbindenden Benutzer Anmeldeinformationen verwenden (entweder über seine durchlaufenen-Windows-Anmeldeinformationen oder Anmeldeinformationen in der Windows Admin Center-Sitzung mit dem verwalten als Aktion) die Administratorzugriff auf diesem Zielserver.To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Active Directory oder lokale BenutzergruppenActive Directory or local machine groups

Standardmäßig sind Active Directory oder lokale Benutzergruppen verwendet, um den Zugriff auf steuern.By default, Active Directory or local machine groups are used to control gateway access. Wenn Sie Active Directory-Domäne verfügen, können Sie verwalten, Gateway-Benutzer und Administratoren auf der Benutzeroberfläche, die Windows Admin Center zugreifen.If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

Auf der Benutzer Registerkarte können Sie steuern, wer Windows Admin Center als Gateway Benutzer zugreifen kann.On the Users tab you can control who can access Windows Admin Center as a gateway user. In der Standardeinstellung und wenn Sie eine Sicherheitsgruppe nicht angeben, hat jeder Benutzer, der die Gateway-URL zugreift Zugriff.By default, and if you don't specify a security group, any user that accesses the gateway URL has access. Nachdem Sie der Liste der Benutzer eine oder mehrere Sicherheitsgruppen hinzugefügt haben, ist der Zugriff auf die Mitglieder dieser Gruppen beschränkt.Once you add one or more security groups to the users list, access is restricted to the members of those groups.

Wenn Sie nicht Active Directory-Domäne in Ihrer Umgebung verwenden, der Zugriff wird gesteuert durch die Users und Administrators lokalen Gruppen auf dem Gatewaycomputer Windows Admin Center.If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

Smartcard-AuthentifizierungSmartcard authentication

Sie können erzwingen, Smartcard-Authentifizierung durch eine zusätzliche Angabe erforderlichen für Smartcard-basierte Sicherheitsgruppen.You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. Nachdem Sie eine Smartcard-basierte Sicherheitsgruppe hinzugefügt haben, kann ein Benutzer nur den Windows Admin Center-Dienst zugreifen, wenn sie ein Mitglied einer Sicherheitsgruppe sind, und eine Smartcard-Gruppe in der Benutzerliste enthalten.Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

Auf der Administratoren Registerkarte können Sie steuern, wer Windows Admin Center als gatewayadministrator zugreifen kann.On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. Die Gruppe der lokalen Administratoren auf dem Computer wird immer haben vollen Administratorzugriff und kann nicht aus der Liste entfernt werden.The local administrators group on the computer will always have full administrator access and cannot be removed from the list. Hinzufügen von Sicherheitsgruppen, erteilen Sie Mitglieder der Gruppen Berechtigungen zum Ändern der Gateway-Einstellungen für Windows Admin Center.By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. Die Administratorenliste, die Smartcard-Authentifizierung unterstützt, auf die gleiche Weise wie die Benutzerliste: mit dem AND-Bedingung für eine Sicherheitsgruppe und einer Smartcard-Gruppe.The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Azure Active DirectoryAzure Active Directory

Wenn Ihre Organisation Azure Active Directory (Azure AD) verwendet, können Sie fügen eine zusätzliche Sicherheitsebene für Windows Admin Center durch das Anfordern von Azure AD-Authentifizierung auf dem Gateway.If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Um Windows Admin Center, dem Benutzer den Zugriff auf Windows-Konto müssen Sie auch den Zugriff auf Gateway-Server (auch wenn Azure AD-Authentifizierung verwendet wird).In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used). Bei Verwendung von Azure AD verwalten Windows Admin Center-Benutzer und Administratoren Berechtigungen aus dem Azure-Portal und nicht innerhalb der Windows Admin Center-Benutzeroberfläche.When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Beim Zugriff auf Windows Admin Center, wenn es sich bei Azure AD-Authentifizierung aktiviert istAccessing Windows Admin Center when Azure AD authentication is enabled

Je nach Browser verwendet, erhalten einige Benutzer den Zugriff auf Windows Admin Center mit Azure AD-Authentifizierung konfiguriert eine zusätzliche Aufforderung aus dem Browser , in dem sie benötigen, geben Sie die Windows-Konto-Anmeldeinformationen für der Computer, auf dem Windows Admin Center installiert ist.Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. Nach der Eingabe dieser Informationen, erhalten die Benutzer die zusätzliche authentifizierungseingabeaufforderung von Azure Active Directory, erfordert die Anmeldeinformationen für ein Azure-Konto, dem Zugriff in Azure AD-Anwendung in Azure gewährt wurden.After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

Hinweis

Benutzer, die die Windows-Konto verfügt Administratorrechte auf dem Gateway werden Computer nicht für die Azure AD-Authentifizierung aufgefordert werden.Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Konfigurieren der Azure Active Directory-Authentifizierung für Windows Admin Center (Vorschau)Configuring Azure Active Directory authentication for Windows Admin Center Preview

Wechseln Sie zu Windows Admin Center Einstellungen > Zugriff und verwenden Sie den Umschalter zum Aktivieren "verwenden Sie Azure Active Directory auf dem Gateway eine weitere Sicherheitsstufe hinzufügen".Go to Windows Admin Center Settings > Access and use the toggle switch to turn on "Use Azure Active Directory to add a layer of security to the gateway". Wenn Sie nicht das Gateway in Azure registriert haben, werden Sie zu diesem Zeitpunkt dazu geführt.If you have not registered the gateway to Azure, you will be guided to do that at this time.

Standardmäßig haben alle Mitglieder der Azure AD-Mandanten Benutzerzugriff auf den Gateway-Dienst von Windows Admin Center.By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Nur lokale Administratoren auf dem Gatewaycomputer haben Administratorzugriff auf das Gateway Windows Admin Center.Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. Beachten Sie, dass die Rechte eines lokalen Administratoren auf dem Gatewaycomputer können nicht eingeschränkt werden: lokale Administratoren können alle Aktionen für unabhängig davon, ob Azure AD für die Authentifizierung verwendet wird.Note that the rights of local administrators on the gateway machine cannot be restricted - local admins can do anything regardless of whether Azure AD is used for authentication.

Sie gewähren bestimmten Azure AD-Benutzer oder Gruppen Gateway Benutzer oder Gateway-Administratorzugriff auf den Windows Admin Center-Dienst können, müssen Sie Folgendes ausführen:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Wechseln Sie zu Ihrer Windows Admin Center, Azure AD-Anwendung im Azure-Portal, mithilfe des Links bereitgestellt, die in den Einstellungen für den Zugriff.Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. Beachten Sie, dass dieser Link nur verfügbar ist, wenn Azure Active Directory-Authentifizierung aktiviert ist.Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • Sie können auch Ihre Anwendung im Azure-Portal finden, durch das Aufrufen Azure Active Directory > unternehmensanwendungen > alle Anwendungen und die Suche WindowsAdminCenter (Azure AD-app erhält WindowsAdminCenter -).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). Wenn Sie keine Suchergebnisse erhalten, stellen Sie sicher anzeigen nastaven NA hodnotu alle Anwendungen, Anwendungsstatus nastaven NA hodnotu alle , und klicken Sie auf Übernehmen, Wiederholen Sie dann Ihre Suche ein.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Nachdem Sie die Anwendung gefunden haben, wechseln Sie zur Benutzer und GruppenOnce you've found the application, go to Users and groups
  2. Legen Sie die Registerkarte "Eigenschaften" benutzerzuweisung erforderlich auf Ja.In the Properties tab, set User assignment required to Yes. Sobald Sie dies getan haben, nur Mitglieder aufgeführt, der Benutzer und Gruppen Registerkarte kann das Gateway Windows Admin Center zugreifen.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. Wählen Sie in der Registerkarte Benutzer und Gruppen, Benutzer hinzufügen.In the Users and groups tab, select Add user. Sie müssen einen Gateway-Benutzer oder die Gateway-Rolle "Administrator" für jeden Benutzer bzw. die Gruppe hinzugefügt zuweisen.You must assign a gateway user or gateway administrator role for each user/group added.

Nachdem Sie Azure AD-Authentifizierung aktivieren, müssen der Gateway-Dienst neu gestartet wird und Sie Ihren Browser aktualisieren.Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Sie können den Benutzerzugriff für die Anwendung SME Azure AD im Azure-Portal zu einem beliebigen Zeitpunkt aktualisieren.You can update user access for the SME Azure AD application in the Azure portal at any time.

Benutzer werden aufgefordert, melden Sie sich mit ihrer Azure Active Directory-Identität aus, wenn sie versuchen, die Gateway-URL des Windows Admin Center zugreifen.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Denken Sie daran, dass Benutzer auch Mitglied der lokalen Benutzer auf dem Gateway-Server auf Windows Admin Center zugreifen müssen.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Benutzer und Administratoren können ihrem aktuell angemeldeten Konto anzeigen und auch als Abmeldung von diesem Azure AD-Konto aus der Konto Windows Admin Center-Einstellungen auf der Registerkarte.Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Konfigurieren der Azure Active Directory-Authentifizierung für Windows Admin CenterConfiguring Azure Active Directory authentication for Windows Admin Center

Um Azure AD-Authentifizierung einzurichten, müssen Sie zuerst Ihr Gateway bei Azure registrieren (Sie müssen nur einmal für Ihr Gateway Windows Admin Center dazu).To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). Dieser Schritt erstellt eine Azure AD-Anwendung, die aus der Gateway-Benutzer und Administrator-Gateway-Zugriff verwalten können.This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

Sie gewähren bestimmten Azure AD-Benutzer oder Gruppen Gateway Benutzer oder Gateway-Administratorzugriff auf den Windows Admin Center-Dienst können, müssen Sie Folgendes ausführen:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Wechseln Sie zu Ihrer Anwendung SME Azure AD im Azure-Portal.Go to your SME Azure AD application in the Azure portal.
    • Beim Klicken auf änderungszugriffssteuerung und wählen Sie dann Azure Active Directory in den Einstellungen für Windows Admin Center zugreifen, können Sie den Link in der Benutzeroberfläche bereitgestellt, die Zugriff auf Ihre Azure AD die Anwendung im Azure-Portal.When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. Dieser Link ist auch in den Einstellungen für den Zugriff verfügbar, nachdem Sie auf Speichern, und Azure AD als Identitätsanbieter Access-Steuerelement ausgewählt haben.This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • Sie können auch Ihre Anwendung im Azure-Portal finden, durch das Aufrufen Azure Active Directory > unternehmensanwendungen > alle Anwendungen und die Suche SME (Azure AD-app erhält KMU -).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching SME (the Azure AD app will be named SME-). Wenn Sie keine Suchergebnisse erhalten, stellen Sie sicher anzeigen nastaven NA hodnotu alle Anwendungen, Anwendungsstatus nastaven NA hodnotu alle , und klicken Sie auf Übernehmen, Wiederholen Sie dann Ihre Suche ein.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Nachdem Sie die Anwendung gefunden haben, wechseln Sie zur Benutzer und GruppenOnce you've found the application, go to Users and groups
  2. Legen Sie die Registerkarte "Eigenschaften" benutzerzuweisung erforderlich auf Ja.In the Properties tab, set User assignment required to Yes. Sobald Sie dies getan haben, nur Mitglieder aufgeführt, der Benutzer und Gruppen Registerkarte kann das Gateway Windows Admin Center zugreifen.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. Wählen Sie in der Registerkarte Benutzer und Gruppen, Benutzer hinzufügen.In the Users and groups tab, select Add user. Sie müssen einen Gateway-Benutzer oder die Gateway-Rolle "Administrator" für jeden Benutzer bzw. die Gruppe hinzugefügt zuweisen.You must assign a gateway user or gateway administrator role for each user/group added.

Nachdem Sie die Azure AD speichern Zugriffssteuerung in der änderungszugriffssteuerung Bereich der Gatewaydienst neu gestartet wird und Sie müssen Ihren Browser aktualisieren.Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Sie können den Benutzerzugriff für die Anwendung Windows Admin Center, Azure AD im Azure-Portal zu einem beliebigen Zeitpunkt aktualisieren.You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

Benutzer werden aufgefordert, melden Sie sich mit ihrer Azure Active Directory-Identität aus, wenn sie versuchen, die Gateway-URL des Windows Admin Center zugreifen.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Denken Sie daran, dass Benutzer auch Mitglied der lokalen Benutzer auf dem Gateway-Server auf Windows Admin Center zugreifen müssen.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Mithilfe der Azure auf der Registerkarte Allgemeine Einstellungen für Windows Admin Center, Benutzer und Administratoren kann ihrem aktuell angemeldeten Konto anzeigen und als auch für dieses Azure AD-Konto abmelden.Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

Für den bedingten Zugriff und Multi-Factor authenticationConditional access and multi-factor authentication

Einer der Vorteile der Verwendung von Azure AD als eine zusätzliche Sicherheitsebene zum Steuern des Zugriffs auf das Gateway Windows Admin Center ist, dass Sie Azure AD leistungsstarken Sicherheitsfunktionen wie bedingten Zugriff und Multi-Factor Authentication nutzen können.One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD's powerful security features like conditional access and multi-factor authentication.

Erfahren Sie mehr über das Konfigurieren des bedingten Zugriffs in Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Konfigurieren des einmaligen AnmeldensConfigure single sign-on

Einmaliges Anmelden bei der Bereitstellung als Dienst unter Windows ServerSingle sign-on when deployed as a Service on Windows Server

Bei der Installation von Windows Admin Center unter Windows 10 kann sie einmaliges Anmelden verwenden.When you install Windows Admin Center on Windows 10, it's ready to use single sign-on. Wenn Sie Windows Admin Center in Windows Server verwenden also, müssen Sie jedoch eine Art von Kerberos-Delegierung in Ihrer Umgebung einrichten, bevor Sie einmaliges Anmelden verwenden können.If you're going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. Die Delegierung konfiguriert den Gatewaycomputer als vertrauenswürdig für die Delegierung an den Zielknoten.The delegation configures the gateway computer as trusted to delegate to the target node.

So konfigurieren Sie ressourcenbasierte eingeschränkte Delegierung in Ihrer Umgebung führen Sie die folgenden PowerShell-Cmdlets.To configure Resource-based constrained delegation in your environment, run the following PowerShell cmdlets. Werden Sie (Beachten Sie, dass dies erfordert, dass einen Domänencontroller unter Windows Server 2012 oder höher).(Be aware that this requires a domain controller running Windows Server 2012 or later).

     $gateway = "WindowsAdminCenterGW" # Machine where Windows Admin Center is installed
     $node = "ManagedNode" # Machine that you want to manage
     $gatewayObject = Get-ADComputer -Identity $gateway
     $nodeObject = Get-ADComputer -Identity $node
     Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $gatewayObject

In diesem Beispiel das Windows Admin Center-Gateway installiert ist, auf Server WindowsAdminCenterGW, und der Name des Zielknotens ist ManagedNode.In this example, the Windows Admin Center gateway is installed on server WindowsAdminCenterGW, and the target node name is ManagedNode.

Um diese Beziehung zu entfernen, führen Sie das folgende Cmdlet aus:To remove this relationship, run the following cmdlet:

Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $null

Rollenbasierte ZugriffsteuerungRole-based access control

Rollenbasierte Zugriffssteuerung können Sie Benutzern eingeschränkten Zugriff auf den Computer aus, anstatt Sie vollständige lokale Administratoren bereitzustellen.Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. Weitere Informationen über die rollenbasierte Zugriffssteuerung und die verfügbaren Rollen.Read more about role-based access control and the available roles.

Einrichten von RBAC umfasst 2 Schritte aus: Aktivieren der Unterstützung für auf den Zielcomputern und Zuweisen von Benutzern zu der relevanten Rollen.Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

Tipp

Stellen Sie sicher, dass Sie über lokale Administratorrechte verfügen, auf den Computern, auf dem Sie Unterstützung für die rollenbasierte Zugriffssteuerung konfigurieren.Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

Rollenbasierte Zugriffssteuerung für einen einzelnen Computer anwendenApply role-based access control to a single machine

Das Bereitstellungsmodell für die einzelnen Computer ist ideal für einfache Umgebungen mit nur wenigen Computern verwalten.The single machine deployment model is ideal for simple environments with only a few computers to manage. Konfigurieren eines virtuellen Computers mit Unterstützung für die rollenbasierte Zugriffssteuerung führt die folgenden Änderungen:Configuring a machine with support for role-based access control will result in the following changes:

  • PowerShell-Modulen mit Funktionen, die erforderlichen Windows Admin Center installiert werden auf dem Systemlaufwerk unter C:\Program Files\WindowsPowerShell\Modules.PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules. Alle Module beginnt mit Microsoft.SmeAll modules will start with Microsoft.Sme
  • Desired State Configuration, führt eine einmalige Konfiguration zum Konfigurieren von eines Just Enough Administration-Endpunkts auf dem Computer, mit dem Namen Microsoft.Sme.PowerShell.Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. Dieser Endpunkt definiert die 3-Rollen, die von Windows Admin Center verwendet und wird als temporärer lokaler Administrator ausgeführt, wenn ein Benutzer, eine Verbindung herstellt.This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • 3 neue lokale Gruppen werden an Steuerelement erstellt werden, welche Benutzer Zugriff auf welche Rollen zugewiesen werden:3 new local groups will be created to control which users are assigned access to which roles:
    • Administratoren für Windows Admin CenterWindows Admin Center Administrators
    • Windows Admin Center Hyper-V-AdministratorenWindows Admin Center Hyper-V Administrators
    • Windows Admin Center-LeserWindows Admin Center Readers

Um die Unterstützung für die rollenbasierte Zugriffssteuerung auf einem einzelnen Computer zu aktivieren, gehen Sie folgendermaßen vor:To enable support for role-based access control on a single machine, follow these steps:

  1. Öffnen Sie Windows Admin Center, und Verbinden mit dem Computer, die, den Sie mit der rollenbasierten Zugriffssteuerung, die mit einem Konto mit lokalen Administratorrechten auf dem Zielcomputer konfigurieren möchten.Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. Auf der Übersicht tool, klicken Sie auf Einstellungen > Role-based Access Control,.On the Overview tool, click Settings > Role-based access control.
  3. Klicken Sie auf übernehmen am unteren Rand der Seite, um Unterstützung für die rollenbasierte Zugriffssteuerung auf dem Zielcomputer aktivieren.Click Apply at the bottom of the page to enable support for role-based access control on the target computer. Der Anwendungsprozess umfasst PowerShell-Skripts kopieren und das Aufrufen von einer Konfigurations (mithilfe von PowerShell Desired State Configuration) auf dem Zielcomputer an.The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. Es dauert bis zu 10 Minuten in Anspruch und führt zu WinRM neu zu starten.It may take up to 10 minutes to complete, and will result in WinRM restarting. Dadurch wird Windows Admin Center, PowerShell und WMI-Benutzer vorübergehend getrennt.This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. Aktualisieren Sie die Seite zum Überprüfen des Status der rollenbasierten Zugriffssteuerung.Refresh the page to check the status of role-based access control. Wenn es zur Verwendung bereit ist, der Status wird nun angewendet.When it is ready for use, the status will change to Applied.

Nachdem die Konfiguration angewendet wurde, können Sie Benutzer den Rollen zuweisen:Once the configuration is applied, you can assign users to the roles:

  1. Öffnen der lokale Benutzer und Gruppen Konfigurationstool, und navigieren Sie zu der Gruppen Registerkarte.Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Wählen Sie die Windows Admin Center Leser Gruppe.Select the Windows Admin Center Readers group.
  3. In der Details unten, klicken Sie dann auf Add User und geben Sie den Namen einer nur-Lese Zugriff auf den Server über Windows Admin Center müssen Benutzer oder Sicherheitsgruppen-Gruppe.In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. Die Benutzer und Gruppen können aus dem lokalen Computer oder Active Directory-Domäne stammen.The users and groups can come from the local machine or your Active Directory domain.
  4. Wiederholen Sie die Schritte 2 bis 3 für die Windows Admin Center Hyper-V-Administratoren und Windows Admin Center Administratoren Gruppen.Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

Sie können auch Ausfüllen dieser Gruppen durchgängig in Ihrer gesamten Domäne konfigurieren Sie ein Gruppenrichtlinienobjekt mit der richtlinieneinstellung für eingeschränkte Gruppen.You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

Anwenden der rollenbasierten Zugriffssteuerung auf mehreren ComputernApply role-based access control to multiple machines

In einer Bereitstellung für große Unternehmen können Sie Ihre vorhandenen Automatisierungstools auf Ihren Computern, die das rollenbasierte zugriffssteuerungsfeature auslasten, indem Sie das Konfigurationspaket aus dem Windows Admin Center-Gateway herunterladen.In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. Das clientkonfigurationspaket mit PowerShell Desired State Configuration verwendet werden soll, aber Sie können anpassen, es funktioniert mit Ihrer bevorzugten Automation-Lösung.The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

Die rollenbasierte zugriffssteuerungskonfiguration herunterladenDownload the role-based access control configuration

Informationen zum Herunterladen des Konfigurationspakets für rollenbasierte Access Control müssen Sie eine PowerShell-Eingabeaufforderung zu Windows Admin Center zugreifen.To download the role-based access control configuration package, you'll need to have access to Windows Admin Center and a PowerShell prompt.

Wenn Sie das Gateway Windows Admin Center im Modus "Dienst" unter Windows Server ausführen, verwenden Sie den folgenden Befehl zum Herunterladen des clientkonfigurationspakets.If you're running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. Achten Sie darauf, um die Gateway-Adresse mit die richtige Auswahl für Ihre Umgebung zu aktualisieren.Be sure to update the gateway address with the correct one for your environment.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Wenn Sie das Gateway Windows Admin Center auf Ihrem Windows 10-Computer ausführen, führen Sie stattdessen den folgenden Befehl aus:If you're running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Wenn Sie das Zip-Archiv erweitern, sehen Sie die folgende Ordnerstruktur:When you expand the zip archive, you'll see the following folder structure:

  • InstallJeaFeatures.ps1InstallJeaFeatures.ps1
  • JustEnoughAdministration (Verzeichnis)JustEnoughAdministration (directory)
  • Module (Verzeichnis)Modules (directory)
    • Microsoft.SME. * (Verzeichnisse)Microsoft.SME.* (directories)
    • WindowsAdminCenter.Jea (directory)WindowsAdminCenter.Jea (directory)

Um Unterstützung für die rollenbasierte Zugriffssteuerung auf einem Knoten zu konfigurieren, müssen Sie die folgenden Aktionen ausführen:To configure support for role-based access control on a node, you need to perform the following actions:

  1. Kopieren Sie die JustEnoughAdministration, Microsoft.SME. *, und WindowsAdminCenter.Jea Module in das Verzeichnis des PowerShell-Modul auf dem Zielcomputer.Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. Dies ist in der Regel unter C:\Program Files\WindowsPowerShell\Modules.Typically, this is located at C:\Program Files\WindowsPowerShell\Modules.
  2. Update InstallJeaFeature.ps1 Datei entsprechen die gewünschte Konfiguration für die RBAC-Endpunkt.Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. Führen Sie InstallJeaFeature.ps1 zum Kompilieren der DSC-Ressource.Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. Bereitstellen der DSC-Konfigurations auf alle Computer, die Konfiguration anzuwenden.Deploy your DSC configuration to all of your machines to apply the configuration.

Der folgende Abschnitt erläutert, wie Sie dies mithilfe von PowerShell-Remoting.The following section explains how to do this using PowerShell Remoting.

Bereitstellen auf mehreren ComputernDeploy on multiple machines

Um die Konfiguration bereitstellen, Sie auf mehreren Computern heruntergeladen haben, müssen Sie zum Aktualisieren der InstallJeaFeatures.ps1 Skript für Ihre Umgebung die angemessenen Sicherheitsgruppen enthalten, kopieren die Dateien auf alle Computer, und rufen Sie die Konfigurationsskripts.To deploy the configuration you downloaded onto multiple machines, you'll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. Sie können Ihrer bevorzugten Automation-Tools verwenden, um dies zu erreichen, jedoch in diesem Artikel auf einer reinen PowerShell-basierten Ansatzes Fokus wird.You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

Standardmäßig erstellt das Skript auf dem Computer zum Steuern des Zugriffs auf die einzelnen Rollen lokale Sicherheitsgruppen vorhanden sind.By default, the configuration script will create local security groups on the machine to control access to each of the roles. Dies ist nützlich für die Arbeitsgruppe und die Domäne eingebundenen Computern, aber wenn Sie in einer Domäne nur die Umgebung, die Sie direkt implementieren können bereitstellen jede Rolle eine Domänensicherheitsgruppe zuordnen.This is suitable for workgroup and domain joined machines, but if you're deploying in a domain-only environment you may wish to directly associate a domain security group with each role. Öffnen Sie zum Aktualisieren der Konfigurations zur Verwendung von Sicherheitsgruppen einer Domäne InstallJeaFeatures.ps1 , und stellen Sie die folgenden Änderungen:To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. Entfernen Sie die 3 Gruppe Ressourcen aus der Datei:Remove the 3 Group resources from the file:
    1. "Group-MS-Leser-Gruppe""Group MS-Readers-Group"
    2. "Group MS-Hyper-V-Administrators-Group""Group MS-Hyper-V-Administrators-Group"
    3. "Gruppe MS-Administratoren-Gruppe""Group MS-Administrators-Group"
  2. Entfernen Sie die 3 Gruppieren von Ressourcen aus der JeaEndpoint "DependsOn" EigenschaftRemove the 3 Group resources from the JeaEndpoint DependsOn property
    1. "[Group]MS-Readers-Group""[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group""[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group] MS-Administratoren-Gruppe""[Group]MS-Administrators-Group"
  3. Ändern Sie den Gruppennamen in der JeaEndpoint RoleDefinitions Eigenschaft zu Ihren gewünschten Sicherheitsgruppen.Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. Für, wenn Sie z. B. eine Sicherheitsgruppe CONTOSO\MyTrustedAdmins , zugeordnet sein sollte Zugriff Administratorrolle Windows Admin Center, Änderung '$env:COMPUTERNAME\Windows Admin Center Administrators' zu 'CONTOSO\MyTrustedAdmins'.For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change '$env:COMPUTERNAME\Windows Admin Center Administrators' to 'CONTOSO\MyTrustedAdmins'. Die drei Zeichenfolgen, die Sie aktualisieren müssen sind:The three strings you need to update are:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators''$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. "$env: COMPUTERNAME\Windows Admin Center Hyper-V-Administratoren'$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers''$env:COMPUTERNAME\Windows Admin Center Readers'

Hinweis

Achten Sie darauf, dass Sie eindeutige Sicherheits-Gruppen für jede Rolle zu verwenden.Be sure to use unique security groups for each role. Konfiguration schlägt fehl, wenn die gleiche Sicherheitsgruppe mehrere Rollen zugewiesen ist.Configuration will fail if the same security group is assigned to multiple roles.

Als Nächstes wird am Ende der InstallJeaFeatures.ps1 Hinzufügen von PowerShell die folgenden Zeilen am Ende des Skripts:Next, at the end of the InstallJeaFeatures.ps1 file, add the following lines of PowerShell to the bottom of the script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Schließlich können Sie den Ordner mit den Modulen, die DSC-Ressource und die Konfiguration auf jedem Zielknoten kopieren und Ausführen der InstallJeaFeature.ps1 Skript.Finally, you can copy the folder containing the modules, DSC resource and configuration to each target node and run the InstallJeaFeature.ps1 script. Remotezugriff auf Ihre Administratorarbeitsstation dazu können Sie die folgenden Befehle ausführen:To do this remotely from your admin workstation, you can run the following commands:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}