Access-Optionen für Benutzer mit Windows Admin CenterUser access options with Windows Admin Center

Gilt für: Windows Admin Center, Windows Admin Center PreviewApplies To: Windows Admin Center, Windows Admin Center Preview

Wenn unter Windows Server bereitgestellt wird, bietet Windows Admin Center einen zentralen Verwaltungspunkt für die serverumgebung.When deployed on Windows Server, Windows Admin Center provides a centralized point of management for your server environment. Durch die Steuerung des Zugriffs auf Windows Admin Center aus, können Sie die Sicherheit Ihrer Landschaft Management verbessern.By controlling access to Windows Admin Center, you can improve the security of your management landscape.

Gateway-ZugriffsrollenGateway access roles

Windows Admin Center definiert zwei Rollen für den Zugriff auf den Gateway-Dienst: datenverwaltungsgateway-Benutzer und Administrator des Gateways bereitgestellt.Windows Admin Center defines two roles for access to the gateway service: gateway users and gateway administrators.

Hinweis

Zugriff auf das Gateway impliziert keinen Zugriff auf den Zielservern sichtbar vom Gateway.Access to the gateway does not imply access to the target servers visible by the gateway. Um einen Zielserver verwalten zu können, muss ein Benutzer mit Anmeldeinformationen verbinden, das über Administratorrechte auf dem Zielserver verfügen.To manage a target server, a user must connect with credentials that have administrative privileges on the target server.

Datenverwaltungsgateway-Benutzer können mit dem Gateway-Dienst von Windows Admin Center zur Verwaltung von Servern über dieses Gateway verbinden, aber nicht über Zugriffsberechtigungen noch der Authentifizierungsmechanismus verwendet das Gateway zu authentifizieren.Gateway users can connect to the Windows Admin Center gateway service in order to manage servers through that gateway, but they cannot change access permissions nor the authentication mechanism used to authenticate to the gateway.

Gatewayadministratoren können konfigurieren, wer Zugriff auch erhält, wie Benutzer mit dem Gateway authentifiziert werden.Gateway administrators can configure who gets access as well as how users will authenticate to the gateway.

Hinweis

Wenn keine Access-Gruppen, die in Windows Admin Center definiert sind, werden die Rollen der Windows-Kontozugriff auf den Gatewayserver angewendet.If there are no access groups defined in Windows Admin Center, the roles will reflect the Windows account access to the gateway server.

Konfigurieren Sie Benutzer und Administratoren den Zugriff auf in Windows Admin Center ein.Configure gateway user and administrator access in Windows Admin Center.

Identitätsoptionen für AnbieterIdentity provider options

Gateway-Administratoren können eine der folgenden:Gateway administrators can choose either of the following:

Smartcard-AuthentifizierungSmartcard authentication

Wenn Sie Active Directory oder lokale Benutzergruppen als Identitätsanbieter verwenden, können Sie Smartcard-Authentifizierung erzwingen, indem Sie Benutzer, die auf Windows Admin Center, um zusätzliche Smartcard-basierte Sicherheitsgruppen angehören zugreifen.When using Active Directory or local machine groups as the identity provider, you can enforce smartcard authentication by requiring users who access Windows Admin Center to be a member of additional smartcard-based security groups. Smartcard-Authentifizierung in Windows Admin Center zu konfigurieren.Configure smartcard authentication in Windows Admin Center.

Für den bedingten Zugriff und Multi-Factor authenticationConditional access and multi-factor authentication

Durch das Anfordern von Azure AD-Authentifizierung für das Gateway, können Sie zusätzliche Sicherheitsfunktionen wie bedingten Zugriff und Multi-Factor Authentication von Azure AD bereitgestellten nutzen.By requiring Azure AD authentication for the gateway, you can leverage additional security features like conditional access and multi-factor authentication provided by Azure AD. Erfahren Sie mehr über das Konfigurieren des bedingten Zugriffs in Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Rollenbasierte ZugriffsteuerungRole-based access control

Standardmäßig müssen Benutzer die vollständige lokale Administratorrechte auf den Computern, die sie verwalten, Windows Admin Center verwenden möchten.By default, users require full local administrator privileges on the machines they wish to manage using Windows Admin Center. Dies können sie eine Remoteverbindung mit dem Computer herstellen und stellt sicher, dass sie ausreichende Berechtigungen zum Anzeigen und Ändern von Systemeinstellungen.This allows them to connect to the machine remotely and ensures they have sufficient permissions to view and modify system settings. Allerdings können einige Benutzer nicht uneingeschränkten Zugriff auf den Computer zum Ausführen ihrer Aufgaben benötigen.However, some users may not need unrestricted access to the machine to perform their jobs. Sie können Role-based Access Control, in Windows Admin Center, um solche Benutzer mit eingeschränktem Zugriff auf den Computer aus, anstatt Sie vollständige lokale Administratoren bereitzustellen.You can use role-based access control in Windows Admin Center to provide such users with limited access to the machine instead of making them full local administrators.

Rollenbasierte Zugriffssteuerung in Windows Admin Center funktioniert durch Konfigurieren von jedem verwalteten Server mit einem PowerShell Just Enough Administration Endpunkt.Role-based access control in Windows Admin Center works by configuring each managed server with a PowerShell Just Enough Administration endpoint. Dieser Endpunkt definiert die Rollen, einschließlich welche Aspekte des Systems jede Rolle zulässig ist, verwalten und welche Benutzer die Rolle zugewiesen sind.This endpoint defines the roles, including what aspects of the system each role is allowed to manage and which users are assigned to the role. Wenn ein Benutzer mit dem eingeschränkten Endpunkt herstellt, wird ein temporäre lokale Administratorkonto erstellt, um das System in ihrem Auftrag zu verwalten.When a user connects to the restricted endpoint, a temporary local administrator account is created to manage the system on their behalf. Dadurch wird sichergestellt, dass auch Tools, die nicht ihre eigenen Delegierungsmodell besitzen immer noch mit Windows Admin Center verwaltet werden können.This ensures that even tools which do not have their own delegation model can still be managed with Windows Admin Center. Das temporäre Konto wird automatisch entfernt, wenn der Benutzer den Computer über Windows Admin Center verwalten.The temporary account is automatically removed when the user stops managing the machine through Windows Admin Center.

Wenn ein Benutzer auf einem Computer mit der rollenbasierten Zugriffssteuerung herstellt, überprüft Windows Admin Center zuerst, ob sie ein lokaler Administrator sind.When a user connects to a machine configured with role-based access control, Windows Admin Center will first check if they are a local administrator. Wenn sie sich befinden, erhalten sie die vollständige Windows Admin Center-Erfahrung ohne Einschränkungen.If they are, they will receive the full Windows Admin Center experience with no restrictions. Andernfalls überprüft Windows Admin Center, ob der Benutzer eine der vordefinierten Rollen angehört.Otherwise, Windows Admin Center will check if the user belongs to any of the pre-defined roles. Ein Benutzer gilt als haben nur mit beschränktem Zugriff , wenn sie zu einer Rolle gehört Windows Admin Center sind jedoch keinem vollständigen Administratorkonto.A user is said to have limited access if they belong to a Windows Admin Center role but are not a full administrator. Abschließend, wenn der Benutzer weder Administrator noch Mitglied einer Rolle ist, werden ihnen der Zugriff zur Verwaltung des Computers verweigert werden.Finally, if the user is neither an administrator nor a member of a role, they will be denied access to manage the machine.

Rollenbasierte Zugriffssteuerung steht für den Server-Manager und Failovercluster-Lösungen zur Verfügung.Role-based access control is available for the Server Manager and Failover Cluster solutions.

Verfügbare RollenAvailable roles

Windows Admin Center unterstützt die folgenden Rollen für den Endbenutzer:Windows Admin Center supports the following end-user roles:

RollennameRole name Beabsichtigte NutzungIntended use
AdministratorenAdministrators Ermöglicht Benutzern, die meisten Features in Windows Admin Center zu verwenden, ohne sie Zugriff auf Remote Desktop oder über PowerShell erteilen.Allows users to use most of the features in Windows Admin Center without granting them access to Remote Desktop or PowerShell. Diese Rolle eignet sich für "sprungbrettserver" Szenarien Sie die Management-Einstiegspunkte auf einem Computer zu beschränken möchten.This role is good for "jump server" scenarios where you want to limit the management entry points on a machine.
LeserReaders Ermöglicht das Anzeigen von Informationen und Einstellungen auf dem Server, jedoch keine Änderungen vornehmen.Allows users to view information and settings on the server, but not make changes.
Hyper-V-AdministratorenHyper-V Administrators Ermöglicht Benutzern, um Hyper-V-Computer und Switches zu ändern, aber andere Features, mit schreibgeschützten Zugriff beschränkt.Allows users to make changes to Hyper-V virtual machines and switches, but limits other features to read-only access.

Die folgenden integrierten Erweiterungen haben Funktionalität reduziert, wenn ein Benutzer mit eingeschränktem Zugriff herstellt:The following built-in extensions have reduced functionality when a user connects with limited access:

  • Dateien (keine Datei hochladen oder herunterladen)Files (no file upload or download)
  • PowerShell (nicht verfügbar)PowerShell (unavailable)
  • Remotedesktop (nicht verfügbar)Remote Desktop (unavailable)
  • Funktion "Speicherreplikat" (nicht verfügbar)Storage Replica (unavailable)

Zu diesem Zeitpunkt können nicht Sie benutzerdefinierte Rollen für Ihre Organisation erstellen, aber Sie können auswählen, welche Benutzer Zugriff auf jede Rolle gewährt werden.At this time, you cannot create custom roles for your organization, but you can choose which users are granted access to each role.

Vorbereiten für die rollenbasierte ZugriffssteuerungPreparing for role-based access control

Um die temporären lokalen Konten zu nutzen, muss jeder Zielcomputer konfiguriert werden, zur Unterstützung der rollenbasierten Zugriffssteuerung in Windows Admin Center.To leverage the temporary local accounts, each target machine needs to be configured to support role-based access control in Windows Admin Center. Der Konfigurationsprozess umfasst das Installieren von PowerShell-Skripts und einen Just Enough Administration-Endpunkt auf dem Computer mithilfe von Desired State Configuration.The configuration process involves installing PowerShell scripts and a Just Enough Administration endpoint on the machine using Desired State Configuration.

Wenn Sie nur auf wenige Computern verfügen, können Sie die Konfiguration einfach einzeln auf jedem Computer, die im Windows Admin Center über die rollenbasierte Access Control-Seite anwenden.If you only have a few computers, you can easily apply the configuration individually to each computer using the role-based access control page in Windows Admin Center. Wenn Sie die rollenbasierte Zugriffssteuerung auf einem einzelnen Computer einrichten, werden lokale Sicherheitsgruppen zum Steuern des Zugriffs für die einzelnen Rollen erstellt.When you set up role-based access control on an individual computer, local security groups are created to control access to each role. Sie können den Zugriff auf Benutzer oder andere Sicherheitsgruppen gewähren, indem Sie sie als Mitglieder der Rolle Sicherheitsgruppen hinzufügen.You can grant access to users or other security groups by adding them as members of the role security groups.

Für eine unternehmensweite-Bereitstellung auf mehreren Computern können Sie Herunterladen des Konfigurationsskripts über das Gateway und verteilen Sie sie an Ihre Computer mit einer Desired State Configuration Pull-Server, Azure Automation oder Ihre bevorzugte Management-Tools.For an enterprise-wide deployment on multiple machines, you can download the configuration script from the gateway and distribute it to your computers using a Desired State Configuration pull server, Azure Automation, or your preferred management tooling.