Configurar permisos y Control de acceso de usuarioConfigure User Access Control and Permissions

Se aplica a: Windows Admin Center, versión preliminar de Windows Admin CenterApplies to: Windows Admin Center, Windows Admin Center Preview

Si no lo ha hecho ya, familiarícese con el opciones de control de acceso de usuario en Windows Admin CenterIf you haven't already, familiarize yourself with the user access control options in Windows Admin Center

Nota

Acceso de grupo basado en Windows Admin Center no se admite en entornos de grupo de trabajo o dominios que no son de confianza.Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

Definiciones de roles de acceso de puerta de enlaceGateway access role definitions

Hay dos roles para el acceso al servicio de puerta de enlace de Windows Admin Center:There are two roles for access to the Windows Admin Center gateway service:

Los usuarios de la puerta de enlace puede conectarse al servicio de puerta de enlace de Windows Admin Center para administrar los servidores a través de esa puerta de enlace, pero no pueden cambiar los permisos de acceso ni el mecanismo de autenticación usada para autenticarse en la puerta de enlace.Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.

Los administradores de la puerta de enlace puede configurar quién tiene acceso, así como la forma a los usuarios autentican en la puerta de enlace.Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Solo los administradores de la puerta de enlace pueden ver y configurar el acceso en Windows Admin Center.Only gateway administrators can view and configure the Access settings in Windows Admin Center. Los administradores locales en el equipo de puerta de enlace siempre son administradores del servicio de puerta de enlace de Windows Admin Center.Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

Nota

Acceso a la puerta de enlace no implica el acceso a los servidores administrados visible la puerta de enlace.Access to the gateway doesn't imply access to managed servers visible by the gateway. Para administrar un servidor de destino, el usuario que se conecta debe utilizar credenciales (mediante sus credenciales de Windows se pasan o mediante las credenciales proporcionadas en la sesión de Windows Admin Center mediante el administrar como acción) que tienen acceso administrativo a ese servidor de destino.To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Active Directory o grupos de equipo localActive Directory or local machine groups

De forma predeterminada, los grupos de equipo local o de Active Directory se usan para controlar el acceso de puerta de enlace.By default, Active Directory or local machine groups are used to control gateway access. Si tiene un dominio de Active Directory, puede administrar el usuario de puerta de enlace y el Administrador de acceso desde dentro de la interfaz de Windows Admin Center.If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

En el usuarios ficha puede controlar quién puede acceder a Windows Admin Center como un usuario de la puerta de enlace.On the Users tab you can control who can access Windows Admin Center as a gateway user. De forma predeterminada, y si no especifica un grupo de seguridad, cualquier usuario que tiene acceso a la dirección URL de puerta de enlace tenga acceso.By default, and if you don't specify a security group, any user that accesses the gateway URL has access. Una vez que agregue uno o varios grupos de seguridad a la lista de usuarios, el acceso está restringido a los miembros de esos grupos.Once you add one or more security groups to the users list, access is restricted to the members of those groups.

Si no usa un dominio de Active Directory en su entorno, el acceso se controla mediante el Users y Administrators grupos locales en la máquina de puerta de enlace de Windows Admin Center.If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

Autenticación de tarjeta inteligenteSmartcard authentication

Puede aplicar autenticación de tarjeta inteligente especificando adicional requiere para grupos de seguridad basada en tarjeta inteligente.You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. Una vez haya agregado un grupo de seguridad basada en tarjeta inteligente, un usuario solo pueda acceder el servicio de Windows Admin Center si son miembros de cualquier grupo de seguridad y un grupo de tarjeta inteligente se incluye en la lista de usuarios.Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

En el administradores ficha puede controlar quién puede acceder a Windows Admin Center como un administrador de puerta de enlace.On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. El grupo de administradores locales en el equipo siempre tendrá acceso de administrador completo y no se puede quitar de la lista.The local administrators group on the computer will always have full administrator access and cannot be removed from the list. Mediante la adición de grupos de seguridad, asigne a los miembros de esos privilegios grupos para cambiar la configuración de puerta de enlace de Windows Admin Center.By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. La lista de administradores admite la autenticación de tarjeta inteligente en la misma manera que la lista de usuarios: con la condición AND para un grupo de seguridad y un grupo de tarjeta inteligente.The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Azure Active DirectoryAzure Active Directory

Si su organización usa Azure Active Directory (Azure AD), puede agregar un adicionales capa de seguridad para Windows Admin Center al requerir autenticación de Azure AD para tener acceso a la puerta de enlace.If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Para tener acceso a Windows Admin Center, el usuario cuenta Windows también debe tener acceso al servidor de puerta de enlace (incluso si se usa la autenticación de Azure AD).In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used). Cuando se usa Azure AD, podrá administrar los permisos de acceso de usuario y Administrador de Windows Admin Center desde el Portal de Azure, en lugar de desde la interfaz de usuario de Windows Admin Center.When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Obtener acceso a Windows Admin Center cuando está habilitada la autenticación de Azure ADAccessing Windows Admin Center when Azure AD authentication is enabled

Dependiendo del explorador que usa, algunos usuarios tienen acceso a Windows Admin Center con la autenticación de Azure AD configurada recibirán un símbolo del sistema adicional desde el explorador donde deben proporcionar sus credenciales de cuenta de Windows la máquina donde está instalado Windows Admin Center.Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. Después de escribir esa información, los usuarios obtendrán el aviso de autenticación de Azure Active Directory adicional, que requiere las credenciales de una cuenta de Azure que se ha concedido acceso en la aplicación de Azure AD en Azure.After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

Nota

Los usuarios que Windows de la cuenta tiene derechos de administrador en la puerta de enlace máquina no se solicitará la autenticación de Azure AD.Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Configurar la autenticación de Azure Active Directory para Windows Admin Center PreviewConfiguring Azure Active Directory authentication for Windows Admin Center Preview

Vaya a Windows Admin Center configuración > acceso y utilice el conmutador para activar "usar Azure Active Directory para agregar una capa de seguridad a la puerta de enlace".Go to Windows Admin Center Settings > Access and use the toggle switch to turn on "Use Azure Active Directory to add a layer of security to the gateway". Si no ha registrado la puerta de enlace de Azure, se le guiará para hacerlo en este momento.If you have not registered the gateway to Azure, you will be guided to do that at this time.

De forma predeterminada, todos los miembros del inquilino de Azure AD tienen acceso de usuario para el servicio de puerta de enlace de Windows Admin Center.By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Solo los administradores locales en el equipo de puerta de enlace tienen acceso de administrador a la puerta de enlace de Windows Admin Center.Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. Tenga en cuenta que los derechos de administradores locales en la máquina de puerta de enlace no pueden ser restringidos, los administradores locales pueden hacer cualquier cosa, independientemente de si se usa Azure AD para la autenticación.Note that the rights of local administrators on the gateway machine cannot be restricted - local admins can do anything regardless of whether Azure AD is used for authentication.

Si desea que Azure AD específico a los usuarios, los usuarios de la puerta de enlace de grupos o acceso de administrador de puerta de enlace para el servicio de Windows Admin Center, debe hacer lo siguiente:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Vaya a la aplicación de Windows Admin Center de Azure AD en Azure portal mediante el hipervínculo proporcionado en la configuración de acceso.Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. Tenga en cuenta que este hipervínculo solo está disponible cuando está habilitada la autenticación de Azure Active Directory.Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • También puede encontrar la aplicación en Azure portal, vaya a Azure Active Directory > aplicaciones empresariales > detodaslasaplicaciones y buscar WindowsAdminCenter (la aplicación de Azure AD se denominará WindowsAdminCenter -).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). Si no obtiene los resultados de búsqueda, asegúrese de mostrar está establecido en todas las aplicaciones, estado de la aplicación está establecido en cualquier y haga clic en aplicar, Vuelva a intentar la búsqueda.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Una vez que haya encontrado la aplicación, vaya a usuarios y gruposOnce you've found the application, go to Users and groups
  2. En la pestaña Propiedades, establezca asignación de usuarios necesaria en Sí.In the Properties tab, set User assignment required to Yes. Una vez hecho esto, solo los miembros se muestran en el usuarios y grupos ficha podrán tener acceso a la puerta de enlace de Windows Admin Center.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. En la pestaña usuarios y grupos, seleccione Agregar usuario.In the Users and groups tab, select Add user. Debe asignar un usuario de la puerta de enlace o el rol de administrador de puerta de enlace para cada usuario o grupo agregado.You must assign a gateway user or gateway administrator role for each user/group added.

Después de activar la autenticación de Azure AD, se reinicia el servicio de puerta de enlace y se debe actualizar el explorador.Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Puede actualizar el acceso de usuario para la aplicación de PYME Azure AD en Azure portal en cualquier momento.You can update user access for the SME Azure AD application in the Azure portal at any time.

Los usuarios le pedirá que inicie sesión con su identidad de Azure Active Directory cuando intentan obtener acceso a la dirección URL de puerta de enlace de Windows Admin Center.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Recuerde que los usuarios también deben ser un miembro de los usuarios locales en el servidor de puerta de enlace para tener acceso a Windows Admin Center.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Los usuarios y administradores pueden ver su cuenta ha iniciado sesión actualmente y, así como de cierre de esta cuenta de Azure AD desde el cuenta ficha de configuración de Windows Admin Center.Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Configurar la autenticación de Azure Active Directory para Windows Admin CenterConfiguring Azure Active Directory authentication for Windows Admin Center

Para configurar la autenticación de Azure AD, primero debe registrar la puerta de enlace con Azure (basta con hacerlo una vez para la puerta de enlace de Windows Admin Center).To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). Este paso crea una aplicación de Azure AD desde el que puede administrar el acceso de administrador de puerta de enlace y de usuario de la puerta de enlace.This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

Si desea que Azure AD específico a los usuarios, los usuarios de la puerta de enlace de grupos o acceso de administrador de puerta de enlace para el servicio de Windows Admin Center, debe hacer lo siguiente:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Vaya a la aplicación de PYME Azure AD en Azure portal.Go to your SME Azure AD application in the Azure portal.
    • Al hacer clic en Cambiar control de acceso y, a continuación, seleccione Azure Active Directory desde la configuración de acceso de Windows Admin Center, puede usar el hipervínculo proporcionado en la interfaz de usuario para tener acceso a Azure AD aplicación en Azure portal.When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. Este hipervínculo también está disponible en la configuración de acceso después de que haga clic en Guardar y ha seleccionado Azure AD como proveedor de identidades de control de acceso.This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • También puede encontrar la aplicación en Azure portal, vaya a Azure Active Directory > aplicaciones empresariales > detodaslasaplicaciones y buscar SME (la aplicación de Azure AD se denominará SME -).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching SME (the Azure AD app will be named SME-). Si no obtiene los resultados de búsqueda, asegúrese de mostrar está establecido en todas las aplicaciones, estado de la aplicación está establecido en cualquier y haga clic en aplicar, Vuelva a intentar la búsqueda.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Una vez que haya encontrado la aplicación, vaya a usuarios y gruposOnce you've found the application, go to Users and groups
  2. En la pestaña Propiedades, establezca asignación de usuarios necesaria en Sí.In the Properties tab, set User assignment required to Yes. Una vez hecho esto, solo los miembros se muestran en el usuarios y grupos ficha podrán tener acceso a la puerta de enlace de Windows Admin Center.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. En la pestaña usuarios y grupos, seleccione Agregar usuario.In the Users and groups tab, select Add user. Debe asignar un usuario de la puerta de enlace o el rol de administrador de puerta de enlace para cada usuario o grupo agregado.You must assign a gateway user or gateway administrator role for each user/group added.

Una vez que guarde el de Azure AD control de acceso en el Cambiar control de acceso se reinicia el servicio de puerta de enlace de panel, y debe actualizar el explorador.Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Puede actualizar el acceso de usuario para la aplicación de Windows Admin Center de Azure AD en Azure portal en cualquier momento.You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

Los usuarios le pedirá que inicie sesión con su identidad de Azure Active Directory cuando intentan obtener acceso a la dirección URL de puerta de enlace de Windows Admin Center.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Recuerde que los usuarios también deben ser un miembro de los usuarios locales en el servidor de puerta de enlace para tener acceso a Windows Admin Center.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Mediante el Azure pestaña de configuración general de Windows Admin Center, los usuarios y administradores puede ver su cuenta ha iniciado sesión actualmente y, así como de cierre de esta cuenta de Azure AD.Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

Acceso condicional y Multi-factor authenticationConditional access and multi-factor authentication

Una de las ventajas de usar Azure AD como una capa adicional de seguridad para controlar el acceso a la puerta de enlace de Windows Admin Center es que puede aprovechar las características de seguridad muy eficaces de Azure AD como el acceso condicional y la autenticación multifactor.One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD's powerful security features like conditional access and multi-factor authentication.

Más información sobre cómo configurar el acceso condicional con Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Configurar el inicio de sesión únicoConfigure single sign-on

De sesión único cuando se implementa como un servicio de Windows ServerSingle sign-on when deployed as a Service on Windows Server

Cuando se instala Windows Admin Center en Windows 10, está listo para usar el inicio de sesión único.When you install Windows Admin Center on Windows 10, it's ready to use single sign-on. Sin embargo, si va a usar Windows Admin Center en Windows Server, deberá configurar algún tipo de delegación de Kerberos en su entorno antes de poder usar el inicio de sesión único.If you're going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. La delegación configura el equipo de puerta de enlace como de confianza para delegar en el nodo de destino.The delegation configures the gateway computer as trusted to delegate to the target node.

Para configurar la delegación restringida basada en recursos en su entorno, ejecute los siguientes cmdlets de PowerShell.To configure Resource-based constrained delegation in your environment, run the following PowerShell cmdlets. (Puede tener en cuenta que esto requiere un controlador de dominio que ejecutan Windows Server 2012 o posterior).(Be aware that this requires a domain controller running Windows Server 2012 or later).

     $gateway = "WindowsAdminCenterGW" # Machine where Windows Admin Center is installed
     $node = "ManagedNode" # Machine that you want to manage
     $gatewayObject = Get-ADComputer -Identity $gateway
     $nodeObject = Get-ADComputer -Identity $node
     Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $gatewayObject

En este ejemplo, la puerta de enlace de Windows Admin Center está instalado en servidor WindowsAdminCenterGW, y el nombre de nodo de destino es ManagedNode.In this example, the Windows Admin Center gateway is installed on server WindowsAdminCenterGW, and the target node name is ManagedNode.

Para quitar esta relación, ejecute el siguiente cmdlet:To remove this relationship, run the following cmdlet:

Set-ADComputer -Identity $nodeObject -PrincipalsAllowedToDelegateToAccount $null

Control de acceso basado en rolesRole-based access control

Control de acceso basado en roles permite proporcionar a los usuarios con acceso limitado a la máquina en lugar de realizar los administradores locales completa de ellos.Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. Más información sobre el control de acceso basado en roles y los roles disponibles.Read more about role-based access control and the available roles.

Configuración de RBAC consta de 2 pasos: habilitar la compatibilidad en los equipos de destino y asignar usuarios a los roles pertinentes.Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

Sugerencia

Asegúrese de que tener privilegios de administrador local en los equipos donde va a configurar la compatibilidad con el control de acceso basado en roles.Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

Control de acceso basado en roles se aplican a un único equipoApply role-based access control to a single machine

El modelo de implementación de máquina única es ideal para entornos simples con solo unos pocos equipos para administrar.The single machine deployment model is ideal for simple environments with only a few computers to manage. Configuración de una máquina con compatibilidad para control de acceso basado en roles dará como resultado los siguientes cambios:Configuring a machine with support for role-based access control will result in the following changes:

  • Módulos de PowerShell con las funciones requeridas por Windows Admin Center se instalará en la unidad del sistema, en C:\Program Files\WindowsPowerShell\Modules.PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules. Todos los módulos se iniciarán con Microsoft.SmeAll modules will start with Microsoft.Sme
  • Desired State Configuration se ejecutará una única configuración para configurar un punto de conexión de Just Enough Administration en la máquina, denominada Microsoft.Sme.PowerShell.Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. Este punto de conexión define los 3 roles usando Windows Admin Center y se ejecutará como administrador local temporal cuando un usuario se conecta a él.This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • se crearán 3 nuevos grupos locales a los usuarios que tengan concedidos acceso a los roles de control:3 new local groups will be created to control which users are assigned access to which roles:
    • Administradores de Windows Admin CenterWindows Admin Center Administrators
    • Administradores de Hyper-V de Windows Admin CenterWindows Admin Center Hyper-V Administrators
    • Windows Admin Center ReadersWindows Admin Center Readers

Para habilitar la compatibilidad con el control de acceso basado en roles en un solo equipo, siga estos pasos:To enable support for role-based access control on a single machine, follow these steps:

  1. Abra Windows Admin Center y conéctese a la máquina que desea configurar con el control de acceso basado en rol con una cuenta con privilegios de administrador local en el equipo de destino.Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. En el Introducción de herramientas, haga clic en configuración > control de acceso basado en roles.On the Overview tool, click Settings > Role-based access control.
  3. Haga clic en aplicar en la parte inferior de la página para habilitar la compatibilidad con control de acceso basado en roles en el equipo de destino.Click Apply at the bottom of the page to enable support for role-based access control on the target computer. El proceso de aplicación implica copiar los scripts de PowerShell y la llamada a una configuración (con Desired State Configuration de PowerShell) en el equipo de destino.The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. Puede tardar hasta 10 minutos en completarse y dará como resultado reiniciar WinRM.It may take up to 10 minutes to complete, and will result in WinRM restarting. Esto desconectará temporalmente a los usuarios de Windows Admin Center, PowerShell y WMI.This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. Actualice la página para comprobar el estado de control de acceso basado en roles.Refresh the page to check the status of role-based access control. Cuando esté listo para su uso, el estado cambiará a aplicado.When it is ready for use, the status will change to Applied.

Una vez que se aplica la configuración, puede asignar a usuarios a los roles:Once the configuration is applied, you can assign users to the roles:

  1. Abra el usuarios y grupos locales herramienta y vaya a la grupos ficha.Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Seleccione el Windows Admin Center lectores grupo.Select the Windows Admin Center Readers group.
  3. En el detalles panel en la parte inferior, haga clic en Agregar usuario y escriba el nombre de un usuario o grupo de seguridad que debe tener acceso de solo lectura en el servidor a través de Windows Admin Center.In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. Los usuarios y grupos pueden proceder de la máquina local o dominio de Active Directory.The users and groups can come from the local machine or your Active Directory domain.
  4. Repita los pasos 2 y 3 para el administradores de Hyper-V de Windows Admin Center y Windows Admin Center administradores grupos.Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

También puede rellenar estos grupos de forma coherente a través de su dominio mediante la configuración de un objeto de directiva de grupo con el configuración de directiva de grupos restringidos.You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

Control de acceso basado en roles se aplican a varias máquinasApply role-based access control to multiple machines

En una implementación de empresa de gran tamaño, puede usar las herramientas de automatización existente para insertar la característica de control de acceso basado en roles en los equipos mediante la descarga del paquete de configuración de la puerta de enlace de Windows Admin Center.In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. El paquete de configuración está diseñado para usarse con Desired State Configuration de PowerShell, pero puede adaptar para que funcione con la solución de automatización preferido.The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

Descargar la configuración de control de acceso basado en rolesDownload the role-based access control configuration

Para descargar el paquete de configuración de control de acceso basado en roles, necesita tener acceso a Windows Admin Center y un símbolo del sistema de PowerShell.To download the role-based access control configuration package, you'll need to have access to Windows Admin Center and a PowerShell prompt.

Si está ejecutando la puerta de enlace de Windows Admin Center en modo de servicio en Windows Server, use el comando siguiente para descargar el paquete de configuración.If you're running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. Asegúrese de actualizar la dirección de puerta de enlace con el correcto para su entorno.Be sure to update the gateway address with the correct one for your environment.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Si está ejecutando la puerta de enlace de Windows Admin Center en el equipo de Windows 10, ejecute el siguiente comando:If you're running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Al expandir el archivo zip, verá la siguiente estructura de carpetas:When you expand the zip archive, you'll see the following folder structure:

  • InstallJeaFeatures.ps1InstallJeaFeatures.ps1
  • JustEnoughAdministration (directorio)JustEnoughAdministration (directory)
  • Módulos (directorio)Modules (directory)
    • Microsoft.SME. * (directorios)Microsoft.SME.* (directories)
    • WindowsAdminCenter.Jea (directory)WindowsAdminCenter.Jea (directory)

Para configurar la compatibilidad con el control de acceso basado en roles en un nodo, debe realizar las siguientes acciones:To configure support for role-based access control on a node, you need to perform the following actions:

  1. Copie el JustEnoughAdministration, Microsoft.SME. *y los módulos de WindowsAdminCenter.Jea en el directorio de módulo de PowerShell en el equipo de destino.Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. Normalmente, esto se encuentra en C:\Program Files\WindowsPowerShell\Modules.Typically, this is located at C:\Program Files\WindowsPowerShell\Modules.
  2. Actualización InstallJeaFeature.ps1 archivo para que coincida con la configuración deseada para el punto de conexión RBAC.Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. Ejecute InstallJeaFeature.ps1 para compilar el recurso de DSC.Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. Implementar la configuración de DSC en todas las máquinas para aplicar la configuración.Deploy your DSC configuration to all of your machines to apply the configuration.

La siguiente sección explica cómo hacer esto mediante la comunicación remota de PowerShell.The following section explains how to do this using PowerShell Remoting.

Implementar en varios equiposDeploy on multiple machines

Para implementar la configuración que descargó en varios equipos, deberá actualizar el InstallJeaFeatures.ps1 script para incluir los grupos de seguridad adecuados para su entorno, copie los archivos en cada uno de los equipos, e invocar los scripts de configuración.To deploy the configuration you downloaded onto multiple machines, you'll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. Puede usar las herramientas de automatización preferida para lograr esto, sin embargo, en este artículo se centrará en un enfoque puro basada en PowerShell.You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

De forma predeterminada, el script de configuración creará grupos de seguridad locales en el equipo para controlar el acceso a cada uno de los roles.By default, the configuration script will create local security groups on the machine to control access to each of the roles. Esto es adecuado para el grupo de trabajo y equipos unidos a dominio, pero si va a implementar en un entorno de dominio de sólo puede desear directamente asociar un grupo de seguridad de dominio a cada rol.This is suitable for workgroup and domain joined machines, but if you're deploying in a domain-only environment you may wish to directly associate a domain security group with each role. Para actualizar la configuración para usar grupos de seguridad de dominio, abra InstallJeaFeatures.ps1 y realice los cambios siguientes:To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. Quitar los 3 grupo recursos desde el archivo:Remove the 3 Group resources from the file:
    1. "Grupo de lectores de MS de grupo""Group MS-Readers-Group"
    2. "Grupo de MS-Hyper-V-administradores-Group""Group MS-Hyper-V-Administrators-Group"
    3. "Grupo de administradores de MS de grupo""Group MS-Administrators-Group"
  2. Quitar los recursos del grupo 3 de la JeaEndpoint DependsOn propiedadRemove the 3 Group resources from the JeaEndpoint DependsOn property
    1. "[Group] grupo de lectores de MS""[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group""[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group] grupo de administradores de MS""[Group]MS-Administrators-Group"
  3. Cambiar los nombres de grupo en el JeaEndpoint RoleDefinitions propiedad a los grupos de seguridad deseado.Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. Por ejemplo, si tiene un grupo de seguridad CONTOSO\MyTrustedAdmins que debe asignarse acceso a la función de los administradores de Windows Admin Center, cambio '$env:COMPUTERNAME\Windows Admin Center Administrators' a 'CONTOSO\MyTrustedAdmins'.For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change '$env:COMPUTERNAME\Windows Admin Center Administrators' to 'CONTOSO\MyTrustedAdmins'. Las tres cadenas que deba actualizar son:The three strings you need to update are:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators''$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators''$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers''$env:COMPUTERNAME\Windows Admin Center Readers'

Nota

Asegúrese de usar grupos de seguridad únicos para cada rol.Be sure to use unique security groups for each role. Se producirá un error en la configuración si se asigna el mismo grupo de seguridad a varios roles.Configuration will fail if the same security group is assigned to multiple roles.

A continuación, al final de la InstallJeaFeatures.ps1 , agregue las siguientes líneas de PowerShell en la parte inferior de la secuencia de comandos:Next, at the end of the InstallJeaFeatures.ps1 file, add the following lines of PowerShell to the bottom of the script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Por último, puede copiar la carpeta que contiene los módulos, recursos de DSC y configuración para cada nodo de destino y ejecute el InstallJeaFeature.ps1 secuencia de comandos.Finally, you can copy the folder containing the modules, DSC resource and configuration to each target node and run the InstallJeaFeature.ps1 script. Para hacerlo de forma remota desde su estación de trabajo de administrador, puede ejecutar los comandos siguientes:To do this remotely from your admin workstation, you can run the following commands:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}