JEA-konfigurációk regisztrálásaRegistering JEA Configurations

Miután létrehozta a szerepkör képességeit és a munkamenet-konfigurációs fájlt , az utolsó lépés az JEA-végpont regisztrálása.Once you have your role capabilities and session configuration file created, the last step is to register the JEA endpoint. A JEA-végpontnak a rendszeren való regisztrálása lehetővé teszi, hogy a végpont elérhető legyen a felhasználók és az Automation-motorok számára.Registering the JEA endpoint with the system makes the endpoint available for use by users and automation engines.

Egyetlen gép konfigurálásaSingle machine configuration

Kisméretű környezetekben a JEA üzembe helyezéséhez regisztrálja a munkamenet-konfigurációs fájlt a Register-PSSessionConfiguration parancsmag használatával.For small environments, you can deploy JEA by registering the session configuration file using the Register-PSSessionConfiguration cmdlet.

Mielőtt elkezdené, győződjön meg arról, hogy teljesülnek az alábbi előfeltételek:Before you begin, ensure that the following prerequisites have been met:

  • Egy vagy több szerepkör lett létrehozva, és egy PowerShell-modul RoleCapabilities mappájába került.One or more roles has been created and placed in the RoleCapabilities folder of a PowerShell module.
  • A rendszer létrehozta és tesztelte egy munkamenet-konfigurációs fájlt.A session configuration file has been created and tested.
  • A JEA-konfigurációt regisztráló felhasználónak rendszergazdai jogosultságokkal kell rendelkezniük a rendszeren.The user registering the JEA configuration has administrator rights on the system.
  • Kiválasztotta a JEA-végpont nevét.You've selected a name for your JEA endpoint.

Az JEA-végpont nevét kötelező megadni, ha a felhasználók a JEA használatával csatlakoznak a rendszerhez.The name of the JEA endpoint is required when users connect to the system using JEA. A Get-PSSessionConfiguration parancsmag felsorolja a végpontok nevét a rendszeren.The Get-PSSessionConfiguration cmdlet lists the names of the endpoints on a system. A-vel microsoft kezdődő végpontokat általában a Windows szállítja.Endpoints that start with microsoft are typically shipped with Windows. A microsoft.powershell végpont a távoli PowerShell-végponthoz való csatlakozáskor használt alapértelmezett végpont.The microsoft.powershell endpoint is the default endpoint used when connecting to a remote PowerShell endpoint.

Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Futtassa a következő parancsot a végpont regisztrálásához.Run the following command to register the endpoint.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Figyelmeztetés

Az előző parancs újraindítja a WinRM szolgáltatást a rendszeren.The previous command restarts the WinRM service on the system. Ezzel megszakítja az összes PowerShell távelérési munkamenetet és a folyamatban lévő DSC-konfigurációkat.This terminates all PowerShell remoting sessions and any ongoing DSC configurations. Javasoljuk, hogy a parancs futtatása előtt offline állapotba hozza az üzemi gépeket, hogy elkerülje az üzleti műveletek megszakítását.We recommended you take production machines offline before running the command to avoid disrupting business operations.

A regisztráció után már készen áll a JEA használatára.After registration, you're ready to use JEA. Bármikor törölheti a munkamenet-konfigurációs fájlt.You may delete the session configuration file at any time. A konfigurációs fájl nem használatos a végpont regisztrációja után.The configuration file isn't used after registration of the endpoint.

Többszámítógépes konfiguráció DSC-velMulti-machine configuration with DSC

Ha több gépen helyez üzembe JEA, a legegyszerűbb telepítési modell a JEA kívánt állapot-konfigurációs (DSC) erőforrást használja a JEA gyors és következetes üzembe helyezéséhez az egyes gépeken.When deploying JEA on multiple machines, the simplest deployment model uses the JEA Desired State Configuration (DSC) resource to quickly and consistently deploy JEA on each machine.

A JEA a DSC-vel való üzembe helyezéséhez győződjön meg arról, hogy teljesülnek az alábbi előfeltételek:To deploy JEA with DSC, ensure the following prerequisites are met:

  • Egy vagy több szerepkör-képesség lett létrehozva, és hozzá lett adva egy PowerShell-modulhoz.One or more role capabilities have been authored and added to a PowerShell module.
  • A szerepköröket tartalmazó PowerShell-modult az egyes gépek által elérhető (írásvédett) fájlmegosztás tárolja.The PowerShell module containing the roles is stored on a (read-only) file share accessible by each machine.
  • A munkamenet-konfiguráció beállításainak meghatározása megtörtént.Settings for the session configuration have been determined. A JEA DSC-erőforrás használatakor nem kell létrehoznia munkamenet-konfigurációs fájlt.You don't need to create a session configuration file when using the JEA DSC resource.
  • Rendelkezik olyan hitelesítő adatokkal, amelyek engedélyezik a rendszergazdai műveleteket az egyes gépeken, vagy hozzáférhetnek a gépek felügyeletéhez használt DSC lekérési kiszolgálóhoz.You have credentials that allow administrative actions on each machine or access to the DSC pull server used to manage the machines.
  • Letöltötte a JEA DSC-erőforrást.You've downloaded the JEA DSC resource.

Hozzon létre egy DSC-konfigurációt a JEA-végponthoz a célszámítógépen vagy a lekérési kiszolgálón.Create a DSC configuration for your JEA endpoint on a target machine or pull server. Ebben a konfigurációban a JustEnoughAdministration DSC-erőforrás határozza meg a munkamenet konfigurációs fájlját, és a fájl erőforrás a fájlmegosztás szerepkör-képességeit másolja.In this configuration, the JustEnoughAdministration DSC resource defines the session configuration file and the File resource copies the role capabilities from the file share.

A következő tulajdonságok konfigurálhatók a DSC-erőforrás használatával:The following properties are configurable using the DSC resource:

  • Szerepkör-definíciókRole Definitions
  • Virtuális fiókok csoportjaiVirtual account groups
  • Csoportosan felügyelt szolgáltatásfiók neveGroup-managed service account name
  • Átirat könyvtáraTranscript directory
  • Felhasználói meghajtóUser drive
  • Feltételes hozzáférési szabályokConditional access rules
  • A JEA-munkamenet indítási parancsfájljaiStartup scripts for the JEA session

A DSC-konfiguráció egyes tulajdonságainak szintaxisa konzisztens a PowerShell-munkamenet konfigurációs fájljával.The syntax for each of these properties in a DSC configuration is consistent with the PowerShell session configuration file.

Az alábbi példa DSC-konfigurációt biztosít egy általános kiszolgálói karbantartási modulhoz.Below is a sample DSC configuration for a general server maintenance module. Feltételezi, hogy a \\myfileshare\JEA fájlmegosztás egyik érvényes PowerShell-modulja található, amely szerepkör-képességeket tartalmaz.It assumes that a valid PowerShell module containing role capabilities is located on the \\myfileshare\JEA file share.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Ezt követően a konfiguráció a rendszeren közvetlenül a helyi Configuration Manager meghívásával vagy a lekérési kiszolgáló konfigurációjánakfrissítésével lesz alkalmazva.Next, the configuration is applied on a system by directly invoking the Local Configuration Manager or updating the pull server configuration.

A DSC-erőforrás azt is lehetővé teszi, hogy lecserélje az alapértelmezett Microsoft. PowerShell -végpontot.The DSC resource also allows you to replace the default Microsoft.PowerShell endpoint. Ha lecseréli, az erőforrás automatikusan regisztrálja a Microsoft. PowerShell. korlátozottnevű biztonsági mentési végpontot.When replaced, the resource automatically registers a backup endpoint named Microsoft.PowerShell.Restricted. A biztonsági mentési végpont rendelkezik az alapértelmezett WinRM-ACL-vel, amely lehetővé teszi a távfelügyeleti felhasználók és a helyi Rendszergazdák csoport tagjai számára az elérését.The backup endpoint has the default WinRM ACL that allows Remote Management Users and local Administrators group members to access it.

JEA-konfigurációk regisztrációjának törléseUnregistering JEA configurations

A regisztráció megszüntetése-PSSessionConfiguration PARANCSMAG egy JEA-végpontot távolít el.The Unregister-PSSessionConfiguration cmdlet removes a JEA endpoint. A JEA-végpont regisztrációjának törlése megakadályozza, hogy az új felhasználók új JEA-munkameneteket hozzanak létre a rendszeren.Unregistering a JEA endpoint prevents new users from creating new JEA sessions on the system. Azt is lehetővé teszi, hogy a JEA konfigurációját egy frissített munkamenet-konfigurációs fájl újbóli regisztrálásával módosítsa ugyanazzal a végpont nevével.It also allows you to update a JEA configuration by re-registering an updated session configuration file using the same endpoint name.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Figyelmeztetés

A JEA-végpont regisztrációjának törlése a WinRM szolgáltatás újraindítását eredményezi.Unregistering a JEA endpoint causes the WinRM service to restart. Ez megszakítja a legtöbb távfelügyeleti műveletet, beleértve a PowerShell-munkameneteket, a WMI-meghívásokat és egyes felügyeleti eszközöket.This interrupts most remote management operations in progress, including other PowerShell sessions, WMI invocations, and some management tools. A tervezett karbantartási időszakokban csak a PowerShell-végpontok regisztrációjának törlése.Only unregister PowerShell endpoints during planned maintenance windows.

További lépésekNext steps

Az JEA-végpont teszteléseTest the JEA endpoint