Configurare le autorizzazioni e il controllo di accesso utenteConfigure User Access Control and Permissions

Si applica a: Windows Admin Center, Windows Admin Center PreviewApplies to: Windows Admin Center, Windows Admin Center Preview

Acquisisci familiarità con le opzioni di controllo di accesso utente in Windows Admin Center se non l'hai già fattoIf you haven't already, familiarize yourself with the user access control options in Windows Admin Center

Nota

L'accesso basato sui gruppi in Windows Admin Center non è supportato negli ambienti di gruppo di lavoro o nei domini non attendibili.Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

Definizioni dei ruoli di accesso al gatewayGateway access role definitions

Per l'accesso al servizio gateway di Windows Admin Center sono disponibili due ruoli:There are two roles for access to the Windows Admin Center gateway service:

Gli utenti del gateway possono connettersi al servizio gateway di Windows Admin Center per gestire i server attraverso tale gateway, ma non possono modificare le autorizzazioni di accesso e il meccanismo usato per l'autenticazione al gateway.Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.

Gli amministratori del gateway possono configurare gli utenti autorizzati ad accedere al servizio gateway e la relativa modalità di autenticazione.Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Solo gli amministratori del gateway possono visualizzare e configurare le impostazioni di accesso in Windows Admin Center.Only gateway administrators can view and configure the Access settings in Windows Admin Center. Gli amministratori locali del computer gateway sono sempre amministratori del servizio gateway di Windows Admin Center.Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

Nota

L'accesso al gateway non implica l'accesso ai server gestiti visibili dal gateway.Access to the gateway doesn't imply access to managed servers visible by the gateway. Per gestire un server di destinazione, l'utente che si connette deve usare credenziali con accesso amministrativo al server di destinazione (le relative credenziali pass-through di Windows o quelle fornite nella sessione di Windows Admin Center tramite il comando Account di gestione).To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Active Directory o gruppi di computer localiActive Directory or local machine groups

Per impostazione predefinita, per controllare l'accesso al gateway vengono usati i gruppi di computer locali o Active Directory.By default, Active Directory or local machine groups are used to control gateway access. Se disponi di un dominio di Active Directory, puoi gestire l'accesso di utenti e amministratori del gateway dall'interfaccia di Windows Admin Center.If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

Nella scheda Utenti puoi controllare gli utenti autorizzati ad accedere a Windows Admin Center come utenti del gateway.On the Users tab you can control who can access Windows Admin Center as a gateway user. Per impostazione predefinita, e se non specifichi un gruppo di sicurezza, possono eseguire l'accesso tutti gli utenti autorizzati ad accedere all'URL del gateway.By default, and if you don't specify a security group, any user that accesses the gateway URL has access. Dopo che hai aggiunto uno o più gruppi di sicurezza all'elenco degli utenti, l'accesso sarà limitato ai membri di tali gruppi.Once you add one or more security groups to the users list, access is restricted to the members of those groups.

Se nel tuo ambiente non è configurato un dominio di Active Directory, l'accesso viene controllato dai gruppi locali Users e Administrators nel computer gateway di Windows Admin Center.If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

Autenticazione tramite smart cardSmartcard authentication

Puoi imporre l'autenticazione tramite smart card specificando un gruppo obbligatorio aggiuntivo per i gruppi di sicurezza basati su smart card.You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. Dopo che hai aggiunto un gruppo di sicurezza basato su smart card, un utente potrà accedere al servizio di Windows Admin Center solo se è membro di un gruppo di sicurezza E di un gruppo basato su smart card incluso nell'elenco degli utenti.Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

Nella scheda Amministratori puoi controllare gli utenti autorizzati ad accedere a Windows Admin Center come amministratori del gateway.On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. Il gruppo Administrators locale nel computer disporrà sempre dell'accesso amministratore completo e non potrà essere rimosso dall'elenco.The local administrators group on the computer will always have full administrator access and cannot be removed from the list. Aggiungendo gruppi di sicurezza, assegni ai membri di tali gruppi i privilegi necessari per modificare le impostazioni del gateway di Windows Admin Center.By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. L'elenco degli amministratori supporta l'autenticazione tramite smart card in modo analogo all'elenco degli utenti, ovvero con la condizione AND per un gruppo di sicurezza e un gruppo basato su smart card.The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Azure Active DirectoryAzure Active Directory

Se nella tua organizzazione viene usato il servizio Azure Active Directory (Azure AD), puoi scegliere di introdurre un livello di sicurezza aggiuntivo per Windows Admin Center richiedendo l'autenticazione di Azure AD per l'accesso al gateway.If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Per accedere a Windows Admin Center, l'account Windows dell'utente deve anche avere accesso al server gateway, sebbene venga usata l'autenticazione di Azure AD.In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used). Quando viene usato il servizio Azure AD, le autorizzazioni di accesso di utenti e amministratori di Windows Admin Center vengono gestite dal portale di Azure anziché dall'interfaccia utente di Windows Admin Center.When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Accesso a Windows Admin Center con l'autenticazione di Azure AD abilitataAccessing Windows Admin Center when Azure AD authentication is enabled

A seconda del browser usato, alcuni utenti che accedono a Windows Admin Center con l'autenticazione di Azure AD configurata riceveranno un messaggio aggiuntivo dal browser in cui verrà chiesto di specificare le credenziali dell'account Windows per il computer in cui è installato Windows Admin Center.Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. Dopo aver immesso queste informazioni, gli utenti riceveranno una richiesta di autenticazione aggiuntiva di Azure Active Directory, per cui dovranno specificare le credenziali di un account Azure autorizzato ad accedere all'applicazione di Azure AD in Azure.After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

Nota

Gli utenti che dispongono di un account Windows con diritti di amministratore nel computer gateway non riceveranno la richiesta di autenticazione di Azure AD.Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Configurazione dell'autenticazione di Azure Active Directory per Windows Admin Center PreviewConfiguring Azure Active Directory authentication for Windows Admin Center Preview

In Windows Admin Center vai a Impostazioni > Accesso e usa l'interruttore per abilitare "Use Azure Active Directory to add a layer of security to the gateway" (Usa Azure Active Directory per aggiungere un livello di sicurezza al gateway).Go to Windows Admin Center Settings > Access and use the toggle switch to turn on "Use Azure Active Directory to add a layer of security to the gateway". Se non hai registrato il gateway in Azure, ti verrà indicato come eseguire l'operazione in questo momento.If you have not registered the gateway to Azure, you will be guided to do that at this time.

Per impostazione predefinita, tutti i membri del tenant di Azure AD dispongono dell'accesso utente al servizio gateway di Windows Admin Center.By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Solo gli amministratori locali del computer gateway dispongono dell'accesso amministratore a tale servizio.Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. Tieni presente che i diritti degli amministratori locali nel computer gateway non possono essere limitati. Gli amministratori locali possono eseguire qualsiasi operazione indipendentemente dall'uso di Azure AD per l'autenticazione.Note that the rights of local administrators on the gateway machine cannot be restricted - local admins can do anything regardless of whether Azure AD is used for authentication.

Se vuoi assegnare a utenti o gruppi specifici di Azure AD l'accesso come utente o amministratore del servizio gateway di Windows Admin Center, devi eseguire queste operazioni:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Vai all'applicazione Windows Admin Center di Azure AD nel portale di Azure usando il collegamento ipertestuale visualizzato in Impostazioni di accesso.Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. Tieni presente che questo collegamento è disponibile solo quando è abilitata l'autenticazione di Azure Active Directory.Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • Puoi anche trovare l'applicazione nel portale di Azure selezionando Azure Active Directory > Applicazioni aziendali > Tutte le applicazioni e cercando WindowsAdminCenter. L'app di Azure AD sarà denominata WindowsAdminCenter-.You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). Se non viene restituito alcun risultato, verifica che Mostra sia impostato su Tutte le applicazioni e che Stato applicazione sia impostato su Qualsiasi, quindi fai clic su Applica e ripeti la ricerca.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Dopo aver trovato l'applicazione, vai a Utenti e gruppi.Once you've found the application, go to Users and groups
  2. Nella scheda Proprietà imposta Assegnazione di utenti obbligatoria su Sì.In the Properties tab, set User assignment required to Yes. Al termine di questa operazione, solo i membri elencati nella scheda Utenti e gruppi saranno in grado di accedere al gateway di Windows Admin Center.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. Nella scheda Utenti e gruppi seleziona Aggiungi utente.In the Users and groups tab, select Add user. Devi assegnare un ruolo di utente o amministratore del gateway per ogni utente o gruppo aggiunto.You must assign a gateway user or gateway administrator role for each user/group added.

Dopo che hai abilitato l'autenticazione di Azure AD, il servizio gateway viene riavviato e devi aggiornare il browser.Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Puoi aggiornare l'accesso utente per l'applicazione SME di Azure AD nel portale di Azure in qualsiasi momento.You can update user access for the SME Azure AD application in the Azure portal at any time.

Durante il tentativo di accesso all'URL del gateway di Windows Admin Center, gli utenti dovranno eseguire l'accesso con la propria identità di Azure Active Directory.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Tieni presente che, per accedere a Windows Admin Center, gli utenti devono essere anche membri del gruppo Utenti locale nel server gateway.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Gli utenti e gli amministratori possono visualizzare il proprio account connesso e anche disconnettersi dall'account Azure AD usando la scheda Account nelle impostazioni di Windows Admin Center.Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Configurazione dell'autenticazione di Azure Active Directory per Windows Admin CenterConfiguring Azure Active Directory authentication for Windows Admin Center

Per configurare l'autenticazione di Azure AD, devi prima registrare il gateway con Azure. Questa operazione deve essere eseguita una sola volta per il gateway di Windows Admin Center.To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). Questo passaggio consente di creare un'applicazione di Azure AD da cui è possibile gestire l'accesso per gli utenti e gli amministratori del gateway.This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

Se vuoi assegnare a utenti o gruppi specifici di Azure AD l'accesso come utente o amministratore del servizio gateway di Windows Admin Center, devi eseguire queste operazioni:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Vai all'applicazione SME di Azure AD nel portale di Azure.Go to your SME Azure AD application in the Azure portal.
    • Quando fai clic su Change access control (Modifica controllo di accesso) e quindi selezioni Azure Active Directory dalle impostazioni di accesso di Windows Admin Center, puoi usare il collegamento ipertestuale visualizzato nell'interfaccia utente per accedere all'applicazione di Azure AD nel portale di Azure.When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. Questo collegamento ipertestuale è disponibile anche nelle impostazioni di accesso dopo che hai fatto clic su Salva e hai selezionato Azure AD come provider di identità del controllo di accesso.This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • Puoi anche trovare l'applicazione nel portale di Azure selezionando Azure Active Directory > Applicazioni aziendali > Tutte le applicazioni e cercando SME. L'app di Azure AD sarà denominata SME-.You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching SME (the Azure AD app will be named SME-). Se non viene restituito alcun risultato, verifica che Mostra sia impostato su Tutte le applicazioni e che Stato applicazione sia impostato su Qualsiasi, quindi fai clic su Applica e ripeti la ricerca.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Dopo aver trovato l'applicazione, vai a Utenti e gruppi.Once you've found the application, go to Users and groups
  2. Nella scheda Proprietà imposta Assegnazione di utenti obbligatoria su Sì.In the Properties tab, set User assignment required to Yes. Al termine di questa operazione, solo i membri elencati nella scheda Utenti e gruppi saranno in grado di accedere al gateway di Windows Admin Center.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. Nella scheda Utenti e gruppi seleziona Aggiungi utente.In the Users and groups tab, select Add user. Devi assegnare un ruolo di utente o amministratore del gateway per ogni utente o gruppo aggiunto.You must assign a gateway user or gateway administrator role for each user/group added.

Dopo aver salvato il controllo di accesso di Azure AD nel riquadro Change access control (Modifica controllo di accesso), il servizio gateway viene riavviato e devi aggiornare il browser.Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Puoi aggiornare l'accesso utente per l'applicazione Windows Admin Center di Azure AD nel portale di Azure in qualsiasi momento.You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

Durante il tentativo di accesso all'URL del gateway di Windows Admin Center, gli utenti dovranno eseguire l'accesso con la propria identità di Azure Active Directory.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Tieni presente che, per accedere a Windows Admin Center, gli utenti devono essere anche membri del gruppo Utenti locale nel server gateway.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Usando la scheda Azure nelle impostazioni generali di Windows Admin Center, gli utenti e gli amministratori possono visualizzare il proprio account connesso e anche disconnettersi da questo account Azure AD.Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

Accesso condizionale e autenticazione a più fattoriConditional access and multi-factor authentication

Uno dei vantaggi offerti dall'uso di Azure AD come livello di sicurezza aggiuntivo per controllare l'accesso al gateway di Windows Admin Center consiste nella possibilità di sfruttare le potenti funzionalità di sicurezza di Azure AD, ad esempio l'accesso condizionale e l'autenticazione a più fattori.One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD's powerful security features like conditional access and multi-factor authentication.

Altre informazioni sulla configurazione dell'accesso condizionale con Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Configura l'accesso Single Sign-OnConfigure single sign-on

Accesso Single Sign-On distribuito come servizio in Windows ServerSingle sign-on when deployed as a Service on Windows Server

Quando installi Windows Admin Center in Windows 10, l'applicazione è pronta per l'uso dell'accesso Single Sign-On.When you install Windows Admin Center on Windows 10, it's ready to use single sign-on. Se tuttavia intendi usare Windows Admin Center in Windows Server, devi configurare una qualche forma di delega Kerberos nel tuo ambiente prima di poter usare l'accesso Single Sign-On.If you're going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. La delega configura il computer gateway come attendibile per la delega al nodo di destinazione.The delegation configures the gateway computer as trusted to delegate to the target node.

Per configurare la delega vincolata basata sulle risorse nel tuo ambiente, usa l'esempio di PowerShell seguente.To configure Resource-based constrained delegation in your environment, use the following PowerShell example. Questo esempio mostra come configurare un'istanza di Windows Server [node01.contoso.com] in modo da accettare la delega dal gateway Windows Admin Center [wac.contoso.com] nel dominio contoso.com.This example shows how you would configure a Windows Server [node01.contoso.com] to accept delegation from your Windows Admin Center gateway [wac.contoso.com] in the contoso.com domain.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Per rimuovere questa relazione, esegui il cmdlet seguente:To remove this relationship, run the following cmdlet:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Controllo di accesso in base ai ruoliRole-based access control

Il controllo degli accessi in base al ruolo consente di fornire agli utenti l'accesso limitato al computer invece di concedere loro i privilegi completi di amministratore locale.Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. Scopri di più sul controllo degli accessi in base al ruolo e sui ruoli disponibili.Read more about role-based access control and the available roles.

La configurazione del controllo degli accessi in base al ruolo consiste in due passaggi: abilitazione del supporto in uno o più computer di destinazione e assegnazione di utenti ai ruoli pertinenti.Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

Suggerimento

Verifica di disporre dei privilegi di amministratore locale sui computer in cui stai configurando il supporto per il controllo degli accessi in base al ruolo.Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

Applicare il controllo degli accessi in base al ruolo a un singolo computerApply role-based access control to a single machine

Il modello di distribuzione su singolo computer è ideale per gli ambienti semplici con solo pochi computer da gestire.The single machine deployment model is ideal for simple environments with only a few computers to manage. La configurazione di un computer con il supporto per il controllo degli accessi in base al ruolo ha come risultato le modifiche seguenti:Configuring a machine with support for role-based access control will result in the following changes:

  • Nell'unità di sistema, in C:\Program Files\WindowsPowerShell\Modules, verranno installati i moduli di PowerShell con le funzioni richieste da Windows Admin Center.PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules. Tutti i moduli inizieranno con Microsoft.SmeAll modules will start with Microsoft.Sme
  • Desired State Configuration eseguirà una singola configurazione per impostare un endpoint JEA (Just Enough Administration), denominato Microsoft.Sme.PowerShell, nel computer.Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. Questo endpoint definisce i tre ruoli usati da Windows Admin Center e verrà eseguito come amministratore locale temporaneo al momento della connessione da parte di un utente.This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • Verranno creati tre nuovi gruppi locali per controllare gli utenti a cui viene assegnato l'accesso a determinati ruoli:3 new local groups will be created to control which users are assigned access to which roles:
    • Windows Admin Center AdministratorsWindows Admin Center Administrators
    • Windows Admin Center Hyper-V AdministratorsWindows Admin Center Hyper-V Administrators
    • Windows Admin Center ReadersWindows Admin Center Readers

Per abilitare il supporto per il controllo degli accessi in base al ruolo in un singolo computer, segui questa procedura:To enable support for role-based access control on a single machine, follow these steps:

  1. Apri Windows Admin Center ed esegui la connessione al computer che vuoi configurare con il controllo degli accessi in base al ruolo usando un account con privilegi di amministratore locale sul computer di destinazione.Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. Nello strumento Panoramica fai clic su Impostazioni > Controllo degli accessi in base al ruolo.On the Overview tool, click Settings > Role-based access control.
  3. Fai clic su Applica nella parte inferiore della pagina per abilitare il supporto per il controllo degli accessi in base al ruolo nel computer di destinazione.Click Apply at the bottom of the page to enable support for role-based access control on the target computer. Con il processo di applicazione vengono copiati gli script di PowerShell e viene richiamata una configurazione (tramite Desired State Configuration di PowerShell) nel computer di destinazione.The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. Il completamento del processo può richiedere al massimo 10 minuti e ha come risultato il riavvio di WinRM.It may take up to 10 minutes to complete, and will result in WinRM restarting. Per effetto di questa operazione, gli utenti di Windows Admin Center, PowerShell e WMI verranno temporaneamente disconnessi.This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. Aggiorna la pagina per verificare lo stato del controllo degli accessi in base al ruolo.Refresh the page to check the status of role-based access control. Quando la configurazione è pronta per l'uso, lo stato diventerà Applicato.When it is ready for use, the status will change to Applied.

Una volta applicata la configurazione, puoi assegnare gli utenti ai ruoli:Once the configuration is applied, you can assign users to the roles:

  1. Apri lo strumento Utenti e gruppi locali e passa alla scheda Gruppi.Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Seleziona il gruppo Windows Admin Center Readers.Select the Windows Admin Center Readers group.
  3. Nel riquadro Dettagli visualizzato nella parte inferiore della schermata fai clic su Aggiungi utente e immetti il nome di un utente o di un gruppo di sicurezza che deve avere accesso in sola lettura al server tramite Windows Admin Center.In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. Gli utenti e i gruppi possono provenire dal computer locale o dal dominio di Active Directory.The users and groups can come from the local machine or your Active Directory domain.
  4. Ripeti i passaggi 2-3 per i gruppi Windows Admin Center Hyper-V Administrators e Windows Admin Center Administrators.Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

Puoi anche impostare questi gruppi in modo coerente nel dominio configurando un oggetto Criteri di gruppo con l'impostazione Gruppi con restrizioni.You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

Applicare il controllo degli accessi in base al ruolo a più computerApply role-based access control to multiple machines

In una distribuzione in un'azienda di grandi dimensioni, puoi usare gli strumenti di automazione esistenti per eseguire il push della funzionalità di controllo degli accessi in base al ruolo nei computer scaricando il pacchetto di configurazione dal gateway di Windows Admin Center.In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. Il pacchetto di configurazione è stato progettato per Desired State Configuration di PowerShell, ma puoi adattarlo per l'uso con la soluzione di automazione preferita.The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

Scaricare la configurazione del controllo degli accessi in base al ruoloDownload the role-based access control configuration

Per scaricare il pacchetto di configurazione del controllo degli accessi in base al ruolo, devi avere accesso a Windows Admin Center e a un prompt di PowerShell.To download the role-based access control configuration package, you'll need to have access to Windows Admin Center and a PowerShell prompt.

Se esegui il gateway di Windows Admin Center in modalità servizio in Windows Server, usa il comando seguente per scaricare il pacchetto di configurazione.If you're running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. Verifica di aggiornare l'indirizzo del gateway con quello corretto per il tuo ambiente.Be sure to update the gateway address with the correct one for your environment.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Se esegui il gateway di Windows Admin Center nel computer Windows 10, esegui invece il comando seguente:If you're running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Quando espandi l'archivio con estensione zip, viene visualizzata la struttura di cartelle seguente:When you expand the zip archive, you'll see the following folder structure:

  • InstallJeaFeatures.ps1InstallJeaFeatures.ps1
  • JustEnoughAdministration (directory)JustEnoughAdministration (directory)
  • Modules (directory)Modules (directory)
    • Microsoft.SME.* (directory)Microsoft.SME.* (directories)
    • WindowsAdminCenter.Jea (directory)WindowsAdminCenter.Jea (directory)

Per configurare il supporto per il controllo degli accessi in base al ruolo su un nodo, devi eseguire queste operazioni:To configure support for role-based access control on a node, you need to perform the following actions:

  1. Copia i moduli JustEnoughAdministration, Microsoft.SME.* e WindowsAdminCenter.Jea nella directory dei moduli di PowerShell sul computer di destinazione.Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. La directory si trova in genere nel percorso C:\Program Files\WindowsPowerShell\Modules.Typically, this is located at C:\Program Files\WindowsPowerShell\Modules.
  2. Aggiorna il file InstallJeaFeature.ps1 in modo che corrisponda alla configurazione desiderata per l'endpoint del controllo degli accessi in base al ruolo.Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. Esegui InstallJeaFeature.ps1 per compilare la risorsa DSC.Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. Distribuisci la configurazione di DSC in tutti i computer per applicare la configurazione.Deploy your DSC configuration to all of your machines to apply the configuration.

La sezione seguente illustra come eseguire questa operazione usando la comunicazione remota di PowerShell.The following section explains how to do this using PowerShell Remoting.

Distribuire la configurazione in più computerDeploy on multiple machines

Per distribuire la configurazione scaricata in più computer, devi aggiornare lo script InstallJeaFeatures.ps1 in modo da includere i gruppi di sicurezza appropriati per il tuo ambiente, copiare i file in ogni computer e richiamare gli script di configurazione.To deploy the configuration you downloaded onto multiple machines, you'll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. Per ottenere questo risultato, puoi usare gli strumenti di automazione che preferisci, ma questo articolo illustrerà in particolare un approccio basato esclusivamente su PowerShell.You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

Per impostazione predefinita, lo script di configurazione creerà gruppi di sicurezza locali nel computer per controllare l'accesso a ogni ruolo.By default, the configuration script will create local security groups on the machine to control access to each of the roles. Questo approccio è adatto ai computer aggiunti a gruppi di lavoro e a domini, ma se esegui la distribuzione in un ambiente di solo dominio, può essere opportuno associare direttamente un gruppo di sicurezza di dominio a ogni ruolo.This is suitable for workgroup and domain joined machines, but if you're deploying in a domain-only environment you may wish to directly associate a domain security group with each role. Per aggiornare la configurazione per l'uso dei gruppi di sicurezza di dominio, apri InstallJeaFeatures.ps1 ed esegui le modifiche seguenti:To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. Rimuovi le tre risorse Group dal file:Remove the 3 Group resources from the file:
    1. "Group MS-Readers-Group""Group MS-Readers-Group"
    2. "Group MS-Hyper-V-Administrators-Group""Group MS-Hyper-V-Administrators-Group"
    3. "Group MS-Administrators-Group""Group MS-Administrators-Group"
  2. Rimuovi le tre risorse Group dalla proprietà DependsOn di JeaEndpointRemove the 3 Group resources from the JeaEndpoint DependsOn property
    1. "[Group]MS-Readers-Group""[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group""[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group]MS-Administrators-Group""[Group]MS-Administrators-Group"
  3. Modifica i nomi dei gruppi nella proprietà RoleDefinitions di JeaEndpoint specificando i gruppi di sicurezza desiderati.Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. Se, ad esempio, hai un gruppo di sicurezza CONTOSO\MyTrustedAdmins a cui deve essere assegnato l'accesso al ruolo Windows Admin Center Administrators, modifica '$env:COMPUTERNAME\Windows Admin Center Administrators' in 'CONTOSO\MyTrustedAdmins'.For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change '$env:COMPUTERNAME\Windows Admin Center Administrators' to 'CONTOSO\MyTrustedAdmins'. Le tre stringhe da aggiornare sono:The three strings you need to update are:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators''$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators''$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers''$env:COMPUTERNAME\Windows Admin Center Readers'

Nota

Verifica di usare gruppi di sicurezza univoci per ogni ruolo.Be sure to use unique security groups for each role. Se lo stesso gruppo di sicurezza viene assegnato a più ruoli, la configurazione avrà esito negativo.Configuration will fail if the same security group is assigned to multiple roles.

Alla fine del file InstallJeaFeatures.ps1 aggiungi le righe di PowerShell seguenti in fondo allo script:Next, at the end of the InstallJeaFeatures.ps1 file, add the following lines of PowerShell to the bottom of the script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Puoi infine copiare la cartella che contiene i moduli, la risorsa DSC e la configurazione in ogni nodo di destinazione ed eseguire lo script InstallJeaFeature.ps1.Finally, you can copy the folder containing the modules, DSC resource and configuration to each target node and run the InstallJeaFeature.ps1 script. Per effettuare questa operazione in modalità remota dalla workstation di amministrazione, puoi eseguire questi comandi:To do this remotely from your admin workstation, you can run the following commands:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}