JEA 구성 등록Registering JEA Configurations

적용 대상: Windows PowerShell 5.0Applies to: Windows PowerShell 5.0

역할 기능세션 구성 파일을 만든 후 JEA를 사용하기 위한 마지막 단계는 JEA 엔드포인트를 등록하는 것입니다.Once you have your role capabilities and session configuration file created, the last step before you can use JEA is to register the JEA endpoint. 시스템에 JEA 엔드포인트를 등록하면 사용자 및 자동화 엔진에서 엔드포인트를 사용할 수 있게 됩니다.Registering the JEA endpoint with the system makes the endpoint available for use by users and automation engines.

단일 컴퓨터 구성Single machine configuration

소규모 환경에서는 Register-PSSessionConfiguration cmdlet을 사용해 세션 구성 파일을 등록하는 방법으로 JEA를 배포할 수 있습니다.For small environments, you can deploy JEA by registering the session configuration file using the Register-PSSessionConfiguration cmdlet.

시작하기 전에 다음과 같은 필수 조건을 충족했는지 확인하세요.Before you begin, ensure that the following prerequisites have been met:

  • 하나 이상의 역할을 만들어 유효한 PowerShell 모듈의 'RoleCapabilities' 폴더에 배치했습니다.One or more roles has been created and placed in the 'RoleCapabilities' folder of a valid PowerShell module.
  • 세션 구성 파일을 만들고 테스트했습니다.A session configuration file has been created and tested.
  • JEA 구성을 등록하는 사용자에게 시스템에 대한 관리자 권한이 있습니다.The user registering the JEA configuration has administrator rights on the system(s).

또한 JEA 엔드포인트의 이름을 선택해야 합니다.You also need to select a name for your JEA endpoint. 사용자가 JEA를 사용하여 시스템에 연결하려고 할 경우 JEA 엔드포인트의 이름이 필요합니다.The name of the JEA endpoint is required when users want to connect to the system using JEA. Get-PSSessionConfiguration cmdlet을 사용하여 시스템에 있는 기존 엔드포인트의 이름을 확인할 수 있습니다.You can use the Get-PSSessionConfiguration cmdlet to check the names of existing endpoints on the system. 'microsoft'로 시작하는 엔드포인트는 일반적으로 Windows와 함께 제공됩니다.Endpoints that start with 'microsoft' are typically shipped with Windows. 'microsoft.powershell' 엔드포인트는 원격 PowerShell 엔드포인트에 연결할 때 사용되는 기본 엔드포인트입니다.The 'microsoft.powershell' endpoint is the default endpoint used when connecting to a remote PowerShell endpoint.

PS C:\> Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

JEA 엔드포인트에 대한 적절한 이름을 결정했으면 다음 명령을 실행하여 엔드포인트를 등록합니다.When you have determined an appropriate name for your JEA endpoint, run the following command to register the endpoint.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

경고

위의 명령은 시스템에서 WinRM 서비스를 다시 시작합니다.The above command restarts the WinRM service on the system. 그러면 진행 중인 모든 DSC 구성뿐만 아니라 모든 PowerShell 원격 세션이 종료됩니다.This terminates all PowerShell remoting sessions as well as any ongoing DSC configurations. 비즈니스 운영이 중단되지 않게 하려면 명령을 실행하기 전에 모든 프로덕션 컴퓨터를 오프라인 상태로 전환하는 것이 좋습니다.It is recommended that you take any production machines offline before running the command to avoid disrupting business operations.

등록에 성공하면 JEA를 사용할 준비가 된 것입니다.If registration is successful, you are ready to use JEA. 엔드포인트를 등록한 후에는 세션 구성 파일이 사용되지 않으므로 언제든지 삭제할 수 있습니다.You may delete the session configuration file at any time; it is not used after registration of the end point.

DSC를 사용한 다중 컴퓨터 구성Multi-machine configuration with DSC

JEA를 여러 컴퓨터에 배포하는 경우 가장 간단한 배포 모델은 JEA 필요한 상태 구성 리소스를 사용하여 각 컴퓨터에 신속하고 일관되게 JEA를 배포하는 것입니다.If you are deploying JEA on multiple machines, the simplest deployment model is to use the JEA Desired State Configuration resource to quickly and consistently deploy JEA on each machine.

DSC를 사용하여 JEA를 배포하려면 다음 필수 조건을 충족해야 합니다.To deploy JEA with DSC, you need to ensure the following prerequisites are met:

  • 하나 이상의 역할 기능을 작성하여 유효한 PowerShell 모듈에 추가했습니다.One or more role capabilities have been authored and added to a valid PowerShell module.
  • 역할을 포함하는 PowerShell 모듈을 각 컴퓨터에서 액세스할 수 있는 (읽기 전용) 파일 공유에 저장했습니다.The PowerShell module containing the roles is stored on a (read-only) file share accessible by each machine.
  • 세션 구성에 대한 설정을 결정했습니다.Settings for the session configuration have been determined. JEA DSC 리소스를 사용하는 경우 세션 구성 파일을 만들 필요가 없습니다.You do not need to create a session configuration file when using the JEA DSC resource.
  • 각 컴퓨터에서 관리 작업을 수행할 수 있는 자격 증명이 있거나, 컴퓨터를 관리하는 데 사용되는 DSC 끌어오기 서버에 대한 액세스 권한이 있습니다.You have credentials that allow you to perform administrative actions on each machine, or have access to a DSC pull server used to manage the machines.
  • JEA DSC resource(JEA DSC 리소스)를 다운로드했습니다.You have downloaded the JEA DSC resource

대상 컴퓨터(또는 끌어오기 서버를 사용하는 경우 끌어오기 서버)에서 JEA 엔드포인트에 대한 DSC 구성을 만듭니다.On a target machine (or pull server, if you are using one), create a DSC configuration for your JEA endpoint. 이 구성에서는 JustEnoughAdministration DSC 리소스를 사용하여 세션 구성 파일을 설정하고 File 리소스를 사용하여 파일 공유에서 역할 기능을 복사합니다.In this configuration, you use the JustEnoughAdministration DSC resource to set up the session configuration file and the File resource to copy over the role capabilities from the file share.

DSC 리소스를 사용하여 다음 속성을 구성할 수 있습니다.The following properties are configurable using the DSC resource:

  • 역할 정의Role Definitions
  • 가상 계정 그룹Virtual Account groups
  • 그룹 관리 서비스 계정 이름Group Managed Service Account name
  • 기록 디렉터리Transcript directory
  • 사용자 드라이브User drive
  • 조건부 액세스 규칙Conditional access rules
  • JEA 세션에 대한 시작 스크립트Startup scripts for the JEA session

DSC 구성에서 이러한 각 속성에 대한 구문은 PowerShell 세션 구성 파일과 일치합니다.The syntax for each of these properties in a DSC configuration is consistent with the PowerShell session configuration file.

다음은 일반 서버 유지 관리 모듈에 대한 샘플 DSC 구성입니다.Below is a sample DSC configuration for a general server maintenance module.

여기서는 'RoleCapabilities' 하위 폴더의 역할 기능을 포함하는 유효한 PowerShell 모듈이 '\\myfileshare\JEA' 파일 공유에 있다고 가정합니다.It assumes that a valid PowerShell module containing role capabilities in a 'RoleCapabilities' subfolder is located on the '\\myfileshare\JEA' file share.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

그러면 직접 로컬 구성 관리자를 호출하거나 가져오기 서버 구성을 업데이트하여 시스템에 이 구성을 적용할 수 있습니다.This configuration can then be applied on a system by directly invoking the Local Configuration Manager or updating the pull server configuration.

DSC 리소스를 사용하여 기본 Microsoft.PowerShell 원격 엔드포인트를 바꿀 수도 있습니다.The DSC resource also allows you to replace the default Microsoft.PowerShell remoting endpoint. 이렇게 할 경우 리소스가 기본 WinRM ACL(Remote Management Users 및 로컬 Administrators 그룹 구성원이 다음에 언급된 엔드포인트에 액세스할 수 있음)인 "Microsoft.PowerShell.Restricted"라는 백업 비제한 엔드포인트를 자동으로 등록합니다.If you do this, the resource automatically registers a backup unconstrainted endpoint named "Microsoft.PowerShell.Restricted" which has the default WinRM ACL (allowing Remote Management Users and local Administrators group members to access it).

JEA 구성 등록 취소Unregistering JEA configurations

시스템에서 JEA 엔드포인트를 제거하려면 Unregister-PSSessionConfiguration cmdlet을 사용합니다.To remove a JEA endpoint on a system, use the Unregister-PSSessionConfiguration cmdlet. JEA 엔드포인트를 등록 취소하면 새 사용자가 시스템에서 새 JEA 세션을 만들지 못합니다.Unregistering a JEA endpoint prevents new users from creating new JEA sessions on the system. 같은 엔드포인트 이름을 사용하여 업데이트된 세션 구성 파일을 다시 등록하는 방법으로 JEA 구성을 업데이트할 수도 있습니다.It also allows you to update a JEA configuration by re-registering an updated session configuration file using the same endpoint name.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

경고

JEA 엔드포인트를 등록 취소하면 WinRM 서비스가 다시 시작됩니다.Unregistering a JEA endpoint causes the WinRM service to restart. 그러면 다른 PowerShell 세션, WMI 호출 및 일부 관리 도구를 비롯한 진행 중인 대부분의 원격 관리 작업이 중단됩니다.This interrupts most remote management operations in progress, including other PowerShell sessions, WMI invocations, and some management tools. 계획된 유지 관리 기간에는 PowerShell 엔드포인트만 등록 취소하세요.Only unregister PowerShell endpoints during planned maintenance windows.

다음 단계Next steps