JEA(Just Enough Administration)Just Enough Administration (JEA)

충분한 관리는 PowerShell 원격을 통해 역할 기반 관리를 가능하게 하는 WMF 5.0의 새로운 기능입니다.Just Enough Administration is a new feature in WMF 5.0 that enables role-based administration through PowerShell remoting. 이 기능은 관리자가 아닌 사용자가 특정 명령, 스크립트 및 실행 파일을 관리자 권한으로 실행할 수 있도록 허용하여 기존의 제한된 끝점 인프라를 확장합니다.It extends the existing constrained endpoint infrastructure by allowing non-administrators to run specific commands, scripts and executables as an administrator. 또한 사용자 환경의 전체 관리자 수는 줄이고 보안은 향상시킬 수 있습니다.This enables you to reduce the number of full administrators in your environment and improve your security. JEA는 PowerShell을 통해 관리하는 모든 항목에서 작동합니다. PowerShell을 사용하여 관리할 수 있는 항목이라면 JEA를 사용하여 보다 안전하게 관리할 수 있습니다.JEA works for everything you manage through PowerShell; if you can manage something with PowerShell, JEA can help you do so more securely. 충분한 관리를 자세히 살펴보려면 experience guide(환경 가이드)를 확인하세요.For a detailed look at Just Enough Administration, check out the experience guide.

이전의 제한된 끝점과 달리 JEA는 강력하면서도 쉽게 구성할 수 있습니다.Unlike old constrained endpoints, JEA is both powerful and easy to configure. JEA의 사용자 기능은 세부적으로 제어하여 특정 명령에 제공할 수 있는 매개 변수 집합 및 값까지 제한할 수 있습니다.User capabilities in JEA can be granularly controlled, down to restricting which parameter sets and values can be supplied to a specific command. 사용자의 작업은 관리자 작업을 수행할 수 있는 권한이 있는 일회성 가상 계정의 컨텍스트에서 실행됩니다.The user’s actions are run in the context of a one-time virtual account that has the rights to perform the administrator actions. 사용자가 호출한 명령은 보안 감사를 위해 로깅할 수 있습니다.The commands invoked by the user can be logged for security audits.

JEA는 특별히 구성된 제한된 끝점을 만들 수 있도록 하여 작동합니다.JEA works by allowing you to create specially-configured constrained endpoints. 이러한 끝점에는 몇 가지 중요한 특성이 있습니다.These endpoints have a few important characteristics:

  1. 끝점에 연결하는 사용자는 이 원격 세션의 기간에만 존재하는 권한 있는 가상 계정"으로 실행"됩니다.Users connecting to them “run as” a privileged Virtual Account that exists only for the duration of this remote session. 기본적으로 이 가상 계정은 기본 제공 Administrators 그룹 및 도메인 컨트롤러의 도메인 관리자의 멤버입니다(참고: 이러한 사용 권한을 구성할 수 있습니다.).By default, this Virtual Account is a member of the built-in Administrators group, as well as a Domain Administrators on domain controllers (note: these permissions are configurable). 한 명의 사용자로 연결하고 다른 권한 있는 사용자로 실행하면 시스템에서 관리 권한을 제공하지 않고도 권한 없는 사용자가 특정 관리 작업을 수행하도록 허용할 수 있습니다.By connecting as one user and running as a different, privileged user, you can allow non-privileged users to perform specific administrative tasks without giving them administrative rights on your systems.
  2. 끝점은 잠겨 있습니다.The endpoint is locked down. 즉, PowerShell이 언어 없음 모드로 실행된다는 의미입니다.This means PowerShell runs in No Language mode. 사용자에게는 특정 명령, 스크립트 및 실행 파일만 표시됩니다.Only specific commands, scripts, and executables are visible to the user.
  3. 연결하는 사용자에 따라 그룹 멤버 자격을 기반으로 한 다른 기능 집합이 제공됩니다.Different users connecting are presented with a different set of capabilities based on group membership. 동일한 끝점에서 역할에 따라 다른 기능을 제공할 수 있습니다.You can provide different roles different capabilities at the same endpoint.