VereistenPrerequisites

Is van toepassing op: Windows PowerShell 5.0Applies to: Windows PowerShell 5.0

Just Enough Administration is een functie die wordt geleverd met Windows PowerShell 5.0 en hoger.Just Enough Administration is a feature included with Windows PowerShell 5.0 and higher. Dit onderwerp beschrijft de vereisten waaraan moeten worden voldaan om te starten met behulp van JEA.This topic describes the prerequisites that must be satisfied in order to start using JEA.

Installeren van JEAInstall JEA

JEA is beschikbaar met Windows PowerShell 5.0 en hoger, maar voor de volledige functionaliteit is het raadzaam dat u de meest recente versie van PowerShell beschikbaar voor uw systeem installeert.JEA is available with Windows PowerShell 5.0 and higher, but for full functionality it is recommended that you install the latest version of PowerShell available for your system. De volgende tabel beschrijft de beschikbaarheid van JEA op Windows Server:The following table describes JEA's availability on Windows Server:

Server-besturingssysteemServer Operating System JEA-beschikbaarheidJEA Availability
Windows Server 2016Windows Server 2016 Vooraf is geïnstalleerdPreinstalled
Windows Server 2012 R2Windows Server 2012 R2 Volledige functionaliteit met WMF 5.1Full functionality with WMF 5.1
Windows Server 2012Windows Server 2012 Volledige functionaliteit met WMF 5.1Full functionality with WMF 5.1
Windows Server 2008 R2Windows Server 2008 R2 Verminderde functionaliteit1 met WMF 5.1Reduced functionality1 with WMF 5.1

U kunt ook JEA gebruiken op uw computer thuis of werk:You can also use JEA on your home or work computer:

Client-besturingssysteemClient Operating System JEA-beschikbaarheidJEA Availability
Windows 10 1607+Windows 10 1607+ Vooraf is geïnstalleerdPreinstalled
Windows 10 1603, 1511Windows 10 1603, 1511 Vooraf is geïnstalleerd, met verminderde functionaliteit2Preinstalled, with reduced functionality2
Windows 10 1507Windows 10 1507 Niet beschikbaarNot available
Windows 8, 8.1Windows 8, 8.1 Volledige functionaliteit met WMF 5.1Full functionality with WMF 5.1
Windows 7Windows 7 Verminderde functionaliteit1 met WMF 5.1Reduced functionality1 with WMF 5.1

1 JEA kan niet worden geconfigureerd voor het gebruik van door groepen beheerde serviceaccounts in Windows Server 2008 R2 of Windows 7.1 JEA cannot be configured to use group managed service accounts on Windows Server 2008 R2 or Windows 7. Virtuele accounts en andere functies JEA zijn ondersteund.Virtual accounts and other JEA features are supported.

2 Windows 10 versie 1511 en 1603 bieden geen ondersteuning voor de volgende functies van JEA: uitgevoerd als een groep beheerd serviceaccount, de regels voor voorwaardelijke toegang in sessieconfiguraties, de schijf van de gebruiker en het verlenen van toegang voor lokale gebruikersaccounts.2 Windows 10 versions 1511 and 1603 do not support the following JEA features: running as a group managed service account, conditional access rules in session configurations, the user drive, and granting access to local user accounts. Voor ondersteuning voor deze functies kunt bijwerken van Windows naar versie 1607 (Jubileumupdate) of hoger.To get support for these features, update Windows to version 1607 (Anniversary Update) or higher.

Controleren welke versie van PowerShell is geïnstalleerdCheck which version of PowerShell is installed

Als u wilt controleren welke versie van PowerShell is geïnstalleerd op uw systeem, Controleer de $PSVersionTable variabele in een Windows PowerShell-prompt.To check which version of PowerShell is installed on your system, check the $PSVersionTable variable in a Windows PowerShell prompt.

$PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      14393  1000

U bent klaar voor gebruik van JEA als de belangrijke versie is gelijk aan of groter zijn dan 5.You are ready to use JEA if the Major version is equal to or greater than 5. Voor de beste ervaring en toegang hebben tot de nieuwste functies, is het raadzaam dat u een naar PowerShell-versie upgrade 5.1 indien mogelijk.For the best experience, and to have access to all the latest features, it is recommended that you upgrade to PowerShell version 5.1 when possible.

Installeer Windows Management FrameworkInstall Windows Management Framework

Als u een oudere versie van PowerShell uitvoert, moet u uw systeem bijwerken met de meest recente update van Windows Management Framework (WMF).If you are running an older version of PowerShell, you will need to update your system with the latest Windows Management Framework (WMF) update. -Updatepakketten en een koppeling naar de meest recente releaseopmerkingen van WMF zijn beschikbaar in de Downloadcentrum.Update packages and a link to the latest WMF release notes are available in the Download Center.

Het is raadzaam dat u de compatibiliteit van uw workload met WMF testen vóór de upgrade van al uw servers.It is strongly recommended that you test your workload's compatibility with WMF before upgrading all of your servers.

Gebruikers van Windows 10 moeten de nieuwste functie-updates voor het ophalen van de huidige versie van Windows PowerShell installeren.Windows 10 users should install the latest feature updates to obtain the current version of Windows PowerShell.

Externe communicatie met PowerShellEnable PowerShell Remoting

Externe communicatie van PowerShell vormt de basis waarop JEA is gebouwd.PowerShell Remoting provides the foundation on which JEA is built. Het is daarom noodzakelijk voor externe communicatie van PowerShell is ingeschakeld en goed beveiligde op uw systeem voordat u de JEA kunt gebruiken.It is therefore necessary to ensure PowerShell Remoting is enabled and properly secured on your system before you can use JEA.

Externe communicatie van PowerShell is standaard ingeschakeld op Windows Server 2012, 2012 R2 en 2016.PowerShell Remoting is enabled by default on Windows Server 2012, 2012 R2, and 2016. U kunt PowerShell voor externe toegang inschakelen door het uitvoeren van de volgende opdracht uit in een PowerShell-venster met verhoogde bevoegdheid.You can enable PowerShell Remoting by running the following command in an elevated PowerShell window.

Enable-PSRemoting

PowerShell-module en (optioneel) script blok-logboekregistratie inschakelenEnable PowerShell module and script block logging (optional)

De volgende stappen schakelt logboekregistratie voor alle PowerShell-bewerkingen op uw systeem.The following steps enable logging for all PowerShell actions on your system. Logboekregistratie van PowerShell-Module is niet vereist voor JEA, maar het is raadzaam dat u deze inschakelen om te controleren of de gebruikers opdrachten uitvoeren op een centrale locatie worden geregistreerd.PowerShell Module Logging is not required for JEA, however it is strongly recommended that you turn it on to ensure the commands users run are logged in a central location.

U kunt het beleid voor logboekregistratie van PowerShell-Module met behulp van Groepsbeleid configureren.You can configure the PowerShell Module Logging policy using Group Policy.

  1. Open de Editor voor lokaal groepsbeleid op een werkstation of een Group Policy Object in de Console Groepsbeleidsbeheer op een Active Directory-domeincontrollerOpen the Local Group Policy Editor on a workstation or a Group Policy Object in the Group Policy Management Console on an Active Directory Domain Controller
  2. Navigeer naar Computerconfiguratie\Beheersjablonen\Windows-onderdelen\Windows PowerShellNavigate to Computer Configuration\Administrative Templates\Windows Components\Windows PowerShell
  3. Dubbelklik op Module logboekregistratie kunnen inschakelenDouble click on Turn on Module Logging
  4. Klik op ingeschakeldClick Enabled
  5. Klik in de sectie opties op weergeven naast modulenamenIn the Options section, click on Show next to Module Names
  6. Type \* in het pop-upvenster.Type \* in the pop up window. Dit Hiermee geeft u PowerShell om aan te melden opdrachten van alle modules.This instructs PowerShell to log commands from all modules.
  7. Klik op OK om in te stellen van het beleidClick OK to set the policy
  8. Dubbelklik op PowerShell-Script blok logboekregistratie kunnen inschakelenDouble click on Turn on PowerShell Script Block Logging
  9. Klik op ingeschakeldClick Enabled
  10. Klik op OK om in te stellen van het beleidClick OK to set the policy
  11. (Op domein machines alleen) Voer gpupdate of wacht totdat Groepsbeleid voor het verwerken van het bijgewerkte beleid en de instellingen toepassen(On domain-joined machines only) Run gpupdate or wait for Group Policy to process the updated policy and apply the settings

U kunt ook systeembrede PowerShell transcriptie via Groepsbeleid inschakelen.You can also enable system-wide PowerShell transcription through Group Policy.

Volgende stappenNext steps

Maak een bestand van de mogelijkheid rolCreate a role capability file

Een sessie-configuratiebestand makenCreate a session configuration file

Zie ookSee also

Als u meer informatie over de beveiliging van PowerShell voor externe toegang en WinRMAdditional information about PowerShell Remoting and WinRM security

PowerShell ♥ het Blue Team blogbericht over beveiligingPowerShell ♥ the Blue Team blog post on security