Configuraties van JEA registrerenRegistering JEA Configurations

Is van toepassing op: Windows PowerShell 5.0Applies to: Windows PowerShell 5.0

De laatste stap voordat u JEA gebruiken kunt zodra u hebt uw rolmogelijkheden en sessie configuratiebestand gemaakt is voor het registreren van de JEA-eindpunt.The last step before you can use JEA once you have your role capabilities and session configuration file created is to register the JEA endpoint. Dit proces de sessie-configuratie-informatie is van toepassing op het systeem en het eindpunt beschikbaar voor gebruik door gebruikers en automation-engines.This process applies the session configuration information to the system and makes the endpoint available for use by users and automation engines.

De configuratie van één machineSingle machine configuration

Voor kleine omgevingen, kunt u JEA implementeren door het registreren van de sessie configuratie bestand met de Register-PSSessionConfiguration cmdlet.For small environments, you can deploy JEA by registering the session configuration file using the Register-PSSessionConfiguration cmdlet.

Voordat u begint, zorg ervoor dat de volgende vereisten wordt voldaan:Before you begin, ensure that the following prerequisites have been met:

  • Een of meer rollen is gemaakt en opgeslagen in de map 'RoleCapabilities' van een geldig PowerShell-module.One or more roles has been created and placed in the 'RoleCapabilities' folder of a valid PowerShell module.
  • Een configuratiebestand voor de sessie is gemaakt en getest.A session configuration file has been created and tested.
  • De gebruiker die de configuratie van de JEA registreren heeft administrator-rechten op de systemen.The user registering the JEA configuration has administrator rights on the system(s).

U moet ook een naam voor uw JEA-eindpunt selecteren.You will also need to select a name for your JEA endpoint. De naam van de JEA-eindpunt is vereist wanneer gebruikers verbinding maken met het systeem JEA gebruiken.The name of the JEA endpoint will be required when users want to connect to the system using JEA. U kunt de Get-PSSessionConfiguration cmdlet om te controleren of de namen van bestaande eindpunten op het systeem.You can use the Get-PSSessionConfiguration cmdlet to check the names of existing endpoints on the system. Eindpunten die met 'microsoft beginnen' worden doorgaans geleverd met Windows.Endpoints that start with 'microsoft' are typically shipped with Windows. Het eindpunt 'microsoft.powershell' is de standaardeindpunt dat wordt gebruikt bij het verbinden met een externe PowerShell-eindpunt.The 'microsoft.powershell' endpoint is the default endpoint used when connecting to a remote PowerShell endpoint.

PS C:\> Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Wanneer u een passende naam voor uw JEA-eindpunt hebt bepaald, voer de volgende opdracht voor het registreren van het eindpunt.When you have determined an appropriate name for your JEA endpoint, run the following command to register the endpoint.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Waarschuwing

De bovenstaande opdracht wordt de WinRM-service op het systeem opnieuw.The above command will restart the WinRM service on the system. Dit wordt beëindigd als alle externe communicatie van PowerShell-sessies, evenals alle lopende DSC-configuraties.This will terminate all PowerShell remoting sessions as well as any ongoing DSC configurations. Het is raadzaam dat u een productiemachines offline nemen voordat de opdracht uit om te voorkomen dat zakelijke verstoren.It is recommended that you take any production machines offline before running the command to avoid disrupting business operations.

Als de registratie gelukt is, bent u klaar om te JEA gebruiken.If registration was successful, you are ready to use JEA. U kunt het configuratiebestand van de sessie op elk gewenst moment; verwijderen het wordt niet gebruikt na de registratie.You may delete the session configuration file at any time; it is not used after registration.

Configuratie met meerdere machines met DSCMulti-machine configuration with DSC

Als u JEA op meerdere machines implementeert, wordt het eenvoudigste implementatiemodel is het gebruik van de JEA Desired State Configuration resource die u wilt snel en consistent JEA implementeren op elke computer.If you are deploying JEA on multiple machines, the simplest deployment model is to use the JEA Desired State Configuration resource to quickly and consistently deploy JEA on each machine.

Voor het implementeren van JEA met DSC, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:To deploy JEA with DSC, you will need to ensure the following prerequisites are met:

  • Een of meer rolmogelijkheden zijn gemaakt en toegevoegd aan een geldig PowerShell-module.One or more role capabilities have been authored and added to a valid PowerShell module.
  • De PowerShell-module met de rollen die zijn opgeslagen op een toegankelijke (alleen-lezen) bestandsshare elke machine.The PowerShell module containing the roles is stored on a (read-only) file share accessible by each machine.
  • Instellingen voor de sessieconfiguratie van de zijn vastgesteld.Settings for the session configuration have been determined. U hoeft niet te maken van een configuratiebestand voor de sessie bij het gebruik van de JEA-DSC-resource.You do not need to create a session configuration file when using the JEA DSC resource.
  • Hebt u de referenties die u kunt u beheeracties uitvoeren op elke computer of toegang hebben tot een DSC-pull-server gebruikt voor het beheren van de virtuele machines.You have credentials that will allow you to perform administrative actions on each machine, or have access to a DSC pull server used to manage the machines.
  • U hebt gedownload de JEA DSC-resourceYou have downloaded the JEA DSC resource

Op een doel (of pull-server, als u van een gebruikmaakt), een DSC-configuratie voor de JEA-eindpunt te maken.On a target machine (or pull server, if you are using one), create a DSC configuration for your JEA endpoint. In deze configuratie gebruikt u de JustEnoughAdministration DSC-resource voor het instellen van het configuratiebestand van de sessie en de resource bestand moeten worden gekopieerd van de rolmogelijkheden van de bestandsshare.In this configuration, you will use the JustEnoughAdministration DSC resource to set up the session configuration file and the File resource to copy over the role capabilities from the file share.

De volgende eigenschappen kunnen worden geconfigureerd met behulp van de DSC-resource:The following properties are configurable using the DSC resource:

  • RoldefinitiesRole Definitions
  • Virtuele groepenVirtual Account groups
  • Naam van groep beheerd serviceaccountGroup Managed Service Account name
  • Transcript directoryTranscript directory
  • Schijf van de gebruikerUser drive
  • Regels voor voorwaardelijke toegangConditional access rules
  • Opstartscripts voor de JEA-sessieStartup scripts for the JEA session

De syntaxis voor elk van deze eigenschappen in een DSC-configuratie is consistent met het configuratiebestand van de PowerShell-sessie.The syntax for each of these properties in a DSC configuration is consistent with the PowerShell session configuration file.

Hieronder volgt een voorbeeld van DSC-configuratie voor een algemene server Onderhoud-module.Below is a sample DSC configuration for a general server maintenance module.

Hierbij wordt ervan uitgegaan dat een geldig PowerShell-module met de rolmogelijkheden in een submap 'RoleCapabilities' bevindt zich op de '\\myfileshare\JEA'-bestandsshare.It assumes that a valid PowerShell module containing role capabilities in a 'RoleCapabilities' subfolder is located on the '\\myfileshare\JEA' file share.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Deze configuratie kan vervolgens worden toegepast op een systeem met rechtstreeks aanroepen van de Local Configuration Manager of bijwerken van de pull-serverconfiguratie.This configuration can then be applied on a system by directly invoking the Local Configuration Manager or updating the pull server configuration.

De DSC-resources kunt u het standaardeindpunt voor de externe communicatie van Microsoft.PowerShell vervangen.The DSC resource also allows you to replace the default Microsoft.PowerShell remoting endpoint. Als u dit doet, wordt automatisch een back-up unconstrainted-eindpunt met de naam 'Microsoft.PowerShell.Restricted' met de standaard-WinRM-ACL (zodat gebruikers van extern beheer- en lokale beheerders groepsleden om deze te openen) registreren in de resource.If you do this, the resource will automatically register a backup unconstrainted endpoint named "Microsoft.PowerShell.Restricted" which has the default WinRM ACL (allowing Remote Management Users and local Administrators group members to access it).

De registratie JEA-configuratiesUnregistering JEA configurations

Als u wilt een JEA-eindpunt op een systeem verwijderen, gebruikt u de Unregister-PSSessionConfiguration cmdlet.To remove a JEA endpoint on a system, use the Unregister-PSSessionConfiguration cmdlet. Registratie van een JEA-eindpunt wordt voorkomen dat nieuwe gebruikers het maken van nieuwe JEA-sessies op het systeem.Unregistering a JEA endpoint will prevent new users from creating new JEA sessions on the system. U kunt er ook een JEA-configuratie bijwerken door een bijgewerkte sessie-configuratiebestand met dezelfde naam van het eindpunt opnieuw te registreren.It also allows you to update a JEA configuration by re-registering an updated session configuration file using the same endpoint name.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Waarschuwing

Een JEA registratie eindpunt zorgt ervoor dat de WinRM-service opnieuw te starten.Unregistering a JEA endpoint will cause the WinRM service to restart. Dit wordt de meeste RAS beheerbewerkingen in uitvoering, met inbegrip van andere PowerShell-sessies, WMI-aanroepen en sommige beheerhulpprogramma onderbroken.This will interrupt most remote management operations in progress, including other PowerShell sessions, WMI invocations, and some management tools. Alleen de registratie PowerShell eindpunten verwijderen tijdens gepland onderhoud.Only unregister PowerShell endpoints during planned maintenance windows.

Volgende stappenNext steps