JEA configuraties registrerenRegistering JEA Configurations

Van toepassing op: Windows PowerShell 5.0Applies to: Windows PowerShell 5.0

De laatste stap voordat u JEA kunt zodra u hebt uw rol mogelijkheden en sessie configuratiebestand gemaakt is voor het registreren van het eindpunt JEA.The last step before you can use JEA once you have your role capabilities and session configuration file created is to register the JEA endpoint. Dit proces de sessie-configuratie-informatie is van toepassing op het systeem en het eindpunt beschikbaar voor gebruik door gebruikers en de automation-engines.This process applies the session configuration information to the system and makes the endpoint available for use by users and automation engines.

Configuratie van één machineSingle machine configuration

Voor kleine omgevingen, kunt u JEA implementeren via het registreren van de sessie configuratie bestand met de Register-PSSessionConfiguration cmdlet.For small environments, you can deploy JEA by registering the session configuration file using the Register-PSSessionConfiguration cmdlet.

Zorg ervoor dat de volgende vereisten is voldaan voordat u begint:Before you begin, ensure that the following prerequisites have been met:

  • Een of meer rollen is gemaakt en opgeslagen in de map 'RoleCapabilities' van een geldig PowerShell-module.One or more roles has been created and placed in the 'RoleCapabilities' folder of a valid PowerShell module.
  • Een sessie-configuratiebestand is gemaakt en getest.A session configuration file has been created and tested.
  • De gebruiker registreren van de configuratie van de JEA heeft administrator-rechten op de systemen.The user registering the JEA configuration has administrator rights on the system(s).

U moet ook een naam voor uw eindpunt JEA selecteren.You will also need to select a name for your JEA endpoint. De naam van het eindpunt JEA is vereist wanneer gebruikers verbinding wilt maken met het systeem met JEA.The name of the JEA endpoint will be required when users want to connect to the system using JEA. U kunt de Get-PSSessionConfiguration cmdlet om de namen van bestaande eindpunten op het systeem te controleren.You can use the Get-PSSessionConfiguration cmdlet to check the names of existing endpoints on the system. Eindpunten die met 'microsoft beginnen' zijn doorgaans geleverd bij Windows.Endpoints that start with 'microsoft' are typically shipped with Windows. Het eindpunt 'microsoft.powershell' is het standaardeindpunt gebruikt bij het verbinden met een externe PowerShell-eindpunt.The 'microsoft.powershell' endpoint is the default endpoint used when connecting to a remote PowerShell endpoint.

PS C:\> Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Wanneer u een passende naam voor uw eindpunt JEA hebt vastgesteld, voert u de volgende opdracht voor het registreren van het eindpunt.When you have determined an appropriate name for your JEA endpoint, run the following command to register the endpoint.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Waarschuwing

De bovenstaande opdracht wordt de WinRM-service op het systeem opnieuw opstartenThe above command will restart the WinRM service on the system. Dit wordt beëindigd op alle externe communicatie van PowerShell-sessies, evenals een eventuele lopende DSC-configuraties.This will terminate all PowerShell remoting sessions as well as any ongoing DSC configurations. Het is raadzaam dat u eventuele productiemachines offline uitvoeren voordat u de opdracht uit te voeren om te voorkomen dat zakelijke activiteiten verstoren.It is recommended that you take any production machines offline before running the command to avoid disrupting business operations.

Als de registratie gelukt is, bent u klaar om JEA gebruiken.If registration was successful, you are ready to use JEA. U kunt het configuratiebestand van de sessie op elk gewenst moment; verwijderen Dit wordt niet gebruikt na de registratie.You may delete the session configuration file at any time; it is not used after registration.

Meerdere machines met DSC-configuratieMulti-machine configuration with DSC

Als u JEA op meerdere machines implementeert, wordt het eenvoudigste implementatiemodel is het gebruik van de JEA Desired State Configuration resource snel en consistent JEA implementeren op elke machine.If you are deploying JEA on multiple machines, the simplest deployment model is to use the JEA Desired State Configuration resource to quickly and consistently deploy JEA on each machine.

Als u wilt implementeren JEA met DSC, moet u moet dat de volgende vereisten worden voldaan:To deploy JEA with DSC, you will need to ensure the following prerequisites are met:

  • Een of meer rollen mogelijkheden zijn gemaakt en toegevoegd aan een geldig PowerShell-module.One or more role capabilities have been authored and added to a valid PowerShell module.
  • De PowerShell-module met de rollen is opgeslagen op een (alleen-lezen) bestandsshare die toegankelijk door elke computer.The PowerShell module containing the roles is stored on a (read-only) file share accessible by each machine.
  • Instellingen voor de sessieconfiguratie van de zijn vastgesteld.Settings for the session configuration have been determined. U hoeft niet te maken van een configuratiebestand sessie bij het gebruik van de JEA DSC-resource.You do not need to create a session configuration file when using the JEA DSC resource.
  • U hebt de referenties die u kunt u beheeracties uitvoeren op elke machine of toegang hebben tot een DSC-pull-server gebruikt voor het beheren van de machines.You have credentials that will allow you to perform administrative actions on each machine, or have access to a DSC pull server used to manage the machines.
  • U hebt gedownload de JEA DSC-resourceYou have downloaded the JEA DSC resource

Maak een DSC-configuratie voor uw eindpunt JEA op een doel-machine (of pull-server, als u van een gebruikmaakt).On a target machine (or pull server, if you are using one), create a DSC configuration for your JEA endpoint. In deze configuratie gebruikt u de JustEnoughAdministration DSC-resource voor het instellen van het configuratiebestand van de sessie en de resource bestand kopiëren over de mogelijkheden van de rol van de bestandsshare.In this configuration, you will use the JustEnoughAdministration DSC resource to set up the session configuration file and the File resource to copy over the role capabilities from the file share.

De volgende eigenschappen kunnen worden geconfigureerd met behulp van de DSC-resource:The following properties are configurable using the DSC resource:

  • RoldefinitiesRole Definitions
  • Groepen met virtueleVirtual Account groups
  • De naam van groep beheerd serviceaccount gebruikenGroup Managed Service Account name
  • De tekst van directoryTranscript directory
  • Schijf van de gebruikerUser drive
  • Regels voor voorwaardelijke toegangConditional access rules
  • Opstartscripts voor de sessie JEAStartup scripts for the JEA session

De syntaxis voor elk van deze eigenschappen in een DSC-configuratie komt overeen met het configuratiebestand van de PowerShell-sessie.The syntax for each of these properties in a DSC configuration is consistent with the PowerShell session configuration file.

Hieronder volgt een voorbeeld DSC-configuratie voor een algemene server Onderhoud module.Below is a sample DSC configuration for a general server maintenance module.

Er wordt ervan uitgegaan dat een geldig PowerShell-module met de mogelijkheden van de rol in een submap 'RoleCapabilities' bevindt zich op de '\\myfileshare\JEA' bestandsshare.It assumes that a valid PowerShell module containing role capabilities in a 'RoleCapabilities' subfolder is located on the '\\myfileshare\JEA' file share.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Deze configuratie kan vervolgens worden toegepast op een systeem door rechtstreeks aanroepen van de lokale Configuration Manager of bijwerken van de pull-serverconfiguratie.This configuration can then be applied on a system by directly invoking the Local Configuration Manager or updating the pull server configuration.

De DSC-resource kunt u het standaardeindpunt van Microsoft.PowerShell remoting vervangen.The DSC resource also allows you to replace the default Microsoft.PowerShell remoting endpoint. Als u dit doet, wordt automatisch een back-unconstrainted-eindpunt met de naam 'Microsoft.PowerShell.Restricted' met de standaardinstellingen van de WinRM-ACL (zodat gebruikers van extern beheer en lokale beheerders groepsleden om deze te openen) geregistreerd in de resource.If you do this, the resource will automatically register a backup unconstrainted endpoint named "Microsoft.PowerShell.Restricted" which has the default WinRM ACL (allowing Remote Management Users and local Administrators group members to access it).

Registratie JEA-configuratiesUnregistering JEA configurations

U kunt een JEA-eindpunt op een systeem met de Unregister-PSSessionConfiguration cmdlet.To remove a JEA endpoint on a system, use the Unregister-PSSessionConfiguration cmdlet. De registratie van een eindpunt JEA wordt voorkomen dat nieuwe gebruikers maken van nieuwe JEA sessies op het systeem.Unregistering a JEA endpoint will prevent new users from creating new JEA sessions on the system. Ook kunt u de configuratie van een JEA bijwerken door een bijgewerkte sessie-configuratiebestand met dezelfde naam van het eindpunt opnieuw te registreren.It also allows you to update a JEA configuration by re-registering an updated session configuration file using the same endpoint name.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Waarschuwing

De registratie van een JEA eindpunt zorgt ervoor dat de WinRM-service opnieuw op te starten.Unregistering a JEA endpoint will cause the WinRM service to restart. Hiermee wordt de meeste RAS beheerbewerkingen in voortgang, inclusief andere PowerShell-sessies, WMI-aanroepen en sommige beheerhulpprogramma's onderbroken.This will interrupt most remote management operations in progress, including other PowerShell sessions, WMI invocations, and some management tools. Alleen de PowerShell-eindpunten registratie tijdens gepland onderhoud.Only unregister PowerShell endpoints during planned maintenance windows.

Volgende stappenNext steps