Just Enough Administration (JEA)Just Enough Administration (JEA)

Just Enough Administration is een nieuwe functie in WMF 5.0 waarmee Rolgebaseerd beheer via externe communicatie van PowerShell.Just Enough Administration is a new feature in WMF 5.0 that enables role-based administration through PowerShell remoting. Deze uitbreiding van de bestaande infrastructuur van beperkte eindpunt doordat niet-beheerders kunnen specifieke opdrachten, scripts en uitvoerbare bestanden uitvoeren als beheerder.It extends the existing constrained endpoint infrastructure by allowing non-administrators to run specific commands, scripts and executables as an administrator. Hiermee kunt u Verminder het aantal volledige beheerders in uw omgeving en uw beveiliging te verbeteren.This enables you to reduce the number of full administrators in your environment and improve your security. JEA werkt voor alles wat die u via PowerShell beheren; Als u iets met PowerShell beheren kunt, kunt u dus veiliger door JEA helpen.JEA works for everything you manage through PowerShell; if you can manage something with PowerShell, JEA can help you do so more securely. Bekijk voor een gedetailleerde Kijk op Just Enough Administration, de gids voor gebruikerservaring.For a detailed look at Just Enough Administration, check out the experience guide.

JEA is in tegenstelling tot de oude beperkte eindpunten, krachtige en eenvoudig te configureren.Unlike old constrained endpoints, JEA is both powerful and easy to configure. Gebruikersmogelijkheden in JEA kunnen worden granulair beheerd, naar het beperken van waarin parametersets en -waarden kunnen worden geleverd aan een specifieke opdracht.User capabilities in JEA can be granularly controlled, down to restricting which parameter sets and values can be supplied to a specific command. Acties van de gebruiker worden uitgevoerd in de context van een eenmalige virtueel account waarvoor de rechten voor het uitvoeren van de acties van de beheerder.The user’s actions are run in the context of a one-time virtual account that has the rights to perform the administrator actions. De opdrachten die wordt aangeroepen door de gebruiker kunnen worden geregistreerd voor beveiligingscontroles.The commands invoked by the user can be logged for security audits.

JEA werkt met de mogelijkheid om beperkte eindpunten speciaal geconfigureerd te maken.JEA works by allowing you to create specially-configured constrained endpoints. Deze eindpunten hebben een aantal belangrijke kenmerken:These endpoints have a few important characteristics:

  1. Gebruikers verbinding maken met deze 'uitvoeren als' een bevoegde virtueel Account die alleen voor de duur van deze externe sessie bestaat.Users connecting to them “run as” a privileged Virtual Account that exists only for the duration of this remote session. Deze virtuele-Account is standaard lid is van de ingebouwde groep Administrators, evenals de beheerders van een domein op domeincontrollers (Opmerking: deze machtigingen worden geconfigureerd).By default, this Virtual Account is a member of the built-in Administrators group, as well as a Domain Administrators on domain controllers (note: these permissions are configurable). Door verbinding te maken als een gebruiker en die wordt uitgevoerd als een andere, bevoegde gebruiker, kunt u niet-gemachtigde gebruikers specifieke beheertaken uitvoeren zonder dat ze beheerdersrechten heeft op uw systemen.By connecting as one user and running as a different, privileged user, you can allow non-privileged users to perform specific administrative tasks without giving them administrative rights on your systems.
  2. Het eindpunt is vergrendeld.The endpoint is locked down. Dit betekent dat PowerShell wordt uitgevoerd in de modus voor niet-taal.This means PowerShell runs in No Language mode. Alleen specifieke opdrachten, scripts en uitvoerbare bestanden zijn zichtbaar voor de gebruiker.Only specific commands, scripts, and executables are visible to the user.
  3. Andere gebruikers die verbinding maken worden met een andere set mogelijkheden op basis van groepslidmaatschap weergegeven.Different users connecting are presented with a different set of capabilities based on group membership. U kunt verschillende rollen bieden verschillende mogelijkheden op hetzelfde eindpunt.You can provide different roles different capabilities at the same endpoint.