Verbeteringen in Just Enough Administration (JEA)Improvements to Just Enough Administration (JEA)

Beperkte bestanden kopiëren naar JEA-eindpuntenConstrained file copy to/from JEA endpoints

Kunt u nu op afstand bestanden te kopiëren/in een JEA-eindpunt en rest kan worden gegarandeerd dat de gebruiker die de verbinding alleen kan niet kopiëren eventuele bestand op uw systeem.You can now remotely copy files to/from a JEA endpoint and rest assured that the connecting user can't copy just any file on your system. Dit is mogelijk door het configureren van uw voor-bestand voor het koppelen van een schijf van de gebruiker om verbinding te maken van gebruikers.This is possible by configuring your PSSC file to mount a user drive for connecting users. De schijf van de gebruiker is een nieuwe PSDrive die uniek is voor elke gebruiker die verbinding maakt en clusterverbinding blijven behouden tussen sessies.The user drive is a new PSDrive that is unique to each connecting user and persists across sessions. Wanneer Copy-Item wordt gebruikt om bestanden te kopiëren naar of van een JEA-sessie, is deze beperkt tot alleen toegang tot de schijf van de gebruiker toestaan.When Copy-Item is used to copy files to or from a JEA session, it is constrained to only allow access to the user drive. Pogingen om bestanden te kopiëren naar een andere PSDrive mislukken.Attempts to copy files to any other PSDrive will fail.

Om in te stellen de schijf van de gebruiker in uw configuratiebestand van de JEA-sessie, gebruikt u de volgende nieuwe velden:To set up the user drive in your JEA session configuration file, use the following new fields:

MountUserDrive = $true
UserDriveMaximumSize = 10485760    # 10 MB

De map die de schijf van de gebruiker een back-up wordt gemaakt op $env:LOCALAPPDATA\Microsoft\Windows\PowerShell\DriveRoots\DOMAIN_USERThe folder backing the user drive will be created at $env:LOCALAPPDATA\Microsoft\Windows\PowerShell\DriveRoots\DOMAIN_USER

Als u wilt gebruikmaken van de schijf van de gebruiker en kopiëren van bestanden naar/van een JEA-eindpunt dat is geconfigureerd als de schijf van de gebruiker beschikbaar wilt maken, gebruikt u de -ToSession en -FromSession parameters op Copy-Item.To utilize the user drive and copy files to/from a JEA endpoint configured to expose the User drive, use the -ToSession and -FromSession parameters on Copy-Item.

# Connect to the JEA endpoint
$jeasession = New-PSSession -ComputerName 'srv01' -ConfigurationName 'UserDemo'

# Copy a file in the local folder to the remote machine.
# Note: you cannot specify the file name or subfolder on the remote machine.
# You must exactly type "User:"
Copy-Item -Path .\SampleFile.txt -Destination User: -ToSession $jeasession

# Copy the file back from the remote machine to your local machine
Copy-Item -Path User:\SampleFile.txt -Destination . -FromSession $jeasession

U kunt vervolgens aangepaste functies voor het verwerken van de gegevens die zijn opgeslagen in de schijf van de gebruiker en die beschikbaar maken voor gebruikers in uw rol mogelijkheid-bestand schrijven.You can then write custom functions to process the data stored in the user drive and make those available to users in your Role Capability file.

Ondersteuning voor Group Managed Service AccountsSupport for Group Managed Service Accounts

In sommige gevallen kan een taak die een gebruiker nodig heeft om uit te voeren in een JEA-sessie moet toegang tot bronnen voorbij de lokale computer.In some cases, a task a user needs to perform in a JEA session may need to access resources beyond the local machine. Wanneer een JEA-sessie is geconfigureerd voor het gebruik van een virtueel account, wordt elke poging tot deze bronnen afkomstig zijn van de identiteit van de lokale computer, niet de virtuele-account of verbonden gebruiker weergegeven.When a JEA session is configured to use a virtual account, any attempt to reach such resources will appear to come from the local machine's identity, not the virtual account or connected user. TP5, is voorzien van ondersteuning voor het uitvoeren van JEA in de context van een groep beheerd serviceaccount, waardoor het veel eenvoudiger toegang krijgen tot netwerkbronnen met behulp van de identiteit van een domein.In TP5, we have enabled support for running JEA under the context of a Group Managed Service Account, making it much easier to access network resources by using a domain identity.

Voor het configureren van een JEA-sessie moet worden uitgevoerd in een gMSA-account, gebruikt u de volgende sleutel in het bestand voor:To configure a JEA session to run under a gMSA account, use the following new key in your PSSC file:

# Provide the name of your gMSA account here (don't include a trailing $)
# The local machine must be privileged to use this gMSA in Active Directory
GroupManagedServiceAccount = 'myGMSAforJEA'

# You cannot configure a JEA endpoint to use both a gMSA and virtual account
# You can leave the RunAsVirtualAccount field commented out or explicitly set it to false
RunAsVirtualAccount = $false

Notitie

Groep beheerde serviceaccounts doen niet zomaar de isolatie- of beperkte mogelijkheden van virtuele accounts.Group Managed Service Accounts do not afford the isolation or limited scope of virtual accounts. Elke gebruiker die verbinding maakt, wordt de hetzelfde gMSA-id, die mogelijk machtigingen in uw gehele organisatie delen.Every connecting user will share the same gMSA identity, which may have permissions across your entire enterprise. Wees voorzichtig bij het selecteren van een gMSA gebruiken en altijd de voorkeur geeft aan virtuele accounts die zijn beperkt tot de lokale computer, indien mogelijk.Be very careful when selecting to use a gMSA, and always prefer virtual accounts which are limited to the local machine when possible.

Beleid voor voorwaardelijke toegangConditional access policies

JEA is erg handig bij het beperken van iemand kunt doen wanneer ze hebt verbonden met een systeem te beheren, maar wat als u ook wilt beperken wanneer iemand kunt JEA gebruiken?JEA is great at limiting what someone can do when they've connected to a system to manage it, but what if you also want to limit when someone can use JEA? Configuratie-opties in de sessie-configuratiebestanden (.pssc) waarin u kunt opgeven-beveiligingsgroepen waartoe een gebruiker behoren moet om een JEA-sessie tot stand brengen, hebben we toegevoegd.We have added configuration options into the session configuration files (.pssc) to let you specify security groups to which a user must belong in order to establish a JEA session. Dit kan vooral nuttig zijn als u een systeem alleen In tijd (JIT) in uw omgeving hebt en maken van uw gebruikers wilt voordat u toegang tot een JEA-eindpunt voor veel bevoegdheden verhogen.This can be particularly helpful if you have a Just In Time (JIT) system in your environment, and want to make your users elevate their privileges before accessing a highly-privileged JEA endpoint.

De nieuwe RequiredGroups veld in het bestand voor kunt u de logica om na te gaan als een gebruiker verbinding met JEA maken kan opgeven.The new RequiredGroups field in the PSSC file allows you to specify the logic to determine if a user can connect to JEA. Er bestaat voor het opgeven van een hash-tabel (eventueel geneste) die gebruikmaakt van de 'En' en 'Of' sleutels te maken van uw regels.It consists of specifying a hashtable (optionally nested) that uses the 'And' and 'Or' keys to construct your rules. Hier volgen enkele voorbeelden van hoe u dit veld:Here are some examples of how to leverage this field:

# Example 1: Connecting users must belong to a security group called "elevated-jea"
RequiredGroups = @{ And = 'elevated-jea' }

# Example 2: Connecting users must have signed on with 2 factor authentication or a smart card
# The 2 factor authentication group name is "2FA-logon" and the smart card group name is "smartcard-logon"
RequiredGroups = @{ Or = '2FA-logon', 'smartcard-logon' }

# Example 3: Connecting users must elevate into "elevated-jea" with their JIT system and have logged on with 2FA or a smart card
RequiredGroups = @{ And = 'elevated-jea', @{ Or = '2FA-logon', 'smartcard-logon' }}

Vaste: Virtuele accounts worden nu ondersteund op Windows Server 2008 R2Fixed: Virtual accounts are now supported on Windows Server 2008 R2

In WMF 5.1 bent u nu te kunnen gebruikmaken van virtuele accounts in Windows Server 2008 R2, waardoor consistente configuraties en functiepariteit voor Windows Server 2008 R2 - 2016.In WMF 5.1, you are now able to use virtual accounts on Windows Server 2008 R2, enabling consistent configurations and feature parity across Windows Server 2008 R2 - 2016. Virtuele accounts blijven wordt niet ondersteund bij het gebruik van JEA op Windows 7.Virtual accounts remain unsupported when using JEA on Windows 7.