Rejestrowanie konfiguracji JEARegistering JEA Configurations

Po utworzeniu możliwości roli i pliku konfiguracji sesji , ostatnim krokiem jest zarejestrowanie punktu końcowego jea.Once you have your role capabilities and session configuration file created, the last step is to register the JEA endpoint. Zarejestrowanie punktu końcowego JEA w systemie sprawia, że punkt końcowy jest dostępny do użycia przez użytkowników i aparaty automatyzacji.Registering the JEA endpoint with the system makes the endpoint available for use by users and automation engines.

Konfiguracja pojedynczego komputeraSingle machine configuration

W przypadku małych środowisk można wdrożyć JEA, rejestrując plik konfiguracji sesji za pomocą polecenia cmdlet register-PSSessionConfiguration .For small environments, you can deploy JEA by registering the session configuration file using the Register-PSSessionConfiguration cmdlet.

Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:Before you begin, ensure that the following prerequisites have been met:

  • Co najmniej jedna rola została utworzona i umieszczona w folderze RoleCapabilities modułu PowerShell.One or more roles has been created and placed in the RoleCapabilities folder of a PowerShell module.
  • Plik konfiguracji sesji został utworzony i przetestowany.A session configuration file has been created and tested.
  • Użytkownik rejestrujący konfigurację JEA ma prawa administratora w systemie.The user registering the JEA configuration has administrator rights on the system.
  • Wybrano nazwę punktu końcowego JEA.You've selected a name for your JEA endpoint.

Nazwa punktu końcowego JEA jest wymagana, gdy użytkownicy łączą się z systemem przy użyciu JEA.The name of the JEA endpoint is required when users connect to the system using JEA. Polecenie cmdlet Get-PSSessionConfiguration wyświetla nazwy punktów końcowych w systemie.The Get-PSSessionConfiguration cmdlet lists the names of the endpoints on a system. Punkty końcowe rozpoczynające microsoft się od są zwykle dostarczane z systemem Windows.Endpoints that start with microsoft are typically shipped with Windows. microsoft.powershellPunkt końcowy jest domyślnym punktem końcowym używanym podczas nawiązywania połączenia z punktem końcowym zdalnego programu PowerShell.The microsoft.powershell endpoint is the default endpoint used when connecting to a remote PowerShell endpoint.

Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Uruchom następujące polecenie, aby zarejestrować punkt końcowy.Run the following command to register the endpoint.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Ostrzeżenie

Poprzednie polecenie ponownie uruchamia usługę WinRM w systemie.The previous command restarts the WinRM service on the system. Kończy wszystkie sesje komunikacji zdalnej programu PowerShell i wszystkie bieżące konfiguracje DSC.This terminates all PowerShell remoting sessions and any ongoing DSC configurations. Zaleca się przełączenie maszyn produkcyjnych do trybu offline przed uruchomieniem polecenia, aby uniknąć zakłócania operacji działania biznesowego.We recommended you take production machines offline before running the command to avoid disrupting business operations.

Po zarejestrowaniu możesz przystąpić do korzystania z jea.After registration, you're ready to use JEA. Plik konfiguracji sesji można usunąć w dowolnym momencie.You may delete the session configuration file at any time. Plik konfiguracji nie jest używany po rejestracji punktu końcowego.The configuration file isn't used after registration of the endpoint.

Konfiguracja wielomaszynowa z konfiguracją DSCMulti-machine configuration with DSC

Podczas wdrażania JEA na wielu maszynach najprostszy model wdrażania używa zasobu konfiguracji żądanego stanu (DSC) jea, aby szybko i spójnie wdrożyć jea na każdym komputerze.When deploying JEA on multiple machines, the simplest deployment model uses the JEA Desired State Configuration (DSC) resource to quickly and consistently deploy JEA on each machine.

Aby wdrożyć JEA za pomocą DSC, upewnij się, że zostały spełnione następujące wymagania wstępne:To deploy JEA with DSC, ensure the following prerequisites are met:

  • Co najmniej jedna możliwość roli została utworzona i dodana do modułu programu PowerShell.One or more role capabilities have been authored and added to a PowerShell module.
  • Moduł programu PowerShell zawierający role jest przechowywany w udziale plików (tylko do odczytu) dostępnym na poszczególnych komputerach.The PowerShell module containing the roles is stored on a (read-only) file share accessible by each machine.
  • Określono ustawienia konfiguracji sesji.Settings for the session configuration have been determined. Nie musisz tworzyć pliku konfiguracji sesji podczas korzystania z zasobu JEA DSC.You don't need to create a session configuration file when using the JEA DSC resource.
  • Masz poświadczenia zezwalające na akcje administracyjne na każdej maszynie lub dostęp do serwera ściągania DSC używanego do zarządzania maszynami.You have credentials that allow administrative actions on each machine or access to the DSC pull server used to manage the machines.
  • Pobrano zasób jea DSC.You've downloaded the JEA DSC resource.

Utwórz konfigurację DSC dla punktu końcowego JEA na maszynie docelowej lub serwerze ściągania.Create a DSC configuration for your JEA endpoint on a target machine or pull server. W tej konfiguracji zasób JustEnoughAdministration DSC definiuje plik konfiguracji sesji, a zasób pliku kopiuje możliwości roli z udziału plików.In this configuration, the JustEnoughAdministration DSC resource defines the session configuration file and the File resource copies the role capabilities from the file share.

Następujące właściwości można skonfigurować przy użyciu zasobu DSC:The following properties are configurable using the DSC resource:

  • Definicje rólRole Definitions
  • Grupy kont wirtualnychVirtual account groups
  • Nazwa konta usługi zarządzanego przez grupęGroup-managed service account name
  • Katalog transkrypcjiTranscript directory
  • Dysk użytkownikaUser drive
  • Reguły dostępu warunkowegoConditional access rules
  • Skrypty uruchamiania dla sesji JEAStartup scripts for the JEA session

Składnia dla każdej z tych właściwości w konfiguracji DSC jest zgodna z plikiem konfiguracji sesji programu PowerShell.The syntax for each of these properties in a DSC configuration is consistent with the PowerShell session configuration file.

Poniżej znajduje się Przykładowa konfiguracja DSC dla ogólnego modułu konserwacji serwera.Below is a sample DSC configuration for a general server maintenance module. Przyjęto założenie, że prawidłowy moduł programu PowerShell zawierający możliwości roli znajduje się w \\myfileshare\JEA udziale plików.It assumes that a valid PowerShell module containing role capabilities is located on the \\myfileshare\JEA file share.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Następnie konfiguracja jest stosowana w systemie przez bezpośrednie wywołanie Configuration Manager lokalnego lub zaktualizowanie konfiguracji serwera ściągania.Next, the configuration is applied on a system by directly invoking the Local Configuration Manager or updating the pull server configuration.

Zasób DSC umożliwia również zastąpienie domyślnego punktu końcowego programu Microsoft. PowerShell .The DSC resource also allows you to replace the default Microsoft.PowerShell endpoint. Po zastąpieniu zasób automatycznie rejestruje punkt końcowy kopii zapasowej o nazwie Microsoft. PowerShell. z ograniczeniami.When replaced, the resource automatically registers a backup endpoint named Microsoft.PowerShell.Restricted. Punkt końcowy kopii zapasowej ma domyślną listę ACL usługi WinRM umożliwiającą użytkownikom zdalnego zarządzania i członkom lokalnej grupy administratorów dostęp do niej.The backup endpoint has the default WinRM ACL that allows Remote Management Users and local Administrators group members to access it.

Wyrejestrowywanie konfiguracji JEAUnregistering JEA configurations

Polecenie cmdlet Unregister-PSSessionConfiguration usuwa punkt końcowy jea.The Unregister-PSSessionConfiguration cmdlet removes a JEA endpoint. Wyrejestrowanie punktu końcowego JEA uniemożliwia nowym użytkownikom tworzenie nowych sesji usługi JEA w systemie.Unregistering a JEA endpoint prevents new users from creating new JEA sessions on the system. Umożliwia również zaktualizowanie konfiguracji JEA przez ponowne zarejestrowanie zaktualizowanego pliku konfiguracji sesji przy użyciu tej samej nazwy punktu końcowego.It also allows you to update a JEA configuration by re-registering an updated session configuration file using the same endpoint name.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Ostrzeżenie

Wyrejestrowanie punktu końcowego JEA powoduje ponowne uruchomienie usługi WinRM.Unregistering a JEA endpoint causes the WinRM service to restart. Spowoduje to przerwanie większości operacji zarządzania zdalnego w toku, w tym innych sesji programu PowerShell, wywołań usługi WMI i niektórych narzędzi do zarządzania.This interrupts most remote management operations in progress, including other PowerShell sessions, WMI invocations, and some management tools. Wyrejestruj punkty końcowe programu PowerShell tylko podczas planowanych okien obsługi.Only unregister PowerShell endpoints during planned maintenance windows.

Następne krokiNext steps

Testowanie punktu końcowego JEATest the JEA endpoint