Rejestrowanie konfiguracji JEA

  • Artykuł

Po utworzeniu funkcji roli i pliku konfiguracji sesji ostatnim krokiem jest zarejestrowanie punktu końcowego JEA. Zarejestrowanie punktu końcowego JEA w systemie udostępnia punkt końcowy do użycia przez użytkowników i aparaty automatyzacji.

Konfiguracja pojedynczej maszyny

W przypadku małych środowisk można wdrożyć narzędzie JEA, rejestrując plik konfiguracji sesji przy użyciu polecenia cmdlet Register-PSSessionConfiguration .

Przed rozpoczęciem upewnij się, że zostały spełnione następujące wymagania wstępne:

  • Co najmniej jedna rola została utworzona i umieszczona w folderze RoleCapabilities modułu programu PowerShell.
  • Plik konfiguracji sesji został utworzony i przetestowany.
  • Użytkownik rejestrujący konfigurację JEA ma uprawnienia administratora w systemie.
  • Wybrano nazwę punktu końcowego JEA.

Nazwa punktu końcowego JEA jest wymagana, gdy użytkownicy nawiązują połączenie z systemem przy użyciu narzędzia JEA. Polecenie cmdlet Get-PSSessionConfiguration wyświetla nazwy punktów końcowych w systemie. Punkty końcowe rozpoczynające się od microsoft są zwykle dostarczane z systemem Windows. Punkt microsoft.powershell końcowy jest domyślnym punktem końcowym używanym podczas nawiązywania połączenia ze zdalnym punktem końcowym programu PowerShell.

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Uruchom następujące polecenie, aby zarejestrować punkt końcowy.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Ostrzeżenie

Poprzednie polecenie uruchamia ponownie usługę WinRM w systemie. Spowoduje to zakończenie wszystkich sesji komunikacji zdalnej programu PowerShell i wszystkich bieżących konfiguracji DSC. Zalecamy przełączenie maszyn produkcyjnych w tryb offline przed uruchomieniem polecenia , aby uniknąć zakłócania operacji biznesowych.

Po rejestracji możesz przystąpić do korzystania z narzędzia JEA. Plik konfiguracji sesji można usunąć w dowolnym momencie. Plik konfiguracji nie jest używany po rejestracji punktu końcowego.

Konfiguracja wielu maszyn przy użyciu rozszerzenia DSC

Podczas wdrażania narzędzia JEA na wielu maszynach najprostszy model wdrażania używa zasobu JEA Desired State Configuration (DSC), aby szybko i spójnie wdrażać jea na każdej maszynie.

Aby wdrożyć usługę JEA przy użyciu rozszerzenia DSC, upewnij się, że spełnione są następujące wymagania wstępne:

  • Co najmniej jedna funkcja roli została utworzona i dodana do modułu programu PowerShell.
  • Moduł programu PowerShell zawierający role jest przechowywany w udziale plików (tylko do odczytu) dostępnym dla każdej maszyny.
  • Ustawienia konfiguracji sesji zostały określone. Podczas korzystania z zasobu JEA DSC nie trzeba tworzyć pliku konfiguracji sesji.
  • Masz poświadczenia, które umożliwiają wykonywanie akcji administracyjnych na każdej maszynie lub dostęp do serwera ściągania DSC używanego do zarządzania maszynami.
  • Pobrano zasób JEA DSC.

Utwórz konfigurację DSC dla punktu końcowego JEA na maszynie docelowej lub serwerze ściągania. W tej konfiguracji zasób DSC JustEnough Administracja istration definiuje plik konfiguracji sesji, a zasób Plik kopiuje możliwości roli z udziału plików.

Następujące właściwości można skonfigurować przy użyciu zasobu DSC:

  • Definicje ról
  • Grupy kont wirtualnych
  • Nazwa konta usługi zarządzanego przez grupę
  • Katalog transkrypcji
  • Dysk użytkownika
  • Reguły dostępu warunkowego
  • Skrypty uruchamiania dla sesji JEA

Składnia każdej z tych właściwości w konfiguracji DSC jest zgodna z plikiem konfiguracji sesji programu PowerShell.

Poniżej przedstawiono przykładową konfigurację DSC dla ogólnego modułu konserwacji serwera. Przyjęto założenie, że w udziale plików znajduje się \\myfileshare\JEA prawidłowy moduł programu PowerShell zawierający funkcje roli.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Następnie konfiguracja jest stosowana w systemie przez bezpośrednie wywołanie programu Local Configuration Manager lub zaktualizowanie konfiguracji serwera ściągania.

Zasób DSC umożliwia również zastąpienie domyślnego punktu końcowego programu Microsoft.PowerShell . Po zastąpieniu zasób automatycznie rejestruje punkt końcowy kopii zapasowej o nazwie Microsoft.PowerShell.Restricted. Punkt końcowy kopii zapasowej ma domyślną listę ACL usługi WinRM, która umożliwia użytkownikom zarządzania zdalnego i lokalnym członkom grupy Administracja istratorów dostęp do niego.

Wyrejestrowywanie konfiguracji JEA

Polecenie cmdlet Unregister-PSSessionConfiguration usuwa punkt końcowy JEA. Wyrejestrowywanie punktu końcowego JEA uniemożliwia nowym użytkownikom tworzenie nowych sesji JEA w systemie. Umożliwia również zaktualizowanie konfiguracji serwera JEA przez ponowne zarejestrowanie zaktualizowanego pliku konfiguracji sesji przy użyciu tej samej nazwy punktu końcowego.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Ostrzeżenie

Wyrejestrowywanie punktu końcowego JEA powoduje ponowne uruchomienie usługi WinRM. Spowoduje to przerwanie większości operacji zdalnego zarządzania w toku, w tym innych sesji programu PowerShell, wywołań WMI i niektórych narzędzi do zarządzania. Wyrejestrowywanie punktów końcowych programu PowerShell tylko podczas planowanych okien konserwacji.

Następne kroki

Testowanie punktu końcowego JEA