Conceitos fundamentais usados em todo este guiaKey Concepts Used Throughout This Guide

O que exatamente é o JEA?What exactly is JEA?

O JEA é uma extensão de pontos de extremidade restritos do PowerShell que adiciona definições de função, contas virtuais e vários outros aprimoramentos para facilitar ainda mais o bloqueio dos seus pontos de extremidade de gerenciamento.JEA is an extension of PowerShell constrained endpoints that adds in role definitions, virtual accounts, and several other improvements to make it even easier to lock down your management endpoints. Um ponto de extremidade de JEA consiste em um arquivo de Configuração de Sessão do PowerShell e um ou mais arquivos de Capacidade de Função.A JEA endpoint consists of a PowerShell Session Configuration file and one or more Role Capability files.

Oque são arquivos de Configuração de Sessão e Capacidade de Função?What are Session Configuration and Role Capability files?

Arquivos de Configuração de Sessão do PowerShell (.pssc) definem quem pode se conectar a um ponto de extremidade do PowerShell e como ele é configurado.PowerShell Session Configuration files (.pssc) define who can connect to a PowerShell endpoint and how it is configured. É aqui que os usuários e grupos de segurança são mapeados para funções específicas de gerenciamento e defina as configurações globais como contas virtuais e políticas de transcrição.This is where you would map users and security groups to specific management roles and configure global settings like virtual accounts and transcription policies. Arquivos de configuração de sessão são específicos para cada computador, permitindo que você controle o acesso por computador, se desejado.Session configuration files are specific to each machine, which allows you to control access on a per-machine basis if desired.

Arquivos de Capacidade de Função do PowerShell (.psrc) definem o que os usuários que pertencem a uma função são capazes de fazer no sistema.PowerShell Role Capability files (.psrc) define what users belonging to a role are able to do on the system. Aqui você pode restringir quais cmdlets, funções, provedores e programas externos um usuário pode usar em sua sessão JEA.Here, you can restrict which cmdlets, functions, providers, and external programs a user may use in their JEA session. Arquivos de Capacidade de Função geralmente são genéricos para a função atendida (administrador DNS, suporte técnico de nível 1, auditoria de inventário de somente leitura, etc.) e pertencem a módulos do PowerShell, facilitando compartilhá-los em seu ambiente e com outras pessoas.Role Capability files are often generic for the role being served (DNS admin, level 1 helpdesk, read-only inventory auditing, etc.) and belong to PowerShell modules, making it easy to share them across your environment and with others.

Como o JEA aproveita as contas virtuais?How does JEA leverage virtual accounts?

No arquivo de Configuração de Sessão do PowerShell, você pode configurar sessões JEA para usar contas virtuais "Executar como".In the PowerShell Session Configuration file, you can configure JEA sessions to use virtual "run as" accounts. As contas virtuais são contas privilegiadas avulsas geradas para o usuário específico da conexão nessa sessão específica na qual o contexto dos comandos do usuário são executados.Virtual accounts are one-time privileged accounts spun up for the specific connecting user in that specific session under which context the user's commands are executed. Contas virtuais pertencem ao grupo de segurança "Administradores" por padrão, mas podem ser opcionalmente configuradas para pertencer somente aos grupos de segurança que você especificar.Virtual accounts belong to the local "Administrators" security group by default, but can optionally be configured to only belong to security groups you specify.

Comunicação Remota do PowerShell: a comunicação remota do PowerShell permite que você execute comandos do PowerShell em computadores remotas.PowerShell Remoting: PowerShell remoting allows you to run PowerShell commands against remote machines. Você pode operar em um ou vários computadores e usar conexões temporárias ou persistentes.You can operate against one or many computers, and use either temporary or persistent connections. Nesta demonstração, você acessará remotamente seu computador local com uma sessão interativa.In this demo, you remoted into your local machine with an interactive session. O JEA restringe a funcionalidade disponível por meio de comunicação remota do PowerShell.JEA restricts the functionality available through PowerShell remoting. Para obter mais informações sobre a conexão remota do PowerShell, execute Get-Help about_Remote.For more information about PowerShell remoting, run Get-Help about_Remote.

Usuário "RunAs": ao usar JEA, um não administrador "é executado como" uma conta com privilégios de "Conta Virtual"."RunAs" User: When using JEA, a non-administrator "runs as" a privileged "Virtual Account." A Conta Virtual dura apenas pela duração da sessão remota.The Virtual Account only lasts the duration of the remote session. Isso significa que ela é criada quando um usuário se conecta ao ponto de extremidade e é destruída quando o usuário encerra a sessão.That is to say, it is created when a user connects to the endpoint, and destroyed when the user ends the session. Por padrão, a Conta Virtual é um membro do grupo Administradores local.By default, the Virtual Account is a member of the local Administrators group. Em um controlador de domínio, ele é um membro do grupo Administradores de Domínio.On a domain controller, it is a member of Domain Admins. Contas Virtuais são locais no computador no qual são criadas e não têm permissões fora desse computador.Virtual Accounts are local to the machine on which they are created, and do not have permissions outside of that machine. Isso significa que eles não são registrados no Active Directory (nenhum RID atribuído).This means that they are not registered in Active Directory (no RID is assigned). Além disso, se um comando/script permitido tentar acessar recursos fora do computador local, ele acessará esses recursos com a identidade do computador, não da Conta Virtual.Additionally, if an allowed command/script tries to access resources outside of the local machine, it will be accessing those resources under the machine's identity, not the Virtual Account identity.

Usuário "Conectado": o usuário não administrador que se conecta ao ponto de extremidade JEA e ao qual são atribuídas as funções."Connected" User: The non-administrator user who connects to the JEA endpoint and to whom roles are assigned. Quaisquer comandos executado por esse usuário são executados sob o contexto do usuário RunAs ou conta virtual.Any commands this user runs are run under the context of the RunAs User or virtual account.