Just Enough AdministrationJust Enough Administration

JEA (Just Enough Administration) é uma tecnologia de segurança que habilita o uso de administração delegada para qualquer coisa que pode ser gerenciada com o PowerShell.Just Enough Administration (JEA) is a security technology that enables delegated administration for anything that can be managed with PowerShell. Com o JEA, você pode:With JEA, you can:

  • Reduzir o número de administradores em seus computadores aproveitando contas virtuais que executam ações privilegiadas em nome dos usuários regulares.Reduce the number of administrators on your machines by leveraging virtual accounts that perform privileged actions on behalf of regular users.
  • Limitar o que os usuários podem fazer especificando quais cmdlets, funções e comandos externos eles podem executar.Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • Entender melhor o que seus usuários estão fazendo com transcrições "Over The Shoulder” que mostram exatamente quais comandos um usuário executou durante uma sessão.Better understand what your users are doing with "over the shoulder" transcriptions that show you exactly what commands a user executed during a session.

Por que isso é importante?Why is this important?
Considere o cenário comum em que os servidores DNS estão colocalizados com seus Controladores de Domínio do Active Directory.Consider the common scenario where your DNS servers are co-located with your Active Directory Domain Controllers. Os administradores DNS precisam ter privilégios de administrador local para corrigir problemas com o servidor DNS, porém para isso você precisa torná-los membros do grupo de segurança altamente privilegiado "Administradores do Domínio".Your DNS administrators need to have local administrator privileges to fix issues with the DNS server, but in order to do so you have to make them members of the highly privileged "Domain Admins" security group. Essa abordagem concede de forma efetiva aos Administradores de DNS o controle todo o domínio e o acesso a todos os recursos nesse computador.This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

Com o JEA em vigor, você pode configurar uma função para seus administradores de DNS que concede acesso a todos os comandos que eles precisam para trabalhar, e nada mais.With JEA in place, you can configure a role for your DNS administrators that gives them access to all the commands they need to get their job done, but nothing more. Isso significa que você pode fornecer o acesso apropriado para reparar um cache DNS inviabilizado sem acidentalmente conceder a eles direitos ao Active Directory, para navegar no sistema de arquivos ou para executar scripts potencialmente perigosos.This means you can provide the appropriate access to repair a poisoned DNS cache without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. Melhor ainda, quando a sessão JEA está configurada para usar contas virtuais privilegiadas avulsas, seus administradores de DNS podem se conectar ao servidor usando credenciais sem privilégios e ainda poderão executar comandos privilegiados.Better yet, when the JEA session is configured to use one-time privileged virtual accounts, your DNS administrators can connect to the server using unprivileged credentials and still be able to run privileged commands.

DisponibilidadeAvailability

O JEA está sendo desenvolvido paralelamente ao Windows Server 2016 e está disponível em versões anteriores mais antigas do Windows por meio de atualizações do Windows Management Framework.JEA is being developed in parallel to Windows Server 2016, and is available on older versions of Windows through Windows Management Framework updates. A versão atual do JEA está disponível nas seguintes plataformas:The current release of JEA is available on the following platforms:

Windows ServerWindows Server

Windows ClientWindows Client

* Suporte para contas virtuais em sessões JEA atualmente não está disponível no Windows Server 2008 R2 ou Windows 7.* Support for virtual accounts in JEA sessions is currently not available on Windows Server 2008 R2 or Windows 7.

Explorar o guia de experiênciaExplore the experience guide

Pronto para aprender a criar, implantar e usar seu próprio ponto de extremidade JEA?Ready to learn how to author, deploy, and use your own JEA endpoint?

Este guia o familiariza rapidamente com um ponto de extremidade de JEA pré-criado para dar uma ideia de como é a experiência do usuário final, além de explicar a recriação de um ponto de extremidade do zero para ajudar a demonstrar conceitos como configurações de sessão e Recursos de Função.This guide gets you started quickly with a pre-built JEA endpoint to get an idea of what the end-user experience is like, then walks you through recreating an endpoint from scratch to help demonstrate concepts like session configurations and Role Capabilities.

  1. Introdução Introduction
    Examina rapidamente por que o JEA é importanteBriefly review why you should care about JEA

  2. Pré-requisitosPrerequisites
    Explica como configurar seu ambienteExplains how to set up your environment

  3. Usando JEAUsing JEA
    Ajuda a entender a experiência do operador com o JEAHelps you start by understanding the operator experience of using JEA

  4. Recriar a demonstraçãoRemake the Demo
    Criar uma configuração de sessão JEA do zeroCreate a JEA Session Configuration from scratch

  5. Capacidades de FunçãoRole Capabilities
    Saiba mais sobre como personalizar funcionalidades JEA com Arquivos de Funcionalidade de FunçãoLearn about how to customize JEA capabilities with Role Capability Files

  6. Ponta a Ponta – Active DirectoryEnd to End - Active Directory
    Criar um novo ponto de extremidade para gerenciar o Active DirectoryMake a whole new endpoint for managing Active Directory

  7. Manutenção e implantação de vários computadoresMulti-machine Deployment and Maintenance
    Descobrir como a implantação e criação mudam com a escalaDiscover how deployment and authoring changes with scale

  8. Relatando no JEAReporting on JEA
    Descobrir como auditar e relatar todas as ações e a infraestrutura do JEADiscover how to audit and report on all JEA actions and infrastructure

  9. ApêndicesAppendixes

Começar a criar seus próprios pontos de extremidade de JEAStart authoring your own JEA endpoints

É fácil criar um ponto de extremidade de JEA, tudo o que você precisa é um sistema habilitado para JEA e um editor de texto (como o ISE do PowerShell).It's easy to author a JEA endpoint -- all you need is a JEA-enabled system and a text editor (like PowerShell ISE). Uma dica útil para começar é criar arquivos esqueleto usando New-PSRoleCapabilityFile -Path <path> e New-PSSessionConfigurationFile -Path <Path> sem outros argumentos.One helpful tip to get started is to create skeleton files using New-PSRoleCapabilityFile -Path <path> and New-PSSessionConfigurationFile -Path <Path> without any other arguments. Esses arquivos de esqueleto contêm todos os campos de configuração aplicáveis juntamente com comentários úteis para explicar a finalidade de cada campo.These skeleton files contain all of the applicable configuration fields along with helpful comments to explain what each field can be used for.

Para tornar a criação dos pontos de extremidade de JEA ainda mais fácil, confira o Auxiliar do Kit de Ferramentas JEA que fornece uma interface gráfica com a qual você pode criar arquivos de Configuração de Sessão e de Capacidade de Função.To make authoring JEA endpoints even easier, check out the JEA Toolkit Helper which provides a GUI with which you can author Session Configuration and Role Capability files. Ela ainda dão suporte à geração de Capacidades de Função com base nos logs do PowerShell para dar os primeiros passos nos comandos que os usuários executam regularmente para trabalhar.It even supports generating Role Capabilities based on PowerShell logs to start you off with the commands your users regularly run to get their jobs done.