Registrando Configurações de JEARegistering JEA Configurations

Aplica-se a: Windows PowerShell 5.0Applies to: Windows PowerShell 5.0

A última etapa antes de usar o JEA, depois que você tiver criado os recursos de função e os arquivo de configuração de sessão, é registrar o ponto de extremidade JEA.The last step before you can use JEA once you have your role capabilities and session configuration file created is to register the JEA endpoint. Esse processo aplica as informações de configuração de sessão no sistema e torna o ponto de extremidade disponível para uso pelos usuários e pelos mecanismos de automação.This process applies the session configuration information to the system and makes the endpoint available for use by users and automation engines.

Configuração de computador únicoSingle machine configuration

Em ambientes pequenos, você pode implantar o JEA ao registrar o arquivo de configuração de sessão usando o cmdlet Register-PSSessionConfiguration.For small environments, you can deploy JEA by registering the session configuration file using the Register-PSSessionConfiguration cmdlet.

Antes de começar, verifique se os pré-requisitos a seguir foram atendidos:Before you begin, ensure that the following prerequisites have been met:

  • Uma ou mais funções foram criadas e colocadas na pasta 'RoleCapabilities' de um módulo de PowerShell válido.One or more roles has been created and placed in the 'RoleCapabilities' folder of a valid PowerShell module.
  • Um arquivo de configuração de sessão foi criado e testado.A session configuration file has been created and tested.
  • O usuário que está registrando a configuração JEA tem direitos de administrador nos sistemas.The user registering the JEA configuration has administrator rights on the system(s).

Também é necessário selecionar um nome para o ponto de extremidade JEA.You will also need to select a name for your JEA endpoint. O nome do ponto de extremidade JEA será necessário quando os usuários desejarem se conectar ao sistema usando o JEA.The name of the JEA endpoint will be required when users want to connect to the system using JEA. Você pode usar o cmdlet Get-PSSessionConfiguration para verificar os nomes dos pontos de extremidade existentes no sistema.You can use the Get-PSSessionConfiguration cmdlet to check the names of existing endpoints on the system. Pontos de extremidade que começam com 'microsoft' geralmente são fornecidos com o Windows.Endpoints that start with 'microsoft' are typically shipped with Windows. O ponto de extremidade 'microsoft.powershell' é o ponto de extremidade padrão usado ao se conectar a um ponto de extremidade remoto do PowerShell.The 'microsoft.powershell' endpoint is the default endpoint used when connecting to a remote PowerShell endpoint.

PS C:\> Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Depois de determinar um nome apropriado para seu ponto de extremidade JEA, execute o seguinte comando para registrar o ponto de extremidade.When you have determined an appropriate name for your JEA endpoint, run the following command to register the endpoint.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Aviso

O comando acima reiniciará o serviço WinRM no sistema.The above command will restart the WinRM service on the system. Isso encerrará todas as sessões de comunicação remota do PowerShell, bem como quaisquer configurações de DSC em andamento.This will terminate all PowerShell remoting sessions as well as any ongoing DSC configurations. É recomendável que você coloque em offline todos computadores de produção antes de executar o comando para evitar interromper as operações de negócios.It is recommended that you take any production machines offline before running the command to avoid disrupting business operations.

Se o registro foi bem-sucedido, você estará pronto para usar o JEA.If registration was successful, you are ready to use JEA. Você pode excluir o arquivo de configuração de sessão a qualquer momento; ele não é mais usado depois do registro.You may delete the session configuration file at any time; it is not used after registration.

Configuração de vários computadores com o DSCMulti-machine configuration with DSC

Se você estiver implantando o JEA em vários computadores, o modelo de implantação mais simples é usar o recurso Configuração de Estado Desejado do JEA para implantar o JEA de forma rápida e consistente em cada computador.If you are deploying JEA on multiple machines, the simplest deployment model is to use the JEA Desired State Configuration resource to quickly and consistently deploy JEA on each machine.

Para implantar o JEA com o DSC, você precisará garantir que os seguintes pré-requisitos sejam atendidos:To deploy JEA with DSC, you will need to ensure the following prerequisites are met:

  • Um ou mais recursos de função foram criados e adicionados a um módulo de PowerShell válido.One or more role capabilities have been authored and added to a valid PowerShell module.
  • O módulo do PowerShell que contém as funções é armazenado em um compartilhamento de arquivo (somente leitura) acessível por cada computador.The PowerShell module containing the roles is stored on a (read-only) file share accessible by each machine.
  • As configurações para a configuração de sessão foram determinadas.Settings for the session configuration have been determined. Não é necessário criar um arquivo de configuração de sessão ao usar o recurso DSC do JEA.You do not need to create a session configuration file when using the JEA DSC resource.
  • Você tem credenciais que permitem a execução de ações administrativas em cada computador ou tem acesso a um servidor de pull de DSC usado para gerenciar os computadores.You have credentials that will allow you to perform administrative actions on each machine, or have access to a DSC pull server used to manage the machines.
  • O recurso DSC do JEA foi baixadoYou have downloaded the JEA DSC resource

Em um computador de destino (ou servidor de pull, se você estiver usando um), crie uma configuração DSC para seu ponto de extremidade JEA.On a target machine (or pull server, if you are using one), create a DSC configuration for your JEA endpoint. Nessa configuração, será utilizado o recurso DSC de JustEnoughAdministration para configurar o arquivo de configuração de sessão e o Recurso de arquivo para copiar sobre os recursos de função do compartilhamento de arquivos.In this configuration, you will use the JustEnoughAdministration DSC resource to set up the session configuration file and the File resource to copy over the role capabilities from the file share.

As seguintes propriedades são configuráveis usando o recurso de DSC:The following properties are configurable using the DSC resource:

  • Definições de FunçãoRole Definitions
  • Grupos de Conta VirtualVirtual Account groups
  • Nome de Conta de Serviço Gerenciado de GrupoGroup Managed Service Account name
  • Diretório de transcriçãoTranscript directory
  • Unidade de usuárioUser drive
  • Regras de acesso condicionalConditional access rules
  • Scripts de inicialização para a sessão JEAStartup scripts for the JEA session

A sintaxe para cada uma dessas propriedades em uma configuração DSC é consistente com o arquivo de configuração de sessão do PowerShell.The syntax for each of these properties in a DSC configuration is consistent with the PowerShell session configuration file.

Abaixo está um exemplo de configuração de DSC para um módulo de manutenção geral do servidor.Below is a sample DSC configuration for a general server maintenance module.

Ele assume que um módulo válido do PowerShell contendo recursos de função em uma subpasta 'RoleCapabilities' está localizado no compartilhamento de arquivos '\\myfileshare\JEA'.It assumes that a valid PowerShell module containing role capabilities in a 'RoleCapabilities' subfolder is located on the '\\myfileshare\JEA' file share.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Essa configuração pode ser aplicada em um sistema invocando diretamente o Gerenciador de Configurações Local ou atualizando a configuração do servidor de pull.This configuration can then be applied on a system by directly invoking the Local Configuration Manager or updating the pull server configuration.

O recurso DSC também permite que você substitua o ponto de extremidade de comunicação remota padrão Microsoft.PowerShell.The DSC resource also allows you to replace the default Microsoft.PowerShell remoting endpoint. Se você fizer isso, o recurso registrará automaticamente um ponto de extremidade irrestrito de backup chamado "Microsoft.PowerShell.Restricted", que tem a ACL do WinRM padrão (permitindo que Usuários de Gerenciamento Remoto e membros do grupo local de Administradores o acessem).If you do this, the resource will automatically register a backup unconstrainted endpoint named "Microsoft.PowerShell.Restricted" which has the default WinRM ACL (allowing Remote Management Users and local Administrators group members to access it).

Cancelando o registro de configurações de JEAUnregistering JEA configurations

Para remover um ponto de extremidade JEA em um sistema, use o cmdlet Unregister-PSSessionConfiguration.To remove a JEA endpoint on a system, use the Unregister-PSSessionConfiguration cmdlet. O cancelamento do registro de um ponto de extremidade JEA impedirá que novos usuários criem novas sessões de JEA no sistema.Unregistering a JEA endpoint will prevent new users from creating new JEA sessions on the system. Ele também permite que você atualize uma configuração de JEA, registrando novamente um arquivo de configuração de sessão atualizado usando o mesmo nome de ponto de extremidade.It also allows you to update a JEA configuration by re-registering an updated session configuration file using the same endpoint name.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Aviso

O cancelamento do registro de um ponto de extremidade JEA fará com que o serviço WinRM seja reiniciado.Unregistering a JEA endpoint will cause the WinRM service to restart. Isso interromperá a maioria das operações de gerenciamento remotas em andamento, incluindo outras sessões do PowerShell, invocações de WMI e algumas ferramentas de gerenciamento.This will interrupt most remote management operations in progress, including other PowerShell sessions, WMI invocations, and some management tools. Cancele o registro de pontos de extremidade do PowerShell somente durante janelas de manutenção planejadas.Only unregister PowerShell endpoints during planned maintenance windows.

Próximas etapasNext steps