JEA (Administração Just Enough)Just Enough Administration (JEA)

A Administração Just Enough é um novo recurso no WMF 5.0 que permite a administração baseada em funções por meio da comunicação remota do PowerShell.Just Enough Administration is a new feature in WMF 5.0 that enables role-based administration through PowerShell remoting. Ela estende a infraestrutura existente do ponto de extremidade restrito, permitindo que não administradores executem comandos, scripts e executáveis específicos como administrador.It extends the existing constrained endpoint infrastructure by allowing non-administrators to run specific commands, scripts and executables as an administrator. Isso permite a redução do número de administradores completos em seu ambiente e a melhoria da segurança.This enables you to reduce the number of full administrators in your environment and improve your security. O JEA funcionará para tudo que for gerenciado por meio do PowerShell; se algo puder ser gerenciado com o PowerShell, o JEA poderá ajudá-lo a fazer isso com mais segurança.JEA works for everything you manage through PowerShell; if you can manage something with PowerShell, JEA can help you do so more securely. Para obter uma visão detalhada da Administração Just Enough, confira o guia de experiência.For a detailed look at Just Enough Administration, check out the experience guide.

Ao contrário de pontos de extremidade restritos antigos, o JEA é poderoso e fácil de configurar.Unlike old constrained endpoints, JEA is both powerful and easy to configure. As funcionalidades de usuário no JEA podem ser controladas de forma granular, até a restrição de quais conjuntos de parâmetros e valores podem ser fornecidos para um comando específico.User capabilities in JEA can be granularly controlled, down to restricting which parameter sets and values can be supplied to a specific command. As ações do usuário são executadas no contexto de uma conta virtual avulsa que tem os direitos de executar as ações do administrador.The user’s actions are run in the context of a one-time virtual account that has the rights to perform the administrator actions. Os comandos invocados pelo usuário podem ser registrados em log para auditorias de segurança.The commands invoked by the user can be logged for security audits.

O JEA funciona por meio da permissão de criar pontos de extremidade restritos especialmente configurados.JEA works by allowing you to create specially-configured constrained endpoints. Esses pontos de extremidade têm algumas características importantes:These endpoints have a few important characteristics:

  1. Os usuários que se conectam a eles “executam como” uma Conta Virtual privilegiada que existe somente durante tal sessão remota.Users connecting to them “run as” a privileged Virtual Account that exists only for the duration of this remote session. Por padrão, essa Conta Virtual é um membro do grupo de Administradores internos, bem como um Administrador de Domínio em controladores de domínio (observação: essas permissões são configuráveis).By default, this Virtual Account is a member of the built-in Administrators group, as well as a Domain Administrators on domain controllers (note: these permissions are configurable). Ao se conectar como um usuário e administrar como um usuário diferente com privilégios, é possível permitir que usuários não privilegiados executem tarefas administrativas específicas sem lhes conceder direitos administrativos em seus sistemas.By connecting as one user and running as a different, privileged user, you can allow non-privileged users to perform specific administrative tasks without giving them administrative rights on your systems.
  2. O ponto de extremidade é bloqueado.The endpoint is locked down. Isso significa que o PowerShell é executado no modo Sem Linguagem.This means PowerShell runs in No Language mode. Apenas comandos, scripts e executáveis específicos são visíveis para o usuário.Only specific commands, scripts, and executables are visible to the user.
  3. Diferentes usuários que se conectam veem um conjunto diferente de funcionalidades com base na associação a um grupo.Different users connecting are presented with a different set of capabilities based on group membership. É possível fornecer funcionalidades diferentes a funções diferentes no mesmo ponto de extremidade.You can provide different roles different capabilities at the same endpoint.