Configurar o controle de acesso do usuário e as permissõesConfigure User Access Control and Permissions

Aplica-se a: Windows Admin Center, Versão prévia do Windows Admin CenterApplies to: Windows Admin Center, Windows Admin Center Preview

Se você ainda não fez isso, familiarize-se com as opções de controle de acesso do usuário no Windows Admin CenterIf you haven't already, familiarize yourself with the user access control options in Windows Admin Center

Observação

O acesso baseado em grupo no Windows Admin Center não tem suporte em ambientes de grupo de trabalho ou em domínios não confiáveis.Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

Definições de função de acesso do gatewayGateway access role definitions

Há duas funções para acesso ao serviço de gateway do Windows Admin Center:There are two roles for access to the Windows Admin Center gateway service:

Os usuários de gateway podem se conectar ao serviço de gateway do Windows Admin Center para gerenciar servidores por meio desse gateway, mas não podem alterar permissões de acesso nem o mecanismo de autenticação usado para autenticação no gateway.Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can't change access permissions nor the authentication mechanism used to authenticate to the gateway.

Os administradores de gateway podem configurar quem obtém acesso e como os usuários se autenticam no gateway.Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Somente administradores de gateway podem exibir e definir as configurações de Acesso no Windows Admin Center.Only gateway administrators can view and configure the Access settings in Windows Admin Center. Os administradores locais no computador do gateway são sempre administradores do serviço de gateway do Windows Admin Center.Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

Observação

O acesso ao gateway não implica o acesso a servidores gerenciados visíveis pelo gateway.Access to the gateway doesn't imply access to managed servers visible by the gateway. Para gerenciar um servidor de destino, o usuário que está se conectando deve usar credenciais (por meio de suas credenciais do Windows passadas ou por meio de credenciais fornecidas na sessão do Windows Admin Center usando a ação Gerenciar como) que têm acesso administrativo a esse servidor de destino.To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Grupos de computadores locais ou Active DirectoryActive Directory or local machine groups

Por padrão, o Active Directory ou grupos de computadores locais são usados para controlar o acesso do gateway.By default, Active Directory or local machine groups are used to control gateway access. Se você tiver um domínio do Active Directory, poderá gerenciar o acesso de usuário e administrador de gateway de dentro da interface do Windows Admin Center.If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

Na guia Usuários, você pode controlar quem pode acessar o Windows Admin Center como um usuário de gateway.On the Users tab you can control who can access Windows Admin Center as a gateway user. Por padrão, se você não especificar um grupo de segurança, qualquer usuário que acessar a URL do gateway terá acesso.By default, and if you don't specify a security group, any user that accesses the gateway URL has access. Depois de adicionar um ou mais grupos de segurança à lista de usuários, o acesso será restrito aos membros desses grupos.Once you add one or more security groups to the users list, access is restricted to the members of those groups.

Se você não usar um domínio Active Directory em seu ambiente, o acesso será controlado pelos grupos locais Users e Administrators no computador do gateway do Windows Admin Center.If you don't use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

Autenticação de cartão inteligenteSmartcard authentication

Você pode impor a autenticação de cartão inteligente especificando um grupo obrigatório adicional para grupos de segurança baseados em cartão inteligente.You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. Depois de adicionar um grupo de segurança baseado em cartão inteligente, um usuário só poderá acessar o serviço do Windows Admin Center se for membro de qualquer grupo de segurança E houver um grupo de cartões inteligentes incluídos na lista de usuários.Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

Na guia Administradores, você pode controlar quem pode acessar o Windows Admin Center como um administrador de gateway.On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. O grupo local de administradores no computador sempre terá acesso de administrador completo e não poderá ser removido da lista.The local administrators group on the computer will always have full administrator access and cannot be removed from the list. Ao adicionar grupos de segurança, você concede aos membros desses grupos privilégios para alterar as configurações do gateway do Windows Admin Center.By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. A lista de administradores dá suporte à autenticação de cartão inteligente da mesma maneira que a lista de usuários: com a condição E para um grupo de segurança e um grupo de cartões inteligentes.The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Active Directory do AzureAzure Active Directory

Se sua organização usa o Azure AD (Azure Active Directory), você pode optar por adicionar uma camada de segurança adicional ao Windows Admin Center exigindo a autenticação do Azure AD para acessar o gateway.If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Para acessar o Windows Admin Center, a conta do Windows do usuário também deve ter acesso ao servidor de gateway (mesmo que a autenticação do Azure AD seja usada).In order to access Windows Admin Center, the user's Windows account must also have access to gateway server (even if Azure AD authentication is used). Ao usar o Azure AD, você gerenciará permissões de acesso de usuário e administrador do Windows Admin Center no portal do Azure, em vez de gerenciá-las de dentro da interface do usuário do Windows Admin Center.When you use Azure AD, you'll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Como acessar o Windows Admin Center quando a autenticação do Azure AD está habilitadaAccessing Windows Admin Center when Azure AD authentication is enabled

Dependendo do navegador usado, alguns usuários que acessam o Windows Admin Center com a autenticação do Azure AD configurada receberão um aviso adicional do navegador em que eles precisam fornecer suas credenciais de conta do Windows para o computador no qual o Windows Admin Center está instalado.Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. Depois de inserir essas informações, os usuários receberão o prompt de autenticação adicional do Azure Active Directory, que exige as credenciais de uma conta do Azure que tenha recebido acesso no aplicativo Azure AD no Azure.After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

Observação

Os usuários cuja conta do Windows têm direitos de administrador no computador do gateway não serão solicitados a informarem a autenticação do Azure AD.Users who's Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Como configurar a autenticação do Azure Active Directory para a Versão Prévia do Windows Admin CenterConfiguring Azure Active Directory authentication for Windows Admin Center Preview

Acesse Configurações > Acesso do Windows Admin Center e use a opção de alternância para ativar a opção "Usar Azure Active Directory para adicionar uma camada de segurança ao gateway".Go to Windows Admin Center Settings > Access and use the toggle switch to turn on "Use Azure Active Directory to add a layer of security to the gateway". Se você não tiver registrado o gateway no Azure, será guiado para fazer isso no momento.If you have not registered the gateway to Azure, you will be guided to do that at this time.

Por padrão, todos os membros do locatário do Azure AD têm acesso de usuário ao serviço de gateway do Windows Admin Center.By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Somente os administradores locais no computador do gateway têm acesso de administrador ao gateway do Windows Admin Center.Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. Observe que os direitos dos administradores locais no computador do gateway não podem ser restritos. Os administradores locais podem fazer qualquer coisa, independentemente de o Azure AD ser usado para autenticação.Note that the rights of local administrators on the gateway machine cannot be restricted - local admins can do anything regardless of whether Azure AD is used for authentication.

Se você quiser conceder a usuários ou grupos específicos do Azure AD acesso de administrador de gateway ou usuário de gateway ao serviço do Windows Admin Center, deverá fazer o seguinte:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Acesse o aplicativo Azure AD do Windows Admin Center no portal do Azure usando o hiperlink fornecido em Configurações de Acesso.Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. Observe que esse hiperlink só está disponível quando a autenticação Azure Active Directory está habilitada.Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • Você também pode encontrar seu aplicativo no portal do Azure acessando Azure Active Directory > Aplicativos empresariais > Todos os aplicativos e pesquisando WindowsAdminCenter (o aplicativo Azure AD terá o nome WindowsAdminCenter-).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). Se você não obtiver nenhum resultado da pesquisa, verifique se Mostrar está definido como Todos os aplicativos, Status do aplicativo está definido como Qualquer, então clique em Aplicar e tente a pesquisa.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Depois de encontrar o aplicativo, acesse Usuários e gruposOnce you've found the application, go to Users and groups
  2. Na guia Propriedades, defina Atribuição de usuário necessária como Sim.In the Properties tab, set User assignment required to Yes. Depois de fazer isso, somente os membros listados na guia Usuários e grupos poderão acessar o gateway do Windows Admin Center.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. Na guia Usuários e grupos, selecione Adicionar usuário.In the Users and groups tab, select Add user. Você deve atribuir uma função de usuário de gateway ou administrador de gateway a cada usuário/grupo adicionado.You must assign a gateway user or gateway administrator role for each user/group added.

Depois de ativar a autenticação do Azure AD, o serviço de gateway é reiniciado e você deve atualizar o navegador.Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Você pode atualizar o acesso do usuário para o aplicativo do Azure AD do SEM no portal do Azure a qualquer momento.You can update user access for the SME Azure AD application in the Azure portal at any time.

Os usuários serão solicitados a entrar usando a identidade do Azure Active Directory quando tentarem acessar a URL do gateway do Windows Admin Center.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Lembre-se de que os usuários também devem ser membros dos usuários locais no servidor de gateway para acessarem o Windows Admin Center.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Os usuários e administradores podem exibir a conta conectada no momento e, além disso, sair dessa conta do Azure AD na guia Conta das Configurações do Windows Admin Center.Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Como configurar a autenticação do Azure Active Directory para o Windows Admin CenterConfiguring Azure Active Directory authentication for Windows Admin Center

Para configurar a autenticação do Azure AD, primeiro você deve registrar seu gateway com o Azure (você só precisa fazer isso uma vez para o gateway do Windows Admin Center).To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). Esta etapa cria um aplicativo do Azure AD do qual você pode gerenciar o acesso de administrador do gateway e usuário do gateway.This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

Se você quiser conceder a usuários ou grupos específicos do Azure AD acesso de administrador de gateway ou usuário de gateway ao serviço do Windows Admin Center, deverá fazer o seguinte:If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Vá para seu aplicativo de SME do Azure AD no portal do Azure.Go to your SME Azure AD application in the Azure portal.
    • Ao clicar em Alterar controle de acesso e, em seguida, selecionar Azure Active Directory nas configurações de Acesso do Windows Admin Center, você pode usar o hiperlink fornecido na interface do usuário para acessar seu aplicativo do Azure AD no portal do Azure.When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. Esse hiperlink também está disponível nas configurações de acesso depois que você clica em Salvar e seleciona o Azure AD como provedor de identidade de controle de acesso.This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • Você também pode encontrar seu aplicativo no portal do Azure acessando Azure Active Directory > Aplicativos empresariais > Todos os aplicativos e pesquisando SME (o aplicativo Azure AD terá o nome SME-).You can also find your application in the Azure portal by going to Azure Active Directory > Enterprise applications > All applications and searching SME (the Azure AD app will be named SME-). Se você não obtiver nenhum resultado da pesquisa, verifique se Mostrar está definido como Todos os aplicativos, Status do aplicativo está definido como Qualquer, então clique em Aplicar e tente a pesquisa.If you don't get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Depois de encontrar o aplicativo, acesse Usuários e gruposOnce you've found the application, go to Users and groups
  2. Na guia Propriedades, defina Atribuição de usuário necessária como Sim.In the Properties tab, set User assignment required to Yes. Depois de fazer isso, somente os membros listados na guia Usuários e grupos poderão acessar o gateway do Windows Admin Center.Once you've done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. Na guia Usuários e grupos, selecione Adicionar usuário.In the Users and groups tab, select Add user. Você deve atribuir uma função de usuário de gateway ou administrador de gateway a cada usuário/grupo adicionado.You must assign a gateway user or gateway administrator role for each user/group added.

Depois de salvar o serviço de controle de acesso do Azure AD no painel Alterar controle de acesso, o serviço de gateway será reiniciado e você deverá atualizar o navegador.Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Você pode atualizar o acesso do usuário para o aplicativo do Azure AD do Windows Admin Center no portal do Azure a qualquer momento.You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

Os usuários serão solicitados a entrar usando a identidade do Azure Active Directory quando tentarem acessar a URL do gateway do Windows Admin Center.Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Lembre-se de que os usuários também devem ser membros dos usuários locais no servidor de gateway para acessarem o Windows Admin Center.Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Usando a guia Azure das configurações gerais do Windows Admin Center, os usuários e os administradores podem exibir a conta conectada no momento, bem como sair dessa conta do Azure AD.Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

Acesso condicional e autenticação multifatorConditional access and multi-factor authentication

Um dos benefícios de usar o Azure AD como uma camada adicional de segurança para controlar o acesso ao gateway do Windows Admin Center é que você pode aproveitar os eficientes recursos de segurança do Azure AD, como acesso condicional e autenticação multifator.One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD's powerful security features like conditional access and multi-factor authentication.

Saiba mais sobre como configurar o acesso condicional com o Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Configurar logon únicoConfigure single sign-on

Logon único quando implantado como um serviço no Windows ServerSingle sign-on when deployed as a Service on Windows Server

Quando você instala o Windows Admin Center no Windows 10, ele está pronto para usar o logon único.When you install Windows Admin Center on Windows 10, it's ready to use single sign-on. No entanto, se você pretende usar o Windows Admin Center no Windows Server, precisará configurar alguma forma de delegação do Kerberos em seu ambiente para poder usar o logon único.If you're going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. A delegação configura o computador do gateway como confiável para delegar ao nó de destino.The delegation configures the gateway computer as trusted to delegate to the target node.

Para configurar Delegação restrita baseada em recursos em seu ambiente, use o seguinte exemplo do PowerShell.To configure Resource-based constrained delegation in your environment, use the following PowerShell example. Este exemplo mostra como você deve configurar um Windows Server [node01.contoso.com] para aceitar a delegação do gateway do Windows Admin Center [wac.contoso.com] no domínio contoso.com.This example shows how you would configure a Windows Server [node01.contoso.com] to accept delegation from your Windows Admin Center gateway [wac.contoso.com] in the contoso.com domain.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Para remover essa relação, execute o seguinte cmdlet:To remove this relationship, run the following cmdlet:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Controle de acesso baseado em funçãoRole-based access control

O controle de acesso baseado em função permite que você forneça aos usuários acesso limitado ao computador, em vez de torná-los administradores locais completos.Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. Leia mais sobre o controle de acesso baseado em função e as funções disponíveis.Read more about role-based access control and the available roles.

A configuração do RBAC consiste em duas etapas: habilitar o suporte nos computadores de destino e atribuir usuários às funções relevantes.Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

Dica

Verifique se você tem privilégios de administrador local nos computadores em que está configurando o suporte para o controle de acesso baseado em função.Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

Aplicar o controle de acesso baseado em função a um único computadorApply role-based access control to a single machine

O modelo de implantação de computador único é ideal para ambientes simples com apenas alguns computadores a serem gerenciados.The single machine deployment model is ideal for simple environments with only a few computers to manage. Configurar um computador com suporte para controle de acesso baseado em função resultará nas seguintes alterações:Configuring a machine with support for role-based access control will result in the following changes:

  • Os módulos do PowerShell com funções exigidas pelo Windows Admin Center serão instalados na unidade do sistema, em C:\Program Files\WindowsPowerShell\Modules.PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules. Todos os módulos começarão com Microsoft.SmeAll modules will start with Microsoft.Sme
  • A Desired State Configuration executará uma configuração única para configurar um ponto de extremidade de Administração Just Enough no computador chamado Microsoft.SME.PowerShell.Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. Esse ponto de extremidade define as três funções usadas pelo Windows Admin Center e será executado como um administrador local temporário quando um usuário se conectar a ele.This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • Três novos grupos locais serão criados para controlar quais usuários recebem acesso a quais funções:3 new local groups will be created to control which users are assigned access to which roles:
    • Administradores do Windows Admin CenterWindows Admin Center Administrators
    • Administradores do Hyper-V do Windows Admin CenterWindows Admin Center Hyper-V Administrators
    • Leitores do Windows Admin CenterWindows Admin Center Readers

Para habilitar o suporte para o controle de acesso baseado em função em um único computador, siga estas etapas:To enable support for role-based access control on a single machine, follow these steps:

  1. Abra o Windows Admin Center e conecte-se ao computador que você deseja configurar com o controle de acesso baseado em função usando uma conta com privilégios de administrador local no computador de destino.Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. Na ferramenta Visão Geral, clique em Configurações > Controle de acesso baseado em função.On the Overview tool, click Settings > Role-based access control.
  3. Clique em Aplicar na parte inferior da página para habilitar o suporte ao controle de acesso baseado em função no computador de destino.Click Apply at the bottom of the page to enable support for role-based access control on the target computer. O processo de aplicativo envolve copiar scripts do PowerShell e invocar uma configuração (usando a Desired State Configuration do PowerShell) no computador de destino.The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. O processo pode levar até 10 minutos para ser concluído e resultará na reinicialização do WinRM.It may take up to 10 minutes to complete, and will result in WinRM restarting. Isso desconectará temporariamente os usuários do Windows Admin Center, do PowerShell e do WMI.This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. Atualize a página para verificar o status do controle de acesso baseado em função.Refresh the page to check the status of role-based access control. Quando estiver pronto para uso, o status será alterado para Aplicado.When it is ready for use, the status will change to Applied.

Depois que a configuração for aplicada, você poderá atribuir usuários às funções:Once the configuration is applied, you can assign users to the roles:

  1. Abra a ferramenta Usuários e Grupos Locais e navegue até a guia Grupos.Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Selecione o grupo Leitores do Windows Admin Center.Select the Windows Admin Center Readers group.
  3. No painel Detalhes na parte inferior, clique em Adicionar Usuário e insira o nome de um usuário ou grupo de segurança que deve ter acesso somente leitura ao servidor por meio do Windows Admin Center.In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. Os usuários e grupos podem vir do computador local ou do seu domínio do Active Directory.The users and groups can come from the local machine or your Active Directory domain.
  4. Repita as etapas 2-3 para os grupos de Administradores do Hyper-V do Windows Admin Center e Administradores do Windows Admin Center.Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

Você também pode preencher esses grupos de forma consistente em seu domínio configurando um objeto de Política de Grupo com a Configuração de Política de Grupos Restritos.You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

Aplicar o controle de acesso baseado em função a vários computadoresApply role-based access control to multiple machines

Em uma grande implantação corporativa, você pode usar suas ferramentas de automação existentes para enviar por push o recurso de controle de acesso baseado em função para seus computadores baixando o pacote de configuração do gateway do Windows Admin Center.In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. O pacote de configuração é feito para ser usado com a Desired State Configuration do PowerShell, mas você pode adaptá-lo para funcionar com sua solução de automação preferida.The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

Baixar a configuração do controle de acesso baseado em funçãoDownload the role-based access control configuration

Para baixar o pacote de configuração de controle de acesso baseado em função, você precisará ter acesso ao Windows Admin Center e ao prompt do PowerShell.To download the role-based access control configuration package, you'll need to have access to Windows Admin Center and a PowerShell prompt.

Se você estiver executando o gateway do Windows Admin Center no modo de serviço no Windows Server, use o comando a seguir para baixar o pacote de configuração.If you're running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. Atualize o endereço do gateway com o correto para seu ambiente.Be sure to update the gateway address with the correct one for your environment.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Se você estiver executando o gateway do Windows Admin Center em seu computador com Windows 10, execute o seguinte comando:If you're running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Ao expandir o arquivo zip, você verá a seguinte estrutura de pastas:When you expand the zip archive, you'll see the following folder structure:

  • InstallJeaFeatures.ps1InstallJeaFeatures.ps1
  • JustEnoughAdministration (diretório)JustEnoughAdministration (directory)
  • Módulos (diretório)Modules (directory)
    • Microsoft.SME.* (diretórios)Microsoft.SME.* (directories)
    • WindowsAdminCenter.Jea (diretório)WindowsAdminCenter.Jea (directory)

Para configurar o suporte para o controle de acesso baseado em função em um nó, você precisa executar as seguintes ações:To configure support for role-based access control on a node, you need to perform the following actions:

  1. Copie os módulos JustEnoughAdministration, Microsoft.SME.* e WindowsAdminCenter.Jea para o diretório de módulo do PowerShell no computador de destino.Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. Normalmente, está localizado em C:\Program Files\WindowsPowerShell\Modules.Typically, this is located at C:\Program Files\WindowsPowerShell\Modules.
  2. Atualize o arquivo InstallJeaFeature.ps1 para corresponder à configuração desejada para o ponto de extremidade do RBAC.Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. Execute InstallJeaFeature.ps1 para compilar o recurso de DSC.Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. Implante sua configuração DSC em todos os seus computadores para aplicar a configuração.Deploy your DSC configuration to all of your machines to apply the configuration.

A seção a seguir explica como fazer isso usando a comunicação remota do PowerShell.The following section explains how to do this using PowerShell Remoting.

Implantar em vários computadoresDeploy on multiple machines

Para implantar a configuração baixada para vários computadores, você precisará atualizar o script InstallJeaFeatures.ps1 para incluir os grupos de segurança apropriados para seu ambiente, copiar os arquivos para cada um dos computadores e invocar os scripts de configuração.To deploy the configuration you downloaded onto multiple machines, you'll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. Você pode usar suas ferramentas de automação preferenciais para fazer isso, no entanto, este artigo se concentrará em uma abordagem pura baseada no PowerShell.You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

Por padrão, o script de configuração criará grupos de segurança locais no computador para controlar o acesso a cada uma das funções.By default, the configuration script will create local security groups on the machine to control access to each of the roles. Isso é adequado para computadores ingressados no domínio e no grupo de trabalho, mas se você estiver implantando em um ambiente somente de domínio, talvez queira associar diretamente um grupo de segurança de domínio a cada função.This is suitable for workgroup and domain joined machines, but if you're deploying in a domain-only environment you may wish to directly associate a domain security group with each role. Para atualizar a configuração para usar grupos de segurança de domínio, abra InstallJeaFeatures.ps1 e faça as seguintes alterações:To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. Remova os três recursos de Grupo do arquivo:Remove the 3 Group resources from the file:
    1. "Group MS-Readers-Group""Group MS-Readers-Group"
    2. "Group MS-Hyper-V-Administrators-Group""Group MS-Hyper-V-Administrators-Group"
    3. "Group MS-Administrators-Group""Group MS-Administrators-Group"
  2. Remova os três recursos de Grupo da propriedade DependsOn do JeaEndpointRemove the 3 Group resources from the JeaEndpoint DependsOn property
    1. "[Group]MS-Readers-Group""[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group""[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group]MS-Administrators-Group""[Group]MS-Administrators-Group"
  3. Altere os nomes de grupo na propriedade RoleDefinitions do JeaEndpoint para os grupos de segurança desejados.Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. Por exemplo, se você tiver um grupo de segurança CONTOSO\MyTrustedAdmins que deve receber acesso à função Administradores do Windows Admin Center, altere '$env:COMPUTERNAME\Windows Admin Center Administrators' para 'CONTOSO\MyTrustedAdmins'.For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change '$env:COMPUTERNAME\Windows Admin Center Administrators' to 'CONTOSO\MyTrustedAdmins'. As três cadeias de caracteres que você precisa atualizar são:The three strings you need to update are:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators''$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators''$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers''$env:COMPUTERNAME\Windows Admin Center Readers'

Observação

Use grupos de segurança exclusivos para cada função.Be sure to use unique security groups for each role. A configuração falhará se o mesmo grupo de segurança for atribuído a várias funções.Configuration will fail if the same security group is assigned to multiple roles.

Em seguida, no final do arquivo InstallJeaFeatures.ps1, adicione as seguintes linhas do PowerShell à parte inferior do script:Next, at the end of the InstallJeaFeatures.ps1 file, add the following lines of PowerShell to the bottom of the script:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Por fim, você pode copiar a pasta que contém os módulos, o recurso DSC e a configuração para cada nó de destino e executar o script InstallJeaFeature.ps1.Finally, you can copy the folder containing the modules, DSC resource and configuration to each target node and run the InstallJeaFeature.ps1 script. Para fazer isso remotamente de sua estação de trabalho de administração, você pode executar os seguintes comandos:To do this remotely from your admin workstation, you can run the following commands:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}