Precis tillräcklig administrationJust Enough Administration

Bara tillräckligt med administration (JEA) är en säkerhets teknik som möjliggör delegerad administration för allt som hanteras av PowerShell.Just Enough Administration (JEA) is a security technology that enables delegated administration for anything managed by PowerShell. Med JEA kan du:With JEA, you can:

  • Minska antalet administratörer på dina datorer med hjälp av virtuella konton eller grupphanterade tjänst konton för att utföra privilegierade åtgärder för vanliga användares räkning.Reduce the number of administrators on your machines using virtual accounts or group-managed service accounts to perform privileged actions on behalf of regular users.
  • Begränsa vad användarna kan göra genom att ange vilka cmdletar, funktioner och externa kommandon som de kan köra.Limit what users can do by specifying which cmdlets, functions, and external commands they can run.
  • Bättre förstå vad användarna gör med avskrifter och loggar som visar exakt vilka kommandon en användare utförde under sin session.Better understand what your users are doing with transcripts and logs that show you exactly which commands a user executed during their session.

Varför är JEA viktigt?Why is JEA important?

Konton med hög privilegier som används för att administrera dina servrar utgör en allvarlig säkerhets risk.Highly privileged accounts used to administer your servers pose a serious security risk. Om en angripare kompromettera ett av dessa konton kan de starta laterala angrepp i hela organisationen.Should an attacker compromise one of these accounts, they could launch lateral attacks across your organization. Varje komprometterat konto ger en angripare åtkomst till ännu fler konton och resurser och ger dem ett steg närmare att stjäla företags hemligheter, starta en denial-of-service-attack och mer.Each compromised account gives an attacker access to even more accounts and resources, and puts them one step closer to stealing company secrets, launching a denial-of-service attack, and more.

Det är inte alltid lätt att ta bort administratörs behörighet, vare sig.It's not always easy to remove administrative privileges, either. Överväg det vanliga scenariot där DNS-rollen är installerad på samma dator som din Active Directory-domän-styrenhet.Consider the common scenario where the DNS role is installed on the same machine as your Active Directory Domain Controller. Dina DNS-administratörer måste ha lokal administratörs behörighet för att åtgärda problem med DNS-servern.Your DNS administrators require local administrator privileges to fix issues with the DNS server. Men för att göra det måste du göra dem till medlemmar i säkerhets gruppen privilegierade domän administratörer .But to do so, you must make them members of the highly privileged Domain Admins security group. Den här metoden ger dig en effektiv kontroll av DNS-administratörer över hela domänen och åtkomst till alla resurser på den datorn.This approach effectively gives DNS Administrators control over your whole domain and access to all resources on that machine.

JEA löser problemet genom principen om minsta behörighet.JEA addresses this problem through the principle of Least Privilege. Med JEA kan du konfigurera en hanterings slut punkt för DNS-administratörer som ger dem åtkomst till de PowerShell-kommandon som de behöver för att utföra jobbet.With JEA, you can configure a management endpoint for DNS administrators that gives them access only to the PowerShell commands they need to get their job done. Det innebär att du kan ge rätt åtkomst för att reparera en GIFTAD DNS-cache eller starta om DNS-servern utan att oavsiktligt ge dem behörighet att Active Directory, eller att söka i fil systemet eller köra potentiellt farliga skript.This means you can provide the appropriate access to repair a poisoned DNS cache or restart the DNS server without unintentionally giving them rights to Active Directory, or to browse the file system, or run potentially dangerous scripts. När JEA-sessionen har kon figurer ATS för att använda temporära privilegierade virtuella konton, kan dina DNS-administratörer dessutom ansluta till servern med autentiseringsuppgifter som inte är administratör och fortfarande köra kommandon som vanligt vis kräver administratörs behörighet.Better yet, when the JEA session is configured to use temporary privileged virtual accounts, your DNS administrators can connect to the server using non-admin credentials and still run commands that typically require admin privileges. Med JEA kan du ta bort användare från privilegierade lokala/domän administratörs roller och kontrol lera noga vad de kan göra på varje dator.JEA enables you to remove users from widely privileged local/domain administrator roles and carefully control what they can do on each machine.

Nästa stegNext steps

Mer information om kraven för att använda JEA finns i artikeln krav .To learn more about the requirements to use JEA, see the Prerequisites article.

Exempel och DSC-resursSamples and DSC resource

Exempel på JEA-konfigurationer och JEA DSC-resursen finns i Jea GitHub-lagringsplatsen.Sample JEA configurations and the JEA DSC resource can be found in the JEA GitHub repository.