Registrera JEA-konfigurationer
När du har skapat rollfunktionernaoch sessionskonfigurationsfilen är det sista steget att registrera JEA-slutpunkten. Genom att registrera JEA-slutpunkten med systemet blir slutpunkten tillgänglig för användare och automationsmotorer.
Konfiguration av en enskild dator
För små miljöer kan du distribuera JEA genom att registrera sessionskonfigurationsfilen med hjälp av cmdleten Register-PSSessionConfiguration .
Innan du börjar kontrollerar du att följande krav har uppfyllts:
- En eller flera roller har skapats och placerats i mappen RoleCapabilities i en PowerShell-modul.
- En sessionskonfigurationsfil har skapats och testats.
- Användaren som registrerar JEA-konfigurationen har administratörsbehörighet i systemet.
- Du har valt ett namn för JEA-slutpunkten.
Namnet på JEA-slutpunkten krävs när användare ansluter till systemet med JEA. Cmdleten Get-PSSessionConfiguration visar namnen på slutpunkterna i ett system. Slutpunkter som börjar med microsoft levereras vanligtvis med Windows. Slutpunkten microsoft.powershell är standardslutpunkten som används när du ansluter till en fjärransluten PowerShell-slutpunkt.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Kör följande kommando för att registrera slutpunkten.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Varning
Det tidigare kommandot startar om WinRM-tjänsten i systemet. Detta avslutar alla PowerShell-fjärrkommunikationssessioner och eventuella pågående DSC-konfigurationer. Vi rekommenderar att du tar produktionsdatorer offline innan du kör kommandot för att undvika att störa verksamheten.
Efter registreringen är du redo att använda JEA. Du kan när som helst ta bort sessionskonfigurationsfilen. Konfigurationsfilen används inte efter registreringen av slutpunkten.
Konfiguration med flera datorer med DSC
När du distribuerar JEA på flera datorer använder den enklaste distributionsmodellen resursen JEA Desired State Configuration (DSC) för att snabbt och konsekvent distribuera JEA på varje dator.
Om du vill distribuera JEA med DSC kontrollerar du att följande krav uppfylls:
- En eller flera rollfunktioner har skapats och lagts till i en PowerShell-modul.
- PowerShell-modulen som innehåller rollerna lagras på en (skrivskyddad) filresurs som är tillgänglig för varje dator.
- Inställningar för sessionskonfigurationen har fastställts. Du behöver inte skapa en sessionskonfigurationsfil när du använder JEA DSC-resursen.
- Du har autentiseringsuppgifter som tillåter administrativa åtgärder på varje dator eller åtkomst till DSC-hämtningsservern som används för att hantera datorerna.
- Du har laddat ned JEA DSC-resursen.
Skapa en DSC-konfiguration för JEA-slutpunkten på en måldator eller en pull-server. I den här konfigurationen definierar JustEnoughAdministration DSC-resursen sessionskonfigurationsfilen och filresursen kopierar rollfunktionerna från filresursen.
Följande egenskaper kan konfigureras med hjälp av DSC-resursen:
- Rolldefinitioner
- Virtuella kontogrupper
- Namn på grupphanterat tjänstkonto
- Avskriftskatalog
- Användarenhet
- Regler för villkorsstyrd åtkomst
- Startskript för JEA-sessionen
Syntaxen för var och en av dessa egenskaper i en DSC-konfiguration är konsekvent med PowerShell-sessionskonfigurationsfilen.
Nedan visas ett exempel på en DSC-konfiguration för en allmän serverunderhållsmodul. Det förutsätter att en giltig PowerShell-modul som innehåller rollfunktioner finns på filresursen \\myfileshare\JEA .
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Därefter tillämpas konfigurationen på ett system genom att direkt anropa den lokala konfigurationshanteraren eller uppdatera hämtningsserverkonfigurationen.
Med DSC-resursen kan du också ersätta standardslutpunkten Microsoft.PowerShell . När den ersätts registrerar resursen automatiskt en slutpunkt för säkerhetskopiering med namnet Microsoft.PowerShell.Restricted. Slutpunkten för säkerhetskopieringen har en WinRM-standard-ACL som gör det möjligt för fjärrhanteringsanvändare och lokala administratörer att komma åt den.
Avregistrera JEA-konfigurationer
Cmdleten Unregister-PSSessionConfiguration tar bort en JEA-slutpunkt. Om du avregistrerar en JEA-slutpunkt hindras nya användare från att skapa nya JEA-sessioner i systemet. Du kan också uppdatera en JEA-konfiguration genom att registrera en uppdaterad sessionskonfigurationsfil med samma slutpunktsnamn.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Varning
Om du avregistrerar en JEA-slutpunkt startas WinRM-tjänsten om. Detta avbryter de flesta pågående fjärrhanteringsåtgärder, inklusive andra PowerShell-sessioner, WMI-anrop och vissa hanteringsverktyg. Avregistrera endast PowerShell-slutpunkter under planerade underhållsperioder.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för