Registrera JEA-konfigurationer

  • Artikel
  • 3 minuter för att läsa

När du har skapat rollfunktionerna och sessionskonfigurationsfilen är det sista steget att registrera JEA-slutpunkten. Genom att registrera JEA-slutpunkten med systemet blir slutpunkten tillgänglig för användning av användare och automatiseringsmotorer.

Konfiguration av en enskild dator

För små miljöer kan du distribuera JEA genom att registrera sessionskonfigurationsfilen med hjälp av cmdleten Register-PSSessionConfiguration .

Kontrollera att följande krav har uppfyllts innan du börjar:

  • En eller flera roller har skapats och placerats i mappen RoleCapabilities i en PowerShell-modul.
  • En sessionskonfigurationsfil har skapats och testats.
  • Användaren som registrerar JEA-konfigurationen har administratörsbehörighet i systemet.
  • Du har valt ett namn för JEA-slutpunkten.

Namnet på JEA-slutpunkten krävs när användare ansluter till systemet med JEA. Cmdleten Get-PSSessionConfiguration visar namnen på slutpunkterna i ett system. Slutpunkter som börjar med microsoft levereras vanligtvis med Windows. Slutpunkten microsoft.powershell är standardslutpunkten som används när du ansluter till en powershell-fjärrslutpunkt.

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Kör följande kommando för att registrera slutpunkten.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Varning

Det tidigare kommandot startar om WinRM-tjänsten i systemet. Detta avslutar alla PowerShell-fjärrkommunikationssessioner och eventuella pågående DSC-konfigurationer. Vi rekommenderar att du tar produktionsdatorer offline innan du kör kommandot för att undvika att störa verksamheten.

Efter registreringen är du redo att använda JEA. Du kan när som helst ta bort sessionskonfigurationsfilen. Konfigurationsfilen används inte efter registreringen av slutpunkten.

Konfiguration med flera datorer med DSC

När du distribuerar JEA på flera datorer använder den enklaste distributionsmodellen JEA Desired State Configuration-resursen (DSC) för att snabbt och konsekvent distribuera JEA på varje dator.

Om du vill distribuera JEA med DSC kontrollerar du att följande krav är uppfyllda:

  • En eller flera rollfunktioner har skapats och lagts till i en PowerShell-modul.
  • PowerShell-modulen som innehåller rollerna lagras på en (skrivskyddad) filresurs som är tillgänglig för varje dator.
  • Inställningar för sessionskonfigurationen har fastställts. Du behöver inte skapa en sessionskonfigurationsfil när du använder JEA DSC-resursen.
  • Du har autentiseringsuppgifter som tillåter administrativa åtgärder på varje dator eller åtkomst till DSC-hämtningsservern som används för att hantera datorerna.
  • Du har laddat ned JEA DSC-resursen.

Skapa en DSC-konfiguration för JEA-slutpunkten på en måldator eller en pull-server. I den här konfigurationen definierar JustEnoughAdministration DSC-resursen sessionskonfigurationsfilen och filresursen kopierar rollfunktionerna från filresursen.

Följande egenskaper kan konfigureras med hjälp av DSC-resursen:

  • Rolldefinitioner
  • Virtuella kontogrupper
  • Namn på grupphanterat tjänstkonto
  • Avskriftskatalog
  • Användarenhet
  • Regler för villkorsstyrd åtkomst
  • Startskript för JEA-sessionen

Syntaxen för var och en av dessa egenskaper i en DSC-konfiguration är konsekvent med PowerShell-sessionskonfigurationsfilen.

Nedan visas ett exempel på en DSC-konfiguration för en allmän serverunderhållsmodul. Det förutsätter att en giltig PowerShell-modul som innehåller rollfunktioner finns på filresursen \\myfileshare\JEA .

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Därefter tillämpas konfigurationen på ett system genom att direkt anropa den lokala Configuration Manager eller uppdatera pull-serverkonfigurationen.

Med DSC-resursen kan du också ersätta standardslutpunkten Microsoft.PowerShell . När den ersätts registrerar resursen automatiskt en slutpunkt för säkerhetskopiering med namnet Microsoft.PowerShell.Restricted. Slutpunkten för säkerhetskopiering har standard-WinRM-ACL som gör att användare av fjärrhantering och lokala administratörer kan komma åt den.

Avregistrera JEA-konfigurationer

Cmdleten Unregister-PSSessionConfiguration tar bort en JEA-slutpunkt. Om du avregistrerar en JEA-slutpunkt förhindras nya användare från att skapa nya JEA-sessioner i systemet. Du kan också uppdatera en JEA-konfiguration genom att registrera om en uppdaterad sessionskonfigurationsfil med samma slutpunktsnamn.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Varning

Om du avregistrerar en JEA-slutpunkt startas WinRM-tjänsten om. Detta avbryter de flesta pågående fjärrhanteringsåtgärder, inklusive andra PowerShell-sessioner, WMI-anrop och vissa hanteringsverktyg. Avregistrera endast PowerShell-slutpunkter under planerade underhållsperioder.

Nästa steg

Testa JEA-slutpunkten