Предварительные условия JEA

Just Enough Administration — это функция, входящая в состав PowerShell 5.0 и более поздних версий. В этой статье описываются предварительные условия, которые нужно выполнить, чтобы начать работу с JEA.

Определение установленной версии PowerShell

Чтобы узнать, какая версия PowerShell установлена на компьютере, проверьте переменную $PSVersionTable в командной строке Windows PowerShell.

$PSVersionTable.PSVersion
Major  Minor  Build  Revision
-----  -----  -----  --------
5      1      14393  1000

JEA доступна с PowerShell 5.0 и более поздними версиями. Для полной функциональности рекомендуется установить последнюю версию PowerShell, доступную для вашей системы. В следующей таблице описывается доступность JEA на Windows Server:

операционная система сервера Доступность JEA
Windows Server 2016+ Предустанавливается
Windows Server 2012 R2 Полный набор функций с WMF 5.1
Windows Server 2012 Полный набор функций с WMF 5.1
Windows Server 2008 R2 Ограниченная функциональность1 с WMF 5.1

Вы можете также использовать JEA на домашнем или рабочем компьютере:

клиентская операционная система Доступность JEA
Windows 10 1607+ Предустанавливается
Windows 10 1603, 1511 Предустанавливается, с неполной функциональностью2
Windows 10 1507 Недоступно
Windows 8, 8.1 Полный набор функций с WMF 5.1
Windows 7 Ограниченная функциональность1 с WMF 5.1
  • 1 В JEA невозможно настроить использование групповых управляемых учетных записей служб в операционных системах Windows Server 2008 R2 или Windows 7. Виртуальные учетные записи и другие возможности JEA поддерживаются.

  • 2 Следующие функции JEA не поддерживаются в Windows 10 версии 1511 и 1603.

    • Запуск от имени групповой управляемой учетной записи службы.
    • Правила условного доступа в конфигурациях сеанса.
    • Диск пользователя.
    • Предоставление разрешений для учетных записей локальных пользователей.

    Для обеспечения поддержки этих функций выполните обновление Windows до версии 1607 (юбилейное обновление) или более поздней.

Установка Windows Management Framework

Если вы используете более старую версию PowerShell, может понадобиться установить в системе последнее обновление Windows Management Framework (WMF). Дополнительные сведения см. в документации по WMF.

Рекомендуется проверить совместимость рабочей нагрузки с WMF до обновления всех серверов.

Пользователям Windows 10 нужно установить последние обновления компонентов для получения текущей версии Windows PowerShell.

Включение удаленного взаимодействия PowerShell

Удаленное взаимодействие PowerShell предоставляет собой основу, на которой построена функция JEA. Перед использованием JEA необходимо включить удаленное взаимодействие PowerShell и должным образом защитить его в своей системе. Дополнительные сведения см. в статье Безопасность WinRM.

Удаленное взаимодействие PowerShell включено по умолчанию в Windows Server 2012 и более поздних версиях. Удаленное взаимодействие PowerShell можно включить, выполнив приведенную ниже команду в окне PowerShell с повышенными привилегиями.

Enable-PSRemoting

Включение ведения журнала для блока сценариев и модуля PowerShell (необязательно)

Указанные ниже действия позволят включить ведение журнала действий PowerShell в вашей системе. Ведение журнала модуля PowerShell не является обязательным для JEA, однако рекомендуется включить его, чтобы выполняемые пользователями команды регистрировались в центральном расположении.

Политику ведения журнала модуля PowerShell можно настроить с помощью групповой политики.

  1. Откройте редактор локальных групповых политик на рабочей станции или объект групповой политики в консоли управления групповыми политиками на контроллере домена Active Directory.
  2. Перейдите к конфигурациям компьютера\Администратор istrative templates\Windows Components\Windows PowerShell
  3. Дважды щелкните пункт Включить ведение журнала модулей.
  4. Нажмите кнопку Включено.
  5. В разделе "Параметры" нажмите кнопку Показать рядом с именами модулей.
  6. Введите * во всплывающем окне, чтобы регистрировать в журнале команды из всех модулей.
  7. Нажмите кнопку ОК для применения политики.
  8. Дважды щелкните Включить регистрацию блоков сценариев PowerShell.
  9. Нажмите кнопку Включено.
  10. Нажмите кнопку ОК для применения политики.
  11. Запустите gpupdate или дождитесь обработки обновленной политики и применения этих параметров групповой политикой (только на компьютерах, присоединенных к домену).

С помощью групповой политики также можно включить запись действий PowerShell в масштабе всей системы.

Следующие шаги

См. также