Настройка управления доступом и разрешениями на уровне пользователей

  • Статья
  • Применяется к:
    ✅ Windows Admin Center, ✅ Windows Admin Center Preview

Если вы еще не сделали этого, ознакомьтесь с параметрами управления доступом пользователей в Windows Admin Center.

Примечание.

В средах рабочей группы или в доменах, не являющихся доверенными, доступ на основе групп в Windows Admin Center не поддерживается.

Определения ролей доступа к шлюзу

Существует две роли для доступа к службе шлюза Windows Admin Center.

Пользователи шлюза могут подключаться к службе шлюза Windows Admin Center, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для аутентификации шлюза.

Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей на шлюзе. Просматривать и настраивать параметры доступа в Windows Admin Center могут только администраторы шлюза. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза Windows Admin Center.

Существует также дополнительная роль, связанная с управлением CredSSP:

Администраторы Центра администрирования Windows CredSSP зарегистрированы в конечной точке Windows Admin Center CredSSP и имеют разрешения на выполнение предопределенных операций CredSSP. Эта группа особенно полезна для установки Windows Admin Center в классическом режиме, где по умолчанию предоставляется только учетная запись пользователя, установленная в Windows Admin Center.

Примечание.

Доступ к шлюзу не подразумевает доступ к управляемым серверам, отображаемым шлюзом. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (через переданные учетные данные Windows или учетные данные, предоставленные в сеансе Windows Admin Center с помощью действия Управлять как) с административным доступом к этому целевому серверу. Это связано с тем, что большинству средств администрирования Windows требуются административные разрешения.

Active Directory или группы локальных компьютеров

По умолчанию для управления доступом к шлюзу используются Active Directory или группы локальных компьютеров. При наличии домена Active Directory доступом пользователей и администраторов шлюза можно управлять из интерфейса Windows Admin Center.

На вкладке "Пользователи" вы можете управлять доступом к Windows Admin Center в качестве пользователя шлюза. По умолчанию, и если не указать группу безопасности, доступ будет иметь любой пользователь, обращающийся к URL-адресу шлюза. После добавления одной или нескольких групп безопасности в список пользователей доступ будет ограничен членами этих групп.

Если вы не используете домен Active Directory в вашей среде, доступ управляется локальными группами "Пользователи и администраторы " на компьютере шлюза Windows Admin Center.

Проверка подлинности смарт-карты

Вы можете принудительно применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карты. После добавления группы безопасности на основе смарт-карты пользователь может получить доступ к службе Windows Admin Center, только если он является членом любой группы безопасности и группы смарт-карты, включенной в список пользователей.

На вкладке "Администраторы" вы можете управлять доступом к Windows Admin Center в качестве администратора шлюза. Локальная группа администраторов на компьютере всегда будет иметь полный доступ администратора и ее не можно удалить из списка. Добавляя группы безопасности, вы даете членам этих групп разрешения на изменение параметров шлюза Windows Admin Center. Список администраторов поддерживает проверку подлинности смарт-карты такую же, как и для списка пользователей: с условием AND и для группы безопасности и для группы смарт-карт.

Microsoft Entra ID

Если в вашей организации используется идентификатор Microsoft Entra, можно добавить дополнительный уровень безопасности в Центр администрирования Windows, требуя проверки подлинности Microsoft Entra для доступа к шлюзу. Чтобы получить доступ к Windows Admin Center, учетная запись Windows пользователя также должна иметь доступ к серверу шлюза (даже если используется проверка подлинности Microsoft Entra). При использовании идентификатора Microsoft Entra вы управляете разрешениями на доступ пользователей и администраторов Windows Admin Center из портал Azure, а не в пользовательском интерфейсе Windows Admin Center.

Доступ к Центру администрирования Windows при включенной проверке подлинности Microsoft Entra

В зависимости от используемого браузера некоторые пользователи, обращающиеся к Центру администрирования Windows с настроенной проверкой подлинности Microsoft Entra, получат дополнительный запрос из браузера , в котором они должны предоставить учетные данные учетной записи Windows для компьютера, на котором установлен Центр администрирования Windows. После ввода этих сведений пользователи получат дополнительный запрос проверки подлинности Microsoft Entra, который требует учетных данных учетной записи Azure, предоставленной в приложении Microsoft Entra в Azure.

Примечание.

Пользователям, у которых у учетной записи Windows есть права администратора на компьютере шлюза, не будет предложено выполнить проверку подлинности Microsoft Entra.

Настройка проверки подлинности Microsoft Entra для Предварительной версии Windows Admin Center

Перейдите в Раздел "Доступ к параметрам>Центра администрирования Windows" и используйте переключатель переключателя, чтобы включить параметр "Использовать идентификатор Microsoft Entra для добавления уровня безопасности в шлюз". Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это в данный момент.

По умолчанию все члены клиента Microsoft Entra имеют доступ к службе шлюза Windows Admin Center. Доступ администратора к шлюзу Windows Admin Center имеют только локальные администраторы на компьютере шлюза. Обратите внимание, что права локальных администраторов на компьютере шлюза не могут быть ограничены. Локальные администраторы могут делать что-либо независимо от того, используется ли идентификатор Microsoft Entra для проверки подлинности.

Если вы хотите предоставить определенным пользователям Microsoft Entra или группам доступа пользователя шлюза или администратора шлюза к службе Windows Admin Center, необходимо выполнить следующие действия.

  1. Перейдите к приложению Microsoft Admin Center Microsoft Entra в портал Azure с помощью гиперссылки, предоставленной в параметрах доступа. Обратите внимание, что эта гиперссылка доступна только в том случае, если включена проверка подлинности Microsoft Entra.
    • Вы также можете найти приложение в портал Azure, перейдя в приложения> Microsoft Entra ID>Enterprise и выполнив поиск в WindowsAdminCenter (приложение Microsoft Entra будет называться именем> шлюза WindowsAdminCenter).< Если результаты поиска не отображаются, убедитесь, что для всех приложений задано значение Show, состояние приложения установлено в любом случае и нажмите кнопку "Применить", а затем попробуйте выполнить поиск. Найдя приложение, перейдите в раздел Пользователи и группы
  2. На вкладке "Свойства" задайте для параметра Требуется назначение пользователей значение "Да". После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы.
  3. На вкладке "Пользователи и группы" выберите Добавить пользователя. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.

После включения проверки подлинности Microsoft Entra служба шлюза перезапускается и необходимо обновить браузер. В любое время вы можете обновить доступ пользователей для приложения SME Microsoft Entra в портал Azure.

Пользователям будет предложено войти с помощью удостоверения Microsoft Entra при попытке получить доступ к URL-адресу шлюза Windows Admin Center. Помните, что пользователи также должны быть членами локальных "Пользователей" на сервере шлюза для доступа к центру администрирования Windows Admin Center.

Пользователи и администраторы могут просматривать учетную запись, вошедшего в систему, а также выйти из этой учетной записи Microsoft Entra на вкладке "Учетная запись" параметров Центра администрирования Windows.

Настройка проверки подлинности Microsoft Entra для Windows Admin Center

Чтобы настроить проверку подлинности Microsoft Entra, необходимо сначала зарегистрировать шлюз в Azure (это необходимо сделать только один раз для шлюза Windows Admin Center). На этом шаге создается приложение Microsoft Entra, из которого можно управлять доступом администратора шлюза и пользователя шлюза.

Если вы хотите предоставить определенным пользователям Microsoft Entra или группам доступа пользователя шлюза или администратора шлюза к службе Windows Admin Center, необходимо выполнить следующие действия.

  1. Перейдите в приложение SME Microsoft Entra в портал Azure.
    • При выборе параметра "Изменить управление доступом" и выбрать идентификатор Microsoft Entra из параметров доступа к Windows Admin Center, можно использовать гиперссылку, указанную в пользовательском интерфейсе, для доступа к приложению Microsoft Entra в портал Azure. Эта гиперссылка также доступна в параметрах Access после выбора сохранения и выбора идентификатора Microsoft Entra в качестве поставщика удостоверений управления доступом.
    • Кроме того, вы можете найти приложение в портал Azure, перейдя в приложения>Microsoft Entra ID>Enterprise Все приложения и выполнив поиск SME (приложение Microsoft Entra будет называться шлюзом> SME).< Если результаты поиска не отображаются, убедитесь, что для всех приложений задано значение Show, состояние приложения установлено в любом случае и нажмите кнопку "Применить", а затем попробуйте выполнить поиск. Найдя приложение, перейдите в раздел Пользователи и группы
  2. На вкладке "Свойства" задайте для параметра Требуется назначение пользователей значение "Да". После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы.
  3. На вкладке "Пользователи и группы" выберите Добавить пользователя. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза.

После сохранения управления доступом Microsoft Entra в области управления доступом "Изменить" служба шлюза перезапускается и необходимо обновить браузер. Вы можете обновить доступ пользователей для приложения Microsoft Admin Center Microsoft Entra в портал Azure в любое время.

Пользователям будет предложено войти с помощью удостоверения Microsoft Entra при попытке получить доступ к URL-адресу шлюза Windows Admin Center. Помните, что пользователи также должны быть членами локальных "Пользователей" на сервере шлюза для доступа к центру администрирования Windows Admin Center.

С помощью вкладки Azure общих параметров Windows Admin Center пользователи и администраторы могут просматривать учетную запись, вошедшего в систему, а также выйти из этой учетной записи Microsoft Entra.

Условный доступ и многофакторная проверка подлинности

Одним из преимуществ использования идентификатора Microsoft Entra в качестве дополнительного уровня безопасности для управления доступом к шлюзу Windows Admin Center является использование мощных функций безопасности Microsoft Entra ID, таких как условный доступ и многофакторная проверка подлинности.

Дополнительные сведения о настройке условного доступа с помощью идентификатора Microsoft Entra.

Настройка единого входа

Единый вход при развертывании в качестве службы в Windows Server

После установки Windows Admin Center в Windows 10 все готово к использованию единого входа. Однако если вы собираетесь использовать Windows Admin Center в Windows Server, то перед использованием единого входа необходимо настроить в среде некоторую форму делегирования Kerberos. Делегирование настраивает компьютер шлюза как доверенный для делегирования к целевому узлу.

Используйте следующий пример PowerShell, чтобы настроить ограниченное делегирование на основе ресурсов в вашей среде. В этом примере показано, как настроить Windows Server [node01.contoso.com] для принятия делегирования из шлюза Windows Admin Center [wac.contoso.com] в домене contoso.com.

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount (Get-ADComputer wac)

Чтобы удалить эту связь, выполните следующий командлет:

Set-ADComputer -Identity (Get-ADComputer node01) -PrincipalsAllowedToDelegateToAccount $null

Управление доступом на основе ролей (RBAC)

Управление доступом на основе ролей позволяет предоставлять пользователям ограниченный доступ к компьютеру, не делая их полными локальными администраторами. Role-based access control (Управление доступом на основе ролей)

Настройка RBAC состоит из двух шагов: включение поддержки на целевых компьютерах и назначение пользователей соответствующим ролям.

Совет

Убедитесь, что у вас есть права локального администратора на компьютерах, для которых вы настраиваете поддержку управления доступом на основе ролей.

Применение управления доступом на основе ролей к одному компьютеру

Модель развертывания на одном компьютере идеально подходит для простых сред, в которых управление нужно представить только нескольким компьютерам. Настройка компьютера с поддержкой управления доступом на основе ролей приведет к следующим изменениям:

  • Модули PowerShell с функциями, необходимыми для Windows Admin Center, будут установлены на системный диск в C:\Program Files\WindowsPowerShell\Modules. Все модули будут начинаться с Microsoft.Sme
  • Desired State Configuration выполняет одноразовую настройку для конфигурации конечной точки профиля "Достаточно для администрирования" на компьютере с именем Microsoft.Sme.PowerShell. Эта конечная точка определяет три роли, используемые Windows Admin Center, и будет работать в качестве временного локального администратора при подключении пользователя к нему.
  • Для управления доступом пользователей к каким ролям будут назначены три новых локальных группы:
    • Администраторы Windows Admin Center
    • Администраторы Hyper-V Windows Admin Center
    • Читатели Windows Admin Center

Примечание.

Управление доступом на основе ролей не поддерживается для управления кластерами (т. е. функции, зависящие от RBAC, например CredSSP, завершаются ошибкой).

Чтобы включить поддержку управления доступом на основе ролей на одном компьютере, выполните следующие действия.

  1. Откройте Windows Admin Center и подключитесь к компьютеру, который нужно настроить для управления доступом на основе ролей, используя на целевом компьютере учетную запись с правами локального администратора.
  2. В средстве обзора выберите "Параметры>управления доступом на основе ролей".
  3. Выберите "Применить" в нижней части страницы, чтобы включить поддержку управления доступом на основе ролей на целевом компьютере. Процесс приложения включает копирование скриптов PowerShell и вызов конфигурации (с помощью Desired State Configuration PowerShell) на целевом компьютере. Выполнение может занять до 10 минут, и приведет к перезапуску WinRM. Это приведет к временному отключению пользователей Windows Admin Center, PowerShell и WMI.
  4. Обновите страницу, чтобы проверить состояние управления доступом на основе ролей. Когда оно будет готово к использованию, состояние изменится на Применено.

После применения конфигурации вы можете назначить пользователям приведенные ниже роли.

  1. Откройте средство Локальные пользователи и группы и перейдите на вкладку Группы.
  2. Выберите группу Читатели Windows Admin Center.
  3. В области сведений в нижней части экрана выберите "Добавить пользователя" и введите имя пользователя или группы безопасности, которая должна иметь доступ только для чтения к серверу через Windows Admin Center. Пользователи и группы могут поступать с локального компьютера или домена Active Directory.
  4. Повторите шаги 2-3 для групп Администраторы Hyper-V Windows Admin Center и Администраторы Windows Admin Center.

Вы также можете последовательно заполнять эти группы по всему домену, настраивая объект групповой политики с помощью параметра Restricted Groups Policy Setting (Настройка политики групп с ограниченным доступом).

Применение управления доступом на основе ролей к нескольким компьютерам

При развертывании на крупном предприятии вы можете использовать существующие средства автоматизации для распространения функции управления доступом на основе ролей на компьютеры, скачав пакет конфигурации со шлюза Windows Admin Center. Пакет конфигурации предназначен для использования с Desired State Configuration PowerShell, но его можно адаптировать для работы с предпочтительным решением для автоматизации.

Скачивание конфигурации управления доступом на основе ролей

Чтобы загрузить пакет конфигурации управления доступом на основе ролей, необходимо иметь доступ к Windows Admin Center и командной строке PowerShell.

Если вы используете шлюз Windows Admin Center в Windows Server в режиме службы, используйте следующую команду, чтобы скачать пакет конфигурации. Не забудьте обновить адрес шлюза, указав подходящий для своей среды.

$WindowsAdminCenterGateway = 'https://windowsadmincenter.contoso.com'
Invoke-RestMethod -Uri "$WindowsAdminCenterGateway/api/nodes/all/features/jea/endpoint/export" -Method POST -UseDefaultCredentials -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

Если вы используете шлюз Windows Admin Center на компьютере с Windows 10, выполните следующую команду:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object Subject -eq 'CN=Windows Admin Center Client' | Select-Object -First 1
Invoke-RestMethod -Uri "https://localhost:6516/api/nodes/all/features/jea/endpoint/export" -Method POST -Certificate $cert -OutFile "~\Desktop\WindowsAdminCenter_RBAC.zip"

При развертывании ZIP-архива вы увидите следующую структуру папок:

  • InstallJeaFeatures.ps1
  • JustEnoughAdministration (каталог)
  • Модули (каталог)
    • Microsoft.SME.* (каталоги)

Чтобы настроить поддержку управления доступом на основе ролей на узле, необходимо выполнить следующие действия.

  1. Скопируйте модули JustEnoughAdministration и Microsoft.SME.* в каталог модулей PowerShell на целевом компьютере. Как правило, они расположены в C:\Program Files\WindowsPowerShell\Modules.
  2. Обновите файл InstallJeaFeature.ps1 в соответствии с требуемой конфигурацией для конечной точки RBAC.
  3. Выполните компиляцию InstallJeaFeature.ps1 ресурса DSC.
  4. Разверните конфигурацию DSC на всех компьютерах, чтобы применить ее.

В следующем разделе объясняется, как это сделать с помощью удаленного взаимодействия PowerShell.

Развертывание на нескольких компьютерах

Чтобы развернуть конфигурацию, загруженную на несколько компьютеров, необходимо обновить скрипт InstallJeaFeatures.ps1, чтобы включить соответствующие группы безопасности для среды, скопировать файлы на каждый из компьютеров и вызвать скрипты конфигурации. Для этого можно использовать предпочтительные средства автоматизации, однако в этой статье основное внимание уделяется чистому подходу на основе PowerShell.

По умолчанию скрипт конфигурации будет создавать локальные группы безопасности на компьютере, чтобы управлять доступом к каждой из ролей. Это подходит для компьютеров, присоединенных к рабочей группе и доменам, но если развертывание выполняется в среде только для домена, вам может потребоваться напрямую связать группу безопасности домена с каждой ролью. Чтобы обновить конфигурацию для использования групп безопасности домена, откройте InstallJeaFeatures.ps1 и внесите следующие изменения:

  1. Удалите из файла ресурсы группы 3:
    1. "Группа MS-Readers-Group"
    2. "Группа MS-Hyper-V-Administrators-Group"
    3. "Группа MS-Administrators-Group"
  2. Удаление ресурсов группы 3 из свойства JeaEndpoint DependsOn
    1. "[Group]MS-Readers-Group"
    2. "[Group]MS-Hyper-V-Administrators-Group"
    3. "[Group]MS-Administrators-Group"
  3. Измените имена групп в свойстве JeaEndpoint RoleDefinitions на нужные группы безопасности. Например, если у вас есть группа безопасности CONTOSO\MyTrustedAdmins, которой нужно назначить доступ с ролью администраторов Windows Admin Center, измените '$env:COMPUTERNAME\Windows Admin Center Administrators' на 'CONTOSO\MyTrustedAdmins'. Три строки, которые необходимо обновить:
    1. '$env:COMPUTERNAME\Windows Admin Center Administrators'
    2. '$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators'
    3. '$env:COMPUTERNAME\Windows Admin Center Readers'

Примечание.

Обязательно используйте уникальные группы безопасности для каждой роли. Если одна и та же группа безопасности назначена нескольким ролям, настройка завершится ошибкой.

Затем в конце файла InstallJeaFeatures.ps1 добавьте в нижнюю часть скрипта следующие строки PowerShell:

Copy-Item "$PSScriptRoot\JustEnoughAdministration" "$env:ProgramFiles\WindowsPowerShell\Modules" -Recurse -Force
$ConfigData = @{
    AllNodes = @()
    ModuleBasePath = @{
        Source = "$PSScriptRoot\Modules"
        Destination = "$env:ProgramFiles\WindowsPowerShell\Modules"
    }
}
InstallJeaFeature -ConfigurationData $ConfigData | Out-Null
Start-DscConfiguration -Path "$PSScriptRoot\InstallJeaFeature" -JobName "Installing JEA for Windows Admin Center" -Force

Наконец, вы можете скопировать папку с модулями, ресурсом DSC и конфигурацией на каждый целевой узел и запустить скрипт InstallJeaFeature.ps1. Чтобы сделать это удаленно с рабочей станции администратора, можно выполнить следующие команды:

$ComputersToConfigure = 'MyServer01', 'MyServer02'

$ComputersToConfigure | ForEach-Object {
    $session = New-PSSession -ComputerName $_ -ErrorAction Stop
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC\JustEnoughAdministration\" -Destination "$env:ProgramFiles\WindowsPowerShell\Modules\" -ToSession $session -Recurse -Force
    Copy-Item -Path "~\Desktop\WindowsAdminCenter_RBAC" -Destination "$env:TEMP\WindowsAdminCenter_RBAC" -ToSession $session -Recurse -Force
    Invoke-Command -Session $session -ScriptBlock { Import-Module JustEnoughAdministration; & "$env:TEMP\WindowsAdminCenter_RBAC\InstallJeaFeature.ps1" } -AsJob
    Disconnect-PSSession $session
}