Параметры доступа пользователей в Windows Admin Center
При развертывании в Windows Server Windows Admin Center предоставляет централизованную точку управления для серверной среды. Контролируя доступ к Windows Admin Center, вы можете повысить безопасность своего пространства управления.
Примечание.
Центр администрирования Windows в качестве приложения зависит от операционной системы и инфраструктуры для обеспечения безопасности. Центр администрирования Windows не реализует, отслеживает или применяет границу безопасности.
Роли доступа к шлюзу
Windows Admin Center определяет две роли для доступа к службе шлюза: пользователи шлюза и администраторы шлюза.
Примечание.
Доступ к шлюзу не подразумевает доступ к целевым серверам, видимым для шлюза. Для управления целевым сервером пользователь должен подключиться с учетными данными, имеющими права администратора на целевом сервере.
Пользователи шлюза могут подключаться к службе шлюза Windows Admin Center, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для шлюза.
Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей шлюза.
Примечание.
Если в Windows Admin Center не определены группы доступа, роли будут отражать доступ учетной записи Windows к серверу шлюза.
Настройка доступа пользователей и администраторов шлюза в Windows Admin Center.
Параметры поставщика удостоверений
Администраторы шлюза могут выбрать один из следующих элементов:
- Active Directory или группы локальных компьютеров.
- Идентификатор Microsoft Entra в качестве поставщика удостоверений для Windows Admin Center
Проверка подлинности смарт-карты
При использовании Active Directory или групп локальных компьютеров в качестве поставщика удостоверений можно принудительно выполнить проверку подлинности смарт-карты, требуя, чтобы пользователи, которые обращаются к Windows Admin Center, были членами дополнительных групп безопасности на основе смарт-карты. Настройка проверки подлинности смарт-карты в Windows Admin Center.
Условный доступ и многофакторная проверка подлинности
Требуя проверки подлинности Microsoft Entra для шлюза, можно использовать дополнительные функции безопасности, такие как условный доступ и многофакторная проверка подлинности, предоставляемые идентификатором Microsoft Entra. Дополнительные сведения о настройке условного доступа с помощью идентификатора Microsoft Entra.
Управление доступом на основе ролей
По умолчанию пользователям необходимо иметь права локального администратора на компьютерах, которыми требуется управлять с помощью Windows Admin Center. Это позволит им удаленно подключаться к компьютеру и обеспечить наличие достаточных разрешений для просмотра и изменения системных параметров. Однако некоторым пользователям не нужен неограниченный доступ к компьютеру для выполнения заданий. В Windows Admin Center можно использовать управление доступом на основе ролей, чтобы предоставить таким пользователям ограниченный доступ к компьютеру, не делая их полными локальными администраторами.
Управление доступом на основе ролей в Windows Admin Center выполняется через настройку каждого управляемого сервера с помощью конечной точки Just Enough Administration PowerShell. Эта конечная точка определяет роли, в том числе аспекты системы, которыми каждой роли разрешено управлять, и пользователей, которым назначена роль. Когда пользователь подключается к конечной точке с ограниченными правами, создается временная учетная запись локального администратора для управления системой от ее имени. Это гарантирует, что даже средствами, которые не имеют собственной модели делегирования, по-прежнему можно управлять с помощью Windows Admin Center. Временная учетная запись автоматически удаляется, когда пользователь прекращает управление компьютером с помощью Windows Admin Center.
Когда пользователь подключается к компьютеру, настроенному с помощью управления доступом на основе ролей, Windows Admin Center сначала проверяет, является ли он локальным администратором. Если это подтверждается, пользователь получает полный доступ к Windows Admin Center без ограничений. В противном случае Windows Admin Center проверит, относится ли пользователь к какой-либо предварительно определенной роли. Пользователь имеет ограниченный доступ, если он имеет роль Windows Admin Center, но не является полным администратором. Наконец, если пользователь не является ни администратором, ни членом роли, ему будет отказано в доступе для управления компьютером.
Управление доступом на основе ролей предоставляется для решений диспетчера сервера и отказоустойчивого кластера.
Доступные роли
Windows Admin Center поддерживает следующие роли конечных пользователей.
Имя роли | предполагаемое использование; |
---|---|
Администраторы | Позволяет пользователям использовать большинство функций Windows Admin Center без предоставления доступа к удаленному рабочему столу или PowerShell. Эта роль хорошо подходит для сценариев "сервер перехода", в которых необходимо ограничить управление точек входа на компьютере. |
Читатели | Позволяет пользователям просматривать сведения и параметры на сервере, но не вносить изменения. |
Администраторы Hyper-V | Позволяет пользователям вносить изменения в виртуальные машины и коммутаторы Hyper-V, но ограничивает другие возможности доступом только для чтения. |
Следующие встроенные расширения имеют ограниченную функциональность, если пользователь подключается с ограниченным доступом:
- Файлы (отправка или скачивание файлов невозможна).
- PowerShell (недоступно).
- Удаленный рабочий стол (недоступно).
- Реплика хранилища (недоступно).
В настоящее время вы не можете создавать пользовательские роли для организации, но можете выбрать пользователей, которым будет предоставлен доступ к каждой роли.
Подготовка к управлению доступом на основе ролей
Чтобы использовать временные локальные учетные записи, каждый целевой компьютер должен быть настроен, чтобы поддерживать управление доступом на основе ролей в Windows Admin Center. Процесс настройки включает в себя установку сценариев PowerShell и конечной точки Just Enough Administration на компьютере с помощью Desired State Configuration.
Если есть только несколько компьютеров, можно легко применить конфигурацию по отдельности к каждому из них с помощью страницы управления доступом на основе ролей в Windows Admin Center. Если вы настраиваете управление доступом на основе ролей на отдельном компьютере, создаются локальные группы безопасности для управления доступом по каждой роли. Вы можете предоставить доступ пользователям или другим группам безопасности, добавив их в качестве членов групп безопасности ролей.
Для корпоративного развертывания на многих компьютерах можно скачать сценарий конфигурации из шлюза и распространить его на компьютеры с помощью опрашивающего сервера Desired State Configuration, службы автоматизации Azure или предпочтительного инструмента управления.