註冊 JEA 組態

  • 發行項

建立角色功能和會話組態檔之後,最後一個步驟是註冊 JEA 端點。 向系統註冊 JEA 端點可讓端點可供使用者和自動化引擎使用。

單一計算機設定

針對小型環境,您可以使用 Register-PSSessionConfiguration Cmdlet 來註冊會話組態檔,以部署 JEA。

開始之前,請確定已符合下列必要條件:

  • 已建立一或多個角色,並放在 PowerShell 模組的 RoleCapabilities 資料夾中。
  • 已建立及測試會話組態檔。
  • 註冊 JEA 組態的使用者具有系統上的系統管理員許可權。
  • 您已選取 JEA 端點的名稱。

當使用者使用 JEA 連線到系統時,需要 JEA 端點的名稱。 Get-PSSessionConfiguration Cmdlet 會列出系統上端點的名稱。 開頭 microsoft 的端點通常會隨附於 Windows。 端點 microsoft.powershell 是連線到遠端 PowerShell 端點時所使用的預設端點。

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

執行下列命令來註冊端點。

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

警告

上一個命令會重新啟動系統上的 WinRM 服務。 這會終止所有 PowerShell 遠端工作階段和任何進行中的 DSC 設定。 建議您先讓生產機器離線再執行命令,以避免中斷商務作業。

註冊之後,您就可以 使用 JEA。 您可以隨時刪除工作階段組態檔。 在端點註冊之後,不會使用組態檔。

使用 DSC 的多電腦設定

在多部計算機上部署 JEA 時,最簡單的部署模型會使用 JEA Desired 狀態設定 (DSC) 資源,在每部電腦上快速且一致地部署 JEA。

若要使用 DSC 部署 JEA,請確定符合下列必要條件:

  • 已撰寫一或多個角色功能,並新增至 PowerShell 模組。
  • 包含角色的PowerShell模組會儲存在每部電腦可存取的 (唯讀) 檔案共用上。
  • 已判斷會話設定的 設定。 使用 JEA DSC 資源時,您不需要建立工作階段組態檔。
  • 您有認證可允許每部電腦上的系統管理動作,或存取用來管理機器的 DSC 提取伺服器。
  • 您已下載 JEA DSC 資源

在目標機器或提取伺服器上,為您的 JEA 端點建立 DSC 組態。 在此設定中,JustEnough 管理員 istration DSC 資源會定義會話組態檔,而 [檔案] 資源會從檔案共享複製角色功能。

您可以使用 DSC 資源來設定下列屬性:

  • 角色定義
  • 虛擬帳戶群組
  • 群組管理的服務帳戶名稱
  • 文字記錄目錄
  • 使用者磁碟驅動器
  • 條件式存取規則
  • JEA 工作階段的啟動文稿

DSC 組態中每個屬性的語法都與 PowerShell 會話組態檔一致。

以下是一般伺服器維護模組的範例 DSC 組態。 它假設包含角色功能的有效 PowerShell 模組位於檔案共用上 \\myfileshare\JEA

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

接下來,直接叫 用本機組態管理員 或更新 提取伺服器設定,以在系統上套用設定。

DSC 資源也可讓您取代預設 的 Microsoft.PowerShell 端點。 取代時,資源會自動註冊名為 Microsoft.PowerShell.Restricted 的備份端點。 備份端點具有預設的 WinRM ACL,可讓遠端管理使用者和本機 管理員 istrators 群組成員存取它。

取消註冊 JEA 組態

Unregister-PSSessionConfiguration Cmdlet 會移除 JEA 端點。 取消註冊 JEA 端點可防止新的用戶在系統上建立新的 JEA 會話。 它也可讓您使用相同的端點名稱重新註冊更新的會話組態檔,藉此更新 JEA 設定。

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

警告

取消註冊 JEA 端點會導致 WinRM 服務重新啟動。 這會中斷進行中的大部分遠端管理作業,包括其他 PowerShell 工作階段、WMI 調用,以及一些管理工具。 只在計劃性維護期間取消註冊 PowerShell 端點。

下一步

測試 JEA 端點