Registrieren von JEA-Konfigurationen

Nachdem Sie Ihre Rollenfunktionen und sitzungskonfigurationsdatei erstellt haben, besteht der letzte Schritt darin, den JEA-Endpunkt zu registrieren. Durch die Registrierung des JEA-Endpunkts beim System wird der Endpunkt für die Verwendung durch Benutzer und Automatisierungsmodule verfügbar.

Konfiguration einzelner Computer

Für kleine Umgebungen können Sie JEA bereitstellen, indem Sie die Sitzungskonfigurationsdatei mithilfe des Cmdlets Register-PSSessionConfiguration registrieren.

Bevor Sie beginnen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Mindestens eine Rolle wurde erstellt und im RoleCapabilities-Ordner eines PowerShell-Moduls platziert.
• Es wurde eine Sitzungskonfigurationsdatei erstellt und getestet.
• Der Benutzer, der die JEA-Konfiguration registriert, verfügt über Administratorrechte auf dem System.
• Sie haben einen Namen für Ihren JEA-Endpunkt ausgewählt.

Der Name des JEA-Endpunkts ist erforderlich, wenn Benutzer mithilfe von JEA eine Verbindung mit dem System herstellen. Das Cmdlet Get-PSSessionConfiguration listet die Namen der Endpunkte auf einem System auf. Endpunkte, die mit microsoft beginnen, werden in der Regel mit Windows ausgeliefert. Der microsoft.powershell Endpunkt ist der Standardendpunkt, der beim Herstellen einer Verbindung mit einem Remote-PowerShell-Endpunkt verwendet wird.

Get-PSSessionConfiguration | Select-Object Name

Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32

Führen Sie den folgenden Befehl aus, um den Endpunkt zu registrieren.

Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force

Nach der Registrierung können Sie JEA verwenden. Sie können die Sitzungskonfigurationsdatei jederzeit löschen. Die Konfigurationsdatei wird nach der Registrierung des Endpunkts nicht verwendet.

Mehrmaschinenkonfiguration mit DSC

Bei der Bereitstellung von JEA auf mehreren Computern verwendet das einfachste Bereitstellungsmodell die JEA Desired State Configuration (DSC) -Ressource, um JEA schnell und konsistent auf jedem Computer bereitzustellen.

Um JEA mit DSC bereitzustellen, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

• Mindestens eine Rollenfunktion wurde erstellt und einem PowerShell-Modul hinzugefügt.
• Das PowerShell-Modul, das die Rollen enthält, wird auf einer (schreibgeschützten) Dateifreigabe gespeichert, auf die jeder Computer zugreifen kann.
• Die Einstellungen für die Sitzungskonfiguration wurden ermittelt. Sie müssen keine Sitzungskonfigurationsdatei erstellen, wenn Sie die JEA DSC-Ressource verwenden.
• Sie verfügen über Anmeldeinformationen, die administrative Aktionen auf jedem Computer oder zugriff auf den DSC-Pullserver zulassen, der zum Verwalten der Computer verwendet wird.
• Sie haben die JEA DSC-Ressource heruntergeladen.

Erstellen Sie eine DSC-Konfiguration für Ihren JEA-Endpunkt auf einem Zielcomputer oder Pullserver. In dieser Konfiguration definiert die JustEnoughAdministration DSC-Ressource die Sitzungskonfigurationsdatei, und die Datei-Ressource kopiert die Rollenfunktionen aus der Dateifreigabe.

Die folgenden Eigenschaften können mithilfe der DSC-Ressource konfiguriert werden:

• Rollendefinitionen
• Virtuelle Kontogruppen
• Name des gruppenverwalteten Dienstkontos
• Transkriptverzeichnis
• Benutzerlaufwerk
• Regeln für bedingten Zugriff
• Startskripts für die JEA-Sitzung

Die Syntax für jede dieser Eigenschaften in einer DSC-Konfiguration entspricht der PowerShell-Sitzungskonfigurationsdatei.

Nachfolgend finden Sie eine Beispiel-DSC-Konfiguration für ein allgemeines Serverwartungsmodul. Es wird davon ausgegangen, dass sich ein gültiges PowerShell-Modul mit Rollenfunktionen auf der \\myfileshare\JEA Dateifreigabe befindet.

Configuration JEAMaintenance
{
    Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration

    File MaintenanceModule
    {
        SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
        DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
        Checksum = "SHA-256"
        Ensure = "Present"
        Type = "Directory"
        Recurse = $true
    }

    JeaEndpoint JEAMaintenanceEndpoint
    {
        EndpointName = "JEAMaintenance"
        RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
        TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
        DependsOn = '[File]MaintenanceModule'
    }
}

Als Nächstes wird die Konfiguration auf ein System angewendet, indem sie den lokalen Konfigurations-Manager direkt aufrufen oder die Pullserverkonfiguration aktualisieren.

Mit der DSC-Ressource können Sie auch den Standardmäßigen Microsoft.PowerShell-Endpunkt ersetzen. Wenn die Ressource ersetzt wird, registriert die Ressource automatisch einen Sicherungsendpunkt namens "Microsoft.PowerShell.Restricted". Der Sicherungsendpunkt verfügt über die WinRM-Standard-ACL, mit der Remoteverwaltungsbenutzer und lokale Administratorengruppenmitglieder darauf zugreifen können.

Aufheben der Registrierung von JEA-Konfigurationen

Das Cmdlet "Unregister-PSSessionConfiguration " entfernt einen JEA-Endpunkt. Das Aufheben der Registrierung eines JEA-Endpunkts verhindert, dass neue Benutzer neue JEA-Sitzungen im System erstellen. Außerdem können Sie eine JEA-Konfiguration aktualisieren, indem Sie eine aktualisierte Sitzungskonfigurationsdatei mit demselben Endpunktnamen erneut registrieren.

# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force

Nächste Schritte

Testen des JEA-Endpunkts