Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Aktualisiert: 24. Juni 2013
Gilt für: Windows Server 2012 R2, Windows Server 2012
Windows PowerShell Web Access in Windows Server 2012 R2 und Windows Server 2012 hat ein restriktives Sicherheitsmodell. Benutzer müssen ausdrücklich Zugriff erhalten, bevor sie sich am Windows PowerShell Web Access Gateway anmelden und die webbasierte Windows PowerShell-Konsole nutzen können.
Konfiguration von Autorisierungsregeln und Standortsicherheit
Nachdem Windows PowerShell Web Access installiert und das Gateway konfiguriert ist, können Benutzer die Anmeldeseite im Browser öffnen, aber sie können sich erst anmelden, wenn der Windows PowerShell Web Access-Administrator ausdrücklich Zugriff gewährt. Die Zugriffskontrolle "Windows PowerShell Web Access" wird durch die Verwendung der in der folgenden Tabelle beschriebenen Windows-PowerShell-Kommandos verwaltet. Es gibt keine vergleichbare grafische Benutzeroberfläche zum Hinzufügen oder Verwalten von Autorisierungsregeln. Siehe Windows PowerShell Web Access Cmdlets.
Administratoren können Authentifizierungsregeln für Windows PowerShell Web Access festlegen {0-n} . Die Standardsicherheit ist restriktiv und nicht erlaubend; Null Authentifizierungsregeln bedeutet, dass keine Nutzer Zugriff auf irgendetwas haben.
Add-PswaAuthorizationRule und Test-PswaAuthorizationRule in Windows Server 2012 R2 enthalten einen Credential-Parameter, der es ermöglicht, Windows PowerShell Web Access-Autorisierungsregeln von einem entfernten Computer oder innerhalb einer aktiven Windows PowerShell Web Access-Sitzung hinzuzufügen und zu testen. Wie bei anderen Windows-PowerShell-Cmdlets, die einen Credential-Parameter haben, können Sie ein PSCredential-Objekt als Wert des Parameters angeben. Um ein PSCredential-Objekt zu erstellen, das Zugangsdaten enthält, die Sie an einen entfernten Computer weitergeben möchten, führen Sie das Get-Credential-Kommando aus.
Windows PowerShell Web Access-Authentifizierungsregeln sind Erlaubnisregeln . Jede Regel ist eine Definition einer erlaubten Verbindung zwischen Benutzern, Zielcomputern und bestimmten Windows-PowerShell-Sitzungskonfigurationen (auch als Endpunkte oder Runspaces bezeichnet) auf bestimmten Zielcomputern. Eine Erklärung zu Laufzeitumgebungen finden Sie unter Beginnennutzung von PowerShell-Runspaces
Von Bedeutung
Ein Nutzer benötigt nur eine Regel, um wahr zu sein, um Zugriff zu erhalten. Wenn einem Benutzer Zugriff auf einen Computer mit entweder vollständigem Sprachzugriff oder nur auf Windows-PowerShell-Fernverwaltungs-CMDLETs von der webbasierten Konsole gewährt wird, kann er sich auf andere Computer einloggen (oder springen), die mit dem ersten Zielcomputer verbunden sind. Die sicherste Methode, Windows PowerShell Web Access zu konfigurieren, besteht darin, den Nutzern nur Zugriff auf eingeschränkte Sitzungskonfigurationen zu gewähren, die es ihnen ermöglichen, bestimmte Aufgaben zu erledigen, die sie normalerweise aus der Ferne erledigen müssen.
Die in Windows PowerShell Web Access Cmdlets referenzierten Cmdlets ermöglichen es, eine Reihe von Zugriffsregeln zu erstellen, die verwendet werden, um einen Benutzer auf dem Windows PowerShell Web Access Gateway zu autorisieren. Die Regeln unterscheiden sich von den Zugriffskontrolllisten (ACLs) auf dem Zielcomputer und bieten eine zusätzliche Sicherheitsebene für den Webzugriff. Weitere Details zur Sicherheit sind im folgenden Abschnitt beschrieben.
Wenn Nutzer keine der vorherigen Sicherheitsschichten passieren können, erhalten sie in ihren Browserfenstern eine generische Meldung "Zugriff verweigert". Obwohl Sicherheitsdetails auf dem Gateway-Server protokolliert werden, werden Endnutzern keine Informationen darüber angezeigt, wie viele Sicherheitsschichten sie passiert haben oder auf welcher Ebene der Anmelde- oder Authentifizierungsfehler aufgetreten ist.
Weitere Informationen zur Konfiguration von Autorisierungsregeln finden Sie unter Konfiguration der Autorisierungsregeln in diesem Thema.
Sicherheit
Das Sicherheitsmodell Windows PowerShell Web Access besteht aus vier Schichten zwischen einem Endnutzer der webbasierten Konsole und einem Zielcomputer. Windows PowerShell Web Access-Administratoren können Sicherheitsebenen durch zusätzliche Konfigurationen in der IIS-Manager-Konsole hinzufügen. Weitere Informationen zum Schutz von Websites in der IIS-Manager-Konsole finden Sie unter Web Server Security konfigurieren (IIS7).
Für weitere Informationen zu IIS-Best Practices und zur Verhinderung von Denial-of-Service-Angriffen siehe Best Practices zur Verhinderung von DoS/Denial-of-Service-Angriffen. Ein Administrator kann außerdem zusätzliche Einzelhandels-Authentifizierungssoftware kaufen und installieren.
Die folgende Tabelle beschreibt die vier Sicherheitsebenen zwischen Endnutzern und Zielcomputern.
Detaillierte Informationen zu jeder Schicht finden sich unter den folgenden Überschriften:
Sicherheitsfunktionen des IIS-Webservers
Windows PowerShell Web Access-Nutzer müssen stets einen Benutzernamen und ein Passwort angeben, um ihre Konten auf dem Gateway zu authentifizieren. Allerdings können Windows PowerShell Web Access-Administratoren auch die optionale Client-Zertifikatsauthentifizierung ein- oder ausschalten, siehe Installieren und Windows PowerShell Web Access verwenden , um ein Testzertifikat zu aktivieren und später die Konfiguration eines echten Zertifikats).
Die optionale Funktion des Client-Zertifikats verlangt von Endnutzern, zusätzlich zu ihren Benutzernamen und Passwörtern, ein gültiges Client-Zertifikat und ist Teil der Webserver-(IIS)-Konfiguration. Wenn die Client-Zertifikatsschicht aktiviert ist, fordert die Windows PowerShell Web Access-Anmeldeseite die Nutzer auf, gültige Zertifikate bereitzustellen, bevor ihre Anmeldedaten bewertet werden. Die Authentifizierung eines Client-Zertifikats prüft automatisch das Client-Zertifikat. Wenn kein gültiges Zertifikat gefunden wird, informiert Windows PowerShell Web Access die Nutzer, sodass sie das Zertifikat bereitstellen können. Wenn ein gültiges Client-Zertifikat gefunden wird, öffnet Windows PowerShell Web Access die Anmeldeseite, damit Nutzer ihre Benutzernamen und Passwörter angeben können.
Dies ist ein Beispiel für zusätzliche Sicherheitseinstellungen, die vom IIS Web Server angeboten werden. Weitere Informationen zu anderen IIS-Sicherheitsfunktionen finden Sie unter Web Server Security konfigurieren (IIS 7).
Windows PowerShell Web Access-Formular-basierte Gateway-Authentifizierung
Die Windows PowerShell Web Access-Anmeldeseite benötigt eine Reihe von Zugangsdaten (Benutzername und Passwort) und bietet den Nutzern die Möglichkeit, verschiedene Zugangsdaten für den Zielcomputer anzugeben. Wenn der Nutzer keine alternativen Zugangsdaten angibt, werden auch der primäre Benutzername und das Passwort verwendet, die zur Verbindung zum Gateway verwendet werden, um sich mit dem Zielcomputer zu verbinden.
Die erforderlichen Zugangsdaten werden auf dem Windows PowerShell Web Access Gateway authentifiziert. Diese Zugangsdaten müssen gültige Benutzerkonten entweder auf dem lokalen Windows PowerShell Web Access Gateway-Server oder im Active Directory sein.
Windows PowerShell Web Access-Autorisierungsregeln
Nachdem ein Benutzer am Gateway authentifiziert wurde, überprüft Windows PowerShell Web Access die Autorisierungsregeln, um zu überprüfen, ob der Benutzer Zugriff auf den gewünschten Zielcomputer hat. Nach erfolgreicher Autorisierung werden die Zugangsdaten des Nutzers an den Zielcomputer weitergeleitet.
Diese Regeln werden erst bewertet, nachdem ein Benutzer vom Gateway authentifiziert wurde und bevor ein Benutzer auf einem Zielcomputer authentifiziert werden kann.
Ziel-Authentifizierungs- und Autorisierungsregeln
Die letzte Sicherheitsebene für Windows PowerShell Web Access ist die eigene Sicherheitskonfiguration des Zielcomputers. Benutzer müssen die entsprechenden Zugriffsrechte auf dem Zielcomputer und auch in den Windows PowerShell Web Access-Autorisierungsregeln konfiguriert haben, um eine webbasierte Windows-PowerShell-Konsole zu betreiben, die einen Zielcomputer über Windows PowerShell Web Access beeinflusst.
Diese Schicht bietet dieselben Sicherheitsmechanismen, die Verbindungsversuche bewerten würden, wenn Nutzer versuchen, eine entfernte Windows-PowerShell-Sitzung mit einem Zielcomputer aus Windows PowerShell zu erstellen, indem sie die Enter-PSSession - oder New-PSSession-Kommandos ausführen.
Standardmäßig verwendet Windows PowerShell Web Access den primären Benutzernamen und das Passwort für die Authentifizierung sowohl auf dem Gateway als auch auf dem Zielcomputer. Die webbasierte Anmeldeseite, in einem Abschnitt mit dem Titel Optionale Verbindungseinstellungen, bietet den Nutzern die Möglichkeit, bei Bedarf verschiedene Zugangsdaten für den Zielcomputer anzugeben. Wenn der Nutzer keine alternativen Zugangsdaten angibt, werden auch der primäre Benutzername und das Passwort verwendet, die zur Verbindung zum Gateway verwendet werden, um sich mit dem Zielcomputer zu verbinden.
Autorisierungsregeln können verwendet werden, um Benutzern Zugriff auf eine bestimmte Sitzungskonfiguration zu gewähren. Sie können eingeschränkte Runspaces oder Sitzungskonfigurationen für Windows PowerShell Web Access erstellen und bestimmten Benutzern erlauben, sich nur mit bestimmten Sitzungskonfigurationen zu verbinden, wenn sie sich bei Windows PowerShell Web Access anmelden. Sie können Zugriffskontrolllisten (ACLs) verwenden, um zu bestimmen, welche Benutzer Zugriff auf bestimmte Endpunkte haben, und den Zugriff auf den Endpunkt für eine bestimmte Benutzergruppe zusätzlich einschränken, indem Sie die in diesem Abschnitt beschriebenen Autorisierungsregeln verwenden. Weitere Informationen zu eingeschränkten Runspaces finden Sie unter Erstellung eines eingeschränkten Runspaces.
Konfiguration der Autorisierungsregeln
Administratoren wünschen sich wahrscheinlich dieselbe Autorisierungsregel für Windows PowerShell Web Access-Nutzer, die bereits in ihrer Umgebung für Windows PowerShell Remote Management definiert ist. Das erste Verfahren in diesem Abschnitt beschreibt, wie man eine sichere Autorisierungsregel hinzufügt, die einem Benutzer Zugriff gewährt, sich anmeldet, um einen Computer zu verwalten, und innerhalb einer einzigen Sitzungskonfiguration. Das zweite Verfahren beschreibt, wie eine Autorisierungsregel entfernt werden kann, die nicht mehr benötigt wird.
Wenn Sie planen, benutzerdefinierte Sitzungskonfigurationen zu verwenden, die es bestimmten Benutzern erlauben, nur innerhalb eingeschränkter Laufzeitumgebungen in Windows PowerShell Web Access zu arbeiten, erstellen Sie Ihre eigenen Sitzungskonfigurationen, bevor Sie Autorisierungsregeln hinzufügen, die darauf verweisen. Du kannst die Windows PowerShell Web Access-Cmdlets nicht verwenden, um benutzerdefinierte Sitzungskonfigurationen zu erstellen. Weitere Informationen zur Erstellung benutzerdefinierter Sitzungskonfigurationen finden Sie unter about_Session_Configuration_Files.
Windows PowerShell Web Access-Cmdlets unterstützen ein Wildcard-Zeichen, ein Sternchen ( * ). Jokerzeichen innerhalb von Strings werden nicht unterstützt; Verwenden Sie ein einzelnes Sternchen pro Eigenschaft (Benutzer, Computer oder Sitzungskonfigurationen).
Hinweis
Für weitere Möglichkeiten, wie Sie Autorisierungsregeln nutzen können, um Benutzern Zugriff zu gewähren und die Windows PowerShell Web Access-Umgebung zu sichern, siehe weitere Beispiele für Autorisierungsregelszenarien in diesem Thema.
Um eine restriktive Autorisierungsregel hinzuzufügen
Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten, indem Sie einen der folgenden Schritte durchführen.
Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste, und klicken Sie dann auf "Als Administrator ausführen".
Auf dem Windows-Startbildschirm klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Ausführen als Administrator.
Optionaler Schritt Zur Einschränkung des Benutzerzugriffs durch Sitzungskonfigurationen:
Überprüfen Sie, ob die Sitzungskonfigurationen, die Sie verwenden möchten, bereits in Ihren Regeln existieren.
Wenn sie noch nicht erstellt wurden, verwenden Sie Anweisungen zur Erstellung von Session-Konfigurationen in about_Session_Configuration_Files.
Diese Autorisierungsregel erlaubt einem bestimmten Benutzer Zugriff auf einen Computer im Netzwerk, auf den er typischerweise Zugriff hat, mit Zugriff auf eine spezifische Sitzungskonfiguration, die auf die typischen Skript- und Cmdlet-Bedürfnisse des Benutzers zugeschnitten ist. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- Im folgenden Beispiel erhält ein Benutzer namens JSmith in der Contoso-Domäne Zugriff zur Verwaltung des Computers Contoso_214 und zur Nutzung einer Sitzungskonfiguration namens NewAdminsOnly.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlyÜberprüfen Sie, ob die Regel erstellt wurde, indem Sie entweder das Get-PswaAuthorizationRule-Kommando oder
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>ausführen. Beispiel:Test-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Um eine Autorisierungsregel zu entfernen
Wenn eine Windows-PowerShell-Sitzung noch nicht geöffnet ist, siehe Schritt 1 von Um eine restriktive Autorisierungsregel in diesem Abschnitt hinzuzufügen.
Gib Folgendes ein und drücke dann Enter, wobei die Regel-ID die eindeutige ID-Nummer der Regel darstellt, die du entfernen möchtest.
Remove-PswaAuthorizationRule -ID <rule ID>Alternativ kannst du, wenn du die ID-Nummer nicht kennst, aber den freundlichen Namen der Regel kennst, den du entfernen möchtest, den Namen der Regel bekommen und ihn an das
Remove-PswaAuthorizationRuleCmdlet leiten, um die Regel zu entfernen, wie im folgenden Beispiel gezeigt:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Hinweis
Du wirst nicht aufgefordert zu bestätigen, ob du die angegebene Autorisierungsregel löschen möchtest; die Regel wird gelöscht, wenn du Enter drückst. Stelle sicher, dass du die Autorisierungsregel entfernen möchtest, bevor du das Kommando ausführst Remove-PswaAuthorizationRule .
Weitere Beispiele für Autorisierungsregelszenarien
Jede Windows-PowerShell-Sitzung verwendet eine Sitzungskonfiguration; wenn eine für eine Sitzung nicht angegeben ist, verwendet Windows PowerShell die standardmäßige, integrierte Windows-PowerShell-Sitzungskonfiguration, die Microsoft.PowerShell genannt wird. Die Standardkonfiguration der Sitzung umfasst alle CMDLETs, die auf einem Computer verfügbar sind. Administratoren können den Zugriff auf alle Computer einschränken, indem sie eine Sitzungskonfiguration mit einem eingeschränkten Runspace definieren (eine begrenzte Anzahl von Cmdlets und Aufgaben, die ihre Endnutzer ausführen können). Ein Benutzer, dem Zugriff auf einen Computer mit vollständigem Sprachzugriff oder nur den Windows-PowerShell-Remote-Management-Cmdlets gewährt wird, kann sich mit anderen Computern verbinden, die mit dem ersten Computer verbunden sind. Die Definition eines eingeschränkten Runspaces kann verhindern, dass Nutzer aus ihrem erlaubten Windows-PowerShell-Runspace auf andere Computer zugreifen, und verbessert die Sicherheit Ihrer Windows PowerShell Web Access-Umgebung. Die Sitzungskonfiguration kann (mittels Gruppenrichtlinien) an alle Computer verteilt werden, die Administratoren über Windows PowerShell Web Access zugänglich machen möchten. Weitere Informationen zu Sitzungskonfigurationen finden Sie unter about_Session_Configurations. Im Folgenden sind einige Beispiele für dieses Szenario aufgeführt.
Ein Administrator erstellt einen Endpunkt namens PswaEndpoint mit eingeschränktem Runspace. Anschließend erstellt der Administrator eine Regel,
*,*,PswaEndpoint, und verteilt den Endpunkt an andere Computer. Die Regel erlaubt es allen Nutzern, auf alle Computer mit dem Endpunkt PswaEndpoint zuzugreifen. Wenn dies die einzige Autorisierungsregel im Regelsatz ist, wären Computer ohne diesen Endpunkt nicht zugänglich.Der Administrator hat einen Endpunkt mit eingeschränktem Runspace namens PswaEndpoint erstellt und möchte den Zugriff auf bestimmte Benutzer beschränken. Der Administrator erstellt eine Benutzergruppe namens Level1Support und definiert folgende Regel: Level1Support,*,PswaEndpoint. Die Regel gewährt allen Benutzern in der Gruppe Level1Support Zugriff auf alle Computer mit der PswaEndpoint-Konfiguration . Ebenso kann der Zugriff auf eine bestimmte Computergruppe beschränkt sein.
Einige Administratoren gewähren bestimmten Nutzern mehr Zugang als anderen. Zum Beispiel erstellt ein Administrator zwei Benutzergruppen, Admins und BasicSupport. Der Administrator erstellt außerdem einen Endpunkt mit eingeschränktem Runspace namens PswaEndpoint und definiert die folgenden zwei Regeln: Admins, *, * und BasicSupport, *, PswaEndpoint. Die erste Regel gewährt allen Benutzern der Admin-Gruppe Zugriff auf alle Computer, und die zweite Regel gewährt allen Benutzern der BasicSupport-Gruppe nur Zugriff auf die Computer mit PswaEndpoint.
Ein Administrator hat eine private Testumgebung eingerichtet und möchte allen autorisierten Netzwerknutzern Zugriff auf alle Computer im Netzwerk ermöglichen, auf die sie typischerweise Zugriff haben, mit Zugriff auf alle Sitzungskonfigurationen, auf die sie normalerweise Zugriff haben. Da es sich um eine private Testumgebung handelt, erstellt der Administrator eine Autorisierungsregel, die nicht sicher ist. - Der Administrator führt das Cmdlet
Add-PswaAuthorizationRule * * *aus, das das Jokerzeichen * verwendet, um alle Benutzer, alle Computer und alle Konfigurationen darzustellen. - Diese Regel entspricht folgenden:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Hinweis
Diese Regel wird in einer sicheren Umgebung nicht empfohlen und umgeht die Sicherheitsebene der Autorisierungsregel, die von Windows PowerShell Web Access bereitgestellt wird.
Ein Administrator muss es den Nutzern ermöglichen, sich mit Zielcomputern in einer Umgebung zu verbinden, die sowohl Arbeitsgruppen als auch Domänen umfasst, wo Arbeitsgruppencomputer gelegentlich zur Verbindung mit Zielcomputern in Domänen verwendet werden und Computer in Domänen gelegentlich zur Verbindung mit Zielcomputern in Arbeitsgruppen verwendet werden. Der Administrator hat einen Gateway-Server, PswaServer, in einer Arbeitsgruppe; und der Zielcomputer srv1.contoso.com sich in einer Domäne befindet. Benutzer Chris ist ein autorisierter lokaler Benutzer sowohl auf dem Arbeitsgruppen-Gateway-Server als auch auf dem Zielcomputer. Sein Benutzername auf dem Arbeitsgruppenserver ist chrisLocal; Und sein Benutzername auf dem Zielcomputer ist Contoso\chris. Um Chris den Zugriff auf srv1.contoso.com zu genehmigen, fügt der Administrator folgende Regel hinzu.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Das vorherige Regelbeispiel authentifiziert Chris auf dem Gateway-Server und autorisiert dann seinen Zugriff auf srv1. Auf der Anmeldeseite muss Chris im Bereich Optionale Verbindungseinstellungen (contoso\chris) einen zweiten Satz von Zugangsdaten angeben. Der Gateway-Server nutzt die zusätzlichen Zugangsdaten, um ihn auf dem Zielcomputer zu authentifizieren, srv1.contoso.com.
Im vorherigen Szenario stellt Windows PowerShell Web Access eine erfolgreiche Verbindung zum Zielrechner erst her, nachdem die folgenden erfolgreich und durch mindestens eine Autorisierungsregel erlaubt sind.
Authentifizierung auf dem Arbeitsgruppen-Gateway-Server durch Hinzufügen eines Benutzernamens im Format server_name\user_name zur Autorisierungsregel
Authentifizierung auf dem Zielcomputer erfolgt durch die Verwendung alternativer Zugangsdaten, die auf der Anmeldeseite im Bereich Optionale Verbindungseinstellungen bereitgestellt werden
Hinweis
Wenn Gateway- und Zielcomputer in verschiedenen Arbeitsgruppen oder Domänen liegen, muss eine Vertrauensbeziehung zwischen den beiden Arbeitsgruppencomputern, den beiden Domänen oder zwischen der Arbeitsgruppe und der Domäne hergestellt werden. Diese Beziehung kann nicht durch die Verwendung von Windows PowerShell Web Access Autorisierungsregel-Kommandos konfiguriert werden. Autorisierungsregeln definieren keine Vertrauensbeziehung zwischen Computern; Sie können Benutzer nur autorisieren, sich mit bestimmten Zielcomputern und Sitzungskonfigurationen zu verbinden. Für weitere Informationen darüber, wie man eine Vertrauensbeziehung zwischen verschiedenen Domänen konfiguriert, siehe Creating Domain and Forest Trusts. Weitere Informationen darüber, wie man Arbeitsgruppencomputer zu einer Liste vertrauenswürdiger Hosts hinzufügt, finden Sie unter Remote Management with Server Manager.
Verwendung eines einzigen Autorisierungsregelsatzes für mehrere Standorte
Autorisierungsregeln werden in einer XML-Datei gespeichert. Standardmäßig lautet $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xmlder Pfadname der XML-Datei .
Der Pfad zur XML-Datei der Autorisierungsregeln wird in der powwa.config-Datei gespeichert, die sich in $env:windir\Web\PowershellWebAccess\databefindet. Der Administrator hat die Flexibilität, die Referenzpowwa.configauf den Standardpfad zu ändern , um Präferenzen oder Anforderungen zu entsprechen. Wenn der Administrator den Speicherort der Datei ändern kann, können mehrere Windows PowerShell Web Access Gateways dieselben Autorisierungsregeln verwenden, falls eine solche Konfiguration gewünscht ist.
Sitzungsverwaltung
Standardmäßig beschränkt Windows PowerShell Web Access einen Benutzer auf drei Sitzungen gleichzeitig. Sie können die web.config-Datei der Webanwendung im IIS Manager bearbeiten, um eine unterschiedliche Anzahl von Sitzungen pro Benutzer zu unterstützen. Der Pfad zur web.config-Datei ist $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Standardmäßig ist der IIS-Webserver so konfiguriert, dass er den Anwendungspool neu startet, wenn Einstellungen geändert werden. Zum Beispiel wird der Anwendungspool neu gestartet, wenn Änderungen an der web.config-Datei vorgenommen werden. >Da Windows PowerShell Web Access im Speicher Sitzungszustände verwendet, >verlieren Benutzer, die sich bei Windows PowerShell Web Access angemeldet haben, ihre Sitzungen, wenn der Anwendungspool neu gestartet wird.
Einstellung der Standardparameter auf der Anmeldeseite
Wenn Ihr Windows PowerShell Web Access Gateway auf Windows Server 2012 R2 läuft, können Sie Standardwerte für die Einstellungen konfigurieren, die auf der Windows PowerShell Web Access-Anmeldeseite angezeigt werden. Sie können Werte in der web.config Datei konfigurieren, die im vorherigen Absatz beschrieben wird. Standardwerte für die Einstellungen der Anmeldeseite finden sich im Abschnitt appSettings der web.config-Datei; Das Folgende ist ein Beispiel für den Abschnitt appSettings. Gültige Werte für viele dieser Einstellungen entsprechen denen der entsprechenden Parameter des New-PSSession-Kommandos in Windows PowerShell.
Zum Beispiel ist der defaultApplicationName Schlüssel, wie im folgenden Codeblock gezeigt, der Wert der $PSSessionApplicationName Präferenzvariablen auf dem Zielcomputer.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Auszeiten und ungeplante Verbindungsabbrüche
Windows PowerShell Web Access-Sitzungen werden ausgemustert. In Windows PowerShell Web Access, das auf Windows Server 2012 läuft, wird den angemeldeten Nutzern nach 15 Minuten Sitzungsinaktivität eine Auszeitmeldung angezeigt. Wenn der Benutzer nicht innerhalb von fünf Minuten nach Anzeige der Auszeitmeldung antwortet, wird die Sitzung beendet und der Benutzer ist ausgeloggt. Sie können die Auszeitzeiten für Sitzungen in den Website-Einstellungen im IIS Manager ändern.
In Windows PowerShell Web Access, das auf Windows Server 2012 R2 läuft, laufen die Sitzungen standardmäßig nach 20 Minuten Inaktivität ab. Wenn Benutzer aufgrund von Netzwerkfehlern oder anderen ungeplanten Abschaltungen oder Ausfällen von den Sitzungen in der webbasierten Konsole getrennt werden und nicht, weil sie die Sitzungen selbst geschlossen haben, laufen die Windows PowerShell Web Access-Sitzungen weiterhin, verbunden mit Zielcomputern, bis die Timeout-Phase auf der Clientseite abläuft. Die Sitzung wird entweder nach den Standard-20 Minuten oder nach der vom Gateway-Administrator festgelegten Zeitbeschränkung getrennt, je nachdem, was kürzer ist.
Wenn der Gateway-Server Windows Server 2012 R2 ausführt, erlaubt Windows PowerShell Web Access den Nutzern, sich später wieder mit gespeicherten Sitzungen zu verbinden, aber wenn Netzwerkfehler, ungeplante Abschaltungen oder andere Ausfälle die Sitzungen unterbrechen, können Nutzer gespeicherte Sitzungen erst nach Ablauf der vom Gateway-Administrator angegebenen Zeitablauf sehen oder wieder verbinden.
Siehe auch
Installieren und verwenden Sie Windows PowerShell Web Access