Freigeben über

Installieren und verwenden Sie Windows PowerShell Web Access

Aktualisiert: 5. November 2013 (Bearbeitet: 23. August 2017)

Gilt für: Windows Server 2012 R2, Windows Server 2012

Einleitung

Windows PowerShell Web Access, erstmals eingeführt in Windows Server 2012, fungiert als Windows PowerShell-Gateway und stellt eine webbasierte Windows-PowerShell-Konsole bereit, die auf einen entfernten Computer ausgerichtet ist. Es ermöglicht IT-Profis, Windows-PowerShell-Befehle und -Skripte von einer Windows-PowerShell-Konsole in einem Webbrowser auszuführen, ohne dass eine Installation von Windows PowerShell, Fernverwaltungssoftware oder Browser-Plug-in auf dem Client-Gerät erforderlich ist. Alles, was benötigt wird, um die webbasierte Windows-PowerShell-Konsole auszuführen, ist ein korrekt konfiguriertes Windows PowerShell Web Access Gateway und ein Client-Gerätebrowser, der JavaScript unterstützt und Cookies akzeptiert.

Beispiele für Kundengeräte sind Laptops, nicht-arbeitsbezogene Personalcomputer, geliehene Computer, Tablet-Computer, Webkioske, Computer, die kein Windows-basiertes Betriebssystem ausführen, und Handybrowser. IT-Profis können wichtige Verwaltungsaufgaben auf entfernten Windows-basierten Servern von Geräten aus ausführen, die Zugang zu einer Internetverbindung und einem Webbrowser haben.

Nach erfolgreicher Gateway-Einrichtung und -Konfiguration können Nutzer über einen Webbrowser auf eine Windows-PowerShell-Konsole zugreifen. Wenn Nutzer die gesicherte Windows PowerShell Web Access-Website öffnen, können sie nach erfolgreicher Authentifizierung eine webbasierte Windows-PowerShell-Konsole ausführen.

Die Einrichtung und Konfiguration von Windows PowerShell Web Access ist ein dreistufiger Prozess:

  1. Windows PowerShell Web Access installieren
  2. Konfigurieren Sie das Gateway
  3. Konfigurieren Sie eine restriktive Autorisierungsregel

Bevor Sie Windows PowerShell Web Access installieren und konfigurieren, empfehlen wir, diesen gesamten Leitfaden zu lesen, der Anweisungen zur Installation, Sicherheit und Deinstallation von Windows PowerShell Web Access enthält. Das Thema "Use the Web-based Windows PowerShell Console" beschreibt, wie Nutzer sich in der webbasierten Konsole anmelden, und behandelt Einschränkungen und Unterschiede zwischen der webbasierten Windows PowerShell-Konsole und der powershell.exe-Konsole . Endanwender der webbasierten Konsole sollten die webbasierte Windows PowerShell Console lesen, müssen aber den Rest dieses Leitfadens nicht lesen.

Dieses Thema bietet keine ausführlichen Anweisungen zum Betrieb des IIS-Webservers; nur jene Schritte, die zur Konfiguration des Windows PowerShell Web Access Gateways erforderlich sind, werden in diesem Thema beschrieben. Weitere Informationen zur Konfiguration und Sicherung von Websites in IIS finden Sie in den IIS-Dokumentationsressourcen im Abschnitt Siehe auch.

Das folgende Diagramm zeigt, wie Windows PowerShell Web Access funktioniert.

Windows PowerShell Web Access-Diagramm

Anforderungen für die Ausführung von Windows PowerShell Web Access

Windows PowerShell Web Access erfordert, dass Web Server (IIS), .NET Framework 4.5 und Windows PowerShell 3.0 oder Windows PowerShell 4.0 auf dem Server laufen, auf dem Sie das Gateway ausführen möchten. Sie können Windows PowerShell Web Access auf einem Server installieren, der Windows Server 2012 R2 oder Windows Server 2012 ausführt, indem Sie entweder den Add Roles and Features Wizard im Server Manager oder die Windows PowerShell Deployment-CMDLETS für den Server Manager verwenden. Wenn Sie Windows PowerShell Web Access über den Server Manager oder dessen Bereitstellungs-Cmdlets installieren, werden die erforderlichen Rollen und Funktionen automatisch im Rahmen des Installationsprozesses hinzugefügt.

Windows PowerShell Web Access ermöglicht es entfernten Benutzern, über Windows PowerShell in einem Webbrowser auf Computer in Ihrer Organisation zuzugreifen. Obwohl Windows PowerShell Web Access ein bequemes und leistungsfähiges Verwaltungstool ist, birgt der webbasierte Zugriff Sicherheitsrisiken und sollte so sicher wie möglich konfiguriert werden. Wir empfehlen Administratoren, die das Windows PowerShell Web Access Gateway konfigurieren, die verfügbaren Sicherheitsschichten zu nutzen, sowohl die cmdlet-basierten Autorisierungsregeln, die mit Windows PowerShell Web Access enthalten sind, als auch Sicherheitsschichten, die in Web Server (IIS) und Drittanbieteranwendungen verfügbar sind. Diese Dokumentation enthält sowohl unsichere Beispiele, die nur für Testumgebungen empfohlen werden, als auch Beispiele, die für sichere Deployments empfohlen werden.

Unterstützung für Browser und Client-Geräte

Windows PowerShell Web Access unterstützt folgende Internetbrowser. Obwohl mobile Browser offiziell nicht unterstützt werden, können viele möglicherweise die webbasierte Windows-PowerShell-Konsole ausführen. Andere Browser, die Cookies akzeptieren, JavaScript ausführen und HTTPS-Websites betreiben, sollen funktionieren, werden aber nicht offiziell getestet.

Unterstützte Desktop-Computer-Browser

  • Windows Internet Explorer für Microsoft Windows 8.0, 9.0, 10.0 und 11.0
  • Mozilla Firefox 10.0.2
  • Google Chrome 17.0.963.56m für Windows
  • Apple Safari 5.1.2 für Windows
  • Apple Safari 5.1.2 für Mac OS

Minimal getestete mobile Geräte oder Browser

  • Windows Phone 7 und 7.5
  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
  • Apple Safari für iPhone-Betriebssystem 5.0.1
  • Apple Safari für iPad 2 Betriebssystem 5.0.1

Browseranforderungen

Um die webbasierte Konsole Windows PowerShell Web Access zu nutzen, müssen Browser Folgendes tun.

  • Erlauben Sie Cookies von der Windows PowerShell Web Access Gateway-Website.
  • Sollte in der Lage sein, HTTPS-Seiten zu öffnen und zu lesen.
  • Öffnen und ausführen Sie Websites, die JavaScript verwenden.

Sie können das Windows PowerShell Web Access Gateway auf einem Server installieren, der Windows Server 2012 R2 oder Windows Server 2012 ausführt, entweder mit Windows PowerShell-Kommandos oder mit dem Wizard "Rollen und Funktionen hinzufügen", der im Server Manager geöffnet wird. Für eine schnelle Installation und Konfiguration verwenden Sie die Windows-PowerShell-Cmdlets, wie in diesem Abschnitt beschrieben.

  1. Windows PowerShell Web Access installieren
  2. Konfigurieren Sie das Gateway
  3. Konfigurieren Sie eine restriktive Autorisierungsregel

Windows PowerShell Web Access mit PowerShell-Cmdlets installieren

Um Windows PowerShell Web Access mit Windows PowerShell-Cmdlets zu installieren

  1. Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten, indem Sie einen der folgenden Schritte durchführen.

    • Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste, und klicken Sie dann auf "Als Administrator ausführen".
    • Auf dem Windows-Startbildschirm klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Ausführen als Administrator.

    Hinweis

    In Windows PowerShell 3.0 und 4.0 ist es nicht notwendig, das Server Manager Cmdlet-Modul in die Windows-PowerShell-Sitzung zu importieren, bevor die Cmdlets, die Teil des Moduls sind, ausgeführt werden. Ein Modul wird automatisch importiert, wenn du zum ersten Mal ein CMDLET ausführst, das Teil des Moduls ist. Außerdem sind Windows-PowerShell-Cmdlets nicht groß- und kleinschreibungssensitiv.

  2. Gib Folgendes ein und drücke dann Enter, wobei computer_name einen entfernten Computer darstellt, auf dem du Windows PowerShell Web Access installieren möchtest, falls zutreffend. Der Parameter -Restart startet bei Bedarf automatisch die Zielserver neu.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

    Hinweis

    Die Installation von Windows PowerShell Web Access mit Windows PowerShell-Cmdlets fügt standardmäßig keine Webserver-(IIS)-Verwaltungstools hinzu. Wenn Sie die Verwaltungstools auf demselben Server wie das Windows PowerShell Web Access Gateway installieren möchten, fügen Sie den Parameter -IncludeManagementTools dem Installationsbefehl hinzu (wie in diesem Schritt angegeben). Wenn Sie die Windows PowerShell Web Access-Website von einem entfernten Computer aus verwalten, installieren Sie den IIS Manager Snap-in, indem Sie Remote Server Administration Tools für Windows 8.1 oder Remote Server Administration Tools für Windows 8 auf dem Computer installieren, von dem aus Sie das Gateway verwalten möchten.

    Um Rollen und Funktionen auf einer Offline-VHD zu installieren, müssen Sie sowohl den Parameter -ComputerName als auch den Parameter -VHD hinzufügen. Der Parameter -ComputerName enthält den Namen des Servers, auf dem die VHD gemountet werden soll, und der -VHD Parameter enthält den Pfad zur VHD-Datei auf dem angegebenen Server.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

  3. Nach Abschluss der Installation überprüfen Sie, dass Windows PowerShell Web Access auf Zielservern installiert wurde, indem Sie das Get-WindowsFeature Kommando auf einem Zielserver in einer Windows-PowerShell-Konsole ausführen, die mit erhöhten Benutzerrechten geöffnet wurde. Du kannst außerdem überprüfen, ob Windows PowerShell Web Access in der Server-Manager-Konsole installiert wurde, indem du auf der Seite Alle Server einen Zielserver auswählst und dann die Kachel Rollen und Funktionen für den ausgewählten Server ansiehst. Sie können auch die Readme-Datei für Windows PowerShell Web Access ansehen.

  4. Nachdem Windows PowerShell Web Access installiert wurde, werden Sie aufgefordert, die Readme-Datei zu überprüfen, die grundlegende, erforderliche Einrichtungsanweisungen für das Gateway enthält. Diese Einrichtungsanweisungen finden sich auch im folgenden Abschnitt: Gateway konfigurieren. Der Pfad zur Readme-Datei lautet C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurieren Sie das Gateway

Das cmdlet Install-PswaWebApplication ist eine schnelle Möglichkeit, Windows PowerShell Web Access zu konfigurieren. Obwohl Sie den Parameter UseTestCertificate zum Install-PswaWebApplication Cmdlet hinzufügen können, um ein selbstsigniertes SSL-Zertifikat für Testzwecke zu installieren, ist dies nicht sicher; für eine sichere Produktionsumgebung verwenden Sie immer ein gültiges SSL-Zertifikat, das von einer Zertifizierungsstelle (CA) signiert wurde. Administratoren können das Testzertifikat durch ein signiertes Zertifikat ihrer Wahl ersetzen, indem sie die IIS-Manager-Konsole verwenden.

Du kannst die Konfiguration der Webanwendung unter Windows PowerShell Web Access entweder durch das Ausführen des Install-PswaWebApplication Cmdlets oder durch GUI-basierte Konfigurationsschritte im IIS Manager abschließen. Standardmäßig installiert das Cmdlet die Webanwendung pswa (und einen Anwendungspool dafür pswa_pool) im Standard-Website-Container , wie im IIS Manager gezeigt; Wenn gewünscht, können Sie das CMDLET anweisen, den Standard-Site-Container der Webanwendung zu ändern. IIS Manager bietet Konfigurationsoptionen, die für Webanwendungen verfügbar sind, wie zum Beispiel die Änderung der Portnummer oder des Secure Sockets Layer (SSL)-Zertifikats.

Von Bedeutung

Wir empfehlen dringend, dass Administratoren das Gateway so konfigurieren, dass es ein gültiges Zertifikat verwendet, das von einer CA signiert wurde.

Um das Windows PowerShell Web Access Gateway mit einem Testzertifikat zu konfigurieren, indem man Install-PswaWebApplication

  1. Machen Sie eines der folgenden Maßnahmen, um eine Windows-PowerShell-Sitzung zu öffnen.

    • Auf dem Windows-Desktop klicken Sie mit der rechten Maustaste auf Windows PowerShell in der Taskleiste.
    • Auf dem Windows-Startbildschirm klicken Sie auf Windows PowerShell.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Install-PswaWebApplication -UseTestCertificate

    Von Bedeutung

    Der Parameter UseTestCertificate sollte nur in einer privaten Testumgebung verwendet werden. Für eine sichere Produktionsumgebung empfehlen wir, ein gültiges Zertifikat zu verwenden, das von einer CA signiert wurde.

    Das Ausführen des CMDLET installiert die Windows PowerShell Web Access-Webanwendung im IIS Default Web Site-Container. Das Cmdlet erstellt die Infrastruktur, die benötigt wird, um Windows PowerShell Web Access auf der Standard-Website auszuführen. https://<server_name>/pswa Um die Webanwendung auf einer anderen Website zu installieren, geben Sie den Website-Namen an, indem Sie den Parameter WebSiteName hinzufügen. Um den Namen der Webanwendung zu ändern (standardmäßig ist pswa), fügen Sie den Parameter WebApplicationName hinzu.

    Die folgenden Einstellungen werden durch Ausführung des Cmdlets konfiguriert. Du kannst diese manuell in der IIS Manager-Konsole ändern, wenn du möchtest.

    • Pfad: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Beispiel: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

    In diesem Beispiel ist die resultierende Website für Windows PowerShell Web Access .https://<server_name>/myWebApp

    Hinweis

    Sie können sich erst anmelden, wenn den Nutzern durch das Hinzufügen von Autorisierungsregeln Zugang zur Website gewährt wurde. Weitere Informationen finden Sie unter Konfigurieren einer restriktiven Autorisierungsregel und Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access.

Um das Windows PowerShell Web Access Gateway mit einem echten Zertifikat zu konfigurieren, indem Sie Install-PswaWebApplication und IIS Manager verwenden

  1. Machen Sie eines der folgenden Maßnahmen, um eine Windows-PowerShell-Sitzung zu öffnen.

    • Auf dem Windows-Desktop klicken Sie mit der rechten Maustaste auf Windows PowerShell in der Taskleiste.
    • Auf dem Windows-Startbildschirm klicken Sie auf Windows PowerShell.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Install-PswaWebApplication

    Die folgenden Gateway-Einstellungen werden durch das Ausführen des Cmdlets konfiguriert. Du kannst diese manuell in der IIS Manager-Konsole ändern, wenn du möchtest. Du kannst auch Werte für die WebsiteName und WebApplicationName die Parameter des Install-PswaWebApplication Cmdlets angeben.

    • Pfad: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Öffnen Sie die IIS-Manager-Konsole, indem Sie eines der folgenden Folgen ausführen.

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie auf der Windows-Taskleiste auf den Server-Manager klicken. Im Menü Tools im Server Manager klicken Sie auf Internet Information Services (IIS) Manager.
    • Auf dem Windows-Startbildschirm klicken Sie auf Server Manager.

  4. Im IIS-Manager-Baumfenster erweitern Sie den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Sites-Ordner sichtbar ist. Erweitern Sie den Ordner Sites .

  5. Wählen Sie die Website aus, auf der Sie die Windows PowerShell Web Access Webanwendung installiert haben. Klicken Sie im Bereich Aktionen auf Bindungen.

  6. Im Dialogfeld Site Binding klicken Sie auf Hinzufügen.

  7. Im Dialogfeld "Site Binding hinzufügen " wählen Sie im Feld "Typen " https aus.

  8. Im Feld SSL-Zertifikat wählen Sie Ihr signiertes Zertifikat im Dropdown-Menü aus. Klicke auf OK. Siehe Um ein SSL-Zertifikat in IIS Manager in diesem Thema zu konfigurieren, um weitere Informationen darüber zu erhalten, wie man ein Zertifikat erhält.

    Die Windows PowerShell Web Access-Webanwendung ist nun so konfiguriert, dass sie Ihr signiertes SSL-Zertifikat verwendet.

    Sie können auf Windows PowerShell Web Access zugreifen, indem Sie in einem Browserfenster öffnen https://<server_name>/pswa .

    Hinweis

    Sie können sich erst anmelden, wenn den Nutzern durch das Hinzufügen von Autorisierungsregeln Zugang zur Website gewährt wurde. Weitere Informationen finden Sie unter Konfigurieren einer restriktiven Autorisierungsregel in diesem Thema sowie Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access.

Konfigurieren Sie eine restriktive Autorisierungsregel

Nachdem Windows PowerShell Web Access installiert und das Gateway konfiguriert ist, können Benutzer die Anmeldeseite im Browser öffnen, aber sie können sich erst anmelden, wenn der Windows PowerShell Web Access-Administrator ausdrücklich Zugriff gewährt. Die Zugriffskontrolle für Windows PowerShell Web Access wird durch die Verwendung der in der folgenden Tabelle beschriebenen Windows-PowerShell-Cmdlets verwaltet. Es gibt keine vergleichbare grafische Benutzeroberfläche zum Hinzufügen oder Verwalten von Autorisierungsregeln. Für detailliertere Informationen zu Windows PowerShell Web Access-Cmdlets siehe die Cmdlet-Referenzthemen Windows PowerShell Web Access Cmdlets.

Für weitere Details zu den Autorisierungsregeln und der Sicherheit von Windows PowerShell Web Access siehe Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access.

Um eine restriktive Autorisierungsregel hinzuzufügen

  1. Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten, indem Sie einen der folgenden Schritte durchführen.

    • Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste, und klicken Sie dann auf "Als Administrator ausführen".
    • Auf dem Windows-Startbildschirm klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Ausführen als Administrator.

  2. Optionaler Schritt zur Einschränkung des Benutzerzugriffs durch Sitzungskonfigurationen: Überprüfen Sie, ob Sitzungskonfigurationen, die Sie in Ihren Regeln verwenden möchten, bereits existieren. Wenn sie noch nicht erstellt wurden, verwenden Sie Anweisungen zur Erstellung von Session-Konfigurationen in about_Session_Configuration_Files.

  3. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Diese Autorisierungsregel erlaubt einem bestimmten Benutzer Zugriff auf einen Computer im Netzwerk, auf den er typischerweise Zugriff hat, mit Zugriff auf eine spezifische Sitzungskonfiguration, die auf die typischen Skript- und Cmdlet-Bedürfnisse des Benutzers zugeschnitten ist.

    Im folgenden Beispiel erhält ein Benutzer, der in der Domäne benannt JSmith ist, den Zugriff zur Verwaltung des Computers Contoso_214und zur Nutzung einer Sitzungskonfiguration namens NewAdminsOnly.Contoso

    Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Überprüfen Sie, dass die Regel erstellt wurde, indem Sie entweder das Get-PswaAuthorizationRule Cmdlet ausführen oder Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

    Beispiel: Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Nachdem Sie eine Autorisierungsregel konfiguriert haben, können sich autorisierte Benutzer in der webbasierten Konsole anmelden und mit der Nutzung von Windows PowerShell Web Access beginnen.

Benutzerdefinierte Bereitstellung

Sie können das Windows PowerShell Web Access Gateway auf einem Server installieren, der Windows Server 2012 R2 oder Windows Server 2012 ausführt, indem Sie den Wizard "Rollen und Funktionen hinzufügen" im Server Manager verwenden. Nachdem Windows PowerShell Web Access installiert ist, können Sie die Konfiguration des Gateways im IIS Manager anpassen.

Installieren Sie Windows PowerShell Web Access mit dem Assistenten "Rollen und Funktionen hinzufügen"

  1. Wenn der Server-Manager bereits geöffnet ist, fahren Sie mit dem nächsten Schritt fort. Ist der Server-Manager noch nicht geöffnet, öffnen Sie ihn mit einer der folgenden Aktionen.

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie auf der Windows-Taskleiste auf den Server-Manager klicken.
    • Auf dem Windows-Startbildschirm klicken Sie auf Server Manager.

  2. Im Menü Verwalten klicken Sie auf Rollen und Funktionen hinzufügen.

  3. Wählen Sie auf der Seite " Installationstyp auswählen" die Option "Rollenbasierte oder featurebasierte Installation" aus. Klicke auf Weiter.

  4. Auf der Seite Zielserver auswählen wählen Sie einen Server aus dem Serverpool oder eine Offline-VHD. Um eine Offline-VHD als Zielserver auszuwählen, wähle zuerst den Server aus, auf dem die VHD montiert werden soll, und dann die VHD-Datei. Informationen darüber, wie man Server zu Ihrem Serverpool hinzufügt, finden Sie in der Server Manager Hilfe. Nachdem Sie den Zielserver ausgewählt haben, klicken Sie auf Nächsten.

  5. Auf der Seite " Funktionen auswählen " des Wizards öffnen Sie Windows PowerShell und wählen Sie dann Windows PowerShell Web Access aus.

  6. Beachten Sie, dass Sie aufgefordert werden, erforderliche Funktionen hinzuzufügen, wie .NET Framework 4.5 und Rollendienste des Web Servers (IIS). Fügen Sie die erforderlichen Funktionen hinzu und machen Sie weiter.

    Hinweis

    Die Installation von Windows PowerShell Web Access mit dem Hinzufügen von Rollen und Funktionen Wizard installiert auch den Web Server (IIS), einschließlich des IIS Manager Snap-In. Die Snap-In- und andere IIS-Verwaltungstools sind standardmäßig installiert, wenn du den Assistenten "Rollen und Funktionen hinzufügen" benutzt. Wenn Sie Windows PowerShell Web Access mit den in folgendem Verfahren beschriebenen Windows-PowerShell-Cmdlets installieren, werden standardmäßig keine Verwaltungstools hinzugefügt.

  7. Auf der Seite "Installationsauswahlen bestätigen " gilt: Wenn die Feature-Dateien für Windows PowerShell Web Access nicht auf dem von Ihnen in Schritt 4 ausgewählten Zielserver gespeichert sind, klicken Sie auf "Einen alternativen Quellpfad angeben" und geben Sie den Pfad zu den Feature-Dateien bereit. Ansonsten klicke auf Installieren.

  8. Nachdem Sie auf Installieren geklickt haben, zeigt die Installationsfortschrittsseite , Ergebnisse und Meldungen wie Warnungen, Fehler oder Konfigurationsschritte nach der Installation an, die für Windows PowerShell Web Access erforderlich sind. Nachdem Windows PowerShell Web Access installiert wurde, werden Sie aufgefordert, die Readme-Datei zu überprüfen, die grundlegende, erforderliche Einrichtungsanweisungen für das Gateway enthält. Diese Anweisungen sind ebenfalls in diesem Thema enthalten. Der Pfad zur Readme-Datei lautet C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurieren des Gateways

Die Anweisungen in diesem Abschnitt dienen der Installation der Windows PowerShell Web Access Webanwendung in einem Unterverzeichnis und nicht im Root-Verzeichnis Ihrer Website. Dieses Verfahren ist das GUI-basierte Äquivalent der vom Cmdlet durchgeführten Install-PswaWebApplication Aktionen. Dieser Abschnitt enthält außerdem Anleitungen, wie man den IIS Manager verwendet, um das Windows PowerShell Web Access Gateway als Root-Website zu konfigurieren.

Um den IIS Manager zu verwenden, um das Gateway auf einer bestehenden Website zu konfigurieren

  1. Öffnen Sie die IIS-Manager-Konsole, indem Sie eines der folgenden Folgen ausführen.

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie auf der Windows-Taskleiste auf den Server-Manager klicken. Im Menü Tools im Server Manager klicken Sie auf Internet Information Services (IIS) Manager.
    • Auf dem Windows-Startbildschirm geben Sie einen beliebigen Teil des Namens Internet Information Services (IIS) Manager ein. Klicken Sie auf die Verknüpfung, wenn sie in den Apps-Ergebnissen angezeigt wird.

  2. Erstellen Sie einen neuen Anwendungspool für Windows PowerShell Web Access. Erweitern Sie den Knoten des Gateway-Servers im IIS-Manager-Baumfenster, wählen Sie Anwendungspools aus und klicken Sie im Aktionsbereichauf Anwendungspool hinzufügen.

  3. Fügen Sie einen neuen Anwendungspool mit dem Namen pswa_pool hinzu oder geben Sie einen anderen Namen an. Klicke auf OK.

  4. Im IIS-Manager-Baumfenster erweitern Sie den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Sites-Ordner sichtbar ist. Wählen Sie den Ordner Sites .

  5. Klicken Sie mit der rechten Maustaste auf die Website (zum Beispiel Standard-Website), zu der Sie die Windows PowerShell Web Access-Website hinzufügen möchten, und klicken Sie dann auf Anwendung hinzufügen.

  6. Im Alias-Feld geben Sie pswa ein oder geben Sie ein anderes Alias an. Das Alias wird zum virtuellen Verzeichnisnamen. Zum Beispiel repräsentiert pswa in der folgenden URL den in diesem Schritt angegebenen Alias: https://<server-name>/pswa.

  7. Im Feld Application Pool wählen Sie den Application Pool aus, den Sie in Schritt 3 erstellt haben.

  8. Im Feld Physischer Pfad suchen Sie nach dem Standort der Anwendung. Du kannst den Standardstandort verwenden, $env:windir/Web/PowerShellWebAccess/wwwroot. Klicke auf OK.

  9. Befolgen Sie die Schritte im Verfahren zur Konfiguration eines SSL-Zertifikats im IIS Manager in diesem Thema.

  10. Optionaler Sicherheitsschritt:

    Nachdem die Website im Baumbereich ausgewählt ist, klicke doppelt auf SSL-Einstellungen im Inhaltsbereich. Wählen Sie SSL erfordern und klicken Sie dann im Aktionsbereich auf Anwenden. Optional können Sie im SSL-Einstellungsbereich verlangen, dass Benutzer, die sich mit der Windows PowerShell Web Access-Website verbinden, über Client-Zertifikate verfügen. Client-Zertifikate helfen dabei, die Identität eines Benutzers eines Client-Geräts zu überprüfen. Weitere Informationen darüber, wie die Anforderung von Client-Zertifikaten die Sicherheit von Windows PowerShell Web Access erhöhen kann, finden Sie unter Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access in diesem Leitfaden.

  11. Öffnen Sie eine Browsersitzung auf einem Client-Gerät. Weitere Informationen zu unterstützten Browsern und Geräten finden Sie unter Browser- und Client-Geräteunterstützung in diesem Thema.

  12. Öffnen Sie die neue Windows PowerShell Web Access-Website https://<gateway-server-name>/pswa.

    Der Browser sollte die Anmeldeseite der Windows PowerShell Web Access-Konsole anzeigen.

    Hinweis

    Sie können sich erst anmelden, wenn den Nutzern durch das Hinzufügen von Autorisierungsregeln Zugang zur Website gewährt wurde. Weitere Informationen finden Sie unter Konfigurieren einer restriktiven Autorisierungsregel in diesem Thema sowie Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access.

  13. In einer Windows-PowerShell-Sitzung, die mit erhöhten Benutzerrechten geöffnet wurde (Als Administrator ausführen), führen Sie folgendes Skript aus, in dem application_pool_name den Namen des Anwendungspools darstellt, den Sie in Schritt 3 erstellt haben, um dem Anwendungspool Zugriffsrechte auf die Autorisierungsdatei zu geben.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Um bestehende Zugriffsrechte auf der Autorisierungsdatei anzuzeigen, führen Sie folgenden Befehl aus:

    c:\windows\system32\icacls.exe $authorizationFile

Um den IIS Manager zu verwenden, um das Gateway als Root-Website mit einem Testzertifikat zu konfigurieren

  1. Öffnen Sie die IIS-Manager-Konsole, indem Sie eines der folgenden Folgen ausführen.

    • Starten Sie auf dem Windows-Desktop den Server-Manager, indem Sie auf der Windows-Taskleiste auf den Server-Manager klicken. Im Menü Tools im Server Manager klicken Sie auf Internet Information Services (IIS) Manager.
    • Auf dem Windows-Startbildschirm geben Sie einen beliebigen Teil des Namens Internet Information Services (IIS) Manager ein. Klicken Sie auf die Verknüpfung, wenn sie in den Apps-Ergebnissen angezeigt wird.

  2. Im IIS-Manager-Baumfenster erweitern Sie den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Sites-Ordner sichtbar ist. Wählen Sie den Ordner Sites .

  3. Im Aktionsbereich klicken Sie auf Website hinzufügen.

  4. Geben Sie einen Namen für die Website ein, zum Beispiel Windows PowerShell Web Access.

  5. Für die neue Website wird automatisch ein Anwendungspool erstellt. Um einen anderen Anwendungspool zu verwenden, klicken Sie auf Auswählen , um einen Anwendungspool auszuwählen, der mit der neuen Website verknüpft werden soll. Wählen Sie den alternativen Anwendungspool im Dialogfeld "Anwendungspool auswählen" aus und klicken Sie dann auf OK.

  6. Im Textfeld Physischer Pfad navigieren Sie zu %windir%/Web/PowerShellWebAccess/wwwroot.

  7. Im Typfeld des Bindungsbereichs wählen Sie https aus.

  8. Weisen Sie der Website eine Portnummer zu, die nicht bereits von einer anderen Seite oder Anwendung genutzt wird. Um offene Ports zu finden, können Sie den Befehl netstat in einem Eingabeaufforderungsfenster ausführen. Die Standard-Portnummer ist 443.

    Ändere den Standardport, wenn eine andere Website bereits 443 verwendet oder wenn du andere Sicherheitsgründe für die Änderung der Portnummer hast. Wenn eine andere Website, die auf Ihrem Gateway-Server läuft, Ihren ausgewählten Port verwendet, wird eine Warnung angezeigt, wenn Sie im Dialogfeld Webseite hinzufügen auf OK klicken. Sie müssen einen ungenutzten Port verwenden, um Windows PowerShell Web Access auszuführen.

  9. Optional, falls für Ihre Organisation erforderlich, geben Sie einen Host-Namen an, der für Ihre Organisation und die Nutzer sinnvoll ist, wie zum Beispiel www.contoso.com. Klicke auf OK.

  10. Für eine sicherere Produktionsumgebung empfehlen wir dringend, ein gültiges Zertifikat bereitzustellen, das von einer CA unterschrieben wurde. Sie müssen ein SSL-Zertifikat bereitstellen, da Benutzer sich nur über eine HTTPS-Website mit Windows PowerShell Web Access verbinden können. Siehe Um ein SSL-Zertifikat in IIS Manager in diesem Thema zu konfigurieren, um weitere Informationen darüber zu erhalten, wie man ein Zertifikat erhält.

  11. Klicken Sie auf OK , um das Dialogfeld Website hinzufügen zu schließen.

  12. In einer Windows-PowerShell-Sitzung, die mit erhöhten Benutzerrechten geöffnet wurde (als Administrator ausführen), führen Sie folgendes Skript aus, in dem application_pool_name den Namen des in Schritt 4 erstellten Anwendungspools darstellt, um dem Anwendungspool Zugriffsrechte auf die Autorisierungsdatei zu geben.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Um bestehende Zugriffsrechte auf der Autorisierungsdatei anzuzeigen, führen Sie folgenden Befehl aus:

    c:\windows\system32\icacls.exe $authorizationFile

  13. Nachdem die neue Website im IIS-Manager-Baumbereich ausgewählt ist, klicken Sie im Aktionsbereich auf Start, um die Website zu starten.

  14. Öffnen Sie eine Browsersitzung auf einem Client-Gerät. Weitere Informationen zu unterstützten Browsern und Geräten finden Sie in diesem Dokument unter Unterstützung von Browser- und Client-Geräten .

  15. Öffnen Sie die neue Windows PowerShell Web Access-Website.

    Da die Root-Website auf den Windows PowerShell Web Access-Ordner verweist, sollte der Browser beim Öffnen https://<gateway_server_name>die Windows PowerShell Web Access-Anmeldeseite anzeigen. Du solltest /pswa nicht zur URL hinzufügen müssen.

    Hinweis

    Sie können sich erst anmelden, wenn den Nutzern durch das Hinzufügen von Autorisierungsregeln Zugang zur Website gewährt wurde. Weitere Informationen finden Sie unter Konfigurieren einer restriktiven Autorisierungsregel in diesem Thema sowie Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access.

Konfiguration einer restriktive Autorisierungsregel

Nachdem Windows PowerShell Web Access installiert und das Gateway konfiguriert ist, können Benutzer die Anmeldeseite im Browser öffnen, aber sie können sich erst anmelden, wenn der Windows PowerShell Web Access-Administrator ausdrücklich Zugriff gewährt. Die Zugriffskontrolle für Windows PowerShell Web Access wird durch die Verwendung der in der folgenden Tabelle beschriebenen Windows-PowerShell-Cmdlets verwaltet. Es gibt keine vergleichbare grafische Benutzeroberfläche zum Hinzufügen oder Verwalten von Autorisierungsregeln. Für detailliertere Informationen zu Windows PowerShell Web Access-Cmdlets siehe die Cmdlet-Referenzthemen Windows PowerShell Web Access Cmdlets.

Für weitere Details zu den Autorisierungsregeln und der Sicherheit von Windows PowerShell Web Access siehe Autorisierungsregeln und Sicherheitsfunktionen von Windows PowerShell Web Access.

Hinzufügen einer restriktiven Autorisierungsregel

  1. Öffnen Sie eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten, indem Sie einen der folgenden Schritte durchführen.

    • Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste, und klicken Sie dann auf "Als Administrator ausführen".
    • Auf dem Windows-Startbildschirm klicken Sie mit der rechten Maustaste auf Windows PowerShell und dann auf Ausführen als Administrator.

  2. Optionaler Schritt zur Einschränkung des Benutzerzugriffs durch Nutzung von Sitzungskonfigurationen:

    Überprüfen Sie, ob es bereits Sitzungskonfigurationen gibt, die Sie in Ihren Regeln verwenden möchten. Wenn sie noch nicht erstellt wurden, verwenden Sie Anweisungen zur Erstellung von Session-Konfigurationen in about_Session_Configuration_Files.

  3. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Diese Autorisierungsregel erlaubt einem bestimmten Benutzer Zugriff auf einen Computer im Netzwerk, auf den er typischerweise Zugriff hat, mit Zugriff auf eine spezifische Sitzungskonfiguration, die auf die typischen Skript- und Cmdlet-Bedürfnisse des Benutzers ™zugeschnitten ist.

    Im folgenden Beispiel erhält ein Benutzer, der in der Domäne benannt JSmith ist, den Zugriff zur Verwaltung des Computers Contoso_214und zur Nutzung einer Sitzungskonfiguration namens NewAdminsOnly.Contoso

    Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Überprüfen Sie, dass die Regel erstellt wurde, indem Sie entweder das Kommando oder Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>ausführen.Get-PswaAuthorizationRule

    Beispiel: Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

    Nachdem Sie eine Autorisierungsregel konfiguriert haben, können sich autorisierte Benutzer in der webbasierten Konsole anmelden und mit der Nutzung von Windows PowerShell Web Access beginnen.

Konfigurieren Sie ein echtes Zertifikat

Für eine sichere Produktionsumgebung verwenden Sie stets ein gültiges SSL-Zertifikat, das von einer Zertifizierungsstelle (CA) signiert wurde. Das Verfahren in diesem Abschnitt beschreibt, wie ein gültiges SSL-Zertifikat von einer CA erhalten und angewendet werden kann.

Um ein SSL-Zertifikat im IIS Manager zu konfigurieren

  1. Im IIS-Manager-Baumfenster wählen Sie den Server aus, auf dem Windows PowerShell Web Access installiert ist.

  2. Im Inhaltsbereich klicken Sie doppelt auf Serverzertifikate.

  3. Im Bereich Aktionen machst du eines der folgenden Maßnahmen. Weitere Informationen zur Konfiguration von Serverzertifikaten in IIS finden Sie unter Konfiguration von Serverzertifikaten in IIS 7.

    • Klicken Sie auf Importieren , um ein bestehendes, gültiges Zertifikat von einem Standort in Ihrem Netzwerk zu importieren.

    • Klicken Sie auf Zertifikatsanfrage erstellen , um ein Zertifikat von einer CA wie VeriSign, Thawte oder GeoTrust anzufordern. Der gemeinsame Name des Zertifikats muss mit dem Host-Header in der Anfrage übereinstimmen.

      Wenn zum Beispiel der Client-Browser anfordert https://www.contoso.com/, dann muss auch der gebräuchliche Name sein https://www.contoso.com/. Dies ist die sicherste und empfohlene Option, um dem Windows PowerShell Web Access Gateway ein Zertifikat bereitzustellen.

    • Klicken Sie auf 'Create a Self-Signed Certificate , um ein Zertifikat zu erstellen, das Sie sofort verwenden können und, falls gewünscht, später von einer CA unterzeichnen lassen. Geben Sie einen freundlichen Namen für das selbstsignierte Zertifikat an, wie z. B. Windows PowerShell Web Access. Diese Option gilt nicht als sicher und wird nur für eine private Testumgebung empfohlen.

  4. Nachdem Sie ein Zertifikat erstellt oder erhalten haben, wählen Sie im IIS-Manager-Baum die Website aus, auf die das Zertifikat angewendet wird (zum Beispiel Standard-Website), und klicken Sie dann im Aktionsbereichauf Bindungen.

  5. Im Dialogfeld "Site Binding hinzufügen " fügen Sie eine https-Bindung für die Seite hinzu, falls diese nicht bereits angezeigt wird. Wenn Sie kein selbstsigniertes Zertifikat verwenden, geben Sie den Hostnamen aus Schritt 3 dieses Verfahrens an. Wenn Sie ein selbstsigniertes Zertifikat verwenden, ist dieser Schritt nicht erforderlich.

  6. Wählen Sie das Zertifikat aus, das Sie in Schritt 3 dieses Verfahrens erhalten oder erstellt haben, und klicken Sie dann auf OK.

Verwendung der webbasierten Windows PowerShell-Konsole

Nachdem Windows PowerShell Web Access installiert und die Gateway-Konfiguration wie in diesem Thema beschrieben abgeschlossen ist, ist die webbasierte Windows-PowerShell-Konsole einsatzbereit. Weitere Informationen zum Einstieg in die webbasierte Konsole finden Sie unter Verwenden Sie die webbasierte Windows PowerShell Console.

Siehe auch

Internet Information Services (IIS) 7.0 Dokumentation

IIS Manager 7.0 Hilfe

Web Server Security konfigurieren (IIS 7)

IPsec-Bereitstellungsressourcen

  • Last updated on