Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une fois que vous avez créé vos fonctionnalités de rôle et votre fichier de configuration de session , la dernière étape consiste à inscrire le point de terminaison JEA. L’inscription du point de terminaison JEA auprès du système rend le point de terminaison disponible pour une utilisation par les utilisateurs et les moteurs d’automatisation.
Configuration d’un ordinateur unique
Pour les petits environnements, vous pouvez déployer JEA en inscrivant le fichier de configuration de session à l’aide de l’applet de commande Register-PSSessionConfiguration .
Avant de commencer, vérifiez que les conditions préalables suivantes ont été remplies :
- Un ou plusieurs rôles ont été créés et placés dans le dossier RoleCapabilities d’un module PowerShell.
- Un fichier de configuration de session a été créé et testé.
- L’utilisateur qui inscrit la configuration JEA dispose de droits d’administrateur sur le système.
- Vous avez sélectionné un nom pour votre point de terminaison JEA.
Le nom du point de terminaison JEA est requis lorsque les utilisateurs se connectent au système à l’aide de JEA. L’applet de commande Get-PSSessionConfiguration répertorie les noms des points de terminaison sur un système. Les points de terminaison qui commencent par microsoft sont généralement fournis avec Windows. Le microsoft.powershell point de terminaison est le point de terminaison par défaut utilisé lors de la connexion à un point de terminaison PowerShell distant.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Exécutez la commande suivante pour inscrire le point de terminaison.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Avertissement
La commande précédente redémarre le service WinRM sur le système. Cela met fin à toutes les sessions de communication à distance PowerShell et à toutes les configurations DSC en cours. Nous vous recommandons de mettre hors connexion les machines de production avant d’exécuter la commande pour éviter de perturber les opérations métier.
Après l’inscription, vous êtes prêt à utiliser JEA. Vous pouvez supprimer le fichier de configuration de session à tout moment. Le fichier de configuration n’est pas utilisé après l’inscription du point de terminaison.
Configuration multi-ordinateur avec DSC
Lors du déploiement de JEA sur plusieurs machines, le modèle de déploiement le plus simple utilise la ressource DSC (Desired State Configuration) JEA pour déployer rapidement et de manière cohérente JEA sur chaque ordinateur.
Pour déployer JEA avec DSC, vérifiez que les conditions préalables suivantes sont remplies :
- Une ou plusieurs fonctionnalités de rôle ont été créées et ajoutées à un module PowerShell.
- Le module PowerShell contenant les rôles est stocké sur un partage de fichiers (en lecture seule) accessible par chaque ordinateur.
- Les paramètres de la configuration de session ont été déterminés. Vous n’avez pas besoin de créer un fichier de configuration de session lors de l’utilisation de la ressource JEA DSC.
- Vous disposez d’informations d’identification qui autorisent les actions d’administration sur chaque ordinateur ou l’accès au serveur collecteur DSC utilisé pour gérer les machines.
- Vous avez téléchargé la ressource DSC JEA.
Créez une configuration DSC pour votre point de terminaison JEA sur une machine cible ou un serveur collecteur. Dans cette configuration, la ressource JustEnoughAdministration DSC définit le fichier de configuration de session et la ressource Fichier copie les fonctionnalités de rôle à partir du partage de fichiers.
Les propriétés suivantes sont configurables à l’aide de la ressource DSC :
- Définitions de rôles
- Groupes de comptes virtuels
- Nom du compte de service géré par le groupe
- Répertoire de transcription
- Disque de l'utilisateur
- Règles d’accès conditionnel
- Scripts de démarrage pour la session JEA
La syntaxe de chacune de ces propriétés dans une configuration DSC est cohérente avec le fichier de configuration de session PowerShell.
Vous trouverez ci-dessous un exemple de configuration DSC pour un module de maintenance de serveur général. Il part du principe qu’un module PowerShell valide contenant des fonctionnalités de rôle se trouve sur le \\myfileshare\JEA partage de fichiers.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Ensuite, la configuration est appliquée sur un système en appelant directement le Gestionnaire de configuration local ou en mettant à jour la configuration du serveur collecteur.
La ressource DSC vous permet également de remplacer le point de terminaison Microsoft.PowerShell par défaut. Lorsque remplacée, la ressource enregistre automatiquement un point de terminaison de sauvegarde nommé Microsoft.PowerShell.Restricted. Le point de terminaison de sauvegarde dispose de la liste de contrôle d'accès (ACL) WinRM par défaut, qui permet aux Utilisateurs de gestion à distance et aux membres du groupe des Administrateurs locaux d'y accéder.
Annulation de l’inscription des configurations JEA
L’applet de commande Unregister-PSSessionConfiguration supprime un point de terminaison JEA. L’annulation de l’inscription d’un point de terminaison JEA empêche les nouveaux utilisateurs de créer des sessions JEA sur le système. Il vous permet également de mettre à jour une configuration JEA en réinscrire un fichier de configuration de session mis à jour à l’aide du même nom de point de terminaison.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Avertissement
L’annulation de l’inscription d’un point de terminaison JEA entraîne le redémarrage du service WinRM. Cela interrompt la plupart des opérations de gestion à distance en cours, notamment d’autres sessions PowerShell, des appels WMI et certains outils de gestion. Désinscrivez uniquement les points de terminaison PowerShell pendant les fenêtres de maintenance planifiées.
Étapes suivantes
Collaborer avec nous sur GitHub
La source de ce contenu se trouve sur GitHub, où vous pouvez également créer et examiner les problèmes et les demandes de tirage. Pour plus d’informations, consultez notre guide du contributeur.
