Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po wdrożeniu w systemie Windows Server centrum administracyjne systemu Windows zapewnia scentralizowany punkt zarządzania dla środowiska serwera. Kontrolując dostęp do Centrum administracyjnego systemu Windows, można zwiększyć bezpieczeństwo środowiska zarządzania.
Note
Program Windows Admin Center jako aplikacja zależy od systemu operacyjnego i infrastruktury zabezpieczeń. Usługa Windows Admin Center nie implementuje, monitoruje ani nie wymusza granicy zabezpieczeń.
Role dostępu do bramy
Usługa Windows Admin Center definiuje dwie role dostępu do usługi bramy: użytkowników bramy i administratorów bramy.
Note
Dostęp do bramy nie oznacza dostępu do serwerów docelowych widocznych dla bramy. Aby zarządzać serwerem docelowym, użytkownik musi nawiązać połączenie z poświadczeniami, które mają uprawnienia administracyjne na serwerze docelowym.
użytkownicy bramy mogą łączyć się z usługą bramy Centrum administracyjnego systemu Windows w celu zarządzania serwerami za pośrednictwem tej bramy, ale nie mogą zmieniać uprawnień dostępu ani mechanizmu uwierzytelniania używanego do uwierzytelniania w bramie.
administratorzy bramy mogą konfigurować, kto uzyskuje dostęp, a także jak użytkownicy będą uwierzytelniać się w bramie.
Note
Jeśli w Centrum administracyjnym systemu Windows nie zdefiniowano grup dostępu, role będą odzwierciedlać dostęp konta systemu Windows do serwera bramy.
Opcje dostawców tożsamości
Administratorzy bramy mogą wybrać jedną z następujących opcji:
- Grupy Active Directory/maszyn lokalnych
- Microsoft Entra ID jako dostawca usług tożsamości dla programu Windows Admin Center
Uwierzytelnianie za pomocą karty inteligentnej
W przypadku korzystania z usługi Active Directory lub grup komputerów lokalnych jako dostawcy tożsamości można wymusić uwierzytelnianie za pomocą karty inteligentnej, wymagając od użytkowników, którzy uzyskują dostęp do Centrum administracyjnego Systemu Windows, aby należeli do dodatkowych grup zabezpieczeń opartych na kartach inteligentnych. Konfigurowanie uwierzytelniania za pomocą karty inteligentnej w centrum administracyjnym systemu Windows.
Dostęp warunkowy i uwierzytelnianie wieloskładnikowe
Wymagając uwierzytelniania firmy Microsoft Entra dla bramy, możesz skorzystać z dodatkowych funkcji zabezpieczeń, takich jak dostęp warunkowy i uwierzytelnianie wieloskładnikowe udostępniane przez identyfikator firmy Microsoft Entra. dowiedz się więcej na temat konfigurowania dostępu warunkowego przy użyciu identyfikatora Entra firmy Microsoft.
Kontrola dostępu oparta na rolach
Domyślnie użytkownicy wymagają pełnych uprawnień administratora lokalnego na maszynach, którymi chcą zarządzać przy użyciu Centrum administracyjnego systemu Windows. Pozwala to na zdalne łączenie się z maszyną i zapewnia, że mają wystarczające uprawnienia do wyświetlania i modyfikowania ustawień systemowych. Jednak niektórzy użytkownicy mogą nie potrzebować nieograniczonego dostępu do maszyny, aby wykonywać swoje zadania. Możesz użyć kontroli dostępu opartej na rolach w Windows Admin Center, aby zapewnić takim użytkownikom ograniczony dostęp do maszyny zamiast tworzenia pełnoprawnych administratorów lokalnych.
Kontrola dostępu oparta na rolach w centrum administracyjnym systemu Windows działa przez skonfigurowanie każdego serwera zarządzanego przy użyciu programu PowerShell Just Enough Administration punktu końcowego. Ten punkt końcowy definiuje role, w tym aspekty systemu, którymi może zarządzać każda rola, oraz do których użytkowników przypisano rolę. Gdy użytkownik łączy się z ograniczonym punktem końcowym, tymczasowe konto administratora lokalnego jest tworzone w celu zarządzania systemem w ich imieniu. Gwarantuje to, że nawet narzędzia, które nie mają własnego modelu delegowania, mogą być nadal zarządzane za pomocą Centrum administracyjnego systemu Windows. Konto tymczasowe zostanie automatycznie usunięte, gdy użytkownik przestanie zarządzać maszyną za pośrednictwem Centrum administracyjnego systemu Windows.
Gdy użytkownik łączy się z maszyną skonfigurowaną przy użyciu kontroli dostępu opartej na rolach, program Windows Admin Center najpierw sprawdzi, czy jest administratorem lokalnym. Jeśli tak, otrzymają pełne środowisko centrum administracyjnego Systemu Windows bez ograniczeń. W przeciwnym razie usługa Windows Admin Center sprawdzi, czy użytkownik należy do dowolnej ze wstępnie zdefiniowanych ról. Użytkownik ma ograniczony dostęp, jeśli należy do roli w Centrum Administracyjnym systemu Windows, ale nie jest pełnoprawnym administratorem. Na koniec, jeśli użytkownik nie jest administratorem ani członkiem roli, nie będzie on mieć dostępu do zarządzania maszyną.
Kontrola dostępu oparta na rolach jest dostępna dla rozwiązań Menedżera serwera i klastrów awaryjnego przełączania.
Dostępne role
Program Windows Admin Center obsługuje następujące role użytkowników końcowych:
| Nazwa roli | Przeznaczenie |
|---|---|
| Administrators | Umożliwia użytkownikom korzystanie z większości funkcji w Centrum administracyjnym systemu Windows bez udzielania im dostępu do pulpitu zdalnego lub programu PowerShell. Ta rola jest idealna w scenariuszach "serwera przesiadkowego", w których chcesz ograniczyć punkty dostępu do zarządzania na maszynie. |
| Readers | Umożliwia użytkownikom wyświetlanie informacji i ustawień na serwerze, ale nie wprowadzanie zmian. |
| Administratorzy Hyper-V | Umożliwia użytkownikom wprowadzanie zmian w Hyper-V maszynach wirtualnych i przełącznikach, ale ogranicza dostęp do innych funkcji tylko do odczytu. |
Następujące wbudowane rozszerzenia mają ograniczoną funkcjonalność, gdy użytkownik łączy się z ograniczonym dostępem:
- Pliki (brak przekazywania ani pobierania plików)
- PowerShell (niedostępny)
- Pulpit zdalny (niedostępny)
- Replika przechowywania (niedostępna)
Obecnie nie można tworzyć ról niestandardowych dla organizacji, ale możesz wybrać, którzy użytkownicy mają przyznany dostęp do każdej roli.
Przygotowywanie do kontroli dostępu opartej na rolach
Aby korzystać z tymczasowych kont lokalnych, każda maszyna docelowa musi być skonfigurowana do obsługi kontroli dostępu opartej na rolach w Centrum administracyjnym systemu Windows. Proces konfiguracji obejmuje zainstalowanie skryptów PowerShell i punktu końcowego Just Enough Administration na maszynie za pomocą narzędzia Desired State Configuration.
Jeśli masz tylko kilka komputerów, możesz łatwo zastosować konfigurację indywidualnie do każdego komputera przy użyciu strony kontroli dostępu opartej na rolach w Centrum administracyjnym systemu Windows. Podczas konfigurowania kontroli dostępu opartej na rolach na poszczególnych komputerach lokalne grupy zabezpieczeń są tworzone w celu kontrolowania dostępu do każdej roli. Możesz udzielić dostępu użytkownikom lub innym grupom zabezpieczeń, dodając je jako członków grup zabezpieczeń ról.
W przypadku wdrożenia w całym przedsiębiorstwie na wielu maszynach można pobrać skrypt konfiguracji z bramy i rozpowszechnić go na komputerach przy użyciu serwera ściągania Desired State Configuration, usługi Azure Automation lub preferowanego narzędzia do zarządzania.