Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Depois que você tiver seus recursos de função e o arquivo de configuração de sessão criados, a última etapa é registrar o ponto de extremidade JEA. O registro do ponto de extremidade JEA no sistema disponibiliza o ponto de extremidade para uso por usuários e sistemas de automação.
Configuração de computador único
Para ambientes pequenos, você pode implantar o JEA registrando o arquivo de configuração de sessão usando o cmdlet Register-PSSessionConfiguration .
Antes de começar, verifique se os seguintes pré-requisitos foram atendidos:
- Uma ou mais funções foram criadas e colocadas na pasta RoleCapabilities de um módulo do PowerShell.
- Um arquivo de configuração de sessão foi criado e testado.
- O usuário que registra a configuração jea tem direitos de administrador no sistema.
- Você selecionou um nome para o endpoint JEA.
O nome do ponto de extremidade JEA é necessário quando os usuários se conectam ao sistema usando JEA. O cmdlet Get-PSSessionConfiguration lista os nomes dos endpoints em um sistema. Os pontos de extremidade que começam com microsoft normalmente são fornecidos com o Windows. O microsoft.powershell endpoint é o endpoint padrão usado ao se conectar a um endpoint remoto do PowerShell.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Execute o seguinte comando para registrar o endpoint.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Aviso
O comando anterior reinicia o serviço WinRM no sistema. Isso encerra todas as sessões de comunicação remota do PowerShell e todas as configurações de DSC em andamento. Recomendamos que você tire os computadores de produção offline antes de executar o comando para evitar interromper as operações de negócios.
Após o registro, você estará pronto para usar o JEA. Você pode excluir o arquivo de configuração de sessão a qualquer momento. O arquivo de configuração não é usado após o registro do endpoint.
Configuração de várias máquinas com DSC
Ao implantar o JEA em vários computadores, o modelo de implantação mais simples usa o recurso JEA Desired State Configuration (DSC) para implantar o JEA de forma rápida e consistente em cada computador.
Para implantar o JEA com o DSC, verifique se os seguintes pré-requisitos são atendidos:
- Uma ou mais funcionalidades de função foram criadas e adicionadas a um módulo do PowerShell.
- O módulo do PowerShell que contém as funções é armazenado em um compartilhamento de arquivos (somente leitura) acessível por cada computador.
- As configurações da sessão foram definidas. Você não precisa criar um arquivo de configuração de sessão ao usar o recurso JEA DSC.
- Você tem credenciais que permitem ações administrativas em cada computador ou acesso ao servidor de pull DSC usado para gerenciar os computadores.
- Você baixou o recurso JEA DSC.
Crie uma configuração de DSC para o ponto de extremidade JEA em uma máquina alvo ou em um servidor de coleta. Nessa configuração, o recurso DSC JustEnoughAdministration define o arquivo de configuração de sessão e o recurso Arquivo copia os recursos de função do compartilhamento de arquivos.
As seguintes propriedades são configuráveis usando o recurso DSC:
- Definições de função
- Grupos de contas virtuais
- Nome da conta de serviço gerenciada por grupo
- Diretório de transcrição
- Drive do usuário
- Regras de acesso condicional
- Scripts de inicialização para a sessão JEA
A sintaxe de cada uma dessas propriedades em uma configuração de DSC é consistente com o arquivo de configuração de sessão do PowerShell.
Veja abaixo uma configuração de DSC de exemplo para um módulo de manutenção geral do servidor. Ele pressupõe que um módulo válido do PowerShell que contém recursos de função esteja localizado no \\myfileshare\JEA compartilhamento de arquivos.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Em seguida, a configuração é aplicada em um sistema invocando diretamente o Gerenciador de Configurações Local ou atualizando a configuração do servidor pull.
O recurso DSC também permite que você substitua o ponto de extremidade padrão do Microsoft.PowerShell . Quando é substituído, o recurso registra automaticamente um ponto de extremidade de backup denominado Microsoft.PowerShell.Restricted. O endpoint de backup possui a ACL padrão do WinRM que permite que usuários de gerenciamento remoto e membros do grupo de administradores locais acessem-no.
Desregistrando configurações JEA
O cmdlet Unregister-PSSessionConfiguration remove o ponto de extremidade JEA. Anular o registro de um endpoint JEA impede que novos usuários criem novas sessões JEA no sistema. Ele também permite que você atualize uma configuração JEA registrando novamente um arquivo de configuração de sessão atualizado usando o mesmo nome de ponto de extremidade.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Aviso
Cancelar o registro de um ponto de extremidade JEA faz com que o serviço WinRM seja reiniciado. Isso interrompe a maioria das operações de gerenciamento remoto em andamento, incluindo outras sessões do PowerShell, invocações WMI e algumas ferramentas de gerenciamento. Desregistre os pontos de extremidade do PowerShell apenas durante janelas de manutenção planejadas.
Próximas etapas
Colaborar conosco no GitHub
A fonte deste conteúdo pode ser encontrada no GitHub, onde você também pode criar e revisar problemas e solicitações de pull. Para obter mais informações, confira o nosso guia para colaboradores.
