Compartilhar via

Instale e Use o Windows PowerShell Web Access

Atualizado: 5 de novembro de 2013 (Editado: 23 de agosto de 2017)

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Introdução

O Windows PowerShell Web Access, introduzido pela primeira vez no Windows Server 2012, atua como um gateway Windows PowerShell, fornecendo um console Windows PowerShell baseado na web voltado para um computador remoto. Ele permite que profissionais de TI executem comandos e scripts do Windows PowerShell a partir de um console Windows PowerShell em um navegador web, sem necessidade de instalar PowerShell do Windows, software de gerenciamento remoto ou plug-ins do navegador no dispositivo cliente. Tudo o que é necessário para rodar o console PowerShell do Windows baseado na web é um gateway Windows PowerShell Web Access devidamente configurado e um navegador de dispositivo cliente que suporte JavaScript e aceite cookies.

Exemplos de dispositivos clientes incluem laptops, computadores pessoais não operacionais, computadores emprestados, tablets, quiosques web, computadores que não rodam um sistema operacional Windows e navegadores de celulares. Profissionais de TI podem realizar tarefas críticas de gerenciamento em servidores remotos baseados em Windows a partir de dispositivos que têm acesso a uma conexão de Internet e a um navegador web.

Após a configuração e configuração bem-sucedidas do gateway, os usuários podem acessar um console PowerShell do Windows usando um navegador web. Quando os usuários abrem o site seguro Windows PowerShell Web Access, eles podem rodar um console Windows PowerShell baseado na web após a autenticação bem-sucedida.

A configuração e configuração do Windows PowerShell Web Access é um processo de três etapas:

  1. Instalar o Windows PowerShell Web Access
  2. Configure o Gateway
  3. Configure uma regra de autorização restritiva

Antes de instalar e configurar o Windows PowerShell Web Access, recomendamos que leia este guia completo, que inclui instruções sobre como instalar, proteger e desinstalar o Windows PowerShell Web Access. O tópico Use the Web-based Windows PowerShell Console descreve como os usuários fazem login no console baseado na web, e aborda limitações e diferenças entre o console Windows PowerShell baseado na web e o consolepowershell.exe . Os usuários finais do console baseado na web devem ler Use the Web Based Windows PowerShell Console, mas não precisam ler o restante deste guia.

Este tópico não fornece orientações aprofundadas sobre operações de servidores web IIS; apenas as etapas necessárias para configurar o gateway de acesso Web do Windows PowerShell são descritas neste tópico. Para mais informações sobre como configurar e proteger sites no IIS, consulte os recursos de documentação do IIS na seção Veja também.

O diagrama a seguir mostra como o Windows PowerShell Web Access funciona.

Diagrama de Acesso Web do PowerShell do Windows PowerShell

Requisitos para rodar o Windows PowerShell Web Access

O Windows PowerShell Web Access exige que o Web Server (IIS), .NET Framework 4.5 e Windows PowerShell 3.0 ou Windows PowerShell 4.0 estejam rodando no servidor onde você deseja rodar o gateway. Você pode instalar o Windows PowerShell Web Access em um servidor que esteja rodando Windows Server 2012 R2 ou Windows Server 2012 usando o Assistente de Adicionar Papéis e Recursos no Server Manager, ou os comdlets de implantação do Windows PowerShell para Server Manager. Quando você instala o Windows PowerShell Web Access usando o Server Manager ou seus comandos de implantação, papéis e recursos necessários são automaticamente adicionados como parte do processo de instalação.

O Windows PowerShell Web Access permite que usuários remotos acessem computadores da sua organização usando o Windows PowerShell em um navegador web. Embora o Windows PowerShell Web Access seja uma ferramenta de gerenciamento conveniente e poderosa, o acesso baseado na web representa riscos de segurança e deve ser configurado da forma mais segura possível. Recomendamos que os administradores que configuram o gateway de acesso Web do Windows PowerShell utilizem as camadas de segurança disponíveis, tanto as regras de autorização baseadas em cmdlets incluídas no Windows PowerShell Web Access, quanto as camadas de segurança disponíveis em Web Server (IIS) e aplicações de terceiros. Essa documentação inclui tanto exemplos não seguros que são recomendados apenas para ambientes de teste, quanto exemplos recomendados para implantações seguras.

Suporte a navegador e dispositivo cliente

O Windows PowerShell Web Access suporta os seguintes navegadores de Internet. Embora navegadores móveis não sejam oficialmente suportados, muitos podem conseguir rodar o console PowerShell do Windows, baseado na web. Outros navegadores que aceitam cookies, rodam JavaScript e usam sites HTTPS devem funcionar, mas não são oficialmente testados.

Navegadores de computadores desktop suportados

  • Windows Internet Explorer para Microsoft Windows 8.0, 9.0, 10.0 e 11.0
  • Mozilla Firefox 10.0.2
  • Google Chrome 17.0.963.56m para Windows
  • Apple Safari 5.1.2 para Windows
  • Apple Safari 5.1.2 para Mac OS

Dispositivos móveis ou navegadores minimamente testados

  • Windows Phone 7 e 7.5
  • Google Android WebKit 3.1 Navegador Android 2.2.1 (Kernel 2.6)
  • Apple Safari para iPhone sistema operacional 5.0.1
  • Apple Safari para iPad 2 sistema operacional 5.0.1

Requisitos do navegador

Para usar o console web do Windows PowerShell Web Access, os navegadores devem fazer o seguinte.

  • Permita cookies do site do gateway Windows PowerShell Web Access.
  • Ser capaz de abrir e ler páginas HTTPS.
  • Abra e execute sites que usem JavaScript.

Você pode instalar o gateway Windows PowerShell Web Access em um servidor que esteja rodando Windows Server 2012 R2 ou Windows Server 2012 usando os cmdlets do Windows PowerShell ou o Assistente de Adicionar Papéis e Recursos, que é aberto dentro do Gerenciador de Servidores. Para instalação e configuração rápidas, use os cmdlets do Windows PowerShell, conforme descrito nesta seção.

  1. Instalar o Windows PowerShell Web Access
  2. Configure o Gateway
  3. Configure uma regra de autorização restritiva

Instale o Windows PowerShell Web Access usando os cmdlets do PowerShell

Para instalar o Windows PowerShell Web Access usando cmdlets do Windows PowerShell

  1. Execute uma das ações a seguir para abrir uma sessão do Windows PowerShell com direitos de usuário elevados.

    • Na área de trabalho do Windows, clique com o botão direito do mouse no Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
    • Na tela de Iniciar do Windows, clique com o botão direito no PowerShell do Windows e depois clique em Executar como Administrador.

    Observação

    No Windows PowerShell 3.0 e 4.0, não há necessidade de importar o módulo cmdlet do Server Manager para a sessão do Windows PowerShell antes de executar os cmdlets que fazem parte do módulo. Um módulo é importado automaticamente na primeira vez que você executa um cmdlet que faz parte do módulo. Além disso, os cmdlets do PowerShell do Windows não são sensíveis a maiúsculas minúsculas.

  2. Digite o seguinte e depois pressione Enter, onde computer_name representa um computador remoto no qual você deseja instalar o Windows PowerShell Web Access, se aplicável. O -Restart parâmetro reinicia automaticamente os servidores de destino, se necessário.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

    Observação

    Instalar o Windows PowerShell Web Access usando os comandos do Windows PowerShell não adiciona ferramentas de gerenciamento de Web Server (IIS) por padrão. Se você quiser instalar as ferramentas de gerenciamento no mesmo servidor do gateway Windows PowerShell Web Access, adicione o -IncludeManagementTools parâmetro ao comando de instalação (conforme fornecido nesta etapa). Se você está gerenciando o site Windows PowerShell Web Access a partir de um computador remoto, instale o snap-in do IIS Manager instalando as Ferramentas de Administração de Servidores Remotos para Windows 8.1 ou Ferramentas de Administração de Servidores Remotos para Windows 8 no computador a partir do qual deseja gerenciar o gateway.

    Para instalar funções e recursos em um VHD offline, você deve adicionar tanto o -ComputerName parâmetro quanto o -VHD parâmetro. O -ComputerName parâmetro contém o nome do servidor no qual o VHD deve montar, e o -VHD parâmetro contém o caminho para o arquivo VHD no servidor especificado.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

  3. Quando a instalação estiver concluída, verifique se o Windows PowerShell Web Access foi instalado em servidores de destino ao executar o Get-WindowsFeature cmdlet em um servidor de destino, em um console PowerShell do Windows que foi aberto com direitos elevados de usuário. Você também pode verificar se o Windows PowerShell Web Access foi instalado no console Server Manager, selecionando um servidor de destino na página de Todos os Servidores e, em seguida, visualizando o bloco Roles and Features do servidor selecionado. Você também pode visualizar o arquivo readme do Windows PowerShell Web Access.

  4. Após a instalação do Windows PowerShell Web Access, você é solicitado a revisar o arquivo readme, que contém instruções básicas e necessárias de configuração para o gateway. Essas instruções de configuração também estão na seção a seguir, Configurar o Gateway. O caminho para o arquivo readme é C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Configure o Gateway

O cmdlet Install-PswaWebApplication é uma forma rápida de configurar o Windows PowerShell Web Access. Embora você possa adicionar o UseTestCertificate parâmetro ao Install-PswaWebApplication cmdlet para instalar um certificado SSL autoassinado para fins de teste, isso não é seguro; para um ambiente de produção seguro, sempre use um certificado SSL válido que tenha sido assinado por uma autoridade certificadora (CA). Os administradores podem substituir o certificado de teste por um certificado assinado de sua escolha usando o console do IIS Manager.

Você pode completar a configuração de aplicações web do Windows PowerShell Web Access rodando o Install-PswaWebApplication cmdlet ou executando etapas de configuração baseadas em interface gráfica no IIS Manager. Por padrão, o cmdlet instala o aplicativo web, pswa (e um pool de aplicações para ele, pswa_pool), no contêinere Default Web Site, conforme mostrado no IIS Manager; Se desejar, você pode instruir o cmdlet a alterar o contêiner padrão do site da aplicação web. O IIS Manager oferece opções de configuração disponíveis para aplicações web, como alterar o número da porta ou o certificado da Secure Sockets Layer (SSL).

Importante

Recomendamos fortemente que os administradores configurem o gateway para usar um certificado válido que tenha sido assinado por uma CA.

Para configurar o gateway do Windows PowerShell Web Access com um certificado de teste usando Install-PswaWebApplication

  1. Faça uma das seguintes ações para abrir uma sessão do Windows PowerShell.

    • No desktop do Windows, clique com o botão direito em PowerShell do Windows na barra de tarefas.
    • Na tela de início do Windows, clique em Windows PowerShell.

  2. Digite o seguinte e pressione Enter.

    Install-PswaWebApplication -UseTestCertificate

    Importante

    O UseTestCertificate parâmetro deve ser usado apenas em um ambiente de teste privado. Para um ambiente de produção seguro, recomendamos o uso de um certificado válido que tenha sido assinado por uma CA.

    Executar o cmdlet instala a aplicação web Windows PowerShell Web Access dentro do contêiner do site padrão IIS. O cmdlet cria a infraestrutura necessária para rodar o Windows PowerShell Web Access no site padrão, https://<server_name>/pswa. Para instalar o aplicativo web em outro site, forneça o nome do site adicionando o WebSiteName parâmetro. Para mudar o nome da aplicação web (o padrão é pswa), adicione o WebApplicationName parâmetro.

    As seguintes configurações são configuradas executando o cmdlet. Você pode alterar isso manualmente no console do IIS Manager, se quiser.

    • Caminho: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Exemplo: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

    Neste exemplo, o site resultante para o Windows PowerShell Web Access é https://<server_name>/myWebApp.

    Observação

    Você não pode fazer login até que os usuários tenham recebido acesso ao site por meio da adição de regras de autorização. Para mais informações, veja configurar uma regra de autorização restritiva e Regras de Autorização e Recursos de Segurança do Windows PowerShell Web Access.

Para configurar o gateway Windows PowerShell Web Access com um certificado genuíno usando Install-PswaWebApplication e IIS Manager

  1. Faça uma das seguintes ações para abrir uma sessão do Windows PowerShell.

    • No desktop do Windows, clique com o botão direito em PowerShell do Windows na barra de tarefas.
    • Na tela de início do Windows, clique em Windows PowerShell.

  2. Digite o seguinte e pressione Enter.

    Install-PswaWebApplication

    As seguintes configurações do gateway são configuradas executando o cmdlet. Você pode alterar isso manualmente no console do IIS Manager, se quiser. Você também pode especificar valores para os WebsiteName parâmetros e WebApplicationName do Install-PswaWebApplication cmdlet.

    • Caminho: /pswa
    • ApplicationPool: pswa_pool
    • EnabledProtocols: http
    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Abra o console do IIS Manager fazendo uma das seguintes opções.

    • Na área de trabalho do Windows, inicie o Gerenciador de Servidores clicando no Gerenciador de Servidores na barra de tarefas do Windows. No menu Ferramentas do Gerenciador de Servidores, clique em Gerenciador de Serviços de Informação da Internet (IIS).
    • Na tela inicial do Windows, clique em Gerenciador de Servidores.

  4. No painel da árvore do IIS Manager, expanda o nó do servidor onde o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Expanda a pasta Sites .

  5. Selecione o site onde você instalou a aplicação web Windows PowerShell Web Access. No painel Ações, clique em Associações.

  6. Na caixa de diálogo Site Binding , clique em Adicionar.

  7. Na caixa de diálogo Adicionar Vinculação de Site , no campo Tipo , selecione https.

  8. No campo do certificado SSL , selecione seu certificado assinado no menu suspenso. Clique em OK. Veja Para configurar um certificado SSL no IIS Manager neste tópico para mais informações sobre como obter um certificado.

    O aplicativo web Windows PowerShell Web Access agora está configurado para usar seu certificado SSL assinado.

    Você pode acessar o Windows PowerShell Web Access abrindo https://<server_name>/pswa em uma janela do navegador.

    Observação

    Você não pode fazer login até que os usuários tenham recebido acesso ao site por meio da adição de regras de autorização. Para mais informações, veja Configurar uma regra de autorização restritiva, neste tópico, e Regras de Autorização e Recursos de Segurança do Windows PowerShell Web Access.

Configure uma regra de autorização restritiva

Após o Windows PowerShell Web Access ser instalado e o gateway configurado, os usuários podem abrir a página de login em um navegador, mas não podem fazer login até que o administrador do Windows PowerShell Web Access conceda explicitamente o acesso aos usuários. O controle de acesso ao Windows PowerShell Web Access é gerenciado usando o conjunto de cmdlets do Windows PowerShell descritos na tabela a seguir. Não existe uma interface gráfica comparável para adicionar ou gerenciar regras de autorização. Para informações mais detalhadas sobre os cmdlets de Acesso Web do Windows PowerShell, veja os tópicos de referência dos cmdlets, Cmdlets de Acesso Web do Windows PowerShell.

Para mais detalhes sobre regras de autorização e segurança do Windows PowerShell Web Access, veja Regras de Autorização e Recursos de Segurança do Windows PowerShell Web Access.

Para adicionar uma regra de autorização restritiva

  1. Execute uma das ações a seguir para abrir uma sessão do Windows PowerShell com direitos de usuário elevados.

    • Na área de trabalho do Windows, clique com o botão direito do mouse no Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
    • Na tela de Iniciar do Windows, clique com o botão direito no PowerShell do Windows e depois clique em Executar como Administrador.

  2. Passo opcional para restringir o acesso do usuário usando configurações de sessão: Verifique se as configurações de sessão que você deseja usar em suas regras já existem. Se ainda não foram criados, use instruções para criar configurações de sessão em about_Session_Configuration_Files.

  3. Digite o seguinte e pressione Enter.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Essa regra de autorização permite que um usuário específico acesse um computador na rede ao qual ele normalmente tem acesso, com acesso a uma configuração de sessão específica que é ajustada às necessidades típicas de scripts e cmdlets do usuário.

    No exemplo a seguir, um usuário nomeado JSmith no Contoso domínio recebe acesso para gerenciar o computador Contoso_214, e usar uma configuração de sessão chamada NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Verifique se a regra foi criada executando o Get-PswaAuthorizationRule cmdlet, ou Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

    Por exemplo, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Depois de configurar uma regra de autorização, você está pronto para que usuários autorizados façam login no console baseado na web e comecem a usar o Windows PowerShell Web Access.

Implantação personalizada

Você pode instalar o gateway de acesso Web do Windows PowerShell em um servidor que esteja rodando Windows Server 2012 R2 ou Windows Server 2012 usando o Assistente de Adicionar Papéis e Recursos no Gerenciador de Servidores. Depois que o Windows PowerShell Web Access estiver instalado, você pode personalizar a configuração do gateway no IIS Manager.

Instale o Acesso Web ao PowerShell do Windows usando o Assistente de Adicionar Papéis e Recursos

  1. Se o Gerenciador do Servidor já estiver aberto, vá para a etapa seguinte. Se o Gerenciador do Servidor ainda não estiver aberto, abra-o de uma das maneiras a seguir.

    • Na área de trabalho do Windows, inicie o Gerenciador de Servidores clicando no Gerenciador de Servidores na barra de tarefas do Windows.
    • Na tela inicial do Windows, clique em Gerenciador de Servidores.

  2. No menu Gerenciar , clique em Adicionar Funções e Recursos.

  3. Na página Selecionar tipo de instalação, selecione Instalação baseada em função ou em recurso. Clique em Próximo.

  4. Na página Selecionar servidor de destino , selecione um servidor do pool de servidores ou selecione um VHD offline. Para selecionar um VHD offline como seu servidor de destino, primeiro selecione o servidor onde montar o VHD e depois selecione o arquivo VHD. Para informações sobre como adicionar servidores ao seu pool de servidores, consulte a Ajuda do Gerenciador de Servidores. Depois de selecionar o servidor de destino, clique em Próximo.

  5. Na página Selecionar recursos do assistente, expanda o Windows PowerShell e depois selecione Windows PowerShell Web Access.

  6. Note que você é solicitado a adicionar recursos obrigatórios, como .NET Framework 4.5, e serviços de função do Web Server (IIS). Adicione os recursos necessários e continue.

    Observação

    Instalar o Windows PowerShell Web Access usando o Assistente de Adicionar Papéis e Recursos também instala o Web Server (IIS), incluindo o snap-in do Gerenciador IIS. O snap-in e outras ferramentas de gerenciamento do IIS são instalados por padrão se você usar o Assistente de Adicionar Papéis e Recursos. Se você instalar o Windows PowerShell Web Access usando os cmdlets do Windows PowerShell conforme descrito no procedimento a seguir, as ferramentas de gerenciamento não são adicionadas por padrão.

  7. Na página Confirmar seleções de instalação , se os arquivos de recursos do Windows PowerShell Web Access não estiverem armazenados no servidor de destino que você selecionou no passo 4, clique em Especificar um caminho de origem alternativo e forneça o caminho para os arquivos de recursos. Caso contrário, clique em Instalar.

  8. Após clicar em Instalar, a página de progresso da instalação exibe o progresso da instalação, resultados e mensagens como avisos, falhas ou etapas de configuração pós-instalação necessárias para o Windows PowerShell Web Access. Após a instalação do Windows PowerShell Web Access, você é solicitado a revisar o arquivo readme, que contém instruções básicas e necessárias de configuração para o gateway. Essas instruções também estão incluídas neste tópico. O caminho para o arquivo readme é C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Configurar o gateway

As instruções nesta seção são para instalar o aplicativo web Windows PowerShell Web Access em um subdiretório e não no diretório raiz do seu site. Esse procedimento é o equivalente baseado em interface gráfica das ações realizadas pelo Install-PswaWebApplication cmdlet. Esta seção também inclui instruções sobre como usar o IIS Manager para configurar o gateway de acesso Web PowerShell do Windows PowerShell como um site root.

Para usar o IIS Manager para configurar o gateway em um site existente

  1. Abra o console do IIS Manager fazendo uma das seguintes opções.

    • Na área de trabalho do Windows, inicie o Gerenciador de Servidores clicando no Gerenciador de Servidores na barra de tarefas do Windows. No menu Ferramentas do Gerenciador de Servidores, clique em Gerenciador de Serviços de Informação da Internet (IIS).
    • Na tela de Início do Windows, digite qualquer parte do nome Gerenciador de Serviços de Informação da Internet (IIS). Clique no atalho quando ele for exibido nos resultados do Apps .

  2. Crie um novo pool de aplicativos para o Windows PowerShell Web Access. Expanda o nó do servidor gateway no painel da árvore do Gerenciador IIS, selecione Pools de Aplicações e clique em Adicionar Pool de Aplicações no painel de Ações .

  3. Adicione um novo grupo de inscrições com o nome pswa_pool, ou forneça outro nome. Clique em OK.

  4. No painel da árvore do IIS Manager, expanda o nó do servidor onde o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Selecione a pasta Sites .

  5. Clique com o botão direito no site (por exemplo, Site Padrão) ao qual você deseja adicionar o site Windows PowerShell Web Access e, em seguida, clique em Adicionar Aplicação.

  6. No campo Alias , digite pswa ou forneça outro alias. O alias passa a ser o nome do diretório virtual. Por exemplo, pswa na URL a seguir representa o alias especificado nesta etapa: https://<server-name>/pswa.

  7. No campo do pool de aplicações , selecione o pool de aplicações que você criou no passo 3.

  8. No campo Caminho Físico , procure a localização da aplicação. Você pode usar a localização padrão, $env:windir/Web/PowerShellWebAccess/wwwroot. Clique em OK.

  9. Siga os passos do procedimento Para configurar um certificado SSL no IIS Manager neste tópico.

  10. Passo opcional de segurança:

    Com o site selecionado no painel de árvore, clique duas vezes em Configurações SSL no painel de conteúdo. Selecione Requer SSL e, no painel de Ações , clique em Aplicar. Opcionalmente, no painel de Configurações SSL , você pode exigir que os usuários que se conectam ao site do Windows PowerShell Web Access possuam certificados de cliente. Certificados de cliente ajudam a verificar a identidade do usuário do dispositivo cliente. Para mais informações sobre como a exigência de certificados de cliente pode aumentar a segurança do Acesso Web ao Windows PowerShell, consulte Regras de Autorização e Recursos de Segurança do Acesso Web do Windows PowerShell neste guia.

  11. Abra uma sessão do navegador em um dispositivo cliente. Para mais informações sobre navegadores e dispositivos suportados, veja Suporte a navegador e dispositivo cliente neste tópico.

  12. Abra o novo site do Windows PowerShell Web Access, https://<gateway-server-name>/pswa.

    O navegador deve exibir a página de login do console do Windows PowerShell Web Access.

    Observação

    Você não pode fazer login até que os usuários tenham recebido acesso ao site por meio da adição de regras de autorização. Para mais informações, veja Configurar uma regra de autorização restritiva, neste tópico, e Regras de Autorização e Recursos de Segurança do Windows PowerShell Web Access.

  13. Em uma sessão do Windows PowerShell que foi aberta com direitos de usuário elevados (Executar como Administrador), execute o seguinte script, no qual application_pool_name representa o nome do pool de aplicações que você criou na etapa 3, para dar ao pool de aplicações direitos de acesso ao arquivo de autorização.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Para visualizar os direitos de acesso existentes no arquivo de autorização, execute o seguinte comando:

    c:\windows\system32\icacls.exe $authorizationFile

Usar o IIS Manager para configurar o gateway como um site raiz com um certificado de teste

  1. Abra o console do IIS Manager fazendo uma das seguintes opções.

    • Na área de trabalho do Windows, inicie o Gerenciador de Servidores clicando no Gerenciador de Servidores na barra de tarefas do Windows. No menu Ferramentas do Gerenciador de Servidores, clique em Gerenciador de Serviços de Informação da Internet (IIS).
    • Na tela de Início do Windows, digite qualquer parte do nome Gerenciador de Serviços de Informação da Internet (IIS). Clique no atalho quando ele for exibido nos resultados do Apps .

  2. No painel da árvore do IIS Manager, expanda o nó do servidor onde o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Selecione a pasta Sites .

  3. No painel de Ações , clique em Adicionar Site.

  4. Digite um nome para o site, como Windows PowerShell Web Access.

  5. Um pool de aplicações é criado automaticamente para o novo site. Para usar um pool de aplicativos diferente, clique em Select para selecionar um pool de aplicativos para associar ao novo site. Selecione o pool de aplicativos alternativo na caixa de diálogo Selecionar pool de aplicações e então clique em OK.

  6. Na caixa de texto Caminho físico , navegue até %windir%/Web/PowerShellWebAccess/wwwroot.

  7. No campo Type da área de Vinculação , selecione https.

  8. Atribua um número de porta ao site que não esteja em uso por outro site ou aplicativo. Para localizar portas abertas, você pode executar o comando netstat em uma janela do Prompt de Comando. O número padrão da porta é 443.

    Mude a porta padrão se outro site já estiver usando o 443, ou se você tiver outros motivos de segurança para mudar o número da porta. Se outro site rodando no seu servidor gateway estiver usando a porta selecionada por você, um aviso é exibido quando você clica em OK na caixa de diálogo Adicionar Site . Você deve usar uma porta não utilizada para rodar o Windows PowerShell Web Access.

  9. Opcionalmente, se necessário para sua organização, especifique um nome de host que faça sentido para sua organização e usuários, como www.contoso.com. Clique em OK.

  10. Para um ambiente de produção mais seguro, recomendamos fortemente fornecer um certificado válido que tenha sido assinado por uma CA. Você deve fornecer um certificado SSL, pois os usuários só podem se conectar ao Windows PowerShell Web Access por meio de um site HTTPS. Veja Para configurar um certificado SSL no IIS Manager neste tópico para mais informações sobre como obter um certificado.

  11. Clique em OK para fechar a caixa de diálogo Adicionar Site .

  12. Em uma sessão do Windows PowerShell que foi aberta com direitos de usuário elevados (Executar como Administrador), execute o seguinte script, no qual application_pool_name representa o nome do pool de aplicações que você criou no passo 4, para dar ao pool de aplicativos direitos de acesso ao arquivo de autorização.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Para visualizar os direitos de acesso existentes no arquivo de autorização, execute o seguinte comando:

    c:\windows\system32\icacls.exe $authorizationFile

  13. Com o novo site selecionado no painel de árvore do IIS Manager, clique em Iniciar no painel de Ações para iniciar o site.

  14. Abra uma sessão do navegador em um dispositivo cliente. Para mais informações sobre navegadores e dispositivos suportados, veja Suporte a navegador e dispositivo cliente neste documento.

  15. Abra o novo site do Windows PowerShell Web Access.

    Como o site raiz aponta para a pasta do Windows PowerShell Web Access, o navegador deve exibir a página de login do Windows PowerShell Web Access quando você abrir https://<gateway_server_name>. Você não deveria precisar adicionar /pswa à URL.

    Observação

    Você não pode fazer login até que os usuários tenham recebido acesso ao site por meio da adição de regras de autorização. Para mais informações, veja Configurar uma regra de autorização restritiva, neste tópico, e Regras de Autorização e Recursos de Segurança do Windows PowerShell Web Access.

Configuração de uma regra de autorização restritiva

Após o Windows PowerShell Web Access ser instalado e o gateway configurado, os usuários podem abrir a página de login em um navegador, mas não podem fazer login até que o administrador do Windows PowerShell Web Access conceda explicitamente o acesso aos usuários. O controle de acesso ao Windows PowerShell Web Access é gerenciado usando o conjunto de cmdlets do Windows PowerShell descritos na tabela a seguir. Não existe uma interface gráfica comparável para adicionar ou gerenciar regras de autorização. Para informações mais detalhadas sobre os cmdlets de Acesso Web do Windows PowerShell, veja os tópicos de referência dos cmdlets, Cmdlets de Acesso Web do Windows PowerShell.

Para mais detalhes sobre regras de autorização e segurança do Windows PowerShell Web Access, veja Regras de Autorização e Recursos de Segurança do Windows PowerShell Web Access.

Adição de uma regra restritiva de autorização

  1. Execute uma das ações a seguir para abrir uma sessão do Windows PowerShell com direitos de usuário elevados.

    • Na área de trabalho do Windows, clique com o botão direito do mouse no Windows PowerShell na barra de tarefas e clique em Executar como Administrador.
    • Na tela de Iniciar do Windows, clique com o botão direito no PowerShell do Windows e depois clique em Executar como Administrador.

  2. Passo opcional para restringir o acesso do usuário usando configurações de sessione:

    Verifique se as configurações de sessão que você quer usar nas suas regras já existem. Se ainda não foram criados, use instruções para criar configurações de sessão em about_Session_Configuration_Files.

  3. Digite o seguinte e pressione Enter.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Essa regra de autorização permite que um usuário específico acesse um computador na rede ao qual ele normalmente tem acesso, com acesso a uma configuração de sessão específica que é ajustada às necessidades típicas de scripts e cmdlets do ™usuário.

    No exemplo a seguir, um usuário nomeado JSmith no Contoso domínio recebe acesso para gerenciar o computador Contoso_214, e usar uma configuração de sessão chamada NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Verifique se a regra foi criada executando o Get-PswaAuthorizationRule cmdlet ou Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

    Por exemplo, Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

    Depois de configurar uma regra de autorização, você está pronto para que usuários autorizados façam login no console baseado na web e comecem a usar o Windows PowerShell Web Access.

Configurar um certificado genuíno

Para um ambiente de produção seguro, sempre use um certificado SSL válido que tenha sido assinado por uma autoridade certificadora (CA). O procedimento nesta seção descreve como obter e aplicar um certificado SSL válido de uma CA.

Para configurar um certificado SSL no IIS Manager

  1. No painel de árvore do Gerenciador IIS, selecione o servidor onde o Windows PowerShell Web Access está instalado.

  2. No painel de conteúdo, clique duas vezes em Certificados do Servidor.

  3. No painel de Ações , faça uma das seguintes opções. Para mais informações sobre a configuração de certificados de servidor no IIS, veja Configurando Certificados de Servidor no IIS 7.

    • Clique em Importar para importar um certificado válido existente de um local na sua rede.

    • Clique em Criar Solicitação de Certificado para solicitar um certificado de uma CA como VeriSign, Thawte ou GeoTrust. O nome comum do certificado deve corresponder ao cabeçalho do host na solicitação.

      Por exemplo, se o navegador cliente solicitar https://www.contoso.com/, então o nome comum também deve ser https://www.contoso.com/. Esta é a opção mais segura e recomendada para fornecer um certificado ao gateway de acesso Web PowerShell do Windows.

    • Clique em Criar um Certificado Self-Signed para criar um certificado que você possa usar imediatamente e que assine posteriormente por uma CA, se desejar. Especifique um nome amigável para o certificado autoassinado, como Windows PowerShell Web Access. Essa opção não é considerada segura e é recomendada apenas para um ambiente de teste privado.

  4. Após criar ou obter um certificado, selecione o site ao qual o certificado é aplicado (por exemplo, Site Padrão) no painel da árvore do IIS Manager e, em seguida, clique em Vinculações no painel de Ações .

  5. Na caixa de diálogo Adicionar Vinculação de Site , adicione uma ligação https para o site, caso ainda não esteja exibida. Se você não estiver usando um certificado autoassinado, especifique o nome do host a partir da etapa 3 deste procedimento. Se você estiver usando um certificado autoassinado, essa etapa não é obrigatória.

  6. Selecione o certificado que você obteve ou criou na etapa 3 deste procedimento e então clique em OK.

Usando o console Windows PowerShell baseado na web

Após a instalação do Windows PowerShell Web Access e a configuração do gateway finalizada conforme descrito neste tópico, o console web do Windows PowerShell fica pronto para uso. Para mais informações sobre como começar no console baseado na web, veja Use o console PowerShell baseado na web.

Consulte Também

Documentação dos Serviços de Informação da Internet (IIS) 7.0

Ajuda com o IIS Manager 7.0

Configurar a Segurança do Servidor Web (IIS 7)

Recursos de Implantação IPsec

  • Last updated on