JEA-vereisten
Just Enough Beheer istration is een functie die is opgenomen in PowerShell 5.0 en hoger. In dit artikel worden de vereisten beschreven waaraan moet worden voldaan om JEA te gaan gebruiken.
Controleren welke versie van PowerShell is geïnstalleerd
Als u wilt controleren welke versie van PowerShell op uw systeem is geïnstalleerd, controleert u de $PSVersionTable variabele in een Windows PowerShell-prompt.
$PSVersionTable.PSVersion
Major Minor Build Revision
----- ----- ----- --------
5 1 14393 1000
JEA is beschikbaar met PowerShell 5.0 en hoger. Voor volledige functionaliteit is het raadzaam dat u de nieuwste versie van PowerShell installeert die beschikbaar is voor uw systeem. In de volgende tabel wordt de beschikbaarheid van JEA op Windows Server beschreven:
| Serverbesturingssysteem | BESCHIKBAARHEID VAN JEA |
|---|---|
| Windows Server 2016+ | Vooraf geïnstalleerde |
| Windows Server 2012 R2 | Volledige functionaliteit met WMF 5.1 |
| Windows Server 2012 | Volledige functionaliteit met WMF 5.1 |
| Windows Server 2008 R2 | Verminderde functionaliteit1 met WMF 5.1 |
U kunt JEA ook gebruiken op uw thuis- of werkcomputer:
| Clientbesturingssysteem | BESCHIKBAARHEID VAN JEA |
|---|---|
| Windows 10 1607+ | Vooraf geïnstalleerde |
| Windows 10 1603, 1511 | Vooraf geïnstalleerd, met verminderde functionaliteit2 |
| Windows 10 1507 | Niet beschikbaar |
| Windows 8, 8.1 | Volledige functionaliteit met WMF 5.1 |
| Windows 7 | Verminderde functionaliteit1 met WMF 5.1 |
1 JEA kan niet worden geconfigureerd voor het gebruik van door groepen beheerde serviceaccounts in Windows Server 2008 R2 of Windows 7. Virtuele accounts en andere JEA-functies worden ondersteund.
2 De volgende JEA-functies worden niet ondersteund in Windows 10-versies 1511 en 1603:
- Uitvoeren als een door groepen beheerd serviceaccount
- Regels voor voorwaardelijke toegang in sessieconfiguraties
- Het gebruikersstation
- Toegang verlenen tot lokale gebruikersaccounts
Als u ondersteuning voor deze functies wilt krijgen, werkt u Windows bij naar versie 1607 (Jubileumupdate) of hoger.
Windows Management Framework installeren
Als u een oudere versie van PowerShell gebruikt, moet u mogelijk uw systeem bijwerken met de nieuwste WMF-update (Windows Management Framework). Zie de WMF-documentatie voor meer informatie.
Het is raadzaam om de compatibiliteit van uw workload met WMF te testen voordat u al uw servers bijwerkt.
Windows 10-gebruikers moeten de nieuwste onderdelenupdates installeren om de huidige versie van Windows PowerShell te verkrijgen.
Externe communicatie van PowerShell inschakelen
Externe communicatie van PowerShell biedt de basis waarop JEA is gebouwd. Het is noodzakelijk om ervoor te zorgen dat externe communicatie van PowerShell is ingeschakeld en goed is beveiligd voordat u JEA kunt gebruiken. Zie WinRM-beveiliging voor meer informatie.
Externe communicatie via PowerShell is standaard ingeschakeld op Windows Server 2012 en hoger. U kunt externe communicatie van PowerShell inschakelen door de volgende opdracht uit te voeren in een PowerShell-venster met verhoogde bevoegdheid.
Enable-PSRemoting
PowerShell-module en logboekregistratie van scriptblokken inschakelen (optioneel)
Met de volgende stappen schakelt u logboekregistratie in voor alle PowerShell-acties op uw systeem. Logboekregistratie van PowerShell-modules is niet vereist voor JEA, maar het is raadzaam logboekregistratie in te schakelen om ervoor te zorgen dat de opdrachten die gebruikers uitvoeren, worden aangemeld op een centrale locatie.
U kunt het logboekregistratiebeleid voor PowerShell-modules configureren met behulp van groepsbeleid.
- Open de editor voor lokaal groepsbeleid op een werkstation of een groepsbeleidsobject in de console Groepsbeleidsbeheer op een Active Directory-domein Controller
- Navigeer naar Computerconfiguratie\Beheer istratieve sjablonen\Windows-onderdelen\Windows PowerShell
- Dubbelklik op Modulelogboekregistratie inschakelen
- Klik op Ingeschakeld
- Klik in de sectie Opties op Weergeven naast modulenamen
- Typ
*in het pop-upvenster om opdrachten van alle modules te registreren. - Klik op OK om het beleid in te stellen
- Dubbelklik op PowerShell Script Block Logging inschakelen
- Klik op Ingeschakeld
- Klik op OK om het beleid in te stellen
- (Alleen op computers die lid zijn van een domein) Uitvoeren
gpupdateof wachten tot groepsbeleid het bijgewerkte beleid verwerkt en de instellingen toepassen
U kunt ook powerShell-transcriptie inschakelen via groepsbeleid voor het hele systeem.
