Opties voor gebruikerstoegang met Het Windows-beheercentrum
Wanneer het wordt geïmplementeerd op Windows Server, biedt het Windows-beheercentrum een gecentraliseerd beheerpunt voor uw serveromgeving. Door de toegang tot het Windows-beheercentrum te beheren, kunt u de beveiliging van uw beheerlandschap verbeteren.
Notitie
Windows Admin Center als toepassing is afhankelijk van het besturingssysteem en de infrastructuur voor beveiliging. Windows Admin Center implementeert, bewaakt of dwingt een beveiligingsgrens niet af.
Gateway toegangsrollen
Windows Admin Center definieert twee rollen voor toegang tot de gatewayservice: gatewaygebruikers en gatewaybeheerders.
Notitie
Toegang tot de gateway impliceert geen toegang tot de doelservers die zichtbaar zijn voor de gateway. Om een doelserver te beheren, moet een gebruiker verbinding maken met inloggegevens die beheerdersbevoegdheden hebben op de doelserver.
Gatewaygebruikers verbinding kunnen maken met de Gatewayservice van het Windows-beheercentrum om servers via die gateway te beheren, maar ze kunnen geen toegangsmachtigingen wijzigen of het verificatiemechanisme dat wordt gebruikt voor verificatie bij de gateway.
Gatewaybeheerders kunnen configureren wie toegang krijgt en hoe gebruikers zich bij de gateway verifiëren.
Notitie
Als er geen toegangsgroepen zijn gedefinieerd in het Windows-beheercentrum, weerspiegelen de rollen de toegang tot het Windows-account tot de gatewayserver.
Configureer de toegang van gatewaygebruikers en beheerders in Windows Admin Center.
Opties voor id-providers
Gatewaybeheerders kunnen een van de volgende opties kiezen:
- Active Directory/lokale computergroepen
- Microsoft Entra-id als id-provider voor windows-beheercentrum
Smartcardauthenticatie
Wanneer u Active Directory of lokale computergroepen als id-provider gebruikt, kunt u smartcardverificatie afdwingen door te vereisen dat gebruikers die toegang hebben tot het Windows-beheercentrum lid zijn van aanvullende op smartcards gebaseerde beveiligingsgroepen. Smartcard-verificatie configureren in het Windows-beheercentrum.
Voorwaardelijke toegang en meervoudige verificatie
Door Microsoft Entra-verificatie voor de gateway te vereisen, kunt u gebruikmaken van extra beveiligingsfuncties, zoals voorwaardelijke toegang en meervoudige verificatie die wordt geleverd door Microsoft Entra ID. Meer informatie over het configureren van voorwaardelijke toegang met Microsoft Entra-id.
Op rollen gebaseerd toegangsbeheer
Standaard hebben gebruikers volledige lokale beheerdersbevoegdheden nodig op de computers die ze willen beheren met behulp van het Windows-beheercentrum. Hierdoor kunnen ze op afstand verbinding maken met de computer en ervoor zorgen dat ze over voldoende machtigingen beschikken om systeeminstellingen weer te geven en te wijzigen. Sommige gebruikers hebben echter mogelijk geen onbeperkte toegang tot de machine nodig om hun taken uit te voeren. U kunt op rollen gebaseerd toegangsbeheer in het Windows-beheercentrum gebruiken om dergelijke gebruikers beperkte toegang tot de computer te bieden in plaats van hen volledige lokale beheerders te maken.
Op rollen gebaseerd toegangsbeheer in het Windows-beheercentrum werkt door elke beheerde server te configureren met een PowerShell-Just Enough Administration-eindpunt. Dit eindpunt definieert de rollen, inclusief welke aspecten van het systeem elke rol mag beheren en welke gebruikers aan de rol zijn toegewezen. Wanneer een gebruiker verbinding maakt met het beperkte eindpunt, wordt er een tijdelijk lokaal beheerdersaccount gemaakt om het systeem namens hen te beheren. Dit zorgt ervoor dat zelfs hulpprogramma's die geen eigen overdrachtsmodel hebben, nog steeds kunnen worden beheerd met het Windows-beheercentrum. Het tijdelijke account wordt automatisch verwijderd wanneer de gebruiker stopt met het beheren van de computer via het Windows-beheercentrum.
Wanneer een gebruiker verbinding maakt met een computer die is geconfigureerd met op rollen gebaseerd toegangsbeheer, controleert het Windows-beheercentrum eerst of het een lokale beheerder is. Als dat zo is, ontvangen ze de volledige Ervaring van het Windows-beheercentrum zonder beperkingen. Anders wordt in het Windows-beheercentrum gecontroleerd of de gebruiker deel uitmaakt van een van de vooraf gedefinieerde rollen. Een gebruiker heeft beperkte toegang als deze deel uitmaakt van een rol in het Windows-beheercentrum, maar geen volledige beheerder is. Als de gebruiker geen beheerder of lid is van een rol, wordt de toegang tot de computer geweigerd.
Op rollen gebaseerd toegangsbeheer is beschikbaar voor de oplossingen Serverbeheer en Failovercluster.
Beschikbare rollen
Windows Admin Center ondersteunt de volgende eindgebruikersrollen:
| Rolnaam | Bedoeld gebruik |
|---|---|
| Beheerders | Hiermee kunnen gebruikers de meeste functies in het Windows-beheercentrum gebruiken zonder hen toegang te geven tot Extern bureaublad of PowerShell. Deze rol is geschikt voor 'jumpserver'-scenario's waarbij u de beheerinvoerpunten op een computer wilt beperken. |
| Lezers | Hiermee kunnen gebruikers informatie en instellingen op de server bekijken, maar geen wijzigingen aanbrengen. |
| Hyper-V beheerders | Hiermee kunnen gebruikers wijzigingen aanbrengen in Hyper-V virtuele machines en switches, terwijl andere functies beperkt worden tot alleen-lezentoegang. |
De volgende ingebouwde extensies hebben beperkte functionaliteit wanneer een gebruiker verbinding maakt met beperkte toegang:
- Bestanden (geen bestanden uploaden of downloaden)
- PowerShell (niet beschikbaar)
- Extern bureaublad (niet beschikbaar)
- Opslagreplica (niet beschikbaar)
Op dit moment kunt u geen aangepaste rollen maken voor uw organisatie, maar u kunt kiezen welke gebruikers toegang krijgen tot elke rol.
Voorbereiden op op rollen gebaseerd toegangsbeheer
Als u de tijdelijke lokale accounts wilt gebruiken, moet elke doelcomputer worden geconfigureerd ter ondersteuning van op rollen gebaseerd toegangsbeheer in het Windows-beheercentrum. Het configuratieproces omvat het installeren van PowerShell-scripts en een Just Enough-beheereindpunt op de computer met behulp van Desired State Configuration.
Als u slechts een paar computers hebt, kunt u de configuratie eenvoudig afzonderlijk toepassen op elke computer met behulp van de pagina op basis van op rollen gebaseerd toegangsbeheer in het Windows-beheercentrum. Wanneer u op rollen gebaseerd toegangsbeheer instelt op een afzonderlijke computer, worden lokale beveiligingsgroepen gemaakt om de toegang tot elke rol te beheren. U kunt gebruikers of andere beveiligingsgroepen toegang verlenen door ze toe te voegen als leden van de rolbeveiligingsgroepen.
Voor een bedrijfsbrede implementatie op meerdere computers kunt u het configuratiescript downloaden van de gateway en deze distribueren naar uw computers met behulp van een pull-server voor Desired State Configuration, Azure Automation of uw favoriete beheerhulpprogramma's.