Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell Web Access
Zaktualizowano: 24 czerwca 2013 r.
Dotyczy: Windows Server 2012 R2, Windows Server 2012
program Windows PowerShell Web Access w Windows Server 2012 R2 i Windows Server 2012 ma restrykcyjny model zabezpieczeń. Użytkownicy muszą jawnie udzielić dostępu, zanim będą mogli zalogować się do bramy Windows PowerShell Web Access i korzystać z konsoli Windows PowerShell opartej na sieci Web.
Konfigurowanie reguł autoryzacji i zabezpieczeń lokacji
Po zainstalowaniu programu Windows PowerShell Web Access i skonfigurowaniu bramy użytkownicy mogą otworzyć stronę logowania w przeglądarce, ale nie mogą się zalogować, dopóki administrator Windows PowerShell Web Access jawnie nie przyzna użytkownikom dostępu. Kontrola dostępu "Windows PowerShell Web Access" jest zarządzana przy użyciu zestawu poleceń cmdlet Windows PowerShell opisanych w poniższej tabeli. Nie ma porównywalnego graficznego interfejsu użytkownika do dodawania reguł autoryzacji ani zarządzania nimi. Zobacz Windows PowerShell polecenia cmdlet programu Web Access.
Administratorzy mogą definiować {0-n} reguły uwierzytelniania dla programu Windows PowerShell Web Access. Domyślne zabezpieczenia są restrykcyjne, a nie permissywne; Zero reguł uwierzytelniania oznacza, że żaden użytkownik nie ma dostępu do niczego.
Add-PswaAuthorizationRule i Test-PswaAuthorizationRule w Windows Server 2012 R2 zawierają parametr Credential, który pozwala dodawać i testować reguły autoryzacji dostępu do sieci Web Windows PowerShell z komputera zdalnego lub z poziomu aktywnej sesji Windows PowerShell Web Access. Podobnie jak w przypadku innych poleceń cmdlet Windows PowerShell, które mają parametr Credential, można określić obiekt PSCredential jako wartość parametru. Aby utworzyć obiekt PSCredential zawierający poświadczenia, które chcesz przekazać do komputera zdalnego, uruchom polecenie cmdlet Get-Credential .
Windows PowerShell reguły uwierzytelniania dostępu do sieci Web to reguły zezwalania. Każda reguła jest definicją dozwolonego połączenia między użytkownikami, komputerami docelowymi i konkretnymi konfiguracjami sesji Windows PowerShell (nazywanymi również punktami końcowymi lub przestrzeniami uruchomieniowymi) na określonych komputerach docelowych. Aby uzyskać wyjaśnienie dotyczące przestrzeni uruchomieniowych , zobacz Rozpoczynanie korzystania z przestrzeni uruchomieniowych programu PowerShell
Ważne
Aby uzyskać dostęp, użytkownik musi mieć tylko jedną regułę true. Jeśli użytkownik ma dostęp do jednego komputera z pełnym dostępem do języka lub dostępem tylko do Windows PowerShell poleceń cmdlet zdalnego zarządzania, z poziomu konsoli sieci Web użytkownik może zalogować się (lub przeskoczyć) do innych komputerów podłączonych do pierwszego komputera docelowego. Najbezpieczniejszym sposobem skonfigurowania programu Windows PowerShell Web Access jest umożliwienie użytkownikom dostępu tylko do ograniczonych konfiguracji sesji, które umożliwiają im wykonywanie określonych zadań, które zwykle muszą wykonywać zdalnie.
Polecenia cmdlet, do których odwołuje się Windows PowerShell polecenia cmdlet programu Web Access, umożliwiają utworzenie zestawu reguł dostępu używanych do autoryzowania użytkownika w bramie Windows PowerShell Web Access. Reguły różnią się od list kontroli dostępu (ACL) na komputerze docelowym i zapewniają dodatkową warstwę zabezpieczeń dostępu do internetu. Więcej szczegółów na temat zabezpieczeń opisano w poniższej sekcji.
Jeśli użytkownicy nie mogą przekazać żadnej z powyższych warstw zabezpieczeń, otrzymają ogólny komunikat "odmowa dostępu" w oknach przeglądarki. Mimo że szczegóły zabezpieczeń są rejestrowane na serwerze bramy, użytkownicy końcowi nie są wyświetlani informacji o tylu przekazanych warstwach zabezpieczeń ani na jakiej warstwie wystąpił błąd logowania lub uwierzytelniania.
Aby uzyskać więcej informacji na temat konfigurowania reguł autoryzacji, zobacz konfigurowanie reguł autoryzacji w tym temacie.
Zabezpieczenia
Model zabezpieczeń Windows PowerShell Web Access ma cztery warstwy między użytkownikiem końcowym konsoli internetowej i komputerem docelowym. Windows PowerShell administratorzy dostępu do sieci Web mogą dodawać warstwy zabezpieczeń za pomocą dodatkowej konfiguracji w konsoli Menedżera usług IIS. Aby uzyskać więcej informacji na temat zabezpieczania witryn sieci Web w konsoli Menedżera usług IIS, zobacz Konfigurowanie zabezpieczeń serwera sieci Web (IIS7).
Aby uzyskać więcej informacji o najlepszych rozwiązaniach dotyczących usług IIS i zapobieganiu atakom typu "odmowa usługi", zobacz Best Practices for Preventing DoS/Denial of Service Attacks (Najlepsze rozwiązania dotyczące zapobiegania atakom typu DoS/Odmowa usługi). Administrator może również kupić i zainstalować dodatkowe oprogramowanie do uwierzytelniania detalicznego.
W poniższej tabeli opisano cztery warstwy zabezpieczeń między użytkownikami końcowymi a komputerami docelowymi.
Szczegółowe informacje o każdej warstwie można znaleźć pod następującymi nagłówkami:
Funkcje zabezpieczeń serwera sieci Web usług IIS
Windows PowerShell użytkownicy dostępu do sieci Web muszą zawsze podać nazwę użytkownika i hasło, aby uwierzytelnić swoje konta w bramie. Jednak Windows PowerShell administratorzy programu Web Access mogą również włączyć lub wyłączyć opcjonalne uwierzytelnianie certyfikatu klienta. Zobacz Instalowanie i używanie dostępu do sieci Web programu Windows PowerShell w celu włączenia certyfikatu testowego i późniejszego konfigurowania oryginalnego certyfikatu.
Opcjonalna funkcja certyfikatu klienta wymaga od użytkowników końcowych posiadania prawidłowego certyfikatu klienta, oprócz nazw użytkowników i haseł, a także jest częścią konfiguracji serwera sieci Web (IIS). Po włączeniu warstwy certyfikatu klienta strona logowania Windows PowerShell Web Access monituje użytkowników o podanie prawidłowych certyfikatów przed oceną poświadczeń logowania. Uwierzytelnianie certyfikatu klienta automatycznie sprawdza certyfikat klienta. Jeśli nie znaleziono prawidłowego certyfikatu, program Windows PowerShell Web Access informuje użytkowników, aby mogli podać certyfikat. Jeśli zostanie znaleziony prawidłowy certyfikat klienta, Windows PowerShell Web Access otworzy stronę logowania dla użytkowników w celu podania nazw użytkowników i haseł.
Jest to jeden z przykładów dodatkowych ustawień zabezpieczeń oferowanych przez serwer sieci Web usług IIS. Aby uzyskać więcej informacji na temat innych funkcji zabezpieczeń usług IIS, zobacz Konfigurowanie zabezpieczeń serwera sieci Web (IIS 7).
Uwierzytelnianie bramy opartej na formularzach programu Windows PowerShell Web Access
Strona logowania Windows PowerShell Web Access wymaga zestawu poświadczeń (nazwy użytkownika i hasła) i oferuje użytkownikom możliwość podania różnych poświadczeń dla komputera docelowego. Jeśli użytkownik nie podaje alternatywnych poświadczeń, nazwa użytkownika podstawowego i hasło używane do nawiązywania połączenia z bramą są również używane do łączenia się z komputerem docelowym.
Wymagane poświadczenia są uwierzytelniane w bramie Windows PowerShell Web Access. Te poświadczenia muszą być prawidłowymi kontami użytkowników na lokalnym serwerze bramy programu Windows PowerShell Web Access lub w usłudze Active Directory.
reguły autoryzacji dostępu do sieci Web Windows PowerShell
Po uwierzytelnieniu użytkownika w bramie Windows PowerShell reguły autoryzacji programu Web Access sprawdza, czy użytkownik ma dostęp do żądanego komputera docelowego. Po pomyślnym uwierzytelnieniu poświadczenia użytkownika są przekazywane do komputera docelowego.
Te reguły są oceniane dopiero po uwierzytelnieniu użytkownika przez bramę i przed uwierzytelnienie użytkownika na komputerze docelowym.
Docelowe reguły uwierzytelniania i autoryzacji
Końcowa warstwa zabezpieczeń dla Windows PowerShell Web Access to konfiguracja zabezpieczeń komputera docelowego. Użytkownicy muszą mieć odpowiednie prawa dostępu skonfigurowane na komputerze docelowym, a także w Windows PowerShell reguł autoryzacji dostępu do sieci Web, aby uruchomić Windows PowerShell konsoli sieci Web, która ma wpływ na komputer docelowy za pośrednictwem programu Windows PowerShell Web Access.
Ta warstwa oferuje te same mechanizmy zabezpieczeń, które oceniałyby próby połączenia, jeśli użytkownicy próbowali utworzyć zdalną sesję Windows PowerShell na komputerze docelowym z poziomu Windows PowerShell, uruchamiając polecenia cmdlet Enter-PSSession lub New-PSSession.
Domyślnie program Windows PowerShell Web Access używa podstawowej nazwy użytkownika i hasła do uwierzytelniania zarówno na bramie, jak i komputerze docelowym. Strona logowania oparta na sieci Web, w sekcji zatytułowanej Opcjonalne ustawienia połączenia, oferuje użytkownikom opcję podania różnych poświadczeń dla komputera docelowego, jeśli są one wymagane. Jeśli użytkownik nie podaje alternatywnych poświadczeń, nazwa użytkownika podstawowego i hasło używane do nawiązywania połączenia z bramą są również używane do łączenia się z komputerem docelowym.
Reguły autoryzacji mogą służyć do zezwalania użytkownikom na dostęp do określonej konfiguracji sesji. Można tworzyć ograniczone przestrzenie uruchomieniowe lub konfiguracje sesji dla programu Windows PowerShell Web Access i zezwalać określonym użytkownikom na łączenie się tylko z określonymi konfiguracjami sesji podczas logowania się do programu Windows PowerShell Web Access. Za pomocą list kontroli dostępu (ACL) można określić, którzy użytkownicy mają dostęp do określonych punktów końcowych, a następnie ograniczyć dostęp do punktu końcowego dla określonego zestawu użytkowników przy użyciu reguł autoryzacji opisanych w tej sekcji. Aby uzyskać więcej informacji na temat ograniczonych przestrzeni uruchomieniowych, zobacz Tworzenie ograniczonego obszaru działania.
Konfigurowanie reguł autoryzacji
Administratorzy prawdopodobnie chcą tej samej reguły autoryzacji dla użytkowników Windows PowerShell Web Access, którzy są już zdefiniowani w ich środowisku na potrzeby Windows PowerShell zdalnego zarządzania. Pierwsza procedura w tej sekcji opisuje sposób dodawania bezpiecznej reguły autoryzacji, która udziela dostępu jednemu użytkownikowi, logując się do zarządzania jednym komputerem i w ramach jednej konfiguracji sesji. Druga procedura opisuje sposób usuwania reguły autoryzacji, która nie jest już potrzebna.
Jeśli planujesz używać niestandardowych konfiguracji sesji, aby umożliwić określonym użytkownikom pracę tylko w ograniczonych przestrzeniach działania w programie Windows PowerShell Web Access, przed dodaniem reguł autoryzacji odwołujących się do nich należy utworzyć niestandardowe konfiguracje sesji. Do tworzenia niestandardowych konfiguracji sesji nie można użyć poleceń cmdlet programu Windows PowerShell Web Access. Aby uzyskać więcej informacji na temat tworzenia niestandardowych konfiguracji sesji, zobacz about_Session_Configuration_Files.
Windows PowerShell polecenia cmdlet programu Web Access obsługują jeden symbol wieloznaczny, gwiazdkę ( * ). Symbole wieloznaczne w ciągach nie są obsługiwane; użyj jednej gwiazdki na właściwość (użytkownicy, komputery lub konfiguracje sesji).
Uwaga
Aby uzyskać więcej sposobów udzielania dostępu użytkownikom za pomocą reguł autoryzacji i zabezpieczania środowiska Windows PowerShell Web Access, zobacz inne przykłady scenariuszy reguł autoryzacji w tym temacie.
Aby dodać restrykcyjną regułę autoryzacji
Wykonaj jedną z następujących czynności, aby otworzyć sesję środowiska Windows PowerShell z podwyższonym poziomem uprawnień użytkownika.
Na pulpicie systemu Windows kliknij prawym przyciskiem myszy ikonę programu Windows PowerShell na pasku zadań, a następnie kliknij polecenie Uruchom jako administrator.
Na ekranie Start systemu Windows kliknij prawym przyciskiem myszy Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator.
Krok opcjonalny Aby ograniczyć dostęp użytkowników przy użyciu konfiguracji sesji:
Sprawdź, czy konfiguracje sesji, których chcesz użyć, już istnieją w regułach .
Jeśli jeszcze nie zostały utworzone, skorzystaj z instrukcji dotyczących tworzenia konfiguracji sesji w about_Session_Configuration_Files.
Ta reguła autoryzacji umożliwia określonemu użytkownikowi dostęp do jednego komputera w sieci, do którego zazwyczaj mają dostęp, z dostępem do określonej konfiguracji sesji, która jest ograniczona do typowych potrzeb skryptów i poleceń cmdlet użytkownika. Wpisz poniższe polecenie i naciśnij klawisz Enter.
Add-PswaAuthorizationRule -UserName <domain\user | computer\user> ` -ComputerName <computer_name> -ConfigurationName <session_configuration_name>- W poniższym przykładzie użytkownik o nazwie JSmith w domenie Contoso ma dostęp do zarządzania komputerem Contoso_214 i używa konfiguracji sesji o nazwie NewAdminsOnly.
Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' ` -ComputerName Contoso_214 -ConfigurationName NewAdminsOnlySprawdź, czy reguła została utworzona, uruchamiając polecenie cmdlet Get-PswaAuthorizationRule lub
Test-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName** <computer_name>. Na przykładTest-PswaAuthorizationRule -UserName Contoso\\JSmith -ComputerName Contoso_214.
Aby usunąć regułę autoryzacji
Jeśli sesja Windows PowerShell nie jest jeszcze otwarta, zobacz krok 1, aby dodać restrykcyjną regułę autoryzacji w tej sekcji.
Wpisz następujące polecenie, a następnie naciśnij klawisz Enter, gdzie identyfikator reguły reprezentuje unikatowy identyfikator reguły, którą chcesz usunąć.
Remove-PswaAuthorizationRule -ID <rule ID>Alternatywnie, jeśli nie znasz numeru identyfikatora, ale znasz przyjazną nazwę reguły, którą chcesz usunąć, możesz uzyskać nazwę reguły i przekazać ją
Remove-PswaAuthorizationRuledo polecenia cmdlet w celu usunięcia reguły, jak pokazano w poniższym przykładzie:Get-PswaAuthorizationRule ` -RuleName <rule-name> | Remove-PswaAuthorizationRule
Uwaga
Nie jest wyświetlany monit o potwierdzenie, czy chcesz usunąć określoną regułę autoryzacji; reguła zostanie usunięta po naciśnięciu klawisza Enter. Przed uruchomieniem Remove-PswaAuthorizationRule polecenia cmdlet upewnij się, że chcesz usunąć regułę autoryzacji.
Inne przykłady scenariuszy reguły autoryzacji
Każda sesja Windows PowerShell używa konfiguracji sesji. Jeśli nie określono jej dla sesji, Windows PowerShell używa domyślnej, wbudowanej konfiguracji sesji Windows PowerShell o nazwie Microsoft.PowerShell. Domyślna konfiguracja sesji zawiera wszystkie polecenia cmdlet, które są dostępne na komputerze. Administratorzy mogą ograniczyć dostęp do wszystkich komputerów, definiując konfigurację sesji z ograniczonym obszarem działania (ograniczony zakres poleceń cmdlet i zadań, które mogą wykonywać użytkownicy końcowi). Użytkownik, któremu udzielono dostępu do jednego komputera z pełnym dostępem do języka lub tylko Windows PowerShell polecenia cmdlet zdalnego zarządzania, mogą łączyć się z innymi komputerami połączonymi z pierwszym komputerem. Definiowanie ograniczonego obszaru uruchamiania może uniemożliwić użytkownikom uzyskiwanie dostępu do innych komputerów z dozwolonych Windows PowerShell przestrzeni uruchomieniowej i poprawia bezpieczeństwo środowiska Windows PowerShell Web Access. Konfigurację sesji można dystrybuować (przy użyciu zasady grupy) do wszystkich komputerów, które administratorzy chcą udostępnić za pośrednictwem Windows PowerShell programu Web Access. Aby uzyskać więcej informacji na temat konfiguracji sesji, zobacz Informacje o konfiguracjach sesji. Poniżej przedstawiono kilka przykładów tego scenariusza.
Administrator tworzy punkt końcowy o nazwie PswaEndpoint z ograniczonym obszarem uruchamiania. Następnie administrator tworzy regułę ,
*,*,PswaEndpointi dystrybuuje punkt końcowy na innych komputerach. Reguła umożliwia wszystkim użytkownikom dostęp do wszystkich komputerów za pomocą punktu końcowego PswaEndpoint. Jeśli jest to jedyna reguła autoryzacji zdefiniowana w zestawie reguł, komputery bez tego punktu końcowego nie będą dostępne.Administrator utworzył punkt końcowy z ograniczoną przestrzenią uruchamiania o nazwie PswaEndpoint i chce ograniczyć dostęp do określonych użytkowników. Administrator tworzy grupę użytkowników o nazwie Level1Support i definiuje następującą regułę: Level1Support,*,PswaEndpoint. Reguła przyznaje wszystkim użytkownikom w grupie Poziom1Obsługiwanie dostępu do wszystkich komputerów z konfiguracją programu PswaEndpoint . Podobnie dostęp może być ograniczony do określonego zestawu komputerów.
Niektórzy administratorzy zapewniają niektórym użytkownikom większy dostęp niż inni. Na przykład administrator tworzy dwie grupy użytkowników, Administratorzy i BasicSupport. Administrator tworzy również punkt końcowy z ograniczoną przestrzenią uruchamiania o nazwie PswaEndpoint i definiuje następujące dwie reguły: Administratorzy,*,* i BasicSupport,*,*,PswaEndpoint. Pierwsza reguła zapewnia wszystkim użytkownikom w grupie Administracja dostęp do wszystkich komputerów, a druga reguła zapewnia wszystkim użytkownikom w grupie BasicSupport dostęp tylko do tych komputerów z programem PswaEndpoint.
Administrator skonfigurował prywatne środowisko testowe i chce zezwolić wszystkim autoryzowanym użytkownikom sieciowym na dostęp do wszystkich komputerów w sieci, do których zwykle mają dostęp, z dostępem do wszystkich konfiguracji sesji, do których zwykle mają dostęp. Ponieważ jest to prywatne środowisko testowe, administrator tworzy regułę autoryzacji, która nie jest bezpieczna. — Administrator uruchamia polecenie cmdlet
Add-PswaAuthorizationRule * * *, które używa symbolu * wieloznakowego do reprezentowania wszystkich użytkowników, wszystkich komputerów i wszystkich konfiguracji. - Ta reguła jest odpowiednikiem następujących elementów:Add-PswaAuthorizationRule -UserName * -ComputerName * -ConfigurationName *.Uwaga
Ta reguła nie jest zalecana w bezpiecznym środowisku i pomija warstwę reguły autoryzacji zabezpieczeń zapewnianą przez program Windows PowerShell Web Access.
Administrator musi zezwolić użytkownikom na łączenie się z komputerami docelowymi w środowisku obejmującym zarówno grupy robocze, jak i domeny, gdzie komputery grupy roboczej są czasami używane do łączenia się z komputerami docelowymi w domenach, a komputery w domenach są czasami używane do łączenia się z komputerami docelowymi w grupach roboczych. Administrator ma serwer bramy PswaServer w grupie roboczej; a komputer docelowy srv1.contoso.com znajduje się w domenie. Użytkownik Chris jest autoryzowanym użytkownikiem lokalnym na serwerze bramy grupy roboczej i komputerze docelowym. Jego nazwa użytkownika na serwerze grupy roboczej to chrisLocal; i jego nazwa użytkownika na komputerze docelowym to contoso\chris. Aby autoryzować dostęp do srv1.contoso.com dla Chrisa, administrator dodaje następującą regułę.
Add-PswaAuthorizationRule -userName PswaServer\chrisLocal `
-computerName srv1.contoso.com -configurationName Microsoft.PowerShell
Powyższy przykład reguły uwierzytelnia Chrisa na serwerze bramy, a następnie autoryzuje jego dostęp do aplikacji srv1. Na stronie logowania Chris musi podać drugi zestaw poświadczeń w obszarze Opcjonalne ustawienia połączenia (contoso\chris). Serwer bramy używa dodatkowego zestawu poświadczeń do uwierzytelniania go na komputerze docelowym , srv1.contoso.com.
W poprzednim scenariuszu Windows PowerShell Web Access ustanawia pomyślne połączenie z komputerem docelowym dopiero po pomyślnym pomyślnym wykonaniu następujących czynności i dozwolone przez co najmniej jedną regułę autoryzacji.
Uwierzytelnianie na serwerze bramy grupy roboczej przez dodanie nazwy użytkownika w formacie server_name\user_name do reguły autoryzacji
Uwierzytelnianie na komputerze docelowym przy użyciu alternatywnych poświadczeń podanych na stronie logowania w obszarze Opcjonalne ustawienia połączenia
Uwaga
Jeśli brama i komputery docelowe znajdują się w różnych grupach roboczych lub domenach, należy ustanowić relację zaufania między dwoma komputerami grupy roboczej, dwie domeny lub między grupą roboczą a domeną. Nie można skonfigurować tej relacji przy użyciu poleceń cmdlet reguły autoryzacji dostępu do sieci Web Windows PowerShell. Reguły autoryzacji nie definiują relacji zaufania między komputerami; mogą autoryzować użytkowników tylko do łączenia się z określonymi komputerami docelowymi i konfiguracjami sesji. Aby uzyskać więcej informacji na temat konfigurowania relacji zaufania między różnymi domenami, zobacz Tworzenie relacji domen i relacji zaufania lasu. Aby uzyskać więcej informacji na temat dodawania komputerów grupy roboczej do listy zaufanych hostów, zobacz Zdalne zarządzanie za pomocą Menedżer serwera.
Używanie jednego zestawu reguł autoryzacji dla wielu witryn
Reguły autoryzacji są przechowywane w pliku XML. Domyślnie nazwa ścieżki pliku XML to $env:windir\Web\PowershellWebAccess\data\AuthorizationRules.xml.
Ścieżka do pliku XML reguł autoryzacji jest przechowywana w pliku powwa.config , który znajduje się w $env:windir\Web\PowershellWebAccess\datapliku . Administrator ma elastyczność zmiany odwołania do ścieżki domyślnej w powwa.config zgodnie z preferencjami lub wymaganiami. Zezwolenie administratorowi na zmianę lokalizacji pliku umożliwia wielu bramom dostępu do sieci Web Windows PowerShell używanie tych samych reguł autoryzacji, jeśli taka konfiguracja jest wymagana.
Zarządzanie sesjami
Domyślnie Windows PowerShell dostęp do sieci Web ogranicza użytkownika do trzech sesji jednocześnie. Plik web.config aplikacji internetowej można edytować w Menedżerze usług IIS, aby obsługiwać inną liczbę sesji na użytkownika. Ścieżka do pliku web.config to $env:windir\Web\PowerShellWebAccess\wwwroot\Web.config.
Domyślnie serwer sieci Web usług IIS jest skonfigurowany do ponownego uruchamiania puli aplikacji, jeśli są edytowane jakiekolwiek ustawienia. Na przykład pula aplikacji zostanie ponownie uruchomiona, jeśli zmiany zostaną wprowadzone do pliku web.config . >Ponieważ program Windows PowerShell Web Access używa stanów sesji w pamięci, >użytkownicy zalogowani do Windows PowerShell sesji programu Web Access utracą sesje po ponownym uruchomieniu puli aplikacji.
Ustawianie domyślnych parametrów na stronie logowania
Jeśli brama Windows PowerShell Web Access jest uruchomiona w Windows Server 2012 R2, możesz skonfigurować wartości domyślne ustawień wyświetlanych na stronie logowania Windows PowerShell Web Access. Wartości można skonfigurować w pliku web.config opisanym w poprzednim akapicie. Wartości domyślne ustawień strony logowania znajdują się w sekcji appSettings pliku web.config; Poniżej przedstawiono przykład sekcji appSettings . Prawidłowe wartości dla wielu z tych ustawień są takie same jak dla odpowiednich parametrów polecenia cmdlet New-PSSession w Windows PowerShell.
Na przykład klucz, defaultApplicationName jak pokazano w poniższym bloku kodu, jest wartością zmiennej preferencji $PSSessionApplicationName na komputerze docelowym.
<appSettings>
<add key="maxSessionsAllowedPerUser" value="3"/>
<add key="defaultPortNumber" value="5985"/>
<add key="defaultSSLPortNumber" value="5986"/>
<add key="defaultApplicationName" value="WSMAN"/>
<add key="defaultUseSslSelection" value="0"/>
<add key="defaultAuthenticationType" value="0"/>
<add key="defaultAllowRedirection" value="0"/>
<add key="defaultConfigurationName" value="Microsoft.PowerShell"/>
</appSettings>
Limity czasu i nieplanowane rozłączenia
Windows PowerShell przekroczenie limitu czasu sesji programu Web Access. W programie Windows PowerShell Web Access uruchomionym na Windows Server 2012 zostanie wyświetlony komunikat o przekroczeniu limitu czasu dla zalogowanych użytkowników po 15 minutach braku aktywności sesji. Jeśli użytkownik nie odpowie w ciągu pięciu minut po wyświetleniu komunikatu o przekroczeniu limitu czasu, sesja zostanie zakończona, a użytkownik zostanie wylogowany. Okresy limitu czasu dla sesji można zmienić w ustawieniach witryny internetowej w Menedżerze usług IIS.
W programie Windows PowerShell Web Access uruchomionym w Windows Server 2012 R2 limit czasu sesji jest domyślnie przekroczony po 20 minutach braku aktywności. Jeśli użytkownicy są odłączeni od sesji w konsoli internetowej z powodu błędów sieci lub innych nieplanowanych zamknięć lub awarii, a nie dlatego, że zamknęli same sesje, sesje Windows PowerShell web access będą nadal uruchamiane, połączone z komputerami docelowymi, aż do przekroczenia limitu czasu po stronie klienta. Sesja jest rozłączona po domyślnym 20 minutach lub po upływie limitu czasu określonego przez administratora bramy, w zależności od tego, co jest krótsze.
Jeśli serwer bramy jest uruchomiony Windows Server 2012 R2, Windows PowerShell Web Access umożliwia użytkownikom ponowne łączenie się z zapisanymi sesjami w późniejszym czasie, ale gdy błędy sieci, nieplanowane zamknięcia lub inne błędy rozłączają sesje, użytkownicy nie będą mogli zobaczyć lub ponownie nawiązać połączenia z zapisanymi sesjami dopiero po upływie limitu czasu określonego przez administratora bramy.