Udostępnij za pośrednictwem

Instalowanie i używanie Windows PowerShell Web Access

  • Artykuł

Zaktualizowano: 5 listopada 2013 r. (edycja: 23 sierpnia 2017 r.)

Dotyczy: Windows Server 2012 R2, Windows Server 2012

Wprowadzenie

Windows PowerShell Web Access, po raz pierwszy wprowadzony w Windows Server 2012, działa jako brama Windows PowerShell, zapewniając konsolę Windows PowerShell internetową przeznaczoną dla komputera zdalnego. Umożliwia ona informatykom uruchamianie Windows PowerShell poleceń i skryptów z konsoli Windows PowerShell w przeglądarce internetowej bez Windows PowerShell, oprogramowania do zarządzania zdalnego lub instalacji wtyczki przeglądarki niezbędnej na urządzeniu klienckim. Wszystko, co jest wymagane do uruchamiania konsoli Windows PowerShell opartej na sieci Web, to prawidłowo skonfigurowany Windows PowerShell bramy programu Web Access oraz przeglądarka urządzeń klienckich, która obsługuje język JavaScript i akceptuje pliki cookie.

Przykładami urządzeń klienckich są laptopy, komputery osobiste inne niż służbowe, pożyczone komputery, tablety, kioski internetowe, komputery, które nie korzystają z systemu operacyjnego Windows i przeglądarki telefonów komórkowych. Specjalista IT może wykonywać krytyczne zadania zarządzania na zdalnych serwerach z systemem Windows z urządzeń, które mają dostęp do połączenia internetowego i przeglądarki internetowej.

Po pomyślnym skonfigurowaniu i konfiguracji bramy użytkownicy mogą uzyskać dostęp do konsoli Windows PowerShell przy użyciu przeglądarki internetowej. Gdy użytkownicy otwierają zabezpieczoną witrynę internetową Windows PowerShell Web Access, mogą uruchamiać konsolę Windows PowerShell internetową po pomyślnym uwierzytelnieniu.

Windows PowerShell konfiguracja i konfiguracja programu Web Access to trzyetapowy proces:

  1. Instalowanie programu Windows PowerShell Web Access
  2. Konfigurowanie bramy
  3. Konfigurowanie restrykcyjnej reguły autoryzacji

Przed zainstalowaniem i skonfigurowaniem programu Windows PowerShell Web Access zalecamy przeczytanie tego całego przewodnika, który zawiera instrukcje dotyczące sposobu instalowania, zabezpieczania i odinstalowywania Windows PowerShell Web Access. W temacie Use the Web-based Windows PowerShell Console (Korzystanie z konsoli Windows PowerShell sieci Web) opisano sposób logowania użytkowników do konsoli internetowej oraz omówienie ograniczeń i różnic między konsolą Windows PowerShell internetową a konsolą powershell.exe. Użytkownicy końcowi konsoli internetowej powinni przeczytać artykuł Korzystanie z konsoli Windows PowerShell opartej na sieci Web, ale nie muszą odczytywać pozostałej części tego przewodnika.

Ten temat nie zawiera szczegółowych wskazówek dotyczących operacji serwera sieci Web usług IIS; w tym temacie opisano tylko te kroki wymagane do skonfigurowania bramy dostępu do sieci Web Windows PowerShell. Aby uzyskać więcej informacji na temat konfigurowania i zabezpieczania witryn internetowych w usługach IIS, zobacz zasoby dokumentacji usług IIS w sekcji Zobacz również.

Na poniższym diagramie przedstawiono sposób działania Windows PowerShell Web Access.

diagram Windows PowerShell Web Access

Wymagania dotyczące uruchamiania programu Windows PowerShell Web Access

Windows PowerShell dostęp do sieci Web wymaga uruchomienia serwera sieci Web (IIS), .NET Framework 4.5 oraz Windows PowerShell 3.0 lub Windows PowerShell 4.0 na serwerze, na którym chcesz uruchomić bramę. Dostęp Windows PowerShell sieci Web można zainstalować na serwerze z systemem Windows Server 2012 R2 lub Windows Server 2012 za pomocą Kreatora dodawania ról i funkcji w Menedżer serwera lub Windows PowerShell polecenia cmdlet wdrażania dla Menedżer serwera. Podczas instalowania programu Windows PowerShell Web Access przy użyciu Menedżer serwera lub poleceń cmdlet wdrażania wymagane role i funkcje są automatycznie dodawane w ramach procesu instalacji.

Windows PowerShell dostęp do sieci Web umożliwia użytkownikom zdalnym dostęp do komputerów w organizacji przy użyciu Windows PowerShell w przeglądarce internetowej. Chociaż Windows PowerShell Web Access jest wygodnym i zaawansowanym narzędziem do zarządzania, dostęp internetowy stanowi zagrożenie bezpieczeństwa i powinien być skonfigurowany tak bezpiecznie, jak to możliwe. Zalecamy, aby administratorzy, którzy skonfigurowali bramę dostępu do sieci Web Windows PowerShell korzystają z dostępnych warstw zabezpieczeń, zarówno reguł autoryzacji opartych na poleceniach cmdlet dołączonych do Windows PowerShell Web Access, jak i warstw zabezpieczeń dostępnych w aplikacjach serwera sieci Web (IIS) i aplikacji innych firm. Ta dokumentacja zawiera zarówno niezabezpieczone przykłady, które są zalecane tylko dla środowisk testowych, jak i przykłady zalecane do bezpiecznych wdrożeń.

Obsługa przeglądarki i urządzeń klienckich

program Windows PowerShell Web Access obsługuje następujące przeglądarki internetowe. Chociaż przeglądarki mobilne nie są oficjalnie obsługiwane, wiele z tych przeglądarek może być w stanie uruchomić konsolę Windows PowerShell internetową. Inne przeglądarki, które akceptują pliki cookie, uruchamiają język JavaScript i uruchamiają witryny internetowe HTTPS, powinny działać, ale nie są oficjalnie testowane.

Obsługiwane przeglądarki komputerów stacjonarnych

  • Windows Internet Explorer for Microsoft Windows 8.0, 9.0, 10.0 i 11.0
  • Mozilla Firefox 10.0.2
  • Google Chrome 17.0.963.56m dla systemu Windows
  • Apple Safari 5.1.2 dla systemu Windows
  • Apple Safari 5.1.2 dla systemu Mac OS

Minimalnie przetestowane urządzenia przenośne lub przeglądarki

  • Windows Phone 7 i 7.5
  • Google Android WebKit 3.1 Browser Android 2.2.1 (Jądro 2.6)
  • Apple Safari dla systemu operacyjnego iPhone 5.0.1
  • Apple Safari dla tabletu iPad 2 z systemem operacyjnym 5.0.1

Wymagania dotyczące przeglądarek

Aby użyć konsoli sieci Web programu Windows PowerShell Web Access, przeglądarki muszą wykonać następujące czynności.

  • Zezwalaj na pliki cookie z witryny internetowej bramy Windows PowerShell Web Access.
  • Możliwość otwierania i odczytywania stron HTTPS.
  • Otwórz i uruchom witryny internetowe korzystające z języka JavaScript.

Bramę dostępu Windows PowerShell sieci Web można zainstalować na serwerze z systemem Windows Server 2012 R2 lub Windows Server 2012 za pomocą poleceń cmdlet Windows PowerShell lub za pomocą Kreatora dodawania ról i funkcji otwieranego z poziomu programu Menedżer serwera. Aby uzyskać szybką instalację i konfigurację, użyj poleceń cmdlet Windows PowerShell zgodnie z opisem w tej sekcji.

  1. Instalowanie programu Windows PowerShell Web Access
  2. Konfigurowanie bramy
  3. Konfigurowanie restrykcyjnej reguły autoryzacji

Instalowanie programu Windows PowerShell Web Access przy użyciu poleceń cmdlet programu PowerShell

Aby zainstalować program Windows PowerShell Web Access przy użyciu poleceń cmdlet Windows PowerShell

  1. Wykonaj jedną z następujących czynności, aby otworzyć sesję środowiska Windows PowerShell z podwyższonym poziomem uprawnień użytkownika.

    • Na pulpicie systemu Windows kliknij prawym przyciskiem myszy ikonę programu Windows PowerShell na pasku zadań, a następnie kliknij polecenie Uruchom jako administrator.
    • Na ekranie Start systemu Windows kliknij prawym przyciskiem myszy Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator.

    Uwaga

    W Windows PowerShell 3.0 i 4.0 nie ma potrzeby importowania modułu cmdlet Menedżer serwera do sesji Windows PowerShell przed uruchomieniem poleceń cmdlet będących częścią modułu. Moduł jest automatycznie importowany podczas pierwszego uruchomienia polecenia cmdlet wchodzącego w skład modułu. Ponadto polecenia cmdlet Windows PowerShell nie są uwzględniane wielkości liter.

  2. Wpisz następujące polecenie, a następnie naciśnij klawisz Enter, gdzie computer_name reprezentuje komputer zdalny, na którym chcesz zainstalować program Windows PowerShell Web Access, jeśli ma to zastosowanie. Parametr -Restart automatycznie uruchamia serwery docelowe, jeśli jest to wymagane.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

    Uwaga

    Instalowanie Windows PowerShell programu Web Access przy użyciu poleceń cmdlet Windows PowerShell nie powoduje domyślnego dodawania narzędzi do zarządzania serwerem sieci Web (IIS). Jeśli chcesz zainstalować narzędzia do zarządzania na tym samym serwerze co brama Windows PowerShell Web Access, dodaj -IncludeManagementTools parametr do polecenia instalacji (jak podano w tym kroku). Jeśli zarządzasz witryną internetową Windows PowerShell Web Access z komputera zdalnego, zainstaluj przystawkę Menedżera usług IIS, instalując narzędzia administracji zdalnej serwera dla Windows 8.1 lub narzędzia administracji zdalnej serwera dla Windows 8 na komputerze, z którego chcesz zarządzać bramą.

    Aby zainstalować role i funkcje na dysku VHD w trybie offline, należy dodać zarówno parametr, jak -ComputerName-VHD i parametr. Parametr -ComputerName zawiera nazwę serwera, na którym należy zainstalować dysk VHD, a parametr -VHD zawiera ścieżkę do pliku dysku VHD na określonym serwerze.

    Install-WindowsFeature -Name WindowsPowerShellWebAccess -VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

  3. Po zakończeniu instalacji sprawdź, czy program Windows PowerShell Web Access został zainstalowany na serwerach docelowych, uruchamiając Get-WindowsFeature polecenie cmdlet na serwerze docelowym w konsoli Windows PowerShell, która została otwarta z podwyższonym poziomem uprawnień użytkownika. Możesz również sprawdzić, czy program Windows PowerShell Web Access został zainstalowany w konsoli Menedżer serwera, wybierając serwer docelowy na stronie Wszystkie serwery, a następnie wyświetlając kafelek Role i funkcje dla wybranego serwera. Możesz również wyświetlić plik readme dla programu Windows PowerShell Web Access.

  4. Po zainstalowaniu programu Windows PowerShell Web Access zostanie wyświetlony monit o przejrzenie pliku readme, który zawiera podstawowe, wymagane instrukcje instalacji bramy. Te instrukcje konfiguracji znajdują się również w poniższej sekcji Konfigurowanie bramy. Ścieżka do pliku readme to C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurowanie bramy

Polecenie cmdlet Install-PswaWebApplication to szybki sposób konfigurowania programu Windows PowerShell Web Access. Mimo że można dodać UseTestCertificate parametr do polecenia cmdlet w Install-PswaWebApplication celu zainstalowania certyfikatu SSL z podpisem własnym do celów testowych, nie jest to bezpieczne. W przypadku bezpiecznego środowiska produkcyjnego zawsze należy użyć prawidłowego certyfikatu SSL podpisanego przez urząd certyfikacji. Administratorzy mogą zastąpić certyfikat testowy podpisanym certyfikatem, używając konsoli Menedżera usług IIS.

Konfigurację aplikacji internetowej programu Web Access można wykonać Windows PowerShell, uruchamiając polecenie cmdlet lub wykonując kroki konfiguracji opartej na graficznym interfejsie Install-PswaWebApplication użytkownika w Menedżerze usług IIS. Domyślnie polecenie cmdlet instaluje aplikację internetową , pswa (i pulę aplikacji, pswa_pool), w domyślnym kontenerze witryny sieci Web , jak pokazano w Menedżerze usług IIS; w razie potrzeby możesz poinstruować polecenie cmdlet, aby zmienić domyślny kontener witryny aplikacji internetowej. Menedżer usług IIS oferuje opcje konfiguracji dostępne dla aplikacji internetowych, takie jak zmiana numeru portu lub certyfikatu Secure Sockets Layer (SSL).

Ważne

Zdecydowanie zalecamy, aby administratorzy skonfigurowali bramę tak, aby korzystała z prawidłowego certyfikatu podpisanego przez urząd certyfikacji.

Aby skonfigurować bramę Windows PowerShell Web Access przy użyciu certyfikatu testowego przy użyciu Install-PswaWebApplication

  1. Wykonaj jedną z następujących czynności, aby otworzyć sesję Windows PowerShell.

    • Na pulpicie systemu Windows kliknij prawym przyciskiem myszy Windows PowerShell na pasku zadań.
    • Na ekranie Start systemu Windows kliknij przycisk Windows PowerShell.

  2. Wpisz poniższe polecenie i naciśnij klawisz Enter.

    Install-PswaWebApplication -UseTestCertificate

    Ważne

    Parametr UseTestCertificate powinien być używany tylko w prywatnym środowisku testowym. W przypadku bezpiecznego środowiska produkcyjnego zalecamy użycie prawidłowego certyfikatu podpisanego przez urząd certyfikacji.

    Uruchomienie polecenia cmdlet instaluje aplikację internetową Windows PowerShell Web Access w domyślnym kontenerze witryny sieci Web usług IIS. Polecenie cmdlet tworzy infrastrukturę wymaganą do uruchomienia programu Windows PowerShell Web Access w domyślnej witrynie sieci https://<server_name>/pswaWeb. Aby zainstalować aplikację internetową w innej witrynie internetowej, podaj nazwę witryny internetowej, dodając WebSiteName parametr . Aby zmienić nazwę aplikacji internetowej (wartość domyślna to pswa), dodaj WebApplicationName parametr .

    Następujące ustawienia są konfigurowane przez uruchomienie polecenia cmdlet . Można je zmienić ręcznie w konsoli Menedżera usług IIS, jeśli jest to konieczne.

    • Ścieżka: /pswa
    • Pula aplikacji: pswa_pool
    • EnabledProtocols: http
    • Ścieżka fizyczna: %windir%/Web/PowerShellWebAccess/wwwroot

    Przykład: Install-PswaWebApplication -webApplicationName myWebApp -useTestCertificate

    W tym przykładzie wynikowa witryna internetowa dla Windows PowerShell Web Access to https://<server_name>/myWebApp.

    Uwaga

    Nie można się zalogować, dopóki użytkownicy nie otrzymają dostępu do witryny internetowej, dodając reguły autoryzacji. Aby uzyskać więcej informacji, zobacz konfigurowanie restrykcyjnej reguły autoryzacjioraz reguły autoryzacji i funkcje zabezpieczeń programu Windows PowerShell Web Access.

Aby skonfigurować bramę Windows PowerShell Web Access przy użyciu oryginalnego certyfikatu przy użyciu Install-PswaWebApplication i Menedżera usług IIS

  1. Wykonaj jedną z następujących czynności, aby otworzyć sesję Windows PowerShell.

    • Na pulpicie systemu Windows kliknij prawym przyciskiem myszy Windows PowerShell na pasku zadań.
    • Na ekranie Start systemu Windows kliknij przycisk Windows PowerShell.

  2. Wpisz poniższe polecenie i naciśnij klawisz Enter.

    Install-PswaWebApplication

    Następujące ustawienia bramy są konfigurowane przez uruchomienie polecenia cmdlet . Można je zmienić ręcznie w konsoli Menedżera usług IIS, jeśli jest to konieczne. Można również określić wartości parametrów WebsiteNameInstall-PswaWebApplication i WebApplicationName polecenia cmdlet.

    • Ścieżka: /pswa
    • Pula aplikacji: pswa_pool
    • EnabledProtocols: http
    • Ścieżka fizyczna: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Otwórz konsolę Menedżera usług IIS, wykonując jedną z następujących czynności.

    • Na pulpicie systemu Windows, uruchom Menedżera serwera, klikając Menedżera serwera na pasku zadań systemu Windows. W menu Narzędzia w Menedżer serwera kliknij pozycję Menedżer usług Internet Information Services (IIS).
    • Na ekranie Start systemu Windows kliknij przycisk Menedżer serwera.

  4. W okienku drzewa Menedżera usług IIS rozwiń węzeł serwera, na którym Windows PowerShell program Web Access jest zainstalowany, dopóki folder Lokacje nie będzie widoczny. Rozwiń folder Witryny .

  5. Wybierz witrynę internetową, w której zainstalowano aplikację internetową Windows PowerShell Web Access. W okienku Akcje kliknij pozycję Powiązania.

  6. W oknie dialogowym Powiązanie witryny kliknij przycisk Dodaj.

  7. W oknie dialogowym Dodawanie powiązania witryny w polu Typ wybierz pozycję https.

  8. W polu Certyfikat SSL wybierz podpisany certyfikat z menu rozwijanego. Kliknij przycisk OK. Aby uzyskać więcej informacji na temat uzyskiwania certyfikatu, zobacz Aby skonfigurować certyfikat SSL w Menedżerze usług IIS w tym temacie.

    Aplikacja internetowa Windows PowerShell Web Access jest teraz skonfigurowana do używania podpisanego certyfikatu SSL.

    Dostęp do programu Windows PowerShell Web Access można uzyskać, otwierając w https://<server_name>/pswa oknie przeglądarki.

    Uwaga

    Nie można się zalogować, dopóki użytkownicy nie otrzymają dostępu do witryny internetowej, dodając reguły autoryzacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie restrykcyjnej reguły autoryzacji, w tym temacie oraz Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell Web Access.

Konfigurowanie restrykcyjnej reguły autoryzacji

Po zainstalowaniu programu Windows PowerShell Web Access i skonfigurowaniu bramy użytkownicy mogą otworzyć stronę logowania w przeglądarce, ale nie mogą się zalogować, dopóki administrator Windows PowerShell Web Access jawnie nie przyzna użytkownikom dostępu. Windows PowerShell kontrola dostępu do sieci Web jest zarządzana przy użyciu zestawu poleceń cmdlet Windows PowerShell opisanych w poniższej tabeli. Nie ma porównywalnego graficznego interfejsu użytkownika do dodawania reguł autoryzacji ani zarządzania nimi. Aby uzyskać bardziej szczegółowe informacje na temat poleceń cmdlet programu Windows PowerShell Web Access, zobacz tematy referencyjne dotyczące poleceń cmdlet, Windows PowerShell polecenia cmdlet programu Web Access.

Aby uzyskać więcej informacji na temat Windows PowerShell reguł autoryzacji i zabezpieczeń dostępu do sieci Web, zobacz Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell Web Access.

Aby dodać restrykcyjną regułę autoryzacji

  1. Wykonaj jedną z następujących czynności, aby otworzyć sesję środowiska Windows PowerShell z podwyższonym poziomem uprawnień użytkownika.

    • Na pulpicie systemu Windows kliknij prawym przyciskiem myszy ikonę programu Windows PowerShell na pasku zadań, a następnie kliknij polecenie Uruchom jako administrator.
    • Na ekranie Start systemu Windows kliknij prawym przyciskiem myszy Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator.

  2. Opcjonalny krok ograniczania dostępu użytkowników przy użyciu konfiguracji sesji: sprawdź, czy konfiguracje sesji, które mają być używane w regułach, już istnieją. Jeśli jeszcze nie zostały utworzone, skorzystaj z instrukcji dotyczących tworzenia konfiguracji sesji w about_Session_Configuration_Files.

  3. Wpisz poniższe polecenie i naciśnij klawisz Enter.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Ta reguła autoryzacji umożliwia określonemu użytkownikowi dostęp do jednego komputera w sieci, do którego zazwyczaj mają dostęp, z dostępem do określonej konfiguracji sesji, która jest ograniczona do typowych potrzeb skryptów i poleceń cmdlet użytkownika.

    W poniższym przykładzie użytkownik o nazwie JSmith w Contoso domenie ma dostęp do zarządzania komputerem Contoso_214i używa konfiguracji sesji o nazwie NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Sprawdź, czy reguła została utworzona, uruchamiając Get-PswaAuthorizationRule polecenie cmdlet lub Test-PswaAuthorizationRule -UserName <domain\user> -ComputerName <computer-name>

    Na przykład Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

Po skonfigurowaniu reguły autoryzacji możesz przystąpić do autoryzowania użytkowników do logowania się do konsoli internetowej i rozpocząć korzystanie z programu Windows PowerShell Web Access.

Wdrożenie niestandardowe

Bramę Windows PowerShell Web Access można zainstalować na serwerze z systemem Windows Server 2012 R2 lub Windows Server 2012 za pomocą Kreatora dodawania ról i funkcji w Menedżer serwera. Po zainstalowaniu Windows PowerShell programu Web Access można dostosować konfigurację bramy w Menedżerze usług IIS.

Instalowanie programu Windows PowerShell Web Access za pomocą Kreatora dodawania ról i funkcji

  1. Jeśli Menedżer serwera jest już otwarty, przejdź do następnego kroku. Jeśli Menedżer serwera nie jest już otwarty, otwórz go, wykonując jedną z następujących czynności.

    • Na pulpicie systemu Windows, uruchom Menedżera serwera, klikając Menedżera serwera na pasku zadań systemu Windows.
    • Na ekranie Start systemu Windows kliknij przycisk Menedżer serwera.

  2. Na Zarządzaj menu, kliknij przycisk Dodaj role i funkcje.

  3. Na stronie Wybieranie typu instalacji wybierz pozycję Instalacja oparta na rolach lub funkcjach. Kliknij przycisk Dalej.

  4. Na serwer docelowy wybierz strony, wybierz serwer z puli serwerów lub wybierz dysk VHD trybu offline. Aby wybrać dysk VHD w trybie offline jako serwer docelowy, najpierw wybierz serwer, na którym należy zainstalować dysk VHD, a następnie wybierz plik dysku VHD. Aby uzyskać informacje na temat dodawania serwerów do puli serwerów, zobacz pomoc Menedżer serwera. Po wybraniu serwera docelowego kliknij Dalej.

  5. Na stronie Wybieranie funkcji kreatora rozwiń węzeł Windows PowerShell, a następnie wybierz pozycję Windows PowerShell Web Access.

  6. Należy pamiętać, że zostanie wyświetlony monit o dodanie wymaganych funkcji, takich jak .NET Framework 4.5 i usług ról serwera sieci Web (IIS). Dodaj wymagane funkcje i kontynuuj.

    Uwaga

    Instalowanie programu Windows PowerShell Web Access przy użyciu Kreatora dodawania ról i funkcji instaluje również serwer sieci Web (IIS), w tym przystawkę Menedżera usług IIS. Przystawka i inne narzędzia do zarządzania usługami IIS są instalowane domyślnie, jeśli używasz Kreatora dodawania ról i funkcji. Jeśli zainstalujesz program Windows PowerShell Web Access przy użyciu poleceń cmdlet Windows PowerShell zgodnie z opisem w poniższej procedurze, narzędzia do zarządzania nie są domyślnie dodawane.

  7. Jeśli pliki funkcji programu Windows PowerShell Web Access nie są przechowywane na serwerze docelowym wybranym w kroku 4, kliknij przycisk Określ alternatywną ścieżkę źródłową i podaj ścieżkę do plików funkcji na stronie Potwierdzanie wyboru instalacji. W przeciwnym razie kliknij przycisk Zainstaluj.

  8. Po kliknięciu przycisku Zainstaluj na stronie Postęp instalacji zostanie wyświetlony postęp instalacji, wyniki i komunikaty, takie jak ostrzeżenia, błędy lub kroki konfiguracji po instalacji wymagane dla programu Windows PowerShell Web Access. Po zainstalowaniu programu Windows PowerShell Web Access zostanie wyświetlony monit o przejrzenie pliku readme zawierającego podstawowe, wymagane instrukcje konfiguracji bramy. Te instrukcje są również zawarte w tym temacie. Ścieżka do pliku readme to C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Konfigurowanie bramy

Instrukcje w tej sekcji dotyczą instalowania aplikacji internetowej programu Windows PowerShell Web Access w podkatalogu, a nie w katalogu głównym witryny sieci Web. Ta procedura jest opartym na graficznym interfejsie użytkownika odpowiednikiem akcji wykonywanych przez Install-PswaWebApplication polecenie cmdlet. Ta sekcja zawiera również instrukcje dotyczące konfigurowania bramy Windows PowerShell Web Access jako głównej witryny sieci Web za pomocą Menedżera usług IIS.

Aby skonfigurować bramę w istniejącej witrynie sieci Web przy użyciu Menedżera usług IIS

  1. Otwórz konsolę Menedżera usług IIS, wykonując jedną z następujących czynności.

    • Na pulpicie systemu Windows, uruchom Menedżera serwera, klikając Menedżera serwera na pasku zadań systemu Windows. W menu Narzędzia w Menedżer serwera kliknij pozycję Menedżer usług Internet Information Services (IIS).
    • Na ekranie Start systemu Windows wpisz dowolną część nazwy Menedżera usług Internet Information Services (IIS). Kliknij skrót po wyświetleniu go w wynikach aplikacji .

  2. Twórca nową pulę aplikacji dla programu Windows PowerShell Web Access. Rozwiń węzeł serwera bramy w okienku drzewa Menedżera usług IIS, wybierz pozycję Pule aplikacji, a następnie kliknij pozycję Dodaj pulę aplikacji w okienku Akcje .

  3. Dodaj nową pulę aplikacji o nazwie pswa_pool lub podaj inną nazwę. Kliknij przycisk OK.

  4. W okienku drzewa Menedżera usług IIS rozwiń węzeł serwera, na którym Windows PowerShell program Web Access jest zainstalowany, dopóki folder Lokacje nie będzie widoczny. Wybierz folder Witryny .

  5. Kliknij prawym przyciskiem myszy witrynę sieci Web (na przykład domyślną witrynę sieci Web), do której chcesz dodać witrynę internetową Windows PowerShell Web Access, a następnie kliknij przycisk Dodaj aplikację.

  6. W polu Alias wpisz pswa lub podaj inny alias. Alias staje się nazwą katalogu wirtualnego. Na przykład plik pswa w następującym adresie URL reprezentuje alias określony w tym kroku: https://<server-name>/pswa.

  7. W polu Pula aplikacji wybierz pulę aplikacji utworzoną w kroku 3.

  8. W polu Ścieżka fizyczna wyszukaj lokalizację aplikacji. Możesz użyć lokalizacji domyślnej. $env:windir/Web/PowerShellWebAccess/wwwroot Kliknij przycisk OK.

  9. Wykonaj kroki opisane w procedurze Aby skonfigurować certyfikat SSL w Menedżerze usług IIS w tym temacie.

  10. Opcjonalny krok zabezpieczeń:

    Po wybraniu witryny internetowej w okienku drzewa kliknij dwukrotnie pozycję Ustawienia PROTOKOŁU SSL w okienku zawartości. Wybierz pozycję Wymagaj protokołu SSL, a następnie w okienku Akcje kliknij przycisk Zastosuj. Opcjonalnie w okienku Ustawienia protokołu SSL można wymagać, aby użytkownicy łączący się z witryną internetową Windows PowerShell Web Access mieli certyfikaty klienta. Certyfikaty klienta pomagają zweryfikować tożsamość użytkownika urządzenia klienckiego. Aby uzyskać więcej informacji o tym, jak wymaganie certyfikatów klienta może zwiększyć bezpieczeństwo dostępu Windows PowerShell Sieci Web, zobacz Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell dostęp do sieci Web w tym przewodniku.

  11. Otwórz sesję przeglądarki na urządzeniu klienckim. Aby uzyskać więcej informacji na temat obsługiwanych przeglądarek i urządzeń, zobacz Obsługa przeglądarki i urządzeń klienckich w tym temacie.

  12. Otwórz nową witrynę internetową Windows PowerShell Web Access, https://<gateway-server-name>/pswa.

    Przeglądarka powinna wyświetlić stronę logowania Windows PowerShell konsoli programu Web Access.

    Uwaga

    Nie można się zalogować, dopóki użytkownicy nie otrzymali dostępu do witryny internetowej, dodając reguły autoryzacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie restrykcyjnej reguły autoryzacji, w tym temacie oraz Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell Dostęp do sieci Web.

  13. W sesji Windows PowerShell, która została otwarta z podwyższonym poziomem uprawnień użytkownika (Uruchom jako administrator), uruchom następujący skrypt, w którym application_pool_name reprezentuje nazwę puli aplikacji utworzonej w kroku 3, aby nadać uprawnienia dostępu puli aplikacji do pliku autoryzacji.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Aby wyświetlić istniejące prawa dostępu w pliku autoryzacji, uruchom następujące polecenie:

    c:\windows\system32\icacls.exe $authorizationFile

Aby skonfigurować bramę jako główną witrynę internetową z certyfikatem testowym za pomocą Menedżera usług IIS

  1. Otwórz konsolę Menedżera usług IIS, wykonując jedną z następujących czynności.

    • Na pulpicie systemu Windows, uruchom Menedżera serwera, klikając Menedżera serwera na pasku zadań systemu Windows. W menu Narzędzia w Menedżer serwera kliknij pozycję Menedżer usług Internet Information Services (IIS).
    • Na ekranie Start systemu Windows wpisz dowolną część nazwy Internet Information Services (IIS) Manager. Kliknij skrót po wyświetleniu go w wynikach aplikacji .

  2. W okienku drzewa Menedżera usług IIS rozwiń węzeł serwera, na którym Windows PowerShell program Web Access jest zainstalowany, dopóki folder Lokacje nie będzie widoczny. Wybierz folder Witryny .

  3. W okienku Akcje kliknij pozycję Dodaj witrynę internetową.

  4. Wpisz nazwę witryny sieci Web, taką jak Windows PowerShell Web Access.

  5. Pula aplikacji jest tworzona automatycznie dla nowej witryny internetowej. Aby użyć innej puli aplikacji, kliknij pozycję Wybierz , aby wybrać pulę aplikacji do skojarzenia z nową witryną internetową. Wybierz alternatywną pulę aplikacji w oknie dialogowym Wybieranie puli aplikacji , a następnie kliknij przycisk OK.

  6. W polu tekstowym Ścieżka fizyczna przejdź do folderu %windir%/Web/PowerShellWebAccess/wwwroot.

  7. W polu Typ obszaru Powiązanie wybierz pozycję https.

  8. Przypisz numer portu do witryny sieci Web, która nie jest jeszcze używana przez inną witrynę lub aplikację. Aby zlokalizować otwarte porty, możesz uruchomić polecenie netstat w oknie wiersza polecenia. Domyślny numer portu to 443.

    Zmień port domyślny, jeśli inna witryna internetowa korzysta już z wersji 443 lub jeśli masz inne powody bezpieczeństwa dotyczące zmiany numeru portu. Jeśli inna witryna internetowa uruchomiona na serwerze bramy korzysta z wybranego portu, po kliknięciu przycisku OK w oknie dialogowym Dodawanie witryny internetowej zostanie wyświetlone ostrzeżenie. Aby uruchomić program Windows PowerShell Web Access, musisz użyć nieużywanego portu.

  9. Opcjonalnie, jeśli jest to konieczne dla organizacji, określ nazwę hosta, która ma sens dla organizacji i użytkowników, takich jak www.contoso.com. Kliknij przycisk OK.

  10. W przypadku bezpieczniejszego środowiska produkcyjnego zdecydowanie zalecamy podanie prawidłowego certyfikatu podpisanego przez urząd certyfikacji. Musisz podać certyfikat SSL, ponieważ użytkownicy mogą łączyć się tylko z Windows PowerShell dostępem do sieci Web za pośrednictwem witryny internetowej HTTPS. Aby uzyskać więcej informacji na temat uzyskiwania certyfikatu, zobacz Aby skonfigurować certyfikat SSL w Menedżerze usług IIS w tym temacie.

  11. Kliknij przycisk OK , aby zamknąć okno dialogowe Dodawanie witryny internetowej .

  12. W sesji Windows PowerShell, która została otwarta z podwyższonym poziomem uprawnień użytkownika (Uruchom jako administrator), uruchom następujący skrypt, w którym application_pool_name reprezentuje nazwę puli aplikacji utworzonej w kroku 4, aby nadać uprawnienia dostępu puli aplikacji do pliku autoryzacji.

    $applicationPoolName = "<application_pool_name>"
$authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null

    Aby wyświetlić istniejące prawa dostępu w pliku autoryzacji, uruchom następujące polecenie:

    c:\windows\system32\icacls.exe $authorizationFile

  13. Po wybraniu nowej witryny internetowej w okienku drzewa Menedżera usług IIS kliknij przycisk Start w okienku Akcje , aby uruchomić witrynę internetową.

  14. Otwórz sesję przeglądarki na urządzeniu klienckim. Aby uzyskać więcej informacji na temat obsługiwanych przeglądarek i urządzeń, zobacz Obsługa przeglądarki i urządzeń klienckich w tym dokumencie.

  15. Otwórz nową witrynę internetową Windows PowerShell Web Access.

    Ponieważ główna witryna internetowa wskazuje folder Windows PowerShell Web Access, przeglądarka powinna wyświetlić stronę logowania Windows PowerShell Web Access po otwarciu https://<gateway_server_name>programu . Nie należy dodawać /pswa do adresu URL.

    Uwaga

    Nie można się zalogować, dopóki użytkownicy nie otrzymali dostępu do witryny internetowej, dodając reguły autoryzacji. Aby uzyskać więcej informacji, zobacz Konfigurowanie restrykcyjnej reguły autoryzacji, w tym temacie oraz Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell Dostęp do sieci Web.

Konfigurowanie restrykcyjnej reguły autoryzacji

Po zainstalowaniu programu Windows PowerShell Web Access i skonfigurowaniu bramy użytkownicy mogą otworzyć stronę logowania w przeglądarce, ale nie mogą się zalogować, dopóki administrator Windows PowerShell Web Access jawnie nie przyzna użytkownikom dostępu. Windows PowerShell kontrola dostępu do sieci Web jest zarządzana przy użyciu zestawu poleceń cmdlet Windows PowerShell opisanych w poniższej tabeli. Nie ma porównywalnego graficznego interfejsu użytkownika do dodawania reguł autoryzacji lub zarządzania nimi. Aby uzyskać bardziej szczegółowe informacje na temat poleceń cmdlet Windows PowerShell Web Access, zobacz tematy referencyjne dotyczące poleceń cmdlet Windows PowerShell poleceń cmdlet programu Web Access.

Aby uzyskać więcej informacji na temat Windows PowerShell reguł autoryzacji i zabezpieczeń dostępu do sieci Web, zobacz Reguły autoryzacji i funkcje zabezpieczeń Windows PowerShell Dostępu do sieci Web.

Dodawanie restrykcyjnej reguły autoryzacji

  1. Wykonaj jedną z następujących czynności, aby otworzyć sesję środowiska Windows PowerShell z podwyższonym poziomem uprawnień użytkownika.

    • Na pulpicie systemu Windows kliknij prawym przyciskiem myszy ikonę programu Windows PowerShell na pasku zadań, a następnie kliknij polecenie Uruchom jako administrator.
    • Na ekranie Start systemu Windows kliknij prawym przyciskiem myszy Windows PowerShell, a następnie kliknij polecenie Uruchom jako administrator.

  2. Opcjonalny krok ograniczania dostępu użytkowników przy użyciu konfiguracji sesji:

    Sprawdź, czy istnieją już konfiguracje sesji, których chcesz użyć w regułach. Jeśli jeszcze nie zostały utworzone, skorzystaj z instrukcji dotyczących tworzenia konfiguracji sesji w about_Session_Configuration_Files.

  3. Wpisz poniższe polecenie i naciśnij klawisz Enter.

    Add-PswaAuthorizationRule -UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>

    Ta reguła autoryzacji umożliwia określonemu użytkownikowi dostęp do jednego komputera w sieci, do którego zwykle mają dostęp, z dostępem do określonej konfiguracji sesji, która jest ograniczona do typowych potrzeb skryptów i poleceń cmdlet użytkownika ™.

    W poniższym przykładzie użytkownik o nazwie JSmith w Contoso domenie ma dostęp do zarządzania komputerem Contoso_214i używa konfiguracji sesji o nazwie NewAdminsOnly.

    Add-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly

  4. Sprawdź, czy reguła została utworzona, uruchamiając Get-PswaAuthorizationRule polecenie cmdlet lub Test-PswaAuthorizationRule -UserName '<domain\user>' -ComputerName <computer-name>.

    Na przykład Test-PswaAuthorizationRule -UserName 'Contoso\JSmith' -ComputerName Contoso_214.

    Po skonfigurowaniu reguły autoryzacji możesz przystąpić do autoryzowania użytkowników do logowania się do konsoli internetowej i rozpocząć korzystanie z Windows PowerShell Web Access.

Konfigurowanie oryginalnego certyfikatu

W przypadku bezpiecznego środowiska produkcyjnego zawsze należy użyć prawidłowego certyfikatu SSL podpisanego przez urząd certyfikacji (CA). Procedura w tej sekcji opisuje sposób uzyskiwania i stosowania prawidłowego certyfikatu SSL z urzędu certyfikacji.

Aby skonfigurować certyfikat SSL w Menedżerze usług IIS

  1. W okienku drzewa Menedżera usług IIS wybierz serwer, na którym jest zainstalowany Windows PowerShell dostęp do sieci Web.

  2. W okienku zawartości kliknij dwukrotnie pozycję Certyfikaty serwera.

  3. W okienku Akcje wykonaj jedną z następujących czynności. Aby uzyskać więcej informacji na temat konfigurowania certyfikatów serwera w usługach IIS, zobacz Konfigurowanie certyfikatów serwera w usługach IIS 7.

    • Kliknij przycisk Importuj , aby zaimportować istniejący prawidłowy certyfikat z lokalizacji w sieci.

    • Kliknij Twórca żądanie certyfikatu, aby zażądać certyfikatu od urzędu certyfikacji, takiego jak VeriSign, Thawte lub GeoTrust. Nazwa pospolita certyfikatu musi być zgodna z nagłówkiem hosta w żądaniu.

      Jeśli na przykład przeglądarka kliencka żąda https://www.contoso.com/, nazwa pospolita musi być również https://www.contoso.com/nazwą . Jest to najbezpieczniejsza i zalecana opcja udostępniania bramy dostępu do sieci Web Windows PowerShell z certyfikatem.

    • Kliknij Twórca certyfikat Self-Signed, aby utworzyć certyfikat, którego można użyć natychmiast, i w razie potrzeby podpisał później przez urząd certyfikacji. Określ przyjazną nazwę certyfikatu z podpisem własnym, na przykład Windows PowerShell Web Access. Ta opcja nie jest uznawana za bezpieczną i jest zalecana tylko dla prywatnego środowiska testowego.

  4. Po utworzeniu lub uzyskaniu certyfikatu wybierz witrynę internetową, do której zastosowano certyfikat (na przykład domyślną witrynę sieci Web) w okienku drzewa Menedżera usług IIS, a następnie kliknij pozycję Powiązania w okienku Akcje .

  5. W oknie dialogowym Dodawanie powiązania witryny dodaj powiązanie https dla witryny, jeśli jeszcze nie jest wyświetlane. Jeśli nie używasz certyfikatu z podpisem własnym, określ nazwę hosta z kroku 3 tej procedury. Jeśli używasz certyfikatu z podpisem własnym, ten krok nie jest wymagany.

  6. Wybierz certyfikat uzyskany lub utworzony w kroku 3 tej procedury, a następnie kliknij przycisk OK.

Korzystanie z konsoli Windows PowerShell opartej na sieci Web

Po zainstalowaniu programu Windows PowerShell Web Access i zakończeniu konfiguracji bramy zgodnie z opisem w tym temacie Windows PowerShell konsola internetowa jest gotowa do użycia. Aby uzyskać więcej informacji na temat rozpoczynania pracy z konsolą internetową, zobacz Use the Web-based Windows PowerShell Console (Korzystanie z konsoli Windows PowerShell opartej na sieci Web).

Zobacz też

Dokumentacja usług Internet Information Services (IIS) 7.0

Pomoc dotycząca menedżera usług IIS 7.0

Konfigurowanie zabezpieczeń serwera sieci Web (IIS 7)

Zasoby wdrażania protokołu IPsec