Registrando configurações de JEA
Depois de criar os recursos de função e o arquivo de configuração da sessão, a última etapa é registrar o ponto de extremidade JEA. O registro do ponto de extremidade JEA no sistema torna o ponto de extremidade disponível para uso por usuários e mecanismos de automação.
Configuração de máquina única
Para ambientes pequenos, você pode implantar o JEA registrando o arquivo de configuração de sessão usando o cmdlet Register-PSSessionConfiguration .
Antes de começar, verifique se os seguintes pré-requisitos foram atendidos:
- Uma ou mais funções foram criadas e colocadas na pasta RoleCapabilities de um módulo do PowerShell.
- Um arquivo de configuração de sessão foi criado e testado.
- O usuário que registra a configuração JEA tem direitos de administrador no sistema.
- Você selecionou um nome para seu ponto de extremidade JEA.
O nome do ponto de extremidade JEA é necessário quando os usuários se conectam ao sistema usando JEA. O cmdlet Get-PSSessionConfiguration lista os nomes dos pontos de extremidade em um sistema. Os pontos de extremidade que começam com microsoft são normalmente fornecidos com o Windows. O microsoft.powershell ponto de extremidade é o ponto de extremidade padrão usado ao se conectar a um ponto de extremidade remoto do PowerShell.
Get-PSSessionConfiguration | Select-Object Name
Name
----
microsoft.powershell
microsoft.powershell.workflow
microsoft.powershell32
Execute o seguinte comando para registrar o ponto de extremidade.
Register-PSSessionConfiguration -Path .\MyJEAConfig.pssc -Name 'JEAMaintenance' -Force
Aviso
O comando anterior reinicia o serviço WinRM no sistema. Isso encerra todas as sessões remotas do PowerShell e todas as configurações DSC em andamento. Recomendamos que você coloque as máquinas de produção offline antes de executar o comando para evitar interromper as operações de negócios.
Após o registro, você estará pronto para usar o JEA. Você pode excluir o arquivo de configuração da sessão a qualquer momento. O arquivo de configuração não é usado após o registro do ponto de extremidade.
Configuração de várias máquinas com DSC
Ao implantar o JEA em várias máquinas, o modelo de implantação mais simples usa o recurso de Configuração de Estado Desejado (DSC) do JEA para implantar o JEA de forma rápida e consistente em cada máquina.
Para implantar o JEA com DSC, verifique se os seguintes pré-requisitos são atendidos:
- Um ou mais recursos de função foram criados e adicionados a um módulo do PowerShell.
- O módulo do PowerShell que contém as funções é armazenado em um compartilhamento de arquivos (somente leitura) acessível por cada máquina.
- As configurações para a configuração da sessão foram determinadas. Você não precisa criar um arquivo de configuração de sessão ao usar o recurso JEA DSC.
- Você tem credenciais que permitem ações administrativas em cada máquina ou acesso ao servidor de recebimento DSC usado para gerenciar as máquinas.
- Você baixou o recurso JEA DSC.
Crie uma configuração DSC para seu ponto de extremidade JEA em uma máquina de destino ou servidor pull. Nessa configuração, o recurso DSC JustEnoughAdministration define o arquivo de configuração da sessão e o recurso Arquivo copia os recursos de função do compartilhamento de arquivos.
As seguintes propriedades são configuráveis usando o recurso DSC:
- Definições de Função
- Grupos de contas virtuais
- Nome da conta de serviço gerenciada por grupo
- Diretório de transcrição
- Unidade do usuário
- Regras de acesso condicional
- Scripts de inicialização para a sessão JEA
A sintaxe para cada uma dessas propriedades em uma configuração DSC é consistente com o arquivo de configuração de sessão do PowerShell.
Abaixo está um exemplo de configuração DSC para um módulo de manutenção geral do servidor. Ele pressupõe que um módulo válido do PowerShell contendo recursos de função esteja localizado no \\myfileshare\JEA compartilhamento de arquivos.
Configuration JEAMaintenance
{
Import-DscResource -Module JustEnoughAdministration, PSDesiredStateConfiguration
File MaintenanceModule
{
SourcePath = "\\myfileshare\JEA\ContosoMaintenance"
DestinationPath = "C:\Program Files\WindowsPowerShell\Modules\ContosoMaintenance"
Checksum = "SHA-256"
Ensure = "Present"
Type = "Directory"
Recurse = $true
}
JeaEndpoint JEAMaintenanceEndpoint
{
EndpointName = "JEAMaintenance"
RoleDefinitions = "@{ 'CONTOSO\JEAMaintenanceAuditors' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit' }; 'CONTOSO\JEAMaintenanceAdmins' = @{ RoleCapabilities = 'GeneralServerMaintenance-Audit', 'GeneralServerMaintenance-Admin' } }"
TranscriptDirectory = 'C:\ProgramData\JEAConfiguration\Transcripts'
DependsOn = '[File]MaintenanceModule'
}
}
Em seguida, a configuração é aplicada em um sistema invocando diretamente o Gerenciador de Configuração Local ou atualizando a configuração do servidor de receção.
O recurso DSC também permite que você substitua o ponto de extremidade padrão Microsoft.PowerShell . Quando substituído, o recurso registra automaticamente um ponto de extremidade de backup chamado Microsoft.PowerShell.Restricted. O ponto de extremidade de backup tem a ACL WinRM padrão que permite que Usuários de Gerenciamento Remoto e membros do grupo Administradores locais o acessem.
Cancelar o registro de configurações de JEA
O cmdlet Unregister-PSSessionConfiguration remove um ponto de extremidade JEA. Cancelar o registro de um ponto de extremidade JEA impede que novos usuários criem novas sessões JEA no sistema. Ele também permite que você atualize uma configuração JEA registrando novamente um arquivo de configuração de sessão atualizado usando o mesmo nome de ponto final.
# Unregister the JEA endpoint called "ContosoMaintenance"
Unregister-PSSessionConfiguration -Name 'ContosoMaintenance' -Force
Aviso
Cancelar o registro de um ponto de extremidade JEA faz com que o serviço WinRM seja reiniciado. Isso interrompe a maioria das operações de gerenciamento remoto em andamento, incluindo outras sessões do PowerShell, invocações WMI e algumas ferramentas de gerenciamento. Cancele o registro de pontos de extremidade do PowerShell somente durante as janelas de manutenção planejadas.
