Just Enough Administration (JEA) 是一项安全技术,委派的管理员可通过它执行可通过 PowerShell 处理的任意操作。使用 JEA,你可以:
- 通过利用代表普通用户执行特权操作的虚拟帐户,减少你计算机上的管理员数量。
- 通过指定用户可运行的 cmdlet、函数和外部命令,限制用户可执行的操作。
- 使用准确显示用户在会话中所执行命令的脚本和日志,更好地了解你的用户进行的操作。
1.检查环境,创建对象
以管理员帐号登录DC,打开PowerShell,创建用户和组;
cmd
net user DeskHelpUser1 [email protected] /add
net group HelpdeskOperator /add
Powershell
Add-ADGroupMember -Members DeskHelpUser1 -Identity HelpdeskOperator
结果:
2.创建和配置会话文件
查看当前会话配置:
Get-PSSessionConfiguration
创建会话配置目录:
New-Item -Path "C:\JEAConfig" -ItemType Directory
新建会话配置文件 :
New-PSSessionConfigurationFile -Path C:\JEAConfig\HelpdeskOperator.pssc
使用记事本打开C:\JEAConfig\HelpdeskOperator.pssc文件,并修改如下;
SessionType =‘RestrictedRemoteServer‘ (默认设置要使用的预定义参数)
TranscriptDirectory ="C:\JEAConfig\Transcripts" (定义在每个远程会话后保存PS脚本的位置)
RunAsVirtualAccount = $true (表示PS必须作为“运行方式”虚拟帐户)
RoleDefinitions = @{‘Contoso\HelpdeskOperator‘ = @{ VisibleCmdlets= ‘Get-Service‘,’Get-Process’ }} (可用于尝试基于其组成员资格建立连接的任何用户的操作)
Register-PSSessionConfiguration -Name ‘HelpdeskOperator‘ -Path "C:\JEAConfig\HelpdeskOperator.pssc"
注册JEA
Get-PSSessionConfiguration
Restart-Service winrm
3.测试JEA会话配置
a.本地测试,
在DC1中打开Power shell窗口,输入
$HelpdeskOperatorCred= Get-Credential (用户名lianggj\DeskHelpUser1密码为[email protected])
Enter-PSSession -ComputerName . -ConfigurationName HelpdeskOperator -Credential $HelpdeskOperatorCred
Get-Command 查看结果
b.远程测试;
以上测试DC在虚拟机中,物理机的虚拟网卡和虚拟机DC同一网段,可通信,如下;
物理机运行PS;
Set-Item WSMan:\localhost\Client\TrustedHosts "172.16.0.10"
$ip = "172.16.0.10"
Enter-PSSession -ComputerName $ip -Credential $ip\DeskHelpUser1
由于用户不属于远程管理员组无法登陆
Enter-PSSession -ComputerName $ip -ConfigurationName HelpdeskOperator -Credential $ip\DeskHelpUser1
通过使用会话配置文件,可以远程登陆
Get-Command 查看结果
详细参考:
https://msdn.microsoft.com/zh-cn/powershell/jea/overview