Главная » Linux

Access windows with administrator

Содержание
  1. User access options with Windows Admin Center
  2. Gateway access roles
  3. Identity provider options
  4. Smartcard authentication
  5. Conditional access and multi-factor authentication
  6. Role-based access control
  7. Available roles
  8. Preparing for role-based access control
  9. How do I log on as an administrator?
  10. How to use the Workgroup Administrator utility in Access
  11. Introduction
  12. More information
  13. Method 1: Use Visual Basic code
  14. Как получить доступ к компьютеру после отключения учетной записи администратора
  15. Аннотация
  16. Вход в Windows в безопасном режиме
  17. Вход в Windows с помощью консоли восстановления
  18. Настройка управления доступом и разрешениями на уровне пользователей Configure User Access Control and Permissions
  19. Определения ролей доступа к шлюзу Gateway access role definitions
  20. Active Directory или группы локальных компьютеров Active Directory or local machine groups
  21. Проверка подлинности смарт-карты Smartcard authentication
  22. Azure Active Directory Azure Active Directory
  23. Доступ к Windows Admin Center при включенной проверке подлинности Azure AD Accessing Windows Admin Center when Azure AD authentication is enabled
  24. Настройка проверки подлинности Azure Active Directory для Windows Admin Center (Предварительная версия) Configuring Azure Active Directory authentication for Windows Admin Center Preview
  25. Настройка проверки подлинности Azure Active Directory для Windows Admin Center Configuring Azure Active Directory authentication for Windows Admin Center
  26. Условный доступ и многофакторная проверка подлинности Conditional access and multi-factor authentication
  27. Настройте единый вход Configure single sign-on
  28. Управление доступом на основе ролей Role-based access control
  29. Применение управления доступом на основе ролей к одному компьютеру Apply role-based access control to a single machine
  30. Применение управления доступом на основе ролей к нескольким компьютерам Apply role-based access control to multiple machines
  31. Скачивание конфигурации управления доступом на основе ролей Download the role-based access control configuration
  32. Развертывание на нескольких компьютерах Deploy on multiple machines

User access options with Windows Admin Center

Applies To: Windows Admin Center, Windows Admin Center Preview

When deployed on Windows Server, Windows Admin Center provides a centralized point of management for your server environment. By controlling access to Windows Admin Center, you can improve the security of your management landscape.

Gateway access roles

Windows Admin Center defines two roles for access to the gateway service: gateway users and gateway administrators.

Access to the gateway does not imply access to the target servers visible by the gateway. To manage a target server, a user must connect with credentials that have administrative privileges on the target server.

Gateway users can connect to the Windows Admin Center gateway service in order to manage servers through that gateway, but they cannot change access permissions nor the authentication mechanism used to authenticate to the gateway.

Gateway administrators can configure who gets access as well as how users will authenticate to the gateway.

If there are no access groups defined in Windows Admin Center, the roles will reflect the Windows account access to the gateway server.

Identity provider options

Gateway administrators can choose either of the following:

Smartcard authentication

When using Active Directory or local machine groups as the identity provider, you can enforce smartcard authentication by requiring users who access Windows Admin Center to be a member of additional smartcard-based security groups. Configure smartcard authentication in Windows Admin Center.

Conditional access and multi-factor authentication

By requiring Azure AD authentication for the gateway, you can leverage additional security features like conditional access and multi-factor authentication provided by Azure AD. Learn more about configuring conditional access with Azure Active Directory.

Role-based access control

By default, users require full local administrator privileges on the machines they wish to manage using Windows Admin Center. This allows them to connect to the machine remotely and ensures they have sufficient permissions to view and modify system settings. However, some users may not need unrestricted access to the machine to perform their jobs. You can use role-based access control in Windows Admin Center to provide such users with limited access to the machine instead of making them full local administrators.

Role-based access control in Windows Admin Center works by configuring each managed server with a PowerShell Just Enough Administration endpoint. This endpoint defines the roles, including what aspects of the system each role is allowed to manage and which users are assigned to the role. When a user connects to the restricted endpoint, a temporary local administrator account is created to manage the system on their behalf. This ensures that even tools which do not have their own delegation model can still be managed with Windows Admin Center. The temporary account is automatically removed when the user stops managing the machine through Windows Admin Center.

When a user connects to a machine configured with role-based access control, Windows Admin Center will first check if they are a local administrator. If they are, they will receive the full Windows Admin Center experience with no restrictions. Otherwise, Windows Admin Center will check if the user belongs to any of the pre-defined roles. A user is said to have limited access if they belong to a Windows Admin Center role but are not a full administrator. Finally, if the user is neither an administrator nor a member of a role, they will be denied access to manage the machine.

Role-based access control is available for the Server Manager and Failover Cluster solutions.

Available roles

Windows Admin Center supports the following end-user roles:

Role name Intended use
Administrators Allows users to use most of the features in Windows Admin Center without granting them access to Remote Desktop or PowerShell. This role is good for «jump server» scenarios where you want to limit the management entry points on a machine.
Readers Allows users to view information and settings on the server, but not make changes.
Hyper-V Administrators Allows users to make changes to Hyper-V virtual machines and switches, but limits other features to read-only access.

The following built-in extensions have reduced functionality when a user connects with limited access:

  • Files (no file upload or download)
  • PowerShell (unavailable)
  • Remote Desktop (unavailable)
  • Storage Replica (unavailable)

At this time, you cannot create custom roles for your organization, but you can choose which users are granted access to each role.

Preparing for role-based access control

To leverage the temporary local accounts, each target machine needs to be configured to support role-based access control in Windows Admin Center. The configuration process involves installing PowerShell scripts and a Just Enough Administration endpoint on the machine using Desired State Configuration.

If you only have a few computers, you can easily apply the configuration individually to each computer using the role-based access control page in Windows Admin Center. When you set up role-based access control on an individual computer, local security groups are created to control access to each role. You can grant access to users or other security groups by adding them as members of the role security groups.

For an enterprise-wide deployment on multiple machines, you can download the configuration script from the gateway and distribute it to your computers using a Desired State Configuration pull server, Azure Automation, or your preferred management tooling.

How do I log on as an administrator?

An administrator is someone who can make changes on a computer that will affect other users of the computer. Administrators can change security settings, install software and hardware, access all files on the computer, and make changes to other user accounts. To log on as an administrator, you need to have a user account on the computer with an Administrator account type.

If you are not sure if the account that you have on the computer is an administrator account, you can check the account type after you have logged on. The steps that you should follow will vary, depending on whether your computer is on a domain or a workgroup.

Type the user name and password for your account in the Welcome screen.

Open User Accounts by clicking the Start button , clicking Control Panel, clicking User Accounts, clicking User Accounts, and then clicking Manage User Accounts . If you’re prompted for an administrator password or confirmation, type the password or provide confirmation.

Your user name is highlighted and your account type is shown in the Group column.

Type the user name and password for your account in the Welcome screen.

Open User Accounts by clicking the Start button , clicking Control Panel, clicking User Accounts and Family Safety, clicking User Accounts, and then clicking Manage another account . If you’re prompted for an administrator password or confirmation, type the password or provide confirmation.

Your account type is displayed below your user name.

If your account type is Administrator, then you are currently logged on as an administrator.

If your account type is not Administrator, then you cannot log on as an administrator unless you know the user name password for another account on the computer that is an administrator. If you are not an administrator, you can ask an administrator to change your account type.

How to use the Workgroup Administrator utility in Access

Office 365 ProPlus is being renamed to Microsoft 365 Apps for enterprise. For more information about this change, read this blog post.

This article applies to Microsoft Access .mdb files and .accdb files.

Introduction

This article describes how to use the Workgroup Administrator utility in Microsoft Access.

Note User-level security does not exist in an .accdb file, even though you can run the Workgroup Administrator utility from an .accdb file in Access.

More information

To use the Workgroup Administrator in earlier versions of Access, you could click Workgroup Administrator in Security on the Tools menu. To use the Workgroup Administrator utility in Access, use one of the following methods.

Method 1: Use Visual Basic code

To use Visual Basic code, use one of the following methods.

Run the Visual Basic code in the Immediate window:

  1. In Access 2007 or a later version, open a trusted database, or enable macros in the existing database.
  2. Press CTRL + G to open the Immediate window.
  3. Type the following line of code, and then press ENTER.DoCmd.RunCommand acCmdWorkgroupAdministrator

Create a module that contains the Visual Basic code:

In Access 2007 and later, open a trusted database, or enable macros in the existing database.

On the Create tab, in the Other group, click Macro, and then click Module.

Create a subroutine, and then paste the following Visual Basic code example into the subroutine.

Как получить доступ к компьютеру после отключения учетной записи администратора

В этой статье описывается, как получить доступ к компьютеру на основе Microsoft Windows Server 2003 с помощью учетной записи администратора после отключения локальной учетной записи администратора.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 814777

Аннотация

Для отключения локальной учетной записи администратора можно использовать Windows Server 2003. Эта функция включена для обеспечения дополнительного уровня безопасности в организации. Кроме того, установка служб удаленной установки (RIS) по умолчанию отключает учетную запись локального администратора на компьютере назначения.

Вход в Windows в безопасном режиме

Чтобы войти в Windows с помощью отключенной локальной учетной записи администратора, запустите Windows в безопасном режиме. Даже если учетная запись администратора отключена, вход с учетной записью администратора в безопасном режиме не предотвращается. После успешного входа в безопасный режим повторно вйдите в учетную запись администратора и снова войдите в систему. Для этого выполните следующие действия:

  1. Запустите компьютер и нажмите клавишу F8 после завершения самостоятельного тестирования Power On (POST).
  2. В меню «Дополнительные параметры Windows» выберите «Безопасный режим» с помощью клавиш СТРЕЛКА, а затем нажмите клавишу ВВОД.
  3. Выберите операционную систему, которую нужно запустить, и нажмите ввод.
  4. Войдите в Windows с учетной записью администратора. Если вам будет предложено сделать это, щелкните, чтобы выбрать элемент в списке «Почему компьютер неожиданно закрылся» и нажмите кнопку «ОК».
  5. В сообщении о том, что Windows работает в безопасном режиме, нажмите кнопку «ОК».
  6. Щелкните «Начните», щелкните правой кнопкой мыши «Мой компьютер» и выберите «Управление».
  7. Разйдите «Локальные пользователи и группы», щелкните «Пользователи», щелкните правой кнопкой мыши «Администратор» в правой области и выберите «Свойства».
  8. Щелкните, чтобы отключать учетную запись, а затем нажмите кнопку «ОК».

Если сервер является контроллером домена, локальные пользователи и группы недоступны в средстве управления компьютером. Чтобы включить учетную запись администратора, выполните следующие действия.

Переначните работу компьютера в безопасном режиме с поддержкой сети.

Войдите с учетной записью администратора.

Нажмите кнопку «Начните», нажмите кнопку «Выполнить», введите cmd и нажмите ввод.

Введите в командной строке следующую команду, а затем нажмите клавишу ВВОД:

Вход в Windows с помощью консоли восстановления

Консоль восстановления можно использовать для доступа к компьютеру, даже если учетная запись локального администратора отключена. Отключение локальной учетной записи администратора не помешает вам войти в консоль восстановления с учетной записью администратора.

Настройка управления доступом и разрешениями на уровне пользователей Configure User Access Control and Permissions

Применяется к: Windows Admin Center, ознакомительная версия Windows Admin Center Applies to: Windows Admin Center, Windows Admin Center Preview

В средах рабочей группы или в доменах, не являющихся доверенными, доступ на основе групп в Windows Admin Center не поддерживается. Group based access in Windows Admin Center is not supported in workgroup environments or across non-trusted domains.

Определения ролей доступа к шлюзу Gateway access role definitions

Существует две роли для доступа к службе шлюза Windows Admin Center. There are two roles for access to the Windows Admin Center gateway service:

Пользователи шлюза могут подключаться к службе шлюза Windows Admin Center, чтобы через него управлять серверами, но не могут изменять разрешения доступа и механизм проверки подлинности, используемый для аутентификации шлюза. Gateway users can connect to the Windows Admin Center gateway service to manage servers through that gateway, but they can’t change access permissions nor the authentication mechanism used to authenticate to the gateway.

Администраторы шлюза могут настраивать доступ, а также способ выполнения проверки подлинности для пользователей на шлюзе. Gateway administrators can configure who gets access as well as how users authenticate to the gateway. Просматривать и настраивать параметры доступа в Windows Admin Center могут только администраторы шлюза. Only gateway administrators can view and configure the Access settings in Windows Admin Center. Локальные администраторы на компьютере шлюза всегда являются администраторами службы шлюза Windows Admin Center. Local administrators on the gateway machine are always administrators of the Windows Admin Center gateway service.

Доступ к шлюзу не подразумевает доступ к управляемым серверам, отображаемым шлюзом. Access to the gateway doesn’t imply access to managed servers visible by the gateway. Для управления целевым сервером подключающийся пользователь должен использовать учетные данные (через переданные учетные данные Windows или учетные данные, предоставленные в сеансе Windows Admin Center с помощью действия Управлять как) с административным доступом к этому целевому серверу. To manage a target server, the connecting user must use credentials (either through their passed-through Windows credential or through credentials provided in the Windows Admin Center session using the Manage as action) that have administrative access to that target server.

Active Directory или группы локальных компьютеров Active Directory or local machine groups

По умолчанию для управления доступом к шлюзу используются Active Directory или группы локальных компьютеров. By default, Active Directory or local machine groups are used to control gateway access. При наличии домена Active Directory доступом пользователей и администраторов шлюза можно управлять из интерфейса Windows Admin Center. If you have an Active Directory domain, you can manage gateway user and administrator access from within the Windows Admin Center interface.

На вкладке Пользователи можно указать пользователя, которому нужно предоставить доступ к Windows Admin Center в качестве пользователя шлюза. On the Users tab you can control who can access Windows Admin Center as a gateway user. По умолчанию, и если не указать группу безопасности, доступ будет иметь любой пользователь, обращающийся к URL-адресу шлюза. By default, and if you don’t specify a security group, any user that accesses the gateway URL has access. После добавления одной или нескольких групп безопасности в список пользователей доступ будет ограничен членами этих групп. Once you add one or more security groups to the users list, access is restricted to the members of those groups.

Если в вашей среде не используется домен Active Directory, доступ контролируется локальными группами Users и Administrators на компьютере шлюза Windows Admin Center. If you don’t use an Active Directory domain in your environment, access is controlled by the Users and Administrators local groups on the Windows Admin Center gateway machine.

Проверка подлинности смарт-карты Smartcard authentication

Вы можете принудительно применить проверку подлинности смарт-карты, указав дополнительную необходимую группу для групп безопасности на основе смарт-карты. You can enforce smartcard authentication by specifying an additional required group for smartcard-based security groups. После добавления группы безопасности на основе смарт-карты пользователь может получить доступ к службе Windows Admin Center, только если он является членом любой группы безопасности и группы смарт-карты, включенной в список пользователей. Once you have added a smartcard-based security group, a user can only access the Windows Admin Center service if they are a member of any security group AND a smartcard group included in the users list.

На вкладке Администраторы можно указать пользователя, которому нужно предоставить доступ к Windows Admin Center в качестве администратора шлюза. On the Administrators tab you can control who can access Windows Admin Center as a gateway administrator. Локальная группа администраторов на компьютере всегда будет иметь полный доступ администратора и ее не можно удалить из списка. The local administrators group on the computer will always have full administrator access and cannot be removed from the list. Добавляя группы безопасности, вы даете членам этих групп разрешения на изменение параметров шлюза Windows Admin Center. By adding security groups, you give members of those groups privileges to change Windows Admin Center gateway settings. Список администраторов поддерживает проверку подлинности смарт-карты такую же, как и для списка пользователей: с условием AND и для группы безопасности и для группы смарт-карт. The administrators list supports smartcard authentication in the same way as the users list: with the AND condition for a security group and a smartcard group.

Azure Active Directory Azure Active Directory

Если ваша организация использует Azure Active Directory (Azure AD), вы можете добавить дополнительный уровень безопасности в Windows Admin Center, требуя для доступа к шлюзу проверку подлинности Azure AD. If your organization uses Azure Active Directory (Azure AD), you can choose to add an additional layer of security to Windows Admin Center by requiring Azure AD authentication to access the gateway. Чтобы обеспечить доступ к Windows Admin Center, учетной записи Windows пользователя также следует предоставить доступ к серверу шлюза (даже при использовании проверки подлинности Azure AD). In order to access Windows Admin Center, the user’s Windows account must also have access to gateway server (even if Azure AD authentication is used). При использовании Azure AD управление правами доступа пользователя и администратора Windows Admin Center осуществляется на портале Azure, а не из пользовательского интерфейса Windows Admin Center. When you use Azure AD, you’ll manage Windows Admin Center user and administrator access permissions from the Azure Portal, rather than from within the Windows Admin Center UI.

Доступ к Windows Admin Center при включенной проверке подлинности Azure AD Accessing Windows Admin Center when Azure AD authentication is enabled

В зависимости от используемого браузера некоторые пользователи, обращающиеся к Windows Admin Center с настроенной проверкой подлинности Azure AD, получат дополнительный запрос из браузера, в котором нужно будет указать данные учетной записи Windows для компьютера, на котором установлен Windows Admin Center. Depending on the browser used, some users accessing Windows Admin Center with Azure AD authentication configured will receive an additional prompt from the browser where they need to provide their Windows account credentials for the machine on which Windows Admin Center is installed. После ввода этих данных пользователи увидят дополнительный запрос на проверку подлинности Azure Active Directory, для которого требуются учетные данные учетной записи Azure, которой предоставлен доступ к приложению Azure AD в Azure. After entering that information, the users will get the additional Azure Active Directory authentication prompt, which requires the credentials of an Azure account that has been granted access in the Azure AD application in Azure.

Пользователи, учетная запись Windows которых имеет права администратора на компьютере шлюза, не будут получать запрос на проверку подлинности Azure AD. Users who’s Windows account has Administrator rights on the gateway machine will not be prompted for the Azure AD authentication.

Настройка проверки подлинности Azure Active Directory для Windows Admin Center (Предварительная версия) Configuring Azure Active Directory authentication for Windows Admin Center Preview

В Windows Admin Center последовательно выберите Параметры > Доступ и используйте выключатель, чтобы включить параметр «Use Azure Active Directory to add a layer of security to the gateway» (Использовать Azure Active Directory для добавления уровня безопасности в шлюз). Go to Windows Admin Center Settings > Access and use the toggle switch to turn on «Use Azure Active Directory to add a layer of security to the gateway». Если вы не зарегистрировали шлюз в Azure, вам будет предложено сделать это в данный момент. If you have not registered the gateway to Azure, you will be guided to do that at this time.

По умолчанию все участники клиента Azure AD имеют доступ пользователей к службе шлюза Windows Admin Center. By default, all members of the Azure AD tenant have user access to the Windows Admin Center gateway service. Доступ администратора к шлюзу Windows Admin Center имеют только локальные администраторы на компьютере шлюза. Only local administrators on the gateway machine have administrator access to the Windows Admin Center gateway. Обратите внимание, что права локальных администраторов на компьютере шлюза нельзя ограничить. Локальные администраторы могут выполнять любые действия независимо от того, используется ли Azure AD для проверки подлинности или нет. Note that the rights of local administrators on the gateway machine cannot be restricted — local admins can do anything regardless of whether Azure AD is used for authentication.

Если вы хотите предоставить доступ к службе Windows Admin Center определенным пользователям Azure AD, группам пользователей шлюза или администраторам шлюза, необходимо выполнить следующие действия. If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Перейдите в приложение Azure AD Windows Admin Center на портале Azure, используя гиперссылку, указанную в Параметрах доступа. Go to your Windows Admin Center Azure AD application in the Azure portal by using the hyperlink provided in Access Settings. Примечание. Эта гиперссылка доступна, только если включена проверка подлинности Azure Active Directory. Note this hyperlink is only available when Azure Active Directory authentication is enabled.
    • Приложение также можно найти на портале Azure, перейдя в Azure Active Directory >Корпоративные приложения >Все приложения и выполнив поиск по фразе WindowsAdminCenter (приложение Azure AD будет называться WindowsAdminCenter-). You can also find your application in the Azure portal by going to Azure Active Directory >Enterprise applications >All applications and searching WindowsAdminCenter (the Azure AD app will be named WindowsAdminCenter-). Если поиск не дает результатов, убедитесь, что для Показать задано значение Все приложения, а для Состояние приложения, а — Любой и нажмите кнопку «Применить», а затем повторите поиск. If you don’t get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Найдя приложение, перейдите в раздел Пользователи и группы Once you’ve found the application, go to Users and groups
  2. На вкладке «Свойства» задайте для параметра Требуется назначение пользователей значение «Да». In the Properties tab, set User assignment required to Yes. После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы. Once you’ve done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. На вкладке «Пользователи и группы» выберите Добавить пользователя. In the Users and groups tab, select Add user. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза. You must assign a gateway user or gateway administrator role for each user/group added.

После включения проверки подлинности Azure AD служба шлюза перезапустится и вам потребуется обновить браузер. Once you turn on Azure AD authentication, the gateway service restarts and you must refresh your browser. Вы можете в любое время обновить доступ пользователя к приложению SME Azure AD на портале Azure. You can update user access for the SME Azure AD application in the Azure portal at any time.

При попытке доступа к URL-адресу шлюза Windows Admin Center пользователям будет предложено войти, используя удостоверение Azure Active Directory. Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Помните, что пользователи также должны быть членами локальных «Пользователей» на сервере шлюза для доступа к центру администрирования Windows Admin Center. Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Пользователи и администраторы могут просматривать текущую учетную запись, с которой они совершили вход, а также выйти из этой учетной записи Azure AD с вкладки Учетная запись в параметрах Windows Admin Center. Users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account from the Account tab of Windows Admin Center Settings.

Настройка проверки подлинности Azure Active Directory для Windows Admin Center Configuring Azure Active Directory authentication for Windows Admin Center

Чтобы настроить проверку подлинности Azure AD, необходимо сначала зарегистрировать шлюз в Azure (это необходимо сделать только один раз для шлюза Windows Admin Center). To set up Azure AD authentication, you must first register your gateway with Azure (you only need to do this once for your Windows Admin Center gateway). На этом этапе создается приложение Azure AD, с помощью которого вы можете управлять доступом пользователей шлюза и администраторов шлюза. This step creates an Azure AD application from which you can manage gateway user and gateway administrator access.

Если вы хотите предоставить доступ к службе Windows Admin Center определенным пользователям Azure AD, группам пользователей шлюза или администраторам шлюза, необходимо выполнить следующие действия. If you want to give specific Azure AD users or groups gateway user or gateway administrator access to the Windows Admin Center service, you must do the following:

  1. Перейдите к приложению SME Azure AD на портале Azure. Go to your SME Azure AD application in the Azure portal.
    • Если щелкнуть Изменить контроль доступа, а затем выбрать Azure Active Directory из раздела параметров доступа Windows Admin Center, можно использовать гиперссылку, предоставленную в пользовательском интерфейсе, для доступа к приложению Azure AD на портале Azure. When you click Change access control and then select Azure Active Directory from the Windows Admin Center Access settings, you can use the hyperlink provided in the UI to access your Azure AD application in the Azure portal. Эта гиперссылка также доступна в параметрах доступа после нажатия кнопки «Сохранить» и выбора Azure AD в качестве поставщика удостоверений управления доступом. This hyperlink is also available in the Access settings after you click save and have selected Azure AD as your access control identity provider.
    • Приложение также можно найти на портале Azure, перейдя в Azure Active Directory >Корпоративные приложения >Все приложения и выполнив поиск по фразе SME (приложение Azure AD будет называться SME-). You can also find your application in the Azure portal by going to Azure Active Directory >Enterprise applications >All applications and searching SME (the Azure AD app will be named SME-). Если поиск не дает результатов, убедитесь, что для Показать задано значение Все приложения, а для Состояние приложения, а — Любой и нажмите кнопку «Применить», а затем повторите поиск. If you don’t get any search results, ensure Show is set to all applications, application status is set to any and click Apply, then try your search. Найдя приложение, перейдите в раздел Пользователи и группы Once you’ve found the application, go to Users and groups
  2. На вкладке «Свойства» задайте для параметра Требуется назначение пользователей значение «Да». In the Properties tab, set User assignment required to Yes. После этого доступ к шлюзу Windows Admin Center смогут получить только участники, перечисленные на вкладке Пользователи и группы. Once you’ve done this, only members listed in the Users and groups tab will be able to access the Windows Admin Center gateway.
  3. На вкладке «Пользователи и группы» выберите Добавить пользователя. In the Users and groups tab, select Add user. Для каждого добавляемого пользователя или группы необходимо назначить роль пользователя или администратора шлюза. You must assign a gateway user or gateway administrator role for each user/group added.

Как только вы сохраните контроль доступа Azure AD в панели Изменить контроль доступа, служба шлюза перезапустится и вам потребуется обновить свой браузер. Once you save the Azure AD access control in the Change access control pane, the gateway service restarts and you must refresh your browser. Вы можете в любое время обновить доступ пользователя к приложению Windows Admin Center Azure AD на портале Azure. You can update user access for the Windows Admin Center Azure AD application in the Azure portal at any time.

При попытке доступа к URL-адресу шлюза Windows Admin Center пользователям будет предложено войти, используя удостоверение Azure Active Directory. Users will be prompted to sign in using their Azure Active Directory identity when they attempt to access the Windows Admin Center gateway URL. Помните, что пользователи также должны быть членами локальных «Пользователей» на сервере шлюза для доступа к центру администрирования Windows Admin Center. Remember that users must also be a member of the local Users on the gateway server to access Windows Admin Center.

Используя вкладку Azure в общих параметрах Windows Admin Center, пользователи и администраторы могут просматривать текущую учетную запись, с которой они совершили вход, а также выйти из этой учетной записи Azure AD. Using the Azure tab of Windows Admin Center general settings, users and administrators can view their currently logged-in account and as well as sign-out of this Azure AD account.

Условный доступ и многофакторная проверка подлинности Conditional access and multi-factor authentication

Одним из преимуществ использования Azure AD в качестве дополнительного уровня безопасности для контроля доступа к шлюзу Windows Admin Center является то, что вы можете использовать эффективные функции безопасности Azure AD, такие как условный доступ и многофакторная проверка подлинности. One of the benefits of using Azure AD as an additional layer of security to control access to the Windows Admin Center gateway is that you can leverage Azure AD’s powerful security features like conditional access and multi-factor authentication.

Настройте единый вход Configure single sign-on

Единый вход при развертывании в качестве службы в Windows Server Single sign-on when deployed as a Service on Windows Server

После установки Windows Admin Center в Windows 10 все готово к использованию единого входа. When you install Windows Admin Center on Windows 10, it’s ready to use single sign-on. Однако если вы собираетесь использовать Windows Admin Center в Windows Server, то перед использованием единого входа необходимо настроить в среде некоторую форму делегирования Kerberos. If you’re going to use Windows Admin Center on Windows Server, however, you need to set up some form of Kerberos delegation in your environment before you can use single sign-on. Делегирование настраивает компьютер шлюза как доверенный для делегирования к целевому узлу. The delegation configures the gateway computer as trusted to delegate to the target node.

Используйте следующий пример PowerShell, чтобы настроить ограниченное делегирование на основе ресурсов в вашей среде. To configure Resource-based constrained delegation in your environment, use the following PowerShell example. В этом примере показано, как настроить Windows Server [node01.contoso.com] для принятия делегирования из шлюза Windows Admin Center [wac.contoso.com] в домене contoso.com. This example shows how you would configure a Windows Server [node01.contoso.com] to accept delegation from your Windows Admin Center gateway [wac.contoso.com] in the contoso.com domain.

Чтобы удалить эту связь, выполните следующий командлет: To remove this relationship, run the following cmdlet:

Управление доступом на основе ролей Role-based access control

Управление доступом на основе ролей позволяет предоставлять пользователям ограниченный доступ к компьютеру, не делая их полными локальными администраторами. Role-based access control enables you to provide users with limited access to the machine instead of making them full local administrators. Role-based access control (Управление доступом на основе ролей) Read more about role-based access control and the available roles.

Настройка RBAC состоит из 2 шагов: включения поддержки на целевых компьютерах и назначения пользователям соответствующих ролей. Setting up RBAC consists of 2 steps: enabling support on the target computer(s) and assigning users to the relevant roles.

Убедитесь, что у вас есть права локального администратора на компьютерах, для которых вы настраиваете поддержку управления доступом на основе ролей. Make sure you have local administrator privileges on the machines where you are configuring support for role-based access control.

Применение управления доступом на основе ролей к одному компьютеру Apply role-based access control to a single machine

Модель развертывания на одном компьютере идеально подходит для простых сред, в которых управление нужно представить только нескольким компьютерам. The single machine deployment model is ideal for simple environments with only a few computers to manage. Настройка компьютера с поддержкой управления доступом на основе ролей приведет к следующим изменениям: Configuring a machine with support for role-based access control will result in the following changes:

  • Модули PowerShell с функциями, необходимыми для Windows Admin Center, будут установлены на системный диск в C:\Program Files\WindowsPowerShell\Modules . PowerShell modules with functions required by Windows Admin Center will be installed on your system drive, under C:\Program Files\WindowsPowerShell\Modules . Все модули будут начинаться с Microsoft.Sme All modules will start with Microsoft.Sme
  • Desired State Configuration выполняет одноразовую настройку для конфигурации конечной точки профиля «Достаточно для администрирования» на компьютере с именем Microsoft.Sme.PowerShell. Desired State Configuration will run a one-time configuration to configure a Just Enough Administration endpoint on the machine, named Microsoft.Sme.PowerShell. Эта конечная точка определяет 3 роли, используемые Windows Admin Center, и при подключении к нему пользователя будет запускаться как временный локальный администратор. This endpoint defines the 3 roles used by Windows Admin Center and will run as a temporary local administrator when a user connects to it.
  • Чтобы управлять, каким пользователям назначен доступ к каким ролям, будут созданы 3 новые локальные группы: 3 new local groups will be created to control which users are assigned access to which roles:
    • Администраторы Windows Admin Center Windows Admin Center Administrators
    • Администраторы Hyper-V Windows Admin Center Windows Admin Center Hyper-V Administrators
    • Читатели Windows Admin Center Windows Admin Center Readers

Чтобы включить поддержку управления доступом на основе ролей на одном компьютере, выполните следующие действия. To enable support for role-based access control on a single machine, follow these steps:

  1. Откройте Windows Admin Center и подключитесь к компьютеру, который нужно настроить для управления доступом на основе ролей, используя на целевом компьютере учетную запись с правами локального администратора. Open Windows Admin Center and connect to the machine you wish to configure with role-based access control using an account with local administrator privileges on the target machine.
  2. В инструменте Обзор щелкните Настройки >Контроль доступа на основе ролей. On the Overview tool, click Settings >Role-based access control.
  3. Щелкните Применить в нижней части страницы, чтобы включить на целевом компьютере поддержку управления доступом на основе ролей. Click Apply at the bottom of the page to enable support for role-based access control on the target computer. Процесс приложения включает копирование скриптов PowerShell и вызов конфигурации (с помощью Desired State Configuration PowerShell) на целевом компьютере. The application process involves copying PowerShell scripts and invoking a configuration (using PowerShell Desired State Configuration) on the target machine. Выполнение может занять до 10 минут, и приведет к перезапуску WinRM. It may take up to 10 minutes to complete, and will result in WinRM restarting. Это приведет к временному отключению пользователей Windows Admin Center, PowerShell и WMI. This will temporarily disconnect Windows Admin Center, PowerShell, and WMI users.
  4. Обновите страницу, чтобы проверить состояние управления доступом на основе ролей. Refresh the page to check the status of role-based access control. Когда оно будет готово к использованию, состояние изменится на Применено. When it is ready for use, the status will change to Applied.

После применения конфигурации вы можете назначить пользователям приведенные ниже роли. Once the configuration is applied, you can assign users to the roles:

  1. Откройте средство Локальные пользователи и группы и перейдите на вкладку Группы. Open the Local Users and Groups tool and navigate to the Groups tab.
  2. Выберите группу Читатели Windows Admin Center. Select the Windows Admin Center Readers group.
  3. В нижней части панели Детали нажмите Добавить пользователя и введите имя пользователя или группы безопасности, для которых следует настроить доступ к серверу через Windows Admin Center только для чтения. In the Details pane at the bottom, click Add User and enter the name of a user or security group which should have read-only access to the server through Windows Admin Center. Пользователи и группы могут поступать с локального компьютера или домена Active Directory. The users and groups can come from the local machine or your Active Directory domain.
  4. Повторите шаги 2-3 для групп Администраторы Hyper-V Windows Admin Center и Администраторы Windows Admin Center. Repeat steps 2-3 for the Windows Admin Center Hyper-V Administrators and Windows Admin Center Administrators groups.

Вы также можете последовательно заполнять эти группы по всему домену, настраивая объект групповой политики с помощью параметра Restricted Groups Policy Setting (Настройка политики групп с ограниченным доступом). You can also fill these groups consistently across your domain by configuring a Group Policy Object with the Restricted Groups Policy Setting.

Применение управления доступом на основе ролей к нескольким компьютерам Apply role-based access control to multiple machines

При развертывании на крупном предприятии вы можете использовать существующие средства автоматизации для распространения функции управления доступом на основе ролей на компьютеры, скачав пакет конфигурации со шлюза Windows Admin Center. In a large enterprise deployment, you can use your existing automation tools to push out the role-based access control feature to your computers by downloading the configuration package from the Windows Admin Center gateway. Пакет конфигурации предназначен для использования с Desired State Configuration PowerShell, но его можно адаптировать для работы с предпочтительным решением для автоматизации. The configuration package is designed to be used with PowerShell Desired State Configuration, but you can adapt it to work with your preferred automation solution.

Скачивание конфигурации управления доступом на основе ролей Download the role-based access control configuration

Чтобы загрузить пакет конфигурации управления доступом на основе ролей, необходимо иметь доступ к Windows Admin Center и командной строке PowerShell. To download the role-based access control configuration package, you’ll need to have access to Windows Admin Center and a PowerShell prompt.

Если вы используете шлюз Windows Admin Center в Windows Server в режиме службы, используйте следующую команду, чтобы скачать пакет конфигурации. If you’re running the Windows Admin Center gateway in service mode on Windows Server, use the following command to download the configuration package. Не забудьте обновить адрес шлюза, указав подходящий для своей среды. Be sure to update the gateway address with the correct one for your environment.

Если вы используете шлюз Windows Admin Center на компьютере с Windows 10, выполните следующую команду: If you’re running the Windows Admin Center gateway on your Windows 10 machine, run the following command instead:

При развертывании ZIP-архива вы увидите следующую структуру папок: When you expand the zip archive, you’ll see the following folder structure:

  • InstallJeaFeatures.ps1 InstallJeaFeatures.ps1
  • JustEnoughAdministration (каталог) JustEnoughAdministration (directory)
  • Модули (каталог) Modules (directory)
    • Microsoft.SME.* (каталоги) Microsoft.SME.* (directories)
    • WindowsAdminCenter.Jea (каталог) WindowsAdminCenter.Jea (directory)

Чтобы настроить поддержку управления доступом на основе ролей на узле, необходимо выполнить следующие действия. To configure support for role-based access control on a node, you need to perform the following actions:

  1. Скопируйте JustEnoughAdministration, Microsoft.SME.* и модули WindowsAdminCenter.Jea в каталог модуля PowerShell на целевом компьютере. Copy the JustEnoughAdministration, Microsoft.SME.*, and WindowsAdminCenter.Jea modules to the PowerShell module directory on the target machine. Как правило, они расположены в C:\Program Files\WindowsPowerShell\Modules . Typically, this is located at C:\Program Files\WindowsPowerShell\Modules .
  2. Обновите файл InstallJeaFeature.ps1 в соответствии с требуемой конфигурацией для конечной точки RBAC. Update InstallJeaFeature.ps1 file to match your desired configuration for the RBAC endpoint.
  3. Запустите InstallJeaFeature.ps1, чтобы скомпилировать ресурс DSC. Run InstallJeaFeature.ps1 to compile the DSC resource.
  4. Разверните конфигурацию DSC на всех компьютерах, чтобы применить ее. Deploy your DSC configuration to all of your machines to apply the configuration.

В следующем разделе объясняется, как это сделать с помощью удаленного взаимодействия PowerShell. The following section explains how to do this using PowerShell Remoting.

Развертывание на нескольких компьютерах Deploy on multiple machines

Чтобы развернуть конфигурацию, загруженную на несколько компьютеров, необходимо обновить скрипт InstallJeaFeatures.ps1, чтобы включить соответствующие группы безопасности для среды, скопировать файлы на каждый из компьютеров и вызвать скрипты конфигурации. To deploy the configuration you downloaded onto multiple machines, you’ll need to update the InstallJeaFeatures.ps1 script to include the appropriate security groups for your environment, copy the files to each of your computers, and invoke the configuration scripts. Для этого можно использовать предпочтительные средства автоматизации, однако в этой статье основное внимание уделяется чистому подходу на основе PowerShell. You can use your preferred automation tooling to accomplish this, however this article will focus on a pure PowerShell-based approach.

По умолчанию скрипт конфигурации будет создавать локальные группы безопасности на компьютере, чтобы управлять доступом к каждой из ролей. By default, the configuration script will create local security groups on the machine to control access to each of the roles. Это подходит для компьютеров, присоединенных к рабочей группе и доменам, но если развертывание выполняется в среде только для домена, вам может потребоваться напрямую связать группу безопасности домена с каждой ролью. This is suitable for workgroup and domain joined machines, but if you’re deploying in a domain-only environment you may wish to directly associate a domain security group with each role. Чтобы обновить конфигурацию для использования групп безопасности домена, откройте InstallJeaFeatures.ps1 и внесите следующие изменения: To update the configuration to use domain security groups, open InstallJeaFeatures.ps1 and make the following changes:

  1. Удалите из файла 3 ресурсы группы: Remove the 3 Group resources from the file:
    1. «Группа MS-Readers-Group» «Group MS-Readers-Group»
    2. «Группа MS-Hyper-V-Administrators-Group» «Group MS-Hyper-V-Administrators-Group»
    3. «Группа MS-Administrators-Group» «Group MS-Administrators-Group»
  2. Удалите 3 ресурса группы из свойства JeaEndpoint DependsOn Remove the 3 Group resources from the JeaEndpoint DependsOn property
    1. «[Group]MS-Readers-Group» «[Group]MS-Readers-Group»
    2. «[Group]MS-Hyper-V-Administrators-Group» «[Group]MS-Hyper-V-Administrators-Group»
    3. «[Group]MS-Administrators-Group» «[Group]MS-Administrators-Group»
  3. Измените имена групп в свойстве JeaEndpoint RoleDefinitions на нужные группы безопасности. Change the group names in the JeaEndpoint RoleDefinitions property to your desired security groups. Например, если у вас есть группа безопасности CONTOSO\MyTrustedAdmins, которой нужно назначить доступ с ролью администраторов Windows Admin Center, измените ‘$env:COMPUTERNAME\Windows Admin Center Administrators’ на ‘CONTOSO\MyTrustedAdmins’ . For example, if you have a security group CONTOSO\MyTrustedAdmins that should be assigned access to the Windows Admin Center Administrators role, change ‘$env:COMPUTERNAME\Windows Admin Center Administrators’ to ‘CONTOSO\MyTrustedAdmins’ . Ниже перечислены три строки, которые необходимо обновить. The three strings you need to update are:
    1. ‘$env:COMPUTERNAME\Windows Admin Center Administrators’ ‘$env:COMPUTERNAME\Windows Admin Center Administrators’
    2. ‘$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators’ ‘$env:COMPUTERNAME\Windows Admin Center Hyper-V Administrators’
    3. ‘$env:COMPUTERNAME\Windows Admin Center Readers’ ‘$env:COMPUTERNAME\Windows Admin Center Readers’

Обязательно используйте уникальные группы безопасности для каждой роли. Be sure to use unique security groups for each role. Если одна и та же группа безопасности назначена нескольким ролям, настройка завершится ошибкой. Configuration will fail if the same security group is assigned to multiple roles.

Читайте также:  D link storage utility windows 10
Оцените статью
© 2024 Советы по настройке компьютера