More Related Content Similar to PowerShell 5.0 JEA (Just Enough Administration) First Step (20) More from Kazuki Takai (20) PowerShell 5.0 JEA (Just Enough Administration) First Step1. PowerShell 5.0 JEA
(Just Enough Administration)
First Step
System Center User Group Japan #14 (2015.12.19)
Kazuki Takai
2. 自己紹介
高井 一輝 (Takai Kazuki)
某ISP勤務
クラウドサービスの開発、設計、設備維持
Windows Server / System Center / Linux / etc…
System Center User Group Japan (SCUGJ)
Twitter : @zhuky7 / Facebook : kazuki.takai
Blog : http://operationslab.wordpress.com/
2
5. WMF 5.0 RTM is now available !!
Windows Management Framework (WMF) 5.0 / PowerShell 5.0
2015/12/16 に RTM (KB3094174 - KB3094176)
http://blogs.msdn.com/b/powershell/archive/2015/12/16/windows-management-
framework-wmf-5-0-rtm-is-now-available.aspx
12/19 04:00 am (JST) 時点でリリースノートは未 Upload
必要な方は Production Preview の Release Notes を参照
本日のデモ環境は Windows Server 2016 TP4 です
Windows Server 2012 R2 + WMF 5.0 RTM でも同様のはずです
それよりも古いOSは…未確認です
5
6. Just Enough Administration とは
操作 (Operation) に関する、セキュリティレベルを向上させるための機能
管理者権限を持つユーザーが多すぎるのでは?
必要十分な権限で管理を行う
PowerShell をベーステクノロジーとして利用
PowerShell Remoting
PowerShell Session Configuration / Endpoint
Command visibility & Proxy command
6
7. (補足)JEA と JIT Admin の違い
Just Enough Administration (JEA)
管理者が実行可能な操作、範囲を制限する
できることを制限する
Base Technology - PowerShell
Just-in-Time Administration (JIT Admin)
管理者権限に有効期限を設定し、必要なときに(のみ)権限を付与する
できる時間を制限する
Base Technology – Active Directory + MIM 2016 ( + PowerShell )
7
10. JEA の構成要素
Endpoint (Session Configuration)
PS Remoting の受け口
誰が接続できるのか、接続した後どのような権限で実行するのか、などを定義
実行ユーザー(の所属グループ)を定義しない場合、デフォルトでは Administrators
(Domain Admins) グループのメンバーとして実行
Role Capability
Endpoint に紐づけられた、具体的な役割(に応じた実行内容)
何ができるのか(何を実行してよいのか)を定義
10
11. JEA の構成
現時点 (2015/12/19 時点) では、2種類の方法が利用可能
xJEA モジュールを使用して構成
超簡単!(5分で構成可能)
Windows Server 2016 TP2 の頃から存在する方法(今後は推奨されないかも)
WorkGroup 環境でも利用可能(現時点では)
RoleCapability と SessionConfiguration を使用して構成
xJEA モジュールを使用する方法より、若干ステップ数が多い
Windows Server 2016 TP4 (PP1) or Windows Server 2012 R2 + WMF 5.0 RTM が必要
xJEA モジュールで実現していたいくつかの機能が PowerShell Core に取り込まれたことに
より、xJEA モジュールに依存せず構成可能(今後推奨となる可能性が高い)
11
12. xJEAモジュールを使用した構成
PS Remoting の有効化
Enable-PSRemoting / Set-Item wsman:¥localhost¥Client¥TrustedHosts -Value *
xJEA モジュールのインストール
Install-Module xJea
構成の記述
Show-JeaExamples – ISE でサンプルコンフィグを開く
Show-JeaWhitePaper – White Paper を開く (docx)
Show-JeaWhitpaper – TechED 2014 のスライドを開く (pptx)
DSC による構成の配布
12
13. RoleCapability と SessionConfiguration
による構成
Target Server をドメインに参加
PS Remoting の有効化
ACL 用のユーザー、グループを構成、(必要があれば)実行ユーザーの作成
Role Capability の記述
New-PSRoleCapabilityFile
Session Configuration の記述
New-PSSessionConfigurationFile
記述した Session Configuration を Endpoint として登録
Register-PSSessionConfiguration
13
16. 参考資料
Just Enough Administration (JEA) Infrastructure: An Introduction
https://gallery.technet.microsoft.com/Just-Enough-Administration-6b5ad370
Windows Management Framework 5.0
https://www.microsoft.com/en-us/download/details.aspx?id=50395
Windows Management Framework 5.0 Production Preview
https://www.microsoft.com/en-us/download/details.aspx?id=48729
PowerShell xJea Module
http://www.powershellgallery.com/packages/xJea/
16