Just Enough Administration 是 PowerShell 5.0 及更高版本中包含的一项功能。 本文介绍开始使用 JEA 时必须满足的先决条件。
检查安装了哪个版本的 PowerShell
若要检查系统上安装了哪个版本的 PowerShell,请在 Windows PowerShell 提示符中检查 $PSVersionTable 变量。
$PSVersionTable.PSVersion
Major Minor Build Revision
----- ----- ----- --------
5 1 14393 1000
JEA 适用于 PowerShell 5.0 及更高版本。 对于完整功能,建议安装适用于系统的最新版本的 PowerShell。 下表介绍了 JEA 在 Windows Server 上的可用性:
| 服务器操作系统 | JEA 可用性 |
|---|---|
| Windows Server 2016 及更高版本 | 已预安装 |
| Windows Server 2012 R2 | WMF 5.1 的完整功能 |
| Windows Server 2012 | WMF 5.1 的完整功能 |
| Windows Server 2008 R2 | 在使用 WMF 5.1 时功能减少1 |
还可以在家庭或工作计算机上使用 JEA:
| 客户端操作系统 | JEA 可用性 |
|---|---|
| Windows 10 1607+ | 已预安装 |
| Windows 10 1603、1511 | 预安装,功能受限2 |
| Windows 10 1507 | 不可用 |
| Windows 8、8.1 | WMF 5.1 的完整功能 |
| Windows 7 | 使用 WMF 5.1 减少功能1 |
1 JEA 无法配置为在 Windows Server 2008 R2 或 Windows 7 上使用组托管服务帐户。 支持虚拟帐户和其他 JEA 功能。
2 Windows 10 版本 1511 和 1603 不支持以下 JEA 功能:
- 作为组托管服务帐户运行
- 会话配置中的条件访问规则
- 用户磁盘
- 授予对本地用户帐户的访问权限
若要获取对这些功能的支持,请将 Windows 更新到版本 1607(周年更新)或更高版本。
安装 Windows Management Framework
如果运行的是旧版 PowerShell,可能需要使用最新的 Windows Management Framework (WMF) 更新更新系统。 有关详细信息,请参阅 WMF 文档。
建议在升级所有服务器之前测试工作负荷与 WMF 的兼容性。
Windows 10 用户应安装最新的功能更新,以获取当前版本的 Windows PowerShell。
启用 PowerShell 远程功能
PowerShell 远程处理提供了构建 JEA 的基础。 必须先确保 PowerShell 远程处理功能已启用且受到适当保护,然后才能使用 JEA。 有关详细信息,请参阅 WinRM 安全性。
默认情况下,在 Windows Server 2012 及更高版本上启用 PowerShell 远程处理。 可以通过在提升的 PowerShell 窗口中运行以下命令来启用 PowerShell 远程处理。
Enable-PSRemoting
启用 PowerShell 模块和脚本块日志记录(可选)
以下步骤为系统上的所有 PowerShell 操作启用日志记录。 JEA 不需要 PowerShell 模块日志记录,但建议启用日志记录,以确保用户运行的命令记录在中心位置。
可以使用组策略配置 PowerShell 模块日志记录策略。
- 在 Active Directory 域控制器上的组策略管理控制台中打开工作站上的本地组策略编辑器或组策略对象
- 导航到 计算机配置\管理模板\Windows 组件\Windows PowerShell
- 双击“打开模块日志记录”
- 单击“已启用”
- 在“选项”部分中,单击“模块名称”旁边的“ 显示 ”
- 在弹出窗口中键入
*以记录来自所有模块的命令。 - 单击“ 确定 ”设置策略
- 双击“打开 PowerShell 脚本块日志记录”
- 单击启用
- 单击“ 确定 ”设置策略
- (仅在已加入域的计算机上)运行
gpupdate或等待组策略处理更新后的策略并应用设置
还可以通过组策略启用系统范围的 PowerShell 听录。
