0 von 1 fanden dies hilfreich - Dieses Thema bewerten.

Bereitstellen von Windows PowerShell Web Access

Letzte Aktualisierung: November 2012

Betrifft: Windows Server 2012

Windows PowerShell® Web Access ist ein neues Feature in Windows Server® 2012, das als Windows PowerShell-Gateway fungiert und eine webbasierte Windows PowerShell-Konsole bereitstellt, die auf einen Remotecomputer gerichtet ist. Es ermöglicht IT-Professionals das Ausführen von Windows PowerShell-Befehlen und -Skripts über eine Windows PowerShell-Konsole in einem Webbrowser, ohne dass Windows PowerShell, Remoteverwaltungssoftware oder ein Browser-Plug-In auf dem Clientgerät installiert sein muss. Zum Ausführen der webbasierten Windows PowerShell-Konsole sind lediglich ein ordnungsgemäß konfiguriertes Windows PowerShell Web Access-Gateway und ein Browser auf dem Clientgerät erforderlich, der JavaScript® unterstützt und Cookies akzeptiert.

Beispiele für Clientgeräte umfassen Laptops, privat genutzte Personalcomputer, geliehene Computer, Tablet PCs, Webkiosks, Computer, auf denen kein Windows-basiertes Betriebssystem ausgeführt wird, sowie Browser auf Handys. IT-Professionals können über Geräte, die Zugriff auf eine Internetverbindung und einen Webbrowser haben, wichtige Verwaltungsaufgaben auf Windows-basierten Remoteservern ausführen.

Nach der erfolgreichen Installation und Konfiguration des Gateways können Benutzer mithilfe eines Webbrowsers auf eine Windows PowerShell-Konsole zugreifen. Wenn ein Benutzer die sichere Windows PowerShell Web Access-Website öffnet, kann er nach der erfolgreichen Authentifizierung eine webbasierte Windows PowerShell-Konsole ausführen.

Die Installation und Konfiguration von Windows PowerShell Web Access ist ein aus drei Schritten bestehender Vorgang:

Schritt1: Installieren von Windows PowerShell Web Access
Schritt 2: Konfigurieren des Gateways
Schritt 3: Konfigurieren von Autorisierungsregeln und Websitesicherheit

Bevor Sie Windows PowerShell Web Access installieren und konfigurieren, empfiehlt es sich, dieses Thema und das Thema zur Verwendung der webbasierten Windows PowerShell-Konsole zu lesen. Dort wird erläutert, wie sich Benutzer an der webbasierten Konsole anmelden, und es werden einige der Beschränkungen und Unterschiede der Konsole beschrieben. Endbenutzer der webbasierten Konsole sollten das Thema zur Verwendung der webbasierten Windows PowerShell-Konsole lesen. Das vorliegende Thema ist für sie jedoch weniger relevant.

Dieses Thema bietet keine umfassenden Anleitungen zum Betrieb des Webservers (IIS), sondern lediglich eine Beschreibung der Schritte, die zum Konfigurieren des Windows PowerShell Web Access-Gateways erforderlich sind. Weitere Informationen zum Konfigurieren und Schützen von Websites in IIS finden Sie in den IIS-Dokumentationsressourcen, die im Abschnitt Siehe auch aufgeführt sind.

Im folgenden Diagramm wird die Funktionsweise von Windows PowerShell Web Access veranschaulicht.

Inhalt dieses Themas:

Anforderungen für die Ausführung von Windows PowerShell Web Access
Unterstützung für Browser und Clientgeräte
Schritt1: Installieren von Windows PowerShell Web Access
Schritt 2: Konfigurieren des Gateways
Schritt 3: Konfigurieren von Autorisierungsregeln und Websitesicherheit
Sitzungsverwaltung
Verwendung der webbasierten Windows PowerShell-Konsole
Behandeln von Zugriffsproblemen
Deinstallieren von Windows PowerShell Web Access

Anforderungen für die Ausführung von Windows PowerShell Web Access

Windows PowerShell Web Access setzt voraus, dass der Webserver (IIS), .NET Framework 4.5 und Windows PowerShell 3.0 auf dem Server ausgeführt werden, auf dem Sie das Gateway ausführen möchten. Sie können Windows PowerShell Web Access auf einem Server unter Windows Server 2012 installieren, indem entweder der Assistent zum Hinzufügen von Rollen und Features im Server-Manager oder Windows PowerShell-Bereitstellungs-Cmdlets für den Server-Manager verwendet werden. Wenn Sie Windows PowerShell Web Access mithilfe des Server-Managers oder der Bereitstellungs-Cmdlets installieren, werden die erforderlichen Rollen und Features automatisch im Rahmen des Installationsvorgangs hinzugefügt.

Windows PowerShell Web Access ermöglicht Remotebenutzern den Zugriff auf Computer in Ihrer Organisation, indem sie Windows PowerShell in einem Webbrowser verwenden. Obwohl Windows PowerShell Web Access ein praktisches und leistungsfähiges Verwaltungstool ist, stellt der webbasierte Zugriff ein Sicherheitsrisiko dar und sollte daher so sicher wie möglich konfiguriert werden. Es empfiehlt sich, dass Administratoren, die das Windows PowerShell Web Access-Gateway konfigurieren, die verfügbaren Sicherheitsebenen, und zwar sowohl die in Windows PowerShell Web Access integrierten Cmdlet-basierten Autorisierungsregeln sowie die im Webserver (IIS) und Drittanbieteranwendungen verfügbaren Sicherheitsmechanismen, verwenden. Diese Dokumentation geht sowohl auf nicht sichere Konfigurationen, die nur für Testumgebungen empfohlen werden, als auch auf Konfigurationen ein, die für sichere Bereitstellungen empfohlen werden.

Unterstützung für Browser und Clientgeräte

Windows PowerShell Web Access unterstützt die folgenden Internetbrowser. Obwohl es keine offizielle Unterstützung für mobile Browser gibt, kann die webbasierte Windows PowerShell-Konsole möglicherweise in vielen dieser Browser ausgeführt werden. Die Verwendung anderer Browser, die Cookies zulassen, JavaScript ausführen und HTTPS-Websites ausführen, sollte ebenfalls möglich sein. Offizielle Tests wurden jedoch nicht durchgeführt.

Unterstützte Desktopcomputerbrowser

Windows® Internet Explorer® für Microsoft Windows® 8.0, 9.0 und 10.0
Mozilla Firefox® 10.0.2
Google Chrome™ 17.0.963.56m für Windows
Apple Safari® 51.1.2

Mobile Geräte oder Browser, für die Minimaltests durchgeführt wurden

Windows Phone 7 und 7.5
Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)
Apple Safari für iPhone-Betriebssystem 5.0.1
Apple Safari für iPad 2-Betriebssystem 5.0.1

Browseranforderungen

Um die webbasierte Windows PowerShell Web Access-Konsole verwenden zu können, müssen Browser Folgendes ermöglichen.

Zulassen von Cookies von der Windows PowerShell Web Access-Gatewaywebsite.
Öffnen und Lesen von HTTPS-Seiten.
Öffnen und Ausführen von Websites, die JavaScript verwenden.

Schritt1: Installieren von Windows PowerShell Web Access

Sie können eine der folgenden Methoden verwenden, um das Windows PowerShell Web Access-Gateway auf einem Server unter Windows Server 2012 zu installieren.

So installieren Sie Windows PowerShell Web Access mithilfe des Assistenten zum Hinzufügen von Rollen und Features

Wenn der Server-Manager bereits geöffnet ist, fahren Sie mit dem nächsten Schritt fort. Ist der Server-Manager noch nicht geöffnet, gehen Sie wie nachfolgend beschrieben vor.
- Starten Sie den Server-Manager auf dem Windows-Desktop, indem Sie auf der Windows-Taskleiste auf Server-Manager klicken.
- Klicken Sie auf der Windows-Startseite auf Server-Manager.
Klicken Sie im Menü Verwalten auf Rollen und Features hinzufügen.
Wählen Sie auf der Seite Installationstyp auswählen die Option Rollenbasierte oder featurebasierte Installation aus. Klicken Sie auf Weiter.
Wählen Sie auf der Seite Zielserver auswählen einen Server aus dem Serverpool aus, oder wählen Sie eine Offline-VHD aus. Um eine Offline-VHD als Zielserver auszuwählen, müssen Sie zuerst den Server auswählen, auf dem die VHD eingebunden werden soll. Wählen Sie anschließend die VHD-Datei aus. Informationen zum Hinzufügen von Servern zum Serverpool finden Sie in der Server-Manager-Hilfe. Klicken Sie nach der Auswahl des Zielservers auf Weiter.
Erweitern Sie auf der Seite Features auswählen des Assistenten Windows PowerShell, und wählen Sie dann Windows PowerShell Web Access aus.

Sie werden aufgefordert, erforderliche Features, wie beispielsweise .NET Framework 4.5, und Rollendienste des Webservers (IIS) hinzuzufügen. Fügen Sie die erforderlichen Features hinzu, und setzen Sie den Vorgang fort.

Hinweis
Wird der Assistent zum Hinzufügen von Rollen und Features verwendet, um Windows PowerShell Web Access zu installieren, wird auch der Webserver (IIS) einschließlich des IIS-Manager-Snap-Ins installiert. Das Snap-In und andere IIS-Verwaltungstools werden standardmäßig installiert, wenn der Assistent zum Hinzufügen von Rollen und Features verwendet wird. Wenn Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets installieren (wie im folgenden Verfahren beschrieben), werden die Verwaltungstools nicht standardmäßig hinzugefügt.

Hinweis

Wird der Assistent zum Hinzufügen von Rollen und Features verwendet, um Windows PowerShell Web Access zu installieren, wird auch der Webserver (IIS) einschließlich des IIS-Manager-Snap-Ins installiert. Das Snap-In und andere IIS-Verwaltungstools werden standardmäßig installiert, wenn der Assistent zum Hinzufügen von Rollen und Features verwendet wird. Wenn Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets installieren (wie im folgenden Verfahren beschrieben), werden die Verwaltungstools nicht standardmäßig hinzugefügt.

Klicken Sie auf der Seite Installationsauswahl bestätigen, falls die Featuredateien für Windows PowerShell Web Access nicht auf dem in Schritt 4 ausgewählten Zielserver gespeichert sind, auf Alternativen Quellpfad angeben, und geben Sie den Pfad zu den Featuredateien an. Klicken Sie andernfalls auf Installieren.
Nachdem Sie auf Installieren geklickt haben, werden auf der Seite Installationsstatus der Installationsstatus, Ergebnisse und Meldungen angezeigt, beispielsweise Warnungen, Fehler oder Konfigurationsschritte nach der Installation, die für Windows PowerShell Web Access erforderlich sind. Nachdem Windows PowerShell Web Access installiert wurde, werden Sie aufgefordert, die Infodatei zu lesen, die grundlegende, erforderliche Setupanweisungen für das Gateway enthält. Diese Schritt 2: Konfigurieren des Gateways sind auch in diesem Dokument aufgeführt. Die Infodatei befindet sich unter C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

So installieren Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets

Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten zu öffnen.

Klicken Sie auf dem Windows-Desktop auf der Taskleiste mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.
Klicken Sie auf der Windows-Startseite mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.

Hinweis
Unter Windows PowerShell 3.0 müssen die Server-Manager-Cmdlet-Module nicht in die Windows PowerShell-Sitzung importiert werden, bevor die zum Modul gehörenden Cmdlets ausgeführt werden. Module werden automatisch importiert, wenn Sie ein zum Modul gehörendes Cmdlet zum ersten Mal ausführen. Die Groß- und Kleinschreibung wird bei Windows PowerShell-Cmdlets ebenfalls nicht berücksichtigt.

Geben Sie Folgendes ein, und drücken Sie dann dieEINGABETASTE, wobei computer_name für den Namen eines Remotecomputers steht, auf dem Sie Windows PowerShell Web Access installieren möchten. Durch den Restart-Parameter werden die Zielserver falls erforderlich automatisch neu gestartet.

Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart

Hinweis
Durch die Installation von Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets werden die Webserver-Verwaltungstools (IIS) nicht standardmäßig hinzugefügt. Wenn Sie die Verwaltungstools auf dem gleichen Server wie das Windows PowerShell Web Access-Gateway installieren möchten, fügen Sie den `IncludeManagementTools`-Parameter zum Installationsbefehl hinzu (wie in diesem Schritt angegeben). Wenn Sie die Windows PowerShell Web Access-Website über einen Remotecomputer verwalten, installieren Sie das IIS-Manager-Snap-In, indem Sie die Remoteserver-Verwaltungstools auf dem Computer installieren, über den Sie das Gateway verwalten möchten.

Hinweis

Durch die Installation von Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets werden die Webserver-Verwaltungstools (IIS) nicht standardmäßig hinzugefügt. Wenn Sie die Verwaltungstools auf dem gleichen Server wie das Windows PowerShell Web Access-Gateway installieren möchten, fügen Sie den IncludeManagementTools-Parameter zum Installationsbefehl hinzu (wie in diesem Schritt angegeben). Wenn Sie die Windows PowerShell Web Access-Website über einen Remotecomputer verwalten, installieren Sie das IIS-Manager-Snap-In, indem Sie die Remoteserver-Verwaltungstools auf dem Computer installieren, über den Sie das Gateway verwalten möchten.

Zum Installieren von Rollen und Features auf einer Offline-VHD müssen Sie sowohl den ComputerName-Parameter als auch den VHD-Parameter hinzufügen. Der ComputerName-Parameter enthält den Namen des Servers, auf dem die VHD eingebunden werden soll, und der VHD-Parameter enthält den Pfad zur VHD-Datei auf dem angegebenen Server.

Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart

Überprüfen Sie nach Abschluss der Installation, ob Windows PowerShell Web Access auf den Zielservern installiert wurde, indem Sie das Get-WindowsFeature-Cmdlet auf einem Zielserver in einer Windows PowerShell-Konsole ausführen, die mit erhöhten Benutzerrechten geöffnet wurde. Sie können die Installation von Windows PowerShell Web Access auch in der Server-Manager-Konsole überprüfen, indem Sie einen Zielserver auf der Seite Alle Server auswählen und dann die Kachel Rollen und Features für den ausgewählten Server anzeigen. Sie können auch die Infodatei für Windows PowerShell Web Access anzeigen.
Nachdem Windows PowerShell Web Access installiert wurde, werden Sie aufgefordert, die Infodatei zu lesen, die grundlegende, erforderliche Setupanweisungen für das Gateway enthält. Diese Setupanweisungen werden auch weiter unten im Abschnitt Schritt 2: Konfigurieren des Gateways beschrieben. Die Infodatei befindet sich unter C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Schritt 2: Konfigurieren des Gateways

Das Install-PswaWebApplication-Cmdlet bietet eine schnelle Möglichkeit, um Windows PowerShell Web Access zu konfigurieren. Es ist möglich, den UseTestCertificate-Parameter zum Install-PswaWebApplication-Cmdlet hinzuzufügen, um zu Testzwecken ein selbstsigniertes SSL-Zertifikat zu installieren, aber diese Vorgehensweise ist nicht sicher. Verwenden Sie für eine sichere Produktionsumgebung stets ein gültiges SSL-Zertifikat, das von einer Zertifizierungsstelle signiert wurde. Mithilfe der IIS-Manager-Konsole können Administratoren das Testzertifikat durch ein signiertes Zertifikat ihrer Wahl ersetzen.

Sie können die Konfiguration der Windows PowerShell Web Access-Webanwendung abschließen, indem Sie entweder das Install-PswaWebApplication-Cmdlet oder die GUI-basierten Konfigurationsschritte im IIS-Manager ausführen. Standardmäßig wird durch das Cmdlet die Webanwendung, pswa (und der zugehörige Anwendungspool, pswa_pool), im Standardwebsite-Container (wie im IIS-Manager angezeigt) installiert. Falls gewünscht, können Sie das Cmdlet anweisen, den Standardwebsite-Container der Webanwendung zu ändern. Der IIS-Manager bietet Konfigurationsoptionen, die für Webanwendungen verfügbar sind, beispielsweise das Ändern der Portnummer oder des SSL-Zertifikats (Secure Sockets Layer).

Sicherheit Hinweis
Es wird nachdrücklich empfohlen, dass Administratoren das Gateway so konfigurieren, dass ein gültiges, von einer Zertifizierungsstelle signiertes Zertifikat verwendet wird.

Konfigurieren des Gateways mithilfe von "Install-PswaWebApplication"

Führen Sie die folgenden Anweisungen aus, um das Windows PowerShell Web Access-Gateway mithilfe des Install-PswaWebApplication-Cmdlets zu konfigurieren.

So verwenden Sie das Install-PswaWebApplication-Cmdlet, um das Windows PowerShell Web Access-Gateway mit einem Testzertifikat zu konfigurieren

Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung zu öffnen.
- Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste.
- Klicken Sie auf der Windows-Startseite auf Windows PowerShell.

Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

Install-PswaWebApplication -UseTestCertificate

Sicherheit Hinweis
Der `UseTestCertificate`-Parameter sollte nur in einer privaten Testumgebung verwendet werden. Für sichere Produktionsumgebungen empfiehlt sich die Verwendung eines gültigen Zertifikats, das von einer Zertifizierungsstelle signiert wurde.

Durch die Ausführung des Cmdlets wird die Windows PowerShell Web Access-Webanwendung im Standardwebsite-Container von IIS installiert. Durch das Cmdlet wird die Infrastruktur, die zum Ausführen von Windows PowerShell Web Access erforderlich ist, auf der Standardwebsite, https://<Servername>/pswa, erstellt. Um die Webanwendung auf einer anderen Website zu installieren, müssen Sie den Websitenamen angeben, indem Sie den WebSiteName-Parameter hinzufügen. Um den Namen der Webanwendung zu ändern (der Standardname lautet pswa), fügen Sie den WebApplicationName-Parameter hinzu.

Die folgenden Einstellungen werden durch die Ausführung des Cmdlets konfiguriert. Falls gewünscht, können Sie diese in der IIS-Manager-Konsole manuell ändern.

Path: /pswa
ApplicationPool: pswa_pool
EnabledProtocols: http
PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

Beispiel: Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificate. In diesem Beispiel lautet die Ergebniswebsite für Windows PowerShell Web Access folgendermaßen: https://< Servername>/myWebApp.

Hinweis
Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde. Weitere Informationen finden Sie unter Schritt 3: Konfigurieren von Autorisierungsregeln und Websitesicherheit.

So verwenden Sie das Install-PswaWebApplication-Cmdlet, um das Windows PowerShell Web Access-Gateway mit einem Originalzertifikat zu konfigurieren

Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung zu öffnen.
- Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste.
- Klicken Sie auf der Windows-Startseite auf Windows PowerShell.
Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.

Install-PswaWebApplication

Die folgenden Gatewayeinstellungen werden durch die Ausführung des Cmdlets konfiguriert. Falls gewünscht, können Sie diese in der IIS-Manager-Konsole manuell ändern. Sie können auch Werte für die Parameter WebsiteName und WebApplicationName des Install-PswaWebApplication-Cmdlets angeben.
- Path: /pswa
- ApplicationPool: pswa_pool
- EnabledProtocols: http
- PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot
Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen:
- Starten Sie den Server-Manager auf dem Windows-Desktop, indem Sie auf der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras im Server-Manager auf Internetinformationsdienste-Manager.
- Klicken Sie auf der Windows-Startseite auf Server-Manager.
Erweitern Sie im IIS-Manager-Strukturbereich den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Ordner Sites sichtbar ist. Erweitern Sie den Ordner Sites.
Wählen Sie die Website aus, auf der Sie die Windows PowerShell Web Access-Webanwendung installiert haben. Klicken Sie im Bereich Aktionen auf Bindungen.
Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.
Wählen Sie im Dialogfeld Sitebindung hinzufügen in der Liste Typ die Option https aus.

Wählen Sie im Feld SSL-Zertifikat Ihr signiertes Zertifikat aus dem Dropdownmenü aus. Klicken Sie auf OK. Weitere Informationen zum Anfordern eines Zertifikats finden Sie in diesem Thema unter So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager.

Die Windows PowerShell Web Access-Webanwendung ist nun so konfiguriert, dass sie das signierte SSL-Zertifikat verwendet. Sie können auf Windows PowerShell Web Access zugreifen, indem Sie "https://<Servername>/pswa" in einem Browserfenster öffnen.

Hinweis
Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde. Weitere Informationen finden Sie unter Schritt 3: Konfigurieren von Autorisierungsregeln und Websitesicherheit.

Konfigurieren des Gateways mithilfe des IIS-Managers

Die Anweisungen in diesem Abschnitt beschreiben die Installation der Windows PowerShell Web Access-Webanwendung in einem Unterverzeichnis – nicht im Stammverzeichnis – der Website. Dieses Verfahren ist die GUI-basierte Entsprechung zu den Aktionen, die vom Install-PswaWebApplication-Cmdlet ausgeführt werden. Dieser Abschnitt enthält außerdem Anweisungen zur Verwendung des IIS-Managers, um das Windows PowerShell Web Access-Gateway als Stammwebsite zu konfigurieren.

So verwenden Sie den IIS-Manager, um das Gateway auf einer vorhandenen Website zu konfigurieren

Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen:
- Starten Sie den Server-Manager auf dem Windows-Desktop, indem Sie auf der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras im Server-Manager auf Internetinformationsdienste-Manager.
- Geben Sie auf der Windows-Startseite einen beliebigen Teil des Namens Internetinformationsdienste-Manager ein. Klicken Sie auf die Verknüpfung, wenn diese in den Ergebnissen unter Apps angezeigt wird.
Erstellen Sie einen neuen Anwendungspool für Windows PowerShell Web Access. Erweitern Sie den Knoten des Gatewayservers im IIS-Manager-Strukturbereich, wählen Sie Anwendungspools aus, und klicken Sie im Bereich Aktionen auf Anwendungspool hinzufügen.
Fügen Sie einen neuen Anwendungspool mit dem Namen pswa_pool hinzu, oder geben Sie einen anderen Namen an. Klicken Sie auf OK.
Erweitern Sie im IIS-Manager-Strukturbereich den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Ordner Sites sichtbar ist. Wählen Sie den Ordner Sites aus.
Klicken Sie mit der rechten Maustaste auf die Website (beispielsweise Standardwebsite), der Sie die Windows PowerShell Web Access-Website hinzufügen möchten, und klicken Sie dann auf Anwendung hinzufügen.
Geben Sie "pswa" in das Feld Alias ein, oder geben Sie einen anderen Aliasnamen an. Der Alias wird zum Namen des virtuellen Verzeichnisses. pswa in der folgenden URL stellt beispielsweise den Alias dar, der in diesem Schritt angegeben wird: https://<Servername>/pswa.
Wählen Sie im Feld Anwendungspool den Anwendungspool aus, den Sie in Schritt 3 erstellt haben.
Navigieren Sie im Feld Physikalischer Pfad zum Speicherort der Anwendung. Sie können den Standardspeicherort "%windir%/Web/PowerShellWebAccess/wwwroot"% verwenden. Klicken Sie auf OK.
Führen Sie die Schritte aus, die weiter oben im Verfahren So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager beschrieben wurden.
Optionaler Sicherheitsschritt: Doppelklicken Sie, während die Website im Strukturbereich ausgewählt ist, im Inhaltsbereich auf SSL-Einstellungen. Wählen Sie SSL erforderlich aus, und klicken Sie dann im Bereich Aktionen auf Anwenden. Sie haben auch die Möglichkeit, im Bereich SSL-Einstellungen festzulegen, dass Benutzer, die eine Verbindung mit der Windows PowerShell Web Access-Website herstellen, ein Clientzertifikat vorlegen müssen. Clientzertifikate dienen dazu, die Identität des Benutzers eines Clientgeräts zu überprüfen. Weitere Informationen dazu, wie Sie durch das Anfordern von Clientzertifikaten die Sicherheit von Windows PowerShell Web Access erhöhen können, finden Sie im Abschnitt Sicherheit dieses Themas.
Öffnen Sie eine Browsersitzung auf einem Clientgerät. Weitere Informationen zu unterstützten Browsern und Geräten finden Sie in diesem Dokument unter Unterstützung für Browser und Clientgeräte.

Öffnen Sie die neue Windows PowerShell Web Access-Website: https://< Gatewayservername>/pswa.

Im Browser sollte die Anmeldeseite der Windows PowerShell Web Access-Konsole angezeigt werden.

Hinweis
Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde.

Führen Sie in einer Windows PowerShell-Sitzung, die mit erhöhen Benutzerrechten (Als Administrator ausführen) geöffnet wurde, das folgende Skript aus (hierbei entspricht application_pool_name dem Namen des in Schritt 3 erstellten Anwendungspools), um dem Anwendungspool Zugriffsrechte für die Autorisierungsdatei zu erteilen.
Kopieren
$applicationPoolName = "<application_pool_name>" $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml" c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
Führen Sie den folgenden Befehl aus, um die vorhandenen Zugriffsrechte für die Autorisierungsdatei anzuzeigen:
Kopieren
c:\windows\system32\icacls.exe $authorizationFile

So verwenden Sie den IIS-Manager, um das Windows PowerShell Web Access-Gateway als Stammwebsite mit einem Testzertifikat zu konfigurieren

Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen:
- Starten Sie den Server-Manager auf dem Windows-Desktop, indem Sie auf der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras im Server-Manager auf Internetinformationsdienste-Manager.
- Geben Sie auf der Windows-Startseite einen beliebigen Teil des Namens Internetinformationsdienste-Manager ein. Klicken Sie auf die Verknüpfung, wenn diese in den Ergebnissen unter Apps angezeigt wird.
Erweitern Sie im IIS-Manager-Strukturbereich den Knoten für den Server, auf dem Windows PowerShell Web Access installiert ist, bis der Ordner Sites sichtbar ist. Wählen Sie den Ordner Sites aus.
Klicken Sie im Bereich Aktionen auf Website hinzufügen.
Geben Sie einen Namen für die Website ein, beispielsweise Windows PowerShell Web Access.
Für die neue Website wird automatisch ein Anwendungspool erstellt. Um einen anderen Anwendungspool zu verwenden, klicken Sie auf Auswählen, um einen Anwendungspool auszuwählen, der der neuen Website zugeordnet wird. Wählen Sie den anderen Anwendungspool im Dialogfeld Anwendungspool auswählen aus, und klicken Sie dann auf OK.
Navigieren Sie im Textfeld Physikalischer Pfad zu "windir%/Web/PowerShellWebAccess/wwwroot".
Wählen Sie im Feld Typ des Bereichs Bindung die Option https aus.
Weisen Sie der Website eine Portnummer zu, die noch nicht von einer anderen Website oder -anwendung verwendet wird. Zum Suchen von offenen Ports können Sie den Befehl netstat in einem Eingabeaufforderungsfenster ausführen. Die Standardportnummer ist 443.

Ändern Sie den Standardport, falls Port 443 bereits von einer anderen Website verwendet wird oder wenn das Ändern der Portnummer aus anderen Gründen der Sicherheit notwendig ist. Falls eine andere Website, die auf dem Gatewayserver ausgeführt wird, den ausgewählten Port verwendet, wird eine Warnung angezeigt, sobald Sie im Dialogfeld Website hinzufügen auf OK klicken. Sie müssen für die Ausführung von Windows PowerShell Web Access einen nicht verwendeten Port festlegen.
Falls dies in Ihrer Organisation nötig ist, haben Sie außerdem die Möglichkeit, einen Hostnamen anzugeben, der für Ihre Organisation und deren Benutzer sinnvoll ist, beispielsweise www.contoso.com. Klicken Sie auf OK.
Für sicherere Produktionsumgebungen wird nachdrücklich empfohlen, ein gültiges Zertifikat bereitzustellen, das von einer Zertifizierungsstelle signiert wurde. Sie müssen ein SSL-Zertifikat bereitstellen, da Benutzer nur über eine HTTPS-Website eine Verbindung mit Windows PowerShell Web Access herstellen können. Weitere Informationen zum Anfordern eines Zertifikats finden Sie in diesem Thema unter So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager.
Klicken Sie auf OK, um das Dialogfeld Website hinzufügen zu schließen.
Führen Sie in einer Windows PowerShell-Sitzung, die mit erhöhen Benutzerrechten (Als Administrator ausführen) geöffnet wurde, das folgende Skript aus (hierbei entspricht application_pool_name dem Namen des in Schritt 4 erstellten Anwendungspools), um dem Anwendungspool Zugriffsrechte für die Autorisierungsdatei zu erteilen.
Kopieren
$applicationPoolName = "<application_pool_name>" $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml" c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
Führen Sie den folgenden Befehl aus, um die vorhandenen Zugriffsrechte für die Autorisierungsdatei anzuzeigen:
Kopieren
c:\windows\system32\icacls.exe $authorizationFile
Klicken Sie, während die neue Website im IIS-Manager-Strukturbereich ausgewählt ist, im Bereich Aktionen auf Starten, um die Website zu starten.
Öffnen Sie eine Browsersitzung auf einem Clientgerät. Weitere Informationen zu unterstützten Browsern und Geräten finden Sie in diesem Dokument unter Unterstützung für Browser und Clientgeräte.

Öffnen Sie die neue Windows PowerShell Web Access-Website.

Da die Stammwebseite auf den Windows PowerShell Web Access-Ordner verweist, sollte der Browser die Windows PowerShell Web Access-Anmeldeseite anzeigen, wenn Sie "https://< Gatewayservername>" öffnen. Es sollte nicht notwendig sein, /pswa zur URL hinzuzufügen.

Hinweis
Eine Anmeldung ist erst möglich, nachdem den Benutzern durch Hinzufügen von Autorisierungsregeln der Zugriff auf die Website gestattet wurde.

So konfigurieren Sie ein SSL-Zertifikat im IIS-Manager

Wählen Sie im IIS-Manager-Strukturbereich den Server aus, auf dem Windows PowerShell Web Access installiert ist.
Doppelklicken Sie im Inhaltsbereich auf Serverzertifikate.
Führen Sie im Bereich Aktionen eine der folgenden Aktionen aus: Weitere Informationen zum Konfigurieren von Serverzertifikaten in IIS finden Sie im Thema zum Konfigurieren von Serverzertifikaten in IIS 7.
- Klicken Sie auf Importieren, um ein vorhandenes, gültiges Zertifikat von einem Speicherort im Netzwerk zu importieren.
- Klicken Sie auf Zertifikatanforderung erstellen, um ein Zertifikat von einer Zertifizierungsstelle wie VeriSign™, Thawte oder GeoTrust® anzufordern. Der allgemeiner Name des Zertifikats muss dem Hostheader in der Anforderung entsprechen. Wenn der Clientbrowser beispielsweise "http://www.contoso.com/" anfordert, muss der allgemeine Name ebenfalls "http://www.contoso.com/" lauten. Dies ist das sicherste und empfohlene Verfahren, um dem Windows PowerShell Web Access-Gateway ein Zertifikat zur Verfügung zu stellen.
- Klicken Sie auf Selbstsigniertes Zertifikat erstellen, um ein Zertifikat zu erstellen, das Sie sofort verwenden und, falls gewünscht, später von einer Zertifizierungsstelle signieren lassen können. Geben Sie einen Anzeigenamen für das selbstsignierte Zertifikat an, beispielsweise Windows PowerShell Web Access. Dieses Vorgehensweise ist als nicht sicher anzusehen und wird nur für eine private Testumgebung empfohlen.
Wählen Sie, nachdem Sie ein Zertifikat erstellt oder angefordert haben, im IIS-Manager-Strukturbereich die Website aus, für die das Zertifikat angewendet werden soll (beispielsweise Standardwebsite), und klicken Sie dann im Bereich Aktionen auf Bindungen.
Fügen Sie im Dialogfeld Sitebindung hinzufügen eine Bindung des Typs https für die Website hinzu, falls noch keine entsprechende Bindung angezeigt wird. Wenn Sie kein selbstsigniertes Zertifikat verwenden, geben Sie den Hostnamen aus Schritt 3 dieses Verfahrens an. Wenn Sie ein selbstsigniertes Zertifikat verwenden, ist dieser Schritt nicht erforderlich.
Wählen Sie das Zertifikat aus, das Sie in Schritt 3 dieses Verfahrens angefordert oder erstellt haben, und klicken Sie dann auf OK.

Schritt 3: Konfigurieren von Autorisierungsregeln und Websitesicherheit

Nachdem Windows PowerShell Web Access installiert und das Gateway konfiguriert wurde, können die Benutzer die Anmeldeseite in einem Browser öffnen. Eine Anmeldung ist ihnen jedoch erst möglich, nachdem der Windows PowerShell Web Access-Administrator ihnen explizit den Zugriff gewährt hat. Die Windows PowerShell Web Access-Zugriffssteuerung wird mithilfe eines Satzes von Windows PowerShell-Cmdlets verwaltet, die in der folgenden Tabelle beschrieben werden. Eine vergleichbare GUI für das Hinzufügen und Verwalten von Autorisierungsregeln ist nicht verfügbar.

Administratoren können keine bis hin zu einer beliebigen Anzahl an Authentifizierungsregeln für Windows PowerShell Web Access definieren. Die Standardsicherheit ist restriktiv anstatt erlaubend: keine Authentifizierungsregel bedeutet, dass kein Benutzer auf irgendetwas zugreifen darf.

Windows PowerShell Web Access-Authentifizierungsregeln sind Positivlistenregeln. Jede Regel entspricht einer Definition einer zugelassenen Verbindung zwischen Benutzern, Zielcomputern und bestimmten Windows PowerShell-Sitzungskonfigurationen (auch Endpunkte oder Runspaces genannt) auf angegebenen Zielcomputern.

Sicherheit Hinweis
Für einen Benutzer muss nur eine Regel zutreffen, damit er Zugriff erhält. Wenn ein Benutzer über die webbasierte Konsole Zugriff auf einen Computer erhält, entweder mit vollem Sprachzugriff oder mit Zugriff ausschließlich auf Windows PowerShell-Remoteverwaltungs-Cmdlets, kann sich der Benutzer bei anderen Computern anmelden, die mit dem ersten Zielcomputer verbunden sind. Das sicherste Verfahren, um Windows PowerShell Web Access zu konfigurieren, besteht darin, Benutzern nur den Zugriff auf eingeschränkte Sitzungskonfigurationen (auch Endpunkte oder Runspaces genannt) zu gewähren, die ihnen das Ausführen bestimmter Aufgaben ermöglichen, die sie normalerweise im Remotemodus ausführen müssen.

Sicherheit Hinweis

Für einen Benutzer muss nur eine Regel zutreffen, damit er Zugriff erhält. Wenn ein Benutzer über die webbasierte Konsole Zugriff auf einen Computer erhält, entweder mit vollem Sprachzugriff oder mit Zugriff ausschließlich auf Windows PowerShell-Remoteverwaltungs-Cmdlets, kann sich der Benutzer bei anderen Computern anmelden, die mit dem ersten Zielcomputer verbunden sind. Das sicherste Verfahren, um Windows PowerShell Web Access zu konfigurieren, besteht darin, Benutzern nur den Zugriff auf eingeschränkte Sitzungskonfigurationen (auch Endpunkte oder Runspaces genannt) zu gewähren, die ihnen das Ausführen bestimmter Aufgaben ermöglichen, die sie normalerweise im Remotemodus ausführen müssen.

Name	Beschreibung	Parameter
Add-PswaAuthorizationRule	Fügt dem Satz mit Windows PowerShell Web Access-Autorisierungsregeln eine neue Autorisierungsregel hinzu.	ComputerGroupName ComputerName ConfigurationName RuleName UserGroupName UserName
Remove-PswaAuthorizationRule	Entfernt eine angegebene Autorisierungsregel aus Windows PowerShell Web Access.	Id RuleName
Get-PswaAuthorizationRule	Gibt einen Satz mit Windows PowerShell Web Access-Autorisierungsregeln zurück. Wird das Cmdlet ohne Parameter verwendet, gibt es alle Regeln zurück.	Id RuleName
Test-PswaAuthorizationRule	Wertet Autorisierungsregeln aus, um festzustellen, ob eine bestimmte Benutzer-, Computer- oder Sitzungskonfigurations-Zugriffsanforderung autorisiert ist. Wenn keine Parameter hinzugefügt werden, wertet das Cmdlet standardmäßig alle Autorisierungsregeln aus. Durch das Hinzufügen von Parametern können Administratoren eine zu testende Autorisierungsregel oder eine Teilmenge von zu testenden Autorisierungsregeln angeben.	ComputerName ConfigurationName RuleName UserName

Durch die vorherigen Cmdlets wird ein Satz mit Zugriffsregeln erstellt, die zum Autorisieren eines Benutzers auf dem Windows PowerShell Web Access-Gateway verwendet werden. Die Regeln unterscheiden sich von Zugriffssteuerungslisten auf dem Zielcomputer und bieten eine zusätzliche Ebene der Sicherheit für den Webzugriff. Weitere Informationen zur Sicherheit finden Sie im folgenden Abschnitt.

Falls ein Benutzer keine der vorherigen Sicherheitsebenen passieren kann, wird im Browserfenster eine allgemeine Meldung des Typs "Zugriff verweigert" angezeigt. Obwohl die Sicherheitsdetails auf dem Gatewayserver protokolliert werden, erhalten die Benutzern keine Informationen darüber, wie viele Sicherheitsebenen sie passiert haben oder auf welcher Ebene der Anmelde- oder Authentifizierungsfehler aufgetreten ist.

Weitere Informationen zum Konfigurieren von Autorisierungsregeln finden Sie in diesem Thema unter Konfigurieren von Autorisierungsregeln.

Sicherheit

Das Windows PowerShell Web Access-Sicherheitsmodell weist vier Sicherheitsebenen zwischen einem Endbenutzer der webbasierten Konsole und einem Zielcomputer auf. Durch weitere Konfigurationsmaßnahmen in der IIS-Manager-Konsole können Windows PowerShell Web Access-Administratoren zusätzliche Sicherheitsebenen hinzufügen. Weitere Informationen zum Schützen von Websites in der ISS-Manager-Konsole finden Sie im Thema zum Konfigurieren der Webserversicherheit (IIS 7). Weitere Informationen zu bewährten Methoden in IIS und zum Verhindern von Denial-of-Service-Angriffen finden Sie im Thema zu bewährten Methoden für das Verhindern von Denial-of-Service-Angriffen. Ein Administrator kann außerdem zusätzliche, im Handel verfügbare Authentifizierungssoftware erwerben und installieren.

Die folgende Tabelle enthält eine Beschreibung der vier Sicherheitsebenen zwischen Endbenutzern und Zielcomputern.

Reihenfolge	Ebene	Beschreibung
1	Sicherheitsfeatures des Webservers (IIS), beispielsweise die Clientzertifikatauthentifizierung	Windows PowerShell Web Access-Benutzer müssen immer einen Benutzernamen und ein Kennwort angeben, um ihr Konto auf dem Gateway zu authentifizieren. Windows PowerShell Web Access-Administratoren können die optionale Clientzertifikatauthentifizierung jedoch ein- oder ausschalten (siehe Schritt 10 von So verwenden Sie den IIS-Manager, um das Gateway auf einer vorhandenen Website zu konfigurieren in diesem Dokument). Für die optionale Clientzertifikatauthentifizierung müssen Endbenutzer zusätzlich zu ihren Benutzernamen und Kennwörtern auch über ein gültiges Clientzertifikat verfügen. Das Feature ist Teil der Konfiguration des Webservers (IIS). Wenn die Clientzertifikatebene aktiviert ist, werden die Benutzer durch die Windows PowerShell Web Access-Anmeldeseite aufgefordert, gültige Zertifikate bereitzustellen. Erst danach werden ihre Anmeldeinformationen ausgewertet. Die Clientzertifikatauthentifizierung bewirkt, dass automatisch das Vorhandensein des Clientzertifikats überprüft wird. Wird kein gültiges Zertifikat gefunden, werden die Benutzer von Windows PowerShell Web Access informiert und erhalten so die Möglichkeit, das Zertifikat bereitzustellen. Wird ein gültiges Zertifikat gefunden, öffnet Windows PowerShell Web Access die Anmeldeseite, damit die Benutzer ihre Benutzernamen und Kennwörter eingeben können. Dies ist nur ein Beispiel für die zusätzlichen Sicherheitseinstellungen, die vom Webserver (IIS) zur Verfügung gestellt werden. Weitere Informationen zu anderen Sicherheitsfeatures von IIS finden Sie im Thema zum Konfigurieren der Webserversicherheit (IIS 7).
2	Formularbasierte Gatewayauthentifizierung von Windows PowerShell Web Access	Die Windows PowerShell Web Access-Anmeldeseite fordert einen Satz mit Anmeldeinformationen (Benutzername und Kennwort) an und bietet den Benutzern die Möglichkeit, andere Anmeldeinformationen für den Zielcomputer anzugeben. Wenn der Benutzer keine alternativen Anmeldeinformationen angibt, werden die primären Benutzernamen- und Kennwortinformationen, die für die Verbindung zum Gateway verwendet werden, auch verwendet, um eine Verbindung mit dem Zielcomputer herzustellen. Die erforderlichen Anmeldeinformationen werden auf dem Windows PowerShell Web Access-Gateway authentifiziert. Diese Anmeldeinformationen müssen gültigen Benutzerkonten entweder auf dem lokalen Windows PowerShell Web Access-Gatewayserver oder in Active Directory® entsprechen. Nachdem ein Benutzer am Gateway authentifiziert wurde, werden die Autorisierungsregeln durch Windows PowerShell Web Access geprüft, um festzustellen, ob der Benutzer Zugriff auf den angeforderten Zielcomputer hat. Nach der erfolgreichen Autorisierung werden die Anmeldeinformationen des Benutzers an den Zielcomputer übergeben.
3	Windows PowerShell Web Access-Autorisierungsregeln	Nachdem ein Benutzer am Gateway authentifiziert wurde, werden die Autorisierungsregeln durch Windows PowerShell Web Access geprüft, um festzustellen, ob der Benutzer Zugriff auf den angeforderten Zielcomputer hat. Nach der erfolgreichen Autorisierung werden die Anmeldeinformationen des Benutzers an den Zielcomputer übergeben. Diese Regeln werden erst ausgewertet, nachdem ein Benutzer vom Gateway authentifiziert wurde und bevor ein Benutzer auf einem Zielcomputer authentifiziert werden kann.
4	Zielauthentifizierung und Autorisierungsregeln	Die letzte Sicherheitsebene für Windows PowerShell Web Access ist die eigene Sicherheitskonfiguration des Zielcomputers. Für die Benutzer müssen die entsprechenden Zugriffsrechte auf dem Zielcomputer und auch in den Windows PowerShell Web Access-Autorisierungsregeln konfiguriert sein, damit sie eine webbasierte Windows PowerShell-Konsole ausführen können, die über Windows PowerShell Web Access Einfluss auf einen Zielcomputer hat. Diese Ebene bietet die gleichen Sicherheitsmechanismen, die einen Verbindungsversuch auswerten würden, falls ein Benutzer versuchte, über Windows PowerShell durch Ausführen des Cmdlets Enter-PSSession oder New-PSSession eine Windows PowerShell-Remotesitzung zu einem Zielcomputer herzustellen. Standardmäßig verwendet Windows PowerShell Web Access die primären Benutzernamen- und Kennwortinformationen für die Authentifizierung sowohl auf dem Gateway als auch auf dem Zielcomputer. Die webbasierte Anmeldeseite bietet den Benutzern im Abschnitt Optionale Verbindungseinstellungen die Möglichkeit, andere Anmeldeinformationen für den Zielcomputer anzugeben, falls dies erforderlich sein sollte. Wenn der Benutzer keine alternativen Anmeldeinformationen angibt, werden die primären Benutzernamen- und Kennwortinformationen, die für die Verbindung zum Gateway verwendet werden, auch verwendet, um eine Verbindung mit dem Zielcomputer herzustellen. Mithilfe von Autorisierungsregeln kann Benutzern der Zugriff auf eine bestimmte Sitzungskonfiguration gestattet werden. Sie können eingeschränkte Runspaces oder Sitzungskonfigurationen für Windows PowerShell Web Access erstellen und bestimmten Benutzern nur das Herstellen einer Verbindung mit bestimmten Sitzungskonfigurationen erlauben, wenn sie sich bei Windows PowerShell Web Access anmelden. Mithilfe von Zugriffssteuerungslisten können Sie bestimmen, welche Benutzer auf bestimmte Endpunkte zugreifen können, und den Zugriff auf den Endpunkt für eine bestimmte Gruppe von Benutzern anhand von Autorisierungsregeln weiter einschränken, wie in diesem Abschnitt beschrieben wird. Weitere Informationen zu eingeschränkten Runspaces finden Sie im Thema zu eingeschränkten Runspaces auf MSDN.

Konfigurieren von Autorisierungsregeln

Ein Administrator möchte für Windows PowerShell Web Access-Benutzer aller Wahrscheinlichkeit nach de gleiche Autorisierungsregel verwenden, die in der Umgebung bereits für die Windows PowerShell-Remoteverwaltung definiert wurde. Das erste Verfahren in diesem Abschnitt beschreibt, wie Sie eine sichere Autorisierungsregel hinzufügen können, die es einem einzelnen Benutzer erlaubt, sich für die Verwaltung eines Computers bei Verwendung einer einzigen Sitzungskonfiguration anzumelden. Das zweite Verfahren beschreibt, wie Sie eine Autorisierungsregel entfernen, die nicht mehr benötigt wird.

Windows PowerShell Web Access-Cmdlets unterstützen als Platzhalterzeichen nur das Sternchen ( * ). Platzhalterzeichen innerhalb von Zeichenfolgen werden nicht unterstützt. Verwenden Sie ein einzelnes Sternchen pro Eigenschaft (Benutzer, Computer oder Sitzungskonfigurationen).

So fügen Sie eine restriktive Autorisierungsregel hinzu

Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten zu öffnen.
- Klicken Sie auf dem Windows-Desktop auf der Taskleiste mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.
- Klicken Sie auf der Windows-Startseite mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.
Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE.
Kopieren
Add-PswaAuthorizationRule –UserName <Domäne\Benutzer | Computer\Benutzer> -ComputerName <Computername> -ConfigurationName <Sitzungskonfigurationsname>
Diese Autorisierungsregel erlaubt es einem bestimmten Benutzer, auf einen Computer im Netzwerk zuzugreifen, auf den er normalerweise zugreifen kann. Der Zugriff ist auf eine bestimmte Sitzungskonfiguration beschränkt, die die üblichen Anforderungen des Benutzers im Hinblick auf die Ausführung von Skripts und Cmdlets abdeckt. Im folgenden Beispiel wird dem Benutzer JSmith in der Domäne Contoso der Zugriff für die Verwaltung des Computers Contoso_214 und die Verwendung der Sitzungskonfiguration NewAdminsOnly gestattet.
Kopieren
Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
Überprüfen Sie, ob die Regel erstellt wurde, indem Sie das Get-PswaAuthorizationRule-Cmdlet ausführen.

Hinweis
Weitere Möglichkeiten zur Nutzung von Autorisierungsregeln, um Benutzern den Zugriff zu gestatten und die Windows PowerShell Web Access-Umgebung zu schützen werden, im Abschnitt Weitere Beispiele für Autorisierungsregelszenarios dieses Themas beschrieben.

So entfernen Sie eine Autorisierungsregel

Wenn noch keine Windows PowerShell-Sitzung geöffnet ist, fahren Sie mit Schritt 1 unter So fügen Sie eine restriktive Autorisierungsregel hinzu in diesem Abschnitt fort.

Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE. Hierbei entspricht Regel-ID der eindeutigen ID-Nummer der Regel, die Sie entfernen möchten.

Remove-PswaAuthorizationRule -ID <Regel-ID>

Wenn Sie die ID-Nummer nicht kennen, aber der Anzeigename der zu entfernenden Regel bekannt ist, können Sie, wie im folgenden Beispiel gezeigt, den Namen der Regel abrufen und ihn dann an das Remove-PswaAuthorizationRule-Cmdlet weiterreichen, um die Regel zu entfernen: Get-PswaAuthorizationRule -RuleName <Regelname> | Remove-PswaAuthorizationRule.

Hinweis
Sie werden nicht aufgefordert, das Löschen der angegebenen Autorisierungsregel zu bestätigen. Die Regel wird gelöscht, sobald Sie die EINGABETASTE drücken. Bevor Sie das Remove-PswaAuthorizationRule-Cmdlet ausführen, sollten Sie daher sicher sein, dass Sie die Regel wirklich entfernen möchten.

Weitere Beispiele für Autorisierungsregelszenarios

Für jede Windows PowerShell-Sitzung wird eine Sitzungskonfiguration verwendet. Falls für eine Sitzung keine Sitzungskonfiguration angegeben wird, verwendet Windows PowerShell die in Windows PowerShell integrierte Standardsitzungskonfiguration mit dem Namen "Microsoft.PowerShell". Die Standardsitzungskonfiguration schließt alle auf einem Computer verfügbaren Cmdlets ein. Administratoren können den Zugriff auf alle Computer einschränken, indem sie eine Sitzungskonfiguration mit eingeschränktem Runspace (ein begrenzter Bereich von Cmdlets und Aufgaben, die die Endbenutzer ausführen können) definieren. Ein Benutzer, dem der Zugriff auf einen Computer gestattet wurde (entweder mit vollem Sprachzugriff oder nur mit Zugriff auf die Windows PowerShell-Remoteverwaltungs-Cmdlets), kann Verbindungen mit anderen Computern herstellen, die mit dem ersten Computer verbunden sind. Durch das Definieren eines eingeschränkten Runspaces können Sie verhindern, dass Benutzer auf Computer außerhalb ihres zulässigen Windows PowerShell-Runspaces zugreifen, und die Sicherheit der Windows PowerShell Web Access-Umgebung erhöhen. Die Sitzungskonfiguration kann (mithilfe der Gruppenrichtlinie) an alle Computer verteilt werden, die ein Administrator über Windows PowerShell Web Access zugänglich machen möchten. Weitere Informationen zu Sitzungskonfigurationen finden Sie im Thema zu Sitzungskonfigurationen. Im Folgenden sind einige Beispiele für die Verwendung von Sitzungskonfigurationen aufgeführt.

Ein Administrator erstellt den Endpunkt PswaEndpoint mit einem eingeschränkten Runspace. Anschließend erstellt der Administrator die Regel *,*,PswaEndpoint und verteilt den Endpunkt an andere Computer. Die Regel ermöglicht es allen Benutzern, auf alle Computer mit dem Endpunkt PswaEndpoint zuzugreifen. Falls es sich um die einzige Autorisierungsregel handelt, die in dem Regelsatz definiert ist, wäre der Zugriff auf Computer ohne diesen Endpunkt nicht möglich.
Ein Administrator erstellt einen Endpunkt mit einem eingeschränkten Runspace und dem Namen PswaEndpoint. Er möchte den Zugriff auf bestimmte Benutzer begrenzen. Der Administrator erstellt die Gruppe Level1Support und definiert die folgende Regel: Level1Support,*,PswaEndpoint. Diese Regel gewährt jedem Benutzer in der Gruppe Level1Support Zugriff auf alle Computer mit der Konfiguration PswaEndpoint. Gleichermaßen ist es möglich, den Zugriff auf eine bestimmte Gruppe von Computern zu begrenzen.
Einige Administratoren gewähren bestimmten Benutzern mehr Zugriff als anderen. Nehmen Sie beispielsweise an, ein Administrator erstellt die beiden Benutzergruppen Admins und BasicSupport. Der Administrator erstellt außerdem einen Endpunkt mit eingeschränktem Runspace und dem Namen PswaEndpoint und definiert die beiden folgenden Regeln: Admins,*,* und BasicSupport,*,PswaEndpoint. Die erste Regel ermöglicht allen Benutzern in der Gruppe Admin den Zugriff auf alle Computer, und die zweite Regel sorgt dafür, dass alle Benutzer in der Gruppe BasicSupport nur auf die Computer mit dem Endpunkt PswaEndpoint zugreifen können.

Ein Administrator hat eine private Testumgebung eingerichtet und möchte nun allen autorisierten Netzwerkbenutzern den Zugriff auf alle Computer im Netzwerk ermöglichen, auf die sie normalerweise zugreifen können, und zwar mit Zugriff auf alle Sitzungskonfigurationen, auf die sie normalerweise zugreifen können. Da es sich um eine private Testumgebung handelt, erstellt der Administrator eine Autorisierungsregel, die nicht sicher ist. Der Administrator führt das Cmdlet Add-PswaAuthorizationRule * * * aus, das das Platzhalterzeichen * verwendet, um alle Benutzer, alle Computer und alle Konfigurationen darzustellen. Diese Regel ist das Äquivalent zu folgender Regel: Add-PswaAuthorizationRule –UserName * -ComputerName * -ConfigurationName *.

Sicherheit Hinweis
Die Verwendung dieser Regel in einer sicheren Umgebung wird nicht empfohlen, da sie die Autorisierungsregelebene der von Windows PowerShell Web Access bereitgestellten Sicherheit umgeht.

Verwenden eines einzigen Satzes mit Autorisierungsregeln für mehrere Websites

Autorisierungsregeln werden in einer XML-Datei gespeichert. Standardmäßig wird die XML-Datei unter "%windir%\Web\PowershellWebAccess\data\AuthorizationRules.xml" gespeichert.

Der Pfad zur XML-Datei mit den Autorisierungsregeln wird in der Datei powwa.config gespeichert, die unter "%windir%\Web\PowershellWebAccess\data" gespeichert ist. Der Administrator kann den Verweis auf den Standardpfad in powwa.config ändern, um ihn an die konkreten Anforderungen anzupassen. Indem es dem Administrator ermöglicht wird, den Speicherort der Datei zu ändern, wird es möglich, dass mehrere Windows PowerShell Web Access-Gateways die gleichen Autorisierungsregeln verwenden, falls eine solche Konfiguration gewünscht ist.

Sitzungsverwaltung

Standardmäßig ist in Windows PowerShell Web Access die Anzahl gleichzeitiger Sitzungen je Benutzer auf drei Sitzungen begrenzt. Sie können die web.config-Datei der Webanwendung im IIS-Manager bearbeiten, um einen anderen Wert für die Anzahl der Sitzungen pro Benutzer zu unterstützen. Die Datei web.config ist unter "$Env:Windir\Web\PowerShellWebAccess\wwwroot\Web.config" gespeichert.

Standardmäßig ist der Webserver (IIS) so konfiguriert, dass der Anwendungspool neu gestartet wird, wenn Einstellungen bearbeitet werden. Der Anwendungspool wird beispielsweise neu gestartet, wenn Änderungen an der Datei web.config vorgenommen werden. Da Windows PowerShell Web Access einen speicherinternen Sitzungsstatus verwendet, werden die Sitzungen von Benutzern, die bei Windows PowerShell Web Access angemeldet sind, getrennt, wenn der Anwendungspool neu gestartet wird.

Für Windows PowerShell Web Access-Sitzungen kann ein Timeout auftreten. Nach 15-minütiger Inaktivität wird angemeldeten Benutzern eine Timeoutmeldung angezeigt. Wenn der Benutzer nicht innerhalb von fünf Minuten, nachdem die Timeoutmeldung angezeigt wurde, reagiert, wird die Sitzung beendet, und der Benutzer wird abgemeldet. Sie können die Zeitspanne für den Sitzungstimeout in den Websiteeinstellungen im IIS-Manager ändern.

Verwenden der webbasierten Windows PowerShell-Konsole

Nachdem Windows PowerShell Web Access installiert und die Gatewaykonfiguration, wie in diesem Thema beschrieben, abgeschlossen wurde, ist die webbasierte Windows PowerShell-Konsole einsatzbereit. Weitere Informationen zu den ersten Schritten bei der Verwendung der webbasierten Konsole finden Sie im Thema zur Verwendung der webbasierten Windows PowerShell-Konsole.

Behandeln von Zugriffsproblemen

In der folgenden Tabelle sind einige der gängigen Probleme aufgeführt, die beim Versuch, über Windows PowerShell Web Access eine Verbindung mit einem Remotecomputer herzustellen, auftreten können. Die Tabelle enthält außerdem Vorschläge zur Lösung der Probleme.

Problem	Mögliche Ursache und Lösung
Fehler bei der Anmeldung.	Ein Fehler kann aufgrund einer der folgenden Bedingungen auftreten. Es gibt keine Autorisierungsregel, die dem Benutzer den Zugriff auf den Computer oder eine bestimmte Sitzungskonfiguration auf dem Remotecomputer erlaubt. Die Windows PowerShell Web Access-Sicherheit ist restriktiv: Benutzern muss der Zugriff auf Remotecomputer explizit mithilfe von Autorisierungsregeln gewährt werden. Weitere Informationen zum Erstellen von Autorisierungsregeln finden Sie in diesem Thema unter Schritt 3: Konfigurieren von Autorisierungsregeln und Websitesicherheit. Der Benutzer hat keinen autorisierten Zugriff auf den Zielcomputer. Dies wird durch Zugriffssteuerungslisten bestimmt. Weitere Informationen finden Sie im Abschnitt zur Anmeldung bei Windows PowerShell Web Access im Thema zur Verwendung der webbasierten Windows PowerShell-Konsole oder im Windows PowerShell-Teamblog. Die Windows PowerShell-Remoteverwaltung wurde auf dem Zielcomputer möglicherweise nicht aktiviert. Stellen Sie sicher, dass dieses Feature auf dem Computer aktiviert ist, mit dem der Benutzer eine Verbindung herstellen möchte. Weitere Informationen finden Sie im Abschnitt zur Konfiguration eines Computers für die Remoteverwaltung im Thema zu den Anforderungen der Remoteverwaltung in der Windows PowerShell-Hilfe.
Es kann keine Verbindung mit einem Remotecomputer in einer Arbeitsgruppe hergestellt werden.	Wenn der Zielserver einer Arbeitsgruppe angehört, müssen Sie die folgende Syntax verwenden, um den Benutzernamen anzugeben und sich am Computer anzumelden <Arbeitsgruppenname>\<Benutzername>
Die Verwaltungstools des Webservers (IIS) sind nicht verfügbar, obwohl die Rolle installiert wurde.	Wenn Sie Windows PowerShell Web Access mithilfe des `Install-WindowsFeature`-Cmdlets installiert haben, werden die Verwaltungstools nur installiert, wenn der `IncludeManagementTools`-Parameter zum Cmdlet hinzugefügt wird. Ein Beispiel finden Sie in diesem Thema unter So installieren Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets. Sie können die IIS-Manager-Konsole und andere benötigte IIS-Verwaltungstools hinzufügen, indem Sie die Tools in einer Assistent zum Hinzufügen von Rollen und Features-Sitzung auswählen, die auf den Gatewayserver gerichtet ist. Der Assistent zum Hinzufügen von Rollen und Features wird über Server-Manager geöffnet.
Der Zugriff auf die Windows PowerShell Web Access-Website ist nicht möglich.	Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer (Enhanced Security Configuration, IE ESC) aktiviert ist, können Sie die Windows PowerShell Web Access-Website zur Liste der vertrauenswürdigen Websites hinzufügen oder IE ESC deaktivieren. Sie können IE ESC im Server-Manager auf der Eigenschaftenseite des lokalen Computers deaktivieren.

Deinstallieren von Windows PowerShell Web Access

Führen Sie die Schritte in diesem Abschnitt aus, um die Windows PowerShell Web Access-Website und -Anwendung mithilfe der IIS-Manager-Konsole zu löschen und Windows PowerShell Web Access anschließend zu deinstallieren. Benachrichtigen Sie zuvor die Benutzer der webbasierten Konsole, die Sie von der Website entfernen möchten.

Bevor Sie Windows PowerShell Web Access auf dem Gatewayserver deinstallieren, müssen Sie entweder das Uninstall-PswaWebApplication-Cmdlet ausführen, um die Website und Windows PowerShell Web Access-Webanwendungen zu entfernen, oder das IIS-Manager-basierte Verfahren, So löschen Sie die Windows PowerShell Web Access-Website und -Webanwendungen mithilfe des IIS-Managers, ausführen.

Hinweis
Das `Uninstall-PSwaWebApplication`-Cmdlet ist in dieser Version von Windows Server 2012 noch nicht verfügbar. Verwenden Sie stattdessen das IIS-Manager-basierte Verfahren, So löschen Sie die Windows PowerShell Web Access-Website und -Webanwendungen mithilfe des IIS-Managers, um die Website und die Webanwendungen zu entfernen, bevor Sie Windows PowerShell Web Access auf dem Gatewayserver deinstallieren.

Hinweis

Das Uninstall-PSwaWebApplication-Cmdlet ist in dieser Version von Windows Server 2012 noch nicht verfügbar. Verwenden Sie stattdessen das IIS-Manager-basierte Verfahren, So löschen Sie die Windows PowerShell Web Access-Website und -Webanwendungen mithilfe des IIS-Managers, um die Website und die Webanwendungen zu entfernen, bevor Sie Windows PowerShell Web Access auf dem Gatewayserver deinstallieren.

Das Deinstallieren von Windows PowerShell Web Access bewirkt nicht, dass IIS oder andere Features deinstalliert werden, die automatisch installiert wurden, weil sie für die Ausführung von Windows PowerShell Web Access benötigt werden. Durch das Deinstallationsverfahren bleibt die Installation der Features unberührt, deren Vorhandensein Windows PowerShell Web Access voraussetzt. Sie können diese Features bei Bedarf separat deinstallieren.

So löschen Sie die Website und Webanwendungen mithilfe des Uninstall-PswaWebApplication-Cmdlets

Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung zu öffnen.
- Klicken Sie auf dem Windows-Desktop mit der rechten Maustaste auf Windows PowerShell auf der Taskleiste.
- Klicken Sie auf der Windows-Startseite auf Windows PowerShell.
Geben Sie Uninstall-PswaWebApplication ein, und drücken Sie dann die EINGABETASTE.
Wenn Sie ein Testzertifikat verwenden, fügen Sie, wie im folgenden Beispiel gezeigt, den DeleteTestCertificate-Parameter zum Cmdlet hinzu.
Kopieren
Uninstall-PswaWebApplication -DeleteTestCertificate

So deinstallieren Sie Windows PowerShell Web Access mithilfe des Assistenten zum Entfernen von Rollen und Features

Wenn Server-Manager bereits geöffnet ist, fahren Sie mit dem nächsten Schritt fort. Ist Server-Manager noch nicht geöffnet, gehen Sie wie nachfolgend beschrieben vor.
- Starten Sie Server-Manager auf dem Windows-Desktop, indem Sie in der Windows-Taskleiste auf Server-Manager klicken.
- Klicken Sie auf der Windows-Startseite auf Server-Manager.
Klicken Sie im Menü Verwalten auf Rollen und Funktionen entfernen.
Wählen Sie auf der Seite Zielserver auswählen den Server oder die Offline-VHD aus, von dem bzw. der Sie das Feature entfernen möchten. Um eine Offline-VHD auszuwählen, müssen Sie zuerst den Server auswählen, auf dem die VHD eingebunden ist. Wählen Sie anschließend die VHD-Datei aus. Klicken Sie nach der Auswahl des Zielservers auf Weiter.
Klicken Sie erneut auf Weiter, um zur Seite Features entfernen zu gelangen.
Deaktivieren Sie das Kontrollkästchen für Windows PowerShell Web Access, und klicken Sie dann auf Weiter.
Klicken Sie auf der Seite Entfernungsauswahl bestätigen auf Entfernen.
Fahren Sie nach Abschluss der Deinstallation mit dem Verfahren So löschen Sie die Windows PowerShell Web Access-Website und -Webanwendungen mithilfe des IIS-Managers fort.

So deinstallieren Sie Windows PowerShell Web Access mithilfe von Windows PowerShell-Cmdlets

Führen Sie eine der folgenden Aktionen aus, um eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten zu öffnen. Wenn bereits eine Sitzung geöffnet ist, fahren Sie mit dem nächsten Schritt fort.
- Klicken Sie auf dem Windows-Desktop auf der Taskleiste mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.
- Klicken Sie auf der Windows-Startseite mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.
Geben Sie Folgendes ein, und drücken Sie dann dieEINGABETASTE, wobei computer_name für den Namen eines Remotecomputers steht, von dem Sie Windows PowerShell Web Access entfernen möchten. Durch den –Restart-Parameter werden die Zielserver automatisch neu gestartet, wenn dies für das Entfernen notwendig sein sollte.
Kopieren
Uninstall-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -Restart
Zum Entfernen von Rollen und Features von einer Offline-VHD müssen Sie sowohl den -ComputerName-Parameter als auch den -VHD-Parameter hinzufügen. Der -ComputerName-Parameter enthält den Namen des Servers, auf dem die VHD eingebunden ist, und der -VHD-Parameter enthält den Pfad zur VHD-Datei auf dem angegebenen Server.
Kopieren
Uninstall-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -Restart
Überprüfen Sie nach Abschluss des Entfernens, ob Windows PowerShell Web Accessentfernt wurde, indem Sie die Seite Alle Server im Server-Manager öffnen, einen Server auswählen, von dem Sie das Feature entfernt haben, und die Kachel Rollen und Features auf der Seite für den ausgewählten Server anzeigen. Sie können auch das Get-WindowsFeature-Cmdlet für den ausgewählten Server ausführen (Get-WindowsFeature -ComputerName <Computername>), um eine Liste der Rollen und Features, die auf dem Server installiert sind, anzuzeigen.
Fahren Sie nach Abschluss der Deinstallation mit dem Verfahren So löschen Sie die Windows PowerShell Web Access-Website und -Webanwendungen mithilfe des IIS-Managers fort.

So löschen Sie die Windows PowerShell Web Access-Website und -Webanwendungen mithilfe des IIS-Managers

Öffnen Sie die IIS-Manager-Konsole, indem Sie eine der folgenden Aktionen ausführen: Wenn die Konsole bereits geöffnet ist, fahren Sie mit dem nächsten Schritt fort.
- Starten Sie den Server-Manager auf dem Windows-Desktop, indem Sie auf der Windows-Taskleiste auf Server-Manager klicken. Klicken Sie im Menü Extras im Server-Manager auf Internetinformationsdienste-Manager.
- Geben Sie auf der Windows-Startseite einen beliebigen Teil des Namens Internetinformationsdienste-Manager ein. Klicken Sie auf die Verknüpfung, wenn diese in den Ergebnissen unter Apps angezeigt wird.
Wählen Sie im IIS-Manager-Strukturbereich die Website aus, auf der die Windows PowerShell Web Access-Webanwendung ausgeführt wird.
Klicken Sie im Bereich Aktionen unter Website verwalten auf Beenden.
Klicken Sie im Strukturbereich mit der rechten Maustaste auf die Webanwendung auf der Website, auf der die Windows PowerShell Web Access-Webanwendung ausgeführt wird, und klicken Sie dann auf Entfernen.
Wählen Sie im Strukturbereich Anwendungspools aus, wählen Sie den Windows PowerShell Web Access-Anwendungspoolordner aus, klicken Sie im Bereich Aktionen auf Beenden, und klicken Sie dann im Inhaltsbereich auf Entfernen.

Schließen Sie den IIS-Manager.

Hinweis
Das Zertifikat wird während der Deinstallation nicht gelöscht. Wenn Sie ein selbstsigniertes Zertifikat erstellt oder ein Testzertifikat verwendet haben und dieses Zertifikat nun entfernen möchten, müssen Sie es im IIS-Manager löschen.

Siehe auch

Weitere Ressourcen

Dokumentation zu Internetinformationsdienste (IIS) 7.0
Hilfe zum IIS-Manager 7.0
Konfigurieren der Webserversicherheit (IIS 7)
Ressourcen zur IPsec-Bereitstellung

Fanden Sie dies hilfreich? Ja Nein

Nicht genau

Keine ausreichende Tiefe

Weitere Codebeispiele erforderlich

Die Übersetzung sollte verbessert werden.

(1500 verbleibende Zeichen)

Community-Beiträge

HINZUFÜGEN