Exporter (0) Imprimer
Développer tout

Déployer Accès Web Windows PowerShell

Mis à jour: novembre 2012

S'applique à: Windows Server 2012

Accès Web Windows PowerShell® est une nouvelle fonctionnalité de Windows Server® 2012 qui joue le rôle de passerelle Windows PowerShell, en fournissant une console Web Windows PowerShell ciblée vers un ordinateur distant. Elle permet aux professionnels de l’informatique d’exécuter des commandes et des scripts Windows PowerShell à partir d’une console Windows PowerShell dans un navigateur Web, sans nécessiter Windows PowerShell, ni de logiciel de gestion à distance ou d’installation d’un plug-in de navigateur sur le périphérique client. Tout ce qui est requis pour exécuter la console Web Windows PowerShell est une passerelle Accès Web Windows PowerShell correctement configurée et un navigateur de périphérique client qui prend en charge JavaScript® et accepte les cookies.

Un périphérique client est par exemple un ordinateur portable, un ordinateur personnel non professionnel, une tablette, une borne Web publique, un ordinateur sans système d’exploitation Windows ou encore un navigateur de téléphone portable. Les informaticiens peuvent effectuer des tâches de gestion stratégiques sur des serveurs Windows distants à partir de périphériques ayant accès à une connexion Internet et à un navigateur Web.

Après avoir installé et configuré correctement la passerelle, les utilisateurs peuvent accéder à une console Windows PowerShell à l’aide d’un navigateur Web. Quand les utilisateurs ouvrent le site Web Accès Web Windows PowerShell sécurisé, ils peuvent exécuter une console Web Windows PowerShell après une authentification réussie.

L’installation et la configuration de Accès Web Windows PowerShell forment un processus en trois étapes :

  1. Étape 1 : installation d’Accès Web Windows PowerShell

  2. Étape 2 : configuration de la passerelle

  3. Étape 3 : configuration des règles d’autorisation et de la sécurité du site

Avant d’installer et de configurer Accès Web Windows PowerShell, nous vous recommandons de lire à la fois la présente rubrique et Utiliser la console web Windows PowerShell, qui décrit comment les utilisateurs se connectent à la console Web, ainsi que certaines des limitations et différences propres à la console. Les utilisateurs finals de la console Web doivent lire la rubrique Utiliser la console web Windows PowerShell, mais il n’est pas nécessaire pour eux de lire la présente rubrique.

La présente rubrique ne fournit pas d’instructions approfondies sur les opérations de serveur Web (IIS), mais décrit uniquement les étapes requises pour configurer la passerelle Accès Web Windows PowerShell. Pour plus d’informations sur la configuration et la sécurisation des sites Web dans IIS, voir les ressources de documentation IIS dans la section Voir aussi.

Le diagramme suivant illustre le fonctionnement de Accès Web Windows PowerShell.

Diagramme d’accès Web Windows PowerShell

Dans cette rubrique :

Accès Web Windows PowerShell requiert un serveur Web (IIS), le .NET Framework 4.5 et Windows PowerShell 3.0 en cours d’exécution sur le serveur sur lequel vous voulez exécuter la passerelle. Vous pouvez installer Accès Web Windows PowerShell sur un serveur qui exécute Windows Server 2012 à l’aide de l’Assistant Ajout de rôles et de fonctionnalités dans le Gestionnaire de serveur ou d’applets de commande de déploiement Windows PowerShell pour le Gestionnaire de serveur. Quand vous installez Accès Web Windows PowerShell à l’aide du Gestionnaire de serveur ou de ses applets de commande de déploiement, les rôles et fonctionnalités requis sont automatiquement ajoutés dans le cadre du processus d’installation.

Accès Web Windows PowerShell permet aux utilisateurs distants d’accéder aux ordinateurs de votre organisation en utilisant Windows PowerShell dans un navigateur Web. Bien que Accès Web Windows PowerShell soit un outil de gestion pratique et puissant, l’accès Web présente des risques de sécurité et doit être configuré de manière aussi sécurisée que possible. Nous recommandons aux administrateurs qui configurent la passerelle Accès Web Windows PowerShell d’utiliser les couches de sécurité disponibles, à la fois les règles d’autorisation basées sur des applets de commande incluses avec Accès Web Windows PowerShell et les couches de sécurité disponibles dans le serveur Web (IIS) et les applications tierces. Cette documentation contient à la fois des exemples non sécurisés destinés uniquement aux environnements de test et des exemples recommandés pour des déploiements sécurisés.

Accès Web Windows PowerShell prend en charge les navigateurs Internet suivants. Bien que les navigateurs mobiles ne soient pas officiellement pris en charge, nombre d’entre eux sont susceptibles de pouvoir exécuter la console Web Windows PowerShell. D’autres navigateurs acceptant les cookies, exécutant JavaScript et exécutant des sites Web HTTPS sont censés fonctionner, mais n’ont pas été testés officiellement.

  • Windows® Internet Explorer® pour Microsoft Windows® 8.0, 9.0 et 10.0

  • Mozilla Firefox® 10.0.2

  • Google Chrome™ 17.0.963.56m pour Windows

  • Apple Safari® 5.1.2 pour Windows

  • Apple Safari 5.1.2 pour Mac OS®

  • Windows Phone 7 et 7.5

  • Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)

  • Apple Safari pour système d’exploitation iPhone 5.0.1

  • Apple Safari pour système d’exploitation iPad 2 5.0.1

Pour utiliser la console Web Accès Web Windows PowerShell, les navigateurs doivent :

  • autoriser les cookies à partir du site Web de la passerelle Accès Web Windows PowerShell ;

  • être en mesure d’ouvrir et de lire des pages HTTPS ;

  • ouvrir et exécuter des sites Web qui utilisent JavaScript.

Vous pouvez installer la passerelle Accès Web Windows PowerShell sur un serveur qui exécute Windows Server 2012 à l’aide de l’une des méthodes suivantes.

  1. Si le Gestionnaire de serveur est déjà ouvert, passez à l’étape suivante. Si le Gestionnaire de serveur n’est pas déjà ouvert, ouvrez-le en effectuant l’une des opérations suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows.

    • Dans l’écran d’accueil de Windows, cliquez sur Gestionnaire de serveur.

  2. Dans le menu Gérer, cliquez sur Ajouter des rôles et fonctionnalités.

  3. Dans la page Sélectionner le type d’installation, sélectionnez Installation basée sur un rôle ou une fonctionnalité. Cliquez sur Suivant.

  4. Dans la page Sélectionner le serveur de destination, sélectionnez un serveur dans le pool de serveurs ou sélectionnez un disque dur virtuel hors connexion. Pour sélectionner un disque dur virtuel hors connexion en guise de serveur de destination, choisissez d’abord le serveur sur lequel monter le disque dur virtuel, puis sélectionnez le fichier VHD. Pour plus d’informations sur la façon d’ajouter des serveurs à un pool de serveurs, voir l’aide du Gestionnaire de serveur. Une fois que vous avez sélectionné le serveur de destination, cliquez sur Suivant.

  5. Dans la page Sélectionner des fonctionnalités de l’Assistant, développez Windows PowerShell, puis sélectionnez Accès Web Windows PowerShell.

  6. Notez que vous êtes invité à ajouter les fonctionnalités requises, telles que le .NET Framework 4.5 et les services de rôle du serveur Web (IIS). Ajoutez les fonctionnalités requises et continuez.

    noteRemarque
    L’installation de Accès Web Windows PowerShell à l’aide de l’Assistant Ajout de rôles et de fonctionnalités permet également d’installer le serveur Web (IIS), notamment le composant logiciel enfichable Gestionnaire des services IIS. Le composant logiciel enfichable et d’autres outils de gestion des services IIS sont installés par défaut si vous utilisez l’Assistant Ajout de rôles et de fonctionnalités. Si vous installez Accès Web Windows PowerShell à l’aide d’applets de commande Windows PowerShell comme décrit dans la procédure suivante, les outils de gestion ne sont pas ajoutés par défaut.

  7. Dans la page Confirmer les sélections d’installation, si les fichiers de fonctionnalités de Accès Web Windows PowerShell ne sont pas enregistrés sur le serveur de destination que vous avez sélectionné à l’étape 4, cliquez sur Spécifier un autre chemin d’accès source, puis indiquez le chemin d’accès aux fichiers de fonctionnalités. Sinon, cliquez sur Installer.

  8. Une fois que vous avez cliqué sur Installer, la page Progression de l’installation affiche la progression de l’installation, les résultats et des messages tels que des avertissements, échecs ou étapes de configuration de post-installation requises pour Accès Web Windows PowerShell. Une fois que Accès Web Windows PowerShell est installé, vous êtes invité à consulter le fichier Lisez-moi dans lequel se trouvent des instructions d’installation requises simples pour la passerelle. Ces Étape 2 : configuration de la passerelle sont également incluses dans le présent document. Le chemin d’accès au fichier Lisez-moi est C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

  1. Procédez de l’une des manières suivantes pour ouvrir une session Windows PowerShell avec des droits d’utilisateur élevés.

    • Sur le Bureau Windows, cliquez avec le bouton droit dans la barre des tâches sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    • Sur l’écran d’accueil de Windows, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    noteRemarque
    Dans Windows PowerShell 3.0, il n’est pas nécessaire d’importer le module d’applet de commande du Gestionnaire de serveur dans la session Windows PowerShell avant d’exécuter des applets de commande qui font partie du module. Un module est automatiquement importé la première fois que vous exécutez une applet de commande qui fait partie du module. En outre, les applets de commande de Windows PowerShell ne respectent pas la casse.

  2. Tapez ce qui suit, puis appuyez sur Entrée, où computer_name représente le nom de l’ordinateur distant sur lequel vous souhaitez installer Accès Web Windows PowerShell, le cas échéant. Le paramètre Restart redémarre automatiquement les serveurs de destination, si besoin.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart
    
    noteRemarque
    L’installation de Accès Web Windows PowerShell à l’aide d’applets de commande Windows PowerShell ne permet pas d’ajouter les outils de gestion du serveur Web (IIS) par défaut. Si vous voulez installer les outils de gestion sur le même serveur que la passerelle Accès Web Windows PowerShell, ajoutez le paramètre IncludeManagementTools à la commande d’installation (comme indiqué dans cette étape). Si vous gérez le site Web de Accès Web Windows PowerShell à partir d’un ordinateur distant, installez le composant logiciel enfichable Gestionnaire des services Internet en installant les outils d’administration de serveur distant sur l’ordinateur à partir duquel vous voulez gérer la passerelle.

    Pour installer des rôles et fonctionnalités sur un disque dur virtuel hors connexion, vous devez ajouter les paramètres ComputerName et VHD. Le paramètre ComputerName contient le nom du serveur sur lequel monter le disque dur virtuel tandis que le paramètre VHD contient le chemin d’accès au fichier VHD sur le serveur spécifié.

    Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
    
  3. Quand l’installation est terminée, vérifiez que Accès Web Windows PowerShell a été installé sur les serveurs de destination en exécutant l’applet de commande Get-WindowsFeature sur un serveur de destination, dans une console Windows PowerShell ouverte avec des droits d’utilisateur élevés. Vous pouvez également vérifier que Accès Web Windows PowerShell a été installé dans la console Gestionnaire de serveur en sélectionnant un serveur de destination dans la page Tous les serveurs, puis en affichant la vignette Rôles et fonctionnalités du serveur sélectionné. Vous pouvez également consulter le fichier Lisez-moi de Accès Web Windows PowerShell.

  4. Une fois que Accès Web Windows PowerShell est installé, vous êtes invité à consulter le fichier Lisez-moi dans lequel se trouvent des instructions d’installation requises simples pour la passerelle. Ces instructions d’installation sont également fournies dans la section suivante, Étape 2 : configuration de la passerelle. Le chemin d’accès au fichier Lisez-moi est C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

L’applet de commande Install-PswaWebApplication constitue un moyen rapide de configurer Accès Web Windows PowerShell. Bien que vous puissiez ajouter le paramètre UseTestCertificate à l’applet de commande Install-PswaWebApplication pour installer un certificat SSL auto-signé à des fins de test, cette pratique n’est pas sécurisée ; pour un environnement de production sécurisé, utilisez toujours un certificat SSL valide qui a été signé par une autorité de certification. Les administrateurs peuvent remplacer le certificat de test par le certificat signé de leur choix à l’aide de la console du Gestionnaire des services Internet.

Vous pouvez terminer la configuration de l’application Web de Accès Web Windows PowerShell en exécutant l’applet de commande Install-PswaWebApplication ou les étapes de configuration basées sur l’interface graphique utilisateur dans le Gestionnaire des services Internet. Par défaut, l’applet de commande installe l’application Web, pswa (et son pool d’applications, pswa_pool), dans le conteneur Site Web par défaut, comme indiqué dans le Gestionnaire des services Internet ; si vous le voulez, vous pouvez obliger l’applet de commande à modifier le conteneur de site par défaut de l’application Web. Le Gestionnaire des services Internet propose des options de configuration pour les applications Web, telles que la modification du numéro de port ou du certificat SSL (Secure Sockets Layer).

securitySécurité Remarque
Nous conseillons vivement aux administrateurs de configurer la passerelle de façon à utiliser un certificat valide signé par une autorité de certification.

Suivez ces instructions pour configurer la passerelle Accès Web Windows PowerShell à l’aide de l’applet de commande Install-PswaWebApplication.

  1. Effectuez l’une des procédures suivantes pour ouvrir une session Windows PowerShell.

    • Sur le Bureau Windows, cliquez avec le bouton droit sur Windows PowerShell dans la barre des tâches.

    • Sur l’écran d’accueil de Windows, cliquez sur Windows PowerShell.

  2. Tapez la commande suivante, puis appuyez sur Entrée.

    Install-PswaWebApplication -UseTestCertificate

    securitySécurité Remarque
    Le paramètre UseTestCertificate doit uniquement être utilisé dans un environnement de test privé. Pour un environnement de production sécurisé, nous vous recommandons d’utiliser un certificat valide signé par une autorité de certification.

    L’exécution de l’applet de commande permet d’installer l’application Web Accès Web Windows PowerShell au sein du conteneur Site Web par défaut. L’applet de commande crée l’infrastructure requise pour exécuter Accès Web Windows PowerShell sur le site Web par défaut, https://<nom_serveur>/pswa. Pour installer l’application Web dans un autre site Web, indiquez son nom en ajoutant le paramètre WebSiteName. Pour modifier le nom de l’application Web (par défaut, il s’agit de pswa), ajoutez le paramètre WebApplicationName.

    Les paramètres suivants peuvent être configurés en exécutant l’applet de commande. Vous pouvez les modifier manuellement dans la console du Gestionnaire des services Internet, si vous le souhaitez.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

    Exemple : Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificateDans cet exemple, le site Web obtenu pour Accès Web Windows PowerShell est https://< nom_serveur>/myWebApp.

    noteRemarque
    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation. Pour plus d’informations, voir Étape 3 : configuration des règles d’autorisation et de la sécurité du site.

  1. Effectuez l’une des procédures suivantes pour ouvrir une session Windows PowerShell.

    • Sur le Bureau Windows, cliquez avec le bouton droit sur Windows PowerShell dans la barre des tâches.

    • Sur l’écran d’accueil de Windows, cliquez sur Windows PowerShell.

  2. Tapez la commande suivante, puis appuyez sur Entrée.

    Install-PswaWebApplication

    Les paramètres de passerelle suivants peuvent être configurés en exécutant l’applet de commande. Vous pouvez les modifier manuellement dans la console du Gestionnaire des services Internet, si vous le souhaitez. Vous pouvez également spécifier des valeurs pour les paramètres WebsiteName et WebApplicationName de l’applet de commande Install-PswaWebApplication.

    • Path: /pswa

    • ApplicationPool: pswa_pool

    • EnabledProtocols: http

    • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

  3. Ouvrez la console du Gestionnaire des services Internet (IIS) en procédant de l’une des manières suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Dans l’écran d’accueil de Windows, cliquez sur Gestionnaire de serveur.

  4. Dans le volet de l’arborescence du Gestionnaire des services Internet, développez le nœud du serveur sur lequel Accès Web Windows PowerShell est installé jusqu’à ce que le dossier Sites apparaisse. Développez le dossier Sites.

  5. Sélectionnez le site Web dans lequel vous avez installé l’application Web d’Accès Web Windows PowerShell. Dans le volet Actions, cliquez sur Liaisons.

  6. Dans la boîte de dialogue Liaisons de site, cliquez sur Ajouter.

  7. Dans la boîte de dialogue Ajouter la liaison de site, dans le champ Type, sélectionnez https.

  8. Dans le champ Certificat SSL, sélectionnez votre certificat signé dans le menu déroulant. Cliquez sur OK. Pour plus d’informations sur l’obtention d’un certificat, voir Pour configurer un certificat SSL dans le Gestionnaire des services Internet dans cette rubrique.

    L’application Web de Accès Web Windows PowerShell est à présent configurée pour utiliser votre certificat SSL signé. Vous pouvez accéder à Accès Web Windows PowerShell en ouvrant https://<nom_serveur>/pswa dans une fenêtre de navigateur.

    noteRemarque
    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation. Pour plus d’informations, voir Étape 3 : configuration des règles d’autorisation et de la sécurité du site.

Les instructions données dans cette section concernent l’installation de l’application Web de Accès Web Windows PowerShell dans un sous-répertoire, et non dans le répertoire racine, de votre site Web. Cette procédure est l’équivalent basé sur l’interface graphique utilisateur des actions effectuées par l’applet de commande Install-PswaWebApplication. Cette section inclut également des instructions sur la manière d’utiliser le Gestionnaire des services Internet pour configurer la passerelle Accès Web Windows PowerShell en tant que site Web racine.

  1. Ouvrez la console du Gestionnaire des services Internet (IIS) en procédant de l’une des manières suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Sur l’écran d’accueil de Windows, tapez une partie du nom Gestionnaire des services Internet (IIS). Cliquez sur le raccourci lorsqu’il s’affiche dans les résultats Applications.

  2. Créez un pool d’applications pour Accès Web Windows PowerShell. Développez le nœud du serveur de passerelle dans l’arborescence du Gestionnaire des services Internet, sélectionnez Pools d’applications, puis cliquez sur Ajouter un pool d’applications dans le volet Actions.

  3. Ajoutez un nouveau pool d’applications portant le nom pswa_pool ou indiquez un autre nom. Cliquez sur OK.

  4. Dans le volet de l’arborescence du Gestionnaire des services Internet, développez le nœud du serveur sur lequel Accès Web Windows PowerShell est installé jusqu’à ce que le dossier Sites apparaisse. Sélectionnez le dossier Sites.

  5. Cliquez avec le bouton droit sur le site Web (par exemple, Site Web par défaut) auquel vous voulez ajouter le site Web de Accès Web Windows PowerShell, puis cliquez sur Ajouter une application.

  6. Dans le champ Alias, tapez pswa ou indiquez un autre alias. L’alias devient le nom du répertoire virtuel. Par exemple, pswa dans l’URL suivante représente l’alias spécifié durant cette étape : https://<nom_serveur>/pswa.

  7. Dans le champ Pool d’applications, sélectionnez le pool d’applications que vous avez créé à l’étape 3.

  8. Dans le champ Chemin d’accès physique, naviguez jusqu’à l’emplacement de l’application. Vous pouvez utiliser l’emplacement par défaut, %windir%/Web/PowerShellWebAccess/wwwroot. Cliquez sur OK.

  9. Suivez les étapes de la procédure Pour configurer un certificat SSL dans le Gestionnaire des services Internet décrite dans cette rubrique.

  10. Étape de sécurité facultative : Avec le site Web sélectionné dans l’arborescence, double-cliquez sur Paramètres SSL dans le volet de contenu. Sélectionnez Exiger SSL, puis dans le volet Actions, cliquez sur Appliquer. Dans le volet Paramètres SSL, vous pouvez éventuellement exiger que les utilisateurs qui se connectent au site Web d’Accès Web Windows PowerShell possèdent des certificats clients. Ceux-ci aident à vérifier l’identité d’un utilisateur de périphérique client. Pour plus d’informations sur la manière dont l’exigence de certificats clients permet de renforcer la sécurité de Accès Web Windows PowerShell, voir Sécurité dans cette rubrique.

  11. Ouvrez une session de navigateur sur un périphérique client. Pour plus d’informations sur les navigateurs et périphériques pris en charge, voir Prise en charge de navigateurs et de périphériques clients dans ce document.

  12. Ouvrez le nouveau site Web de Accès Web Windows PowerShell, https://< nom_serveur_passerelle>/pswa.

    Le navigateur doit afficher la page de connexion de la console de Accès Web Windows PowerShell.

    noteRemarque
    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation.

  13. Dans une session Windows PowerShell qui a été ouverte avec des droits d’utilisateur élevés (Exécuter en tant qu’administrateur), exécutez le script suivant dans lequel nom_pool_applications représente le nom du pool d’applications que vous avez créé à l’étape 3, afin de donner les droits d’accès au pool d’applications dans le fichier d’autorisations.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Pour afficher les droits d’accès existants sur le fichier d’autorisations, exécutez la commande suivante :

    c:\windows\system32\icacls.exe $authorizationFile
    

  1. Ouvrez la console du Gestionnaire des services Internet (IIS) en procédant de l’une des manières suivantes.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Sur l’écran d’accueil de Windows, tapez une partie du nom Gestionnaire des services Internet (IIS). Cliquez sur le raccourci lorsqu’il s’affiche dans les résultats Applications.

  2. Dans le volet de l’arborescence du Gestionnaire des services Internet, développez le nœud du serveur sur lequel Accès Web Windows PowerShell est installé jusqu’à ce que le dossier Sites apparaisse. Sélectionnez le dossier Sites.

  3. Dans le volet Actions, cliquez sur Ajouter un site Web.

  4. Tapez le nom du site Web, comme Accès Web Windows PowerShell.

  5. Un pool d’applications est créé automatiquement pour le nouveau site Web. Pour utiliser un autre pool d’applications, cliquez sur Sélectionner pour sélectionner un pool d’applications à associer au nouveau site Web. Sélectionnez l’autre pool d’applications dans la boîte de dialogue Sélectionner un pool d’applications, puis cliquez sur OK.

  6. Dans la zone de texte Chemin d’accès physique, accédez à %windir%/Web/PowerShellWebAccess/wwwroot.

  7. Dans le champ Type de la zone Liaison, sélectionnez https.

  8. Assignez au site Web un numéro de port qui n’est pas déjà utilisé par un autre site ou une autre application. Pour localiser les ports ouverts, vous pouvez exécuter la commande netstat dans une fenêtre d’invite de commandes. Le numéro de port par défaut est 443.

    Modifiez le port par défaut si un autre site Web utilise déjà le port 443 ou si vous avez d’autres raisons d’ordre sécuritaire. Si un autre site Web qui s’exécute sur votre serveur de passerelle utilise votre port sélectionné, un avertissement s’affiche quand vous cliquez sur OK dans la boîte de dialogue Ajouter un site Web. Vous devez utiliser un port inutilisé pour exécuter Accès Web Windows PowerShell.

  9. Selon les besoins de votre organisation, spécifiez éventuellement un nom d’hôte qui a du sens pour votre organisation et ses utilisateurs, comme www.contoso.com. Cliquez sur OK.

  10. Pour un environnement de production plus sécurisé, nous vous recommandons vivement de fournir un certificat valide signé par une autorité de certification. Vous devez fournir un certificat SSL, car les utilisateurs peuvent uniquement se connecter à Accès Web Windows PowerShell via un site Web HTTPS. Pour plus d’informations sur l’obtention d’un certificat, voir Pour configurer un certificat SSL dans le Gestionnaire des services Internet dans cette rubrique.

  11. Cliquez sur OK pour fermer la boîte de dialogue Ajouter un site Web.

  12. Dans une session Windows PowerShell qui a été ouverte avec des droits d’utilisateur élevés (Exécuter en tant qu’administrateur), exécutez le script suivant dans lequel nom_pool_applications représente le nom du pool d’applications que vous avez créé à l’étape 4, afin de donner les droits d’accès au pool d’applications dans le fichier d’autorisations.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Pour afficher les droits d’accès existants sur le fichier d’autorisations, exécutez la commande suivante :

    c:\windows\system32\icacls.exe $authorizationFile
    
  13. Avec le nouveau site Web sélectionné dans le volet de l’arborescence du Gestionnaire des services Internet, cliquez sur Démarrer dans le volet Actions pour démarrer le site Web.

  14. Ouvrez une session de navigateur sur un périphérique client. Pour plus d’informations sur les navigateurs et périphériques pris en charge, voir Prise en charge de navigateurs et de périphériques clients dans ce document.

  15. Ouvrez le nouveau site Web de Accès Web Windows PowerShell.

    Étant donné que le site Web racine pointe vers le dossier Accès Web Windows PowerShell, le navigateur doit afficher la page de connexion de Accès Web Windows PowerShell quand vous ouvrez https://< nom_serveur_passerelle>. Il n’est pas nécessaire d’ajouter /pswa à l’URL.

    noteRemarque
    Vous ne pouvez pas vous connecter tant que les utilisateurs ne se voient pas accorder l’accès au site Web en ajoutant des règles d’autorisation.

  1. Dans le volet de l’arborescence du Gestionnaire des services Internet, sélectionnez le serveur sur lequel Accès Web Windows PowerShell est installé.

  2. Dans le volet de contenu, double-cliquez sur Certificats de serveur.

  3. Dans le volet Actions, effectuez l’une des opérations suivantes. Pour plus d’informations sur la configuration des certificats de serveur dans IIS, voir Configuration des certificats de serveur dans IIS 7.

    • Cliquez sur Importer pour importer un certificat existant valide depuis un emplacement sur votre réseau.

    • Cliquez sur Créer une demande de certificat pour demander un certificat auprès d’une autorité de certification comme VeriSign™, Thawte ou GeoTrust®. Le nom courant du certificat doit correspondre à l’en-tête d’hôte dans la demande. Par exemple, si le navigateur client demande http://www.contoso.com/, le nom courant doit également être http://www.contoso.com/. Il s’agit de l’option recommandée la plus sécurisée pour fournir un certificat à la passerelle Accès Web Windows PowerShell.

    • Cliquez sur Créer un certificat auto-signé pour créer un certificat que vous pouvez utiliser immédiatement, puis faire signer ultérieurement par une autorité de certification si besoin. Spécifiez un nom convivial pour le certificat auto-signé, comme Accès Web Windows PowerShell. Cette option est considérée comme non sécurisée et recommandée uniquement dans un environnement de test privé.

  4. Après avoir créé ou obtenu un certificat, sélectionnez le site Web auquel il est appliqué (par exemple, le Site Web par défaut) dans le volet de l’arborescence du Gestionnaire des services Internet, puis cliquez sur Liaisons dans le volet Actions.

  5. Dans la boîte de dialogue Ajouter la liaison de site, ajoutez une liaison https pour le site, si aucune n’est déjà affichée. Si vous n’utilisez pas de certificat auto-signé, spécifiez le nom d’hôte de l’étape 3 de cette procédure. Si vous utilisez un certificat auto-signé, vous pouvez ignorer cette étape.

  6. Sélectionnez le certificat que vous avez obtenu ou créé à l’étape 3 de cette procédure, puis cliquez sur OK.

Une fois Accès Web Windows PowerShell installé et la passerelle configurée, les utilisateurs peuvent ouvrir la page de connexion dans un navigateur, mais ils ne peuvent pas se connecter tant que l’administrateur de Accès Web Windows PowerShell ne leur a pas octroyé explicitement un accès. Le contrôle d’accès de Accès Web Windows PowerShell est géré à l’aide de l’ensemble d’applets de commande Windows PowerShell décrit dans le tableau suivant. Il n’existe aucune interface utilisateur graphique équivalente pour ajouter ou gérer les règles d’autorisation. Pour plus d’informations sur les applets de commande de Accès Web Windows PowerShell, voir les rubriques d’aide des applets de commande à l’aide des liens figurant dans le tableau suivant ou voir la rubrique parente, Applets de commande d’Accès Web Windows PowerShell.

Les administrateurs peuvent définir entre 0 et n règles d’authentification pour Accès Web Windows PowerShell. La sécurité par défaut est restrictive plutôt que permissive ; les règles à authentification zéro signifient qu’aucun utilisateur n’a accès à quoi que ce soit.

Les règles d’authentification de Accès Web Windows PowerShell sont des règles de liste blanche. Chaque règle est une définition d’une connexion autorisée entre utilisateurs, ordinateurs cibles et configurations de sessions Windows PowerShell particulières (également appelées points de terminaison ou instances d’exécution) sur des ordinateurs cibles spécifiés.

securitySécurité Remarque
Il suffit qu’une règle soit satisfaite pour qu’un utilisateur obtienne l’accès. Si un utilisateur se voit accorder l’accès à un seul ordinateur avec accès linguistique complet ou avec accès uniquement aux applets de commande de gestion à distance Windows PowerShell, depuis la console Web, il peut se connecter à d’autres ordinateurs qui sont connectés au premier ordinateur cible. La manière la plus sécurisée de configurer l’Accès Web Windows PowerShell consiste à autoriser les utilisateurs à accéder uniquement à des configurations de sessions contraintes (également appelées points de terminaison ou instances d’exécution) pour les autoriser à accomplir des tâches spécifiques qu’ils ont normalement besoin d’effectuer à distance.

 

Nom Description Paramètres

Add-PswaAuthorizationRule

Ajoute une nouvelle règle d’autorisation à l’ensemble de règles d’autorisation d’Accès Web Windows PowerShell.

  • ComputerGroupName

  • ComputerName

  • ConfigurationName

  • RuleName

  • UserGroupName

  • UserName

Remove-PswaAuthorizationRule

Supprime une règle d’autorisation spécifiée de l’Accès Web Windows PowerShell.

  • Id

  • RuleName

Get-PswaAuthorizationRule

Renvoie un ensemble de règles d’autorisation Accès Web Windows PowerShell. En cas d’utilisation sans paramètre, cette applet de commande renvoie toutes les règles.

  • Id

  • RuleName

Test-PswaAuthorizationRule

Évalue des règles d’autorisation pour déterminer si une demande d’accès de configuration de session, d’utilisateur ou d’ordinateur spécifique est autorisée. Par défaut, si aucun paramètre n’est ajouté, l’applet de commande évalue toutes les règles d’autorisation. En ajoutant des paramètres, les administrateurs peuvent spécifier une règle d’autorisation ou un sous-ensemble de règles à tester.

  • ComputerName

  • ConfigurationName

  • RuleName

  • UserName

Les applets de commande précédentes créent un ensemble de règles d’accès qui sont utilisées pour autoriser un utilisateur sur la passerelle Accès Web Windows PowerShell. Ces règles diffèrent des listes de contrôle d’accès sur l’ordinateur de destination et constituent une couche de sécurité supplémentaire pour l’accès par le Web. La section suivante fournit davantage de détails sur la sécurité.

Si des utilisateurs ne parviennent pas à traverser l’une des couches de sécurité précédentes, ils reçoivent un message générique « Accès refusé » dans leur fenêtre de navigateur. Bien que les détails sur la sécurité soient consignés sur le serveur passerelle, aucune information n’est fournie aux utilisateurs finals quant au nombre de couches de sécurité qu’ils ont traversées ou quant à la couche au niveau de laquelle l’échec d’authentification ou de connexion a échoué.

Pour plus d’informations sur la configuration de règles d’autorisation, voir Configuration des règles d’autorisation dans cette rubrique.

Le modèle de sécurité Accès Web Windows PowerShell comporte quatre couches entre un utilisateur final de la console Web et un ordinateur cible. Les administrateurs de Accès Web Windows PowerShell peuvent ajouter des couches de sécurité via une configuration complémentaire dans la console du Gestionnaire des services Internet. Pour plus d’informations sur la sécurisation des site Web dans la console du Gestionnaire des services Internet, voir Configurer la sécurité du serveur Web (IIS 7). Pour plus d’informations sur les conseils d’utilisation d’IIS et la prévention des attaques par déni de service, voir Meilleures pratiques de prévention des attaques par déni de service. Un administrateur peut également acheter et installer des logiciels d’authentification supplémentaires.

Le tableau suivant décrit les quatre couches de sécurité entre les utilisateurs finals et les ordinateurs cibles.

 

Ordre Couche Description

1

Fonctionnalités de sécurité du serveur Web (IIS), telles que l’authentification des certificats clients

Les utilisateurs de Accès Web Windows PowerShell doivent toujours fournir un nom d’utilisateur et un mot de passe pour authentifier leurs comptes sur la passerelle. Toutefois, les administrateurs de Accès Web Windows PowerShell peuvent également activer ou désactiver une authentification de certificat client facultatif (voir l’étape 10 de la procédure Pour configurer la passerelle dans un site Web existant à l’aide du Gestionnaire des services Internet dans ce document). Pour la fonctionnalité de certificat client facultatif, les utilisateurs doivent posséder un certificat client valide en plus de leur nom d’utilisateur/mot de passe. Cette fonctionnalité fait partie de la configuration du serveur Web (IIS). Quand la couche du certificat client est activée, la page de connexion à Accès Web Windows PowerShell invite les utilisateurs à fournir des certificats valides avant d’évaluer leurs informations d’identification de connexion. L’authentification de certificat client vérifie automatiquement la présence du certificat client.

Si aucun certificat valide n’est trouvé, Accès Web Windows PowerShell en informe les utilisateurs, pour qu’ils puissent fournir ce certificat. Si un certificat client valide est trouvé, Accès Web Windows PowerShell ouvre la page de connexion pour que les utilisateurs indiquent leur nom d’utilisateur et leur mot de passe.

Il s’agit d’un exemple de paramètres de sécurité supplémentaires offerts par le serveur Web (IIS). Pour plus d’informations sur d’autres fonctionnalités de sécurité IIS, voir Configurer la sécurité du serveur Web (IIS 7).

2

Authentification de la passerelle basée sur les formulaires Accès Web Windows PowerShell

La page de connexion de Accès Web Windows PowerShell requiert un ensemble d’informations d’identification (nom d’utilisateur et mot de passe) et offre aux utilisateurs la possibilité de fournir des informations d’identification différentes pour l’ordinateur cible. Si l’utilisateur ne fournit pas d’autres informations d’identification, le nom d’utilisateur et le mot de passe principaux utilisés pour se connecter à la passerelle sont également utilisés pour se connecter à l’ordinateur cible.

Les informations d’identification requises sont authentifiées sur la passerelle Accès Web Windows PowerShell. Ces informations d’identification doivent être des comptes d’utilisateurs valides sur le serveur de passerelle Accès Web Windows PowerShell local ou dans Active Directory®.

Une fois que l’utilisateur est authentifié au niveau de la passerelle, Accès Web Windows PowerShell passe en revue les règles d’autorisation pour vérifier si l’utilisateur a accès à l’ordinateur cible demandé. Une fois que l’autorisation a été accordée; les informations d’identification de l’utilisateur sont transmises à l’ordinateur cible.

3

Règles d’autorisation de Accès Web Windows PowerShell

Une fois que l’utilisateur est authentifié au niveau de la passerelle, l’Accès Web Windows PowerShell passe en revue les règles d’autorisation pour vérifier si l’utilisateur a accès à l’ordinateur cible demandé. Une fois que l’autorisation a été accordée; les informations d’identification de l’utilisateur sont transmises à l’ordinateur cible.

Ces règles sont évaluées uniquement après qu’un utilisateur a été authentifié par la passerelle et avant qu’un utilisateur puisse être authentifié sur un ordinateur cible.

4

Règles d’autorisation et d’authentification cibles

La couche finale de sécurité pour Accès Web Windows PowerShell est la propre configuration de sécurité de l’ordinateur cible. Les utilisateurs doivent posséder les droits d’accès appropriés configurés sur l’ordinateur cible, et également dans les règles d’autorisation de Accès Web Windows PowerShell, pour exécuter une console Web Windows PowerShell qui affecte un ordinateur cible via Accès Web Windows PowerShell.

Cette couche offre les mêmes mécanismes de sécurité que ceux qui évalueraient les tentatives de connexion si les utilisateurs créaient une session Windows PowerShell à distance vers un ordinateur cible depuis Windows PowerShell en exécutant les applets de commande Enter-PSSession ou New-PSSession.

Par défaut, Accès Web Windows PowerShell utilise les nom d’utilisateur et mot de passe principaux pour l’authentification sur la passerelle et l’ordinateur cible. La page de connexion Web, dans une section intitulée Paramètres de connexion facultatifs, offre aux utilisateurs la possibilité de fournir des informations d’identification différentes pour l’ordinateur cible, si nécessaire. Si l’utilisateur ne fournit pas d’autres informations d’identification, le nom d’utilisateur et le mot de passe principaux utilisés pour se connecter à la passerelle sont également utilisés pour se connecter à l’ordinateur cible.

Les règles d’autorisation peuvent servir à accorder aux utilisateurs un accès à une configuration de session particulière. Vous pouvez créer des instances d’exécution ou configurations de sessions restreintes pour Accès Web Windows PowerShell, puis autoriser des utilisateurs spécifiques à se connecter uniquement à des configurations de session spécifiques quand ils se connectent à Accès Web Windows PowerShell. Vous pouvez utiliser des listes de contrôle d’accès pour identifier les utilisateurs qui ont accès à des points de terminaison spécifiques et pour restreindre davantage l’accès à un point de terminaison pour un ensemble donné d’utilisateurs en appliquant les règles d’autorisation décrites dans cette section. Pour plus d’informations sur les instances d’exécution restreintes, voir Instances d’exécution restreintes sur MSDN.

Les administrateurs souhaitent probablement la même règle d’autorisation pour les utilisateurs de Accès Web Windows PowerShell que celle déjà définie dans leur environnement pour la gestion à distance Windows PowerShell. La première procédure de cette section décrit comment ajouter une règle d’autorisation sécurisée qui accorde l’accès à un utilisateur qui se connecte pour gérer un seul ordinateur dans une seule configuration de session. La seconde procédure décrit comment supprimer une règle d’autorisation dont vous n’avez plus besoin.

Si vous envisagez d’utiliser des configurations de sessions personnalisées pour autoriser des utilisateurs spécifiques à travailler uniquement dans des instances d’exécution restreintes dans Accès Web Windows PowerShell, créez vos configurations de sessions personnalisées avant d’ajouter des règles d’autorisation qui s’y réfèrent. Vous ne pouvez pas utiliser les applets de commande de Accès Web Windows PowerShell pour créer des configurations de sessions personnalisées. Pour plus d’informations sur la création de configurations de sessions personnalisées, voir about_Session_Configuration_Files sur MSDN.

Les applets de commande de Accès Web Windows PowerShell prennent en charge un seul caractère générique, un astérisque (*). Les caractères génériques dans les chaînes ne sont pas pris en charge. Utilisez un seul astérisque par propriété (utilisateurs, ordinateurs ou configurations de sessions).

  1. Procédez de l’une des manières suivantes pour ouvrir une session Windows PowerShell avec des droits de l’utilisateur élevés.

    • Sur le Bureau Windows, cliquez avec le bouton droit dans la barre des tâches sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    • Sur l’écran d’accueil de Windows, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

  2. Étape facultative pour restreindre l’accès utilisateur à l’aide de configurations de sessions : vérifiez que les configurations de sessions que vous voulez utiliser dans vos règles existent déjà. Si elles n’ont pas encore été créées, utilisez les instructions relatives à la création de configurations de sessions dans about_Session_Configuration_Files sur MSDN.

  3. Tapez la commande suivante, puis appuyez sur Entrée.

    Add-PswaAuthorizationRule –UserName <domaine\utilisateur | ordinateur\utilisateur> -ComputerName <computer_name> -ConfigurationName <nom_configuration_session>
    

    Cette règle d’autorisation accorde à un utilisateur spécifique l’accès à un ordinateur sur le réseau auquel il a généralement accès, avec l’accès à une configuration de session spécifique ayant comme portée les besoins ordinaires de l’utilisateur en matière de script et d’applet de commande. Dans l’exemple suivant, un utilisateur nommé JSmith dans le domaine Contoso se voit accorder un accès pour gérer l’ordinateur Contoso_214 et utiliser une configuration de session nommée NewAdminsOnly.

    Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
    
  4. Vérifiez que la règle a été créée en exécutant l’applet de commande Get-PswaAuthorizationRule.

noteRemarque
Pour obtenir d’autres exemples d’utilisation de règles d’autorisation pour accorder un accès aux utilisateurs et mieux sécuriser l’environnement de Accès Web Windows PowerShell, voir Autres exemples de scénarios de règles d’autorisation dans cette rubrique.

  1. Si aucune session Windows PowerShell n’est déjà ouverte, voir l’étape 1 de la procédure Pour ajouter une règle d’autorisation restrictive dans cette section.

  2. Tapez la commande suivante, puis appuyez sur Entrée, où ID de la règle représente l’ID unique de la règle à supprimer.

    Remove-PswaAuthorizationRule -ID <ID de la règle>
    

    Si vous ne connaissez pas le numéro d’ID, mais que vous connaissez le nom convivial de la règle à supprimer, vous pouvez également obtenir le nom de la règle, puis le rediriger vers l’applet de commande Remove-PswaAuthorizationRule pour supprimer la règle, comme indiqué dans l’exemple suivant : Get-PswaAuthorizationRule -RuleName <nom de la règle> | Remove-PswaAuthorizationRule.

    noteRemarque
    Vous n’êtes pas invité à confirmer la suppression de la règle d’autorisation spécifiée ; elle est supprimée quand vous appuyez sur Entrée. Soyez certain de vouloir supprimer la règle d’autorisation avant d’exécuter l’applet de commande Remove-PswaAuthorizationRule.

Chaque session Windows PowerShell utilise une configuration de session ; si aucune n’est spécifiée pour une session, Windows PowerShell utilise la configuration de session Windows PowerShell prédéfinie par défaut, appelée Microsoft.PowerShell. La configuration de session par défaut inclut toutes les applets de commande disponibles sur un ordinateur. Les administrateurs peuvent limiter l’accès à tous les ordinateurs en définissant une configuration de session avec une instance d’exécution restreinte (une gamme limitée d’applets de commande et de tâches que les utilisateurs finals peuvent effectuer). Un utilisateur auquel est accordé l’accès à un ordinateur avec accès linguistique complet ou uniquement les applets de commande de gestion à distance Windows PowerShell peut se connecter à d’autres ordinateurs qui sont connectés au premier ordinateur. La définition d’une instance d’exécution restreinte peut empêcher les utilisateurs d’accéder à d’autres ordinateurs depuis leur instance d’exécution Windows PowerShell autorisée, et elle renforce la sécurité de votre environnement Accès Web Windows PowerShell. Il est possible de distribuer la configuration de session (à l’aide d’une stratégie de groupe) à tous les ordinateurs que les administrateurs veulent rendre accessibles via Accès Web Windows PowerShell. Pour plus d’informations sur les configurations de sessions, voir about_Session_Configurations. Voici quelques exemples de ce scénario.

  • Un administrateur crée un point de terminaison, appelé PswaEndpoint, avec une instance d’exécution restreinte. Ensuite, il crée une règle, *,*,PswaEndpoint, puis distribue le point de terminaison à d’autres ordinateurs. La règle permet à tous les utilisateurs d’accéder à tous les ordinateurs avec le point de terminaison PswaEndpoint. Si aucune autre règle d’autorisation n’est définie dans le jeu de règles, les ordinateurs n’ayant pas ce point de terminaison seront inaccessibles.

  • L’administrateur a créé un point de terminaison avec une instance d’exécution restreinte appelée PswaEndpoint, puis souhaite en restreindre l’accès à des utilisateurs spécifiques. L’administrateur crée un groupe d’utilisateurs appelé Level1Support, puis définit la règle suivante : Level1Support,*,PswaEndpoint. La règle accorde à tous les utilisateurs inclus dans le groupe Level1Support un accès à tous les ordinateurs dotés de la configuration PswaEndpoint. De même, l’accès peut être limité à un ensemble d’ordinateurs spécifique.

  • Certains administrateurs accordent à certains utilisateurs un accès privilégié. Par exemple, un administrateur crée deux groupes d’utilisateurs, Admins et BasicSupport. Il crée également un point de terminaison avec une instance d’exécution restreinte appelée PswaEndpoint, puis définit les deux règles suivantes : Admins,*,* et BasicSupport,*,PswaEndpoint. La première règle octroie à tous les utilisateurs du groupe Admins un accès à tous les ordinateurs, et la seconde règle octroie à tous les utilisateurs du groupe BasicSupport un accès aux seuls ordinateurs dotés de PswaEndpoint.

  • Un administrateur a configuré un environnement de test privé et souhaite autoriser tous les utilisateurs réseau approuvés à accéder à tous les ordinateurs du réseau auxquels ils ont normalement accès, avec un accès à toutes les configurations de sessions auxquelles ils ont normalement accès. S’agissant d’un environnement de test privé, l’administrateur crée une règle d’autorisation non sécurisée. L’administrateur exécute l’applet de commande Add-PswaAuthorizationRule * * *, qui utilise le caractère générique * pour représenter tous les utilisateurs, tous les ordinateurs et toutes les configurations. Cette règle est l’équivalent de la commande suivante : Add-PswaAuthorizationRule –UserName * -ComputerName * -ConfigurationName *.

    securitySécurité Remarque
    Cette règle n’est pas recommandée dans un environnement sécurisé ; elle contourne la couche de sécurité de la règle d’autorisation fournie par Accès Web Windows PowerShell.

  • Un administrateur doit autoriser les utilisateurs à se connecter aux ordinateurs cibles dans un environnement qui inclut à la fois des groupes de travail et des domaines, où les ordinateurs des groupes de travail sont de temps en temps utilisés pour se connecter aux ordinateurs cibles dans les domaines et où les ordinateurs des domaines sont de temps en temps utilisés pour se connecter aux ordinateurs cibles dans les groupes de travail. L’administrateur possède un serveur de passerelle, PswaServer, dans un groupe de travail et l’ordinateur cible srv1.contoso.com se trouve dans un domaine. L’utilisateur Chris est un utilisateur local autorisé à la fois sur le serveur de passerelle du groupe de travail et l’ordinateur cible. Son nom d’utilisateur sur le serveur du groupe de travail est chrisLocal et son nom d’utilisateur sur l’ordinateur cible est contoso\chris. Pour autoriser l’accès à srv1.contoso.com à Chris, l’administrateur ajoute la règle suivante.

    Add-PswaAuthorizationRule –userName PswaServer\chrisLocal –computerName srv1.contoso.com –configurationName Microsoft.PowerShell
    
    L’exemple de règle précédent authentifie Chris sur le serveur de passerelle, puis autorise son accès à srv1. Dans la page de connexion, Chris doit fournir un deuxième ensemble d’informations d’identification dans la zone Paramètres de connexion facultatifs (contoso\chris). Le serveur de passerelle utilise l’ensemble supplémentaire d’informations d’identification pour l’authentifier sur l’ordinateur cible, srv1.contoso.com.

    Dans le scénario précédent, Accès Web Windows PowerShell établit une connexion correcte à l’ordinateur cible uniquement une fois que les opérations ci-après ont réussi et qu’au moins une règle d’autorisation l’a autorisée.

    1. Authentification sur le serveur de passerelle du groupe de travail en ajoutant un nom d’utilisateur au format nom_serveur\nom_utilisateur à la règle d’autorisation

    2. Authentification sur l’ordinateur cible en utilisant les informations d’identification supplémentaires fournies dans la page de connexion, dans la zone Paramètres de connexion facultatifs

    noteRemarque
    Si la passerelle et les ordinateurs cibles se trouvent dans des groupes de travail ou domaines différents, une relation d’approbation doit être établie entre les deux ordinateurs du groupe de travail, les deux domaines ou entre le groupe de travail et le domaine. Il n’est pas possible de configurer cette relation à l’aide des applets de commande des règles d’autorisation de Accès Web Windows PowerShell. Les règles d’autorisation ne définissent pas une relation d’approbation entre des ordinateurs ; elles peuvent uniquement autoriser les utilisateurs à se connecter à des ordinateurs cibles et configurations de sessions spécifiques. Pour plus d’informations sur la manière de configurer une relation d’approbation entre différents domaines, voir Création d’approbations de domaine et de forêt. Pour plus d’informations sur la manière d’ajouter des ordinateurs de groupe de travail à une liste d’hôtes approuvés, voir Administration à distance à l’aide du Gestionnaire de serveur.

Les règles d’autorisation sont stockées dans un fichier XML. Par défaut, le chemin d’accès au fichier XML est %windir%\Web\PowershellWebAccess\data\AuthorizationRules.xml.

Le chemin d’accès au fichier XML des règles d’autorisation est stocké dans le fichier powwa.config, lequel se trouve dans %windir%\Web\PowershellWebAccess\data. L’administrateur a la possibilité de modifier la référence au chemin d’accès par défaut dans powwa.config pour satisfaire des préférences ou exigences. Autoriser l’administrateur à modifier l’emplacement du fichier permet à plusieurs passerelles Accès Web Windows PowerShell d’utiliser les mêmes règles d’autorisation, si une telle configuration est souhaitée.

Par défaut, Accès Web Windows PowerShell limite un utilisateur à trois sessions simultanées. Vous pouvez modifier le fichier web.config de l’application Web dans le Gestionnaire des services Internet afin de prendre en charge un nombre différent de sessions par utilisateur. Le chemin d’accès au fichier web.config est $Env:Windir\Web\PowerShellWebAccess\wwwroot\Web.config.

Par défaut, le serveur Web (IIS) est configuré pour redémarrer le pool d’applications si des paramètres sont modifiés. Par exemple, le pool d’applications est redémarré si des modifications sont apportées au fichier web.config. Étant donné que Accès Web Windows PowerShell utilise les états de session en mémoire, les utilisateurs connectés à des sessions Accès Web Windows PowerShell perdent leurs sessions quand le pool d’applications est redémarré.

Les sessions Accès Web Windows PowerShell expirent. Un message d’expiration de délai d’inactivité est affiché après 15 minutes d’inactivité de session. Si l’utilisateur ne répond pas dans les cinq minutes qui suivent l’affichage du message, la session est interrompue et l’utilisateur est déconnecté. Vous pouvez modifier les délais d’expiration des sessions dans les paramètres de site Web, dans le Gestionnaire des services Internet.

Une fois que Accès Web Windows PowerShell est installé et la configuration de la passerelle terminée comme décrit dans cette rubrique, la console Web Windows PowerShell est prête à être utilisée. Pour plus d’informations sur la prise en main de la console Web, voir Utiliser la console web Windows PowerShell.

Le tableau suivant identifie certains problèmes courants que les utilisateurs peuvent rencontrer quand ils essaient de se connecter à un ordinateur distant à l’aide de Accès Web Windows PowerShell et inclut des suggestions de résolution.

 

Problème Cause possible et solution

Échec de connexion

L’échec peut avoir les causes suivantes.

  • Il n’existe aucune règle d’autorisation qui autorise l’utilisateur à accéder à l’ordinateur, ni configuration de session spécifique sur l’ordinateur distant. La sécurité de Accès Web Windows PowerShell est restrictive ; les utilisateurs doivent recevoir un accès explicite aux ordinateurs distants à l’aide de règles d’autorisation. Pour plus d’informations sur la création de règles d’autorisation, voir Étape 3 : configuration des règles d’autorisation et de la sécurité du site dans cette rubrique.

  • L’utilisateur n’est pas autorisé à accéder à l’ordinateur de destination. Cet accès est déterminé par des listes de contrôle d’accès. Pour plus d’informations, voir « Connexion à l’accès Web Windows PowerShell » dans Utiliser la console web Windows PowerShell ou le Blog de l’équipe Windows PowerShell.

    • La gestion à distance Windows PowerShell n’est peut-être pas activée sur l’ordinateur de destination. Vérifiez qu’elle est activée sur l’ordinateur auquel l’utilisateur essaie de se connecter. Pour plus d’informations, voir « Comment configurer votre ordinateur pour la communication à distance » dans about_Remote_Requirements dans les rubriques d’aide conceptuelle de Windows PowerShell.

Quand des utilisateurs essaient de se connecter à Accès Web Windows PowerShell dans une fenêtre Internet Explorer, une page Erreur de serveur interne leur est présentée ou Internet Explorer cesse de répondre. Ce problème est propre à Internet Explorer.

Il peut survenir pour les utilisateurs qui se sont connectés avec un nom de domaine contenant des caractères chinois ou si un ou plusieurs caractères chinois font partie du nom du serveur de passerelle. Pour contourner ce problème, l’utilisateur doit installer et exécuter Internet Explorer 10, puis effectuer les étapes suivantes.

  1. Remplacez le paramètre Internet Explorer Mode de document par Normes IE10.

    1. Appuyez sur F12 pour ouvrir la console Outils de développement.

    2. Dans Internet Explorer 10, cliquez sur Mode navigateur, puis sélectionnez Internet Explorer 10.

    3. Cliquez sur Mode de document, puis cliquez sur Normes IE10.

    4. Appuyez de nouveau sur F12 pour fermer la console Outils de développement.

  2. Désactivez la configuration automatique du proxy.

    1. Dans Internet Explorer 10, cliquez sur Outils, puis sur Options Internet.

    2. Dans la boîte de dialogue Options Internet, sous l’onglet Connexions, cliquez sur Paramètres réseau.

    3. Désactivez la case à cocher Détecter automatiquement les paramètres de connexion. Cliquez sur OK, puis de nouveau sur OK pour fermer la boîte de dialogue Options Internet.

Impossible de se connecter à un ordinateur de groupe de travail distant

Si l’ordinateur de destination est membre d’un groupe de travail, utilisez la syntaxe suivante pour fournir votre nom d’utilisateur et vous connecter à l’ordinateur : <nom_groupe_travail>\<nom_utilisateur>

Impossible de trouver les outils de gestion de serveur Web (IIS) bien que le rôle ait été installé

Si vous avez installé Accès Web Windows PowerShell à l’aide de l’applet de commande Install-WindowsFeature, les outils de gestion ne sont pas installés sauf si le paramètre IncludeManagementTools est ajouté à l’applet de commande. Pour obtenir un exemple, voir Pour installer Accès Web Windows PowerShell à l’aide des applets de commande Windows PowerShell dans cette rubrique. Vous pouvez ajouter la console du Gestionnaire des services Internet et d’autres outils de gestion IIS dont vous avez besoin en sélectionnant les outils dans une session de l’Assistant Ajout de rôles et de fonctionnalités ciblée vers le serveur de passerelle. L’Assistant Ajout de rôles et de fonctionnalités s’ouvre depuis le Gestionnaire de serveur.

Le site Web Accès Web Windows PowerShell n’est pas accessible

Si la Configuration de sécurité renforcée est activée dans Internet Explorer (IE ESC), vous pouvez ajouter le site Web Accès Web Windows PowerShell à la liste des sites de confiance ou désactiver IE ESC. Vous pouvez désactiver IE ESC dans la page des propriétés du serveur local du Gestionnaire de serveur.

Le message d’erreur suivant s’affiche pendant une tentative de connexion alors que le serveur de passerelle correspond à l’ordinateur de destination et se trouve également dans un groupe de travail : Un échec d’autorisation s’est produit. Vérifiez que vous êtes autorisé à vous connecter à l’ordinateur de destination.

Quand le serveur de passerelle est également le serveur de destination, et qu’il se trouve dans un groupe de travail, spécifiez le nom d’utilisateur, le nom d’ordinateur et le nom du groupe d’utilisateurs comme indiqué dans le tableau suivant. N’utilisez pas de point (.) tout seul pour représenter le nom d’ordinateur.

 

Scénario Paramètre UserName Paramètre UserGroup Paramètre ComputerName Paramètre ComputerGroup

Serveur de passerelle dans un domaine

Nom_serveur\nom_utilisateur, Localhost\nom_utilisateur ou .\nom_utilisateur

Nom_serveur\groupe_utilisateurs, Localhost\groupe_utilisateurs ou .\groupe_utilisateurs

Nom complet du serveur de passerelle ou Localhost

Nom_serveur\groupe_ordinateurs, Localhost\groupe_ordinateurs ou .\groupe_ordinateurs

Serveur de passerelle dans un groupe de travail

Nom_serveur\nom_utilisateur, Localhost\nom_utilisateur ou .\nom_utilisateur

Nom_serveur\groupe_utilisateurs, Localhost\groupe_utilisateurs ou .\groupe_utilisateurs

Nom du serveur

Nom_serveur\groupe_ordinateurs, Localhost\groupe_ordinateurs ou .\groupe_ordinateurs

Connectez-vous à un serveur de passerelle en tant qu’ordinateur cible à l’aide d’informations d’identification formatées de l’une des manières suivantes.

  • Nom_serveur\nom_utilisateur

  • Localhost\nom_utilisateur

  • .\nom_utilisateur

Un identificateur de sécurité (SID) s’affiche dans une règle d’autorisation au lieu de la syntaxe nom_utilisateur/computer_name

Soit la règle n’est plus valide, soit la requête des services de domaine Active Directory a échoué. Une règle d’autorisation n’est généralement pas valide dans les scénarios où le serveur de passerelle était à un moment donné dans un groupe de travail, puis par la suite joint à un domaine.

Impossible de se connecter à un ordinateur cible spécifié dans des règles d’autorisation sous forme d’adresse IPv6 avec un domaine.

Les règles d’autorisation ne prennent pas en charge une adresse IPv6 sous forme de nom de domaine. Pour spécifier un ordinateur de destination à l’aide d’une adresse IPv6, utilisez l’adresse IPv6 d’origine (qui contient des deux-points) dans la règle d’autorisation. Les adresses IPv6 de domaine et numériques (avec des deux-points) sont prises en charge en tant que nom d’ordinateur cible dans la page de connexion à Accès Web Windows PowerShell, mais pas dans les règles d’autorisation. Pour plus d’informations sur les adresses IPv6, voir Fonctionnement d’IPv6.

Suivez les étapes de cette section pour supprimer le site Web et l’application Accès Web Windows PowerShell à l’aide de la console du Gestionnaire des services Internet, puis désinstallez la fonctionnalité Accès Web Windows PowerShell. Avant de commencer, informez les utilisateurs de la console Web de la suppression du site Web.

Avant de désinstaller Accès Web Windows PowerShell du serveur de passerelle, exécutez l’applet de commande Uninstall-PswaWebApplication pour supprimer le site Web et les applications Web Accès Web Windows PowerShell ou utilisez la procédure du Gestionnaire des services Internet, Pour supprimer le site Web et les applications Web Accès Web Windows PowerShell à l’aide du Gestionnaire de services Internet.

noteRemarque
L’applet de commande Uninstall-PSwaWebApplication n’est pas encore disponible dans cette version de Windows Server 2012. À la place, utilisez la procédure du Gestionnaire des services Internet, Pour supprimer le site Web et les applications Web Accès Web Windows PowerShell à l’aide du Gestionnaire de services Internet, pour supprimer le site Web et les applications Web avant de désinstaller la fonctionnalité Accès Web Windows PowerShell du serveur de passerelle.

La désinstallation de Accès Web Windows PowerShell ne désinstalle pas IIS ni d’autres fonctionnalités automatiquement installées car Accès Web Windows PowerShell en a besoin pour s’exécuter. Le processus de désinstallation laisse les fonctionnalités installées dont dépendait Accès Web Windows PowerShell ; vous pouvez désinstaller ces fonctionnalités séparément si besoin.

  1. Effectuez l’une des procédures suivantes pour ouvrir une session Windows PowerShell.

    • Sur le Bureau Windows, cliquez avec le bouton droit sur Windows PowerShell dans la barre des tâches.

    • Sur l’écran d’accueil de Windows, cliquez sur Windows PowerShell.

  2. Tapez Uninstall-PswaWebApplication, puis appuyez sur Entrée.

  3. Si vous utilisez un certificat de test, ajoutez le paramètre DeleteTestCertificate à l’applet de commande, comme indiqué dans l’exemple suivant.

    Uninstall-PswaWebApplication -DeleteTestCertificate
    

  1. Si le Gestionnaire de serveur est déjà ouvert, passez à l’étape suivante. Si Gestionnaire de serveur n’est pas déjà ouvert, ouvrez-le en effectuant l’une des opérations suivantes.

    • Sur le Bureau Windows, démarrez Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows.

    • Dans l’écran d’accueil de Windows, cliquez sur Gestionnaire de serveur.

  2. Dans le menu Gérer, cliquez sur Supprimer des rôles et fonctionnalités.

  3. Dans la page Sélectionner le serveur de destination, sélectionnez le serveur ou le disque dur virtuel hors connexion duquel vous voulez supprimer la fonctionnalité. Pour sélectionner un disque dur virtuel hors connexion, choisissez d’abord le serveur sur lequel monter le disque dur virtuel, puis sélectionnez le fichier VHD. Une fois que vous avez sélectionné le serveur de destination, cliquez sur Suivant.

  4. Cliquez de nouveau sur Suivant pour passer à la page Supprimer des fonctionnalités.

  5. Désactivez la case à cocher Accès Web Windows PowerShell, puis cliquez sur Suivant.

  6. Dans la page Confirmer les sélections pour la suppression, cliquez sur Supprimer.

  7. Une fois la désinstallation terminée, passez à la procédure Pour supprimer le site Web et les applications Web Accès Web Windows PowerShell à l’aide du Gestionnaire de services Internet.

  1. Procédez de l’une des manières suivantes pour ouvrir une session Windows PowerShell avec des droits d’utilisateur élevés. Si une session est déjà ouverte, passez à l’étape suivante.

    • Sur le Bureau Windows, cliquez avec le bouton droit dans la barre des tâches sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

    • Sur l’écran d’accueil de Windows, cliquez avec le bouton droit sur Windows PowerShell, puis cliquez sur Exécuter en tant qu’administrateur.

  2. Tapez ce qui suit, puis appuyez sur Entrée, où computer_name représente le nom de l’ordinateur distant sur lequel vous souhaitez installer Accès Web Windows PowerShell, le cas échéant. Le paramètre –Restart redémarre automatiquement les serveurs de destination si la suppression l’exige.

    Uninstall-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -Restart
    

    Pour installer des rôles et fonctionnalités sur un disque dur virtuel hors connexion, vous devez ajouter les paramètres -ComputerName et -VHD. Le paramètre -ComputerName contient le nom du serveur sur lequel monter le disque dur virtuel tandis que le paramètre -VHD contient le chemin d’accès au fichier VHD sur le serveur spécifié.

    Uninstall-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -Restart
    
  3. Une fois l’installation terminée, vérifiez que vous avez supprimé Accès Web Windows PowerShell en ouvrant la page Tous les serveurs dans le Gestionnaire de serveur, en sélectionnant un serveur sur lequel vous avez installé la fonctionnalité, puis en affichant la vignette Rôles et fonctionnalités dans la page du serveur sélectionné. Vous pouvez également exécuter l’applet de commande Get-WindowsFeature ciblée sur le serveur sélectionné (Get-WindowsFeature -ComputerName <computer_name>) pour afficher la liste des rôles et fonctionnalités installés sur le serveur.

  4. Une fois la désinstallation terminée, passez à la procédure Pour supprimer le site Web et les applications Web Accès Web Windows PowerShell à l’aide du Gestionnaire de services Internet.

  1. Ouvrez la console du Gestionnaire des services Internet en procédant de l’une des manières suivantes. Si elle est déjà ouverte, passez à l’étape suivante.

    • Sur le Bureau Windows, démarrez le Gestionnaire de serveur en cliquant sur Gestionnaire de serveur dans la barre des tâches Windows. Dans le menu Outils du Gestionnaire de serveur, cliquez sur Gestionnaire des services Internet (IIS).

    • Sur l’écran d’accueil de Windows, tapez une partie du nom Gestionnaire des services Internet (IIS). Cliquez sur le raccourci lorsqu’il s’affiche dans les résultats Applications.

  2. Dans le volet de l’arborescence du Gestionnaire des services Internet, sélectionnez le site Web qui exécute l’application Web Accès Web Windows PowerShell.

  3. Dans le volet Actions, sous Gérer le site Web, cliquez sur Arrêter.

  4. Dans le volet de l’arborescence, cliquez avec le bouton droit sur l’application Web dans le site Web qui exécute l’application Web Accès Web Windows PowerShell, puis cliquez sur Supprimer.

  5. Dans le volet de l’arborescence, sélectionnez Pools d’applications, sélectionnez le dossier du pool d’applications de Accès Web Windows PowerShell, cliquez sur Arrêter dans le volet Actions, puis cliquez sur Supprimer dans le volet de contenu.

  6. Fermez le Gestionnaire des services Internet (IIS).

    noteRemarque
    Le certificat n’est pas supprimé durant la désinstallation. Si vous avez créé un certificat auto-signé ou utilisé un certificat de test et que vous souhaitez le supprimer, supprimez le certificat dans le Gestionnaire des services Internet.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft