Развертывание Windows PowerShell Web Access

Применимо к:Windows Server 2012, Windows Server 2012 R2

Компонент Windows PowerShell® Web Access, впервые представленный в Windows Server® 2012, функционирует в качестве шлюза Windows PowerShell и предоставляет веб-консоль Windows PowerShell для удаленного компьютера. Она позволяет ИТ-специалистам выполнять команды и скрипты Windows PowerShell с консоли Windows PowerShell в веб-браузере без установки Windows PowerShell, программ для удаленного управления или подключаемых к браузеру модулей, необходимых на устройстве клиента. Для выполнения веб-консоли Windows PowerShell требуется только правильно настроенный шлюз Windows PowerShell Web Access и браузер на устройстве клиента, который поддерживает JavaScript® и принимает файлы cookie.

Примерами клиентских устройств могут служить ноутбуки, персональные компьютеры, не являющиеся служебными, арендованные компьютеры, планшетные компьютеры, веб-киоски, компьютеры без операционной системы на базе Windows и браузеры сотовых телефонов. ИТ-специалисты могут выполнять важные задачи управления на удаленных серверах на базе ОС Windows с устройств, имеющих доступ к Интернету и веб-браузер.

После успешной установки и настройки шлюза пользователи получают доступ к консоли Windows PowerShell с помощью веб-браузера. Пользователи, открывающие защищенный веб-сайт Windows PowerShell Web Access, могут запускать веб-консоль Windows PowerShell после успешной проверки подлинности.

Для установки и настройки Windows PowerShell Web Access требуются три шага.

1. Установка Windows PowerShell Web Access

2. Настройка шлюза

3. Настройка правил авторизации, которые разрешают пользователям осуществлять доступ к веб-консоли Windows PowerShell

Перед установкой и настройкой Windows PowerShell Web Access рекомендуется внимательно ознакомиться с этим руководством, поскольку здесь содержатся инструкции по установке, удалению и обеспечению безопасности Windows PowerShell Web Access. В разделе Использование веб-консоли Windows PowerShell описан вход пользователей на веб-консоль, представлены ограничения и различия между веб-консолью Windows PowerShell и консолью powershell.exe. Конечным пользователям веб-консоли следует ознакомиться с Использование веб-консоли Windows PowerShell, изучать остальные разделы руководства не обязательно.

В этой статье не приводятся подробные рекомендации по работе с веб-сервером (IIS). Описаны только шаги, необходимые для настройки шлюза Windows PowerShell Web Access. Дополнительные сведения о настройке и обеспечении безопасности веб-сайтов в IIS см. в документации по IIS (в разделе "См. также").

Следующая схема показывает, как работает Windows PowerShell Web Access.

Содержание раздела:

• Требования для запуска веб-доступа Windows PowerShell

• Поддержка браузеров и клиентских устройств

• Рекомендованная схема (быстрого) развертывания

• Пользовательское развертывание

• Настройка подлинного сертификата

Требования для запуска веб-доступа Windows PowerShell

Windows PowerShell Web Access требует, чтобы на сервере, где должен работать шлюз, были установлены Web Server (IIS), .NET Framework 4.5 и Windows PowerShell 3.0 или Windows PowerShell 4.0.Windows PowerShell Web Access можно установить на сервере, где выполняется Windows Server 2012 R2 или Windows Server 2012. Для этого нужно воспользоваться Мастер добавления ролей и компонентов в Диспетчер серверов или командлетами развертывания Windows PowerShell в Диспетчер серверов. При установке Windows PowerShell Web Access с помощью Диспетчер серверов или командлетов развертывания необходимые роли и компоненты добавляются автоматически в процессе установки.

Windows PowerShell Web Access позволяет удаленным пользователям получать доступ к компьютерам в вашей организации, используя Windows PowerShell в веб-браузере. Хотя Windows PowerShell Web Access является удобным и мощным инструментом управления, доступ через Интернет связан с рисками для безопасности и должен настраиваться с максимально возможной безопасностью. Мы рекомендуем администраторам, настраивающим шлюз Windows PowerShell Web Access, использовать как уровни безопасности, доступные в правилах авторизации на основе командлетов, включаемых в Windows PowerShell Web Access, так и уровни безопасности, доступные в веб-сервере (IIS) и приложениях сторонних производителей. В данную документацию включены как небезопасные примеры, которые рекомендуются только для тестовых сред, так и примеры, рекомендуемые для безопасного развертывания.

Поддержка браузеров и клиентских устройств

Windows PowerShell Web Access поддерживает следующие браузеры. Хотя браузеры для мобильных устройств официально не поддерживаются, многие их них могут выполнять веб-консоль Windows PowerShell. Ожидается, что другие браузеры, которые принимают файлы cookie, выполняют JavaScript и выполняют веб-сайты HTTPS, также будут работать, но официально они не протестированы.

Поддерживаемые браузеры для настольных компьютеров

• Windows® Internet Explorer® для Microsoft Windows® 8.0, 9.0, 10.0 и 11.0

• Mozilla Firefox® 10.0.2

• Google Chrome™ 17.0.963.56m для Windows

• Apple Safari® 5.1.2 для Windows

• Apple Safari 5.1.2 для Mac OS®

Минимально протестированные мобильные устройства или браузеры

• Windows Phone 7 и 7.5

• Google Android WebKit 3.1 Browser Android 2.2.1 (Kernel 2.6)

• Apple Safari для операционной системы 5.0.1 для iPhone

• Apple Safari для операционной системы 5.0.1 для iPad 2

Требования к браузерам

Чтобы использовать веб-консоль Windows PowerShell Web Access, браузеры должны иметь следующие возможности.

• Разрешать файлы cookie с веб-сайта шлюза Windows PowerShell Web Access.

• Открывать и читать HTTPS-страницы.

• Открывать и выполнять веб-сайты, использующие JavaScript.

Рекомендованная схема (быстрого) развертывания

Можно установить шлюз Windows PowerShell Web Access на сервере, на котором выполняется Windows Server 2012 R2 или Windows Server 2012, с помощью командлетов Windows PowerShell или Мастер добавления ролей и компонентов, который открывается из Диспетчер серверов. Для быстрой установки и конфигурации воспользуйтесь командлетами Windows PowerShell, как описано в этом разделе.

• Шаг 1. Установка Windows PowerShell Web Access

• Шаг 2. Настройка шлюза

• Шаг 3. Настройка ограничивающего правила авторизации

Шаг 1. Установка Windows PowerShell Web Access

Установка Windows PowerShell Web Access с помощью командлетов Windows PowerShell

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами пользователя.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и выберите команду Запустить от имени администратора.

   • На экране Пуск Windows щелкните правой кнопкой мыши Windows PowerShell, а затем щелкните Запустить от имени администратора.

   Примечание

   В Windows PowerShell 3.0 и 4.0 не нужно импортировать модуль командлета Диспетчер серверов в сеанс Windows PowerShell перед запуском командлетов, которые являются частью этого модуля. Модуль автоматически импортируется при первом выполнении командлета, входящего в модуль. При вводе командлетов Windows PowerShell регистр не учитывается.

2. Введите следующую команду и нажмите клавишу ВВОД, где имя_компьютера представляет имя удаленного компьютера, на который требуется установить Windows PowerShell Web Access, если это применимо. Параметр Restart автоматически перезапускает целевой сервер при необходимости.

   Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart
   

   Примечание

   При установке Windows PowerShell Web Access с помощью командлетов Windows PowerShell инструменты управления веб-сервером (IIS) не добавляются по умолчанию. Если требуется установить инструменты управления на тот же сервер, на котором выполняется шлюз Windows PowerShell Web Access, добавьте в команду установки параметр IncludeManagementTools (как делается на этом шаге). Если управление веб-сайтом Windows PowerShell Web Access осуществляется с удаленного компьютера, установите оснастку "Диспетчер служб IIS", установив набор инструментов Remote Server Administration Tools для Windows 8.1 или Remote Server Administration Tools для Windows 8 на компьютере, с которого будет осуществляться управление шлюзом.

   Чтобы установить роли и компоненты на автономный виртуальный жесткий диск (VHD), необходимо добавить оба параметра, ComputerName и VHD. Параметр ComputerName содержит имя сервера, на котором следует подключить виртуальный жесткий диск, а параметр VHD — путь к VHD-файлу на указанном сервере.

   Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
   

3. Когда установка завершена, убедитесь, что Windows PowerShell Web Access установлен на целевых серверах, запустив командлет Get-WindowsFeature на целевом сервере в консоли Windows PowerShell, которая была открыта с повышенными правами пользователя. Можно также проверить установку Windows PowerShell Web Access в консоли Диспетчер серверов, выбрав целевой сервер на странице Все серверы, а затем просмотрев плитку Роли и компоненты для выбранного сервера. Можно также просмотреть файл сведений для Windows PowerShell Web Access.

4. После завершения установки Windows PowerShell Web Access выводится приглашение прочитать файл сведений, содержащий основные инструкции по установке шлюза. Эти инструкции по настройке также можно найти в разделе Шаг 2. Настройка шлюза. Путь к файлу сведений: C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Шаг 2. Настройка шлюза

Командлет Install-PswaWebApplication позволяет быстро выполнить настройку Windows PowerShell Web Access. Хотя можно добавить параметр UseTestCertificate в командлет Install-PswaWebApplication, чтобы установить самозаверяющий SSL-сертификат для целей тестирования, это небезопасно. Для безопасной производственной среды всегда используйте действительный SSL-сертификат, подписанный центром сертификации. Администраторы могут заменить тестовый сертификат на подписанный сертификат по своему выбору с помощью консоли "Диспетчер служб IIS".

Вы можете завершить настройку веб-приложения Windows PowerShell Web Access либо с помощью командлета Install-PswaWebApplication, либо выполнив шаги по настройке через пользовательский интерфейс в диспетчере служб IIS. По умолчанию командлет устанавливает веб-приложение pswa (и пул приложений для него, pswa_pool) в контейнер Веб-сайт по умолчанию, как показано в диспетчере служб IIS. Если требуется, вы можете изменить в командлете контейнер сайта по умолчанию для веб-приложения. Диспетчер служб IIS предлагает параметры настройки, доступные для веб-приложений, например, изменение номера порта или SSL-сертификата.

Безопасность Примечание
Мы настоятельно рекомендуем администраторам настраивать шлюз на использование действительного сертификата, подписанного центром сертификации.

• Настройка шлюза Windows PowerShell Web Access с тестовым сертификатом с помощью Install-PswaWebApplication

• Настройка шлюза Windows PowerShell Web Access с подлинным сертификатом с использованием командлета Install-PswaWebApplication и диспетчера IIS

Настройка шлюза Windows PowerShell Web Access с тестовым сертификатом с помощью Install-PswaWebApplication

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач.

   • На экране Пуск Windows щелкните Windows PowerShell.

2. Введите следующую команду и нажмите клавишу ВВОД:

   Install-PswaWebApplication -UseTestCertificate

   Безопасность Примечание
   Параметр UseTestCertificate следует использовать только в частной тестовой среде. Для безопасной производственной среды мы рекомендуем использовать действительный сертификат, подписанный центром сертификации.

   При выполнении командлета устанавливается веб-приложение Windows PowerShell Web Access в контейнер IIS "Веб-сайт по умолчанию". Этот командлет создает инфраструктуру, необходимую для выполнения Windows PowerShell Web Access на веб-сайте по умолчанию https://<имя_сервера>/pswa. Чтобы установить веб-приложение на другой веб-сайт, введите имя веб-сайта, добавив параметр WebSiteName. Чтобы изменить имя веб-приложения (по умолчанию pswa), добавьте параметр WebApplicationName.

   Следующие параметры настраиваются при выполнении командлета. Если требуется, вы можете изменить их вручную в консоли "Диспетчер служб IIS".

   • Path: /pswa

   • ApplicationPool: pswa_pool

   • EnabledProtocols: http

   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

   Пример: Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificate

   В этом примере полученный веб-сайт для Windows PowerShell Web Access имеет вид https://< имя_сервера>/myWebApp.

   Примечание

   Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации. Дополнительные сведения см. в статьях Шаг 3. Настройка ограничивающего правила авторизации и Правила авторизации и средства безопасности Windows PowerShell Web Access.

Настройка шлюза Windows PowerShell Web Access с подлинным сертификатом с использованием командлета Install-PswaWebApplication и диспетчера IIS

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач.

   • На экране Пуск Windows щелкните Windows PowerShell.

2. Введите следующую команду и нажмите клавишу ВВОД:

   Install-PswaWebApplication

   Следующие параметры шлюза настраиваются при выполнении командлета. Если требуется, вы можете изменить их вручную в консоли "Диспетчер служб IIS". Можно также указать значения параметров WebsiteName и WebApplicationName в командлете Install-PswaWebApplication.

   • Path: /pswa

   • ApplicationPool: pswa_pool

   • EnabledProtocols: http

   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

3. Откройте консоль "Диспетчер служб IIS", выполнив одно из следующих действий.

   • На рабочем столе Windows запустите Диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows. В меню Сервис в Диспетчер серверов щелкните Диспетчер Internet Information Services (IIS).

   • На экране Пуск в Windows выберите Диспетчер серверов.

4. В панели дерева диспетчера служб IIS развертывайте узел для сервера, на котором установлен Windows PowerShell Web Access, пока не станет видимой папка Сайты. Разверните папку Сайты.

5. Выберите веб-сайт, в котором было установлено веб-приложение Windows PowerShell Web Access. В панели Действия щелкните Привязки.

6. В диалоговом окне Привязки сайта щелкните Добавить.

7. В диалоговом окне Добавление привязки сайта выберите в поле Тип значение https.

8. В поле Сертификат SSL выберите ваш подписанный сертификат в раскрывающемся меню. Нажмите кнопку ОК. Дополнительные сведения о получении сертификата см. в теме Настройка SSL-сертификата в диспетчере служб IIS этого раздела.

   Теперь веб-приложение Windows PowerShell Web Access настроено на использование вашего подписанного сертификата. Чтобы получить доступ к Windows PowerShell Web Access, откройте https://<имя_сервера>/pswa в окне браузера.

   Примечание

   Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации. Дополнительные сведения см. в статьях Шаг 3. Настройка ограничивающего правила авторизации и Правила авторизации и средства безопасности Windows PowerShell Web Access.

Шаг 3. Настройка ограничивающего правила авторизации

После установки Windows PowerShell Web Access и настройки шлюза пользователи могут открывать страницу входа в браузере, но они не могут выполнить вход, пока администратор Windows PowerShell Web Access не предоставит им доступ в явном виде. Управление доступом в Windows PowerShell Web Access осуществляется с помощью набора командлетов Windows PowerShell, описанных в следующей таблице. Нет соответствующего графического пользовательского интерфейса для добавления правил авторизации или управления ими. Более подробные сведения о командлетах Windows PowerShell Web Access см. в справочных разделах о командлетах Командлеты Windows PowerShell Web Access.

Дополнительные сведения о правилах авторизации Windows PowerShell Web Access и безопасности см. в разделе Правила авторизации и средства безопасности Windows PowerShell Web Access.

Добавление ограничивающего правила авторизации

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами пользователя.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и выберите команду Запустить от имени администратора.

   • На экране Пуск Windows щелкните правой кнопкой мыши Windows PowerShell, а затем щелкните Запустить от имени администратора.

2. Необязательный шаг для ограничения пользовательского доступа путем использования конфигураций сеансов: Убедитесь, что конфигурации сеансов, которые требуется использовать в правилах, уже существуют. В противном случае выполните инструкции по созданию конфигураций сеансов, приведенные в статье О файлах конфигурации сеансов на сайте MSDN.

3. Введите следующую команду и нажмите клавишу ВВОД:

   Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
   

   Это правило авторизации разрешает конкретному пользователю доступ к одному сетевому компьютеру, к которому обычно требуется доступ, с доступом к конкретной конфигурации сеанса, область которого соответствует потребностям пользовательских скриптов и командлетов. В следующем примере пользователю с именем JSmith в домене Contoso предоставляется доступ для управления компьютером Contoso_214 и использования конфигурации сеанса с именем NewAdminsOnly.

   Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
   

4. Убедитесь, что правило создано, выполнив командлет Get-PswaAuthorizationRule или Test-PswaAuthorizationRule -UserName <домен\пользователь или компьютер\пользователь> -ComputerName <имя_компьютера>. Например, Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

После настройки правила авторизации авторизованные пользователи могут выполнить вход в веб-консоль и приступить к использованию Windows PowerShell Web Access.

Пользовательское развертывание

Можно установить шлюз Windows PowerShell Web Access на сервере, где выполняется Windows Server 2012 R2 или Windows Server 2012, воспользовавшись командлетом Мастер добавления ролей и компонентов в Диспетчер серверов. После установки Windows PowerShell Web Access можно настроить конфигурацию шлюза в диспетчере IIS.

Шаг 1. Установка Windows PowerShell Web Access

Установка Windows PowerShell Web Access с помощью мастера добавления ролей и компонентов

1. Если Диспетчер серверов уже открыт, переходите к следующему шагу. Если Диспетчер серверов не открыт, откройте его одним из следующих способов.

   • На рабочем столе Windows запустите Диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows.

   • На экране Пуск в Windows выберите Диспетчер серверов.

2. В меню Управление выберите команду Добавить роли и компоненты.

3. На странице Выбор типа установки выберите Установка ролей или компонентов. Нажмите кнопку Далее.

4. На странице Выбор целевого сервера выберите сервер из пула серверов или автономный виртуальный жесткий диск. Чтобы выбрать автономный виртуальный жесткий диск в качестве конечного сервера, сначала выберите сервер, на котором будет подключен виртуальный жесткий диск, а затем выберите VHD-файл. Сведения о способах добавления серверов в пул серверов см. в справке Диспетчер серверов. Выбрав конечный сервер, нажмите кнопку Далее.

5. На странице Выбор компонентов мастера разверните узел Windows PowerShell и выберите Windows PowerShell Web Access.

6. Отметим, что выводится приглашение добавить необходимые компоненты, такие как .NET Framework 4.5 и службы ролей веб-сервера (IIS). Добавьте необходимые компоненты и продолжайте работу.

   Примечание

   При установке Windows PowerShell Web Access с помощью Мастер добавления ролей и компонентов также устанавливается веб-сервер (IIS), в том числе оснастка "Диспетчер служб IIS". Если используется Мастер добавления ролей и компонентов, оснастка и другие инструменты управления IIS устанавливаются по умолчанию. При установке Windows PowerShell Web Access с помощью командлетов Windows PowerShell, как описано в следующей процедуре, инструменты управления не устанавливаются по умолчанию.

7. На странице Подтверждение выбранных элементов для установки, если файлы компонентов для Windows PowerShell Web Access не сохраняются на целевом сервере, выбранном на шаге 4, щелкните Указать альтернативный исходный путь и укажите путь к файлам компонентов. В противном случае щелкните Установить.

8. После щелчка Установить на странице Ход установки отображаются ход выполнения установки, результаты и сообщения, такие как предупреждения, сообщения об ошибках и шаги по настройке после установки, необходимые для Windows PowerShell Web Access. После завершения установки Windows PowerShell Web Access выводится приглашение прочитать файл сведений, содержащий основные инструкции по установке шлюза. Эти инструкции также являются частью этого раздела. Путь к файлу сведений: C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Шаг 2. Настройка шлюза

Этот раздел содержит инструкции по установке веб-приложения Windows PowerShell Web Access в подкаталог, а не в коренной каталог веб-сайта. Данная процедура, выполняемая через пользовательский интерфейс, эквивалентна действиям, выполняемым с помощью командлета Install-PswaWebApplication. В раздел также включены инструкции по использованию диспетчера служб IIS для настройки шлюза Windows PowerShell Web Access в качестве корневого веб-сайта.

• Использование диспетчера служб IIS для настройки шлюза в существующем веб-сайте

• Использование диспетчера служб IIS для настройки шлюза в качестве корневого веб-сайта с тестовым сертификатом

Использование диспетчера служб IIS для настройки шлюза в существующем веб-сайте

1. Откройте консоль "Диспетчер служб IIS", выполнив одно из следующих действий.

   • На рабочем столе Windows запустите Диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows. В меню Сервис в Диспетчер серверов щелкните Диспетчер Internet Information Services (IIS).

   • На экране Пуск Windows введите любую часть имени Диспетчер Internet Information Services (IIS). Щелкните ярлык, когда он появится в списке результатов Приложения.

2. Создайте новый пул приложений для Windows PowerShell Web Access. Разверните узел сервера шлюза в панели дерева диспетчера служб IIS, выберите Пулы приложений и щелкните Добавить пул приложений в панели Действия.

3. Добавьте новый пул приложений с именем pswa_pool или укажите другое имя. Нажмите кнопку ОК.

4. В панели дерева диспетчера служб IIS развертывайте узел для сервера, на котором установлен Windows PowerShell Web Access, пока не станет видимой папка Сайты. Выберите папку Сайты.

5. Щелкните правой кнопкой мыши веб-сайт (например, Веб-сайт по умолчанию), в который следует добавить веб-сайт Windows PowerShell Web Access, а затем щелкните Добавить приложение.

6. В поле Псевдоним введите pswa или укажите другой псевдоним. Псевдоним становится именем виртуального каталога. Так pswa в следующем URL-адресе представляет псевдоним, заданный в этом шаге: https://<имя_сервера>/pswa.

7. В поле Пул приложений выберите пул приложений, созданный на шаге 3.

8. В поле Физический путь найдите расположение приложения. Можно использовать расположение по умолчанию %windir%/Web/PowerShellWebAccess/wwwroot. Нажмите кнопку ОК.

9. Следуйте инструкциями в процедуре Настройка SSL-сертификата в диспетчере служб IIS этого раздела.

10. Необязательный шаг для обеспечения безопасности: если веб-сайт выбран в панели дерева, дважды щелкните Параметры SSL в панели содержимого. Выберите Требовать SSL, а затем в панели Действия щелкните Применить. Дополнительно в панели Параметры SSL можно потребовать, чтобы пользователи, подключающиеся к веб-сайту Windows PowerShell Web Access, имели клиентские сертификаты. Клиентские сертификаты помогают проверить идентификацию пользователя клиентского устройства. Дополнительные сведения о повышении безопасности Windows PowerShell Web Access благодаря обязательному использованию клиентских сертификатов см. в разделе Правила авторизации и средства безопасности Windows PowerShell Web Access данного руководства.

11. Откройте сеанс браузера на клиентском устройстве. Дополнительные сведения о поддерживаемых браузерах и устройствах см. в статье Поддержка браузеров и клиентских устройств этого раздела.

12. Откройте новый веб-сайт Windows PowerShell Web Access, https://< имя_сервера_шлюза>/pswa.

    В браузере должна отображаться страница входа консоли Windows PowerShell Web Access.

    Примечание

    Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации.

13. В сеансе Windows PowerShell, который был открыт с повышенными правами пользователя (Запустить от имени администратора), выполните следующий скрипт, в котором имя_пула_приложений представляет имя пула приложений, который был создан на шаге 3, чтобы предоставить пулу приложений права доступа к файлу авторизации.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Чтобы просмотреть права доступа к файлу авторизации, выполните следующую команду:

    c:\windows\system32\icacls.exe $authorizationFile
    

Использование диспетчера служб IIS для настройки шлюза в качестве корневого веб-сайта с тестовым сертификатом

1. Откройте консоль "Диспетчер служб IIS", выполнив одно из следующих действий.

   • На рабочем столе Windows запустите Диспетчер серверов, щелкнув Диспетчер серверов на панели задач Windows. В меню Сервис в Диспетчер серверов щелкните Диспетчер Internet Information Services (IIS).

   • На экране Пуск Windows введите любую часть имени Диспетчер Internet Information Services (IIS). Щелкните ярлык, когда он появится в списке результатов Приложения.

2. В панели дерева диспетчера служб IIS развертывайте узел для сервера, на котором установлен Windows PowerShell Web Access, пока не станет видимой папка Сайты. Выберите папку Сайты.

3. В панели Действия щелкните Добавить веб-сайт.

4. Введите имя веб-сайта, например Windows PowerShell Web Access.

5. Автоматически создается пул приложений для нового веб-сайта. Чтобы использовать другой пул приложений, щелкните Выбрать, чтобы выбрать пул приложений, связываемый с новым веб-сайтом. Выберите другой пул приложений в диалоговом окне Выбор пула приложений и щелкните ОК.

6. В поле Физический путь перейдите к %windir%/Web/PowerShellWebAccess/wwwroot.

7. В поле Тип в области Привязка выберите https.

8. Назначьте веб-сайту номер порта, который еще не используется другим сайтом или приложением. Чтобы найти открытые порты, можно выполнить команду netstat в окне командной строки. Номер порта по умолчанию: 443.

   Измените номер порта по умолчанию, если порт 443 уже используется другим веб-сайтом или имеются другие соображения безопасности для изменения номера порта. Если выбранный вами порт используется другим веб-сайтом, который выполняется на вашем сервере шлюза, при нажатии кнопки ОК выводится предупреждение в диалоговом окне Добавление веб-сайта. Для выполнения Windows PowerShell Web Access необходимо использовать незанятый порт.

9. Дополнительно, если требуется для вашей организации, укажите имя узла, имеющего смысл для вашей организации, например www.contoso.com. Нажмите кнопку ОК.

10. Чтобы обезопасить производственную среду, мы настоятельно рекомендуем предоставить действительный сертификат, подписанный центром сертификации. Вы должны предоставить SSL-сертификат, поскольку пользователи могут подключаться к Windows PowerShell Web Access только через веб-сайт HTTPS. Дополнительные сведения о получении сертификата см. в теме Настройка SSL-сертификата в диспетчере служб IIS этого раздела.

11. Щелкните ОК, чтобы закрыть диалоговое окно Добавление веб-сайта.

12. В сеансе Windows PowerShell, который был открыт с повышенными правами пользователя ("Запустить от имени администратора"), выполните следующий скрипт, в котором имя_пула_приложений представляет имя пула приложений, который был создан на шаге 4, чтобы предоставить пулу приложений права доступа к файлу авторизации.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Чтобы просмотреть права доступа к файлу авторизации, выполните следующую команду:

    c:\windows\system32\icacls.exe $authorizationFile
    

13. Когда новый веб-сайт выбран в панели дерева диспетчера служб IIS, щелкните Запуск в панели Действия, чтобы запустить веб-сайт.

14. Откройте сеанс браузера на клиентском устройстве. Дополнительные сведения о поддерживаемых браузерах и устройствах см. в статье Поддержка браузеров и клиентских устройств этого документа.

15. Откройте новый веб-сайт Windows PowerShell Web Access.

    Поскольку корневой веб-сайт указывает на папку Windows PowerShell Web Access, в браузере при открытии https://< имя_сервера_шлюза> должна открываться страница входа Windows PowerShell Web Access. Нет необходимости добавлять /pswa в URL-адрес.

    Примечание

    Вы не можете выполнить вход до предоставления пользователям доступа к веб-сайту с помощью добавления прав авторизации.

Шаг 3. Настройка ограничивающего правила авторизации

После установки Windows PowerShell Web Access и настройки шлюза пользователи могут открывать страницу входа в браузере, но они не могут выполнить вход, пока администратор Windows PowerShell Web Access не предоставит им доступ в явном виде. Управление доступом в Windows PowerShell Web Access осуществляется с помощью набора командлетов Windows PowerShell, описанных в следующей таблице. Нет соответствующего графического пользовательского интерфейса для добавления правил авторизации или управления ими. Более подробные сведения о командлетах Windows PowerShell Web Access см. в справочных разделах о командлетах Командлеты Windows PowerShell Web Access.

Дополнительные сведения о правилах авторизации Windows PowerShell Web Access и безопасности см. в разделе Правила авторизации и средства безопасности Windows PowerShell Web Access.

Добавление ограничивающего правила авторизации

1. Выполните одно из следующих действий, чтобы открыть сеанс Windows PowerShell с повышенными правами пользователя.

   • На рабочем столе Windows щелкните правой кнопкой мыши Windows PowerShell на панели задач и выберите команду Запустить от имени администратора.

   • На экране Пуск Windows щелкните правой кнопкой мыши Windows PowerShell, а затем щелкните Запустить от имени администратора.

2. Необязательный шаг для ограничения пользовательского доступа путем использования конфигураций сеансов: Убедитесь, что конфигурации сеансов, которые требуется использовать в правилах, уже существуют. В противном случае выполните инструкции по созданию конфигураций сеансов, приведенные в статье О файлах конфигурации сеансов на сайте MSDN.

3. Введите следующую команду и нажмите клавишу ВВОД:

   Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
   

   Это правило авторизации разрешает конкретному пользователю доступ к одному сетевому компьютеру, к которому обычно требуется доступ, с доступом к конкретной конфигурации сеанса, область которого соответствует потребностям пользовательских скриптов и командлетов. В следующем примере пользователю с именем JSmith в домене Contoso предоставляется доступ для управления компьютером Contoso_214 и использования конфигурации сеанса с именем NewAdminsOnly.

   Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
   

4. Убедитесь, что правило создано, выполнив командлет Get-PswaAuthorizationRule или Test-PswaAuthorizationRule -UserName <домен\пользователь или компьютер\пользователь> -ComputerName <имя_компьютера>. Например, Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

После настройки правила авторизации авторизованные пользователи могут выполнить вход в веб-консоль и приступить к использованию Windows PowerShell Web Access.

Настройка подлинного сертификата

Для безопасной производственной среды следует всегда использовать действительный сертификат SSL, подписанный центром сертификации (ЦС). В этом разделе описано, как получить и установить действительный SSL-сертификат от центра сертификации.

Настройка SSL-сертификата в диспетчере служб IIS

1. В панели дерева диспетчера служб IIS выберите сервер, на который установлен Windows PowerShell Web Access.

2. В панели содержимого дважды щелкните Сертификаты сервера.

3. В панели Действия выполните одно из следующих действий. Дополнительные сведения о настройке сертификатов сервера в IIS см. в статье Настройка сертификатов сервера в IIS 7.

   • Щелкните Импорт, чтобы импортировать существующий действительный сертификат из расположения в вашей сети.

   • Щелкните Создать запрос сертификата, чтобы запросить сертификат из центра сертификации, например, из VeriSign™, Thawte или GeoTrust®. Общее имя сертификата должно совпадать с заголовком узла в запросе. Например, если браузер клиента запрашивает https://www.contoso.com/, общим именем также должно быть https://www.contoso.com/. Это самый безопасный и рекомендуемый вариант предоставления сертификата для шлюза Windows PowerShell Web Access.

   • Щелкните Создать самозаверяющий сертификат, чтобы создать сертификат, который можно использовать немедленно, а при необходимости подписать в ЦС позже. Введите понятное имя самозаверяющего сертификата, например Windows PowerShell Web Access. Этот вариант не считается безопасным и рекомендуется только для частной тестовой среды.

4. После создания или получения сертификата выберите веб-сайт, к которому применяется сертификат (например, Веб-сайт по умолчанию) в панели дерева диспетчера служб IIS, а затем щелкните Привязки в панели Действия.

5. В диалоговом окне Добавление привязки сайта добавьте привязку https для сайта, если такая привязка еще не отображается. Если вы не используете самозаверяющий сертификат, укажите имя узла из шага 3 данной процедуры. Если вы используете самозаверяющий сертификат, этот шаг не требуется.

6. Выберите сертификат, полученный или созданный на шаге 3 данной процедуры, и щелкните ОК.

Использование веб-консоли Windows PowerShell

После установки Windows PowerShell Web Access и завершения настройки шлюза, описанной в этой статье, веб-консоль Windows PowerShell готова к использованию. Дополнительные сведения о начале работы с веб-консолью см. в статье Использование веб-консоли Windows PowerShell.

См. также

Документация Internet Information Services (IIS) 7.0
Справка IIS Manager 7.0
Настройка безопасности веб-сервера (IIS 7)
Ресурсы развертывания IPsec