Implantar o Windows PowerShell Web Access

Aplica-se a: Windows Server 2012, Windows Server 2012 R2

O Acesso via Web do Windows PowerShell®, apresentado pela primeira vez no Windows Server ® 2012, atua como gateway do Usando o Windows PowerShell, fornecendo um console do Usando o Windows PowerShell baseado na Web e direcionado a um computador remoto. Ele permite aos profissionais de TI executar comandos e scripts do Usando o Windows PowerShell a partir de um console do Usando o Windows PowerShell em um navegador da Web, sem necessidade de instalar o Usando o Windows PowerShell, software de gerenciamento remoto ou plug-in de navegador no dispositivo cliente. Para executar o console do Usando o Windows PowerShell baseado na Web, basta um gateway do Windows PowerShell Web Access devidamente configurado e um navegador de dispositivo cliente que dê suporte a JavaScript® e aceite cookies.

Exemplos de dispositivos clientes: laptops, computadores pessoais não usados para trabalho, computadores emprestados, tablets, quiosques Web, computadores que não executam sistemas operacionais baseados em Windows e navegadores de celulares. Os profissionais de TI podem realizar tarefas essenciais de gerenciamento em servidores remotos baseados em Windows a partir de dispositivos com acesso a uma conexão com a Internet e um navegador da Web.

Depois de instalar e configurar o gateway, os usuários podem acessar um console do Usando o Windows PowerShell usando um navegador da Web. Quando os usuários abrem o site seguro do Windows PowerShell Web Access, eles podem executar um console do Usando o Windows PowerShell baseado na Web após autenticação bem-sucedida.

O processo de instalação e configuração do Windows PowerShell Web Access inclui três etapas:

1. Instalando o Windows PowerShell Web Access

2. Configurando o gateway

3. Configurando regras de autorização que permitem acesso de usuários ao console do Usando o Windows PowerShell baseado na Web

Antes de instalar e configurar o Windows PowerShell Web Access, recomendamos ler todo este guia, o qual inclui instruções sobre como instalar, proteger e desinstalar o Windows PowerShell Web Access. O tópico Usar o Console do Windows PowerShell baseado na Web descreve como os usuários entram no console baseado na Web, além de abordar as limitações e as diferenças entre o console do Usando o Windows PowerShell baseado na web e o console powershell.exe. Os usuários finais do console baseado na Web devem ler Usar o Console do Windows PowerShell baseado na Web, mas não precisam ler o restante deste guia.

Este tópico não fornece diretrizes detalhadas para operações de Servidor Web (IIS). Ele contém apenas as etapas necessárias para configurar o gateway do Windows PowerShell Web Access, como descrito aqui. Para obter mais informações sobre como configurar e proteger sites no IIS, consulte os recursos da documentação do IIS na seção Consulte também.

O diagrama a seguir mostra como o Windows PowerShell Web Access funciona.

Neste tópico:

• Requisitos de execução do Windows PowerShell Web Access

• Suporte a navegadores e dispositivos clientes

• Implantação (rápida) recomendada

• Implantação personalizada

• Configurar um certificado original

Requisitos de execução do Windows PowerShell Web Access

O Windows PowerShell Web Access requer que o Servidor Web (IIS), o .NET Framework 4.5 e o Usando o Windows PowerShell 3.0 ou o Usando o Windows PowerShell 4.0 estejam em execução no servidor no qual você deseja executar o gateway. Você pode instalar o Windows PowerShell Web Access em um servidor que executa o Windows Server 2012 R2 ou o Windows Server 2012 usando o Assistente de Adição de Funções e Recursos no Gerenciador do Servidor ou os cmdlets de implantação do Usando o Windows PowerShell para Gerenciador do Servidor. Quando você instalar o Windows PowerShell Web Access usando o Gerenciador do Servidor ou seus cmdlets de implantação, as funções e os recursos necessários serão automaticamente adicionados como parte do processo de instalação.

O Windows PowerShell Web Access permite que usuários remotos acessem computadores em sua organização usando o Usando o Windows PowerShell em um navegador da Web. Embora o Windows PowerShell Web Access seja uma ferramenta de gerenciamento avançada e conveniente, o acesso baseado na Web impõe riscos à segurança e deve ser configurado da maneira mais segura possível. Recomendamos que os administradores que configuram o gateway do Windows PowerShell Web Access usem as camadas de segurança disponíveis, as regras de autorização baseada em cmdlets incluídas no Windows PowerShell Web Access e as camadas de segurança disponíveis no Servidor Web (IIS) e em aplicativos de terceiros. Esta documentação inclui exemplos desprotegidos, recomendados apenas para ambientes de teste, além de exemplos recomendados para implantações seguras.

Suporte a navegadores e dispositivos clientes

O Windows PowerShell Web Access dá suporte aos navegadores da Internet a seguir. Embora os navegadores móveis não tenham suporte oficial, muitos podem ser executados no console do Usando o Windows PowerShell baseado na Web. É provável que outros navegadores que aceitam cookies, executam JavaScript e abrem sites HTTPS funcionam, mas não foram oficialmente testados.

Navegadores de desktop compatíveis

• Windows® Internet Explorer® para Microsoft Windows® 8.0, 9.0, 10.0 e 11.0

• Mozilla Firefox® 10.0.2

• Google Chrome™ 17.0.963.56m para Windows

• Apple Safari® 5.1.2 para Windows

• Apple Safari 5.1.2 para Mac OS®

Dispositivos ou navegadores móveis minimamente testados

• Windows Phone 7 e 7.5

• Navegador Google Android WebKit 3.1 Android 2.2.1 (Kernel 2.6)

• Apple Safari para iPhone com sistema operacional 5.0.1

• Apple Safari para iPad 2 com sistema operacional 5.0.1

Requisitos de navegador

Para usar o console do Windows PowerShell Web Access baseado na Web, os navegadores devem executar os procedimentos a seguir.

• Permitir cookies do site do gateway do Windows PowerShell Web Access.

• Ser capazes de abrir e ler páginas HTTPS.

• Abrir e executar sites que usam JavaScript.

Implantação (rápida) recomendada

Você pode instalar o gateway do Windows PowerShell Web Access em um servidor que executa o Windows Server 2012 R2 ou o Windows Server 2012 usando os cmdlets do Usando o Windows PowerShell ou o Assistente de Adição de Funções e Recursos que é aberto no Gerenciador do Servidor. Para uma rápida instalação e configuração, use os cmdlets do Usando o Windows PowerShell, conforme descrito nesta seção.

• Etapa 1: Instalar o Windows PowerShell Web Access

• Etapa 2: configurar o gateway

• Etapa 3: configurar uma regra de autorização restritiva

Etapa 1: Instalar o Windows PowerShell Web Access

Para instalar o Windows PowerShell Web Access usando cmdlets do Windows PowerShell

1. Execute um dos procedimentos a seguir para abrir uma sessão do Usando o Windows PowerShell com direitos de usuário elevados.

   • Na área de trabalho do Windows, clique com o botão direito do mouse no Windows PowerShell na barra de tarefas e clique em Executar como Administrador.

   • Na tela Iniciar do Windows, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como Administrador.

   Dica

   No Usando o Windows PowerShell 3.0 e 4.0, não é preciso importar o módulo de cmdlet do Gerenciador do Servidor para a sessão do Usando o Windows PowerShell antes de executar os cmdlets que fazem parte do módulo. Um módulo é importado automaticamente durante a primeira execução de um cmdlet que faça parte do módulo. Além disso, os cmdlets do Usando o Windows PowerShell não diferenciam maiúsculas de minúsculas.

2. Digite o seguinte e pressione Enter, onde computer_name representa um computador remoto no qual você deseja instalar o Windows PowerShell Web Access, se aplicável. O parâmetro Restart reinicia automaticamente os servidores de destino, se necessário.

   Install-WindowsFeature –Name WindowsPowerShellWebAccess -ComputerName <computer_name> -IncludeManagementTools -Restart
   

   Dica

   A instalação do Windows PowerShell Web Access usando cmdlts do Usando o Windows PowerShell não adiciona ferramentas de gerenciamento do Servidor Web (IIS) por padrão. Para instalar as ferramentas de gerenciamento no mesmo servidor que o gateway do Windows PowerShell Web Access, adicione o parâmetro IncludeManagementTools ao comando de instalação (como fornecido nesta etapa). Se você estiver gerenciando o site do Windows PowerShell Web Access de um computador remoto, instale o snap-in Gerenciador do IIS ao instalar as Ferramentas de Administração de Servidor Remoto do Windows 8.1 ou as Ferramentas de Administração de Servidor Remoto para Windows 8 no computador no qual você deseja gerenciar o gateway.

   Para instalar funções e recursos em um VHD offline, adicione os parâmetros ComputerName e VHD. O parâmetro ComputerName contém o nome do servidor em que será montado o VHD, e o parâmetro VHD contém o caminho para o arquivo VHD no servidor especificado.

   Install-WindowsFeature –Name WindowsPowerShellWebAccess –VHD <path> -ComputerName <computer_name> -IncludeManagementTools -Restart
   

3. Quando a instalação for concluída, verifique se o Windows PowerShell Web Access foi instalado nos servidores de destino executando o cmdlet Get-WindowsFeature em um servidor de destino, em um console do Usando o Windows PowerShell que foi aberto com direitos do usuário elevados. Também é possível verificar se o Windows PowerShell Web Access foi instalado no console do Gerenciador do Servidor selecionando um servidor de destino na página Todos os Servidores e exibindo o bloco Funções e Recursos do servidor selecionado. Você também pode exibir o arquivo Leiame do Windows PowerShell Web Access.

4. Depois que o Windows PowerShell Web Access for instalado, será solicitado que você examine o arquivo Leiame, que contém instruções de configuração básicas e necessárias para o gateway. Estas instruções de configuração também estão na seção a seguir, Etapa 2: configurar o gateway. O caminho para o arquivo Leiame é C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Etapa 2: configurar o gateway

O cmdlet Install-PswaWebApplication é uma maneira rápida de configurar o Windows PowerShell Web Access. Embora seja possível adicionar o parâmetro UseTestCertificate ao cmdlet Install-PswaWebApplication para instalar um certificado SSL autoassinado para fins de teste, isso não é seguro. Para um ambiente de produção seguro, sempre use um certificado SSL válido assinado por uma AC (autoridade de certificação). Os administradores podem substituir o certificado de teste por um certificado assinado de sua preferência usando o console do Gerenciador do IIS.

Você pode concluir a configuração do aplicativo Web Windows PowerShell Web Access executando o cmdlet Install-PswaWebApplication ou seguindo as etapas de configuração baseada em GUI no Gerenciador do IIS. Por padrão, o cmdlet instala o aplicativo Web, o pswa (e um pool de aplicativos para ele, o pswa_pool), no contêiner Site Padrão, como mostrado no Gerenciador do IIS. Se você desejar, pode instruir o cmdlet a alterar o contêiner do site padrão do aplicativo Web. O Gerenciador do IIS oferece opções de configuração disponíveis para aplicativos Web, como alteração do número da porta ou do certificado SSL (Secure Sockets Layer).

Segurança Observação
Recomendamos enfaticamente que os administradores configurem o gateway para usar um certificado válido assinado por uma CA.

• Para configurar o gateway do Windows PowerShell Web Access com um certificado de teste usando Install-PswaWebApplication

• Para configurar o gateway do Windows PowerShell Web Access com um certificado original usando o Install-PswaWebApplication e o Gerenciador do IIS

Para configurar o gateway do Windows PowerShell Web Access com um certificado de teste usando Install-PswaWebApplication

1. Execute uma das etapas a seguir para abrir uma sessão do Usando o Windows PowerShell.

   • Na área de trabalho do Windows, clique com o botão direito do mouse em Windows PowerShell na barra de tarefas.

   • Na tela Iniciar, clique em Windows PowerShell.

2. Digite o seguinte e pressione Enter.

   Install-PswaWebApplication -UseTestCertificate

   Segurança Observação
   O parâmetro UseTestCertificate só deve ser usado em um ambiente de teste privado. Para um ambiente de produção seguro, recomendamos usar um certificado válido assinado por uma AC.

   Quando o cmdlet é executado, o aplicativo Web Windows PowerShell Web Access é instalado dentro do contêiner Site Padrão do IIS. O cmdlet cria a infraestrutura necessária para executar o Windows PowerShell Web Access no site padrão, https://<nome_do_servidor>/pswa. Para instalar o aplicativo Web em outro site, forneça o nome do site adicionando o parâmetro WebSiteName. Para alterar o nome do aplicativo Web (o padrão é pswa), adicione o parâmetro WebApplicationName.

   As configurações a seguir são feitas executando o cmdlet. Você pode alterá-las manualmente no console do Gerenciador do IIS, se desejado.

   • Path: /pswa

   • ApplicationPool: pswa_pool

   • EnabledProtocols: http

   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

   Exemplo: Install-PswaWebApplication –webApplicationName myWebApp –useTestCertificate

   Neste exemplo, o site resultante do Windows PowerShell Web Access é https://<nome_do_servidor>/myWebApp.

   Dica

   Você não poderá fazer logon até que todos os usuários tenham obtido acesso ao site adicionando regras de autorização. Para obter mais informações, consulte Etapa 3: configurar uma regra de autorização restritiva e Regras de autorização e recursos de segurança do Windows PowerShell Web Access.

Para configurar o gateway do Windows PowerShell Web Access com um certificado original usando o Install-PswaWebApplication e o Gerenciador do IIS

1. Execute uma das etapas a seguir para abrir uma sessão do Usando o Windows PowerShell.

   • Na área de trabalho do Windows, clique com o botão direito do mouse em Windows PowerShell na barra de tarefas.

   • Na tela Iniciar, clique em Windows PowerShell.

2. Digite o seguinte e pressione Enter.

   Install-PswaWebApplication

   As configurações de gateway a seguir são feitas executando o cmdlet. Você pode alterá-las manualmente no console do Gerenciador do IIS, se desejado. Também é possível especificar valores para os parâmetros WebsiteName e WebApplicationName do cmdlet Install-PswaWebApplication.

   • Path: /pswa

   • ApplicationPool: pswa_pool

   • EnabledProtocols: http

   • PhysicalPath: %windir%/Web/PowerShellWebAccess/wwwroot

3. Abra o console do Gerenciador do IIS seguindo um destes procedimentos.

   • Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows. No menu Ferramentas no Gerenciador do Servidor, clique em Gerenciador do IIS (Serviços de Informações da Internet).

   • Na tela Iniciar, clique em Gerenciador do Servidor.

4. No painel de árvore do Gerenciador do IIS, expanda o nó do servidor no qual o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Expanda a pasta Sites.

5. Selecione o site no qual você instalou o aplicativo Web Windows PowerShell Web Access. No painel Ações, clique em Associações.

6. Na caixa de diálogo Associações do Site, clique em Adicionar.

7. Na caixa de diálogo Adicionar Associação do Site, no campo Tipo, clique em https.

8. No campo Certificado SSL, selecione o certificado assinado no menu suspenso. Clique em OK. Consulte Para configurar um certificado SSL no Gerenciador do IIS neste tópico para obter mais informações sobre como obter um certificado.

   O aplicativo Web Windows PowerShell Web Access agora está configurado para usar seu certificado SSL assinado. Você pode acessar o Windows PowerShell Web Access ao abrir https://<nome_do_servidor>/pswa em uma janela do navegador.

   Dica

   Você não poderá fazer logon até que todos os usuários tenham obtido acesso ao site adicionando regras de autorização. Para obter mais informações, consulte Etapa 3: configurar uma regra de autorização restritiva e Regras de autorização e recursos de segurança do Windows PowerShell Web Access.

Etapa 3: configurar uma regra de autorização restritiva

Depois que o Windows PowerShell Web Access for instalado e o gateway configurado, os usuários poderão abrir a página de entrada em um navegador, mas só poderão entrar depois que o administrador do Windows PowerShell Web Access conceder a eles acesso explicitamente. O controle de acesso do Windows PowerShell Web Access é gerenciado por meio de um conjunto de cmdlets do Usando o Windows PowerShell descritos na tabela a seguir. Não há uma GUI comparável para adicionar ou gerenciar regras de autorização. Para obter mais informações sobre os cmdlets do Windows PowerShell Web Access, consulte os tópicos de referência dos cmdlets, Windows PowerShell Web Access Cmdlets (Cmdlets do Windows PowerShell Web Access).

Para obter mais detalhes sobre as regras de autorização e a segurança do Windows PowerShell Web Access, consulte Regras de autorização e recursos de segurança do Windows PowerShell Web Access.

Para adicionar uma regra de autorização restritiva

1. Execute um dos procedimentos a seguir para abrir uma sessão do Usando o Windows PowerShell com direitos de usuário elevados.

   • Na área de trabalho do Windows, clique com o botão direito do mouse no Windows PowerShell na barra de tarefas e clique em Executar como Administrador.

   • Na tela Iniciar do Windows, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como Administrador.

2. Etapa opcional para restringir o acesso de usuários usando as configurações de sessão: verifique se as configurações de sessão que você deseja usar em suas regras já existem. Se elas ainda não foram criadas, siga as instruções sobre como criar configurações de sessão em about_Session_Configuration_Files no MSDN.

3. Digite o seguinte e pressione Enter.

   Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
   

   Essa regra de autorização permite que um usuário específico acesse um computador na rede ao qual tipicamente tem acesso, com acesso a uma configuração de sessão específica, voltada para as necessidades típicas de script e cmdlet do usuário. No exemplo a seguir, um usuário nomeado JSmith no domínio Contoso ganha acesso para gerenciar o computador Contoso_214 e usa uma configuração de sessão nomeada NewAdminsOnly.

   Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
   

4. Verifique se a regra foi criada ao executar o cmdlet Get-PswaAuthorizationRule ou Test-PswaAuthorizationRule -UserName <domínio\usuário | computador\usuário> -ComputerName <nome_do_computador>. Por exemplo, Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

Depois de configurar uma regra de autorização, você está pronto para que os usuários autorizados entrem no console baseado na web e comecem a usar o Windows PowerShell Web Access.

Implantação personalizada

Você pode instalar o gateway do Windows PowerShell Web Access em um servidor que executa o Windows Server 2012 R2 ou o Windows Server 2012 usando o Assistente de Adição de Funções e Recursos no Gerenciador do Servidor. Depois de instalar o Windows PowerShell Web Access, você pode personalizar a configuração do gateway no Gerenciador do IIS.

Etapa 1: Instalar o Windows PowerShell Web Access

Para instalar o Windows PowerShell Web Access usando o Assistente para Adicionar Funções e Recursos

1. Se o Gerenciador do Servidor já estiver aberto, vá para a próxima etapa. Se o Gerenciador do Servidor ainda não estiver aberto, abra-o de uma das seguintes maneiras.

   • Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows.

   • Na tela Iniciar, clique em Gerenciador do Servidor.

2. No menu Gerenciar, clique em Adicionar Funções e Recursos.

3. Na página Selecionar tipo de instalação, selecione Instalação baseada em função ou recurso. Clique em Avançar.

4. Na página Selecionar servidor de destino, escolha um servidor no pool de servidores ou um VHD offline. Para selecionar um VHD offline como servidor de destino, primeiro selecione o servidor no qual deseja montar o VHD e selecione o arquivo VHD. Para obter informações sobre como adicionar servidores ao pool de servidores, consulte a Ajuda do Gerenciador do Servidor. Após selecionar o servidor de destino, clique em Avançar.

5. Na página Selecionar recursos do assistente, expanda Windows PowerShell e selecione Windows PowerShell Web Access.

6. O sistema solicitará a adição dos recursos obrigatórios, como o .NET Framework 4.5 e os serviços de função do Servidor Web (IIS). Adicione os recursos obrigatórios e continue.

   Dica

   A instalação do Windows PowerShell Web Access usando o Assistente de Adição de Funções e Recursos também instala o Servidor Web (IIS), inclusive o snap-in Gerenciador do IIS. O snap-in e outras ferramentas de gerenciamento do IIS são instalados por padrão quando o Assistente de Adição de Funções e Recursos é usado. Se você instalar o Windows PowerShell Web Access usando cmdlets do Usando o Windows PowerShell, como descrito no procedimento a seguir, as ferramentas de gerenciamento não serão adicionadas por padrão.

7. Na página Confirmar seleções de instalação, se os arquivos de recursos do Windows PowerShell Web Access não estiverem armazenados no servidor de destino selecionado na etapa 4, clique em Especificar um caminho de origem alternativo e forneça o caminho para os arquivos de recursos. Caso contrário, clique em Instalar.

8. Depois que você clicar em Instalar, a página Progresso da instalação exibirá o progresso, os resultados e as mensagens da instalação, como avisos, falhas ou as etapas de configuração pós-instalação necessárias ao Windows PowerShell Web Access. Depois que o Windows PowerShell Web Access for instalado, será solicitado que você examine o arquivo Leiame, que contém instruções de configuração básicas e necessárias para o gateway. Essas instruções também estão incluídas neste tópico. O caminho para o arquivo Leiame é C:\Windows\Web\PowerShellWebAccess\wwwroot\README.txt.

Etapa 2: configurar o gateway

As instruções nesta seção referem-se à instalação do aplicativo Web Windows PowerShell Web Access em um subdiretório do seu site (não no diretório raiz). Esse procedimento é o equivalente baseado em GUI das ações executadas pelo cmdlet Install-PswaWebApplication. Esta seção também inclui instruções sobre como usar o Gerenciador do IIS para configurar o gateway do Windows PowerShell Web Access como um site raiz.

• Para usar o Gerenciador do IIS a fim de configurar um gateway em um site existente

• Para usar o Gerenciador do IIS a fim de configurar o gateway como site raiz com um certificado de teste

Para usar o Gerenciador do IIS a fim de configurar um gateway em um site existente

1. Abra o console do Gerenciador do IIS seguindo um destes procedimentos.

   • Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows. No menu Ferramentas no Gerenciador do Servidor, clique em Gerenciador do IIS (Serviços de Informações da Internet).

   • Na tela Iniciar do Windows, digite qualquer parte do nome Gerenciador do IIS (Serviços de Informações da Internet). Clique no atalho quando ele for exibido nos resultados de Aplicativos.

2. Crie um novo pool de aplicativos para o Windows PowerShell Web Access. Expanda o nó do servidor de gateway no painel de árvore do Gerenciador do IIS, selecione Pools de Aplicativos e clique em Adicionar Pool de Aplicativos no painel Ações.

3. Adicione um novo pool de aplicativos com o nome pswa_pool ou forneça outro nome. Clique em OK.

4. No painel de árvore do Gerenciador do IIS, expanda o nó do servidor no qual o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Selecione a pasta Sites.

5. Clique com o botão direito do mouse no site (por exemplo, Site Padrão) ao qual você deseja adicionar o site do Windows PowerShell Web Access e clique em Adicionar Aplicativo.

6. No campo Alias, digite pswa ou forneça outro alias. O alias vira o nome do diretório virtual. Por exemplo, o pswa na URL a seguir representa o alias especificado nesta etapa: https://<nome_do_servidor>/pswa.

7. No campo Pool de Aplicativos, selecione o pool de aplicativos criado na etapa 3.

8. No campo Caminho físico, procure o local do aplicativo. Você pode usar a localização padrão, %windir%/Web/PowerShellWebAccess/wwwroot. Clique em OK.

9. Siga as etapas no procedimento Para configurar um certificado SSL no Gerenciador do IIS neste tópico.

10. Etapa opcional de segurança: com o site selecionado no painel de árvore, clique duas vezes em Configurações de SSL no painel de conteúdo. Selecione Exigir SSL e, no painel Ações, clique em Aplicar. Opcionalmente, no painel Configurações de SSL, você pode exigir que os usuários que se conectem ao site do Windows PowerShell Web Access tenham certificados cliente. Os certificados de cliente ajudam a verificar a identidade de um usuário de dispositivo cliente. Para obter mais informações sobre como a exigência de certificados de cliente pode aumentar a segurança do Windows PowerShell Web Access, consulte Regras de autorização e recursos de segurança do Windows PowerShell Web Access neste guia.

11. Abra uma sessão de navegador em um dispositivo cliente. Para obter mais informações sobre os navegadores e dispositivos com suporte, consulte Suporte a navegadores e dispositivos clientes neste tópico.

12. Abra o novo site do Windows PowerShell Web Access, https://<nome_do_servidor_de_gateway>/pswa.

    O navegador exibirá a página de entrada do console do Windows PowerShell Web Access.

    Dica

    Você não poderá fazer logon até que todos os usuários tenham obtido acesso ao site adicionando regras de autorização.

13. Em uma sessão do Usando o Windows PowerShell, aberta com direitos do usuário elevados (Executar como Administrador), execute o script a seguir, no qual application_pool_name representa o nome do pool de aplicativos criado na etapa 3, para conferir ao pool de aplicativos direitos de acesso ao arquivo de autorização.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Para exibir os direitos de acesso existentes relativos ao arquivo de autorização, execute o comando a seguir:

    c:\windows\system32\icacls.exe $authorizationFile
    

Para usar o Gerenciador do IIS a fim de configurar o gateway como site raiz com um certificado de teste

1. Abra o console do Gerenciador do IIS seguindo um destes procedimentos.

   • Na área de trabalho do Windows, inicie o Gerenciador do Servidor clicando em Gerenciador do Servidor na barra de tarefas do Windows. No menu Ferramentas no Gerenciador do Servidor, clique em Gerenciador do IIS (Serviços de Informações da Internet).

   • Na tela Iniciar do Windows, digite qualquer parte do nome Gerenciador do IIS (Serviços de Informações da Internet). Clique no atalho quando ele for exibido nos resultados de Aplicativos.

2. No painel de árvore do Gerenciador do IIS, expanda o nó do servidor no qual o Windows PowerShell Web Access está instalado até que a pasta Sites fique visível. Selecione a pasta Sites.

3. No painel Ações, clique em Adicionar Site.

4. Digite um nome para o site, por exemplo, Windows PowerShell Web Access.

5. Um pool de aplicativos será criado automaticamente para o novo site. Para usar outro pool de aplicativos, clique em Selecionar para selecionar um pool de aplicativos a ser associado ao novo site. Selecione o pool de aplicativos alternativo na caixa de diálogo Selecionar Pool de Aplicativos e clique em OK.

6. Na caixa de texto Caminho físico, navegue até %windir%/Web/PowerShellWebAccess/wwwroot.

7. No campo Tipo da área Associação, selecione https.

8. Atribua um número de porta a um site que ainda não seja usado por outro site ou aplicativo. Para localizar portas abertas, você pode executar o comando netstat em uma janela do Prompt de Comando. O número de porta padrão é 443.

   Altere a porta padrão se outro site já estiver usando 443 ou se tiver outros motivos relativos à segurança para alterar esse número. Se outro site em execução no seu servidor de gateway estiver usando a porta selecionada, um aviso será exibido quando você clicar em OK na caixa de diálogo Adicionar Site. Use uma porta não utilizada para executar o Windows PowerShell Web Access.

9. Opcionalmente, se necessário para sua organização, especifique um nome de host que faça sentido para a organização e para os usuários, como www.contoso.com. Clique em OK.

10. Para um ambiente de produção mais seguro, recomendamos enfaticamente fornecer um certificado válido assinado por uma AC. Forneça um certificado SSL, pois os usuários só podem se conectar ao Windows PowerShell Web Access através de um site HTTPS. Consulte Para configurar um certificado SSL no Gerenciador do IIS neste tópico para obter mais informações sobre como obter um certificado.

11. Clique em OK para fechar a caixa de diálogo Adicionar Site.

12. Em uma sessão do Usando o Windows PowerShell aberta com direitos de usuário elevados (Executar como Administrador), execute o script a seguir, em que nome_do_pool_de_aplicativos representa o nome do pool de aplicativos criado na etapa 4, para conferir ao pool de aplicativos direitos de acesso ao arquivo de autorização.

    $applicationPoolName = "<application_pool_name>"
    $authorizationFile = "C:\windows\web\powershellwebaccess\data\AuthorizationRules.xml"
    c:\windows\system32\icacls.exe $authorizationFile /grant ('"' + "IIS AppPool\$applicationPoolName" + '":R') > $null
    

    Para exibir os direitos de acesso existentes relativos ao arquivo de autorização, execute o comando a seguir:

    c:\windows\system32\icacls.exe $authorizationFile
    

13. Com o novo site selecionado no painel de árvore do Gerenciador do IIS, clique em Iniciar no painel Ações para iniciar o site.

14. Abra uma sessão de navegador em um dispositivo cliente. Para obter mais informações sobre dispositivos e navegadores com suporte, consulte Suporte a navegadores e dispositivos clientes neste documento.

15. Abra o novo site do Windows PowerShell Web Access.

    Como o site raiz aponta para a pasta Windows PowerShell Web Access, o navegador exibirá a página de entrada do Windows PowerShell Web Access quando você abrir https://<nome_do_servidor_de_gateway>. Não será preciso adicionar /pswa à URL.

    Dica

    Você não poderá fazer logon até que todos os usuários tenham obtido acesso ao site adicionando regras de autorização.

Etapa 3: configurar uma regra de autorização restritiva

Depois que o Windows PowerShell Web Access for instalado e o gateway configurado, os usuários poderão abrir a página de entrada em um navegador, mas só poderão entrar depois que o administrador do Windows PowerShell Web Access conceder a eles acesso explicitamente. O controle de acesso do Windows PowerShell Web Access é gerenciado por meio de um conjunto de cmdlets do Usando o Windows PowerShell descritos na tabela a seguir. Não há uma GUI comparável para adicionar ou gerenciar regras de autorização. Para obter mais informações sobre os cmdlets do Windows PowerShell Web Access, consulte os tópicos de referência dos cmdlets, Windows PowerShell Web Access Cmdlets (Cmdlets do Windows PowerShell Web Access).

Para obter mais detalhes sobre as regras de autorização e a segurança do Windows PowerShell Web Access, consulte Regras de autorização e recursos de segurança do Windows PowerShell Web Access.

Para adicionar uma regra de autorização restritiva

1. Execute um dos procedimentos a seguir para abrir uma sessão do Usando o Windows PowerShell com direitos de usuário elevados.

   • Na área de trabalho do Windows, clique com o botão direito do mouse no Windows PowerShell na barra de tarefas e clique em Executar como Administrador.

   • Na tela Iniciar do Windows, clique com o botão direito do mouse em Windows PowerShell e clique em Executar como Administrador.

2. Etapa opcional para restringir o acesso de usuários usando as configurações de sessão: verifique se as configurações de sessão que você deseja usar em suas regras já existem. Se elas ainda não foram criadas, siga as instruções sobre como criar configurações de sessão em about_Session_Configuration_Files no MSDN.

3. Digite o seguinte e pressione Enter.

   Add-PswaAuthorizationRule –UserName <domain\user | computer\user> -ComputerName <computer_name> -ConfigurationName <session_configuration_name>
   

   Essa regra de autorização permite que um usuário específico acesse um computador na rede ao qual tipicamente tem acesso, com acesso a uma configuração de sessão específica, voltada para as necessidades típicas de script e cmdlet do usuário. No exemplo a seguir, um usuário nomeado JSmith no domínio Contoso ganha acesso para gerenciar o computador Contoso_214 e usa uma configuração de sessão nomeada NewAdminsOnly.

   Add-PswaAuthorizationRule –UserName Contoso\JSmith -ComputerName Contoso_214 -ConfigurationName NewAdminsOnly
   

4. Verifique se a regra foi criada ao executar o cmdlet Get-PswaAuthorizationRule ou Test-PswaAuthorizationRule -UserName <domínio\usuário | computador\usuário> -ComputerName <nome_do_computador>. Por exemplo, Test-PswaAuthorizationRule –UserName Contoso\JSmith –ComputerName Contoso_214.

Depois de configurar uma regra de autorização, você está pronto para que os usuários autorizados entrem no console baseado na web e comecem a usar o Windows PowerShell Web Access.

Configurar um certificado original

Para um ambiente de produção seguro, sempre use um certificado SSL válido que foi assinado por uma AC (autoridade de certificação). O procedimento nesta seção descreve como obter e aplicar um certificado SSL válido por meio de uma AC.

Para configurar um certificado SSL no Gerenciador do IIS

1. No painel da árvore Gerenciador do IIS, selecione o servidor no qual o Windows PowerShell Web Access está instalado.

2. No painel de conteúdo, clique duas vezes em Certificados de Servidor.

3. No painel Ações, siga um dos procedimentos a seguir. Para obter mais informações sobre como configurar certificados de servidor no IIS, consulte Configurando certificados de servidor no IIS 7.

   • Clique em Importar para importar um certificado existente válido de um local da sua rede.

   • Clique em Criar Solicitação de Certificado para solicitar um certificado de uma AC, como VeriSign™, Thawte ou GeoTrust®. O nome comum do certificado deve corresponder ao cabeçalho do host na solicitação. Por exemplo, se o navegador do cliente solicitar https://www.contoso.com/, o nome comum também deverá ser https://www.contoso.com/. Esta é a opção mais segura e recomendada para fornecer um certificado ao gateway do Windows PowerShell Web Access.

   • Clique em Criar um Certificado Autoassinado para criar um certificado que você possa usar imediatamente e que possa ser assinado posteriormente pela AC, se desejado. Especifique um nome amigável para o certificado autoassinado, por exemplo, Windows PowerShell Web Access. Essa opção não é considerada segura e é recomendada somente para um ambiente de testes privado.

4. Depois de criar ou obter um certificado, selecione o site ao qual o certificado é aplicado (por exemplo, Site Padrão) no painel de árvore do Gerenciador do IIS e clique em Associações no painel Ações.

5. Na caixa de diálogo Adicionar Associação do Site, adicione uma associação https ao site, caso ainda nenhuma seja exibida. Se você não estiver usando um certificado autoassinado, especifique o nome do host da etapa 3 deste procedimento. Se estiver usando um certificado autoassinado, esta etapa não será necessária.

6. Selecione o certificado obtido ou criado na etapa 3 deste procedimento e clique em OK.

Usando o console do Windows PowerShell baseado na Web

Depois que o Windows PowerShell Web Access é instalado e a configuração do gateway é concluída, como descrito neste tópico, o console do Usando o Windows PowerShell baseado na Web está pronto para uso. Para obter mais informações de introdução ao console baseado na Web, consulte Usar o Console do Windows PowerShell baseado na Web.

Consulte também

Documentação dos Serviços de Informações da Internet (IIS) 7.0
Ajuda do Gerenciador do IIS 7.0
Configurar a segurança do Servidor Web (IIS 7)
Recursos de implantação de IPsec