Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Som standard kan endast AD FS-administratörer utföra AD FS-administration via PowerShell. För många stora organisationer är detta kanske inte en fungerande driftsmodell när du hanterar andra personer, till exempel supportpersonal.
Med JUST Enough Administration (JEA) kan kunderna nu delegera behörigheter för specifika kommandon till olika personalgrupper.
Ett bra exempel på det här användningsfallet är att ge supportavdelningen möjlighet att fråga efter status för ad FS-kontoutelåsning och återställa kontoutelåsningstillståndet i AD FS när en användare har granskats. I det här fallet är de kommandoletar som skulle behöva delegeras:
Get-ADFSAccountActivitySet-ADFSAccountActivityReset-ADFSAccountLockout
Vi använder det här exemplet i resten av det här dokumentet. Du kan dock anpassa detta för att även tillåta delegering för att ange egenskaper för förlitande parter och lämna över detta till programägare i organisationen.
Skapa de grupper som krävs för att ge användarna behörighet
- Skapa ett grupphanterat tjänstkonto. GMSA-kontot används för att ge JEA-användaren åtkomst till nätverksresurser som andra datorer eller webbtjänster. Den tillhandahåller en domänidentitet som kan användas för att autentisera mot resurser på alla datorer i domänen. GMSA-kontot beviljas nödvändiga administrativa rättigheter senare i installationen. I det här exemplet anropar vi kontot gMSAContoso.
- Skapa en Active Directory-grupp kan fyllas i med användare som måste beviljas behörighet till de delegerade kommandona. I det här exemplet beviljas supportpersonal behörighet att läsa, uppdatera och återställa AD FS-utelåsningstillståndet. Vi refererar till den här gruppen i hela exemplet som JEAContoso.
Installera gMSA-kontot på AD FS-servern
Skapa ett tjänstkonto som har administrativa rättigheter till AD FS-servrarna. Detta kan utföras på domänkontrollanten eller via fjärranslutning så länge AD RSAT-paketet är installerat. Tjänstkontot måste skapas i samma skog som AD FS-servern.
Ändra exempelvärdena till konfigurationen av din serverfarm.
# This command should only be run if this is the first time gMSA accounts are enabled in the forest
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))
# Run this on every node that you want to have JEA configured on
$adfsServer = Get-ADComputer server01.contoso.com
# Run targeted at domain controller
$serviceaccount = New-ADServiceAccount gMSAcontoso -DNSHostName <FQDN of the domain containing the KDS key> -PrincipalsAllowedToRetrieveManagedPassword $adfsServer –passthru
# Run this on every node
Add-ADComputerServiceAccount -Identity server01.contoso.com -ServiceAccount $ServiceAccount
Installera gMSA-kontot på AD FS-servern. Detta måste köras på varje AD FS-nod i servergruppen.
Install-ADServiceAccount gMSAcontoso
Bevilja administratörsbehörighet för gMSA-konto
Om servergruppen använder delegerad administration beviljar du administratörsbehörigheten för gMSA-kontot genom att lägga till den i den befintliga gruppen, som har delegerad administratörsåtkomst.
Om servergruppen inte använder delegerad administration beviljar du administratörsbehörigheten för gMSA-kontot genom att göra den till den lokala administrationsgruppen på alla AD FS-servrar.
Skapa JEA-rollfilen
På AD FS-servern skapar du JEA-rollen i en anteckningsfil. Instruktioner för att skapa rollen finns i JEA-rollfunktioner.
De kommandoletar som delegeras i det här exemplet är Reset-AdfsAccountLockout, Get-ADFSAccountActivity, and Set-ADFSAccountActivity.
Exempel på JEA-roll som delegerar åtkomst till kommandona Reset-ADFSAccountLockout, Get-ADFSAccountActivity och Set-ADFSAccountActivity:
@{
GUID = 'b35d3985-9063-4de5-81f8-241be1f56b52'
ModulesToImport = 'adfs'
VisibleCmdlets = 'Reset-AdfsAccountLockout', 'Get-ADFSAccountActivity', 'Set-ADFSAccountActivity'
}
Skapa konfigurationsfilen för JEA-sessionen
Följ anvisningarna för att skapa jea-sessionskonfigurationsfilen . Konfigurationsfilen avgör vem som kan använda JEA-slutpunkten och vilka funktioner de kan komma åt.
Rollfunktioner refereras till av basnamnet (filnamnet utan tillägget) för rollfunktionsfilen. Om flera rollfunktioner är tillgängliga i systemet med samma platta namn använder PowerShell sin implicita sökordning för att välja den effektiva rollfunktionsfilen. Den ger inte åtkomst till alla rollfunktionsfiler med samma namn.
Om du vill ange en rollkapacitetsfil med en sökväg använder du RoleCapabilityFiles argumentet . För en undermapp letar JEA efter giltiga PowerShell-moduler som innehåller en RoleCapabilities undermapp, där RoleCapabilityFiles argumentet ska ändras till RoleCapabilities.
Exempel på sessionskonfigurationsfil:
@{
SchemaVersion = '2.0.0.0'
GUID = '54c8d41b-6425-46ac-a2eb-8c0184d9c6e6'
SessionType = 'RestrictedRemoteServer'
GroupManagedServiceAccount = 'CONTOSO\gMSAcontoso'
RoleDefinitions = @{ JEAcontoso = @{ RoleCapabilityFiles = 'C:\Program Files\WindowsPowershell\Modules\AccountActivityJEA\RoleCapabilities\JEAAccountActivityResetRole.psrc' } }
}
Spara sessionskonfigurationsfilen.
Vi rekommenderar att du testar sessionskonfigurationsfilen om du har redigerat pssc-filen manuellt med hjälp av en textredigerare för att säkerställa att syntaxen är korrekt. Om en sessionskonfigurationsfil inte klarar det här testet registreras den inte i systemet.
Installera JEA-sessionskonfigurationen på AD FS-servern
Installera JEA-sessionskonfigurationen på AD FS-servern
Register-PSSessionConfiguration -Path .\JEASessionConfig.pssc -name "AccountActivityAdministration" -force
Driftinstruktioner
När den har konfigurerats kan JEA-loggning och granskning användas för att avgöra om rätt användare har åtkomst till JEA-slutpunkten.
Så här använder du de delegerade kommandona:
Enter-pssession -ComputerName server01.contoso.com -ConfigurationName "AccountActivityAdministration" -Credential <User Using JEA>
Get-AdfsAccountActivity <User>