Windows juhend: Kuidas seadistada domeenis Windows Powershell Remoting grupipoliitikaga

From ICO wiki
Revision as of 19:16, 2 October 2012 by Aelliku (talk | contribs)
Jump to navigationJump to search

Mis on Windows Powershell?

Windows Powershell on tegevuste põhine käsurida ja automatiseerimise keel, mis on mõeldud spetsiaalselt IT süsteemide administreerimiseks. Windows Powershell on .NET raamistikule ehitatud lahendus aitamaks IT professionaalidel ja kõrgtaseme kasutajatel kontrollida ja automatiseerida Windowsi operatsioonisüsteeme ja rakendusi mis jooksevad Windowsi keskkonnas.


Mis on Windows Remote Management?

Windows Remote Management (edaspidi WinRM) on Simple Object Access Protocl–i (SOAP) põhine versioon WS-Management protokollist. Tulemüüri sõbralik protokoll mis võimaldab erinevate ettevõtete riistvara ja operatsioonisüsteemide koos talitlemist. WS-Management protokolli spetsifikatsioon pakub ühist lahendust ligipääsuks ja haldusinfo vahetamiseks üle terve IT taristu.

Eeldused

Windows Powershell 2.0 ja WinRM 2.0 olemasolu nii haldust teostavate kui ka hallatavate masinate operatsioonisüsteemides. Powershell 2.0 ja WinRM 2.0 ilmusid esmakordselt Windows 7 ja Windows Server 2008 operatsioonisüsteemidel. Windows XP, Vista ja Server 2003 ning Server 2008 jaoks on vajalik paigaldada Windows Remote Management lisapakett mille saab alla laadida aadressilt: http://support.microsoft.com/kb/968929

Kuidas seadistada Windows Powershell Remoting

Allolevas juhendis on grupipoliitika rakendamiseks kasutatud Windows Server 2008 R2 Standard versiooni ja klientideks on 2 Windows 7 Pro arvutit. Lahendust saab seadistada ka Windows Server 2003 all kuid sellisel juhul on vajalik paigaldada lisapakett aadressilt: http://support.microsoft.com/kb/936059

Grupipoliitika kirjete loomine ja seadistamine Group Policy Management funktsiooniga

1. Avage domeeni lisatud Windows 7 või Server 2008 arvutist Group Policy Management. Avanenud rakenduses looge uus grupipoliitika objekt, avage see, käivitatakse Group Policy Management Editor ja seal navigeerige Computer Configuration->Policies->Administrative templates->Windows Components. Seadistatavate komponentide nimekirja alumises otsas on näha kolm meid huvitavat objekti: Windows Powershell, Windows Remote Management ja Windows Remote Shell.

2.Laiendage Windows Remote Management objekt ja valige selle alt "WinRM Service".

3. Powershell Remotingu lubamiseks on WinRM Service alt vaja konfigureerida ainult "Allow automatic configuration of listeners"
Rakendame selle poliisi ja vajadusel konfigureerime kuulatavad IPv4 ja IPv6 aadressid. Käesolevas näites on valikuks " * ", mille puhul kuulatakse sõnumeid kõikidel aadressidel.
4. Windowsi klient operatsioonisüsteemide puhul pole WinRM teenus automaatselt käivitatud.
Teenuse seadistamiseks navigeerime Computer Configuration->Policies>Windows Settings>Security Settings>System Services>Windows Remote Management. Teeme topeltklõpsu Windows Remote Management ja seadistame teenuse käivitamise tüübiks "Automatic":


5. Kuigi teenus on seadistatud on vaja see ka tulemüüris lubada. Selleks tuleb luua uus sisse tuleva liikluse reegel kohas: Computer Configuration->Policies->Windows Settings->Windows Firewall with Advanced Security->Windows Firewall with Advanced Security->Inbound Rules.

Uue reegli puhul valida tüübiks Predefined(Ette määratud) ja "Windows Remote Management".

WinRM2.0 välja tulekuga muutus teenuse vaikimsi http pordi number 80 pealt 5985 peale. Seetõttu kui keskkonnas eksisteerib ka masinaid millel on WinRM versioon 1.1 on vajalik samas reeglis sisse lülitada ka ühilduvusrežiim(Compatibility mode)

Viimases aknas valida tegevus mis juhtub parameetritele vastava ühenduse loomisel. Tehes valiku "Allow the connection if it is secure" saab "Customize" nupule vajutades määrata ka täpsemaid piiranguid. Nagu näiteks lubada ainult teatud IP aadressid või kasutajad.

Sellega on grupipoliitika seadistatud. Veel on vajalik siduda grupipoliitika objekt mingi arvutite grupiga. Selleks lohistada Group Policy Management all loodud objekt välja valitud arvutite grupi kausta.

Klient masinate kontroll

Grupipoliitika jõustub kliendimasinatel pärast grupipoliitika uuendamist.
Kontrolli mõttes võib selle grupipoliitika alla käivatel aruvitel Powershelli või käsurea aknas käivitada käsuga "gpupdate /force" grupipoliitika kohese uuendamise. Pärast uuendamise lõppu võib teisest arvutist üritada ühendumist käsuga "Enter-PSSession -ComputerName arvutinimi "

Lisainfo täpsemaks seadistamiseks

Ühendused üle HTTPS protokolli

Vaikeseades käib WinRM ühendus üle HTTP protokolli. Kõrgema turvalisuse saavutamiseks on võimalik konfigureerida ka HTTPS protokolli kasutamine. HTTPS protokolli seadistamiseks peab aga olema kas Certificate Authority käest soetatud sertifikaat mis peab olema kõikide hallatavate arvutite Trusted Root Certificates kaustas või domeenikontrolleri olemasolu korral on võimalik seadistada sertifikaadi teenus mis võimaldab isetehtud sertifikaatide paigaldamist ja kasutamist domeenis. Rohkem infot siin(inglise keeles):http://technet.microsoft.com/en-us/library/cc772393(v=ws.10).aspx

CredSSP

CredSSP võimaldab eirata NTLM-i 1 hüppe piirangut saates mandaadi hallatavasse arvutisse. NB! Seega saadetakse ühendust loova kasutaja kasutajanimi ja parool sihtmärgiks olevasse arvutisse. Samas võimaldab selle tehnoloogia lubamine interaktiivse haldussessiooni ajal kolmandasse seadmesse autentimist. Näitena võib tuua võrguketta külge ühendamise. Protokolli spetsifikatsiooni msdn artikli näol leiab aadressilt: http://msdn.microsoft.com/en-us/library/cc226764(v=prot.13).aspx


Kasutatud kirjandus

http://blog.crayon.no/blogs/janegil/archive/2010/03/04/enable_2D00_and_2D00_configure_2D00_windows_2D00_powershell_2D00_remoting_2D00_using_2D00_group_2D00_policy.aspx
http://msdn.microsoft.com/en-us/library/windows/desktop/ee706585(v=vs.85).aspx
http://jfrmilner.wordpress.com/2010/10/13/configure-powershell-remoting-using-group-policy-on-legacy-domains/
http://msdn.microsoft.com/en-us/library/windows/desktop/aa384372(v=vs.85).aspx
http://technet.microsoft.com/en-us/library/bb978526.aspx
http://msdn.microsoft.com/en-us/library/windows/desktop/aa384426(v=vs.85).aspx