PowerShell Web Access PSWA Basics

Mit PowerShellWebAccess gibt es für Administratoren die Möglichkeiten die Systeme ganz einfach über die Weboberfläche zu verwalten. Und es ist gar nicht mal so schwer.

Überblick / Umgebung

In der Testumgebung befindet sich ein Domänen Controller und drei Server, AB-SRV16-01, AB-SRV-02 und AB-SRV-04. Ziel ist, sich mit einer AD-Kennung an der Weboberfläche des AB-SRV16-01 von AB-SRV-04 anmelden zu können. Weiterhin soll nicht nur der Server AB-SRV16-01 verwendbar sein, sondern auch der Server AB-SRV-02.

pic_pswa

Windows Feature Installieren

Zu Beginn wird geprüft ob die Rolle nicht schon installiert ist:

 

Da das Feature nicht installiert ist, muss dieses installiert werden:

 

Nach der Installation des Features ist kein Neustart nötig, aber es sind noch einige Schritte zu erledigen ehe PSWA genutzt werden kann.

Webanwendung Installieren

Das Installieren von Features oder Rollen ist nicht so spannend. Die interessanten Schritte kommen jetzt. Mit der Installation des Features wurde auch der Internet Information Service(IIS) installiert.

 

Der Webzugriff wird im IIS als Anwendung in einem eigenen Applicationpool bereitgestellt. Ist dieser nicht vorhanden wird er im nächsten Schritt erstellt.

Da es sich um eine Testumgebung handelt, ist es ausreichend ein selbstsigniertes Zertifikat zu verwenden. In der Produktivumgebung sollte das nicht gemacht werden!
Schaut man sich die möglichen Parameter der Funktion Install-PswaWebApplication an, stellt man fest, dass es  möglich ist eigene ApplicationPools und Pfade zu definieren. In diesem  Beispiel  werden keine weiteren Parameter definiert.

 

Die Installation geht sehr schnell, der ApplicationPool und die WebApplication sind jetzt auch im IIS zu sehen.

 

In der Standardkonfiguration wird pswa unter der Default Web Site eingerichtet. Bei der Installation wurde der Schalter UseTestCertificat angegeben und so wurde auch ein https Binding auf die Webseite eingetragen.

 

Auch im IIS sind die entsprechenden Einträge vorhanden.

Über die URL https://ab-srv16-01.joinpowershell.ab/pswa gelangt man auf die Anmeldemaske der PowerShellWebAccess Seite. Da ein Testzertifikat genutzt wird, erscheint eine Fehlermeldung über eine nicht vertrauenswürdige Seite. Nach dem Fortsetzen, wird die Maske geladen.

 

Jedoch kann man sich jetzt noch nicht anmelden. Dafür muss erst eine Autorisierungsregel und der Zugriffspunkt konfiguriert werden.

Zugriffspunkte (PSSessionconfiguration)

 

Mit diesem Befehl werden die Zugriffspunkte auf dem Client angezeigt. Prinzipiell sind das die, die auch bei einer Remote – Sitzung angesprochen werden können. Per Default verbindet man sich mit der Konfiguration microsoft.powershell. Das Thema Zugriffspunkte wird in diesem Blog nicht wieder betrachtet. Für den Test werden die vordefinierten Regeln genutzt.

 

Autorisierungsregeln

Get-Command *pswa*Rule , zeigt alle Cmdlets die für das Arbeiten mit Rollen notwendig sind. Eine PswaAuthorisationRule wird an einen Zugriffspunkt gebunden und definiert so den Umfang der Möglichkeiten einer Sitzung. Weiterhin wird definiert welcher Nutzer sich anmelden darf und mit welchem Computer eine Verbindung möglich ist. Es gibt die Möglichkeiten eine Gruppe von Nutzer und Computern auf eine Regel zu legen, damit nicht pro Nutzer und Computer eine Regel benötigt wird. Vergleichen kann man dies mit RBAC  unter Exchange.

Für dieses Beispiel muss eine Regel für die Nutzerin Susi Sorglos mit dem Befehlssatz des microsoft.Powershell Zugriffspunktes auf dem Server AB-SRV16-01 angelegt werden. Zwingend erforderlich ist, dass der Nutzername in dem Format Domäne\Kennung angegeben wird.

 

add_rule1

Mit Get-PswaAuthorizationRule kann die Regel angezeigt werden.

get_author

 

Jedoch ist es damit nicht getan, Susi muss außerdem in die Gruppe der Remote Management Users eingetragen werden.

local_group

Nach einem erneuten Versuch sich anzumelden, kommt es zu keiner Fehlermeldung mehr. Mit $PSSSessionConfigurationName oder $PSSenderInfo kann man sich einige Details zur Sitzung anzeigen lassen. Es ist eine vollwertige PowerShell Instanz mit allen Umgebungsvariablen und Möglichkeiten.

logged_on

Mit Exit kann die Sitzung verlassen werden und man gelangt zum Anmeldebildschirm.

exit

exit2

Bei der Anzeige der Optionalen Verbindungseinstellungen zeigt sich, dass der Default Konfigurationsname Microsoft.PowerShell ist. Sollte man bei der Autorisierungsregel eine andere Konfiguration angeben, so muss diese auch da angepasst werden.

login_extended

Einrichten von ComputerGruppen

Die Nutzerin soll jedoch nicht nur Zugriff auf den Server AB-SRV16-01 erhalten sondern auch noch auf den Server AB-SRV-02. Hierzu müssen die Entsprechenden Server erst einmal in eine AD-Gruppe Zusammengefasst werden.

 

new_group_member

 

Es Besteht die Möglichkeit die alte Regel mit Remove-PswaAuthenticationRule zu löschen oder aber die alte Regel einfach mit dem Schalter Force zu Überschreiben.

 

groupconection

Susi Sorglos muss sich auf jedem Mitgliedsserver  in der Gruppe der Remote Managemant User befinden. Über eine Gruppenrichtlinie ist dies aber leicht zu lösen.

Nun kann sich die Nutzerin sorglossu an allen in der Gruppe befindlichen Servern anmelden und hat den Befehlssatz der microsoft.PowerShell Konfiguration zu Verfügung.

login_groupconnect

connect_group_server

Mit diesen Grundlagen wünsche ich viel Spaß bei dem Spielen mit PowerShellWebAccess!

 

Über Andreas Bittner

MCSA Server 2016, MCSA Server 2012R2, Exchange 2010 & SharePoint Devop
Dieser Beitrag wurde unter Allgemein, DevOps, PowerShell, Scripting abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.