Anpassen der Standardrollen
Das Basis-Delegationskonzept von WAC sieht drei Rollen vor: Administratoren, Hyper-V-Administratoren und Reader. Während Administratoren auf einem Zielserver keine Einschränkungen erfahren, können Reader alle Konfigurationswerte lesen, aber nicht schreiben. Die Hyper-V-Admins dürfen sich in Hyper-V auf den Zielservern austoben, haben aber für die restlichen Serverfunktionen keine Berechtigung. Drei Rollen sind nicht gerade üppig, weshalb das JEA-Modell eine richtige und wichtige Ergänzung darstellt: Im Idealfall sind wir so in der Lage, fein abgestimmte Berechtigungen zu vergeben, ähnlich wie es die Hyper-V-Rolle in WAC vorsieht – nur eben für andere Workloads.

Wer mit dem Standard-Berechtigungssatz zufrieden ist, kann ohne Umwege loslegen. In einer bereits in WAC hinzugefügten Maschine gelangen Sie über "Einstellungen" in den Verwaltungstools zu "Rollenbasierte Zugriffssteuerung". Dort aktivieren Sie die Standardrollen. Das Portal wird nach Bestätigung der Warnung, dass der WinRM-Dienst neu gestartet werden muss, die notwendigen Konfigurationen vornehmen und auf der Zielmaschine die drei neuen lokalen Gruppen – Administratoren, Hyper-V-Administratoren und Reader – erstellen.

Im Hintergrund führt das WAC eine Reihe von vorgefertigten PowerShell-Kommandos aus, um die notwendigen Gruppen und deren Berechtigung zu schaffen. Die Basis dieser Konfiguration stellen Skripte dar, die Sie via PowerShell vom WAC-Webserver herunterladen können, zum Beispiel so:

Invoke-RestMethod
-Uri "https://contoso-wac.contoso.com/api/nodes/all/features/jea/endpoint/export"
-Method POST
-UseDefaultCredentials -OutFile "C:\temp\wacZIP\WindowsAdminCenter.zip"

Das ZIP-File beinhaltet alle notwendigen Dateien, um eine manuelle Installation auszuführen – hier gilt es nun, die notwendigen Anpassungen vorzunehmen. Beim Ausführen der Funktion "rollenbasierte Zugriffssteuerung" wird das ZIP-File auf die Zielmaschine übertragen und dann gestartet. Die Hauptdatei "InstallJeaFeature.PS1" beinhaltet die Definition der Rollen und wie sie strukturiert sind. Die Vorgabedefinition nutzt für die drei WAC-Rollen die Erstellung von lokalen Gruppen.

Umwandlung in AD-Gruppen
Ein erster Schritt wäre, diese Computer-lokalen Gruppen in Windows-AD-Gruppen umzuwandeln. Hierzu entfernen Sie die drei Sektionen für "Group" aus der Skriptdatei "InstallJeaFeature.PS1". In der Sektion "JeaEndpoint" stehen Key-Value-Paare, die die Berechtigungsverzahnung zwischen den WAC-Rollen und den Rollen auf dem lokalen Computer vornehmen. Sie ersetzen dabei die drei Gruppen "Windows Admin Center Administrators", "Windows Admin Center Hyper-V Admins" und "Windows Admin Center Readers" mit den Namen von AD-Gruppen, denen Sie die jeweiligen Berechtigungen zuweisen wollen. Die Zeichenketten tauschen Sie einfach mit dem Gruppennamen in "DOMAIN\GroupNomenklatur" aus, etwa:

RoleDefinitions = "@{'CONTOSO\WACAdmins' = @{RoleCapabilities = 'MS-Administrators','MS-Hyper-VAdministrators','MS-Readers'};' CONTOSO\WACHyperVAdmins'= …}"

Das Verschieben der Gruppe ins Windows-AD ist nicht nur für die zentrale Verwaltung hilfreich, sondern ist auch für die zentrale Zugriffkontrolle eine wichtige Anpassung. Die Erweiterung von WAC um zusätzliche Rollen ist derzeit nicht möglich. Was allerdings möglich ist, sind zusätzliche Berechtigungen innerhalb der Delegation.

Wer sich das Paket zur Role Based Access Control (RBAC) genauer angeschaut hat, findet Module, in denen Microsoft die Verwaltungsfunktionen auf entfernten Rechnern via JEA definiert. Diese sind dann den drei WAC-Rollen via Role Capabilities zugewiesen und beschreiben die erlaubten Cmdlets, die sich innerhalb der Delegation ausführen lassen. Die Cmdlets können Sie erweitern und anpassen: Was dazu notwendig ist, sind die jeweiligen PowerShell-Module auf der Maschine sowie die Freischaltung in der Rollendefinition im PSRC-Role-Capability-File.

Diese Erweiterungen werden es zwar leider nicht in die Administrationsmenüs des WAC-Portals schaffen, lassen sich aber dennoch in PowerShell-Sessions auf dem WAC-Portal delegieren. Admins können die zusätzlichen PowerShell-Module und -Funktionen in einer PowerShell-Session von WAC aus auf den Zielmaschinen ausführen. Damit lässt sich der Funktionsumfang von WAC für weitere Szenarien erweitern: etwa spezielle Windows-AD-Aufgaben oder Hybrid-Cloud-Tätigkeiten wie Federation Server oder Verzeichnissynchronisation.

Zur Inspiration lohnt sich ein Blick auf GitHub – Microsoft hat Beispiele für Delegationen und PowerShell-Module zur Verfügung gestellt, die die Administration von IIS und den Windows-Webdiensten vereinfachen können. Die Pakete sind hier bei GitHub zu finden und geben beim Erstellen eigener Module und Role Capabilities etwas Starthilfe.

JEA auf mehreren Servern ausrollen
Natürlich ist die manuelle Konfiguration von JEA auf jeder Maschine mühsam und zu zeitaufwendig. Um mehrere Server mit der Konfiguration und dem Admin-Modell bestücken zu können, ist Automatisierung erforderlich. Dabei muss sichergestellt sein, dass bestehende Server ebenso Teil der JEA-Konfiguration werden können wie neue, gerade erst aufgesetzte Server.

Nebst den Zielsystemen stehen auch für WAC selbst eigene Gruppen zur Verfügung, um den Zugriff entsprechend einzuschränken. Mitglieder der Gruppe "Gateway Administrators" haben vollen Zugriff auf WAC, "Gateway Users" hingegen können keine Einstellungen verändern und haben auch keinen Zugriff auf die Rechteverwaltung.

ln/jp/Frank Tess

Im dritten und letzten Teil der Workshopserie beschäftigen wir uns damit, wie Sie VMs in Azure verwalten und was bei der Authentifizierung via Entra ID zu beachten ist. Im ersten Teil gingen wir darauf ein, wie bei der rollenbasierten Administration das Tier-Modell von Microsoft helfen kann und was es dabei mit PowerShell JEA auf sich hat.