Távoli menedzsment csere 2018 lehet kényelmes és hatékony
Nyilvánvaló, hogy az előre konfigurált számítógépes rendszer következménye, hogy nem csak a folyamatos ellenőrzést tesz szükségessé, hanem egyszerű hozzáférést biztosít a szabályozási funkciókat. Ha a végrehajtási folyamat mehet végbe közvetlenül a szerver konzolon, a közigazgatási kérdésekben nagyon kellemetlen dönteni így. Azt hiszem, az olvasó egyetértenek velem, ha azt mondom, hogy a legtöbb kiszolgáló szervezetek nem hol ülnek adminisztrátorok, azaz nem lehet csak telepíteni egy székre, és kap közvetlen hozzáférést biztosít a szerver konzolon. És ha igen, ez teljesen indokolt az a követelmény, a műszaki személyzet, az eszközöket, hogy feladataik elvégzésére „elhagyása nélkül a munkahelyen”. Itt valaki azt mondani, hogy ez már létezik a Windows Remote Desktop, és nincs semmi „újra feltalálni a kereket”.
Hogy ez mennyire igaz, de a használata RDP nem mindig kényelmes és nem elfogadható bizonyos esetekben. Kényelmetlen, mert ha van egy csomó szerverek, amelyek csatlakozni mindegyik egy kicsit unalmas, akkor sokkal könnyebb nyitni PowerShell helyi konzolon, és már van egy kapcsolat mindet, vagy futtassa a helyileg telepített Exchange Management Console és a munka minden szerver egyszerre, de egy grafikus felületen. És nem elfogadható, mert gyakran vannak olyan helyzetek, amikor a munkavállalónak kell ruházható egy vagy két jól meghatározott lépések, ezért engedte be a terminál szerver munkamenet nem egészen pontos biztonsági szempontból, sokkal jobb, ha ő csak egy megbízható kulcscsomót a EMC és csak a jóváhagyott parancsmagokat az EMS.
távkapcsolat
1. ábra: A virtuális könyvtár PowerShell az IIS-kezelő.
Felkészülés felhasználó
Mielőtt ad a felhasználónak arra, hogy távolról is elérheti az Exchange-szervezet, meg kell dönteni a jogok felsorolása kívánt delegálni.
RBAC - egy külön kérdés, már ismertetett blogomban, én csak egy példát küldöttségének felhasználói jogokkal műveletek import / export postaládákba.
Továbbá, ez a szerep csak társított Szervezet Management csoport. amely a jogot, hogy a küldöttség. Megtudtuk a parancsot:
Get-ManagementRoleAssignment -Role "Postafiók Import Export" | fl Identity
Ennek eredményeként, csatlakozva az Exchange szerver alól a számla tartozik, hogy a szervezet vezetése szerepet csoport, akkor ruházhatja végrehajtását a szükséges parancsmagokat legalább két módja van:
1. Rendeljen a felhasználó közvetlenül a szerepe Postafiók Import Export. ezáltal neki a jogot, hogy végezze el a parancsmagokkal hogy ebben szerepe:
Új-RoleAssignement -Role "Postafiók Import Export" -User User1
El tudod képzelni, hogy ez nem a helyes megközelítés, hogy a felhatalmazás, mivel végül felhalmozódnak annyi hivatkozások, amelyekre egyszerűen nem értem. Sokkal jobb, hogy egy másik megközelítés:
2. Készítsen egy szerepet csoportot, például RemoteAdmins. tartalmazzák azt a szerepet, amelyet a tervek szerint delegált alkalmazottait és már közvetlenül hozzáadjuk szerepet csoport. Ez történt:
Új-RoleGroup -name "Remote rendszergazdák" -Roles "Postafiók Import Export" -AZ User1
New-RoleGroup parancsmaggal, felveheti lehetőség, mint -DisplayName és -Description.
Most, ha megyünk az Active Directory, azt látjuk, hogy van egy új csoport biztonságát RemoteAdmins az OU MicrosoftExchangeSecurity. amely tagja lett User1.
Továbbá, tagság az RBAC szerepet csoportok könnyen kezeli a ExchangeControlPanel. amint a 2. ábrán látható.
2. ábra: A tagság Management Group RBAC az ECP.
Miután eldöntötte, hogy milyen a parancsmaggal elvégzi a távoli felhasználó, akkor lehetővé teszi a távoli menedzsment önálló neki. Ez a hozzárendelés történik RemotePowerShellEnabled paraméter, a felhasználói fiók, az érték True a következő paranccsal:
Set-felhasználó YourUser -RemotePowerShellEnabled $ True
Aktiválása engedélyt távolról csatlakozni PowerShell, akkor lépni.
Vezérlés bepattanó Exchange Management Console (EMC)
3. ábra: Telepítés Exchange felügyeleti eszközök.
Meg kell jegyezni, hogy telepíteni az Exchange felügyeleti eszközök csak a modern operációs rendszerek, mint például:
Az ellenőrzések beállítható automatikus üzemmódban a parancs
Telepítése után egy grafikus menedzsment konzol szükséges, és csatlakozni egy távoli Exchange-szerver segítségével az akció ... Add lesExchange. (Lásd. Ábra. 4).
4. ábra: Csatlakozás az Exchange szerver cherez EMC.
Az egyik, használatának előnyei távoli menedzsment eszközök, hogy meg lehet, összekapcsolásával egyetlen konzolról, több szerver található különböző erdei Active Directory, hogy végezzen mozgó postafiókok erdők között, ami egy egyszerű mozdulattal kérés NewMoveRequest csapat.
Csatlakozás az Exchange Management Shell (EMS)
Miután foglalkozott a grafikus konzolt, megy előre, és nézd meg, hogyan lehet csatlakozni a szerverhez az Exchange Management Shell.
Két fő különbség EMS futtatni egy távoli számítógépen, és attól függ, hogy a menedzsment eszközök a számítógép, vagy sem.
Csatlakozás EMS jelenlétében Management Tools
Ha fut az EMS a számítógép, hogy már telepítve van upravleniyaExchange Alapok (Management Tools), akkor van valami, mint ez:
Megjegyzés: csatlakozni egy másik serveruExchangeiz sessiiEMS már nyitva van, meg kell futtatni a saját funkciója Connect ExchangeServer, rámutatva, hogy a beállítás -autodlya automatikus szerver kereső vagy -ServerFQDN lehetőség csatlakozni egy adott szerveren.
Csatlakozás EMS nélkül Management Tools
Ha a számítógép kezelési eszközök nincsenek telepítve, a csatlakozási folyamat némileg eltérő. Az egyszerűség kedvéért osszuk két szakaszból áll:
- · Létrehozása PowerShell munkamenet;
- · Import létrehozott szerveren ülésén egy helyi PowerShell munkamenetben.
Ahhoz, hogy hozzon létre egy új munkamenetet a parancsmagot Új-PSSession. Így, ha szeretne csatlakozni a szerverhez alatt egy fiókot, hogy dolgozik most, a felhasználó hitelesítő adatainak használata nem kötelező, de ha szeretné használni a mandátumát egy másik felhasználó is fel kell tüntetni a -Credential paramétert. korábban kapott cmdlet Get-igazolvány. Ebben az esetben meg kell tudni, hogy alapértelmezés szerint a szerver hitelesíti a Kerberos. Ahhoz, hogy használni egy másik hitelesítési módszert, meg kell határozni -Authentication paramétert. Ennek eredményeként, a csapat így néz ki:
5. ábra: Új PowerShell munkamenetben.
Megjegyzés. A számítógép, amelyhez kapcsolódik, legyen a tartományban, és ebben az esetben van szükség, hogy a végrehajtás a betöltött szkriptek által aláírt megbízható hitelesítésszolgáltató, ez történik a parancs Set-ExecutionPolicy RemoteSigned. Az alapértelmezett Korlátozott mód. megtiltja a végrehajtását minden szkriptet.
Következő, akkor importálja a szerveren ülésén a helyi PowerShell munkamenetben. Ehhez használja a parancsmagot Import-PSSession:
Amikor a folyamat befejeződött, a ExportedCommands részben láthatja listáját importált parancsmagokat. Továbbá a rendelkezésre álló parancsmagjai állnak használatával Get-Command parancsot.
Most már működik, ahogy Ön akár közvetlenül a távoli szerveren.
Miután a munka befejezésekor ne felejtsük el, hogy megtörjék a létrehozott munkamenet parancs
Automation kapcsolat az Exchange szerverre PowerShell
Ha a munka a számítógépen az Exchange eszközök, akkor aggódj különösen körülbelül, van egy kész gyors kapcsolat az EMS, de ha a vezérlők nincsenek telepítve, folyamatosan hozza létre a kapcsolatot munkamenetet a kiszolgáló ez nagyon zavaró. Lássuk, hogyan tudjuk ezt a folyamatot elősegítse.
Látom legalább két módon lehet megoldani ezt a problémát:
1. Mentés script (például c: \ EMS.ps1) fenti parancsok létre egy PowerShell munkamenet és importáló, hogy a helyi és a munkamenet fut a script minden alkalommal szeretnénk csatlakozni az Exchange szerver. Ebben az esetben, ha fut a script a használni kívánt címkét, amely tartalmazza a következő parancsot:
powershell.exe -NoExit -command c: \ EMS.ps1
Megjegyzés: A -NoExitneobhodim a oknoPowerShellne közel futtatása után a forgatókönyvet.
2. Bármelyik importálja az Exchange Management Shell futtatható közvetlenül PowerShell profilt, hogy minden alkalommal, amikor elindítja PowerShell fogsz automatikusan csatlakozni az Exchange. Ez úgy történik, az alábbiak szerint:
Ha PowerShell profil még nem hozott létre, hozza létre szüksége csapat
Új-pont -path $ profil -ItemType fájl -force
Ennek eredményeként Microsoft.PowerShell_Profile.ps1 fájl jön létre. ahol felveheti a szükséges parancsokat. Szerkesztése a profil fájl legkönnyebben a notebook, a parancs jegyzettömb $ profilt.
Hátrább kétféleképpen hozzáadásának az Exchange Management Shell profilban, és ezek újra jelenlététől függ a Felügyeleti eszközök:
- • Ha a Felügyeleti eszközök nincsenek telepítve, akkor egyszerűen hozzáadjuk a fenti parancsok létre egy távoli PowerShell munkamenet és importálja a helyi munkamenet PowerShell profil:
- · Ha az Exchange Management Tools áll, hogy bölcs dolog, hogy integrálja az Exchange Management Shell PowerShell munkamenet ugyanúgy, hogy nem lenne nyitni függetlenül, ha fut keresztül a megfelelő parancsikont. Ehhez hozzá egy profilt az akciók is, amelyek az elején ebben a szakaszban:
Ennek eredménye az a manipuláció, akkor mindig kéznél, vagy hozzon létre egy parancsikont az Exchange Management Shell kapcsolódni, akár a futás a PowerShell munkamenet, akkor már azt integrálni az Exchange parancsmagokat.