РАЗДЕЛ
about_Session_Configurations
КРАТКОЕ ОПИСАНИЕ
Описание конфигураций сеансов, определяющих, пользователей, которые могут
подключаться к компьютеру удаленно и команды, которые они могут
запускать.
ПОЛНОЕ ОПИСАНИЕ
Конфигурация сеанса представляет собой группу параметров на
локальном компьютере, определяющую среду для сеансов Windows
PowerShell, создаваемых при подключении удаленных пользователей к
локальному компьютеру.
Администраторы компьютера могут использовать конфигурации сеансов
для защиты компьютера и определения специальных сред для
пользователей, подключающихся к компьютеру.
Администраторы также могут использовать конфигурации сеансов,
чтобы определять разрешения, необходимые для удаленного
подключения к компьютеру. По умолчанию только члены группы
"Администраторы" имеют разрешение использовать конфигурацию
сеанса для удаленного подключения, однако настройки по умолчанию
можно изменить, чтобы разрешить всем или отдельным пользователям
удаленно подключаться к компьютеру.
Конфигурации сеансов являются функцией удаленного управления
Windows PowerShell на основе веб-служб для управления (WS-Management).
Они применяются только при использовании командлетов New-PSSession,
Invoke-Command, или Enter-PSSession для подключения к удаленному компьютеру.
Примечание. Для управления конфигурациями сеансов на компьютерах
под управлением Windows Vista, Windows Server 2008 или более
поздней версии Windows нужно запустить Windows PowerShell с
помощью команды "Запуск от имени администратора".
О конфигурациях сеансов
В каждом сеансе Windows PowerShell используется конфигурация
сеанса. Это относится как к постоянным сеансам, создаваемым с
помощью командлетов New-PSSession или Enter-PSSession, так и к
временным сеансам, создаваемым Windows PowerShell при
использовании параметра ComputerName в командлетах, использующих
технологию удаленного взаимодействия на основе WS-Management, например,
Invoke-Command.
Администраторы могут использовать конфигурации сеансов для защиты
ресурсов компьютера и создания специальных сред для пользователей,
подключающихся к компьютеру. Например, конфигурацию сеанса
можно использовать, чтобы ограничить размер объектов, получаемых
компьютером во время сеанса, определить языковой режим сеанса
или задать командлеты, поставщики и функции, доступные
во время сеанса.
Настройка дескриптора безопасности конфигурации сеанса позволяет
определить, кто может использовать конфигурацию сеанса для
подключения к компьютеру. Для использования конфигурации сеанса в
сеансе пользователи должны иметь разрешение на запуск.
Если у пользователя нет необходимых разрешений на использование
на компьютере любых конфигурация сеанса, он не сможет
подключиться к компьютеру удаленно.
По умолчанию использовать установленные по умолчанию конфигурации
сеансов могут только администраторы компьютера, однако
дескрипторы безопасности можно поменять, чтобы разрешить всем,
никому или отдельным пользователям использовать конфигурации
сеансов на компьютере.
Конфигурации сеансов по умолчанию.
В состав Windows PowerShell входит встроенная конфигурация сеансов
Microsoft.PowerShell. На компьютерах под управлением 64-разрядных
версий ОС Windows, в состав Windows PowerShell также входит
32-разрядная конфигурация сеансов Microsoft.PowerShell32.
Эти конфигурации сеансов используются для сеансов по умолчанию,
т. е. если в команде создания сеанса отсутствует параметр
ConfigurationName командлетов New-PSSession, Enter-PSSession или
Invoke-Command.
Дескрипторы безопасности конфигураций сеансов по умолчанию могут
использовать только члены группы "Администраторы" локального
компьютера. Таким образом, до изменения установленных по
умолчанию параметров удаленно подключаться к компьютеру могут
только члены группы "Администраторы".
Конфигурации сеанса по умолчанию можно изменить с помощью
привилегированной переменной $PSSessionConfigurationName.
Дополнительные сведения см. в разделе about_Preference_Variables.
Просмотр конфигураций сеансов на локальном компьютере. Для получения
конфигураций сеансов на локальном компьютере используйте командлет Get-
PSSessionConfiguration.
Например, введите следующую команду:
C:\PS> get-pssessionconfiguration | format-list -property name, permission
Name : microsoft.powershell
Permission : BUILTIN\Administrators AccessAllowed
Name : microsoft.powershell32
Permission : BUILTIN\Administrators AccessAllowed
Также для просмотра конфигураций сеансов можно использовать
поставщик WS-Management в Windows PowerShell. Поставщик
WS-Management создает в сеансе диск WSMAN:.
На диске WSMAN: конфигурации сеансов находятся в узле Plugin.
(Все конфигурации сеансов находятся на узле Plugin, но на узле
Plugin находятся и элементы, не являющиеся конфигурациями сеансов).
Например, для просмотра конфигураций сеанса на локальном
компьютере введите:
C:\PS> dir wsman:\localhost\plugin\microsoft*
WSManConfig: Microsoft.WSMan.Management\WSMan::loc
alhost\Plugin
Name Type Keys
---- ---- ----
microsoft.powershell Container {Name=microsoft.powershell}
microsoft.powershell32 Container {Name=microsoft.powershell}
Просмотр конфигураций сеансов на удаленном компьютере. Для просмотра
конфигураций сеансов на удаленном компьютере используйте командлет
Connect-WSMan, чтобы добавить примечание для удаленного компьютера
на диск WSMAN: на локальный компьютер и использовать диск WSMAN: для
просмотра конфигураций сеансов.
Например, следующая команда добавляет узел для удаленного
компьютера Server01 на диск локального компьютера WSMAN:.
C:\PS> connect-wsman server01.corp.fabrikam.com
После завершения выполнения команды можно перейти на узел для
компьютера Server01 и просмотреть конфигурации сеансов.
Пример:
C:\PS> cd wsman:
PS WSMan:\> dir
ComputerName Type
------------ ----
localhost Container
server01.corp.fabrikam.com Container
PS WSMan:\> dir server01*\plugin\*
WSManConfig: Microsoft.WSMan.Management\WSMan::server01.corp.fabrikam.com\Plugin
Name Type Keys
---- ---- ----
microsoft.powershell Container {Name=microsoft.powershell}
microsoft.powershell32 Container {Name=microsoft.powershell32}
Изменение дескриптора безопасности конфигурации сеанса. По умолчанию
члены группы "Администраторы" компьютера имеют разрешение на запуск
для установленных по умолчанию конфигураций сеансов. Однако
пользователь локального компьютера может поменять дескрипторы
безопасности конфигурации сеанса по умолчанию и любых других
конфигураций сеансов, созданных этим пользователем.
Для представления другим пользователям разрешения на удаленное
подключение к компьютеру используйте командлет Set-PSSessionConfig
uration, чтобы добавить в дескрипторы безопасности конфигураций
сеансов Microsoft.PowerShell и Microsoft.Powershell32 разрешение
на запуск для этих пользователей.
Например, следующая команда открывает страницу свойств,
позволяющую изменить дескриптор безопасности установленной по
умолчанию конфигурации сеанса Microsoft.PowerShell.
C:\PS> set-pssessionConfiguration -name Microsoft.PowerShell -showSecurityDescriptorUI
Чтобы запретить всем пользователям доступ ко всем конфигурациям
сеанса на компьютере, нужно использовать функцию Disable-PSRemotin
g или командное средство Disable-PSSessionConfiguration.
Например, следующая команда добавляет запись Deny All (Запретить
всем) во все конфигурации сеансов на компьютере.
C:\PS> disable-psremoting
Чтобы добавить запись Deny All в определенную конфигурацию
сеанса, используйте командлет Disable-PSSessionConfiguration.
Например, следующая команда добавляет запись Deny All в
конфигурацию сеанса Microsoft.PowerShell.
C:\PS> disable-pssessionConfiguration -name Microsoft.PowerShell
Чтобы удалить запись Deny All из всех конфигураций сеансов, нужно
использовать командное средство Enable-PSRemoting или
Enable-PSSessionConfiguration. Например, следующая команда
удаляет запись Deny All из конфигураций сеансов, установленных по
умолчанию.
C:\PS> enable-pssessionConfiguration -name Microsoft.Power*
Для внесения других изменений в дескриптор безопасности
конфигурации сеанса, нужно использовать командное средство Set-
PSSessionConfiguration. Для отправки значения строки SDDL используйте
параметр SecurityDescriptorSDDL. Параметр ShowSecurityDescriptorUI
используется для вывода листа свойств пользовательского интерфейса,
помогающего создать новую строку SDDL.
Пример:
C:\PS> set-pssessionConfiguration -name Microsoft.PowerShell -showSecurityDescriptorUI
Создание новой конфигурации сеанса
Для создания новой конфигурации сеанса на локальном компьютере
используйте командлет Register-PSSessionConfiguration. Чтобы
определить новую конфигурацию сеанса, можно использовать сборку
C#, скрипт Window PowerShell и параметры командлета
Register-PSSessionConfiguration.
Например, следующая команда создает конфигурацию сеанса,
идентичную конфигурации сеанса Microsoft.PowerShell, но
ограничивающую получение данных, получаемых от удаленной команды,
объемом в 20 Мбайт. (По умолчанию 50 Мбайт).
c:\PS> register-psSessionConfiguration -name NewConfig --MaximumReceivedDataSizePerCommandMB 20
При создании конфигурацией сеанса можно управлять, используя
командлеты других конфигураций сеансов. Новая конфигурация сеанса
появляется на диске WSMAN:.
Дополнительные сведения см. в разделе Register-PSSessionConfiguration.
Удаление конфигурации сеанса
Для удаления конфигурации сеанса c локального компьютера
используйте командлет Unregister-PSSessionConfiguration.
Например, следующая команда удаляет с компьютера конфигурацию
сеанса NewConfig.
c:\PS> unregister-psSessionConfiguration -name NewConfig
Дополнительные сведения см. в описании командлета Unregister-PSSes
sionConfiguration.
Выбор конфигурации сеанса
Для выбора определенной конфигурации сеанса используется параметр
ConfigurationName командлетов New-PSSession, Enter-PSSession или
Invoke-Command.
Например, в следующей команде командлет New-PSSession
используется для запуска сеанса PSSession на компьютере Server01.
В этой команде параметр ConfigurationName используется для выбора
конфигурации WithProfile на компьютере Server01.
C:\PS> new-pssession -computername Server01 -configurationName
WithProfile
Эта команда будет успешно выполнена, только если у текущего
пользователя есть разрешение на использование конфигурации сеанса
WithProfile или он может указать учетные данные пользователя,
имеющего необходимые разрешения.
Для изменения установленной по умолчанию конфигурации сеансов на
компьютере нужно использовать привилегированную переменную
$PSSessionConfigurationName. Дополнительные сведения о привилегированн
ой переменной $PSSessionConfigurationName см. в разделе
about_Preference_Variables.
SEE ALSO
about_Preference_Variables
about_PSSession
about_Remote
New-PSSession
Disable-PSSessionConfiguration
Enable-PSSessionConfiguration
Get-PSSessionConfiguration
Register-PSSessionConfiguration
Set-PSSessionConfiguration
Unregister-PSSessionConfiguration