Verbindungen, die man über Enter-PSSession und Invoke-Command aufbaut, kommu­nizieren stan­dard­mäßig über HTTP. Aller­dings ver­schlüsselt dabei WinRM die über­tragenen Daten. Zusätz­liche Sicher­heit erlangt man speziell in Work­groups durch HTTPS, wobei ein selbst­sig­nierten SSL-Zertifikat in der Regel reicht.

Mit Just Enough Administration (JEA) kön­nen Benutzer ohne admini­strative Berech­tigungen Manage­ment-Aufgaben über­nehmen. Die Grund­lage für JEA bilden Session-Konfi­gurationen, die bestim­men, wer Zugriff bekommt. Role Capabilities definieren dann die Mittel, welche in PowerShell zur Ver­fügung stehen.

Möchten sich User ohne admini­strative Privi­legien mit einem Remote-PC ver­binden, dann scheitert das an man­geln­den Rechten. Diese Limi­tierung lässt sich mit Hilfe von Session-Konfigurationen be­seitigen. Dabei muss man einem Standard­benutzer nicht Zugriff auf alle Funktionen von PowerShell ge­währen.

Wenn Unter­nehmen auf Thin Clients um­stellen, dann müssen sie ihre PCs nicht aus­mustern. Tools wie die Rangee Komm­box können Windows-Rechner in schlanke End­geräte ver­wandeln, die sich über die gleiche Kon­sole ver­walten lassen wie reguläre Thin Clients. Benutzer er­halten dabei einen abge­sicherten Desktop.

Das Windows Admin Center kann viele Rollen und Features von Windows Server remote verwalten. Zusätzlich ent­hält es einen Remote­desktop-Client, um die Server-Konsole zu öffnen oder einzelne Programme als RemoteApp zu starten. Bei Bedarf kann man RDP-Verbin­dungen gleich aus dem Admin Center aktivieren.

Im ersten Quartal 2018 ver­öffent­lichte Micro­soft einen Patch für den Credential Security Support Provider (CredSSP). Seit­dem kann es beim Aufbau einer RDP-Ver­bindung zu einem Authen­tifizierungs­fehler kommen. Abhilfe schafft neben dem Ein­spielen des Patches die CredSSP-Konfigu­ration via GPO.

Ein Vor­teil von PowerShell-Remoting via SSH be­steht darin, dass man anders als bei WinRM dafür eine Public-Key-Authenti­fizierung nutzen kann. Das verein­facht die Fern­wartung von Rechnern, die nicht Mit­glied in einer AD-Domäne sind, und er­höht die Sicher­heit. Diese An­leitung zeigt, wie man dabei vorgeht.

Die neue Browser-basierte Management-GUI für Windows benötigt keinen Server mit instal­lierter Desktop Experience, sie lässt sich auch unter Core ein­richten. Dabei liegt es nahe, eine Silent Installation gleich von der Kommando­zeile zu starten. Diese funk­tioniert natür­lich auch auf einem Server mit GUI.

Rund ein halbes Jahr nach der ersten öffent­lichen Preview gibt Microsoft die Web-basierten Manage­ment-Tools als Windows Admin Center zum produ­ktiven Ein­satz frei. Auf­grund ihres gerin­geren Funktions­umfangs können sie die RSAT noch nicht völlig ersetzen, sollen aber künftig weitere Aufgaben über­nehmen.

Die meisten Admins verwalten die Inter­net Infor­mation Ser­vices (IIS) und ihre zahl­reichen Ein­stellungs­möglichkeiten über die GUI. Standard­mäßig ist auf diesem Weg aber kein Remote-Manage­ment vorgesehen. Vielmehr muss der Server dafür erst konfi­guriert werden, und am Client benötigt man ein Add-on.