Windows Admin Center: Zugriffsrechte festlegen über Rollen

    Zugriffsteuerung in Admin Center über RollenWeb-basierte Tools wie das Admin Center (WAC) eignen sich beson­ders, um Auf­gaben an Stan­dard­benutzer zu dele­gieren. In diesem Fall ist es wich­tig, deren Rechte auf das Nötig­ste zu be­schränken. Das WAC ver­fügt dafür über ein Rollen­konzept auf Basis von JEA, das Nicht-Admins die erfor­derlichen Rechte ein­räumt.

    Der Charme einer Web-Konsole besteht vor allem darin, dass man auf praktisch jedem Client admini­strative Aufgaben erledigen kann (WAC unterstützt aktuell aber keine mobilen Geräte). Delegiert man diese an nicht-technische User, dann erspart man sich die Installation von Tools auf deren Rechner. Diese sind für den Helpdesk oder End­benutzer meist ohnehin zu komplex.

    Eingebautes Rollenkonzept

    Unter diesem Gesichtspunkt stellt das Windows Admin Center einen klaren Fortschritt gegen­über den traditionellen, meist auf der MMC beruhenden Werkzeugen dar. Diese lassen zudem eine granulare Zuteilung von Berechtigungen nicht zu.

    Das WAC dagegen verfügt von Anfang an über ein rollen­basiertes Berechtigungs-Management. Dieses steht allerdings nur dann zur Verfügung, wenn das WAC im Gateway-Modus auf einem Windows Server installiert wurde.

    Über das Rechte-Management lässt sich sowohl der Zugang zum Gateway selbst als auch zu den verwalteten Endpunkten regeln.

    Zugang zum Gateway regeln

    Per Vor­einstellung können sich nur User mit admini­strativen Rechten zum Gateway verbinden. Andere Konten muss man erst explizit hinzufügen, wobei die direkte Zuordnung von Benutzern zu Rollen nicht möglich ist. Vielmehr lässt das Tool nur lokale oder AD-Gruppen zu.

    Für die Absicherung des Gateways sieht das Admin Center zwei Rollen vor, nämlich Gateway­administratoren und Gateway­benutzer. Letztere dürfen keine Einstellungen am Gateway vornehmen und haben auch keinen Zugriff auf die Rechte­verwaltung.

    Gruppen für den Zugriff auf das WAC-Gateway hinzufügen

    Die Zuordnung der Rollen zu Benutzer­gruppen erfolgt in den Einstellungen des WAC, die man über das Zahnrad­symbol rechts oben erreichen kann. Dort ist der Abschnitt Gateway aber nur sichtbar, wenn man das Admin Center von einer Windows-Session aufruft, an der man als admini­strativer Benutzer ange­meldet ist.

    Der Befehl Gatewayzugriff öffnet eine Seite, auf der man unter Zulässige Gruppen über die Schaltfläche "+ Hinzufügen" auch normale Benutzer mit Rechten versehen kann. Im dafür zuständigen Formular gibt man den Namen der Gruppe ein. Eine Suche im Active Directory ist dabei nicht möglich, so dass man den Namen vollständig eintippen muss.

    Dabei ist zu beachten, dass der bloße Name der Gruppe reicht, wenn sich diese in der gleichen Domäne befindet wie der Gateway-Server. Eine Notation nach dem Muster domain\group ist somit nicht erforderlich.

    Am WAC-Gateway anmelden

    Neben der Auswahl der Rolle kann man durch die Zuordnung zur Smart­card-Sicherheits­gruppe erzwingen, dass sich die betreffenden User mittels einer Smartcard anmelden.

    Rollen für das Management der Zielsysteme

    Wird einem Account der Zugang zum Gateway eingeräumt, dann besitzt er deswegen noch keine Berechtigung für Maschinen, die über das Admin Center verwaltet werden sollen. Dafür benötigt er admini­strative Rechte auf jedem einzelnen Endpunkt.

    Standard­mäßig können somit nur jene Benutzer Rechner über das WAC verwalten, deren Konto Mitglied der lokalen Gruppe Administratoren auf jedem Zielrechner ist.

    Das Admin Center kommt jedoch mit 3 vordefinierten Rollen, die auch Standard­benutzern den Zugriff auf die Management-Endpunkte erlauben. Diese sind:

    • Windows Admin Center Administrators
    • Windows Admin Center Hyper-V Administrators
    • Windows Admin Center Readers

    Die Administratoren können die meisten Werkzeuge des Admin Centers und ihrer Funktionen nutzen, ausgeblendet bleibt indes Remotedesktop und PowerShell, außerdem lassen sich die Einstellungen für einen Rechner nicht öffnen.

    Melden sich Benutzer an, denen einer der 3 Rollen zugewiesen wurde, dann ist der Zugriff eingeschränkt.

    Hyper-V Administratoren sind erwartungs­gemäß auf die Verwaltung des Hypervisors und der virtuellen Maschinen beschränkt und Readers erhalten bloßen Lesezugriff. Da allen drei Gruppen die Verbindung via Remotedesktop verwehrt bleibt, können sich Hyper-V-Admins die Konsole von VMs nicht im WAC anzeigen lassen.

    Zugriffskontrolle einschalten, Rollen zuweisen

    Um diese Benutzer­rollen verwenden zu können, muss man in den Einstellungen eines jeden Zielrechners die Rollenbasierte Zugriffskontrolle aktivieren. Diese Aktion konfiguriert den betreffenden Server als Endpoint für Just Enough Administration und lädt die vom WAC benötigten PowerShell-Module auf den Rechner herunter.

    Die rollenbasierte Zugriffskontrolle muss in den Einstellungen eines jeden Endpunkts aktiviert werden.

    Zusätzlich werden 3 lokale Gruppen angelegt, deren Namen identisch sind mit jenen der Rollen. Um Benutzer oder Gruppen mit den Berech­tigungen dieser Rollen auszustatten, nimmt man sie in diese neu erstellten lokalen Gruppen auf. Diese Aufgabe lässt sich über Gruppenrichtlinien automatisieren.

    Benutzer im Admin Center zur lokalen Gruppe der Hyper-V Administrators hinzufügen

    In größeren Umgebungen ist dieses interaktive Konfigurieren der Endpunkte nicht praktikabel. Hier lädt man das gesamte Paket, bestehend aus den JEA- und DSC-Dateien sowie den PowerShell-Modulen herunter und verteilt sie über den bevorzugten Mechanismus auf die Zielrechner.

    Den Umweg über die lokalen Gruppen kann man sich durch eine entsprechende Anpassung der JEA-Dateien ersparen und den Rollen direkt eine AD-Gruppe zuweisen. Das genaue Vorgehen beschreibt diese Dokumentation.

    Fazit

    Nachdem das Admin Center auf WMI, WinRM und PowerShell aufsetzt, macht es sich Just Enough Administration zunutze, um Benutzern unabhängig von ihren sonstigen Privilegien die benötigten Rechte für das Management bestimmter Rechner zu gewähren.

    Allerdings beschränkt sich dieser Mechanismus derzeit auf 3 Rollen, die nur eine sehr grobe Zuteilung von Berechtigungen erlaubt. So kann man an Hyper-V Administratoren nicht bloß das Management von bestimmten VMs delegieren, vielmehr sind sie auch in der Lage, etwa vSwitches zu bearbeiten oder zu löschen.

    Das größte Manko der rollen­basierten Zugriffs­kontrolle im Admin Center besteht somit darin, dass man derzeit keine eigenen Rollen definieren und ihnen granular Rechte zuordnen kann. Neben dem limitierten Funktions­umfang und der geringen Performance schränkt auch das rudimentäre Rechte-Management den Nutzen des Tools erheblich ein.

    Keine Kommentare