Just-Enough-Administration (JEA) in Windows Server 2016/2019

-

 

PowerShell: Implementing Just-Enough-Administration (JEA), Step-by-Step


Video Link:   https://youtu.be/2bTHpj7kvwc



 *****************Configuration in Server ***************

1st Step:

1. New-PSSessionConfigurationFile -Path 'C:\Program Files\WindowsPowerShell\spooler_conf.pssc'

2. notepad  'C:\Program Files\WindowsPowerShell\spooler_conf.pssc

# Author of this document

Author = 'Mushfiq'

# Session type defaults to apply for this session configuration. Can be 'RestrictedRemoteServer'                        (recommended), 'Empty', or 'Default'

SessionType = 'RestrictedRemoteServer'

# Directory to place session transcripts for this session configuration

TranscriptDirectory = 'C:\Transcripts\'

# Whether to run this session configuration as the machine's (virtual) administrator account

RunAsVirtualAccount = $true

# User roles (security groups), and the role capabilities that should be applied to them when applied to a session

RoleDefinitions = @{ 'itbd.local\Spooler_Admins' = @{ RoleCapabilities = 'Spooler_Admins' }} 


2nd Step(Creating a folder for JEA):

New-Item -Path 'C:\Program Files\WindowsPowerShell\Modules\JEA\RoleCapabilities' -ItemType Directory



3rd Step(Creating the PS Role Capability File for the Spooler Admins (psrc file):

1. New-PSRoleCapabilityFile -Path 'C:\Program Files\WindowsPowerShell\Modules\JEA\RoleCapabilities\spooler_admins.psrc'

2. notepad 'C:\Program Files\WindowsPowerShell\Modules\JEA\RoleCapabilities\spooler_admins.psrc'

# Cmdlets to make visible when applied to a session

VisibleCmdlets = @{ Name = 'Restart-Service'; Parameters = @{ Name = 'Name'; ValidateSet = 'Spooler'}}


# External commands (scripts and applications) to make visible when applied to a session

VisibleExternalCommands = 'C:\Windows\System32\Whoami.exe'



4th Step(Registering the Configuration):

a. Create a group named "Spooler_Admins". Create an user who will member of Spooler_Admins group

b. Register-PSSessionConfiguration -Name Spooler_Admins -Path 'C:\Program Files\WindowsPowerShell\spooler_conf.pssc'

c. Restart-Service WinRM


********Configuration in Client ********


1. Login as member user of Spooler_Admins group into a domain member machine


2. Open the powershell & execute below command

a. Enter-PSSession -ComputerName ADDS -ConfigurationName spooler_admins

                *** Here, ADDS is my Domain server's name  &  Spooler_admins is cretaed group

b. Get-Command 

*** See, you will able to see only specified command

c. Restart-Service spooler

*** Here you will be restart the specified service, not other service

d. Restart-Service lmhosts

*** You will not be able to restart this service

e. whoami

*** You will be able to execute this command since you have permission to do this as external command




Comments

Post a Comment

Popular posts from this blog

ডিপ্লোমা লেভেল এর ইন্ডাস্ট্রিয়াল এটাচমেন্ট এ আসার পূর্বে একটু ভেবে আসার অনুরোধ রইলো

-
Image
আসসালামু আলাইকুম , আইটি বাংলাদেশ এর পক্ষ থেকে আপনাদেরকে স্বাগতম। আশা করি আপনারা ভালো ভাবে পড়াশোনা করছেন।  আপনারা অনেকেই ইন্ডাস্ট্রিয়াল এটাচমেন্ট এ আইটি বাংলাদেশ এ আসার জন্য আগ্রহ প্রকাশ করছেন।  সেটা সত্যি আমাদের জন্য ভালো লাগার বিষয়।  তবে কিছু  বিষয় আপনাদের কে জানিয়ে রাখা ভালো মনে করছি । আপনারা  যদি আইটি বাংলাদেশ এ আসেন তাহলে মন মানুষিকতা একটু পরিবর্তন করে আসার চেষ্টা করবেন।               আইটি বাংলাদেশ এর পক্ষ থেকে আপনাদেরকে সেই বিষয় গুলো একটু জানাচ্ছি      ১) আপনি জব না নিয়ে ঢাকা ছেড়ে বাবা মার্ কাছে যাবেন না নেহাত একদম দরকার না হলে। আর তাছাড়া এইবার জুলাই মাসের ২-৩ তারিখ থেকে আমরা স্টার্ট করবো , তাই কুরবানী ঈদ শেষ করে আসতে পারছেন আপনারা।  তাই ৩ - ৪ মাস বাড়ি না গেলেও প্রব্লেম হবার কথা না। বাসায় বাবা মা কে  বলে আসবেন, প্রব্লেম হবার কথা না।        ২) মুশফিক স্যার  ( আইটি বাংলাদেশ এর পরিচালক )   যেভাবে বলে সেইভাবে কাজ করার জন্য দৃঢ় প্রতিজ্ঞাবদ্ধ হয়ে আসবেন। ...
Read more

Some Questions for MTCNA Exam

-
Image
  ** Some Questions for MTCNA Exam **  ## Link for testing your skill for MTCNA: https://www.proprofs.com/quiz-school/story.php?title=ODQzMzMy1LXH 1.  Choose correct statements for MikroTik proxy (MULTI) A. Controls domains or servers which are allowed to cache by Proxy B. To deny access to a specific website, caching should be enabled C. Destination NAT rule is required to utilize transparent proxy facility D. Can deny access to a specific domains or servers, but not specific web pages 2.  What can be used as ’target-address’ in the simple queue? (ONE) A. server’s address B. client’s address C. client’s MAC address D. address list name 3.  A MikoTik PPPoE Server can be used only within a broadcast domain, that is, users can not run PPPoE protocol with a server if there is a router between the customer and that PPPoE server. TRUE / FALSE 4.   What is the minimal possible wireless configuration to create an Access Point? (ONE) A. ssid B. DFS mode C. radio na...
Read more

Course Content of IT Bangladesh

-
Image
কোর্স কনটেন্ট দেখার পূর্বে  আমাদের সম্পর্কে কিছু কথা, যা জানা আপনার প্রয়োজন মনে করি আমরা।  কোন   কোর্স   আপনি   করবেন   ইন্ডাস্ট্রিয়াল   এটাচমেন্ট   এর   সময়   সেই   বিষয়ে   কিছু   কথা                                     জানতে ক্লিক করুন এই লিংক এ আমরা   কি সুবিধা   দেই   ? আমরা   আসলেই   কোনো   সুবিধা   দেই   না  ,   বা   আমাদের   এইখানে   ট্রেনিং    করলে জব   নিশ্চিত   এমন   টা   বলা   কোনো   ভাবেই   আমাদের   পক্ষে   সম্ভব   না।     কারণ আমাদের এইখানে ২০০ স্টুডেন্টডস আসলে আমরা সবাই কে জব দিয়ে দিবো এটা বলার নূন্নমতম সাহস আমাদের নেই।    জব মার্কেট এত সহজ না যে ভালোভাবে না শিখে কোনো রকম ৩ মাসের    একটা ট্রেনিং করে জব এ ঢুকে গেলাম   ,  তাহলে আর ডিপ্লোমা...
Read more