Как включить PowerShell Remoting с помощью групповой политики

Обновляем Powershell в Windows 7

PowerShell Remoting — это очень мощный инструмент, которым пользуется каждый администратор. Он позволяет удаленно управлять клиентскими и серверными версиями Windows при помощи PowerShell.

В Windows Server 2016 и Windows Server 2012 R2 функция PowerShell Remoting включена по умолчанию. Однако в предыдущих версиях Windows Server, а также в клиентских версиях Windows эту функцию необходимо включать самостоятельно. Поскольку нецелесообразно и не удобно включать эту функцию персонально на каждом сервере (используя cmdlet Enable-PSRemoting в интерактивном режиме), мы воспользуемся групповой политикой.

Для включения PowerShell Remoting не существует конкретной политики, поэтому нам необходимо будет создать новую групповую политику и настроить все необходимые параметры. Мы создадим HTTP(S) Listener, настроим автоматический запуск службы WinRM и установим соответствующие правила в брандмауэре Windows.

Шаг 1. Настройка политики WinRM Listeners
В окне редактора GPO перейдите в раздел Computer Configuration -> Administrative Templates -> Windows Components -> Windows Remote Management (WinRM) -> WinRM Service (в русской версии Windows Server: Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Удаленное управление Windows -> Служба удаленного управления Windows)

Откройте политику «Allow remote server management via WinRM» («Разрешить удаленное администрирование сервера средствами WinRM») и выберите пункт «Enabled» (Включено). В полях «iPv4 filter» и «iPv6 filter» введите символ (*), чтобы указать все IP-адреса. Для большей безопасности вы можете указать определенный диапазон IP-адресов, с которых будет доступно подключение через WinRM.
Как включить PowerShell Remoting с помощью групповой политики

 

Шаг 2Настройка автозапуска службы WinRM

Запуск службы WinRM (по умолчанию) происходит автоматически, но это только в последних версиях Windows Server. Однако это не относится к клиентским компьютерам c Windows. Можно также запустить службу при помощи групповой политики. Следует помнить, что групповая политика запустит службу WinRM только после перезагрузки компьютера, т.е. через GPO не получится динамически запустить службу сразу на всех ПК.

Откройте окно Computer Configuration -> Windows Settings -> Security Settings -> System Services (Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Системные службы). В списке служба найдите и выберите службу «Windows Remote Management (WS-Management)» (Служба удаленного управления Windows). Откроется окно «Windows Remote Management (WS-Management) Properties» (Параметры политики безопасности). Выберите пункт «Automatic» (Автоматически), как показано на рисунке ниже.

Как включить PowerShell Remoting с помощью групповой политики

 

Шаг 3. Настройка брандмауэра Windows

Откройте раздел групповых политик Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security (Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Брандмауэр Windows в режиме повышенной безопасности).

Щелкните правой кнопкой мыши по пункту «Inbound Rules» (Правила для входящих подключений) и выберите пункт «New Rule» (Новое правило) для создания нового правила. В появившемся окне активируйте пункт «Predefined» (Предопределенные) и выберите значение «Windows Remote Management» (Удаленное управление Windows).

Как включить PowerShell Remoting с помощью групповой политики

Из списка выберите необходимые типы сетей Domain / Private / Public (Домен / Частный / Общий)  для которых разрешено подключение через Windows Remote Managment (Удаленное управление Windows).

Как включить PowerShell Remoting с помощью групповой политики

В заключении, выберите пункт «Allow the connection» (Разрешить подключение) и нажмите кнопку «Finish» (Готово), после этого в брандмауэре Windows будет создано новое правило.

Как включить PowerShell Remoting с помощью групповой политики

Осталось протестировать политику включения WinRm на тестовых OU и можно внедрят ее в продакшн!

 

По мотивам: vmblog.ru

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.