我们有一组用户在 Web 服务器上具有操作员角色,并且只需要能够查看 Internet 信息服务器中应用程序池的状态。
他们不需要机器上的其他访问权限,因此不是本地管理员组的成员。因此,他们目前无法访问 IIS 管理器。
有没有办法实现这一点(例如通过脚本、工具或特定的用户权限分配)?
答案1
您可以使用 PowerShell 的 JEA (管理适度)。
首先需要在服务器上设置 JEA,并为此场景配置一个 JEA 端点。
用户需要在服务器上拥有一个帐户,但只是一个普通用户帐户,不需要是管理员。
在功能文件中,您只需允许足够的功能即可完成工作:
VisibleCmdlets = 'Get-WebAppPoolState'
VisibleProviders = 'Variable'
然后,您的用户可以使用远程 PowerShell 会话连接到服务器,他们所能做的就是运行:Get-WebAppPoolState,不需要做其他任何事情。
这需要学习 JEA 和如何配置服务器,但了解这一点在您想要向用户提供有限访问权限的许多情况下会很有帮助。
答案2
只是好奇是否有其他方法允许非管理员(普通用户)通过 IIs 管理器控制台查看(只读)应用程序池?既然 Microsoft 已将委派控制和 RBAC 内置到其众多服务中,为什么 IIs 不行呢?