Just Enough Administration (JEA) är en säkerhetsteknik för PowerShell som bygger på en väldigt enkel men kritisk princip: Minsta möjliga behörighet (Least Privilege). Syftet är att låta vanliga användare utföra specifika administrativa uppgifter utan att behöva ge dem fullständiga administratörsrättigheter.

På Windows är JEA en fullt stödd och inbyggd funktion. Det är här tekniken designades, är djupt integrerad i operativsystemet och fungerar allra bäst.

KOMPONENT 01
Role Capabilities (Vad som får göras)

Här definierar du exakt vilka cmdlets, parametrar och skript en användare får köra. Du kan till exempel säga "Den här gruppen får starta om print-spoolern, men absolut inget annat".

KOMPONENT 02
Session Configurations (Vem som får ansluta)

Detta styr vem som får ansluta till din JEA-slutpunkt (endpoint) och vilka roller de tilldelas när de gör det. Anslutningarna sker traditionellt via WinRM (Windows Remote Management).

"När användaren ansluter skapas ett tillfälligt virtuellt konto. De utför jobbet som admin, men är själva inte admins."

Hur exekveringen blir säker

Det fiffiga med JEA på Windows är hur det hanterar rättigheterna i bakgrunden. När en användare ansluter till en JEA-slutpunkt skapar Windows ett tillfälligt "virtuellt konto" (Virtual Account) med lokala administratörsrättigheter. Om uppgiften kräver åtkomst till nätverksresurser kan JEA istället konfigureras att använda ett Group Managed Service Account (gMSA).

Användaren utför sitt arbete genom detta mellanhandskonto. De får jobbet gjort, men kan aldrig logga in på servern direkt som administratör.

// JEA på Windows i korthet

  • Inbyggt och fullt stött i Windows PowerShell.
  • Begränsar kommandon på cmdlet- och parameternivå.
  • Använder virtuella konton för säker exekvering.
  • Kommunicerar via WinRM.