Microsoft Just Eough Administration (JEA) para Descoberta

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • O Microsoft JEA melhora a segurança, permitindo que usuários não administradores tenham acesso limitado para executar os comandos, scripts e executáveis específicos necessários para Descoberta. Isso habilita MID Server Para coletar informações sobre uma máquina Windows sem exigir privilégios totais de administrador no destino.

    O Microsoft JEA permite a administração baseada em função por meio do PowerShell Remoting, que usa o Windows Remote Management (WinRM) para gerenciar a comunicação e a autenticação. Esta estrutura fornece um método seguro e confiável para gerenciar computadores que usam o protocolo HTTP. O PowerShell Remoting usa duas portas no total (5985, 5986) para HTTP e HTTPS, o que é mais fácil de proteger do que as várias portas usadas no mapeamento dinâmico de portas WMI. Para obter mais informações sobre o Microsoft JEA, consulte Administração suficiente .

    Visão geral da conexão entre a Instância da ServiceNow, o MID Server e o Endpoint do JEA e o Windows Server que está sendo descoberto.

    Requisitos para Descoberta com jea

    • Uma instância da ServiceNow em execução na versão Rome ou posterior.
    • O MID Server e o servidor de destino devem fazer parte de um domínio do Windows.
    • As credenciais do jea com direitos de não administrador devem ser credenciais no nível de domínio.
    • O PowerShell 5,0 ou o Windows Management Framework 5,1 devem ser instalados nas máquinas Windows de destino.
    • PowerShell Remoting deve ser habilitado nas máquinas Windows de destino.
    Nota:
    Para melhoria de segurança, a partir de Rome, há um novo perfil chamado JEA v2. A Microsoft não recomenda especificar nenhum outro modo de idioma além de Sem idioma No perfil jea. JEA v2 define explicitamente o tipo de sessão como RestricteRemoteServer e o modo de idioma para Sem idioma impedir que usuários executem scripts arbitrários no endpoint e ignorem restrições de segurança. A ServiceNow não oferece mais suporte ao perfil de amostra existente em KB0782125. Siga as instruções em KB0965705 Para configurar e implantar perfis JEA v2.

    Perfis do JEA

    A Descoberta com JEA requer perfis compostos por uma Configuração de sessões do PowerShell e um ou mais arquivos de capacidades de função do PowerShell. Você pode criar vários arquivos de capacidade de função do PowerShell e vários grupos de usuários para atribuir as funções a diferentes grupos conforme necessário. Um perfil de amostra é fornecido em KB0965705 como implementação de referência e para servir como ponto de partida. O arquivo de configuração na base de conhecimento oferece suporte a todos os padrões horizontais do Windows prontos para uso no momento em que foi criado. A ServiceNow não é responsável pela implantação e configuração do perfil JEA em máquinas remotas.

    A Microsoft tem documentação detalhada nos seguintes links:

    Descoberta básica com o exemplo de perfil jea

    O perfil JEA de amostra fornecido em KB0965705 Foi configurado para descobrir muitos ICs e atributos básicos. O perfil pode ser modificado e só deve servir como linha de base para Descoberta com jea.

    A Descoberta básica encontra os seguintes atributos-chave de servidores Windows (cmdb_ci_win_server) ou desktops Windows (cmdb_ci_computer):
    • Nome do Host
    • Nome DNS
    • Número de Série
    • Sistema operacional
    • Versão do SO
    • Service pack do SO
    • Espaço em disco
    • RAM
    • Contagem de núcleos de CPU
    • Contagem de CPUs
    • Fabricante da CPU
    • Tipo de CPU

    Ele inclui os seguintes ICs:

    • Adaptadores de rede (cmdb_ci_network_adapter)
    • Sistema de arquivos (cmdb_ci_file_system)
    • Dispositivos de armazenamento (cmdb_ci_disk)
    • Software instalado (cmdb_software_instance)
    • Processos em execução (cmdb_running_process)
    • Módulos de memória (cmdb_ci_memory_module)
    • Números de série (cmdb_serial_numbers)
    • Conexões TCP/IP (cmdb_tcp)
    • IPs de IC (cmdb_ci_ip_address)
    • Nomes DNS para ICs (cmdb_ci_dns_name)
    • Clusters do Windows (cmdb_ci_win_cluster, cmdb_ci_win_cluster_node, cmdb_ci_win_cluster_resource)
    • Arquivos de configuração rastreada (cmdb_ci_config_file_tracked)

    Os seguintes ICs de aplicação também podem ser descobertos:

    • MSSQL DB no Windows (cmdb_ci_db_mssql_instance)
    • MySQL DB no Windows (cmdb_ci_db_mysql_instance)
    • Oracle DB no Windows (cmdb_ci_db_ora_instance)
    • WebSphere no Windows (cmdb_ci_app_server_websphere)

    Os probes e padrões a seguir são usados para a Descoberta com o perfil de amostra:

    • Windows - Classificar (probe)
    • Windows - Servidores (padrão)
    • Windows - Desktops (padrão)
    • Windows - Software instalado (probe)
    • ADM (multiprobe)
    • Meu SQL Server no Windows (padrão)
    • MSSQL DB no Windows (padrão)
    • Oracle DB no Windows (padrão)
    • WebSphere - Célula (probe)
    • WebSphere - Aplicações Web (probe)
    • WebSphere - Serviços Web (probe)

    Prepare a instância para Descoberta com o jea

    Para configurar o. ServiceNow® instância para Descoberta Com o Microsoft Just Eough Administration (JEA), defina a credencial do Windows com o nome do domínio e defina MID Server parâmetros de configuração adequadamente.

    Antes de Iniciar

    Função necessária: discovery_admin ou admin

    Procedimento

    1. Navegar até Tudo > Descoberta > Credenciais e clique em Novo .
    2. Selecione Credenciais do Windows na lista de tipos de credencial disponíveis.
    3. Crie as credenciais para o não administrador, usando este formato para Nome de usuário : domain\user name.
    4. Envie o registro.
    5. Navegar até Tudo > MID Server > Servidores.
    6. Selecione um MID Server Para configurar na lista de MID Servers.
    7. Selecione a lista relacionada Parâmetros de configuração.
    8. Defina o seguinte Parâmetros de configuração DO MID Server conforme indicado:
      1. mid.windows.management_protocol: Este parâmetro é necessário para Descoberta com jea.
        Seu valor padrão é WMI, mas deve ser definido como WinRM em MID Servers usando a Descoberta com JEA.
      2. mid.powershell.jea.endpoint : Este parâmetro é necessário para Descoberta com JEA.
        Este parâmetro especifica um nome de endpoint jea ao qual o MID Server se conecta em hosts remotos. O nome do endpoint é criado ao registrar um arquivo de configuração e não deve ser confundido com o nome do próprio arquivo de configuração. A configuração afeta todo o MID Server, incluindo todas as sessões remotas do WinRM criadas pela Descoberta no MID Server que vão para esse endpoint.

        Por exemplo, o comando PowerShell Registrador-PSConfiguration -nome jea_DISCO_V2 -caminho <session_configuration_file> Define o nome do endpoint como jea_DISCO_V2. Nesse caso, mid.powershell.jea.endpoint Deve ser atualizado para jea_DISCO_V2.

    9. Opcional: Use o seguinte Propriedade do MID Server e. Propriedade do sistema para solucionar problemas:
      1. mid.probe.collect_debug_info : Esta é uma propriedade DO MID Server opcional para coletar informações de depuração.
        Quando esta propriedade é definida como verdadeira, o MID Server coleta informações de depuração de credenciais e as coloca na carga da mensagem de entrada do ECC. Não afeta como o JEA funciona.
      2. glide.discovery.log_debug_info : Esta é uma propriedade do sistema opcional para coletar informações de depuração.
        Quando esta propriedade é definida como verdadeira, o sensor de descoberta extrai as informações de depuração da mensagem de entrada do ECC e as grava na tabela de log de descoberta, para que as informações de depuração fiquem visíveis ao inspecionar o status da descoberta.