Server 2022 系统 Windows Admin Center 配置

2026-03-20 03:45:48 1613阅读

Windows Server 2022 中 Windows Admin Center 部署与核心配置指南

Windows Admin Center 是微软推出的轻量级、基于 Web 的本地服务器管理工具,专为现代混合环境设计。在 Windows Server 2022 系统中,它取代了传统 MMC 控制台的部分功能,提供直观的图形界面、集中化管理能力以及无需 Internet 连接即可运行的离线优势。本文将系统性介绍如何在 Windows Server 2022 上完成 Windows Admin Center 的部署、安全加固、角色配置及常见场景实践,帮助系统管理员高效构建可信赖的本地管理门户。

一、前置条件与环境准备

在部署前,请确保目标服务器满足以下基础要求:

  • 操作系统:Windows Server 2022(Standard 或 Datacenter 版本,已安装最新累积更新)
  • .NET Framework:版本 4.8 或更高(Server 2022 默认内置)
  • PowerShell:5.1 或更高(推荐升级至 PowerShell 7.x 以获得更佳兼容性)
  • 浏览器支持:Microsoft Edge(Chromium 内核)、Google Chrome 或 Firefox 最新版
  • 网络:目标服务器需具备静态 IP 地址;若启用 HTTPS,需提前准备有效证书

建议在部署前关闭 Windows 防火墙临时测试(生产环境必须重新启用并配置规则),并确认 Windows Update 服务处于运行状态,以避免组件依赖缺失。

二、安装 Windows Admin Center

Windows Admin Center 提供两种安装方式:快速安装(默认端口)自定义安装(指定端口/证书)。本文以推荐的自定义方式展开,兼顾安全性与可维护性。

首先,从 Microsoft 官方渠道下载最新 .msi 安装包(文件名形如 WindowsAdminCenter1.7.msi),将其复制至目标服务器。打开具有管理员权限的 PowerShell 终端,执行以下命令:

# 安装 Windows Admin Center 并绑定至指定端口与证书
msiexec /i "WindowsAdminCenter1.7.msi" /qn /L*v log.txt SME_PORT=443 SSL_CERTIFICATE_OPTION=installed CERTIFICATE_THUMBPRINT="A1B2C3D4E5F67890123456789012345678901234"

注意:CERTIFICATE_THUMBPRINT 必须替换为本地计算机个人证书存储中有效 HTTPS 证书的 SHA1 指纹(不含空格),且该证书私钥需具备读取权限。若暂无证书,可先使用 SSL_CERTIFICATE_OPTION=generate 让安装程序自动生成自签名证书(仅限测试环境)。

安装完成后,服务 Windows Admin Center 将自动启动。可通过以下命令验证运行状态:

# 检查服务状态
Get-Service "Windows Admin Center" | Select-Object Name, Status, StartType

预期输出中 Status 应为 RunningStartTypeAutomatic

三、配置防火墙与网络访问策略

默认情况下,Windows 防火墙会阻止外部对管理端口(如 443)的访问。需手动添加入站规则:

# 创建允许 HTTPS(443)端口的入站规则
New-NetFirewallRule `
    -DisplayName "Allow Windows Admin Center HTTPS" `
    -Direction Inbound `
    -Protocol TCP `
    -LocalPort 443 `
    -Action Allow `
    -Profile Domain,Private `
    -Enabled True

若服务器位于域环境中,还可通过组策略统一推送该规则。对于非域环境,建议限制源 IP 范围,例如仅允许可信管理子网访问:

# 限定仅 192.168.10.0/24 子网可访问
New-NetFirewallRule `
    -DisplayName "WAC Restricted HTTPS Access" `
    -Direction Inbound `
    -Protocol TCP `
    -LocalPort 443 `
    -Action Allow `
    -Profile Domain,Private `
    -RemoteAddress 192.168.10.0/24 `
    -Enabled True

四、首次登录与初始设置

安装完成后,在客户端浏览器中访问 https://<server-fqdn>(如 https://srv22.contoso.local)。首次访问将触发证书信任提示,确认后进入登录界面。

系统默认采用 Windows 集成身份验证(Kerberos/NTLM),输入具有本地管理员或服务器操作员权限的账户凭据即可登录。首次成功登录后,建议立即执行以下初始化操作:

  1. 进入右上角「设置」→「网关设置」,确认「允许远程连接」已启用;
  2. 在「用户和角色」中,为不同职能人员创建专属角色(如“只读管理员”、“备份操作员”);
  3. 启用「审计日志」记录所有关键操作(路径:设置 → 审计 → 启用日志记录)。

五、基于角色的访问控制(RBAC)配置

Windows Admin Center 支持细粒度 RBAC,管理员可通过 PowerShell 批量配置权限策略。以下示例创建一个名为 WAC-ReadOnly 的自定义角色,并授予对“事件查看器”和“性能监视器”的只读权限:

# 创建只读角色并分配权限
$role = New-Object Microsoft.ManagementExperience.Role
$role.Name = "WAC-ReadOnly"
$role.Description = "Read-only access to core monitoring tools"
$role.Permissions = @(
    "Microsoft.ManagementExperience.Resources.EventLog.Read",
    "Microsoft.ManagementExperience.Resources.Performance.Read"
)
$role | ConvertTo-Json | Out-File "C:\Temp\readonly-role.json" -Encoding UTF8

# 导入角色(需重启 WAC 服务生效)
Restart-Service "Windows Admin Center"

角色定义文件需保存为 UTF-8 编码 JSON 格式,字段名严格区分大小写。权限标识符可在官方文档中查阅完整列表,亦可通过 F12 开发者工具在浏览器中捕获 API 请求获取实际值。

六、连接与管理其他服务器

Windows Admin Center 支持跨服务器集中管理。在主界面点击「+ 添加」→「Windows Server」,输入目标服务器的 FQDN 或 IP 地址。若目标服务器未安装 WAC 网关,系统将自动尝试使用 WinRM 远程管理协议建立连接。

为保障远程连接稳定性,建议在被管服务器上预先启用并配置 WinRM:

# 在被管服务器上启用 WinRM(HTTPS 模式)
winrm quickconfig -transport:https
winrm set "winrm/config/service" '@{AllowUnencrypted="false"}'
winrm set "winrm/config/service/auth" '@{Basic="true"}'

同时,确保被管服务器的防火墙开放 5986(WinRM over HTTPS)端口,并将管理服务器的计算机账户加入被管服务器的 Remote Management Users 组。

七、日常运维与故障排查

常见问题包括登录失败、资源加载超时、证书警告等。典型排查流程如下:

  • 登录失败:检查事件查看器中 Applications and Services Logs > Microsoft > Windows > Windows Admin Center > Admin 日志;
  • 页面空白:确认浏览器未启用严格内容安全策略(CSP),禁用第三方广告拦截插件;
  • 连接超时:使用 Test-WSMan -ComputerName <target> 验证 WinRM 可达性;
  • 证书错误:重新导入有效证书并更新 CERTIFICATE_THUMBPRINT,随后重启服务。

定期备份配置至关重要。可通过导出网关设置实现:

# 导出当前网关全部配置(含角色、连接、审计策略)
& "$env:ProgramFiles\Windows Admin Center\Export-GatewaySettings.ps1" `
    -OutputPath "C:\Backup\wac-config-$(Get-Date -Format 'yyyyMMdd-HHmmss').json"

八、安全最佳实践总结

为保障 Windows Admin Center 长期稳定运行,应遵循以下安全准则:

  • 始终使用 HTTPS 通信,禁用 HTTP 重定向;
  • 限制管理接口仅对必要 IP 段开放;
  • 定期轮换管理员密码与证书;
  • 启用多因素认证(MFA)集成(通过 Azure AD 应用代理实现);
  • 关闭未使用的扩展插件(如 Docker、Hyper-V 管理器),减少攻击面;
  • 将 WAC 安装目录权限收紧,仅允许 SYSTEMAdministrators 组完全控制。

结语

Windows Admin Center 并非替代 PowerShell 的工具,而是其可视化延伸——它让复杂命令行任务变得直观可控,同时保留底层脚本自动化能力。在 Windows Server 2022 环境中,合理部署与配置 Windows Admin Center,不仅能显著降低日常运维门槛,更能提升基础设施的整体可观测性与响应效率。从安装到 RBAC,从连接管理到安全加固,每一步配置都应围绕“最小权限”与“纵深防御”原则展开。掌握本文所述全流程后,您将拥有一个安全、可靠、易于扩展的本地服务器管理中心,为数字化转型夯实运维底座。

文章版权声明:除非注明,否则均为Dark零点博客原创文章,转载或复制请以超链接形式并注明出处。

相关阅读

目录[+]