Dajte detaljan opis politike servera na relaciji. Dajte detaljan opis politike servera

GPResult Utility.exe– je konzolna aplikacija dizajnirana za analizu postavki i dijagnosticiranje grupnih politika koje se primjenjuju na računar i/ili korisnika u domeni Active Directory. Konkretno, GPResult vam omogućava da dobijete podatke iz rezultujućeg skupa politika (Resultant Set of Policy, RSOP), liste primijenjenih politika domena (GPO), njihovih postavki i detaljnih informacija o njihovim greškama u obradi. Uslužni program je dio Windows operativnog sistema još od vremena Windows XP-a. Pomoćni program GPResult vam omogućava da odgovorite na pitanja kao što su da li se određena politika primjenjuje na računar, koji je GPO promijenio određenu postavku Windowsa i da otkrijete razloge.

U ovom članku ćemo pogledati specifičnosti korištenja GPResult naredbe za dijagnosticiranje i otklanjanje grešaka u primjeni grupnih politika u domeni Active Directory.

U početku je za dijagnosticiranje primjene grupnih politika u Windows-u korištena grafička konzola RSOP.msc, koja je omogućila dobivanje postavki rezultirajućih politika (domena + lokalna) primijenjenih na računar i korisnika u grafičkom obliku sličnom GPO uređivač konzole (ispod, u primjeru prikaza konzole RSOP.msc, možete vidjeti da su postavke ažuriranja postavljene).

Međutim, RSOP.msc konzola u modernim verzijama Windowsa nije praktična za korištenje, jer ne odražava postavke koje primjenjuju razne ekstenzije na strani klijenta (CSE), kao što je GPP (Group Policy Preferences), ne dozvoljava pretragu, pruža malo dijagnostičkih informacija. Stoga je trenutno naredba GPResult glavni alat za dijagnosticiranje korištenja GPO-a u Windows-u (u Windows-u 10 postoji čak i upozorenje da RSOP ne daje kompletan izvještaj, za razliku od GPResult-a).

Korištenje uslužnog programa GPResult.exe

Komanda GPResult se izvodi na računaru na kojem želite da testirate primenu grupnih politika. Naredba GPResult ima sljedeću sintaksu:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Da biste dobili detaljne informacije o grupnim politikama koje se primjenjuju na dati AD objekt (korisnik i računar) i drugim postavkama koje se odnose na GPO infrastrukturu (tj. rezultirajuće postavke GPO politike - RsoP), pokrenite naredbu:

Rezultati izvršenja naredbe podijeljeni su u 2 dijela:

• COMPUTER POSTAVKE (Konfiguracija računara) – odeljak sadrži informacije o GPO objektima koji utiču na računar (kao Active Directory objekat);
• USER POSTAVKE – korisnički dio politika (politike koje se primjenjuju na korisnički račun u AD).

Prođimo ukratko na glavne parametre/odjeljke koji bi nas mogli zanimati u GPResult izlazu:

• SiteIme(Naziv sajta:) - naziv AD sajta na kojem se računar nalazi;
• CN– potpuno kanonski korisnik/računar za koji su generisani RSoP podaci;
• LastvrijemegrupaPolicybioprimijenjeno(Poslednja primenjena grupna politika) - vreme kada su grupne politike poslednji put primenjene;
• grupaPolicybioprimijenjenood(Grupna politika je primijenjena od) - kontroler domene s kojeg je učitana najnoviju verziju GPOs
• domenaImei Domaintip(Naziv domene, tip domene) – Naziv i verzija šeme domene Active Directory;
• PrimijenjenogrupaPolicyObjekti(Primijenjeni GPO)– liste aktivnih objekata grupne politike;
• ThepratećiGPOsbilineprimijenjenojeronibilifiltriranvan(Sljedeće GPO politike nisu primijenjene jer su filtrirane) - nisu primijenjene (filtrirane) GPO;
• Thekorisnik/kompjuterjeadioofthepratećisigurnostgrupe(Korisnik/računar je član sljedećih sigurnosnih grupa) – Grupe domena čiji je korisnik član.

U našem primjeru možete vidjeti da na korisnički objekt utječu 4 grupne politike.

• Default Domain Policy;
• Omogući Windows zaštitni zid;
• Lista za pretragu DNS sufiksa

Ako ne želite da konzola istovremeno prikazuje informacije o korisničkim i kompjuterskim politikama, možete koristiti opciju /scope da prikažete samo odjeljak koji vas zanima. Samo rezultirajuća korisnička pravila:

gpresult /r /scope:user

ili samo primijenjene kompjuterske politike:

gpresult /r /scope:computer

Jer Uslužni program Gpresult šalje svoje podatke direktno na konzolu komandne linije, što nije uvijek zgodno za naknadnu analizu; njegov izlaz se može preusmjeriti u međuspremnik:

gpresult /r |isječak

ili tekstualni fajl:

gpresult /r > c:\gpresult.txt

Za prikaz super-detaljnih RSOP informacija, dodajte /z prekidač.

HTML RSOP izvještaj koristeći GPResult

Osim toga, uslužni program GPResult može generirati HTML izvještaj o primijenjenim politikama rezultata (dostupno u Windows 7 i novijim). Ovaj izvještaj će sadržavati detaljne informacije o svim sistemskim postavkama koje su postavljene grupnim politikama i nazivima specifičnih GPO-ova koji ih postavljaju (rezultirajući izvještaj o strukturi podsjeća na karticu Postavke u Konzoli za upravljanje grupnim politikama domene - GPMC). Možete generirati HTML GPResult izvještaj koristeći naredbu:

GPResult /h c:\gp-report\report.html /f

Da biste generirali izvještaj i automatski ga otvorili u pretraživaču, pokrenite naredbu:

GPResult /h GPResult.html & GPResult.html

Gpresult HTML izvještaj sadrži dosta korisnih informacija: vidljive su greške GPO aplikacije, vrijeme obrade (u ms) i primjena specifičnih politika i CSE (u odjeljku Detalji o računaru -> Status komponente). Na primjer, na gornjoj snimci ekrana, možete vidjeti da se politika s postavkama 24 lozinke pamte primjenjuje Default Domain Policy (Winning GPO kolona). Kao što vidite, takav HTML izvještaj je mnogo pogodniji za analizu primijenjenih politika od konzole rsop.msc.

Dobivanje GPResult podataka sa udaljenog računara

GPResult takođe može prikupljati podatke sa udaljenog računara, eliminišući potrebu da se administrator prijavi lokalno ili RDP na udaljeni računar. Format komande za prikupljanje RSOP podataka sa udaljenog računara je sledeći:

GPResult /s server-ts1 /r

Slično, možete daljinski prikupljati podatke iz korisničkih politika i kompjuterskih politika.

korisničko ime nema RSOP podataka

Sa omogućenim UAC-om, pokretanje GPResult-a bez povišenih privilegija prikazuje samo postavke za prilagođeni odjeljak grupnih politika. Ako trebate prikazati oba odjeljka (KORISNIČKE POSTAVKE i POSTAVKE RAČUNARA) istovremeno, naredba se mora pokrenuti. Ako je povišeni komandni redak na sistemu koji nije trenutni korisnik, uslužni program će izdati upozorenje INFO: Thekorisnik“domen\user”da lineimatiRSOPpodaci ( Korisnik 'domena\korisnik' nema RSOP podataka). To je zato što GPResult pokušava prikupiti informacije za korisnika koji ga je pokrenuo, ali zato Ovaj korisnik se nije prijavio na sistem i RSOP informacije nisu dostupne za ovog korisnika. Da biste prikupili RSOP informacije za korisnika s aktivnom sesijom, morate navesti njegov račun:

gpresult /r /user:tn\edward

Ako ne znate naziv naloga koji je prijavljen na udaljenom računaru, nalog možete dobiti ovako:

qwinsta /SERVER:remotePC1

Također provjerite vrijeme(a) na klijentu. Vrijeme mora odgovarati vremenu na PDC-u (Primary Domain Controller).

Sljedeće GPO politike nisu primijenjene jer su filtrirane

Prilikom rješavanja problema grupnih politika, također treba obratiti pažnju na odjeljak: Sljedeći GPO-ovi nisu primijenjeni jer su filtrirani (Sljedeće GPO politike nisu primijenjene jer su filtrirane). Ovaj odjeljak prikazuje popis GPO-ova koji se, iz jednog ili drugog razloga, ne primjenjuju na ovaj objekt. Moguće opcije na koje se politika možda ne primjenjuje:

Također možete razumjeti da li se politika treba primijeniti na određeni AD objekt na kartici Efektivne dozvole (Napredno -> Efektivni pristup).

Dakle, u ovom članku smo pregledali karakteristike dijagnosticiranja primjene grupnih politika pomoću uslužnog programa GPResult i pregledali tipične scenarije za njegovu upotrebu.

Pre nego što razvijete socket server, potrebno je da kreirate server politike koji govori Silverlight-u kojim klijentima je dozvoljeno da se povežu na socket server.

Kao što je gore prikazano, Silverlight ne dozvoljava učitavanje sadržaja ili pozivanje web usluge ako domena nema .xml clientaccesspolicy ili crossdomain datoteku. xml gdje su ove operacije eksplicitno dozvoljene. Slično ograničenje se primjenjuje na socket server. Ako ne dozvolite klijentskom uređaju da preuzme clientaccesspolicy .xml datoteku koja omogućava daljinski pristup, Silverlight će odbiti da uspostavi vezu.

Nažalost, pružanje politike pristupa klijentu. cml za socket aplikaciju je veći izazov od pružanja putem web stranice. Kada koristite web stranicu softver web server može pružiti clientaccesspolicy .xml datoteku, samo ne zaboravite da je dodate. U isto vrijeme, kada koristite socket aplikaciju, morate otvoriti utičnicu kojoj klijentske aplikacije mogu pristupiti sa zahtjevima politike. Osim toga, morate ručno kreirati kod koji služi soketu. Da biste izvršili ove zadatke, morate kreirati server za politike.

U nastavku ćemo pokazati da server politika radi na isti način kao i server poruka, samo rukuje malo jednostavnijim interakcijama. Serveri za poruke i politike se mogu kreirati zasebno ili kombinovati u jednoj aplikaciji. U drugom slučaju, oni moraju slušati zahtjeve na različitim nitima. U ovom primjeru, kreirat ćemo server za politike, a zatim ga kombinirati sa serverom za poruke.

Da biste kreirali server za politike, prvo morate kreirati .NET aplikaciju. Bilo koja vrsta .NET aplikacije može poslužiti kao server politike. Najlakši način je korištenje konzolne aplikacije. Nakon što otklonite greške u aplikaciji konzole, možete premjestiti svoj kod u Windows uslugu tako da radi u pozadini cijelo vrijeme.

Datoteka politike

Slijedi datoteka politike koju obezbjeđuje server politike.

Datoteka politike definira tri pravila.

Omogućava pristup svim portovima od 4502 do 4532 (ovo je cijeli niz portova koje podržava Silverlight dodatak). Da biste promijenili raspon dostupnih portova, promijenite vrijednost atributa porta elementa.

Dozvoljava TCP pristup (dozvola je definirana u atributu protokola elementa).

Dozvoljava poziv sa bilo koje domene. Stoga, Silverlight aplikacija koja uspostavlja vezu može biti hostovana na bilo kojoj web stranici. Da biste promijenili ovo pravilo, trebate urediti uri atribut elementa.

Da bi se stvari olakšale, pravila politike se postavljaju u clientaccess-ploi.cy.xml datoteku koja se dodaje projektu. IN vizuelni studio Postavka Kopiraj u izlazni direktorij datoteke politike mora biti postavljena na Uvijek kopiraj. treba samo pronaći datoteku na tvrdom disku, otvoriti je i vratiti sadržaj klijentskom uređaju.

PolicyServer klasa

Funkcionalnost servera politika zasniva se na dvije ključne klase: PolicyServer i PolicyConnection. Klasa PolicyServer obrađuje čekanje na veze. Kada primi vezu, on prenosi kontrolu na novu instancu klase PoicyConnection, koja klijentu prosljeđuje datoteku politike. Ova dvodijelna procedura je uobičajena u mrežnom programiranju. Vidjet ćete ga više puta kada radite sa serverima za poruke.

Klasa PolicyServer učitava datoteku politike sa tvrdog diska i pohranjuje je u polje kao niz bajtova.

javna klasa PolicyServer

politika privatnih bajtova;

public PolicyServer(string policyFile) (

Za početak slušanja, serverska aplikacija mora pozvati PolicyServer. Start(). On stvara TcpListener objekat koji osluškuje zahtjeve. Objekt TcpListener je konfiguriran da sluša na portu 943. U Silverlight-u, ovaj port je rezerviran za servere politika. Prilikom postavljanja zahtjeva za datoteke politika, aplikacija Silverlight ih automatski usmjerava na port 943.

privatni slušalac TcpListener;

public void Start()

// Kreirajte slušaoca

slušalac = novi TcpListener(IPAddress.Any, 943);

// Počnite slušati; metoda Start() vraća II odmah nakon poziva listener.Start();

// Čeka se konekcija; metoda se odmah vraća;

II čekanje se radi u posebnoj temi

Da prihvati ponuđenu vezu, server politike poziva metodu BeginAcceptTcpClient(). Kao i sve metode Beginxxx() .NET frameworka, vraća se odmah nakon poziva, izvodeći potrebne operacije na posebnoj niti. Za mrežne aplikacije, ovo je vrlo značajan faktor jer omogućava da se mnogi zahtjevi za datoteke politike obrađuju u isto vrijeme.

Bilješka. Mrežni programeri početnici se često pitaju kako se više od jednog zahtjeva može obraditi u isto vrijeme, i misle da je za to potrebno nekoliko servera. Međutim, nije. S ovim pristupom, klijentske aplikacije bi brzo ostale bez dostupnih portova. U praksi, serverske aplikacije obrađuju mnoge zahtjeve preko jednog porta. Ovaj proces je nevidljiv aplikacijama jer ugrađeni TCP podsistem u Windowsu automatski identifikuje poruke i usmerava ih na odgovarajuće objekte u kodu aplikacije. Svaka veza je jedinstveno identifikovana na osnovu četiri parametra: IP adresa klijenta, broj porta klijenta, IP adresa servera i broj porta servera.

Na svaki zahtjev pokreće se metoda povratnog poziva OnAcceptTcpClient(). Ponovo poziva metodu BeginAcceptTcpClient O da počne čekati sljedeći zahtjev u drugoj niti, a zatim počinje s obradom trenutnog zahtjeva.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) povratak;

Console.WriteLine("Primljen zahtjev za politiku."); // Čeka se sljedeća veza.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Rukovanje trenutnom vezom.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nova PolicyConnection(klijent, politika); policyConnection.HandleRequest() ;

uhvatiti (greška izuzetka) (

Svaki put kada se primi nova konekcija, kreira se novi PolicyConnection objekt za rukovanje. Dodatno, PolicyConnection objekt održava datoteku politike.

Posljednja komponenta PolicyServer klase je Stop() metoda, koja prestaje čekati zahtjeve. Aplikacija ga poziva kada se završi.

privatni bool jeStopped;

javna praznina StopO(

isStopped = istina;

slušalac. stop();

uhvatiti (greška izuzetka) (

Console.WriteLine(err.Message);

Sljedeći kod se koristi u metodi Main() poslužitelja aplikacija za pokretanje poslužitelja politika.

static void Main (args niza) (

PolicyServer policyServer = novi PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Pokrenuta politika servera."); Console.WriteLine("Pritisnite tipku Enter za izlaz.");

// Čeka se pritisak na tipku; koristeći // Console.ReadKey() metodu, možete ga postaviti da čeka određeni // red (na primjer, quit) ili pritisnuti bilo koju tipku Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Završni server politike.");

PolicyConnection klasa

Klasa PolicyConnection obavlja jednostavniji zadatak. Objekt PolicyConnection pohranjuje referencu na podatke datoteke politike. Zatim, nakon što se pozove metoda HandleRequest(), objekt PolicyConnection dohvaća novu vezu iz mrežnog toka i pokušava je pročitati. Klijentski uređaj mora poslati string koji sadrži tekst. Nakon čitanja ovog teksta, klijentski uređaj upisuje podatke politike u stream i zatvara vezu. Slijedi kod klase PolicyConnection.

javna klasa PolicyConnection(

privatni TcpClient klijent; politika privatnih bajtova;

public PolicyConnection(TcpClient klijent, politika bajtova) (

this.client = klijent; this.policy = politika;

// Kreirajte privatni statički string zahtjeva klijenta policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Čitanje niza upita politike

bajt bafer = novi bajt;

// Čekaj samo 5 sekundi client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Prosljeđivanje politike (također možete provjeriti ima li zahtjev politike // potreban sadržaj) s.Write(policy, 0, policy.Length);

// Zatvaranje veze client.Close();

Console.WriteLine("Datoteka politike poslužena.");

Dakle, imamo potpuno operativan server politike. Nažalost, još se ne može testirati jer dodatak Silverlight ne dozvoljava eksplicitno traženje datoteka politike. Umjesto toga, automatski ih traži kada pokušava koristiti socket aplikaciju. Prije nego što možete kreirati klijentsku aplikaciju za ovu socket aplikaciju, morate kreirati server.

U prethodnim člancima ove serije naučili ste kako efikasno koristiti funkcionalnost lokalnih sigurnosnih politika, koje vam omogućavaju da maksimalno zaštitite infrastrukturu vaše organizacije od napada zlonamjernika spolja, kao i od većine radnji nesposobnih zaposlenika. . Već znate kako možete efikasno postaviti politike naloga koje vam omogućavaju da upravljate složenošću korisničkih lozinki, postavite politike revizije za dalju analizu autentifikacije vaših korisnika u sigurnosnom dnevniku. Osim toga, naučili ste kako da dodijelite prava svojim korisnicima kako biste izbjegli oštećenje vašeg sistema, pa čak i računara na vašem intranetu, i kako možete efikasno konfigurirati evidencije događaja, ograničene grupe, sistemske usluge, registar i sistem datoteka. U ovom članku ćemo nastaviti naše proučavanje lokalnih sigurnosnih politika, a vi ćete naučiti o sigurnosnim postavkama žičane mreže za vaše preduzeće.

Microsoft-ovi serverski operativni sistemi, počevši od Windows Servera 2008, uveli su komponentu Politike žičane mreže (IEEE 802.3), koja obezbeđuje automatsku konfiguraciju za primenu usluga ožičenog pristupa sa IEEE 802.1X autentifikacijom za Ethernet 802.3 mrežne klijente. Za implementaciju sigurnosnih postavki za žičane mreže pomoću grupnih politika, operativni sistemi koriste Wired AutoConfig uslugu (Wired AutoConfig - DOT3SVC). Trenutna usluga je odgovorna za IEEE 802.1X autentifikaciju prilikom povezivanja Ethernet mreže sa kompatibilnim 802.1X prekidačima i upravlja profilom koji se koristi za konfiguraciju mrežnog klijenta za autentificirani pristup. Također je vrijedno napomenuti da ako koristite ove politike, onda je poželjno spriječiti korisnike u vašoj domeni da mijenjaju način pokretanja ove usluge.

Konfiguriranje politike ožičene mreže

Postavke politike žičane mreže možete postaviti direktno iz dodatka. Da biste konfigurirali ove postavke, slijedite ove korake:

1. Otvorite dodatak i izaberite čvor u stablu konzole, kliknite desnim tasterom miša na njega i izaberite komandu iz kontekstnog menija "Kreiranje nove politike žičane mreže za Windows Vista i novije" kao što je prikazano na sljedećoj ilustraciji:

   Rice. 1. Kreirajte politiku žičane mreže

2. U otvorenom dijaloškom okviru "Nova politika za svojstva žičanih mreža", na kartici "su uobičajeni", možete odrediti da koristite Wired AutoConfig uslugu za konfiguriranje LAN adaptera za povezivanje na žičanu mrežu. Pored postavki politike koje se primjenjuju na Windows Vista i novije operativne sisteme, postoje neke postavke politike koje će se primjenjivati ​​samo na Windows 7 i Windows Server 2008 R2 operativne sisteme. Na ovoj kartici možete učiniti sljedeće:
   • Naziv politike. U ovom tekstualnom okviru možete dati naziv svojoj politici žičane mreže. Možete vidjeti naziv politike u oknu s detaljima čvora "Politika žičane mreže (IEEE 802.3)" snap Urednik upravljanja grupnim politikama;
   • Opis. Ovaj okvir za tekst služi za popunjavanje detaljnog opisa svrhe politike ožičene mreže;
   • Koristite Windows Wired AutoConfig uslugu za klijente. Ova opcija vrši stvarnu konfiguraciju i povezuje klijente na žičanu 802.3 mrežu. Ako onemogućite ovu opciju, tada operativni sistem Windows neće kontrolirati žičanu mrežnu vezu i postavke politike neće stupiti na snagu;
   • Spriječite korištenje zajedničkih korisničkih vjerodajnica za mrežnu autentifikaciju. Ova postavka određuje da li korisnik treba biti spriječen da pohranjuje dijeljene korisničke vjerodajnice za mrežnu provjeru autentičnosti. Ovu postavku možete promijeniti lokalno pomoću naredbe netsh lan set allowexplicitcreds;
   • Omogući period blokiranja. Ova postavka određuje hoće li se spriječiti automatsko povezivanje računara na žičanu mrežu u trajanju od broja minuta koji odredite. Podrazumevano je 20 minuta. Period blokade je podesiv od 1 do 60 minuta.

"su uobičajeni" Pravila žičane mreže:

Rice. 2. Kartica Opšte u dijaloškom okviru postavki politike žičane mreže

3. Na kartici "Sigurnost" pruža opcije konfiguracije za metodu provjere autentičnosti i način žične veze. Možete konfigurirati sljedeće sigurnosne postavke:
   • Omogućite IEEE 802.1X autentifikaciju za pristup mreži. Ova opcija se koristi direktno za omogućavanje ili onemogućavanje 802.1X autentifikacije pristup mreži. Ova opcija je podrazumevano omogućena;
   • Odaberite metodu mrežne provjere autentičnosti. Koristeći ovu padajuću listu, možete odrediti jedan od metoda provjere autentičnosti mrežnog klijenta koji će se primijeniti na vašu politiku ožičene mreže. Za izbor su dostupne sljedeće dvije opcije:
     • Microsoft: zaštićeni EAP-ovi (PEAP). Za ovu metodu provjere autentičnosti, prozor "Svojstva" sadrži konfiguracijske postavke za korištenje metode provjere autentičnosti;
     • Microsoft: pametne kartice ili drugi sertifikat. Za ovu metodu provjere autentičnosti, u prozoru "Svojstva" pruža opcije konfiguracije koje vam omogućavaju da odredite pametnu karticu ili certifikat na koji ćete se povezati, kao i listu pouzdanih korijenskih CA.

   Metoda odabrana po defaultu Microsoft: zaštićeni EAP-ovi (PEAP);

4. Authentication Mode. Ova padajuća lista se koristi za izvođenje provjera mreže autentičnost. Dostupne su sljedeće četiri opcije za odabir:
   • Autentifikacija korisnika ili računara. Ako je ova opcija odabrana, koristit će se sigurnosni akreditivi na osnovu trenutnog stanja računara. Čak i ako nijedan korisnik nije prijavljen, autentifikacija će se izvršiti pomoću akreditiva računara. Kada se korisnik prijavi, koristit će se vjerodajnice prijavljenog korisnika. Microsoft preporučuje korištenje ove postavke načina provjere autentičnosti u većini slučajeva.
   • Samo za računar. U ovom slučaju, autentifikuju se samo akreditivi računara;
   • Autentifikacija korisnika. Odabir ove opcije prisiljava autentifikaciju korisnika samo kada se povezuje na novi 802.1X uređaj. U svim ostalim slučajevima, autentifikacija se vrši samo za računar;
   • Autentifikacija gosta. Ova postavka vam omogućava da se povežete na mrežu na osnovu računa gosta.
5. Maksimalan broj grešaka u autentifikaciji. Ova postavka vam omogućava da odredite maksimalan broj grešaka u autentifikaciji. Zadana vrijednost je 1;
6. Keširajte korisničke podatke za naknadne veze na ovu mrežu. Kada je ova postavka omogućena, korisnički akreditivi će biti pohranjeni u sistemskom registru i nikakvi vjerodajnici neće biti traženi kada se korisnik odjavi, a zatim prijavi.

Sljedeća ilustracija prikazuje karticu "Sigurnost" ovaj dijaloški okvir:

Rice. 3. Kartica Sigurnost dijaloškog okvira postavki politike žičane mreže

Svojstva načina provjere autentičnosti

Kao što je spomenuto u prethodnom odjeljku, za oba načina provjere autentičnosti postoje dodatna podešavanja koja se pozivaju klikom na dugme "Svojstva". U ovom odjeljku ćemo pokriti sve moguće postavke za metode provjere autentičnosti.

Postavke metoda provjere autentičnosti "Microsoft: Secure EAP (PEAP)".

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) je proširiva infrastruktura za autentifikaciju koja definira format paketa. Dostupne su sljedeće opcije za konfiguriranje ove metode provjere autentičnosti:

Omogućite brzo ponovno povezivanje. Ova opcija omogućava korisnicima sa bežični računari brzo se kretati između pristupnih tačaka bez ponovne provjere autentičnosti na novu mrežu. Ovo prebacivanje može raditi samo za pristupne tačke koje su konfigurisane kao RADIUS klijenti. Ova opcija je podrazumevano omogućena;

Omogućite zaštitu pristupa mreži. Kada je ova opcija odabrana, prije nego što se dozvoli EAP moliteljima da se povežu na mrežu, izvršit će se odgovarajuće provjere kako bi se utvrdila provjera zdravstvenih zahtjeva;

Prekinite vezu ako server ne podržava šifrovano povezivanje putem TLV mehanizma. Ova opcija je odgovorna za izazivanje povezivanja klijenata da prekine proces provjere autentičnosti ako RADIUS server ne pruži kriptografsku TLV vrijednost povezivanja koja poboljšava sigurnost TLS tunela u PEAP-u kombiniranjem internih i eksternih metoda provjere autentičnosti tako da napadači ne mogu izvršiti napade neovlaštenog pristupa. treća strana;

Omogućite identitet privatnosti. Ova postavka sprječava klijente da predaju svoj identitet prije nego što klijent potvrdi autentičnost RADIUS servera i opciono pruža mjesto za unos anonimne vrijednosti identiteta.

Dijaloški okvir Secure EAP Properties prikazan je na sljedećoj ilustraciji:

Rice. 5. Dijaloški okvir Secure EAP Properties

Postavke načina autentifikacije "Smart kartica ili drugi certifikat - EAP-TLS postavke"

Dostupne su sljedeće opcije za konfiguraciju ove metode provjere autentičnosti:

• Koristi moju pametnu karticu prilikom povezivanja. Ako postavite radio dugme na ovu poziciju, klijenti koji podnose zahtjeve za autentifikaciju će predstaviti certifikat pametne kartice za mrežnu autentifikaciju;
• Prilikom povezivanja koristite certifikat na ovom računaru. Kada se odabere ova opcija, provjera veze klijenta će koristiti certifikat koji se nalazi u trenutnom korisniku ili lokalnoj prodavnici računala;
• Koristite jednostavan odabir certifikata. Ova opcija omogućava operativnom sistemu Windows da filtrira certifikate koji ne ispunjavaju zahtjeve za provjeru autentičnosti;
• Provjerite certifikat servera. Ova opcija vam omogućava da postavite verifikaciju serverskog certifikata koji se dostavlja klijentskim računarima za važeći potpis koji nije istekao, kao i prisustvo pouzdanog root certifikacionog tijela koje je izdalo certifikat ovom serveru
• Povežite se sa serverima. Ova opcija je identična opciji istog imena opisanoj u prethodnom odeljku;
• Trusted korijenski centri certifikat. Baš kao iu dijalogu bezbednih EAP svojstava, na ovoj listi možete pronaći sva pouzdana osnovna autoriteta za sertifikaciju koja su instalirana u skladištima sertifikata korisnika i računara;
• Nemojte tražiti od korisnika da ovlasti nove servere ili pouzdane autoritete certifikata. Označavanjem ove opcije, ako postoji pogrešno konfiguriran certifikat servera ili je prisutan na listi za korisnika, neće se prikazati dijaloški okvir u kojem se traži da ovlastite takav certifikat. Ova opcija je podrazumevano onemogućena;
• Koristite drugo korisničko ime za povezivanje. Ova postavka određuje hoće li se za autentifikaciju koristiti drugačije korisničko ime od korisničkog imena u certifikatu. Kada je omogućena opcija korištenja drugačijeg korisničkog imena, morate odabrati najmanje jedan certifikat s popisa pouzdanih korijenskih CA.

Dijaloški okvir za postavljanje pametnih kartica ili drugih certifikata prikazan je na sljedećoj ilustraciji:

Rice. 6. Dijaloški okvir za postavljanje pametnih kartica ili drugih certifikata

Ako niste sigurni u certifikat koji odaberete, onda klikom na dugme "Pogledaj certifikat" moći će vidjeti sve detalje odabranog certifikata kao što je prikazano u nastavku:

Rice. 7. Pogledajte certifikat s liste pouzdanih korijenskih certifikacijskih tijela

Napredne sigurnosne opcije žične politike

Verovatno ste to primetili na kartici "Sigurnost" U dijaloškom okviru Postavke politike žičane mreže postoje dodatne sigurnosne opcije za promjenu ponašanja mrežnih klijenata koji traže pristup sa 802.1X autentifikacijom. Napredne postavke žične politike mogu se podijeliti u dvije grupe - postavke IEEE 802.1X i postavke jedinstvene prijave. Pogledajmo svaku od ovih grupa:

U grupi postavki IEEE 802.1X možete odrediti karakteristike zahtjeva za žičanu mrežu sa 802.1X autentifikacijom. Dostupne su sljedeće opcije za uređivanje:

• Primijenite napredne postavke 802.1X. Ova opcija vam omogućava da aktivirate sljedeća četiri podešavanja;
• Max. EAPOL poruke. EAPOL je EAP protokol koji se koristi prije nego što računar ima vremena da se autentifikuje, a tek nakon uspješne „loginacije“ sav ostali promet će moći proći kroz switch port na koji je ovaj računar povezan. Ovaj parametar kontrolira maksimalan broj poslanih EAPOL-Start poruka;
• Period kašnjenja (s). Ova postavka kontrolira kašnjenje, u sekundama, prije nego što se izvrši sljedeći 802.1X zahtjev za provjeru autentičnosti nakon prijema obavijesti o neuspjehu autentifikacije;
• Početni period (početni period). Ovaj parametar kontrolira količinu vremena za čekanje prije ponovnog slanja uzastopnih EAPOL-Start poruka;
• Period provjere (sek). Ovaj parametar specificira broj sekundi između ponovnog slanja uzastopnih početnih EAPOL poruka nakon pokretanja 802.1X provjere prolaznog pristupa;
• EAPOL-Start poruka. Sa ovim parametrom možete odrediti sljedeće karakteristike prijenosa početnih EAPOL poruka:
  • Nemojte prenositi. Ako je ova opcija odabrana, EAPOL poruke se neće prenositi;
  • Prebačeno. Ako je ova opcija odabrana, klijent će morati ručno poslati početne EAPOL poruke;
  • IEEE 802.1X prijenos. Ako je ova opcija odabrana (podrazumevano), EAPOL poruke će se automatski slati, čekajući da počne 802.1X autentifikacija.

Kada koristite jednostruko prijavljivanje, autentifikacija se mora izvršiti na osnovu konfiguracije mrežne sigurnosti tokom procesa prijave korisnika na operativni sistem. Dostupne su sljedeće opcije za potpuno konfiguriranje SSO profila:

• Omogućite jedinstvenu prijavu za mrežu. Omogućavanje ove opcije aktivira postavke jedinstvene prijave;
• Omogućite neposredno prije prijave korisnika. Ako označite ovu opciju, tada će se 802.1X autentifikacija izvršiti prije nego što korisnik završi prijavu;
• Omogućite odmah nakon prijave korisnika. Ako označite ovu opciju, tada će se 802.1X autentifikacija izvršiti nakon što se korisnik prijavi;
• Max. kašnjenje veze. Ovaj parametar specificira maksimalno vrijeme za koje mora biti dovršena autentifikacija i, shodno tome, koliko dugo će korisnik čekati prije nego se pojavi prozor za prijavu korisnika;
• Dozvolite da se dodatni dijalozi prikazuju pri jedinstvenoj prijavi. Ova postavka je odgovorna za prikaz dijaloga za prijavu korisnika;
• Ova mreža koristi različite VLAN-ove za autentifikaciju akreditiva uređaja i korisnika. Ako odredite ovu postavku, pri pokretanju će svi računari biti smješteni u istu virtuelnu mrežu, a nakon uspješne prijave korisnika, ovisno o dozvolama, bit će prebačeni na različite virtuelne mreže. Ovu opciju ima smisla aktivirati samo ako imate nekoliko VLAN-ova u vašem preduzeću.

Dijaloški okvir naprednih sigurnosnih postavki politike žičane mreže prikazan je na sljedećoj ilustraciji:

Rice. Slika 8. Dijaloški okvir Napredne postavke sigurnosti Politika žičanih mreža

Zaključak

U ovom članku naučili ste o svim postavkama politike žičane mreže IEE 802.1X. Naučili ste kako možete kreirati takvu politiku i naučili ste o metodama EAP provjere autentičnosti i autentifikaciji pomoću pametnih kartica ili drugih certifikata. U sljedećem članku ćete naučiti o lokalnim sigurnosnim politikama Network List Manager.

Smernice u Exchange Serveru 2003 su dizajnirane da povećaju fleksibilnost administracije dok istovremeno smanjuju opterećenje za administratore. Politika je skup postavki konfiguracije koje se primjenjuju na jedan ili više objekata iste klase u Exchangeu. Na primjer, možete kreirati politiku koja utiče na određene postavke na nekim ili svim Exchange serverima. Ako trebate promijeniti ove postavke, samo trebate izmijeniti ovu politiku i ona će se primijeniti na odgovarajuću organizaciju servera.

Postoje dvije vrste politika: politika sistema i politika primaoca. Politike primatelja primjenjuju se na objekte pristupa pošti i određuju kako se generiraju adrese e-pošte. Politike primatelja razmatraju se u "Kreiranje primatelja i upravljanje njima". Sistemske politike primjenjuju se na servere, skladišta poštanskih sandučića i javne mape. Ove politike se pojavljuju u kontejneru Politike unutar grupe odgovorne za administracija ovu politiku (Slika 12.10).

Rice. 12.10. Objekt sistemske politike

Bilješka. Instalacija Exchange Server 2003 ne kreira podrazumevani kontejner za sistemske politike. Mora se kreirati prije izgradnje sistemskih politika. Kliknite desnim tasterom miša na administrativnu grupu u kojoj želite da kreirate fasciklu smernica, zadržite pokazivač miša iznad Novo i izaberite Kontejner sistemske politike.

Kreirajte sistemsku politiku

Da kreirate sistemsku politiku, idite na odgovarajući kontejner Sistemske politike, kliknite desnim tasterom miša na kontejner, a zatim izaberite tip politike za kreiranje: politika servera, politika skladišta poštanskog sandučeta ili politika skladištenja javnih fascikli.

Kada radite sa sistemskim politikama, obavezno kreirajte objekt politike u grupi koji je odgovoran za administriranje te politike. U suprotnom, može doći do greške u izboru ljudi koji vrše administrativnu kontrolu nad kritičnim politikama. Pogledajmo kako se kreira svaka od tri vrste politika, počevši od politika servera.

Kreirajte politiku servera

Politika servera definira postavke za praćenje poruka i održavanje datoteke dnevnika. Ne odnosi se na sigurnosne postavke ili druge postavke servera u ovoj administrativnoj grupi. Da kreirate politiku servera, kliknite desnim tasterom miša na kontejner Sistemske politike, postavite pokazivač na Novo, a zatim izaberite opciju Politika servera. Pojavit će se dijaloški okvir Nova politika, prikazan na slici 1. 12.11, koji specificira kartice koje se pojavljuju na stranici svojstava politike. Postoji samo jedna opcija za politiku servera: kartica Opšte. Označite opciju za ovu karticu, a zatim kliknite na OK. Prikazat će se konfiguracijski prozor u kojem će se kreirati politika.

Rice. 12.11.

Nakon toga, potrebno je da unesete naziv politike u prozor kartice Općenito na stranici sa svojstvima politike. Kao što je prikazano na slici 12.12, zapravo postoje dvije kartice General. Prva kartica se koristi za unos naziva politike. Odaberite naziv da opišete zadatak koji je ova politika namijenjena da izvrši, kao što je Politika praćenja poruka ili Omogući smjernice za evidentiranje predmeta. Odgovarajući naziv odabran u ovoj fazi će uštedjeti vrijeme jer neće biti potrebno otvarati stranicu svojstava politike da bi se odredila njena svrha.

Kartica Opšte (Politika) prikazana na sl. 12.13 sadrži stvarne postavke politike primijenjene na Exchange servere dotične organizacije. Kartica se zove Općenito (Politika) jer potencijalno konfigurira karticu Općenito na stranicama sa svojstvima za sve dostupne servere. (Kasnije u ovom poglavlju ćemo vidjeti kako primijeniti ovu politiku na sve servere u organizaciji.) Ako uporedite ovu karticu sa karticom Općenito na stranici sa svojstvima servera, vidjet ćete da su kartice iste osim za identifikacione informacije na vrhu kartice.

Kartica Opšte (Politika) omogućava evidentiranje i omogućavanje evidentiranja i prikaza predmeta za sve postojeće servere Exchange 2003. Ova postavka radi u sprezi sa opcijom Omogući praćenje poruka, koja vam omogućava da pratite poruke poslate u organizaciji. Ove opcije su korisne za rješavanje izvora problema koji se javljaju kada neki korisnici ne primaju poruke od drugih korisnika. Moguće je pratiti prolazak poruke kroz organizaciju kako bi se utvrdilo gdje postoje problemi s prijenosom podataka. Za više informacija o praćenju poruka i evidentiranju predmeta poruke, pogledajte Poglavlje 6, Funkcionalnost, sigurnost i podrška Exchange Servera 2003.

Rice. 12.12.

Rice. 12.13.

Jednom kada politika stupi na snagu, ne može se promijeniti na nivou lokalnog servera. Politika praćenja poruka koju smo koristili kao primjer generirana je na serveru EX-SRV1 u administrativnoj grupi Arizone. On

Funkcionalnost u Windows Server operativnom sistemu se proračunava i poboljšava od verzije do verzije, sve je više uloga i komponenti, pa ću u današnjem članku pokušati ukratko opisati opis i svrhu svake uloge u Windows Serveru 2016.

Prije nego što pređemo na opis uloga Windows Server servera, hajde da saznamo šta je tačno " Uloga servera» na operativnom sistemu Windows Server.

Šta je "uloga servera" u Windows Serveru?

Uloga servera- ovo je softverski paket koji osigurava izvođenje određene funkcije od strane servera, a ova funkcija je glavna. Drugim riječima, " Uloga servera' je odredište servera, tj. čemu služi. Tako da server može obavljati svoju glavnu funkciju, tj. određenu ulogu u Uloga servera» uključuje sav potreban softver za ovo ( programi, usluge).

Server može imati jednu ulogu ako se aktivno koristi ili nekoliko ako svaka od njih ne opterećuje server i rijetko se koristi.

Uloga poslužitelja može uključivati ​​višestruke usluge uloga koje pružaju funkcionalnost uloge. Na primjer, u ulozi servera " Web server (IIS)” uključuje prilično veliki broj usluga, a uloga “ DNS server» ne uključuje usluge uloga, jer ova uloga obavlja samo jednu funkciju.

Role Services se mogu instalirati zajedno ili pojedinačno, ovisno o vašim potrebama. U suštini, instaliranje uloge znači instaliranje jedne ili više njenih usluga.

Windows Server takođe ima " Komponente» server.

Komponente servera (funkcija)- Ovo softver, koji nisu uloga servera, ali poboljšavaju jednu ili više uloga ili upravljaju jednom ili više uloga.

Neke uloge se ne mogu instalirati ako poslužitelj nema potrebne usluge ili komponente koje su potrebne za funkcioniranje uloga. Stoga, u vrijeme postavljanja takvih uloga " Čarobnjak za dodavanje uloga i funkcija» automatski će od vas zatražiti da instalirate potrebne dodatne usluge ili komponente uloga.

Opis uloga servera Windows Server 2016

Vjerovatno ste već upoznati sa mnogim ulogama koje postoje u Windows Serveru 2016, budući da postoje već duže vrijeme, ali kao što sam rekao, sa svakom novom Windows verzija Server, dodaju se nove uloge s kojima možda još niste radili, ali biste željeli znati čemu služe, pa hajde da ih pogledamo.

Bilješka! O novim funkcijama Windows Server 2016 operativnog sistema možete pročitati u materijalu "Instalacija Windows Server 2016 i pregled novih funkcija".

Budući da se instalacija i administracija uloga, usluga i komponenti vrlo često dešava sa koristeći Windows PowerShell , za svaku ulogu i njenu uslugu naznačit ću naziv koji se može koristiti u PowerShell-u, odnosno za njegovu instalaciju ili za upravljanje.

DHCP server

Ova uloga vam omogućava da centralno konfigurišete dinamičke IP adrese i povezane postavke za računare i uređaje na vašoj mreži. Uloga DHCP servera nema usluge uloga.

Naziv za Windows PowerShell je DHCP.

DNS server

Ova uloga je namijenjena za rješavanje imena u TCP/IP mrežama. Uloga DNS servera obezbeđuje i održava DNS. Da bi se pojednostavilo upravljanje DNS serverom, on se obično instalira na istom serveru kao Active Directory Domain Services. Uloga DNS servera nema usluge uloga.

Ime uloge za PowerShell je DNS.

Hyper-V

Uz Hyper-V ulogu, možete kreirati i upravljati virtueliziranim okruženjem. Drugim riječima, to je alat za kreiranje i upravljanje virtuelne mašine.

Naziv uloge za Windows PowerShell je Hyper-V.

Potvrda o zdravstvenom stanju uređaja

uloga " » omogućava procjenu zdravlja uređaja na osnovu izmjerenih indikatora sigurnosnih parametara, kao što su indikatori stanja sigurnog pokretanja i Bitlocker na klijentu.

Za funkcioniranje ove uloge potrebno je puno servisa i komponenti uloga, na primjer: nekoliko servisa iz uloge " Web server (IIS)", komponenta " ", komponenta " .NET Framework 4.6 karakteristike».

Tokom instalacije, sve potrebne usluge i funkcije uloga će biti automatski odabrane. uloga" Potvrda o zdravstvenom stanju uređaja» Ne postoje servisi uloga.

Naziv za PowerShell je DeviceHealthAttestationService.

Web server (IIS)

Pruža pouzdanu, upravljivu i skalabilnu infrastrukturu web aplikacija. Sastoji se od prilično velikog broja usluga (43).

Naziv za Windows PowerShell je Web-Server.

Uključuje sljedeće usluge uloga ( u zagradama ću navesti naziv za Windows PowerShell):

Web server (Web-WebServer)- Grupa usluga uloga koja pruža podršku za HTML web stranice, ASP.NET ekstenzije, ASP i web server. Sastoji se od sljedećih usluga:

• Sigurnost (Web Security)- skup usluga za osiguranje sigurnosti web servera.
  • Filtriranje zahtjeva (Web-Filtering) - pomoću ovih alata možete obraditi sve zahtjeve koji dolaze na server i filtrirati te zahtjeve na osnovu posebnih pravila koja postavlja administrator web servera;
  • IP adresa i ograničenja domena (Web-IP-Security) - ovi alati vam omogućavaju da dozvolite ili odbijete pristup sadržaju na web serveru na osnovu IP adrese ili imena domena izvora u zahtjevu;
  • Autorizacija URL-a (Web-Url-Auth) - alati vam omogućavaju da razvijete pravila za ograničavanje pristupa web sadržaju i njihovo povezivanje sa korisnicima, grupama ili komandama HTTP zaglavlja;
  • Digest Authentication (Web-Digest-Auth) - Ova autentifikacija pruža viši nivo sigurnosti od osnovne autentifikacije. Digest autentifikacija za autentifikaciju korisnika funkcionira kao prosljeđivanje hash lozinke na Windows kontroler domene;
  • Osnovna provjera autentičnosti (Web-Basic-Auth) - Ova metoda provjere autentičnosti pruža snažnu kompatibilnost web pretraživača. Preporučuje se upotreba u malim internim mrežama. Glavni nedostatak ove metode je što se lozinke koje se prenose preko mreže mogu prilično lako presresti i dešifrirati, pa koristite ovu metodu u kombinaciji sa SSL-om;
  • Windows autentikacija (Web-Windows-Auth) je autentifikacija zasnovana na autentifikaciji Windows domene. Drugim riječima, možete koristiti Računi Active Directory za provjeru autentičnosti korisnika njihovih web stranica;
  • Provjera autentičnosti mapiranja certifikata klijenta (Web-Client-Auth) - Ova metoda provjere autentičnosti koristi certifikat klijenta. Ovaj tip koristi usluge Active Directory za pružanje mapiranja certifikata;
  • Provjera autentičnosti mapiranja IIS certifikata klijenta (Web-Cert-Auth) - Ova metoda također koristi klijentske certifikate za autentifikaciju, ali koristi IIS za pružanje mapiranja certifikata. Ovaj tip pruža bolje performanse;
  • Centralizirana podrška za SSL certifikate (Web-CertProvider) - ovi alati vam omogućavaju centralno upravljanje certifikatima SSL servera, što uvelike pojednostavljuje proces upravljanja ovim certifikatima;
• Mogućnost servisiranja i dijagnostika (Web-Health)– skup usluga za praćenje, upravljanje i rješavanje problema na web serverima, stranicama i aplikacijama:
  • http logging (Web-Http-Logging) - alati omogućavaju evidentiranje aktivnosti web stranice na datom serveru, tj. unos u dnevnik;
  • ODBC evidentiranje (Web-ODBC-Logging) – Ovi alati također omogućavaju evidentiranje aktivnosti web stranice, ali podržavaju evidentiranje te aktivnosti u ODBC kompatibilnu bazu podataka;
  • Monitor zahtjeva (Web-Request-Monitor) je alat koji vam omogućava da nadgledate zdravlje web aplikacije presretanja informacija o HTTP zahtjevima u IIS radnom procesu;
  • Prilagođeno evidentiranje (Web-Custom-Logging) - Koristeći ove alate, možete konfigurirati evidentiranje aktivnosti web servera u formatu koji se značajno razlikuje od standardnog IIS formata. Drugim riječima, možete kreirati svoj vlastiti modul za evidentiranje;
  • Alati za evidentiranje (Web-Log-Libraries) su alati za upravljanje evidencijama web servera i automatizaciju zadataka evidentiranja;
  • Praćenje (Web-Http-Tracing) je alat za dijagnosticiranje i rješavanje kršenja u web aplikacijama.
• http uobičajene funkcije (Web-Common-Http)– skup usluga koje pružaju osnovnu HTTP funkcionalnost:
  • Zadani dokument (Web-Default-Doc) - Ova funkcija vam omogućava da konfigurirate web server da vrati zadani dokument kada korisnici ne navedu određeni dokument u URL-u zahtjeva, što korisnicima olakšava pristup web stranici, na primjer, domena, bez navođenja datoteke;
  • Pregledanje direktorija (Web-Dir-Browsing) - Ovaj alat se može koristiti za konfiguraciju web servera tako da korisnici mogu vidjeti listu svih direktorija i datoteka na web stranici. Na primjer, za slučajeve u kojima korisnici ne specificiraju datoteku u URL-u zahtjeva, a zadani dokumenti su ili onemogućeni ili nisu konfigurirani;
  • http greške (Web-Http-Errors) - ova funkcija vam omogućava da konfigurišete poruke o grešci koje će biti vraćene u web pretraživače korisnika kada web server otkrije grešku. Ovaj alat se koristi za lakše predstavljanje poruka o greškama korisnicima;
  • Statički sadržaj (Web-Static-Content) − ovaj lijek omogućava vam da koristite sadržaj u obliku statičkih formata datoteka, kao što su HTML datoteke ili datoteke slika, na web serveru;
  • http preusmjeravanje (Web-Http-Redirect) - koristeći ovu funkciju, možete preusmjeriti korisnički zahtjev na određeno odredište, tj. ovo je Preusmjeravanje;
  • WebDAV Publishing (Web-DAV-Publishing) - omogućava vam korištenje WebDAV tehnologije na IIS WEB serveru. WebDAV ( Web distribuirano autorstvo i verzija) je tehnologija koja korisnicima omogućava zajednički rad ( čitanje, uređivanje, čitanje svojstava, kopiranje, premještanje) preko datoteka na udaljenim web serverima koji koriste HTTP protokol.
• Performanse (Web Performanse)- skup usluga za postizanje većih performansi web servera, kroz keširanje izlaza i uobičajene mehanizme kompresije kao što su Gzip i Deflate:
  • Kompresija statičkog sadržaja (Web-Stat-Compression) je alat za prilagođavanje kompresije http statičkog sadržaja, omogućava efikasnije korištenje propusnog opsega, bez nepotrebnog opterećenja CPU-a;
  • Dinamička kompresija sadržaja (Web-Dyn-Compression) je alat za konfiguriranje HTTP dinamičke kompresije sadržaja. Ovaj alat omogućava efikasnije korištenje propusnog opsega, ali u ovom slučaju opterećenje procesora servera povezano s dinamičkom kompresijom može usporiti web lokaciju ako je opterećenje CPU-a veliko čak i bez kompresije.
• Razvoj aplikacija (Web-App-Dev)- skup usluga i alata za razvoj i hosting web aplikacija, drugim riječima, tehnologija izrade web stranica:
  • ASP (Web-ASP) je okruženje za podršku i razvoj web stranica i web aplikacije koristeći ASP tehnologiju. Trenutno postoji novija i naprednija tehnologija izrade web stranica - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste ASP.NET tehnologiju;
  • ASP.NET 4.6 (Web-Asp-Net45) je također objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste novu verziju ASP.NET-a;
  • CGI (Web-CGI) je mogućnost korištenja CGI za prosljeđivanje informacija sa web servera na vanjski program. CGI je vrsta standarda interfejsa za povezivanje eksternog programa sa web serverom. Postoji nedostatak, upotreba CGI utiče na performanse;
  • Server Side Inclusions (SSI) (Web-Includes) je podrška za SSI skriptni jezik ( omogućiti na strani servera), koji se koristi za dinamičko generiranje HTML stranica;
  • Inicijalizacija aplikacije (Web-AppInit) - ovaj alat obavlja zadatke inicijalizacije web aplikacija prije slanja web stranice;
  • WebSocket protokol (Web-WebSockets) - dodavanje mogućnosti kreiranja serverskih aplikacija koje komuniciraju koristeći WebSocket protokol. WebSocket je protokol koji može slati i primati podatke istovremeno između pretraživača i web servera preko TCP veze, svojevrsne ekstenzije HTTP protokola;
  • ISAPI ekstenzije (Web-ISAPI-Ext) - podrška za dinamički razvoj web sadržaja pomoću ISAPI aplikacijskog programskog interfejsa. ISAPI je API za IIS web server. ISAPI aplikacije su mnogo brže od ASP datoteka ili datoteka koje pozivaju COM+ komponente;
  • .NET 3.5 Proširivost (Web-Net-Ext) je funkcija .NET 3.5 proširivosti koja vam omogućava da modificirate, dodate i proširite funkcionalnost web servera kroz cjevovod obrade zahtjeva, konfiguraciju i korisnički interfejs;
  • .NET 4.6 Proširivost (Web-Net-Ext45) je funkcija .NET 4.6 proširivosti koja vam također omogućava izmjenu, dodavanje i proširenje funkcionalnosti web servera kroz cijeli proces obrade zahtjeva, konfiguraciju i korisnički interfejs;
  • ISAPI filteri (Web-ISAPI-Filter) - Dodajte podršku za ISAPI filtere. ISAPI filteri su programi koji se pozivaju kada web server primi određeni HTTP zahtjev koji treba obraditi ovim filterom.

FTP - server (Web-Ftp-Server)– usluge koje pružaju podršku za FTP protokol. O FTP serveru smo detaljnije govorili u materijalu - "Instaliranje i konfigurisanje FTP servera na Windows Server 2016". Sadrži sljedeće usluge:

• FTP usluga (Web-Ftp-Service) - dodaje podršku za FTP protokol na web serveru;
• FTP Extensibility (Web-Ftp-Ext) - Proširuje standardne FTP mogućnosti, kao što je dodavanje podrške za funkcije kao što su prilagođeni provajderi, ASP.NET korisnici ili korisnici IIS menadžera.

Alati za upravljanje (Web-Mgmt-Tools) su alati za upravljanje web serverom IIS 10. Oni uključuju: IIS korisnički interfejs, alate komandne linije i skripte.

• IIS upravljačka konzola (Web-Mgmt-Console) je korisnički interfejs za upravljanje IIS-om;
• Skupovi znakova i alati za upravljanje IIS-om (Web-Scripting-Tools) su alati i skripte za upravljanje IIS-om pomoću komandne linije ili skripti. Mogu se koristiti, na primjer, za automatizaciju kontrole;
• Usluga upravljanja (Web-Mgmt-Service) - ova usluga dodaje mogućnost daljinskog upravljanja web serverom sa drugog računara koristeći IIS Manager;
• IIS 6 Upravljanje kompatibilnošću (Web-Mgmt-Compat) - Pruža kompatibilnost za aplikacije i skripte koje koriste dva IIS API-ja. Postojeće IIS 6 skripte se mogu koristiti za upravljanje IIS 10 web serverom:
  • IIS 6 Metabase kompatibilnosti (Web-Metabase) je alat za kompatibilnost koji vam omogućava pokretanje aplikacija i skupova znakova koji su migrirani iz ranijih verzija IIS-a;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - Ovi alati vam omogućavaju da koristite iste IIS 6 Scripting Services koje su kreirane za upravljanje IIS 6 u IIS 10;
  • IIS 6 upravljačka konzola (Web-Lgcy-Mgmt-Console) - Alat za administraciju na daljinu IIS serveri 6.0;
  • IIS 6 WMI kompatibilnost (Web-WMI) su skriptni interfejsi Windows Management Instrumentation (WMI) za programsku kontrolu i automatizaciju zadataka IIS 10.0 Web servera koristeći skup skripti kreiranih u WMI dobavljaču.

Usluge domena Active Directory

uloga " Usluge domena Active Directory» (AD DS) pruža distribuiranu bazu podataka koja pohranjuje i obrađuje informacije o mrežnim resursima. Ova uloga se koristi za organiziranje mrežnih elemenata kao što su korisnici, računari i drugi uređaji u hijerarhijsku strukturu zadržavanja. Hijerarhijska struktura uključuje šume, domene unutar šume i organizacione jedinice (OU) unutar svakog domena. Server koji pokreće AD DS naziva se kontroler domene.

Naziv uloge za Windows PowerShell je AD-Domain-Services.

Windows Server Essentials Mode

Ova uloga je kompjuterska infrastruktura i pruža zgodne i efikasne funkcije, na primjer: pohranjivanje podataka o klijentima na centraliziranoj lokaciji i zaštitu ovih podataka putem Rezervna kopija serverske i klijentske računare, udaljeni pristup webu koji vam omogućava pristup podacima s gotovo bilo kojeg uređaja. Ova uloga zahtijeva nekoliko usluga i funkcija uloga, kao što su: BranchCache funkcije, Windows Server Backup, Management grupna politika, usluga uloga" DFS Namespaces».

Ime za PowerShell je ServerEssentialsRole.

Mrežni kontroler

Uvedena u Windows Server 2016, ova uloga pruža jedinstvenu tačku automatizacije za upravljanje, praćenje i dijagnosticiranje fizičke i virtuelne mrežne infrastrukture u data centru. Koristeći ovu ulogu, možete konfigurirati IP podmreže, VLAN, fizičke mrežni adapteri Hyper-V hostuje, upravlja virtuelnim prekidačima, fizičkim ruterima, postavkama zaštitnog zida i VPN gatewayima.

Naziv za Windows PowerShell je NetworkController.

Služba čuvara čvorova

Ovo je uloga servera Hosted Guardian Service (HGS) i pruža usluge atestiranja i zaštite ključeva koje omogućavaju zaštićenim hostovima da pokreću zaštićene virtuelne mašine. Za funkcioniranje ove uloge potrebno je nekoliko dodatnih uloga i komponenti, na primjer: Active Directory Domain Services, Web Server (IIS), " Failover Clustering" i drugi.

Naziv za PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

uloga " Active Directory Lightweight Directory Services» (AD LDS) je lagana verzija AD DS-a koja ima manje funkcionalnosti, ali ne zahtijeva primenu domena ili kontrolera domena i nema zavisnosti i ograničenja domena koja zahtijeva AD DS. AD LDS radi preko LDAP protokola ( Lightweight Directory Access Protocol). Možete implementirati više AD LDS instanci na istom serveru sa nezavisno upravljanim šemama.

Naziv za PowerShell je ADLDS.

MultiPoint Services

To je takođe nova uloga koja je nova u Windows Serveru 2016. MultiPoint Services (MPS) pruža osnovnu funkcionalnost udaljene radne površine koja omogućava više korisnika da rade istovremeno i nezavisno na istom računaru. Da biste instalirali i radili sa ovom ulogom, potrebno je da instalirate nekoliko dodatnih servisa i komponenti, na primjer: Print Server, Windows Search Service, XPS Viewer i druge, koje će sve biti automatski odabrane tokom MPS instalacije.

Ime uloge za PowerShell je MultiPointServerRole.

Windows Server Update Services

Sa ovom ulogom (WSUS), administratori sistema mogu upravljati Microsoft ažuriranjima. Na primer, kreirajte odvojene grupe računara za različite skupove ažuriranja, kao i primajte izveštaje o usklađenosti računara sa zahtevima i ažuriranjima koja treba da se instaliraju. Za funkcionisanje" Windows Server Update Services» Potrebne su vam usluge i komponente uloga kao što su: Web server (IIS), Windows interna baza podataka, usluga aktivacije Windows procesi.

Naziv za Windows PowerShell je UpdateServices.

• WID Connectivity (UpdateServices-WidDB) - postavljeno na WID ( Windows interna baza podataka) baza podataka koju koristi WSUS. Drugim riječima, WSUS će pohraniti svoje servisne podatke u WID;
• WSUS usluge (UpdateServices-Services) su usluge WSUS uloge kao što su usluga ažuriranja, web usluga izvješćivanja, web usluga udaljenog API-ja, web usluga klijenta, web usluga jednostavne provjere autentičnosti, usluga sinhronizacije servera i web usluga DSS autentifikacije;
• SQL Server Connectivity (UpdateServices-DB) je instalacija komponente koja omogućava WSUS servisu da se poveže na Microsoft SQL Server bazu podataka. Ova opcija omogućava skladištenje servisnih podataka u bazi podataka Microsoft SQL Servera. U tom slučaju morate već imati instaliranu barem jednu instancu SQL Servera.

Usluge aktivacije količinske licence

Sa ovom ulogom servera, možete automatizirati i pojednostaviti izdavanje količinskih licenci za softver od Microsofta, a također vam omogućava da upravljate ovim licencama.

Naziv za PowerShell je VolumeActivation.

Usluge štampanja i dokumenata

Ova uloga servera je dizajnirana da dijeli štampače i skenere na mreži, da centralno konfiguriše i upravlja serverima za štampanje i skeniranje i da upravlja mrežnim štampačima i skenerima. Usluge štampanja i dokumenata također vam omogućavaju slanje skeniranih dokumenata putem e-pošte, javno mrežne fascikle ili na lokacije Windows SharePoint Services.

Naziv za PowerShell je Print-Services.

• Print Server (Print-Server) - Ova usluga uloge uključuje " Print Management“, koji se koristi za upravljanje štampačima ili serverima za štampanje, kao i za migraciju štampača i drugih servera za štampanje;
• Štampanje preko Interneta (Print-Internet) - Za implementaciju štampanja preko Interneta kreira se web stranica preko koje korisnici mogu upravljati poslovima za štampanje na serveru. Da bi ova usluga radila, kao što razumijete, morate instalirati " Web server (IIS)". Sve potrebne komponente će biti odabrane automatski kada označite ovo polje tokom procesa instalacije usluge uloga " Internet štampanje»;
• Distributed Scan Server (Print-Scan-Server) je usluga koja vam omogućava da primate skenirane dokumente od mrežnih skenera i šaljete ih na odredište. Ova usluga također sadrži " Upravljanje skeniranjem“, koji se koristi za upravljanje mrežnim skenerima i za konfiguraciju skeniranja;
• LPD usluga (Print-LPD-Service) - LPD usluga ( Line Printer Daemon) omogućava računarima baziranim na UNIX-u i drugim računarima koji koriste Line Printer Remote (LPR) uslugu da štampaju na zajedničkim štampačima servera.

Mrežna politika i usluge pristupa

uloga " » (NPAS) omogućava serveru mrežnih politika (NPS) da postavi i nametne pristup mreži, autentifikaciju i autorizaciju, te zdravstvene politike klijenta, drugim riječima, da osigura mrežu.

Naziv za Windows PowerShell je NPAS.

Windows Deployment Services

Sa ovom ulogom, možete daljinski instalirati Windows operativni sistem preko mreže.

Ime uloge za PowerShell je WDS.

• Deployment Server (WDS-Deployment) - ova usluga uloga je dizajnirana za daljinsko postavljanje i konfiguraciju Windows operativnih sistema. Takođe vam omogućava da kreirate i prilagodite slike za ponovnu upotrebu;
• Transportni server (WDS-Transport) - Ova usluga sadrži osnovne mrežne komponente pomoću kojih možete prenijeti podatke multicastingom na samostalnom serveru.

Active Directory Certificate Services

Ova uloga je namijenjena kreiranju ovlaštenja za certifikate i povezanih usluga uloga koje vam omogućavaju izdavanje i upravljanje certifikatima za različite aplikacije.

Naziv za Windows PowerShell je AD-Certificate.

Uključuje sljedeće usluge uloga:

• Autoritet za sertifikaciju (ADCS-Cert-Authority) - koristeći ovu uslugu uloge, možete izdavati sertifikate korisnicima, računarima i servisima, kao i upravljati validnošću sertifikata;
• Veb usluga sa smernicama za upis sertifikata (ADCS-Enroll-Web-Pol) – Ova usluga omogućava korisnicima i računarima da dobiju informacije o politici upisa sertifikata iz veb pretraživača, čak i ako računar nije član domena. Za njegovo funkcionisanje neophodno je Web server (IIS)»;
• Veb usluga za upis sertifikata (ADCS-Enroll-Web-Svc) - Ova usluga omogućava korisnicima i računarima da upišu i obnove sertifikate koristeći veb pretraživač preko HTTPS-a, čak i ako računar nije član domena. Takođe treba da funkcioniše Web server (IIS)»;
• Online Responder (ADCS-Online-Cert) - Usluga je dizajnirana da provjeri opoziv certifikata za klijente. Drugim riječima, prihvata zahtjev za statusom opoziva za određene certifikate, procjenjuje status tih certifikata i šalje natrag potpisani odgovor s informacijama o statusu. Da bi servis funkcionisao, neophodno je Web server (IIS)»;
• Sertifikacijski autoritet Web Enrollment Service (ADCS-Web-Enrollment) - Ova usluga obezbjeđuje web interfejs za korisnike za obavljanje zadataka kao što su traženje i obnavljanje sertifikata, dobijanje CRL-ova i upisivanje sertifikata pametnih kartica. Da bi servis funkcionisao, neophodno je Web server (IIS)»;
• Usluga registracije mrežnih uređaja (ADCS-Device-Enrollment)— Koristeći ovu uslugu, možete izdavati i upravljati certifikatima za rutere i druge mrežne uređaje koji nemaju mrežne račune. Da bi servis funkcionisao, neophodno je Web server (IIS)».

Usluge udaljene radne površine

Uloga servera koja se može koristiti za pružanje pristupa virtuelnim radnim površinama, desktop računarima zasnovanim na sesiji i RemoteApps.

Naziv uloge za Windows PowerShell je Remote-Desktop-Services.

Sastoji se od sljedećih usluga:

• Pristup udaljenoj radnoj površini (RDS-Web-Access) - Ova usluga uloga omogućava korisnicima pristup udaljenim radnim površinama i RemoteApp aplikacijama putem " Počni» ili korištenjem web pretraživača;
• Licenciranje udaljene radne površine (RDS-licenciranje) – Usluga je dizajnirana za upravljanje licencama koje su potrebne za povezivanje sa serverom sesije udaljene radne površine ili virtuelnom radnom površinom. Može se koristiti za instaliranje, izdavanje licenci i praćenje njihove dostupnosti. Ova usluga zahtijeva " Web server (IIS)»;
• Posrednik veze sa udaljenom radnom površinom (RDS-Connection-Broker) je usluga uloga koja pruža sljedeće mogućnosti: ponovno povezivanje korisnika na postojeću virtualnu radnu površinu, aplikaciju RemoteApp i radnu površinu zasnovanu na sesiji, kao i balansiranje opterećenja između desktop servera udaljenih sesija ili između objedinjene virtuelne radne površine. Ova usluga zahtijeva " »;
• Remote Desktop Virtualization Host (DS-Virtualization) – Usluga omogućava korisnicima da se povežu na virtuelne radne površine koristeći RemoteApp i Desktop Connection. Ova usluga radi u sprezi sa Hyper-V, tj. ova uloga mora biti instalirana;
• Host sesije udaljene radne površine (RDS-RD-Server) – Ova usluga može hostirati aplikacije RemoteApp i radne površine zasnovane na sesiji na serveru. Pristup je putem klijenta za vezu sa udaljenom radnom površinom ili RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) – Usluga omogućava ovlaštenim udaljenim korisnicima da se povežu na virtuelne radne površine, RemoteApps i desktope zasnovane na sesiji na korporativnoj mreži ili preko Interneta. Ova usluga zahtijeva sljedeće dodatne usluge i komponente: Web server (IIS)», « Mrežna politika i usluge pristupa», « RPC preko HTTP proxyja».

AD RMS

Ovo je uloga servera koja će vam omogućiti da zaštitite informacije od neovlaštene upotrebe. Provjerava valjanost korisničkih identiteta i dodjeljuje licence ovlaštenim korisnicima za pristup zaštićenim podacima. Ova uloga zahtijeva dodatne usluge i komponente: Web server (IIS)», « Usluga aktivacije Windows procesa», « .NET Framework 4.6 karakteristike».

Naziv za Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - usluga glavne uloge, potrebna za instalaciju;
• Podrška za federaciju identiteta (ADRMS-Identity) je opciona usluga uloga koja omogućava federalnim identitetima da konzumiraju zaštićeni sadržaj koristeći Active Directory Federation Services.

AD FS

Ova uloga pruža pojednostavljenu i sigurnu federaciju identiteta i funkcionalnost jedinstvene prijave (SSO) web lokacijama koje koriste pretraživač.

Naziv za PowerShell je ADFS-Federation.

Daljinski pristup

Ova uloga omogućava povezivanje putem DirectAccess-a, VPN-a i proxyja web aplikacije. Takođe i uloga Daljinski pristup„pruža tradicionalne mogućnosti rutiranja, uključujući translaciju mrežnih adresa (NAT) i druge opcije povezivanja. Ova uloga zahtijeva dodatne usluge i funkcije: Web server (IIS)», « Windows interna baza podataka».

Ime uloge za Windows PowerShell je RemoteAccess.

• DirectAccess i VPN (RAS) (DirectAccess-VPN) - usluga omogućava korisnicima da se povežu na korporativnu mrežu u bilo koje vrijeme kada imaju pristup Internetu putem DirectAccess-a, kao i da organizuju VPN veze u kombinaciji s tehnologijama tuneliranja i šifriranja podataka;
• Routing - usluga pruža podršku za NAT rutere, rutere lokalna mreža sa BGP, RIP i ruterima koji podržavaju multicast (IGMP proksiji);
• Proxy web aplikacije (Web-Application-Proxy) - Usluga vam omogućava da objavljujete aplikacije zasnovane na HTTP i HTTPS protokolima iz korporativne mreže na klijentske uređaje koji su izvan korporativne mreže.

Usluge datoteka i skladištenja

Ovo je uloga servera koja se može koristiti za dijeljenje datoteka i mapa, upravljanje i kontrolu dijeljenja, repliciranje datoteka, pružanje brze pretrage datoteka i odobravanje pristupa UNIX klijentskim računarima. O uslugama datoteka, a posebno o serveru datoteka, detaljnije smo razgovarali u materijalu „Instaliranje servera datoteka (File Server) na Windows Server 2016“.

Naziv za Windows PowerShell je FileAndStorage-Services.

Storage Services- Ova usluga pruža funkciju upravljanja skladištem koja je uvijek instalirana i ne može se ukloniti.

File Services i iSCSI usluge (File-Services) su tehnologije koje pojednostavljuju upravljanje fajl serverima i skladištima, štede prostor na disku, obezbeđuju replikaciju i keširanje fajlova u granama, a takođe obezbeđuju deljenje datoteka putem NFS protokola. Uključuje sljedeće usluge uloga:

• File Server (FS-FileServer) - usluga uloga koja upravlja zajedničkim fasciklama i omogućava korisnicima pristup datotekama na ovom računaru preko mreže;
• Deduplikacija podataka (FS-Data-Deduplication) - ova usluga štedi prostor na disku pohranjivanjem samo jedne kopije identičnih podataka na volumenu;
• Upravitelj resursima servera datoteka (FS-Resource-Manager) - pomoću ove usluge možete upravljati datotekama i mapama na serveru datoteka, kreirati izvještaje o skladištenju, klasificirati datoteke i mape, konfigurirati kvote foldera i definirati politike blokiranja datoteka;
• iSCSI Target Storage Provider (VDS i VSS dobavljači hardvera) (iSCSITarget-VSS-VDS) - Usluga omogućava aplikacijama na serveru povezanom na iSCSI cilj da zasjene volumene kopija na iSCSI virtuelnim diskovima;
• DFS imenski prostori (FS-DFS-Namespace) - koristeći ovu uslugu, možete grupirati dijeljeni folderi hostovani na različitim serverima u jednom ili više logički strukturiranih imenskih prostora;
• Radni folderi (FS-SyncShareService) - usluga vam omogućava da istovremeno koristite radne fajlove personalni računari uključujući posao i lični. Možete pohraniti svoje datoteke u radne mape, sinkronizirati ih i pristupiti im sa vaše lokalne mreže ili interneta. Da bi usluga funkcionirala, komponenta " IIS Web Core u procesu»;
• DFS replikacija (FS-DFS-Replication) je mehanizam za replikaciju podataka na više servera koji vam omogućava da sinhronizujete fascikle preko LAN ili WAN veze. Ova tehnologija koristi protokol Remote Differential Compression (RDC) za ažuriranje samo dijela datoteka koje su se promijenile od posljednje replikacije. DFS replikacija se može koristiti sa ili bez DFS imenskih prostora;
• Server za NFS (FS-NFS-Service) - Usluga omogućava ovom računaru da deli datoteke sa računarima zasnovanim na UNIX-u i drugim računarima koji koriste protokol mrežnog sistema datoteka (NFS);
• iSCSI Target Server (FS-iSCSItarget-Server) - pruža usluge i upravljanje za iSCSI ciljeve;
• BranchCache usluga za mrežne datoteke (FS-BranchCache) - Usluga pruža BranchCache podršku na ovom serveru datoteka;
• Usluga VSS Agent servera fajlova (FS-VSS-Agent) – Usluga dozvoljava kopije u senci volumena za aplikacije koje pohranjuju datoteke podataka na ovom serveru datoteka.

faks server

Uloga šalje i prima faksove i omogućava vam upravljanje resursima faksa kao što su poslovi, postavke, izvještaji i uređaji za faks na ovom računaru ili na mreži. Obavezno za rad Print Server».

Naziv uloge za Windows PowerShell je Fax.

Ovim je završen pregled uloga servera Windows Server 2016, nadam se da vam je materijal za sada bio koristan!

Primjena grupnih politika (3. dio)

Obično se GPO-ovi dodeljuju kontejneru (domeni, sajtu ili OU) i primenjuju se na sve objekte u tom kontejneru. Uz dobro organiziranu strukturu domena, to je sasvim dovoljno, ali ponekad je potrebno dodatno ograničiti primjenu politika na određenu grupu objekata. Za to se mogu koristiti dvije vrste filtera.

Sigurnosni filteri

Sigurnosni filteri vam omogućavaju da ograničite primjenu politika na određenu sigurnosnu grupu. Na primer, uzmimo GPO2, koji se koristi za centralno konfigurisanje menija Start na radnim stanicama sa Windows 8.1\Windows 10. GPO2 je dodeljen OU zaposlenih i primenjuje se na sve korisnike bez izuzetka.

Sada idemo na karticu "Opseg", gdje su u odjeljku "Sigurnosno filtriranje" naznačene grupe na koje se ovaj GPO može primijeniti. Po defaultu, ovdje je navedena grupa Autentificirani korisnici. To znači da se politika može primijeniti na bilo koga korisnik ili računar koji se uspješno autentifikovao na domenu.

U stvari, svaki GPO ima svoju vlastitu listu pristupa, koja se može vidjeti na kartici Delegacija.

Da bi primijenio politiku, objekt mora imati prava čitanja (Čitanje) i primjene (Primjena grupne politike), koja ima grupa Authenticated Users. U skladu s tim, da bi se politika primjenjivala ne na sve, već samo na određenu grupu, potrebno je ukloniti Authentificated Users sa liste, zatim dodati željenu grupu i dati joj odgovarajuća prava.

Dakle, u našem primjeru, politika se može primijeniti samo na grupu Računovodstvo.

WMI filteri

Windows Management Instrumentation (WMI) je jedan od najmoćnijih alata za upravljanje Windows operativnim sistemom. WMI sadrži ogroman broj klasa pomoću kojih možete opisati gotovo sve korisničke i računalne postavke. Možete pogledati sve dostupne WMI klase kao listu koristeći PowerShell pokretanjem naredbe:

Get-WmiObject -List

Na primjer, uzmite čas Win32_OperatingSystem, koji je odgovoran za svojstva operativnog sistema. Pretpostavimo da želite da filtrirate sve operativne sisteme osim Windows 10. Idemo na računar sa instaliranim Window 10, otvaramo PowerShell konzolu i prikazujemo naziv, verziju i tip operativnog sistema koristeći naredbu:

Get-WmiObject -Class Win32_OperatingSystem | fl Ime, Verzija, Vrsta proizvoda

Za filter koristimo verziju i tip OS-a. Verzija je ista za klijentski i serverski OS i definirana je na sljedeći način:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Tip proizvoda je odgovoran za namjenu računara i može imati 3 vrijednosti:

1 - radna stanica;
2 - kontroler domene;
3 - server.

Sada idemo na kreiranje filtera. Da biste to učinili, otvorite dodatak za upravljanje grupnim pravilima i idite na odjeljak WMI filteri. Kliknite desnim tasterom miša na njega i izaberite Novo iz kontekstnog menija.

U prozoru koji se otvori dajte filteru naziv i opis. Zatim pritisnemo dugme "Dodaj" i u polje "Upit" unesemo WQL upit, koji je osnova WMI filtera. Moramo odabrati OS verziju 10.0 sa tipom 1, tako da će zahtjev izgledati ovako:

SELECT * IZ Win32_OperatingSystem GDJE Verzija LIKE ″10.0%″ I ProductType = ″1″

Bilješka. Windows Query Language (WQL) - WMI jezik upita. Više o tome možete saznati na MSDN-u.

Sačuvajte dobijeni filter.

Sada sve što je preostalo je da dodelite WMI filter GPO-u, kao što je GPO3. Idite na svojstva GPO-a, otvorite karticu "Scope" i u polju "WMI Filtering" odaberite željeni filter sa liste.

Analiza primjene grupnih politika

Uz toliki broj GPO metoda filtriranja, potrebno je biti u stanju dijagnosticirati i analizirati njihovu primjenu. Najlakši način da provjerite učinak grupnih politika na računaru je korištenje uslužnog programa komandne linije gpresult.

Na primjer, idemo na wks2 računar na kojem je instaliran Windows 7 i provjerimo da li je WMI filter radio. Da biste to učinili, otvorite cmd konzolu s administratorskim pravima i izvršite naredbu gpresult /r, koji prikazuje sažete informacije o grupnim politikama primijenjenim na korisnika i računar.

Bilješka. Uslužni program gpresult ima mnogo postavki, koje se mogu vidjeti pomoću naredbe gpresult /?.

Kao što vidite iz primljenih podataka, GPO3 politika nije primijenjena na računar jer je filtrirana pomoću WMI filtera.

Također možete provjeriti radnju GPO-a iz dodatka za upravljanje grupnim politikama, koristeći poseban čarobnjak. Da biste pokrenuli čarobnjak, kliknite desnim tasterom miša na odjeljak "Rezultati grupnih politika" i odaberite stavku "Čarobnjak za rezultate grupnih politika" u meniju koji se otvori.

Odredite naziv računara za koji će se generisati izveštaj. Ako želite da vidite samo korisničke postavke smernica grupe, možete odabrati da ne prikupljate postavke za računar. Da biste to učinili, označite polje ispod (prikažite samo postavke korisničke politike).

Zatim biramo korisničko ime za koje će se prikupljati podaci ili možete odrediti da ne uključujete postavke grupne politike za korisnika u izvještaj (prikažite samo postavke politike računala).

Provjeravamo odabrane postavke, kliknemo "Dalje" i čekamo da se podaci prikupe i generira izvještaj.

Izvještaj sadrži sveobuhvatne podatke o GPO-ovima primijenjenim (ili neprimijenjenim) na korisnika i računar, kao i korištenim filterima.

Na primjer, napravimo izvještaje za dva različita korisnika i uporedimo ih. Prvo otvorimo izvještaj za korisnika Kirill i prijeđimo na odjeljak korisničkih postavki. Kao što vidite, GPO2 politika nije primijenjena na ovog korisnika, jer on nema prava da je primjenjuje (Razlog odbijen - nedostupan).

A sada otvorimo izvještaj za korisnika Olega. Ovaj korisnik je član računovodstvene grupe, tako da je politika uspješno primijenjena na njega. To znači da je sigurnosni filter uspješno završen.

Ovim ću, možda, završiti ″fascinantnu″ priču o primjeni grupnih politika. Nadam se da će vam ove informacije biti korisne i pomoći u teškom zadatku sistemske administracije 🙂

Kada instalirate Windows, većina nebitnih podsistema nije aktivirana niti instalirana. Ovo se radi iz sigurnosnih razloga. Pošto je sistem podrazumevano siguran, administratori sistema mogu da se fokusiraju na dizajniranje sistema koji radi ono što radi, i ništa više. Da bi vam pomogao da omogućite funkcije koje želite, Windows će od vas tražiti da odaberete ulogu servera.

Uloge

Uloga servera je skup programa koji, kada su pravilno instalirani i konfigurisani, omogućavaju računaru da izvrši određenu funkciju za više korisnika ili drugih računara na mreži. Općenito, sve uloge imaju sljedeće karakteristike.

• Oni definiraju glavnu funkciju, svrhu ili svrhu korištenja računara. Možete odrediti računar da igra jednu ulogu koja se intenzivno koristi u preduzeću ili da igra više uloga pri čemu se svaka uloga koristi samo povremeno.
• Uloge daju korisnicima širom organizacije pristup resursima kojima upravljaju drugi računari, kao što su veb lokacije, štampači ili datoteke pohranjene na različitim računarima.
• Obično imaju vlastite baze podataka koje čekaju u redu korisničke ili računalne zahtjeve ili bilježe informacije o korisnicima mreže i računalima povezanim s ulogom. Na primjer, Active Directory Domain Services sadrži bazu podataka za pohranjivanje imena i hijerarhijskih odnosa svih računara na mreži.
• Jednom pravilno instalirane i konfigurirane, uloge funkcionišu automatski. Ovo omogućava računarima na kojima su instalirani da izvršavaju dodeljene zadatke uz ograničenu interakciju korisnika.

Role Services

Usluge uloga su programi koji pružaju funkcionalnost uloge. Kada instalirate ulogu, možete odabrati koje usluge ona pruža drugim korisnicima i računarima u preduzeću. Neke uloge, kao što je DNS server, obavljaju samo jednu funkciju, tako da za njih ne postoje servisi uloga. Druge uloge, kao što su usluge udaljene radne površine, imaju nekoliko usluga koje možete instalirati na osnovu potreba za daljinskim pristupom vašeg preduzeća. Uloga se može zamisliti kao skup usko povezanih, komplementarnih usluga uloga. U većini slučajeva, instaliranje uloge znači instaliranje jedne ili više njenih usluga.

Komponente

Komponente su programi koji nisu direktno dio uloga, ali podržavaju ili proširuju funkcionalnost jedne ili više uloga ili cijelog poslužitelja, bez obzira na to koje su uloge instalirane. Na primjer, Failover Cluster Tool proširuje druge uloge, kao što su File Services i DHCP server, dozvoljavajući im da se pridruže klasterima servera, što pruža povećanu redundantnost i performanse. Druga komponenta, Telnet klijent, omogućava udaljenu komunikaciju sa Telnet serverom preko mrežne veze. Ova funkcija poboljšava mogućnosti komunikacije za server.

Kada Windows Server radi u Server Core modu, podržane su sljedeće uloge servera:

• Active Directory Certificate Services;
• Usluge domena Active Directory;
• DHCP server
• DNS server;
• usluge datoteka (uključujući upravitelj resursa servera datoteka);
• Active Directory Lightweight Directory Services;
• Hyper-V
• Usluge ispisa i dokumenata;
• Usluge strujanja medija;
• web server (uključujući podskup ASP.NET-a);
• Windows Server Update Server;
• Server za upravljanje pravima Active Directory;
• Server za usmjeravanje i daljinski pristup i sljedeće podređene uloge:
  • Broker za vezu sa udaljenom radnom površinom;
  • licenciranje;
  • virtuelizacija.

Kada Windows Server radi u Server Core modu, podržane su sljedeće funkcije servera:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Usluga inteligentnog prijenosa u pozadini (BITS);
• BitLocker šifriranje diska;
• BitLocker mrežno otključavanje;
• BranchCache
• most podataka centra;
• Enhanced Storage;
• klasteriranje preko greške;
• Multipath I/O;
• balansiranje mrežnog opterećenja;
• PNRP protokol;
• qWave;
• daljinska diferencijalna kompresija;
• jednostavne TCP/IP usluge;
• RPC preko HTTP proxyja;
• SMTP server;
• SNMP usluga;
• Telnet klijent;
• telnet server;
• TFTP klijent;
• Windows interna baza podataka;
• Windows PowerShell Web Access;
• Windows Activation Service;
• standardizovano Windows upravljanje skladištem;
• IIS WinRM ekstenzija;
• WINS server;
• WoW64 podrška.

Instaliranje uloga servera pomoću Server Managera

Da biste dodali, otvorite Server Manager i u meniju Upravljanje kliknite na Dodaj uloge i funkcije:

Otvara se čarobnjak za dodavanje uloga i funkcija. Kliknite na Next

Vrsta instalacije, odaberite Instalacija zasnovana na ulozi ili instalacija zasnovana na značajkama. Sljedeći:

Odabir servera - odaberite naš server. Kliknite Sljedeće uloge poslužitelja - odaberite uloge ako je potrebno, odaberite usluge uloga i kliknite Sljedeće da odaberete komponente. Tokom ove procedure, čarobnjak za dodavanje uloga i funkcija automatski vas obavještava o svim sukobima na odredišnom serveru koji mogu spriječiti instalaciju ili normalan rad odabrane uloge ili karakteristike. Od vas se također traži da dodate uloge, usluge uloga i funkcije koje zahtijevaju odabrane uloge ili funkcije.

Instaliranje uloga pomoću PowerShell-a

Otvorite Windows PowerShell Unesite komandu Get-WindowsFeature da vidite listu dostupnih i instaliranih uloga i funkcija na lokalnom serveru. Izlaz ovog cmdleta sadrži imena naredbi za uloge i funkcije koje su instalirane i dostupne za instalaciju.

Otkucajte Get-Help Install-WindowsFeature da vidite sintaksu i dozvoljeni parametri Install-WindowsFeature (MAN) cmdlet.

Unesite sljedeću naredbu (-Restart će ponovo pokrenuti server ako instalacija uloge zahtijeva ponovno pokretanje).

Install-WindowsFeature –Naziv -Restart

Opis uloga i usluga uloga

Sve uloge i usluge uloga su opisane u nastavku. Pogledajmo napredne postavke za najčešće u našoj web praksa Uloga servera i usluge udaljene radne površine

Detaljan opis IIS-a

• Uobičajene HTTP karakteristike - Osnovne HTTP komponente
  • Podrazumevani dokument - omogućava vam da postavite indeksnu stranicu za sajt.
  • Pregledanje imenika - Omogućava korisnicima da vide sadržaj direktorija na web serveru. Koristite Pregledanje direktorija za automatsko generiranje liste svih direktorija i datoteka u direktoriju kada korisnici ne navedu datoteku u URL-u i indeksna stranica je onemogućena ili nije konfigurirana
  • HTTP greške - omogućava vam da prilagodite poruke o greškama koje se vraćaju klijentima u pretraživaču.
  • Statički sadržaj - omogućava vam postavljanje statičkog sadržaja, kao što su slike ili html datoteke.
  • HTTP preusmjeravanje - Pruža podršku za preusmjeravanje korisničkih zahtjeva.
  • WebDAV Publishing vam omogućava da objavite datoteke sa web servera koristeći HTTP protokol.
• Zdravstvene i dijagnostičke karakteristike - Dijagnostičke komponente
  • HTTP Logging omogućava evidentiranje aktivnosti web stranice za dati server.
  • Prilagođeno evidentiranje pruža podršku za kreiranje prilagođenih dnevnika koji se razlikuju od "tradicionalnih" dnevnika.
  • Alati za evidentiranje pružaju okvir za upravljanje evidencijama web servera i automatizaciju uobičajenih zadataka evidentiranja.
  • ODBC Logging pruža okvir koji podržava evidentiranje aktivnosti web servera na ODBC-kompatibilnu bazu podataka.
  • Request Monitor pruža okvir za praćenje stanja web aplikacija prikupljanjem informacija o HTTP zahtjevima u IIS radnom procesu.
  • Praćenje pruža okvir za dijagnosticiranje i rješavanje problema na web aplikacijama. Korištenjem neuspjelog praćenja zahtjeva možete pratiti događaje koje je teško pronaći kao što su loša izvedba ili neuspjesi autentifikacije.
• Komponente performansi za povećanje performansi web servera.
  • Kompresija statičkog sadržaja pruža okvir za konfigurisanje HTTP kompresije statičkog sadržaja
  • Dynamic Content Compression pruža okvir za konfigurisanje HTTP kompresije dinamičkog sadržaja.
• Sigurnosne komponente
  • Filtriranje zahtjeva vam omogućava da uhvatite sve dolazne zahtjeve i filtrirate ih na osnovu pravila koja postavlja administrator.
  • Osnovna autentifikacija vam omogućava da postavite dodatnu autorizaciju
  • Centralizirana podrška za SSL certifikate je funkcija koja vam omogućava da pohranite certifikate na centralnoj lokaciji, kao što je dijeljenje datoteka.
  • Provjera autentičnosti mapiranja certifikata klijenta koristi klijentske certifikate za provjeru autentičnosti korisnika.
  • Digest Authentication radi tako što šalje hash lozinke na Windows kontroler domene radi provjere autentičnosti korisnika. Ako vam je potrebna veća sigurnost od osnovne autentifikacije, razmislite o korištenju Digest autentifikacije
  • Provjera autentičnosti mapiranja IIS certifikata klijenta koristi klijentske certifikate za provjeru autentičnosti korisnika. Certifikat klijenta je digitalni ID dobiven iz pouzdanog izvora.
  • IP i Ograničenja domena vam omogućavaju da dozvolite/zabranite pristup na osnovu tražene IP adrese ili imena domena.
  • Autorizacija URL-a vam omogućava da kreirate pravila koja ograničavaju pristup web sadržaju.
  • Windows autentikacija Ova šema provjere autentičnosti omogućava administratorima Windows domena da iskoriste prednosti infrastrukture domena za autentifikaciju korisnika.
• Značajke razvoja aplikacija
• FTP server
  • FTP usluga Omogućava FTP objavljivanje na web serveru.
  • FTP Extensibility Omogućava podršku za FTP funkcije koje proširuju funkcionalnost
• Alati za upravljanje
  • IIS Management Console instalira IIS Manager, koji vam omogućava da upravljate Web serverom preko GUI
  • Kompatibilnost upravljanja IIS-om 6.0 pruža kompatibilnost unaprijed za aplikacije i skripte koje koriste Admin Base Object (ABO) i API Active Directory Interface usluge direktorija (ADSI). Ovo omogućava da IIS 8.0 web server koristi postojeće IIS 6.0 skripte
  • IIS skripte i alati za upravljanje obezbeđuju infrastrukturu za programsko upravljanje IIS veb serverom, korišćenjem komandi u prozoru komandne linije ili pokretanjem skripti.
  • Usluga upravljanja pruža infrastrukturu za prilagođavanje korisničkog interfejsa, IIS Manager.

Detaljan opis RDS-a

• Posrednik veze sa udaljenom radnom površinom - Omogućava ponovno povezivanje klijentskog uređaja sa programima na osnovu desktop i virtuelnih desktop sesija.
• Remote Desktop Gateway – Omogućava ovlaštenim korisnicima da se povežu na virtuelne radne površine, RemoteApp programe i desktope zasnovane na sesiji na korporativnoj mreži ili preko Interneta.
• Licenciranje udaljene radne površine - alat za upravljanje RDP licencama
• Host sesije udaljene radne površine – uključuje server za hostovanje programa RemoteApp ili sesije zasnovane na radnoj površini.
• Remote Desktop Virtualization Host - omogućava vam da konfigurišete RDP na virtuelnim mašinama
• Remote Desktop WebAccess – Omogućava korisnicima da se povežu sa resursima radne površine pomoću menija Start ili web pretraživača.

Razmislite o instalaciji i konfiguraciji servera terminalskih licenci. Gore je opisano kako instalirati uloge, instaliranje RDS-a se ne razlikuje od instaliranja drugih uloga, u Role Services moramo odabrati Remote Desktop Licensing i Remote Desktop Session Host. Nakon instalacije, stavka Terminal Services će se pojaviti u Server Manager-Tools. Postoje dvije stavke u Terminal Services RD Licensing Diagnoser, ovo je alat za dijagnosticiranje rada licenciranja udaljene radne površine, i Remote Desktop Licensing Manager, ovo je alat za upravljanje licencama.

Pokrenite RD Licensing Diagnoser

Ovdje možemo vidjeti da još uvijek nema dostupnih licenci jer način licenciranja nije postavljen za RD Session Host server. Poslužitelj licenci je specificiran u politikama lokalne grupe. Da pokrenete uređivač, pokrenite naredbu gpedit.msc. Otvara se uređivač lokalnih grupnih pravila. U stablu s lijeve strane proširite kartice:

• Konfiguracija računara
• Administrativni predlošci
• Windows komponente
• Usluge udaljene radne površine
• Host sesije udaljene radne površine
• "Licenciranje" (licenciranje)

Otvorite parametre Koristite navedene servere licenci za udaljenu radnu površinu

U prozoru za uređivanje postavki politike, omogućite server za licenciranje (Omogućeno). Zatim morate definirati licencni server za usluge udaljene radne površine. U mom primjeru, licencni server se nalazi na istom fizičkom serveru. Odredite naziv mreže ili IP adresu servera licenci i kliknite na OK. Ako će se ime servera, server licenci promijeniti u budućnosti, morat ćete ga promijeniti u istom odjeljku.

Nakon toga, u RD Licensing Diagnoser, možete vidjeti da je server licenci terminala konfiguriran, ali nije omogućen. Da biste omogućili, pokrenite Remote Desktop Licensing Manager

Odaberite server za licenciranje sa statusom Nije aktivirano. Da biste aktivirali, kliknite desnim tasterom miša na njega i izaberite Aktiviraj server. Pokrenut će se čarobnjak za aktivaciju servera. Na kartici Način povezivanja odaberite Automatsko povezivanje. Zatim popunite podatke o organizaciji, nakon čega se aktivira server za licence.

Active Directory Certificate Services

AD CS pruža konfigurabilne usluge za izdavanje i upravljanje digitalnim sertifikatima koji se koriste u softverskim sigurnosnim sistemima koji koriste tehnologije javnog ključa. Digitalni sertifikati koje obezbeđuje AD CS mogu se koristiti za šifrovanje i digitalno potpisivanje elektronskih dokumenata i poruka. Ovi digitalni sertifikati se mogu koristiti za autentifikaciju naloga računara, korisnika i uređaja na mreži. Digitalni sertifikati se koriste za obezbeđivanje:

• privatnost putem enkripcije;
• integritet putem digitalnih potpisa;
• autentifikaciju povezivanjem ključeva certifikata s računima računala, korisnika i uređaja na mreži.

AD CS se može koristiti za poboljšanje sigurnosti povezivanjem identiteta korisnika, uređaja ili usluge za odgovarajući privatni ključ. Aplikacije koje podržava AD CS uključuju sigurne višenamjenske standardne ekstenzije Internet pošte (S/MIME), sigurne bežične mreže, virtuelne privatne mreže (VPN-ove), IPsec, sistem šifriranja datoteka (EFS), prijavu na pametne kartice, sigurnosni i sigurnosni protokol na nivou transporta (SSL/TLS) i digitalni potpisi.

Usluge domena Active Directory

Koristeći ulogu servera domenskih usluga Active Directory (AD DS), možete kreirati skalabilnu, sigurnu infrastrukturu kojom se može upravljati za upravljanje korisnicima i resursima; takođe možete obezbediti aplikacije sa omogućenim direktorijumom kao što je Microsoft Exchange Server. Usluge domena Active Directory pružaju distribuiranu bazu podataka koja pohranjuje i upravlja informacijama o mrežnim resursima i podacima aplikacija kojima je omogućen direktorij. Server koji pokreće AD DS naziva se kontroler domene. Administratori mogu koristiti AD DS da organiziraju mrežne elemente kao što su korisnici, računari i drugi uređaji u hijerarhijsku ugniježđenu strukturu. Hijerarhijska ugniježđena struktura uključuje šumu Active Directory, domene u šumi i organizacione jedinice u svakoj domeni. Sigurnosne karakteristike su integrirane u AD DS u obliku provjere autentičnosti i kontrole pristupa resursima u direktoriju. Sa jedinstvenom prijavom, administratori mogu upravljati informacijama o direktoriju i organizacijom preko mreže. Ovlašteni korisnici mreže također mogu koristiti mrežnu jedinstvenu prijavu za pristup resursima koji se nalaze bilo gdje na mreži. Usluge domena Active Directory pružaju sljedeće dodatne funkcije.

• Skup pravila je šema koja definira klase objekata i atributa koji se nalaze u direktoriju, ograničenja i ograničenja na instance tih objekata i format njihovih imena.
• Globalni katalog koji sadrži informacije o svakom objektu u katalogu. Korisnici i administratori mogu koristiti globalni katalog za traženje kataloških podataka, bez obzira na to koja domena u katalogu zapravo sadrži tražene podatke.
• Mehanizam upita i indeksiranja kroz koji se objekti i njihova svojstva mogu objaviti i locirati korisnici mreže i aplikacije.
• Usluga replikacije koja distribuira podatke direktorija preko mreže. Svi kontroleri domena za pisanje u domeni učestvuju u replikaciji i sadrže kompletnu kopiju svih podataka direktorija za svoju domenu. Sve promjene u podacima direktorija repliciraju se u domeni na sve kontrolere domene.
• Glavne uloge operacija (također poznate kao fleksibilne pojedinačne master operacije ili FSMO). Kontroleri domena koji djeluju kao gospodari operacija dizajnirani su za obavljanje posebnih zadataka kako bi osigurali konzistentnost podataka i izbjegli konfliktne unose u direktorij.

Active Directory Federation Services

AD FS pruža krajnjim korisnicima kojima je potreban pristup aplikacijama u AD FS osiguranom preduzeću, u organizacijama partnera u federaciji ili u oblaku sa pojednostavljenom i sigurnom federacijom identiteta i web uslugama jedinstvene prijave (SSO). Windows Server AD FS uključuje usluga uloga Usluga Federacije koja djeluje kao dobavljač identiteta (autentifikuje korisnike da daju sigurnosne tokene aplikacijama koje vjeruju AD FS-u) ili kao dobavljač federacije (primjenjuje tokene od drugih dobavljača identiteta, a zatim pruža sigurnosne tokene aplikacijama koje vjeruju AD FS-u).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) je LDAP protokol koji pruža fleksibilnu podršku za aplikacije direktorija bez ovisnosti i ograničenja specifičnih za domenu Active Directory domenskih usluga. AD LDS se može pokrenuti na članskim ili samostalnim serverima. Možete pokrenuti više instanci AD LDS-a sa nezavisno upravljanim šemama na istom serveru. Sa ulogom AD LDS servisa, možete pružiti usluge direktorija aplikacijama s omogućenim direktorijem bez korištenja podataka domene i usluge šuma i bez potrebe za jednom shemom za cijelu šumu.

Usluge upravljanja pravima Active Directory

Možete koristiti AD RMS da proširite bezbednosnu strategiju vaše organizacije tako što ćete osigurati dokumente pomoću upravljanja pravima na informacije (IRM). AD RMS omogućava korisnicima i administratorima da dodijele dozvole pristupa dokumentima, radnim knjigama i prezentacijama koristeći IRM politike. Ovo vam omogućava da zaštitite povjerljive informacije od štampanja, prosljeđivanja ili kopiranja od strane neovlaštenih korisnika. Jednom kada su dozvole datoteke ograničene korištenjem IRM-a, ograničenja pristupa i korištenja se primjenjuju bez obzira na lokaciju informacija, jer je dozvola datoteke pohranjena u samoj datoteci dokumenta. Uz AD RMS i IRM, pojedinačni korisnici mogu primijeniti vlastite preferencije u vezi s prijenosom ličnih i povjerljivih informacija. Oni će takođe pomoći organizaciji da sprovede korporativne politike za kontrolu upotrebe i distribucije osetljivih i ličnih informacija. IRM rješenja koja podržava AD RMS koriste se za pružanje sljedećih mogućnosti.

• Politike trajne upotrebe koje ostaju s informacijama bilo da se premještaju, šalju ili prosljeđuju.
• Dodatni sloj privatnosti za zaštitu osjetljivih podataka - kao što su izvještaji, specifikacije proizvoda, informacije o kupcima i e-poruke - od namjernog ili slučajnog pada u pogrešne ruke.
• Spriječite neovlašteno slanje, kopiranje, uređivanje, štampanje, faksiranje ili lijepljenje ograničenog sadržaja od strane ovlaštenih primatelja.
• Sprečite kopiranje ograničenog sadržaja pomoću funkcije PRINT SCREEN u Microsoft Windows-u.
• Podrška za istekom datoteke, sprečavanje pregleda sadržaja dokumenta nakon određenog vremenskog perioda.
• Implementirati korporativne politike koje regulišu upotrebu i distribuciju sadržaja unutar organizacije

Server aplikacija

Application Server pruža integrisano okruženje za postavljanje i pokretanje prilagođenih poslovnih aplikacija baziranih na serveru.

DHCP server

DHCP je klijent-server tehnologija koja omogućava DHCP serverima da dodjeljuju ili iznajmljuju IP adrese računarima i drugim uređajima koji su DHCP klijenti. Uvođenje DHCP servera na mrežu automatski osigurava klijentske računare i druge uređaje mrežni uređaji baziran na IPv4 i IPv6 važećim IP adresama i dodatnim konfiguracijskim postavkama koje zahtijevaju ovi klijenti i uređaji.Usluga DHCP servera u Windows Serveru uključuje podršku za dodjeljivanje zasnovano na politikama i DHCP grešku.

DNS server

DNS usluga je hijerarhijska distribuirana baza podataka koja sadrži mapiranja imena DNS domena u različite vrste podataka kao što su IP adrese. DNS usluga vam omogućava da koristite prijateljska imena kao što je www.microsoft.com da biste lakše locirali računare i druge resurse na TCP/IP mrežama. DNS usluga u Windows Serveru pruža dodatnu poboljšanu podršku za DNS sigurnosne module (DNSSEC), uključujući mrežnu registraciju i automatsko upravljanje postavkama.

FAX Server

Fax Server šalje i prima faksove i omogućava vam da upravljate resursima faksa kao što su poslovi, postavke, izvještaji i faks uređaji na vašem faks serveru.

Usluge datoteka i pohrane

Administratori mogu koristiti ulogu File and Storage Services za postavljanje više servera datoteka i njihovih skladišta, te za upravljanje tim serverima koristeći Server Manager ili Windows PowerShell. Neke specifične aplikacije uključuju sljedeće funkcije.

• radne fascikle. Koristite da biste omogućili korisnicima da skladište i pristupe radnim datotekama na ličnim računarima i uređajima koji nisu korporativni računari. Korisnici dobijaju pogodno mjesto za pohranjivanje radnih datoteka i pristup im s bilo kojeg mjesta. Organizacije kontroliraju korporativne podatke tako što pohranjuju datoteke na centralno upravljane servere datoteka i opciono postavljaju pravila za korisničke uređaje (kao što su šifriranje i lozinke za zaključavanje ekrana).
• Deduplikacija podataka. Koristite da smanjite potrebe za prostorom na disku za pohranjivanje datoteka, štedeći novac na pohrani.
• iSCSI ciljni server. Koristite za kreiranje centralizovanih, softverskih i nezavisnih iSCSI disk podsistema u mrežama za skladištenje podataka (SAN).
• Prostori na disku. Koristite za implementaciju skladišta koje je visoko dostupno, otporno i skalabilno s isplativim, industrijskim standardnim diskovima.
• Server Manager. Koristite za daljinsko upravljanje više servera datoteka iz jednog prozora.
• Windows PowerShell. Koristite za automatizaciju upravljanja većinom zadataka administracije servera datoteka.

Hyper-V

Uloga Hyper-V vam omogućava da kreirate i upravljate virtuelizovanim računarskim okruženjem koristeći tehnologiju virtuelizacije ugrađenu u Windows Server. Instaliranje Hyper-V uloge instalira preduslove i opcionalne alate za upravljanje. Potrebne komponente uključuju Windows hipervizor, uslugu upravljanja virtuelizacijom, Hyper-V mašine, WMI dobavljač virtuelizacije i komponente virtuelizacije kao što su VMbus, virtuelizacioni servis provajder (VSP) i drajver virtuelne infrastrukture (VID).

Mrežna politika i usluge pristupa

Mrežna politika i usluge pristupa pružaju sljedeća rješenja mrežnog povezivanja:

• Zaštita pristupa mreži je tehnologija za kreiranje, provođenje i ispravljanje zdravstvenih politika klijenata. Sa zaštitom pristupa mreži, administratori sistema mogu postaviti i automatski primijeniti zdravstvene politike koje uključuju zahtjeve za softver, sigurnosna ažuriranja i druge postavke. Za klijentske računare koji nisu u skladu sa zdravstvenom politikom, možete ograničiti pristup mreži dok se njihova konfiguracija ne ažurira kako bi bila u skladu sa zahtjevima politike.
• Ako su raspoređene bežične pristupne tačke s omogućenom 802.1X, možete koristiti Network Policy Server (NPS) da implementirate metode provjere autentičnosti zasnovane na certifikatima koje su sigurnije od provjere autentičnosti zasnovane na lozinki. Primena hardvera koji podržava 802.1X sa NPS serverom omogućava intranet korisnicima da budu autentifikovani pre nego što se mogu povezati na mrežu ili dobiti IP adresu od DHCP servera.
• Umjesto da konfigurirate politiku pristupa mreži na svakom serveru za pristup mreži, možete centralno kreirati sve politike koje definiraju sve aspekte zahtjeva za mrežnom vezom (ko se može povezati, kada je veza dozvoljena, nivo sigurnosti koji se mora koristiti za povezivanje na mrežu ).

Usluge štampanja i dokumenata

Usluge štampanja i dokumenata omogućavaju vam da centralizujete zadatke servera za štampanje i mrežnog štampača. Ova uloga vam takođe omogućava da primate skenirane dokumente sa mrežnih skenera i otpremate dokumente na mrežne deljene lokacije - na Windows SharePoint Services lokaciju ili putem e-pošte.

daljinski pristup

Uloga servera za daljinski pristup je logičko grupisanje sljedećih tehnologija pristupa mreži.

• Direktan pristup
• Rutiranje i daljinski pristup
• Proxy web aplikacije

Ove tehnologije jesu usluge uloga uloga servera za daljinski pristup. Kada instalirate ulogu servera za daljinski pristup, možete instalirati jednu ili više usluga uloga pokretanjem čarobnjaka za dodavanje uloga i funkcija.

Na Windows Serveru, uloga servera za daljinski pristup pruža mogućnost centralnog administriranja, konfigurisanja i nadgledanja DirectAccess-a i VPN-a sa uslugama daljinskog pristupa usluge Routing and Remote Access Service (RRAS). DirectAccess i RRAS se mogu postaviti na isti Edge Server i njima se upravlja Windows komande PowerShell i konzola za upravljanje udaljenim pristupom (MMC).

Usluge udaljene radne površine

Usluge udaljene radne površine ubrzavaju i proširuju primenu desktopa i aplikacija na bilo kom uređaju, čineći udaljenog radnika efikasnijim, a istovremeno osiguravaju kritično intelektualno vlasništvo i pojednostavljuju usklađenost. Usluge udaljene radne površine uključuju infrastrukturu virtuelne radne površine (VDI), desktop računare zasnovane na sesiji i aplikacije, dajući korisnicima mogućnost da rade sa bilo kog mesta.

Usluge Volume Activation Services

Usluge aktivacije količinskih licenci su uloga servera u Windows Serveru počevši od Windows Server 2012 koja automatizira i pojednostavljuje izdavanje i upravljanje količinskim licencama za Microsoft softver u različitim scenarijima i okruženjima. Zajedno sa uslugama aktivacije količinskih licenci, možete instalirati i konfigurirati Key Management Service (KMS) i aktivaciju Active Directory.

Web server (IIS)

Uloga Web servera (IIS) u Windows Serveru pruža platformu za hostovanje veb lokacija, usluga i aplikacija. Korišćenje web servera omogućava pristup informacijama korisnicima na Internetu, intranetu i ekstranetu. Administratori mogu koristiti ulogu web servera (IIS) za postavljanje i upravljanje više web lokacija, web aplikacija i FTP lokacija. Posebne karakteristike uključuju sljedeće.

• Korištenje Dispečera IIS za konfiguriranje IIS komponenti i administraciju web stranica.
• Korištenje FTP protokola za omogućavanje vlasnicima web stranica da uploaduju i preuzimaju datoteke.
• Korištenje izolacije web stranice kako bi se spriječilo da jedna web lokacija na serveru utiče na druge.
• Prilagodba web aplikacija razvijenih korištenjem različitih tehnologija kao što su Classic ASP, ASP.NET i PHP.
• Koristite Windows PowerShell za automatsko upravljanje većinom zadataka administracije web servera.
• Konsolidirajte više web servera u farmu servera kojom se može upravljati pomoću IIS-a.

Windows Deployment Services

Windows Deployment Services vam omogućava da instalirate Windows operativne sisteme preko mreže, što znači da ne morate da instalirate svaki operativni sistem direktno sa CD-a ili DVD-a.

Windows Server Essentials Iskustvo

Ova uloga vam omogućava da obavljate sljedeće zadatke:

• zaštiti serverske i klijentske podatke pravljenjem rezervnih kopija servera i svih klijentskih računara na mreži;
• upravljati korisnicima i korisničkim grupama putem pojednostavljene serverske kontrolne table. Pored toga, integracija sa Windows Azure Active Directory* omogućava korisnicima lak pristup Microsoft Online uslugama na mreži (kao što su Office 365, Exchange Online i SharePoint Online) koristeći akreditive svoje domene;
• skladištiti podatke o kompaniji na centraliziranoj lokaciji;
• integrirati server sa Microsoft Online Services (kao što su Office 365, Exchange Online, SharePoint Online i Windows Intune):
• koristiti sveprisutne funkcije pristupa na serveru (kao što su udaljeni pristup internetu i virtuelne privatne mreže) za pristup serveru, mrežnim računarima i podacima sa veoma sigurnih udaljenih lokacija;
• pristupiti podacima s bilo kojeg mjesta i sa bilo kojeg uređaja koristeći vlastiti web portal organizacije (putem udaljenog web pristupa);
• upravljajte mobilnim uređajima koji pristupaju e-pošti vaše organizacije sa Office 365 putem Active Sync protokola sa kontrolne table;
• pratiti zdravlje mreže i primati prilagodljive izvještaje o zdravlju; izvještaji se mogu generirati na zahtjev, prilagoditi i slati e-poštom određenim primaocima.

Windows Server Update Services

WSUS server pruža komponente koje su administratorima potrebne za upravljanje i distribuciju ažuriranja preko upravljačke konzole. Osim toga, WSUS server može biti izvor ažuriranja za druge WSUS servere u organizaciji. Prilikom implementacije WSUS-a, najmanje jedan WSUS server na mreži mora biti povezan na Microsoft Update da bi primio informacije o dostupnim ažuriranjima. U zavisnosti od sigurnosti i konfiguracije mreže, administrator može odrediti koliko je drugih servera direktno povezano na Microsoft Update.

Uvod

Sa povećanjem broja računara u preduzeću, pitanje troškova njegovog upravljanja i održavanja postaje sve akutnije. Ručno konfigurisanje računara oduzima mnogo vremena osoblju i primorava, sa povećanjem broja računara, da poveća osoblje koje ih opslužuje. Osim toga, sa velikim brojem mašina, postaje sve teže pratiti usklađenost sa standardima koje je usvojilo preduzeće. Politika grupe (Group Policy) je sveobuhvatan alat za centralizovano upravljanje računarima koji rade pod operativnim sistemom Windows 2000 i novijim u domenu Active Directory. Smernice grupe se ne primenjuju na računare koji koriste Windows NT4/9x: njima upravlja sistemska politika, o čemu se neće govoriti u ovom članku.

GPOs

Sve postavke koje kreirate unutar grupnih politika bit će pohranjene u objektima grupnih politika (GPO). GPO su dva tipa: lokalni GPO i GPO Active Directory. Lokalni GPO je dostupan na računarima koji koriste Windows 2000 i novije verzije. Može postojati samo jedan, i to je jedini GPO koji može biti na mašini bez domene.

Objekt grupne politike je generički naziv za skup datoteka, direktorija i unosa u bazi podataka Active Directory (ako to nije lokalni objekt) koji pohranjuju vaše postavke i određuju koje druge postavke možete promijeniti pomoću grupnih politika. Kreiranjem politike vi zapravo kreirate i mijenjate GPO. Lokalni GPO je pohranjen u %SystemRoot%\System32\GroupPolicy. Active Directory GPO-ovi su pohranjeni na kontroleru domena i mogu biti povezani sa lokacijom, domenom ili OU (Organizaciona jedinica, organizaciona jedinica ili organizaciona jedinica). Vezivanje objekta definira njegov opseg. Po defaultu, dva GPO-a se kreiraju u domeni: Default Domain Policy i Default Domain Controller Policy. Prvi definira zadanu politiku za lozinke i račune u domeni. Drugi komunicira sa OU kontrolerima domena i povećava bezbednosne postavke za kontrolere domena.

Kreirajte GPO

Da biste kreirali politiku (to jest, zapravo kreirali novi GPO), otvorite Active Directory Users & Computers i odaberite gdje ćete kreirati novi objekat. Možete kreirati i povezati GPO samo sa lokacijom, domenom ili OU objektom.

Rice. 1. Kreirajte GPO.

Da biste kreirali GPO i povezali ga sa, na primer, OU testerima, kliknite desnim tasterom miša na ovu OU i izaberite svojstva iz kontekstnog menija. U prozoru sa svojstvima koji se otvori otvorite karticu Politika grupe i kliknite na Novo.

Rice. 2. Kreirajte GPO.

Dajemo ime GP objektu, nakon čega se objekt kreira i možete započeti konfiguriranje politike. Dvaput kliknite na kreirani objekat ili pritisnite dugme Uredi, otvoriće se prozor GPO editora u kojem možete konfigurisati određene parametre objekta.

Rice. 3. Opis postavki na kartici Prošireno.

Većina glavnih postavki je intuitivna (imaju i opis ako otvorite karticu Prošireno) i nećemo se detaljnije zadržavati na svakom od njih. Kao što se može vidjeti sa sl. 3, GPO se sastoji od dva odeljka: Konfiguracija računara i Konfiguracija korisnika. Postavke u prvom odeljku se primenjuju u trenutku pokretanja Windows-a na računare u ovom kontejneru i ispod (osim ako se nasleđivanje ne poništi) i ne zavisi od toga koji korisnik je prijavljen. Postavke drugog odjeljka primjenjuju se prilikom prijavljivanja korisnika.

Redoslijed primjene GPO

Kada se računar pokrene, dešavaju se sledeće radnje:

1. Čita se registar i utvrđuje kojem sajtu računar pripada. DNS serveru se postavlja upit kako bi se dobile IP adrese kontrolera domena koji se nalaze na ovoj stranici.
2. Po prijemu adresa, računar se povezuje sa kontrolerom domena.
3. Klijent traži listu GP objekata od kontrolora domena i primjenjuje ih. Potonji šalje listu GP objekata redoslijedom kojim bi se trebali primijeniti.
4. Kada se korisnik prijavi, računar ponovo traži listu GP objekata koje treba primijeniti na korisnika, preuzima ih i primjenjuje.

Politika grupe se primjenjuje kada se OC pokrene i kada se korisnik prijavi. Zatim se primjenjuju svakih 90 minuta, sa varijacijom od 30 minuta kako bi se izbjeglo preopterećenje kontrolera domene ako veliki broj klijenata traži istovremeno. Za kontrolere domena, interval ažuriranja je 5 minuta. Ovo ponašanje možete promijeniti u Computer Configuration\Administrative Templates\System\Group Policy. GPO može djelovati samo na objekte Computer i User. Politika se primjenjuje samo na objekte koji se nalaze u objektu direktorija (lokacija, domena, organizacijska jedinica) s kojima je GPO povezan i dalje u stablu (osim ako je nasljeđivanje onemogućeno). Na primjer: GPO se kreira u OU testerima (kao što smo uradili gore).

Rice. 4. Nasljeđivanje postavki.

Sva podešavanja napravljena u ovom GPO-u će uticati samo na korisnike i računare koji se nalaze u OU testerima i OU InTesterima. Pogledajmo kako se politike primjenjuju na primjeru. Korisnički test, koji se nalazi u OU testerima, prijavljuje se na računarski komp, koji se nalazi u OU compOU (vidi sliku 5).

Rice. 5. Redoslijed primjene politika.

Postoje četiri GPO-a u domeni:

1. SitePolicy povezana sa kontejnerom stranice;
2. Podrazumevana politika domene povezana sa kontejnerom domene;
3. Policy1 povezana sa OU testerima;
4. Politika2 povezana s OU compOU.

At Windows boot na računarskoj radnoj stanici, postavke definisane u odeljcima Konfiguracija računara primenjuju se ovim redosledom:

1. Lokalne GPO postavke;
2. Postavke GPO SitePolicy;

4. Postavke GPO Policy2.

Kada se testni korisnik prijavi na računar, parametri definisani u odjeljcima Korisnička konfiguracija su:

1. Lokalne GPO postavke;
2. Postavke GPO SitePolicy;
3. GPO Default Domain Policy postavke;
4. Postavke GPO Policy1.

To jest, GPO se primjenjuju ovim redoslijedom: lokalne politike, politike na nivou lokacije, politike na nivou domena, politike na nivou OU.

Politike grupe se primjenjuju asinhrono na Windows XP klijente i sinhrono na Windows 2000 klijente, što znači da se ekran za prijavu korisnika pojavljuje tek nakon što se primjene sve politike računala, a korisničke politike se primjenjuju prije nego što se pojavi radna površina. Asinhrona primjena pravila znači da se ekran za prijavu korisnika pojavljuje prije nego što se primjene sve politike računala, a radna površina se pojavljuje prije nego što se primjene sve korisničke politike, što rezultira bržim učitavanjem i prijavom korisnika.
Gore opisano ponašanje mijenja se u dva slučaja. Prvo, klijentski računar je otkrio sporu mrežnu vezu. Podrazumevano, u ovom slučaju se primenjuju samo bezbednosne postavke i administrativni predlošci. Veza sa propusnim opsegom manjim od 500 Kb/s smatra se sporom. Ovu vrijednost možete promijeniti u Computer Configuration\Administrative Templates\System\Group Policy\Group Policy otkrivanje sporog linka. Također u odjeljku Konfiguracija računara\Administrativni predlošci\Sistem\Grupna pravila možete konfigurirati neke druge postavke politike tako da se i one obrađuju putem spore veze. Drugi način za promjenu redoslijeda primjene politika je opcija obrade povratne petlje politike grupe korisnika. Ova opcija mijenja redoslijed primjene zadanih politika, gdje se korisničke politike primjenjuju nakon kompjuterskih politika i nadjačavaju potonje. Možete postaviti opciju povratne petlje za primjenu kompjuterskih politika nakon korisničkih politika i prebrisati sve korisničke politike koje su u sukobu sa politikama računala. Parametar povratne petlje ima 2 načina:

1. Spajanje (za povezivanje) - prvo se primenjuje politika računara, zatim korisnik i ponovo računar. U ovom slučaju, politika računala zamjenjuje postavke korisničke politike koje su joj u suprotnosti sa svojim vlastitim.
2. Zamijeni (zamijeni) - korisnička politika nije obrađena.

Da biste ilustrirali upotrebu postavke obrade povratne petlje politike grupe korisnika, na primjer, na javnom računaru, na kojem morate imati iste ograničene postavke, bez obzira koji korisnik ih koristi.

Prednost, nasljeđivanje i rješavanje sukoba

Kao što ste već primijetili, na svim nivoima GPO-ovi sadrže iste postavke, a ista postavka se može različito definirati na nekoliko nivoa. U ovom slučaju, posljednja primijenjena vrijednost će biti efektivna vrijednost (redosljed kojim se GPO-ovi primjenjuju gore je razmotreno). Ovo pravilo se primjenjuje na sve postavke osim onih koje su definirane kao nekonfigurirane. Za ove postavke Windows ne preduzima ništa. Ali postoji jedan izuzetak: sve postavke naloga i lozinke mogu se definisati samo na nivou domene, na drugim nivoima ove postavke će biti zanemarene.

Rice. 6. Korisnici i računari Active Directory.

Ako postoji više GPO-ova na istom nivou, oni se primjenjuju odozdo prema gore. Promjenom položaja objekta politike na listi (pomoću tipki Gore i Dolje), možete odabrati željeni redoslijed aplikacije.

Rice. 7. Redoslijed primjene politika.

Ponekad želite da određena OU ne prima postavke politike od GPO-ova povezanih sa uzvodnim kontejnerima. U ovom slučaju, morate onemogućiti nasljeđivanje politike tako što ćete potvrditi izbor u polju za potvrdu Blokiraj nasljeđivanje politike. Sve naslijeđene postavke politike su blokirane i ne postoji način da se blokiraju pojedinačne postavke. Postavke na nivou domene koje definiraju politiku lozinke i politiku računa ne mogu se zaključati.

Rice. 9. Blokiranje nasljeđivanja politike.

Ako želite da određene postavke u datom GPO-u ne budu prepisane, odaberite željeni GPO, pritisnite dugme Opcije i odaberite Bez nadjačavanja. Ova opcija prisiljava GPO postavke da se primjene tamo gdje je nasljeđivanje politike blokirano. No Override nije postavljeno na lokaciji gdje je GPO pridružen objektu direktorija, a ne na samom GPO-u. Ako je GPO povezan sa više kontejnera u domeni, onda ova postavka neće biti automatski konfigurisana za ostale veze. Ako je postavka No Override konfigurirana za više veza na istom nivou, postavke GPO-a na vrhu liste će imati prednost (i učinak). Ako su postavke No Override konfigurirane za više GPO-ova na različitim razinama, GPO postavke više u hijerarhiji direktorija će stupiti na snagu. To jest, ako su postavke Bez nadjačavanja konfigurirane za povezivanje GPO-a sa objektom domene i za povezivanje GPO-a sa OU-om, postavke definirane na razini domene će stupiti na snagu. Polje za potvrdu Onemogućeno poništava učinak ovog GPO-a na ovaj kontejner.

Rice. 10. Opcije No Override i Disabled.

Kao što je gore pomenuto, politike utiču samo na korisnike i računare. Često se postavlja pitanje: „kako učiniti da određena politika utječe na sve korisnike uključene u određenu sigurnosnu grupu?“. Da biste to učinili, GPO je vezan za objekt domene (ili bilo koji kontejner koji se nalazi iznad kontejnera ili OU u kojem se nalaze svi korisnički objekti iz željene grupe) i konfiguriraju se postavke pristupa. Kliknite na Svojstva, na kartici Sigurnost, izbrišite grupu Authenticated Users i dodajte potrebnu grupu s pravima za čitanje i primjenu smjernica grupe.

Određivanje postavki koje utiču na računar korisnika

Da biste odredili konačnu konfiguraciju i identificirali probleme, morate znati koje postavke politike su trenutno na snazi ​​za datog korisnika ili računar. Da biste to učinili, postoji alat Resultant Set of Policy (rezultirajući skup politika, RSoP). RSoP može raditi i u načinu registracije i u načinu planiranja. Da biste pozvali RSoP, kliknite desnim tasterom miša na objekat korisnika ili računara i izaberite Svi zadaci.

Rice. 11. Pozivanje alata Resultant Set of Policy.

Nakon pokretanja (u načinu evidentiranja), od vas će biti zatraženo da odaberete za koji računar i korisnika želite definirati skup rezultata, a pojavit će se prozor postavki rezultata koji pokazuje koji je GPO primijenio koju postavku.

Rice. 12. Rezultirajući skup politika.

Drugi alati za upravljanje grupnim politikama

GPResult je alat komandne linije koji pruža neke od RSoP funkcionalnosti. GPResult je podrazumevano dostupan na svim računarima koji koriste Windows XP i Windows Server 2003.

GPUpdate forsira primjenu grupnih politika - kako lokalnih tako i baziranih na Active Directory. U Windows XP/2003, zamenio je opciju /refreshpolicy u alatu secedit za Windows 2000.

Opis sintakse naredbi je dostupan kada ih pokrenete pomoću tipke /?.

Umjesto zaključka

Ovaj članak nema za cilj da objasni sve aspekte rada sa grupnim politikama, nije namenjen iskusnim sistem administratorima. Sve navedeno bi, po mom mišljenju, trebalo samo na neki način pomoći u razumijevanju osnovnih principa rada s političarima onima koji s njima nikada nisu radili, ili ih tek počinju savladavati.

GPResult Utility.exe– je konzolna aplikacija dizajnirana za analizu postavki i dijagnosticiranje grupnih politika koje se primjenjuju na računar i/ili korisnika u domeni Active Directory. Konkretno, GPResult vam omogućava da dobijete podatke iz rezultujućeg skupa politika (Resultant Set of Policy, RSOP), liste primijenjenih politika domena (GPO), njihovih postavki i detaljnih informacija o njihovim greškama u obradi. Uslužni program je dio Windows operativnog sistema još od vremena Windows XP-a. Pomoćni program GPResult vam omogućava da odgovorite na pitanja kao što su da li se određena politika primjenjuje na računar, koji je GPO promijenio određenu postavku Windowsa i da otkrijete razloge.

U ovom članku ćemo pogledati specifičnosti korištenja GPResult naredbe za dijagnosticiranje i otklanjanje grešaka u primjeni grupnih politika u domeni Active Directory.

U početku je za dijagnosticiranje primjene grupnih politika u Windows-u korištena grafička konzola RSOP.msc, koja je omogućila dobivanje postavki rezultirajućih politika (domena + lokalna) primijenjenih na računar i korisnika u grafičkom obliku sličnom GPO uređivač konzole (ispod, u primjeru prikaza konzole RSOP.msc, možete vidjeti da su postavke ažuriranja postavljene).

Međutim, RSOP.msc konzola u modernim verzijama Windowsa nije praktična za korištenje, jer ne odražava postavke koje primjenjuju različite ekstenzije na strani klijenta (CSE), kao što je GPP (Group Policy Preferences), ne dozvoljava pretraživanje, pruža malo dijagnostičkih informacija. Stoga je trenutno naredba GPResult glavni alat za dijagnosticiranje korištenja GPO-a u Windows-u (u Windows-u 10 postoji čak i upozorenje da RSOP ne daje kompletan izvještaj, za razliku od GPResult-a).

Korištenje uslužnog programa GPResult.exe

Komanda GPResult se izvodi na računaru na kojem želite da testirate primenu grupnih politika. Naredba GPResult ima sljedeću sintaksu:

GPRESULT ]] [(/X | /H) ]

Da biste dobili detaljne informacije o grupnim politikama koje se primjenjuju na dati AD objekt (korisnik i računar) i drugim postavkama koje se odnose na GPO infrastrukturu (tj. rezultirajuće postavke GPO politike - RsoP), pokrenite naredbu:

Rezultati izvršenja naredbe podijeljeni su u 2 dijela:

• COMPUTER POSTAVKE (Konfiguracija računara) – odeljak sadrži informacije o GPO objektima koji utiču na računar (kao Active Directory objekat);
• USER POSTAVKE – korisnički dio politika (politike koje se primjenjuju na korisnički račun u AD).

Prođimo ukratko na glavne parametre/odjeljke koji bi nas mogli zanimati u GPResult izlazu:

• SiteIme(Naziv sajta:) - naziv AD sajta na kojem se računar nalazi;
• CN– potpuno kanonski korisnik/računar za koji su generisani RSoP podaci;
• LastvrijemegrupaPolicybioprimijenjeno(Poslednja primenjena grupna politika) - vreme kada su grupne politike poslednji put primenjene;
• grupaPolicybioprimijenjenood(Grupna politika je primijenjena iz) - kontroler domene s kojeg je učitana najnovija verzija GPO-a;
• domenaImei Domaintip(Naziv domene, tip domene) – Naziv i verzija šeme domene Active Directory;
• PrimijenjenogrupaPolicyObjekti(Primijenjeni GPO)– liste aktivnih objekata grupne politike;
• ThepratećiGPOsbilineprimijenjenojeronibilifiltriranvan(Sljedeće GPO politike nisu primijenjene jer su filtrirane) - nisu primijenjene (filtrirane) GPO;
• Thekorisnik/kompjuterjeadioofthepratećisigurnostgrupe(Korisnik/računar je član sljedećih sigurnosnih grupa) – Grupe domena čiji je korisnik član.

U našem primjeru možete vidjeti da na korisnički objekt utječu 4 grupne politike.

• Default Domain Policy;
• Omogući Windows zaštitni zid;
• Lista za pretragu DNS sufiksa

Ako ne želite da konzola istovremeno prikazuje informacije o korisničkim i kompjuterskim politikama, možete koristiti opciju /scope da prikažete samo odjeljak koji vas zanima. Samo rezultirajuća korisnička pravila:

gpresult /r /scope:user

ili samo primijenjene kompjuterske politike:

gpresult /r /scope:computer

Jer Uslužni program Gpresult šalje svoje podatke direktno na konzolu komandne linije, što nije uvijek zgodno za naknadnu analizu; njegov izlaz se može preusmjeriti u međuspremnik:

gpresult /r |isječak

ili tekstualni fajl:

gpresult /r > c:\gpresult.txt

Za prikaz super-detaljnih RSOP informacija, dodajte /z prekidač.

HTML RSOP izvještaj koristeći GPResult

Osim toga, uslužni program GPResult može generirati HTML izvještaj o primijenjenim politikama rezultata (dostupno u Windows 7 i novijim). Ovaj izvještaj će sadržavati detaljne informacije o svim sistemskim postavkama koje su postavljene grupnim politikama i nazivima specifičnih GPO-ova koji ih postavljaju (rezultirajući izvještaj o strukturi podsjeća na karticu Postavke u Konzoli za upravljanje grupnim politikama domene - GPMC). Možete generirati HTML GPResult izvještaj koristeći naredbu:

GPResult /h c:\gp-report\report.html /f

Da biste generirali izvještaj i automatski ga otvorili u pretraživaču, pokrenite naredbu:

GPResult /h GPResult.html & GPResult.html

Gpresult HTML izvještaj sadrži dosta korisnih informacija: vidljive su greške GPO aplikacije, vrijeme obrade (u ms) i primjena specifičnih politika i CSE (u odjeljku Detalji o računaru -> Status komponente). Na primjer, na gornjoj snimci ekrana, možete vidjeti da se politika s postavkama 24 lozinke pamte primjenjuje Default Domain Policy (Winning GPO kolona). Kao što vidite, takav HTML izvještaj je mnogo pogodniji za analizu primijenjenih politika od konzole rsop.msc.

Dobivanje GPResult podataka sa udaljenog računara

GPResult takođe može prikupljati podatke sa udaljenog računara, eliminišući potrebu da se administrator prijavi lokalno ili RDP na udaljeni računar. Format komande za prikupljanje RSOP podataka sa udaljenog računara je sledeći:

GPResult /s server-ts1 /r

Slično, možete daljinski prikupljati podatke iz korisničkih politika i kompjuterskih politika.

korisničko ime nema RSOP podataka

Sa omogućenim UAC-om, pokretanje GPResult-a bez povišenih privilegija prikazuje samo postavke za prilagođeni odjeljak grupnih politika. Ako trebate prikazati oba odjeljka (KORISNIČKE POSTAVKE i POSTAVKE RAČUNARA) istovremeno, naredba se mora pokrenuti. Ako je povišeni komandni redak na sistemu koji nije trenutni korisnik, uslužni program će izdati upozorenje INFO: Thekorisnik“domen\user”da lineimatiRSOPpodaci ( Korisnik 'domena\korisnik' nema RSOP podataka). To je zato što GPResult pokušava prikupiti informacije za korisnika koji ga je pokrenuo, ali zato Ovaj korisnik se nije prijavio na sistem i RSOP informacije nisu dostupne za ovog korisnika. Da biste prikupili RSOP informacije za korisnika s aktivnom sesijom, morate navesti njegov račun:

gpresult /r /user:tn\edward

Ako ne znate naziv naloga koji je prijavljen na udaljenom računaru, nalog možete dobiti ovako:

qwinsta /SERVER:remotePC1

Također provjerite vrijeme(a) na klijentu. Vrijeme mora odgovarati vremenu na PDC-u (Primary Domain Controller).

Sljedeće GPO politike nisu primijenjene jer su filtrirane

Prilikom rješavanja problema grupnih politika, također treba obratiti pažnju na odjeljak: Sljedeći GPO-ovi nisu primijenjeni jer su filtrirani (Sljedeće GPO politike nisu primijenjene jer su filtrirane). Ovaj odjeljak prikazuje popis GPO-ova koji se, iz jednog ili drugog razloga, ne primjenjuju na ovaj objekt. Moguće opcije na koje se politika možda ne primjenjuje:

Također možete razumjeti da li se politika treba primijeniti na određeni AD objekt na kartici Efektivne dozvole (Napredno -> Efektivni pristup).

Dakle, u ovom članku smo pregledali karakteristike dijagnosticiranja primjene grupnih politika pomoću uslužnog programa GPResult i pregledali tipične scenarije za njegovu upotrebu.

Funkcionalnost u Windows Server operativnom sistemu se proračunava i poboljšava od verzije do verzije, sve je više uloga i komponenti, pa ću u današnjem članku pokušati ukratko opisati opis i svrhu svake uloge u Windows Serveru 2016.

Prije nego što pređemo na opis uloga Windows Server servera, hajde da saznamo šta je tačno " Uloga servera» na operativnom sistemu Windows Server.

Šta je "uloga servera" u Windows Serveru?

Uloga servera- ovo je softverski paket koji osigurava izvođenje određene funkcije od strane servera, a ova funkcija je glavna. Drugim riječima, " Uloga servera' je odredište servera, tj. čemu služi. Tako da server može obavljati svoju glavnu funkciju, tj. određenu ulogu u Uloga servera» uključuje sav potreban softver za ovo ( programi, usluge).

Server može imati jednu ulogu ako se aktivno koristi ili nekoliko ako svaka od njih ne opterećuje server i rijetko se koristi.

Uloga poslužitelja može uključivati ​​višestruke usluge uloga koje pružaju funkcionalnost uloge. Na primjer, u ulozi servera " Web server (IIS)” uključuje prilično veliki broj usluga, a uloga “ DNS server» ne uključuje usluge uloga, jer ova uloga obavlja samo jednu funkciju.

Role Services se mogu instalirati zajedno ili pojedinačno, ovisno o vašim potrebama. U suštini, instaliranje uloge znači instaliranje jedne ili više njenih usluga.

Windows Server takođe ima " Komponente» server.

Komponente servera (funkcija) su softverski alati koji nisu uloga servera, ali proširuju mogućnosti jedne ili više uloga ili upravljaju jednom ili više uloga.

Neke uloge se ne mogu instalirati ako poslužitelj nema potrebne usluge ili komponente koje su potrebne za funkcioniranje uloga. Stoga, u vrijeme postavljanja takvih uloga " Čarobnjak za dodavanje uloga i funkcija» automatski će od vas zatražiti da instalirate potrebne dodatne usluge ili komponente uloga.

Opis uloga servera Windows Server 2016

Vjerovatno ste već upoznati sa mnogim ulogama koje postoje u Windows Serveru 2016, budući da postoje već neko vrijeme, ali kao što sam rekao, sa svakom novom verzijom Windows Servera, dodaju se nove uloge koje možda niste radili sa, ali želimo da znamo čemu služe, pa hajde da ih pogledamo.

Bilješka! O novim funkcijama Windows Server 2016 operativnog sistema možete pročitati u materijalu "Instalacija Windows Server 2016 i pregled novih funkcija".

Budući da se instalacija i administracija uloga, usluga i komponenti vrlo često odvija pomoću Windows PowerShell-a, za svaku ulogu i njen servis naznačit ću naziv koji se može koristiti u PowerShell-u, odnosno za njegovu instalaciju ili za upravljanje.

DHCP server

Ova uloga vam omogućava da centralno konfigurišete dinamičke IP adrese i povezane postavke za računare i uređaje na vašoj mreži. Uloga DHCP servera nema usluge uloga.

Naziv za Windows PowerShell je DHCP.

DNS server

Ova uloga je namijenjena za rješavanje imena u TCP/IP mrežama. Uloga DNS servera obezbeđuje i održava DNS. Da bi se pojednostavilo upravljanje DNS serverom, on se obično instalira na istom serveru kao Active Directory Domain Services. Uloga DNS servera nema usluge uloga.

Ime uloge za PowerShell je DNS.

Hyper-V

Uz Hyper-V ulogu, možete kreirati i upravljati virtueliziranim okruženjem. Drugim riječima, to je alat za kreiranje i upravljanje virtuelnim mašinama.

Naziv uloge za Windows PowerShell je Hyper-V.

Potvrda o zdravstvenom stanju uređaja

uloga " » omogućava procjenu zdravlja uređaja na osnovu izmjerenih indikatora sigurnosnih parametara, kao što su indikatori stanja sigurnog pokretanja i Bitlocker na klijentu.

Za funkcioniranje ove uloge potrebno je puno servisa i komponenti uloga, na primjer: nekoliko servisa iz uloge " Web server (IIS)", komponenta " ", komponenta " .NET Framework 4.6 karakteristike».

Tokom instalacije, sve potrebne usluge i funkcije uloga će biti automatski odabrane. uloga" Potvrda o zdravstvenom stanju uređaja» Ne postoje servisi uloga.

Naziv za PowerShell je DeviceHealthAttestationService.

Web server (IIS)

Pruža pouzdanu, upravljivu i skalabilnu infrastrukturu web aplikacija. Sastoji se od prilično velikog broja usluga (43).

Naziv za Windows PowerShell je Web-Server.

Uključuje sljedeće usluge uloga ( u zagradama ću navesti naziv za Windows PowerShell):

Web server (Web-WebServer)- Grupa usluga uloga koja pruža podršku za HTML web stranice, ASP.NET ekstenzije, ASP i web server. Sastoji se od sljedećih usluga:

• Sigurnost (Web Security)- skup usluga za osiguranje sigurnosti web servera.
  • Filtriranje zahtjeva (Web-Filtering) - pomoću ovih alata možete obraditi sve zahtjeve koji dolaze na server i filtrirati te zahtjeve na osnovu posebnih pravila koja postavlja administrator web servera;
  • IP adresa i ograničenja domena (Web-IP-Security) - ovi alati vam omogućavaju da dozvolite ili odbijete pristup sadržaju na web serveru na osnovu IP adrese ili imena domena izvora u zahtjevu;
  • Autorizacija URL-a (Web-Url-Auth) - alati vam omogućavaju da razvijete pravila za ograničavanje pristupa web sadržaju i njihovo povezivanje sa korisnicima, grupama ili komandama HTTP zaglavlja;
  • Digest Authentication (Web-Digest-Auth) - Ova autentifikacija pruža viši nivo sigurnosti od osnovne autentifikacije. Digest autentifikacija za autentifikaciju korisnika funkcionira kao prosljeđivanje hash lozinke na Windows kontroler domene;
  • Osnovna provjera autentičnosti (Web-Basic-Auth) - Ova metoda provjere autentičnosti pruža snažnu kompatibilnost web pretraživača. Preporučuje se upotreba u malim internim mrežama. Glavni nedostatak ove metode je što se lozinke koje se prenose preko mreže mogu prilično lako presresti i dešifrirati, pa koristite ovu metodu u kombinaciji sa SSL-om;
  • Windows autentikacija (Web-Windows-Auth) je autentifikacija zasnovana na autentifikaciji Windows domene. Drugim riječima, možete koristiti Active Directory račune za autentifikaciju korisnika vaših web lokacija;
  • Provjera autentičnosti mapiranja certifikata klijenta (Web-Client-Auth) - Ova metoda provjere autentičnosti koristi certifikat klijenta. Ovaj tip koristi usluge Active Directory za pružanje mapiranja certifikata;
  • Provjera autentičnosti mapiranja IIS certifikata klijenta (Web-Cert-Auth) - Ova metoda također koristi klijentske certifikate za autentifikaciju, ali koristi IIS za pružanje mapiranja certifikata. Ovaj tip pruža bolje performanse;
  • Centralizirana podrška za SSL certifikate (Web-CertProvider) - ovi alati vam omogućavaju centralno upravljanje certifikatima SSL servera, što uvelike pojednostavljuje proces upravljanja ovim certifikatima;
• Mogućnost servisiranja i dijagnostika (Web-Health)– skup usluga za praćenje, upravljanje i rješavanje problema na web serverima, stranicama i aplikacijama:
  • http logging (Web-Http-Logging) - alati omogućavaju evidentiranje aktivnosti web stranice na datom serveru, tj. unos u dnevnik;
  • ODBC evidentiranje (Web-ODBC-Logging) – Ovi alati također omogućavaju evidentiranje aktivnosti web stranice, ali podržavaju evidentiranje te aktivnosti u ODBC kompatibilnu bazu podataka;
  • Monitor zahtjeva (Web-Request-Monitor) je alat koji vam omogućava da nadgledate zdravlje web aplikacije presretanja informacija o HTTP zahtjevima u IIS radnom procesu;
  • Prilagođeno evidentiranje (Web-Custom-Logging) - Koristeći ove alate, možete konfigurirati evidentiranje aktivnosti web servera u formatu koji se značajno razlikuje od standardnog IIS formata. Drugim riječima, možete kreirati svoj vlastiti modul za evidentiranje;
  • Alati za evidentiranje (Web-Log-Libraries) su alati za upravljanje evidencijama web servera i automatizaciju zadataka evidentiranja;
  • Praćenje (Web-Http-Tracing) je alat za dijagnosticiranje i rješavanje kršenja u web aplikacijama.
• http uobičajene funkcije (Web-Common-Http)– skup usluga koje pružaju osnovnu HTTP funkcionalnost:
  • Zadani dokument (Web-Default-Doc) - Ova funkcija vam omogućava da konfigurirate web server da vrati zadani dokument kada korisnici ne navedu određeni dokument u URL-u zahtjeva, što korisnicima olakšava pristup web stranici, na primjer, domena, bez navođenja datoteke;
  • Pregledanje direktorija (Web-Dir-Browsing) - Ovaj alat se može koristiti za konfiguraciju web servera tako da korisnici mogu vidjeti listu svih direktorija i datoteka na web stranici. Na primjer, za slučajeve u kojima korisnici ne specificiraju datoteku u URL-u zahtjeva, a zadani dokumenti su ili onemogućeni ili nisu konfigurirani;
  • http greške (Web-Http-Errors) - ova funkcija vam omogućava da konfigurišete poruke o grešci koje će biti vraćene u web pretraživače korisnika kada web server otkrije grešku. Ovaj alat se koristi za lakše predstavljanje poruka o greškama korisnicima;
  • Statički sadržaj (Web-Static-Content) - ovaj alat vam omogućava da koristite sadržaj na web serveru u obliku statičkih formata datoteka, kao što su HTML datoteke ili datoteke slika;
  • http preusmjeravanje (Web-Http-Redirect) - koristeći ovu funkciju, možete preusmjeriti korisnički zahtjev na određeno odredište, tj. ovo je Preusmjeravanje;
  • WebDAV Publishing (Web-DAV-Publishing) - omogućava vam korištenje WebDAV tehnologije na IIS WEB serveru. WebDAV ( Web distribuirano autorstvo i verzija) je tehnologija koja korisnicima omogućava zajednički rad ( čitanje, uređivanje, čitanje svojstava, kopiranje, premještanje) preko datoteka na udaljenim web serverima koji koriste HTTP protokol.
• Performanse (Web Performanse)- skup usluga za postizanje većih performansi web servera, kroz keširanje izlaza i uobičajene mehanizme kompresije kao što su Gzip i Deflate:
  • Kompresija statičkog sadržaja (Web-Stat-Compression) je alat za prilagođavanje kompresije http statičkog sadržaja, omogućava efikasnije korištenje propusnog opsega, bez nepotrebnog opterećenja CPU-a;
  • Dinamička kompresija sadržaja (Web-Dyn-Compression) je alat za konfiguriranje HTTP dinamičke kompresije sadržaja. Ovaj alat omogućava efikasnije korištenje propusnog opsega, ali u ovom slučaju opterećenje procesora servera povezano s dinamičkom kompresijom može usporiti web lokaciju ako je opterećenje CPU-a veliko čak i bez kompresije.
• Razvoj aplikacija (Web-App-Dev)- skup usluga i alata za razvoj i hosting web aplikacija, drugim riječima, tehnologija izrade web stranica:
  • ASP (Web-ASP) je okruženje za podršku i razvoj web stranica i web aplikacija koristeći ASP tehnologiju. Trenutno postoji novija i naprednija tehnologija izrade web stranica - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste ASP.NET tehnologiju;
  • ASP.NET 4.6 (Web-Asp-Net45) je također objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste novu verziju ASP.NET-a;
  • CGI (Web-CGI) je mogućnost korištenja CGI za prosljeđivanje informacija sa web servera na vanjski program. CGI je vrsta standarda interfejsa za povezivanje eksternog programa sa web serverom. Postoji nedostatak, upotreba CGI utiče na performanse;
  • Server Side Inclusions (SSI) (Web-Includes) je podrška za SSI skriptni jezik ( omogućiti na strani servera), koji se koristi za dinamičko generiranje HTML stranica;
  • Inicijalizacija aplikacije (Web-AppInit) - ovaj alat obavlja zadatke inicijalizacije web aplikacija prije slanja web stranice;
  • WebSocket protokol (Web-WebSockets) - dodavanje mogućnosti kreiranja serverskih aplikacija koje komuniciraju koristeći WebSocket protokol. WebSocket je protokol koji može slati i primati podatke istovremeno između pretraživača i web servera preko TCP veze, svojevrsne ekstenzije HTTP protokola;
  • ISAPI ekstenzije (Web-ISAPI-Ext) - podrška za dinamički razvoj web sadržaja pomoću ISAPI aplikacijskog programskog interfejsa. ISAPI je API za IIS web server. ISAPI aplikacije su mnogo brže od ASP datoteka ili datoteka koje pozivaju COM+ komponente;
  • .NET 3.5 Proširivost (Web-Net-Ext) je funkcija .NET 3.5 proširivosti koja vam omogućava da modificirate, dodate i proširite funkcionalnost web servera kroz cjevovod obrade zahtjeva, konfiguraciju i korisnički interfejs;
  • .NET 4.6 Proširivost (Web-Net-Ext45) je funkcija .NET 4.6 proširivosti koja vam također omogućava izmjenu, dodavanje i proširenje funkcionalnosti web servera kroz cijeli proces obrade zahtjeva, konfiguraciju i korisnički interfejs;
  • ISAPI filteri (Web-ISAPI-Filter) - Dodajte podršku za ISAPI filtere. ISAPI filteri su programi koji se pozivaju kada web server primi određeni HTTP zahtjev koji treba obraditi ovim filterom.

FTP - server (Web-Ftp-Server)– usluge koje pružaju podršku za FTP protokol. O FTP serveru smo detaljnije govorili u materijalu - "Instaliranje i konfigurisanje FTP servera na Windows Server 2016". Sadrži sljedeće usluge:

• FTP usluga (Web-Ftp-Service) - dodaje podršku za FTP protokol na web serveru;
• FTP Extensibility (Web-Ftp-Ext) - Proširuje standardne FTP mogućnosti, kao što je dodavanje podrške za funkcije kao što su prilagođeni provajderi, ASP.NET korisnici ili korisnici IIS menadžera.

Alati za upravljanje (Web-Mgmt-Tools) su alati za upravljanje web serverom IIS 10. Oni uključuju: IIS korisnički interfejs, alate komandne linije i skripte.

• IIS upravljačka konzola (Web-Mgmt-Console) je korisnički interfejs za upravljanje IIS-om;
• Skupovi znakova i alati za upravljanje IIS-om (Web-Scripting-Tools) su alati i skripte za upravljanje IIS-om pomoću komandne linije ili skripti. Mogu se koristiti, na primjer, za automatizaciju kontrole;
• Usluga upravljanja (Web-Mgmt-Service) - ova usluga dodaje mogućnost daljinskog upravljanja web serverom sa drugog računara koristeći IIS Manager;
• IIS 6 Upravljanje kompatibilnošću (Web-Mgmt-Compat) - Pruža kompatibilnost za aplikacije i skripte koje koriste dva IIS API-ja. Postojeće IIS 6 skripte se mogu koristiti za upravljanje IIS 10 web serverom:
  • IIS 6 Metabase kompatibilnosti (Web-Metabase) je alat za kompatibilnost koji vam omogućava pokretanje aplikacija i skupova znakova koji su migrirani iz ranijih verzija IIS-a;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - Ovi alati vam omogućavaju da koristite iste IIS 6 Scripting Services koje su kreirane za upravljanje IIS 6 u IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) je alat za administriranje udaljenih IIS 6.0 servera;
  • IIS 6 WMI kompatibilnost (Web-WMI) su skriptni interfejsi Windows Management Instrumentation (WMI) za programsku kontrolu i automatizaciju zadataka IIS 10.0 Web servera koristeći skup skripti kreiranih u WMI dobavljaču.

Usluge domena Active Directory

uloga " Usluge domena Active Directory» (AD DS) pruža distribuiranu bazu podataka koja pohranjuje i obrađuje informacije o mrežnim resursima. Ova uloga se koristi za organiziranje mrežnih elemenata kao što su korisnici, računari i drugi uređaji u hijerarhijsku strukturu zadržavanja. Hijerarhijska struktura uključuje šume, domene unutar šume i organizacione jedinice (OU) unutar svakog domena. Server koji pokreće AD DS naziva se kontroler domene.

Naziv uloge za Windows PowerShell je AD-Domain-Services.

Windows Server Essentials Mode

Ova uloga je računalna infrastruktura i pruža praktične i efikasne funkcije, na primjer: pohranjivanje podataka o klijentima na centraliziranoj lokaciji i zaštita ovih podataka pravljenjem sigurnosnih kopija serverskih i klijentskih računala, udaljeni pristup webu, koji vam omogućava pristup podacima s gotovo bilo kojeg uređaja . Ova uloga zahtijeva nekoliko usluga i funkcija uloga, na primjer: BranchCache značajke, Windows Server Backup, Group Policy Management, Role Service " DFS Namespaces».

Ime za PowerShell je ServerEssentialsRole.

Mrežni kontroler

Uvedena u Windows Server 2016, ova uloga pruža jedinstvenu tačku automatizacije za upravljanje, praćenje i dijagnosticiranje fizičke i virtuelne mrežne infrastrukture u data centru. Koristeći ovu ulogu, možete konfigurisati IP podmreže, VLAN, fizičke mrežne adaptere Hyper-V hostova iz jedne tačke, upravljati virtuelnim prekidačima, fizičkim ruterima, postavkama zaštitnog zida i VPN gatewayima.

Naziv za Windows PowerShell je NetworkController.

Služba čuvara čvorova

Ovo je uloga servera Hosted Guardian Service (HGS) i pruža usluge atestiranja i zaštite ključeva koje omogućavaju zaštićenim hostovima da pokreću zaštićene virtuelne mašine. Za funkcioniranje ove uloge potrebno je nekoliko dodatnih uloga i komponenti, na primjer: Active Directory Domain Services, Web Server (IIS), " Failover Clustering" i drugi.

Naziv za PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

uloga " Active Directory Lightweight Directory Services» (AD LDS) je lagana verzija AD DS-a koja ima manje funkcionalnosti, ali ne zahtijeva primenu domena ili kontrolera domena i nema zavisnosti i ograničenja domena koja zahtijeva AD DS. AD LDS radi preko LDAP protokola ( Lightweight Directory Access Protocol). Možete implementirati više AD LDS instanci na istom serveru sa nezavisno upravljanim šemama.

Naziv za PowerShell je ADLDS.

MultiPoint Services

To je takođe nova uloga koja je nova u Windows Serveru 2016. MultiPoint Services (MPS) pruža osnovnu funkcionalnost udaljene radne površine koja omogućava više korisnika da rade istovremeno i nezavisno na istom računaru. Da biste instalirali i radili sa ovom ulogom, potrebno je da instalirate nekoliko dodatnih servisa i komponenti, na primjer: Print Server, Windows Search Service, XPS Viewer i druge, koje će sve biti automatski odabrane tokom MPS instalacije.

Ime uloge za PowerShell je MultiPointServerRole.

Windows Server Update Services

Sa ovom ulogom (WSUS), administratori sistema mogu upravljati Microsoft ažuriranjima. Na primer, kreirajte odvojene grupe računara za različite skupove ažuriranja, kao i primajte izveštaje o usklađenosti računara sa zahtevima i ažuriranjima koja treba da se instaliraju. Za funkcionisanje" Windows Server Update Services» Potrebne su vam usluge i komponente uloga kao što su: Web server (IIS), Windows interna baza podataka, Windows usluga aktivacije procesa.

Naziv za Windows PowerShell je UpdateServices.

• WID Connectivity (UpdateServices-WidDB) - postavljeno na WID ( Windows interna baza podataka) baza podataka koju koristi WSUS. Drugim riječima, WSUS će pohraniti svoje servisne podatke u WID;
• WSUS usluge (UpdateServices-Services) su usluge WSUS uloge kao što su usluga ažuriranja, web usluga izvješćivanja, web usluga udaljenog API-ja, web usluga klijenta, web usluga jednostavne provjere autentičnosti, usluga sinhronizacije servera i web usluga DSS autentifikacije;
• SQL Server Connectivity (UpdateServices-DB) je instalacija komponente koja omogućava WSUS servisu da se poveže na Microsoft SQL Server bazu podataka. Ova opcija omogućava skladištenje servisnih podataka u bazi podataka Microsoft SQL Servera. U tom slučaju morate već imati instaliranu barem jednu instancu SQL Servera.

Usluge aktivacije količinske licence

Sa ovom ulogom servera, možete automatizirati i pojednostaviti izdavanje količinskih licenci za softver od Microsofta, a također vam omogućava da upravljate ovim licencama.

Naziv za PowerShell je VolumeActivation.

Usluge štampanja i dokumenata

Ova uloga servera je dizajnirana da dijeli štampače i skenere na mreži, da centralno konfiguriše i upravlja serverima za štampanje i skeniranje i da upravlja mrežnim štampačima i skenerima. Usluge štampanja i dokumenata takođe vam omogućavaju da šaljete skenirane dokumente putem e-pošte, na mrežne deljene lokacije ili na lokacije Windows SharePoint Services.

Naziv za PowerShell je Print-Services.

• Print Server (Print-Server) - Ova usluga uloge uključuje " Print Management“, koji se koristi za upravljanje štampačima ili serverima za štampanje, kao i za migraciju štampača i drugih servera za štampanje;
• Štampanje preko Interneta (Print-Internet) - Za implementaciju štampanja preko Interneta kreira se web stranica preko koje korisnici mogu upravljati poslovima za štampanje na serveru. Da bi ova usluga radila, kao što razumijete, morate instalirati " Web server (IIS)". Sve potrebne komponente će biti odabrane automatski kada označite ovo polje tokom procesa instalacije usluge uloga " Internet štampanje»;
• Distributed Scan Server (Print-Scan-Server) je usluga koja vam omogućava da primate skenirane dokumente od mrežnih skenera i šaljete ih na odredište. Ova usluga također sadrži " Upravljanje skeniranjem“, koji se koristi za upravljanje mrežnim skenerima i za konfiguraciju skeniranja;
• LPD usluga (Print-LPD-Service) - LPD usluga ( Line Printer Daemon) omogućava računarima baziranim na UNIX-u i drugim računarima koji koriste Line Printer Remote (LPR) uslugu da štampaju na zajedničkim štampačima servera.

Mrežna politika i usluge pristupa

uloga " » (NPAS) omogućava serveru mrežnih politika (NPS) da postavi i nametne pristup mreži, autentifikaciju i autorizaciju, te zdravstvene politike klijenta, drugim riječima, da osigura mrežu.

Naziv za Windows PowerShell je NPAS.

Windows Deployment Services

Sa ovom ulogom, možete daljinski instalirati Windows operativni sistem preko mreže.

Ime uloge za PowerShell je WDS.

• Deployment Server (WDS-Deployment) - ova usluga uloga je dizajnirana za daljinsko postavljanje i konfiguraciju Windows operativnih sistema. Takođe vam omogućava da kreirate i prilagodite slike za ponovnu upotrebu;
• Transportni server (WDS-Transport) - Ova usluga sadrži osnovne mrežne komponente pomoću kojih možete prenijeti podatke multicastingom na samostalnom serveru.

Active Directory Certificate Services

Ova uloga je namijenjena kreiranju ovlaštenja za certifikate i povezanih usluga uloga koje vam omogućavaju izdavanje i upravljanje certifikatima za različite aplikacije.

Naziv za Windows PowerShell je AD-Certificate.

Uključuje sljedeće usluge uloga:

• Autoritet za sertifikaciju (ADCS-Cert-Authority) - koristeći ovu uslugu uloge, možete izdavati sertifikate korisnicima, računarima i servisima, kao i upravljati validnošću sertifikata;
• Veb usluga sa smernicama za upis sertifikata (ADCS-Enroll-Web-Pol) – Ova usluga omogućava korisnicima i računarima da dobiju informacije o politici upisa sertifikata iz veb pretraživača, čak i ako računar nije član domena. Za njegovo funkcionisanje neophodno je Web server (IIS)»;
• Veb usluga za upis sertifikata (ADCS-Enroll-Web-Svc) - Ova usluga omogućava korisnicima i računarima da upišu i obnove sertifikate koristeći veb pretraživač preko HTTPS-a, čak i ako računar nije član domena. Takođe treba da funkcioniše Web server (IIS)»;
• Online Responder (ADCS-Online-Cert) - Usluga je dizajnirana da provjeri opoziv certifikata za klijente. Drugim riječima, prihvata zahtjev za statusom opoziva za određene certifikate, procjenjuje status tih certifikata i šalje natrag potpisani odgovor s informacijama o statusu. Da bi servis funkcionisao, neophodno je Web server (IIS)»;
• Sertifikacijski autoritet Web Enrollment Service (ADCS-Web-Enrollment) - Ova usluga obezbjeđuje web interfejs za korisnike za obavljanje zadataka kao što su traženje i obnavljanje sertifikata, dobijanje CRL-ova i upisivanje sertifikata pametnih kartica. Da bi servis funkcionisao, neophodno je Web server (IIS)»;
• Usluga registracije mrežnih uređaja (ADCS-Device-Enrollment)— Koristeći ovu uslugu, možete izdavati i upravljati certifikatima za rutere i druge mrežne uređaje koji nemaju mrežne račune. Da bi servis funkcionisao, neophodno je Web server (IIS)».

Usluge udaljene radne površine

Uloga servera koja se može koristiti za pružanje pristupa virtuelnim radnim površinama, desktop računarima zasnovanim na sesiji i RemoteApps.

Naziv uloge za Windows PowerShell je Remote-Desktop-Services.

Sastoji se od sljedećih usluga:

• Pristup udaljenoj radnoj površini (RDS-Web-Access) - Ova usluga uloga omogućava korisnicima pristup udaljenim radnim površinama i RemoteApp aplikacijama putem " Počni» ili korištenjem web pretraživača;
• Licenciranje udaljene radne površine (RDS-licenciranje) – Usluga je dizajnirana za upravljanje licencama koje su potrebne za povezivanje sa serverom sesije udaljene radne površine ili virtuelnom radnom površinom. Može se koristiti za instaliranje, izdavanje licenci i praćenje njihove dostupnosti. Ova usluga zahtijeva " Web server (IIS)»;
• Posrednik veze sa udaljenom radnom površinom (RDS-Connection-Broker) je usluga uloga koja pruža sljedeće mogućnosti: ponovno povezivanje korisnika na postojeću virtualnu radnu površinu, aplikaciju RemoteApp i radnu površinu zasnovanu na sesiji, kao i balansiranje opterećenja između desktop servera udaljenih sesija ili između objedinjene virtuelne radne površine. Ova usluga zahtijeva " »;
• Remote Desktop Virtualization Host (DS-Virtualization) – Usluga omogućava korisnicima da se povežu na virtuelne radne površine koristeći RemoteApp i Desktop Connection. Ova usluga radi u sprezi sa Hyper-V, tj. ova uloga mora biti instalirana;
• Host sesije udaljene radne površine (RDS-RD-Server) – Ova usluga može hostirati aplikacije RemoteApp i radne površine zasnovane na sesiji na serveru. Pristup je putem klijenta za vezu sa udaljenom radnom površinom ili RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) – Usluga omogućava ovlaštenim udaljenim korisnicima da se povežu na virtuelne radne površine, RemoteApps i desktope zasnovane na sesiji na korporativnoj mreži ili preko Interneta. Ova usluga zahtijeva sljedeće dodatne usluge i komponente: Web server (IIS)», « Mrežna politika i usluge pristupa», « RPC preko HTTP proxyja».

AD RMS

Ovo je uloga servera koja će vam omogućiti da zaštitite informacije od neovlaštene upotrebe. Provjerava valjanost korisničkih identiteta i dodjeljuje licence ovlaštenim korisnicima za pristup zaštićenim podacima. Ova uloga zahtijeva dodatne usluge i komponente: Web server (IIS)», « Usluga aktivacije Windows procesa», « .NET Framework 4.6 karakteristike».

Naziv za Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - usluga glavne uloge, potrebna za instalaciju;
• Podrška za federaciju identiteta (ADRMS-Identity) je opciona usluga uloga koja omogućava federalnim identitetima da konzumiraju zaštićeni sadržaj koristeći Active Directory Federation Services.

AD FS

Ova uloga pruža pojednostavljenu i sigurnu federaciju identiteta i funkcionalnost jedinstvene prijave (SSO) web lokacijama koje koriste pretraživač.

Naziv za PowerShell je ADFS-Federation.

Daljinski pristup

Ova uloga omogućava povezivanje putem DirectAccess-a, VPN-a i proxyja web aplikacije. Takođe i uloga Daljinski pristup„pruža tradicionalne mogućnosti rutiranja, uključujući translaciju mrežnih adresa (NAT) i druge opcije povezivanja. Ova uloga zahtijeva dodatne usluge i funkcije: Web server (IIS)», « Windows interna baza podataka».

Ime uloge za Windows PowerShell je RemoteAccess.

• DirectAccess i VPN (RAS) (DirectAccess-VPN) - usluga omogućava korisnicima da se u bilo kom trenutku povežu na korporativnu mrežu uz pristup Internetu putem DirectAccess-a, kao i da organizuju VPN veze u kombinaciji sa tehnologijama tuneliranja i šifrovanja podataka;
• Routing (Routing) - usluga pruža podršku za NAT rutere, LAN rutere sa BGP protokolima, RIP protokole i rutere sa podrškom za multicast (IGMP proxy);
• Proxy web aplikacije (Web-Application-Proxy) - Usluga vam omogućava da objavljujete aplikacije zasnovane na HTTP i HTTPS protokolima iz korporativne mreže na klijentske uređaje koji su izvan korporativne mreže.

Usluge datoteka i skladištenja

Ovo je uloga servera koja se može koristiti za dijeljenje datoteka i mapa, upravljanje i kontrolu dijeljenja, repliciranje datoteka, pružanje brze pretrage datoteka i odobravanje pristupa UNIX klijentskim računarima. O uslugama datoteka, a posebno o serveru datoteka, detaljnije smo razgovarali u materijalu „Instaliranje servera datoteka (File Server) na Windows Server 2016“.

Naziv za Windows PowerShell je FileAndStorage-Services.

Storage Services- Ova usluga pruža funkciju upravljanja skladištem koja je uvijek instalirana i ne može se ukloniti.

File Services i iSCSI usluge (File-Services) su tehnologije koje pojednostavljuju upravljanje fajl serverima i skladištima, štede prostor na disku, obezbeđuju replikaciju i keširanje fajlova u granama, a takođe obezbeđuju deljenje datoteka putem NFS protokola. Uključuje sljedeće usluge uloga:

• File Server (FS-FileServer) - usluga uloga koja upravlja zajedničkim fasciklama i omogućava korisnicima pristup datotekama na ovom računaru preko mreže;
• Deduplikacija podataka (FS-Data-Deduplication) - ova usluga štedi prostor na disku pohranjivanjem samo jedne kopije identičnih podataka na volumenu;
• Upravitelj resursima servera datoteka (FS-Resource-Manager) - pomoću ove usluge možete upravljati datotekama i mapama na serveru datoteka, kreirati izvještaje o skladištenju, klasificirati datoteke i mape, konfigurirati kvote foldera i definirati politike blokiranja datoteka;
• iSCSI Target Storage Provider (VDS i VSS dobavljači hardvera) (iSCSITarget-VSS-VDS) - Usluga omogućava aplikacijama na serveru povezanom na iSCSI cilj da zasjene volumene kopija na iSCSI virtuelnim diskovima;
• DFS imenski prostori (FS-DFS-imenski prostor) - koristeći ovu uslugu, možete grupirati dijeljene foldere koji se nalaze na različitim serverima u jedan ili više logički strukturiranih imenskih prostora;
• Radni folderi (FS-SyncShareService) - usluga vam omogućava da koristite radne datoteke na različitim računarima, uključujući radne i lične. Možete pohraniti svoje datoteke u radne mape, sinkronizirati ih i pristupiti im sa vaše lokalne mreže ili interneta. Da bi usluga funkcionirala, komponenta " IIS Web Core u procesu»;
• DFS replikacija (FS-DFS-Replication) je mehanizam za replikaciju podataka na više servera koji vam omogućava da sinhronizujete fascikle preko LAN ili WAN veze. Ova tehnologija koristi protokol Remote Differential Compression (RDC) za ažuriranje samo dijela datoteka koje su se promijenile od posljednje replikacije. DFS replikacija se može koristiti sa ili bez DFS imenskih prostora;
• Server za NFS (FS-NFS-Service) - Usluga omogućava ovom računaru da deli datoteke sa računarima zasnovanim na UNIX-u i drugim računarima koji koriste protokol mrežnog sistema datoteka (NFS);
• iSCSI Target Server (FS-iSCSItarget-Server) - pruža usluge i upravljanje za iSCSI ciljeve;
• BranchCache usluga za mrežne datoteke (FS-BranchCache) - Usluga pruža BranchCache podršku na ovom serveru datoteka;
• Usluga VSS Agent servera fajlova (FS-VSS-Agent) – Usluga dozvoljava kopije u senci volumena za aplikacije koje pohranjuju datoteke podataka na ovom serveru datoteka.

faks server

Uloga šalje i prima faksove i omogućava vam upravljanje resursima faksa kao što su poslovi, postavke, izvještaji i uređaji za faks na ovom računaru ili na mreži. Obavezno za rad Print Server».

Naziv uloge za Windows PowerShell je Fax.

Ovim je završen pregled uloga servera Windows Server 2016, nadam se da vam je materijal za sada bio koristan!

Pre nego što razvijete socket server, potrebno je da kreirate server politike koji govori Silverlight-u kojim klijentima je dozvoljeno da se povežu na socket server.

Kao što je gore prikazano, Silverlight ne dozvoljava učitavanje sadržaja ili pozivanje web usluge ako domena nema .xml clientaccesspolicy ili crossdomain datoteku. xml gdje su ove operacije eksplicitno dozvoljene. Slično ograničenje se primjenjuje na socket server. Ako ne dozvolite klijentskom uređaju da preuzme clientaccesspolicy .xml datoteku koja omogućava daljinski pristup, Silverlight će odbiti da uspostavi vezu.

Nažalost, pružanje politike pristupa klijentu. cml za socket aplikaciju je veći izazov od pružanja putem web stranice. Kada koristite web stranicu, softver web servera može pružiti .xml datoteku clientaccesspolicy, samo je ne zaboravite dodati. U isto vrijeme, kada koristite socket aplikaciju, morate otvoriti utičnicu kojoj klijentske aplikacije mogu pristupiti sa zahtjevima politike. Osim toga, morate ručno kreirati kod koji služi soketu. Da biste izvršili ove zadatke, morate kreirati server za politike.

U nastavku ćemo pokazati da server politika radi na isti način kao i server poruka, samo rukuje malo jednostavnijim interakcijama. Serveri za poruke i politike se mogu kreirati zasebno ili kombinovati u jednoj aplikaciji. U drugom slučaju, oni moraju slušati zahtjeve na različitim nitima. U ovom primjeru, kreirat ćemo server za politike, a zatim ga kombinirati sa serverom za poruke.

Da biste kreirali server za politike, prvo morate kreirati .NET aplikaciju. Bilo koja vrsta .NET aplikacije može poslužiti kao server politike. Najlakši način je korištenje konzolne aplikacije. Nakon što otklonite greške u aplikaciji konzole, možete premjestiti svoj kod u Windows uslugu tako da radi u pozadini cijelo vrijeme.

Datoteka politike

Slijedi datoteka politike koju obezbjeđuje server politike.

Datoteka politike definira tri pravila.

Omogućava pristup svim portovima od 4502 do 4532 (ovo je cijeli niz portova koje podržava Silverlight dodatak). Da biste promijenili raspon dostupnih portova, promijenite vrijednost atributa porta elementa.

Dozvoljava TCP pristup (dozvola je definirana u atributu protokola elementa).

Dozvoljava poziv sa bilo koje domene. Stoga, Silverlight aplikacija koja uspostavlja vezu može biti hostovana na bilo kojoj web stranici. Da biste promijenili ovo pravilo, trebate urediti uri atribut elementa.

Da bi se stvari olakšale, pravila politike se postavljaju u clientaccess-ploi.cy.xml datoteku koja se dodaje projektu. U Visual Studio, parametar Kopiraj u izlazni direktorij datoteke politike mora biti postavljen na Cop Always. treba samo pronaći datoteku na tvrdom disku, otvoriti je i vratiti sadržaj klijentskom uređaju.

PolicyServer klasa

Funkcionalnost servera politika zasniva se na dvije ključne klase: PolicyServer i PolicyConnection. Klasa PolicyServer obrađuje čekanje na veze. Kada primi vezu, on prenosi kontrolu na novu instancu klase PoicyConnection, koja klijentu prosljeđuje datoteku politike. Ova dvodijelna procedura je uobičajena u mrežnom programiranju. Vidjet ćete ga više puta kada radite sa serverima za poruke.

Klasa PolicyServer učitava datoteku politike sa tvrdog diska i pohranjuje je u polje kao niz bajtova.

javna klasa PolicyServer

politika privatnih bajtova;

public PolicyServer(string policyFile) (

Za početak slušanja, serverska aplikacija mora pozvati PolicyServer. Start(). On stvara TcpListener objekat koji osluškuje zahtjeve. Objekt TcpListener je konfiguriran da sluša na portu 943. U Silverlight-u, ovaj port je rezerviran za servere politika. Prilikom postavljanja zahtjeva za datoteke politika, aplikacija Silverlight ih automatski usmjerava na port 943.

privatni slušalac TcpListener;

public void Start()

// Kreirajte slušaoca

slušalac = novi TcpListener(IPAddress.Any, 943);

// Počnite slušati; metoda Start() vraća II odmah nakon poziva listener.Start();

// Čeka se konekcija; metoda se odmah vraća;

II čekanje se radi u posebnoj temi

Da prihvati ponuđenu vezu, server politike poziva metodu BeginAcceptTcpClient(). Kao i sve metode Beginxxx() .NET frameworka, vraća se odmah nakon poziva, izvodeći potrebne operacije na posebnoj niti. Za mrežne aplikacije, ovo je vrlo značajan faktor jer omogućava da se mnogi zahtjevi za datoteke politike obrađuju u isto vrijeme.

Bilješka. Mrežni programeri početnici se često pitaju kako se više od jednog zahtjeva može obraditi u isto vrijeme, i misle da je za to potrebno nekoliko servera. Međutim, nije. S ovim pristupom, klijentske aplikacije bi brzo ostale bez dostupnih portova. U praksi, serverske aplikacije obrađuju mnoge zahtjeve preko jednog porta. Ovaj proces je nevidljiv aplikacijama jer ugrađeni TCP podsistem u Windowsu automatski identifikuje poruke i usmerava ih na odgovarajuće objekte u kodu aplikacije. Svaka veza je jedinstveno identifikovana na osnovu četiri parametra: IP adresa klijenta, broj porta klijenta, IP adresa servera i broj porta servera.

Na svaki zahtjev pokreće se metoda povratnog poziva OnAcceptTcpClient(). Ponovo poziva metodu BeginAcceptTcpClient O da počne čekati sljedeći zahtjev u drugoj niti, a zatim počinje s obradom trenutnog zahtjeva.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) povratak;

Console.WriteLine("Primljen zahtjev za politiku."); // Čeka se sljedeća veza.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Rukovanje trenutnom vezom.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nova PolicyConnection(klijent, politika); policyConnection.HandleRequest() ;

uhvatiti (greška izuzetka) (

Svaki put kada se primi nova konekcija, kreira se novi PolicyConnection objekt za rukovanje. Dodatno, PolicyConnection objekt održava datoteku politike.

Posljednja komponenta PolicyServer klase je Stop() metoda, koja prestaje čekati zahtjeve. Aplikacija ga poziva kada se završi.

privatni bool jeStopped;

javna praznina StopO(

isStopped = istina;

slušalac. stop();

uhvatiti (greška izuzetka) (

Console.WriteLine(err.Message);

Sljedeći kod se koristi u metodi Main() poslužitelja aplikacija za pokretanje poslužitelja politika.

static void Main (args niza) (

PolicyServer policyServer = novi PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Pokrenuta politika servera."); Console.WriteLine("Pritisnite tipku Enter za izlaz.");

// Čeka se pritisak na tipku; koristeći // Console.ReadKey() metodu, možete ga postaviti da čeka određeni // red (na primjer, quit) ili pritisnuti bilo koju tipku Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Završni server politike.");

PolicyConnection klasa

Klasa PolicyConnection obavlja jednostavniji zadatak. Objekt PolicyConnection pohranjuje referencu na podatke datoteke politike. Zatim, nakon što se pozove metoda HandleRequest(), objekt PolicyConnection dohvaća novu vezu iz mrežnog toka i pokušava je pročitati. Klijentski uređaj mora poslati string koji sadrži tekst. Nakon čitanja ovog teksta, klijentski uređaj upisuje podatke politike u stream i zatvara vezu. Slijedi kod klase PolicyConnection.

javna klasa PolicyConnection(

privatni TcpClient klijent; politika privatnih bajtova;

public PolicyConnection(TcpClient klijent, politika bajtova) (

this.client = klijent; this.policy = politika;

// Kreirajte privatni statički string zahtjeva klijenta policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Čitanje niza upita politike

bajt bafer = novi bajt;

// Čekaj samo 5 sekundi client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Prosljeđivanje politike (također možete provjeriti ima li zahtjev politike // potreban sadržaj) s.Write(policy, 0, policy.Length);

// Zatvaranje veze client.Close();

Console.WriteLine("Datoteka politike poslužena.");

Dakle, imamo potpuno operativan server politike. Nažalost, još se ne može testirati jer dodatak Silverlight ne dozvoljava eksplicitno traženje datoteka politike. Umjesto toga, automatski ih traži kada pokušava koristiti socket aplikaciju. Prije nego što možete kreirati klijentsku aplikaciju za ovu socket aplikaciju, morate kreirati server.

Nastavak teme:

Novi članci

/

Kada instalirate Windows, većina nebitnih podsistema nije aktivirana niti instalirana. Ovo se radi iz sigurnosnih razloga. Pošto je sistem podrazumevano siguran, administratori sistema mogu da se fokusiraju na dizajniranje sistema koji radi ono što radi, i ništa više. Da bi vam pomogao da omogućite funkcije koje želite, Windows će od vas tražiti da odaberete ulogu servera.

Uloge

Uloga servera je skup programa koji, kada su pravilno instalirani i konfigurisani, omogućavaju računaru da izvrši određenu funkciju za više korisnika ili drugih računara na mreži. Općenito, sve uloge imaju sljedeće karakteristike.

• Oni definiraju glavnu funkciju, svrhu ili svrhu korištenja računara. Možete odrediti računar da igra jednu ulogu koja se intenzivno koristi u preduzeću ili da igra više uloga pri čemu se svaka uloga koristi samo povremeno.
• Uloge daju korisnicima širom organizacije pristup resursima kojima upravljaju drugi računari, kao što su veb lokacije, štampači ili datoteke pohranjene na različitim računarima.
• Obično imaju vlastite baze podataka koje čekaju u redu korisničke ili računalne zahtjeve ili bilježe informacije o korisnicima mreže i računalima povezanim s ulogom. Na primjer, Active Directory Domain Services sadrži bazu podataka za pohranjivanje imena i hijerarhijskih odnosa svih računara na mreži.
• Jednom pravilno instalirane i konfigurirane, uloge funkcionišu automatski. Ovo omogućava računarima na kojima su instalirani da izvršavaju dodeljene zadatke uz ograničenu interakciju korisnika.

Role Services

Usluge uloga su programi koji pružaju funkcionalnost uloge. Kada instalirate ulogu, možete odabrati koje usluge ona pruža drugim korisnicima i računarima u preduzeću. Neke uloge, kao što je DNS server, obavljaju samo jednu funkciju, tako da za njih ne postoje servisi uloga. Druge uloge, kao što su usluge udaljene radne površine, imaju nekoliko usluga koje možete instalirati na osnovu potreba za daljinskim pristupom vašeg preduzeća. Uloga se može zamisliti kao skup usko povezanih, komplementarnih usluga uloga. U većini slučajeva, instaliranje uloge znači instaliranje jedne ili više njenih usluga.

Komponente

Komponente su programi koji nisu direktno dio uloga, ali podržavaju ili proširuju funkcionalnost jedne ili više uloga ili cijelog poslužitelja, bez obzira na to koje su uloge instalirane. Na primjer, Failover Cluster Tool proširuje druge uloge, kao što su File Services i DHCP server, dozvoljavajući im da se pridruže klasterima servera, što pruža povećanu redundantnost i performanse. Druga komponenta, Telnet klijent, omogućava udaljenu komunikaciju sa Telnet serverom preko mrežne veze. Ova funkcija poboljšava mogućnosti komunikacije za server.

Kada Windows Server radi u Server Core modu, podržane su sljedeće uloge servera:

• Active Directory Certificate Services;
• Usluge domena Active Directory;
• DHCP server
• DNS server;
• usluge datoteka (uključujući upravitelj resursa servera datoteka);
• Active Directory Lightweight Directory Services;
• Hyper-V
• Usluge ispisa i dokumenata;
• Usluge strujanja medija;
• web server (uključujući podskup ASP.NET-a);
• Windows Server Update Server;
• Server za upravljanje pravima Active Directory;
• Server za usmjeravanje i daljinski pristup i sljedeće podređene uloge:
  • Broker za vezu sa udaljenom radnom površinom;
  • licenciranje;
  • virtuelizacija.

Kada Windows Server radi u Server Core modu, podržane su sljedeće funkcije servera:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Usluga inteligentnog prijenosa u pozadini (BITS);
• BitLocker šifriranje diska;
• BitLocker mrežno otključavanje;
• BranchCache
• most podataka centra;
• Enhanced Storage;
• klasteriranje preko greške;
• Multipath I/O;
• balansiranje mrežnog opterećenja;
• PNRP protokol;
• qWave;
• daljinska diferencijalna kompresija;
• jednostavne TCP/IP usluge;
• RPC preko HTTP proxyja;
• SMTP server;
• SNMP usluga;
• Telnet klijent;
• telnet server;
• TFTP klijent;
• Windows interna baza podataka;
• Windows PowerShell Web Access;
• Windows Activation Service;
• standardizovano Windows upravljanje skladištem;
• IIS WinRM ekstenzija;
• WINS server;
• WoW64 podrška.

Instaliranje uloga servera pomoću Server Managera

Da biste dodali, otvorite Server Manager i u meniju Upravljanje kliknite na Dodaj uloge i funkcije:

Otvara se čarobnjak za dodavanje uloga i funkcija. Kliknite na Next

Vrsta instalacije, odaberite Instalacija zasnovana na ulozi ili instalacija zasnovana na značajkama. Sljedeći:

Odabir servera - odaberite naš server. Kliknite Sljedeće uloge poslužitelja - odaberite uloge ako je potrebno, odaberite usluge uloga i kliknite Sljedeće da odaberete komponente. Tokom ove procedure, čarobnjak za dodavanje uloga i funkcija automatski vas obavještava o sukobima na odredišnom serveru koji mogu spriječiti instalaciju ili normalan rad odabranih uloga ili funkcija. Od vas se također traži da dodate uloge, usluge uloga i funkcije koje zahtijevaju odabrane uloge ili funkcije.

Instaliranje uloga pomoću PowerShell-a

Otvorite Windows PowerShell Unesite komandu Get-WindowsFeature da vidite listu dostupnih i instaliranih uloga i funkcija na lokalnom serveru. Izlaz ovog cmdleta sadrži imena naredbi za uloge i funkcije koje su instalirane i dostupne za instalaciju.

Otkucajte Get-Help Install-WindowsFeature da vidite sintaksu i važeće parametre za Install-WindowsFeature (MAN) cmdlet.

Unesite sljedeću naredbu (-Restart će ponovo pokrenuti server ako instalacija uloge zahtijeva ponovno pokretanje).

Install-WindowsFeature –Naziv -Ponovo pokreni

Opis uloga i usluga uloga

Sve uloge i usluge uloga su opisane u nastavku. Pogledajmo napredne postavke za najčešće uloge web servera i usluge udaljene radne površine u našoj praksi.

Detaljan opis IIS-a

• Uobičajene HTTP karakteristike - Osnovne HTTP komponente
  • Podrazumevani dokument - omogućava vam da postavite indeksnu stranicu za sajt.
  • Pregledanje imenika - Omogućava korisnicima da vide sadržaj direktorija na web serveru. Koristite Pregledanje direktorija za automatsko generiranje liste svih direktorija i datoteka u direktoriju kada korisnici ne navedu datoteku u URL-u i indeksna stranica je onemogućena ili nije konfigurirana
  • HTTP greške - omogućava vam da prilagodite poruke o greškama koje se vraćaju klijentima u pretraživaču.
  • Statički sadržaj - omogućava vam postavljanje statičkog sadržaja, kao što su slike ili html datoteke.
  • HTTP preusmjeravanje - Pruža podršku za preusmjeravanje korisničkih zahtjeva.
  • WebDAV Publishing vam omogućava da objavite datoteke sa web servera koristeći HTTP protokol.
• Zdravstvene i dijagnostičke karakteristike - Dijagnostičke komponente
  • HTTP Logging omogućava evidentiranje aktivnosti web stranice za dati server.
  • Prilagođeno evidentiranje pruža podršku za kreiranje prilagođenih dnevnika koji se razlikuju od "tradicionalnih" dnevnika.
  • Alati za evidentiranje pružaju okvir za upravljanje evidencijama web servera i automatizaciju uobičajenih zadataka evidentiranja.
  • ODBC Logging pruža okvir koji podržava evidentiranje aktivnosti web servera na ODBC-kompatibilnu bazu podataka.
  • Request Monitor pruža okvir za praćenje stanja web aplikacija prikupljanjem informacija o HTTP zahtjevima u IIS radnom procesu.
  • Praćenje pruža okvir za dijagnosticiranje i rješavanje problema na web aplikacijama. Korištenjem neuspjelog praćenja zahtjeva možete pratiti događaje koje je teško pronaći kao što su loša izvedba ili neuspjesi autentifikacije.
• Komponente performansi za povećanje performansi web servera.
  • Kompresija statičkog sadržaja pruža okvir za konfigurisanje HTTP kompresije statičkog sadržaja
  • Dynamic Content Compression pruža okvir za konfigurisanje HTTP kompresije dinamičkog sadržaja.
• Sigurnosne komponente
  • Filtriranje zahtjeva vam omogućava da uhvatite sve dolazne zahtjeve i filtrirate ih na osnovu pravila koja postavlja administrator.
  • Osnovna autentifikacija vam omogućava da postavite dodatnu autorizaciju
  • Centralizirana podrška za SSL certifikate je funkcija koja vam omogućava da pohranite certifikate na centralnoj lokaciji, kao što je dijeljenje datoteka.
  • Provjera autentičnosti mapiranja certifikata klijenta koristi klijentske certifikate za provjeru autentičnosti korisnika.
  • Digest Authentication radi tako što šalje hash lozinke na Windows kontroler domene radi provjere autentičnosti korisnika. Ako vam je potrebna veća sigurnost od osnovne autentifikacije, razmislite o korištenju Digest autentifikacije
  • Provjera autentičnosti mapiranja IIS certifikata klijenta koristi klijentske certifikate za provjeru autentičnosti korisnika. Certifikat klijenta je digitalni ID dobiven iz pouzdanog izvora.
  • IP i Ograničenja domena vam omogućavaju da dozvolite/zabranite pristup na osnovu tražene IP adrese ili imena domena.
  • Autorizacija URL-a vam omogućava da kreirate pravila koja ograničavaju pristup web sadržaju.
  • Windows autentikacija Ova šema provjere autentičnosti omogućava administratorima Windows domena da iskoriste prednosti infrastrukture domena za autentifikaciju korisnika.
• Značajke razvoja aplikacija
• FTP server
  • FTP usluga Omogućava FTP objavljivanje na web serveru.
  • FTP Extensibility Omogućava podršku za FTP funkcije koje proširuju funkcionalnost
• Alati za upravljanje
  • IIS Management Console instalira IIS Manager, koji vam omogućava da upravljate Web serverom preko GUI
  • Kompatibilnost upravljanja IIS-om 6.0 pruža kompatibilnost unaprijed za aplikacije i skripte koje koriste Admin Base Object (ABO) i API Active Directory Interface usluge direktorija (ADSI). Ovo omogućava da IIS 8.0 web server koristi postojeće IIS 6.0 skripte
  • IIS skripte i alati za upravljanje obezbeđuju infrastrukturu za programsko upravljanje IIS veb serverom, korišćenjem komandi u prozoru komandne linije ili pokretanjem skripti.
  • Usluga upravljanja pruža infrastrukturu za prilagođavanje korisničkog interfejsa, IIS Manager.

Detaljan opis RDS-a

• Posrednik veze sa udaljenom radnom površinom - Omogućava ponovno povezivanje klijentskog uređaja sa programima na osnovu desktop i virtuelnih desktop sesija.
• Remote Desktop Gateway – Omogućava ovlaštenim korisnicima da se povežu na virtuelne radne površine, RemoteApp programe i desktope zasnovane na sesiji na korporativnoj mreži ili preko Interneta.
• Licenciranje udaljene radne površine - alat za upravljanje RDP licencama
• Host sesije udaljene radne površine – uključuje server za hostovanje programa RemoteApp ili sesije zasnovane na radnoj površini.
• Remote Desktop Virtualization Host - omogućava vam da konfigurišete RDP na virtuelnim mašinama
• Remote Desktop WebAccess – Omogućava korisnicima da se povežu sa resursima radne površine pomoću menija Start ili web pretraživača.

Razmislite o instalaciji i konfiguraciji servera terminalskih licenci. Gore je opisano kako instalirati uloge, instaliranje RDS-a se ne razlikuje od instaliranja drugih uloga, u Role Services moramo odabrati Remote Desktop Licensing i Remote Desktop Session Host. Nakon instalacije, stavka Terminal Services će se pojaviti u Server Manager-Tools. Postoje dvije stavke u Terminal Services RD Licensing Diagnoser, ovo je alat za dijagnosticiranje rada licenciranja udaljene radne površine, i Remote Desktop Licensing Manager, ovo je alat za upravljanje licencama.

Pokrenite RD Licensing Diagnoser

Ovdje možemo vidjeti da još uvijek nema dostupnih licenci jer način licenciranja nije postavljen za RD Session Host server. Poslužitelj licenci je specificiran u politikama lokalne grupe. Da pokrenete uređivač, pokrenite naredbu gpedit.msc. Otvara se uređivač lokalnih grupnih pravila. U stablu s lijeve strane proširite kartice:

• Konfiguracija računara
• Administrativni predlošci
• Windows komponente
• Usluge udaljene radne površine
• Host sesije udaljene radne površine
• "Licenciranje" (licenciranje)

Otvorite parametre Koristite navedene servere licenci za udaljenu radnu površinu

U prozoru za uređivanje postavki politike, omogućite server za licenciranje (Omogućeno). Zatim morate definirati licencni server za usluge udaljene radne površine. U mom primjeru, licencni server se nalazi na istom fizičkom serveru. Odredite naziv mreže ili IP adresu servera licenci i kliknite na OK. Ako će se ime servera, server licenci promijeniti u budućnosti, morat ćete ga promijeniti u istom odjeljku.

Nakon toga, u RD Licensing Diagnoser, možete vidjeti da je server licenci terminala konfiguriran, ali nije omogućen. Da biste omogućili, pokrenite Remote Desktop Licensing Manager

Odaberite server za licenciranje sa statusom Nije aktivirano. Da biste aktivirali, kliknite desnim tasterom miša na njega i izaberite Aktiviraj server. Pokrenut će se čarobnjak za aktivaciju servera. Na kartici Način povezivanja odaberite Automatsko povezivanje. Zatim popunite podatke o organizaciji, nakon čega se aktivira server za licence.

Active Directory Certificate Services

AD CS pruža konfigurabilne usluge za izdavanje i upravljanje digitalnim sertifikatima koji se koriste u softverskim sigurnosnim sistemima koji koriste tehnologije javnog ključa. Digitalni sertifikati koje obezbeđuje AD CS mogu se koristiti za šifrovanje i digitalno potpisivanje elektronskih dokumenata i poruka. Ovi digitalni sertifikati se mogu koristiti za autentifikaciju naloga računara, korisnika i uređaja na mreži. Digitalni sertifikati se koriste za obezbeđivanje:

• privatnost putem enkripcije;
• integritet putem digitalnih potpisa;
• autentifikaciju povezivanjem ključeva certifikata s računima računala, korisnika i uređaja na mreži.

AD CS se može koristiti za poboljšanje sigurnosti povezivanjem identiteta korisnika, uređaja ili usluge za odgovarajući privatni ključ. Aplikacije koje podržava AD CS uključuju sigurne višenamjenske standardne ekstenzije Internet pošte (S/MIME), sigurne bežične mreže, virtuelne privatne mreže (VPN-ove), IPsec, sistem šifriranja datoteka (EFS), prijavu na pametne kartice, sigurnosni i sigurnosni protokol na nivou transporta (SSL/TLS) i digitalni potpisi.

Usluge domena Active Directory

Koristeći ulogu servera domenskih usluga Active Directory (AD DS), možete kreirati skalabilnu, sigurnu infrastrukturu kojom se može upravljati za upravljanje korisnicima i resursima; takođe možete obezbediti aplikacije sa omogućenim direktorijumom kao što je Microsoft Exchange Server. Usluge domena Active Directory pružaju distribuiranu bazu podataka koja pohranjuje i upravlja informacijama o mrežnim resursima i podacima aplikacija kojima je omogućen direktorij. Server koji pokreće AD DS naziva se kontroler domene. Administratori mogu koristiti AD DS da organiziraju mrežne elemente kao što su korisnici, računari i drugi uređaji u hijerarhijsku ugniježđenu strukturu. Hijerarhijska ugniježđena struktura uključuje šumu Active Directory, domene u šumi i organizacione jedinice u svakoj domeni. Sigurnosne karakteristike su integrirane u AD DS u obliku provjere autentičnosti i kontrole pristupa resursima u direktoriju. Sa jedinstvenom prijavom, administratori mogu upravljati informacijama o direktoriju i organizacijom preko mreže. Ovlašteni korisnici mreže također mogu koristiti mrežnu jedinstvenu prijavu za pristup resursima koji se nalaze bilo gdje na mreži. Usluge domena Active Directory pružaju sljedeće dodatne funkcije.

• Skup pravila je šema koja definira klase objekata i atributa koji se nalaze u direktoriju, ograničenja i ograničenja na instance tih objekata i format njihovih imena.
• Globalni katalog koji sadrži informacije o svakom objektu u katalogu. Korisnici i administratori mogu koristiti globalni katalog za traženje kataloških podataka, bez obzira na to koja domena u katalogu zapravo sadrži tražene podatke.
• Mehanizam upita i indeksiranja putem kojeg korisnici i aplikacije mreže mogu objaviti i locirati objekte i njihova svojstva.
• Usluga replikacije koja distribuira podatke direktorija preko mreže. Svi kontroleri domena za pisanje u domeni učestvuju u replikaciji i sadrže kompletnu kopiju svih podataka direktorija za svoju domenu. Sve promjene u podacima direktorija repliciraju se u domeni na sve kontrolere domene.
• Glavne uloge operacija (također poznate kao fleksibilne pojedinačne master operacije ili FSMO). Kontroleri domena koji djeluju kao gospodari operacija dizajnirani su za obavljanje posebnih zadataka kako bi osigurali konzistentnost podataka i izbjegli konfliktne unose u direktorij.

Active Directory Federation Services

AD FS pruža krajnjim korisnicima kojima je potreban pristup aplikacijama u AD FS osiguranom preduzeću, u organizacijama partnera u federaciji ili u oblaku sa pojednostavljenom i sigurnom federacijom identiteta i web uslugama jedinstvene prijave (SSO). Windows Server AD FS uključuje usluga uloga Usluga Federacije koja djeluje kao dobavljač identiteta (autentifikuje korisnike da daju sigurnosne tokene aplikacijama koje vjeruju AD FS-u) ili kao dobavljač federacije (primjenjuje tokene od drugih dobavljača identiteta, a zatim pruža sigurnosne tokene aplikacijama koje vjeruju AD FS-u).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) je LDAP protokol koji pruža fleksibilnu podršku za aplikacije direktorija bez ovisnosti i ograničenja specifičnih za domenu Active Directory domenskih usluga. AD LDS se može pokrenuti na članskim ili samostalnim serverima. Možete pokrenuti više instanci AD LDS-a sa nezavisno upravljanim šemama na istom serveru. Sa ulogom AD LDS servisa, možete pružiti usluge direktorija aplikacijama s omogućenim direktorijem bez korištenja podataka domene i usluge šuma i bez potrebe za jednom shemom za cijelu šumu.

Usluge upravljanja pravima Active Directory

Možete koristiti AD RMS da proširite bezbednosnu strategiju vaše organizacije tako što ćete osigurati dokumente pomoću upravljanja pravima na informacije (IRM). AD RMS omogućava korisnicima i administratorima da dodijele dozvole pristupa dokumentima, radnim knjigama i prezentacijama koristeći IRM politike. Ovo vam omogućava da zaštitite povjerljive informacije od štampanja, prosljeđivanja ili kopiranja od strane neovlaštenih korisnika. Jednom kada su dozvole datoteke ograničene korištenjem IRM-a, ograničenja pristupa i korištenja se primjenjuju bez obzira na lokaciju informacija, jer je dozvola datoteke pohranjena u samoj datoteci dokumenta. Uz AD RMS i IRM, pojedinačni korisnici mogu primijeniti vlastite preferencije u vezi s prijenosom ličnih i povjerljivih informacija. Oni će takođe pomoći organizaciji da sprovede korporativne politike za kontrolu upotrebe i distribucije osetljivih i ličnih informacija. IRM rješenja koja podržava AD RMS koriste se za pružanje sljedećih mogućnosti.

• Politike trajne upotrebe koje ostaju s informacijama bilo da se premještaju, šalju ili prosljeđuju.
• Dodatni sloj privatnosti za zaštitu osjetljivih podataka - kao što su izvještaji, specifikacije proizvoda, informacije o kupcima i e-poruke - od namjernog ili slučajnog pada u pogrešne ruke.
• Spriječite neovlašteno slanje, kopiranje, uređivanje, štampanje, faksiranje ili lijepljenje ograničenog sadržaja od strane ovlaštenih primatelja.
• Sprečite kopiranje ograničenog sadržaja pomoću funkcije PRINT SCREEN u Microsoft Windows-u.
• Podrška za istekom datoteke, sprečavanje pregleda sadržaja dokumenta nakon određenog vremenskog perioda.
• Implementirati korporativne politike koje regulišu upotrebu i distribuciju sadržaja unutar organizacije

Server aplikacija

Application Server pruža integrisano okruženje za postavljanje i pokretanje prilagođenih poslovnih aplikacija baziranih na serveru.

DHCP server

DHCP je klijent-server tehnologija koja omogućava DHCP serverima da dodjeljuju ili iznajmljuju IP adrese računarima i drugim uređajima koji su DHCP klijenti.Uvođenje DHCP servera na mrežu automatski obezbjeđuje klijentskim računarima i drugim mrežnim uređajima na osnovu IPv4 i IPv6 važeće IP adrese i dodatne postavke konfiguracije koje zahtijevaju ovi klijenti i uređaji.. Usluga DHCP servera u Windows Serveru uključuje podršku za dodjeljivanje zasnovano na politikama i DHCP grešku.

DNS server

DNS usluga je hijerarhijska distribuirana baza podataka koja sadrži mapiranja imena DNS domena u različite vrste podataka kao što su IP adrese. DNS usluga vam omogućava da koristite prijateljska imena kao što je www.microsoft.com da biste lakše locirali računare i druge resurse na TCP/IP mrežama. DNS usluga u Windows Serveru pruža dodatnu poboljšanu podršku za DNS sigurnosne module (DNSSEC), uključujući mrežnu registraciju i automatsko upravljanje postavkama.

FAX Server

Fax Server šalje i prima faksove i omogućava vam da upravljate resursima faksa kao što su poslovi, postavke, izvještaji i faks uređaji na vašem faks serveru.

Usluge datoteka i pohrane

Administratori mogu koristiti ulogu File and Storage Services za postavljanje više servera datoteka i njihovih skladišta, te za upravljanje tim serverima koristeći Server Manager ili Windows PowerShell. Neke specifične aplikacije uključuju sljedeće funkcije.

• radne fascikle. Koristite da biste omogućili korisnicima da skladište i pristupe radnim datotekama na ličnim računarima i uređajima koji nisu korporativni računari. Korisnici dobijaju pogodno mjesto za pohranjivanje radnih datoteka i pristup im s bilo kojeg mjesta. Organizacije kontroliraju korporativne podatke tako što pohranjuju datoteke na centralno upravljane servere datoteka i opciono postavljaju pravila za korisničke uređaje (kao što su šifriranje i lozinke za zaključavanje ekrana).
• Deduplikacija podataka. Koristite da smanjite potrebe za prostorom na disku za pohranjivanje datoteka, štedeći novac na pohrani.
• iSCSI ciljni server. Koristite za kreiranje centralizovanih, softverskih i nezavisnih iSCSI disk podsistema u mrežama za skladištenje podataka (SAN).
• Prostori na disku. Koristite za implementaciju skladišta koje je visoko dostupno, otporno i skalabilno s isplativim, industrijskim standardnim diskovima.
• Server Manager. Koristite za daljinsko upravljanje više servera datoteka iz jednog prozora.
• Windows PowerShell. Koristite za automatizaciju upravljanja većinom zadataka administracije servera datoteka.

Hyper-V

Uloga Hyper-V vam omogućava da kreirate i upravljate virtuelizovanim računarskim okruženjem koristeći tehnologiju virtuelizacije ugrađenu u Windows Server. Instaliranje Hyper-V uloge instalira preduslove i opcionalne alate za upravljanje. Preduslovi uključuju Windows hipervizor, Hyper-V uslugu upravljanja virtuelnim mašinama, dobavljača WMI virtuelizacije i virtuelizacione komponente kao što su VMbus, virtuelizacioni servis provajder (VSP) i drajver virtuelne infrastrukture (VID).

Mrežna politika i usluge pristupa

Mrežna politika i usluge pristupa pružaju sljedeća rješenja mrežnog povezivanja:

• Zaštita pristupa mreži je tehnologija za kreiranje, provođenje i ispravljanje zdravstvenih politika klijenata. Sa zaštitom pristupa mreži, administratori sistema mogu postaviti i automatski primijeniti zdravstvene politike koje uključuju zahtjeve za softver, sigurnosna ažuriranja i druge postavke. Za klijentske računare koji nisu u skladu sa zdravstvenom politikom, možete ograničiti pristup mreži dok se njihova konfiguracija ne ažurira kako bi bila u skladu sa zahtjevima politike.
• Ako su raspoređene bežične pristupne tačke s omogućenom 802.1X, možete koristiti Network Policy Server (NPS) da implementirate metode provjere autentičnosti zasnovane na certifikatima koje su sigurnije od provjere autentičnosti zasnovane na lozinki. Primena hardvera koji podržava 802.1X sa NPS serverom omogućava intranet korisnicima da budu autentifikovani pre nego što se mogu povezati na mrežu ili dobiti IP adresu od DHCP servera.
• Umjesto da konfigurirate politiku pristupa mreži na svakom serveru za pristup mreži, možete centralno kreirati sve politike koje definiraju sve aspekte zahtjeva za mrežnom vezom (ko se može povezati, kada je veza dozvoljena, nivo sigurnosti koji se mora koristiti za povezivanje na mrežu ).

Usluge štampanja i dokumenata

Usluge štampanja i dokumenata omogućavaju vam da centralizujete zadatke servera za štampanje i mrežnog štampača. Ova uloga vam takođe omogućava da primate skenirane dokumente sa mrežnih skenera i otpremate dokumente na mrežne deljene lokacije - na Windows SharePoint Services lokaciju ili putem e-pošte.

daljinski pristup

Uloga servera za daljinski pristup je logičko grupisanje sljedećih tehnologija pristupa mreži.

• Direktan pristup
• Rutiranje i daljinski pristup
• Proxy web aplikacije

Ove tehnologije jesu usluge uloga uloga servera za daljinski pristup. Kada instalirate ulogu servera za daljinski pristup, možete instalirati jednu ili više usluga uloga pokretanjem čarobnjaka za dodavanje uloga i funkcija.

Na Windows Serveru, uloga servera za daljinski pristup pruža mogućnost centralnog administriranja, konfigurisanja i nadgledanja DirectAccess-a i VPN-a sa uslugama daljinskog pristupa usluge Routing and Remote Access Service (RRAS). DirectAccess i RRAS se mogu implementirati na istom Edge serveru i njima se upravlja pomoću Windows PowerShell komandi i konzole za upravljanje udaljenim pristupom (MMC).

Usluge udaljene radne površine

Usluge udaljene radne površine ubrzavaju i proširuju primenu desktopa i aplikacija na bilo kom uređaju, čineći udaljenog radnika efikasnijim, a istovremeno osiguravaju kritično intelektualno vlasništvo i pojednostavljuju usklađenost. Usluge udaljene radne površine uključuju infrastrukturu virtuelne radne površine (VDI), desktop računare zasnovane na sesiji i aplikacije, dajući korisnicima mogućnost da rade sa bilo kog mesta.

Usluge Volume Activation Services

Usluge aktivacije količinskih licenci su uloga servera u Windows Serveru počevši od Windows Server 2012 koja automatizira i pojednostavljuje izdavanje i upravljanje količinskim licencama za Microsoft softver u različitim scenarijima i okruženjima. Zajedno sa uslugama aktivacije količinskih licenci, možete instalirati i konfigurirati Key Management Service (KMS) i aktivaciju Active Directory.

Web server (IIS)

Uloga Web servera (IIS) u Windows Serveru pruža platformu za hostovanje veb lokacija, usluga i aplikacija. Korišćenje web servera omogućava pristup informacijama korisnicima na Internetu, intranetu i ekstranetu. Administratori mogu koristiti ulogu web servera (IIS) za postavljanje i upravljanje više web lokacija, web aplikacija i FTP lokacija. Posebne karakteristike uključuju sljedeće.

• Koristite Internet Information Services (IIS) Manager da konfigurišete IIS komponente i administrirate web stranice.
• Korištenje FTP protokola za omogućavanje vlasnicima web stranica da uploaduju i preuzimaju datoteke.
• Korištenje izolacije web stranice kako bi se spriječilo da jedna web lokacija na serveru utiče na druge.
• Prilagodba web aplikacija razvijenih korištenjem različitih tehnologija kao što su Classic ASP, ASP.NET i PHP.
• Koristite Windows PowerShell za automatsko upravljanje većinom zadataka administracije web servera.
• Konsolidirajte više web servera u farmu servera kojom se može upravljati pomoću IIS-a.

Windows Deployment Services

Windows Deployment Services vam omogućava da instalirate Windows operativne sisteme preko mreže, što znači da ne morate da instalirate svaki operativni sistem direktno sa CD-a ili DVD-a.

Windows Server Essentials Iskustvo

Ova uloga vam omogućava da obavljate sljedeće zadatke:

• zaštiti serverske i klijentske podatke pravljenjem rezervnih kopija servera i svih klijentskih računara na mreži;
• upravljati korisnicima i korisničkim grupama putem pojednostavljene serverske kontrolne table. Pored toga, integracija sa Windows Azure Active Directory* omogućava korisnicima lak pristup Microsoft Online uslugama na mreži (kao što su Office 365, Exchange Online i SharePoint Online) koristeći akreditive svoje domene;
• skladištiti podatke o kompaniji na centraliziranoj lokaciji;
• integrirati server sa Microsoft Online Services (kao što su Office 365, Exchange Online, SharePoint Online i Windows Intune):
• koristiti sveprisutne funkcije pristupa na serveru (kao što su udaljeni pristup internetu i virtuelne privatne mreže) za pristup serveru, mrežnim računarima i podacima sa veoma sigurnih udaljenih lokacija;
• pristupiti podacima s bilo kojeg mjesta i sa bilo kojeg uređaja koristeći vlastiti web portal organizacije (putem udaljenog web pristupa);
• upravljajte mobilnim uređajima koji pristupaju e-pošti vaše organizacije sa Office 365 putem Active Sync protokola sa kontrolne table;
• pratiti zdravlje mreže i primati prilagodljive izvještaje o zdravlju; izvještaji se mogu generirati na zahtjev, prilagoditi i slati e-poštom određenim primaocima.

Windows Server Update Services

WSUS server pruža komponente koje su administratorima potrebne za upravljanje i distribuciju ažuriranja preko upravljačke konzole. Osim toga, WSUS server može biti izvor ažuriranja za druge WSUS servere u organizaciji. Prilikom implementacije WSUS-a, najmanje jedan WSUS server na mreži mora biti povezan na Microsoft Update da bi primio informacije o dostupnim ažuriranjima. U zavisnosti od sigurnosti i konfiguracije mreže, administrator može odrediti koliko je drugih servera direktno povezano na Microsoft Update.

Zdravo. Ne možete registrirati vlastiti račun?
pišite na PM - vk.com/watsonshit
- Registriramo račune po narudžbi.
- Pomažemo u fazama 1 i 2 UCP.
- Brza i kvalitetna usluga.
- Garancije, recenzije. Odgovorni smo za sigurnost.
- Apsolutno različiti serveri sa UCP registracijom.
Projekat obale Pacifika - SW projekat itd.

Niste našli odgovor na svoje pitanje? Pišite u komentarima i ja ću vam dati odgovor.

) Čemu služi OOC chat?
- 1) Ovo je razgovor koji ne utiče na igru.

2) Šta se podrazumijeva pod pojmom igra uloga?
- 2) Igra uloga je vrsta igre u kojoj morate odigrati ulogu koju sam odabrao.

3) Ako vam neka situacija ne ide u prilog (ubistvo/pljačka). Vaši postupci?
- 2) Nastaviću da igram bez obzira na sve.

2) Dobili ste novac od varalice, šta ćete učiniti?
- 4) Obavijestit ću administraciju servera, odjaviti se u posebnoj temi i dodati novac u /charity.

3) Da li imate pravo da ubijete policajca?
- 1) Naravno, mogu ubiti policajca samo ako imam dobar razlog.

1) Da li je dozvoljeno proći sa vozačkog sedišta?
- 4) Ne, takve radnje su zabranjene pravilima servera.

4) Da li su dozvoljeni nadimci poznatih ličnosti i likova iz filmova/serije/crtića?
- 3) Ne, zabranjeni su.

5) Tokom pucnjave tehnički tri lika su ubijena, ali nakon nekog vremena ti isti likovi su već ponovo igrali svoje uloge. Kakva je ovo vrsta ubistva?
- 2) Ubistvo igrača.

7) Pucaju na tebe, ali ti ne želiš da umreš, i zato...
- 4) Pokušat ćete pobjeći i preživjeti igrajući uloge.

2) Imate li pravo da koristite Bunny-Hop?
- 3) Da, imam pravo da ga koristim ako nikome ne smetam.

7) Šta ćete učiniti ako imate prijedlog za razvoj servera?
- 3) Pisaću o tome u odgovarajućem odeljku na forumu.

3) Da li je obavezno odjaviti radnje kod upotrebe malog oružja?
- 4) Ne.

2) Prvi put ste na serveru i uopšte ne znate komande, šta ćete uraditi?
- 3) Postaviću pitanje administraciji komandom /askq, zatim ću čekati odgovor.

3) Koja je svrha naredbe /coin?
- za rješavanje svih spornih situacija

1) Šta je Metagaming?
- 2) Ovo je upotreba informacija koje se ne odnose na ulogu prilikom izvođenja uloge.

6) Igrač, čiji je lik tehnički ubijen tokom prepucavanja, odlučio je da se osveti prestupnicima i ubio jednog od protivnika bez razloga za ulogu. Koji su prekršaji ovdje od strane igrača?
- 3) Ubistvo iz osvete.

10) Da li je dozvoljeno dopuniti količinu zdravlja tokom borbe/okršaja?
- 4) Ne.

8) Da li je dozvoljeno pucati na radnike LSPD-a i čime je to bremenito?
- 4) Da, obična paljba se završava PC-om za obje strane. Ako se radi o predmetu ili raciji, policiji se daje PK, a kriminalcima SK.

6) Koliki je maksimalni iznos za pljačku koja ne zahtijeva administrativne provjere?
- 1) $500

9) Koji jezici se mogu koristiti na našem serveru?
- 1) ruski.

7) Nakon duge i pažljive pripreme, ubica je ispunio naređenje - ubio je. Plan je proračunat do najsitnijih detalja, kao rezultat toga, kupac je velikodušno platio. Koja je žrtva u ovom slučaju?
- 1) Ubistvo lika.

9) Da li je dozvoljena krađa državnih vozila?
- 2) Da, ali prvo morate pitati administratora, kao i postupiti u skladu sa stavom 9 pravila igre.

8) Kada možete glumiti seksualno nasilje i okrutnost?
- 2) Seksualno nasilje i okrutnost se mogu igrati samo uz pristanak svih osoba uključenih u RP.

10) Šta treba da uradite ako mislite da se igra ne odvija po pravilima?
- 1) Pišite /prijavite, ako je administrator odsutan - napišite žalbu na forumu.

7) Koliko igranih sati treba da ima igrač da bi bio opljačkan?
- 3) 8 sati.

8) Navedite ispravnu upotrebu naredbe /coin. nakon:
- prestao sam da dišem, i udario loptu, pokušavajući da je ubacim u rupu.

8) Navedite ispravnu upotrebu naredbe /me:
- /ja sam se široko nasmešio, gledajući direktno u Lindine oči. Približio se, a zatim je nežno zagrlio.

PRODAJA VIRTUELNE VALUTE NA PROJEKTU PACIFIC COAST I GRINCH ROLE PLAY SERVERIMA.
SVE INFORMACIJE U GRUPI!
vk.com/virtongarant