Adja meg a kiszolgáló kapcsolatra vonatkozó szabályzatának részletes leírását. Adja meg a szerver házirendjének részletes leírását

GPResult segédprogram.alkalmazás– egy konzolalkalmazás, amely az Active Directory tartomány számítógépére és/vagy felhasználójára alkalmazott beállítások elemzésére és csoportházirendek diagnosztizálására szolgál. A GPResult lehetővé teszi, hogy adatokat kapjon az eredményül kapott házirend-készletből (Resultant Set of Policy, RSOP), az alkalmazott tartományházirendek (GPO-k) listája, azok beállításai, valamint részletes információk a feldolgozási hibáikról. A segédprogram a Windows XP óta a Windows operációs rendszer része. A GPResult segédprogram lehetővé teszi olyan kérdések megválaszolását, mint például, hogy egy adott házirend vonatkozik-e egy számítógépre, melyik csoportházirend-objektum módosította egy adott Windows-beállítást, és kiderítheti az okokat.

Ebben a cikkben megvizsgáljuk a GPResult parancs használatának sajátosságait a csoportházirendek alkalmazásának diagnosztizálására és hibakeresésére egy Active Directory tartományban.

Kezdetben a csoportházirendek Windows rendszerben való alkalmazásának diagnosztizálására az RSOP.msc grafikus konzolt használták, amely lehetővé tette a kapott házirendek (tartomány + helyi) beállításait a számítógépre és a felhasználóra alkalmazott grafikus formában, hasonló módon megszerezni. a GPO-szerkesztő konzolt (lent, az RSOP.msc konzolnézet példájában láthatja, hogy a frissítési beállítások be vannak állítva).

Az RSOP.msc konzolt azonban a Windows modern verzióiban nem praktikus használni, mert nem tükrözi a különböző kliensoldali bővítmények (CSE), mint például a GPP (Group Policy Preferences) által alkalmazott beállításokat, nem teszi lehetővé a keresést, kevés diagnosztikai információt ad. Ezért jelenleg a GPResult parancs a fő eszköz a GPO használatának diagnosztizálására a Windows rendszerben (a Windows 10 rendszerben még figyelmeztetés is van arra, hogy az RSOP nem ad teljes jelentést, ellentétben a GPResult-tal).

A GPResult.exe segédprogram használata

A GPResult parancs azon a számítógépen fut, amelyen tesztelni szeretné a csoportházirendek alkalmazását. A GPResult parancs szintaxisa a következő:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Ha részletes információkat szeretne kapni az adott AD-objektumra (felhasználó és számítógép) vonatkozó csoportházirendekről és a csoportházirend-objektum infrastruktúrájához kapcsolódó egyéb beállításokról (azaz az eredményül kapott GPO-házirend-beállításokról - RsoP), futtassa a parancsot:

A parancs végrehajtásának eredménye 2 részre oszlik:

• SZÁMÍTÓGÉP BEÁLLÍTÁSOK (Számítógép konfiguráció) – a szakasz információkat tartalmaz a számítógépet érintő csoportházirend-objektumokról (Active Directory objektumként);
• FELHASZNÁLÓ BEÁLLÍTÁSOK – a házirendek felhasználói része (az AD-ben lévő felhasználói fiókokra vonatkozó házirendek).

Röviden tekintsük át azokat a főbb paramétereket/szakaszokat, amelyek érdekesek lehetnek számunkra a GPResult kimenetben:

• WebhelyNév(Site name:) - annak az AD oldalnak a neve, ahol a számítógép található;
• CN– teljes kanonikus felhasználó/számítógép, amelyhez az RSoP adatokat generálták;
• UtolsóidőcsoportIrányelvvoltalkalmazott(Utoljára alkalmazott csoportházirend) – a csoportházirendek utolsó alkalmazásának időpontja;
• csoportIrányelvvoltalkalmazotttól től(A csoportházirend alkalmazása innen történt) - a tartományvezérlő, amelyről betöltődött legújabb verzió csoportházirend-objektumok
• TartományNévés Domaintípus(Domain név, tartomány típusa) – Active Directory tartomány séma neve és verziója;
• AlkalmazottcsoportIrányelvObjektumok(Alkalmazott csoportházirend-objektumok)– az aktív csoportházirend-objektumok listája;
• Akövetkezőcsoportházirend-objektumokvoltaknemalkalmazottmertőkvoltakszűrtki(A következő csoportházirend-objektumok nem kerültek alkalmazásra, mert szűrték őket) - nem alkalmazták (szűrt) GPO-k;
• Afelhasználó/számítógépvanarésznak,-nekakövetkezőBiztonságcsoportok(A felhasználó/számítógép a következő biztonsági csoportok tagja) – Tartománycsoportok, amelyeknek a felhasználó tagja.

Példánkban láthatja, hogy a felhasználói objektumot 4 csoportházirend érinti.

• Alapértelmezett tartományi szabályzat;
• Engedélyezze a Windows tűzfalat;
• DNS-utótag keresési listája

Ha nem szeretné, hogy a konzol egyszerre jelenítsen meg információkat a felhasználói házirendekről és a számítógépes szabályzatokról, akkor a /scope kapcsolóval csak az Önt érdeklő szakaszt jelenítheti meg. Csak az eredményül kapott felhasználói szabályzatok:

gpresult /r /scope:user

vagy csak alkalmazott számítógépes házirendek:

gpresult /r /scope:computer

Mert A Gpresult segédprogram közvetlenül a parancssori konzolra adja ki az adatait, ami nem mindig kényelmes a későbbi elemzéshez; kimenete átirányítható a vágólapra:

gpresult /r |klip

vagy szöveges fájl:

gpresult /r > c:\gpresult.txt

A rendkívül részletes RSOP-információk megjelenítéséhez adja hozzá a /z kapcsolót.

HTML RSOP jelentés a GPResult segítségével

Ezenkívül a GPResult segédprogram HTML-jelentést tud készíteni az alkalmazott eredményházirendekről (Windows 7 és újabb verziókban érhető el). Ez a jelentés részletes információkat tartalmaz a csoportházirendek által beállított összes rendszerbeállításról, valamint az ezeket beállító adott csoportházirend-objektumok nevéről (a struktúráról kapott jelentés hasonlít a Tartománycsoportházirend-kezelési konzol (GPMC) Beállítások lapjára). HTML GPResult jelentést a következő paranccsal hozhat létre:

GPResult /h c:\gp-report\report.html /f

Jelentés generálásához és böngészőben való automatikus megnyitásához futtassa a következő parancsot:

GPResult /h GPResult.html & GPResult.html

A gpresult HTML jelentés meglehetősen sok hasznos információt tartalmaz: láthatóak a csoportházirend-objektumok alkalmazási hibái, a feldolgozási idő (ms-ban), valamint a konkrét házirendek és a CSE alkalmazása (a Számítógép részletei -> Összetevő állapota részben). Például a fenti képernyőképen láthatja, hogy a 24 jelszót emlékezetes beállításokkal rendelkező házirendet az Alapértelmezett tartományházirend (Nyertes GPO oszlop) alkalmazza. Mint látható, egy ilyen HTML-jelentés sokkal kényelmesebb az alkalmazott irányelvek elemzéséhez, mint az rsop.msc konzol.

GPResult adatok lekérése távoli számítógépről

A GPResult adatokat gyűjthet egy távoli számítógépről is, így nincs szükség arra, hogy a rendszergazda helyileg vagy RDP-vel bejelentkezzen egy távoli számítógépre. Az RSOP adatok távoli számítógépről történő gyűjtésének parancsformátuma a következő:

GPResult /s server-ts1 /r

Hasonló módon távolról is gyűjthet adatokat felhasználói és számítógépes szabályzatokból.

A felhasználónévnek nincs RSOP adata

Engedélyezett UAC esetén a GPResult emelt szintű jogosultságok nélküli futtatása csak a csoportházirend egyéni szakaszának beállításait jeleníti meg. Ha mindkét részt (FELHASZNÁLÓI BEÁLLÍTÁSOK és SZÁMÍTÓGÉP BEÁLLÍTÁSOK) egyszerre kell megjeleníteni, akkor a parancsot le kell futtatni. Ha az emelt szintű parancssor a jelenlegi felhasználótól eltérő rendszeren van, a segédprogram figyelmeztetést ad ki INFO: Afelhasználó"tartomány\felhasználó"csinálnemvanRSOPadat ( A 'domain\user' felhasználónak nincsenek RSOP-adatai). Ennek az az oka, hogy a GPResult információkat próbál gyűjteni a futtató felhasználó számára, de azért Ez a felhasználó nem jelentkezett be a rendszerbe, és ehhez a felhasználóhoz nem állnak rendelkezésre RSOP információk. Egy aktív munkamenettel rendelkező felhasználó RSOP-információinak gyűjtéséhez meg kell adnia a fiókját:

gpresult /r /user:tn\edward

Ha nem ismeri a távoli számítógépen bejelentkezett fiók nevét, a következőképpen szerezheti be a fiókot:

qwinsta /SERVER:remotePC1

Ellenőrizze az idő(k)et is az ügyfélen. Az időnek meg kell egyeznie a PDC (elsődleges tartományvezérlő) idővel.

A következő csoportházirend-objektum-irányelvek nem kerültek alkalmazásra, mert kiszűrték őket

A csoportházirendek hibaelhárítása során ügyeljen a szakaszra is: A következő csoportházirend-objektumok nem kerültek alkalmazásra, mert kiszűrték őket (A következő csoportházirend-szabályzatok nem kerültek alkalmazásra, mert kiszűrték őket). Ez a szakasz azon csoportházirend-objektumok listáját jeleníti meg, amelyek valamilyen okból nem vonatkoznak erre az objektumra. Lehetséges lehetőségek, amelyekre a szabályzat nem vonatkozik:

Azt is megtudhatja, hogy a házirendet alkalmazni kell-e egy adott AD-objektumra a Hatékony engedélyek lapon (Speciális -> Hatékony hozzáférés).

Tehát ebben a cikkben áttekintettük a csoportházirendek alkalmazásának diagnosztizálásának jellemzőit a GPResult segédprogrammal, és áttekintettük a használatának tipikus forgatókönyveit.

Socket-kiszolgáló fejlesztése előtt létre kell hoznia egy házirend-kiszolgálót, amely megmondja a Silverlightnak, hogy mely ügyfelek csatlakozhatnak a socket-kiszolgálóhoz.

Amint fentebb látható, a Silverlight nem engedélyezi a tartalom betöltését vagy a webszolgáltatás meghívását, ha a tartomány nem rendelkezik clientaccesspolicy .xml vagy crossdomain fájllal. xml, ahol ezek a műveletek kifejezetten engedélyezettek. Hasonló korlátozás vonatkozik a socket szerverre is. Ha nem engedélyezi az ügyféleszköznek a távoli hozzáférést lehetővé tevő clientaccesspolicy .xml fájl letöltését, a Silverlight megtagadja a kapcsolat létrehozását.

Sajnos ügyfél-hozzáférési szabályzat biztosítása. cml-t egy socket-alkalmazásba nagyobb kihívás, mint a webhelyen keresztül történő biztosítása. A weboldal használatakor szoftver A webszerver biztosíthat egy clientaccesspolicy .xml fájlt, csak ne felejtse el hozzáadni. Ugyanakkor egy socket alkalmazás használatakor meg kell nyitnia egy socketet, amelyhez az ügyfélalkalmazások hozzáférhetnek a házirend-kérelmekkel. Ezenkívül manuálisan kell létrehoznia a socketet kiszolgáló kódot. E feladatok végrehajtásához létre kell hoznia egy házirend-kiszolgálót.

A következőkben bemutatjuk, hogy a házirend-kiszolgáló ugyanúgy működik, mint az üzenetkiszolgáló, csak valamivel egyszerűbb interakciókat kezel. Az üzenetkiszolgálók és házirendek külön-külön vagy egy alkalmazásban kombinálhatók. A második esetben figyelniük kell a különböző szálakon érkező kéréseket. Ebben a példában létrehozunk egy házirend-kiszolgálót, majd kombináljuk egy üzenetkiszolgálóval.

Házirend-kiszolgáló létrehozásához először létre kell hoznia egy .NET-alkalmazást. Bármilyen típusú .NET-alkalmazás szolgálhat házirend-kiszolgálóként. A legegyszerűbb módja egy konzolalkalmazás használata. Miután elvégezte a konzolalkalmazás hibakeresését, áthelyezheti a kódot egy Windows-szolgáltatásba, hogy az folyamatosan a háttérben fusson.

Házirend-fájl

A következő a házirend-kiszolgáló által biztosított házirendfájl.

A házirendfájl három szabályt határoz meg.

Lehetővé teszi a hozzáférést a 4502 és 4532 közötti összes porthoz (ez a Silverlight kiegészítő által támogatott portok teljes skálája). Az elérhető portok tartományának módosításához módosítsa az elem portattribútumának értékét.

Lehetővé teszi a TCP hozzáférést (az engedélyt az elem protokoll attribútuma határozza meg).

Lehetővé teszi a hívást bármely tartományból. Ezért a kapcsolatot létesítő Silverlight alkalmazást bármely webhely tárolhatja. A szabály módosításához szerkesztenie kell az elem uri attribútuma.

A dolgok megkönnyítése érdekében a házirendszabályok a projekthez hozzáadott clientaccess-ploi.cy.xml fájlba kerülnek. BAN BEN vizuális Stúdió A házirendfájl Másolás kimeneti könyvtárba beállítását Mindig másolás értékre kell állítani. csak meg kell találnia a fájlt a merevlemezen, nyissa meg, és visszaküldi a tartalmát az ügyféleszközre.

PolicyServer osztály

A házirend-kiszolgáló funkciói két kulcsosztályon alapulnak: PolicyServer és PolicyConnection. A PolicyServer osztály kezeli a kapcsolatokra való várakozást. Amikor kap egy kapcsolatot, átadja a vezérlést a PoicyConnection osztály egy új példányának, amely átadja a házirendfájlt az ügyfélnek. Ez a két részből álló eljárás általános a hálózati programozásban. Ezt többször is látni fogja, ha üzenetszerverekkel dolgozik.

A PolicyServer osztály betölti a házirendfájlt a merevlemezről, és bájtok tömbjeként tárolja a mezőben.

Public Class PolicyServer

privát bájt házirend;

public PolicyServer(karakterlánc policyFile) (

A figyelés megkezdéséhez a szerveralkalmazásnak meg kell hívnia a PolicyServert. Rajt(). Létrehoz egy TcpListener objektumot, amely figyeli a kéréseket. A TcpListener objektum úgy van beállítva, hogy a 943-as porton figyeljen. A Silverlightban ez a port a házirend-kiszolgálók számára van fenntartva. Ha házirendfájlokat kér, a Silverlight alkalmazás automatikusan a 943-as portra irányítja azokat.

privát TcpListener figyelő;

public void Start()

// Hallgató létrehozása

hallgató = new TcpListener(IPAddress.Any, 943);

// Hallgatás indítása; a Start() metódus azonnal visszaadja a II-t a hallgató hívása után.Start();

// Várakozás a kapcsolatra; a metódus azonnal visszatér;

A II várakozás külön szálban történik

A felajánlott kapcsolat elfogadásához a házirend-kiszolgáló meghívja a BeginAcceptTcpClient() metódust. A .NET-keretrendszer összes Beginxxx() metódusához hasonlóan a hívás után azonnal visszatér, és egy külön szálon végzi el a szükséges műveleteket. Hálózati alkalmazásoknál ez nagyon jelentős tényező, mivel lehetővé teszi számos házirendfájlokra vonatkozó kérés egyidejű feldolgozását.

Jegyzet. A kezdő hálózati programozók gyakran csodálkoznak azon, hogyan lehet egyszerre több kérést feldolgozni, és úgy gondolják, hogy ehhez több szerverre van szükség. Azonban nem. Ezzel a megközelítéssel az ügyfélalkalmazások gyorsan kifogynának az elérhető portokból. A gyakorlatban a szerveralkalmazások sok kérést dolgoznak fel egyetlen porton keresztül. Ez a folyamat az alkalmazások számára láthatatlan, mivel a Windows beépített TCP-alrendszere automatikusan azonosítja az üzeneteket, és az alkalmazáskód megfelelő objektumaihoz irányítja. Minden kapcsolat négy paraméter alapján egyedileg azonosítható: az ügyfél IP-címe, az ügyfélportszám, a szerver IP-címe és a szerver portszáma.

Minden kérésnél az OnAcceptTcpClient() visszahívási metódus aktiválódik. Újra meghívja a BeginAcceptTcpClient O metódust, hogy elkezdjen várni a következő kérésre egy másik szálon, majd elkezdi feldolgozni az aktuális kérést.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Irányelvkérés érkezett."); // Várakozás a következő kapcsolatra.

hallgató.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Az aktuális kapcsolat kezelése.

TcpClient kliens = hallgató.EndAcceptTcpClient(ar); PolicyConnection policyConnection = new PolicyConnection(kliens, szabályzat); policyConnection.HandleRequest() ;

fogás (Kivétel hiba) (

Minden alkalommal, amikor új kapcsolat érkezik, egy új PolicyConnection objektum jön létre a kezeléséhez. Ezenkívül a PolicyConnection objektum egy házirendfájlt is karbantart.

A PolicyServer osztály utolsó összetevője a Stop() metódus, amely nem vár a kérésekre. Az alkalmazás meghívja, amikor leáll.

privát bool isStopped;

public void StopO(

isStopped = igaz;

hallgató. állj meg();

fogás (Kivétel hiba) (

Console.WriteLine(err.Message);

A következő kódot használja az alkalmazáskiszolgáló Main() metódusa a házirend-kiszolgáló indításához.

static void Main(string args) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("A házirend-kiszolgáló elindult."); Console.WriteLine("Nyomja meg az Enter billentyűt a kilépéshez.");

// Billentyűnyomásra vár; a // Console.ReadKey() metódussal beállíthatjuk, hogy várjon egy adott // sorra (például kilép), vagy megnyomjon bármilyen billentyűt Console.ReadLine();

policyServer.Stop();

Console.WriteLine("A házirend-kiszolgáló leállítása.");

PolicyConnection osztály

A PolicyConnection osztály egyszerűbb feladatot hajt végre. A PolicyConnection objektum a házirendfájl adataira vonatkozó hivatkozást tárol. Ezután a HandleRequest() metódus meghívása után a PolicyConnection objektum lekér egy új kapcsolatot a hálózati adatfolyamból, és megpróbálja beolvasni. A kliens eszköznek szöveget tartalmazó karakterláncot kell küldenie, melynek elolvasása után a kliens eszköz a házirend-adatokat a folyamba írja és megszakítja a kapcsolatot. A következő a PolicyConnection osztály kódja.

nyilvános osztály PolicyConnection(

privát TcpClient kliens; privát bájt házirend;

nyilvános PolicyConnection (TcpClient kliens, bájt házirend) (

this.client = kliens; this.policy = politika;

// Klienskérelem létrehozása privát statikus karakterlánc policyRequestString = "

public void HandleRequest()(

Stream s = kliens.GetStream(); // A házirend lekérdezési karakterláncának olvasása

bájt puffer = új bájt;

// Várjon csak 5 másodpercet kliens.ReceiveTimeout = 5000;'

s.Read(puffer, 0, puffer.Length);

// A házirend átadása (ellenőrizheti azt is, hogy a házirend-kérelem // rendelkezik-e a szükséges tartalommal) s.Write(policy, 0, policy.Length);

// A kliens kapcsolat bezárása.Close();

Console.WriteLine("Szabályfájl kiszolgálva.");

Tehát van egy teljesen működő házirend-kiszolgálónk. Sajnos még nem tesztelhető, mert a Silverlight bővítmény nem teszi lehetővé a házirendfájlok kifejezett kérését. Ehelyett automatikusan lekéri őket, amikor egy socket alkalmazást próbál használni. Mielőtt kliens alkalmazást hozhatna létre ehhez a socket alkalmazáshoz, létre kell hoznia egy kiszolgálót.

A sorozat korábbi cikkeiben megtanulta, hogyan használhatja hatékonyan a helyi biztonsági szabályzatok funkcióit, amelyek lehetővé teszik szervezete infrastruktúrájának maximális védelmét a kívülről érkező rosszindulatúak támadásaival, valamint a hozzá nem értő alkalmazottak legtöbb intézkedésével szemben. . Már tudja, hogyan állíthat be hatékonyan fiókházirendeket, amelyek lehetővé teszik a felhasználói jelszavak összetettségének kezelését, és hogyan állíthat be audit házirendeket a felhasználók hitelesítésének további elemzéséhez a biztonsági naplóban. Ezenkívül megtanulta, hogyan rendelhet jogokat a felhasználókhoz, hogy elkerülje a rendszer, sőt az intraneten lévő számítógépek károsodását, és hogyan konfigurálhatja hatékonyan az eseménynaplókat, a korlátozott csoportokat, a rendszerszolgáltatásokat, a rendszerleíró adatbázist és a fájlrendszert. Ebben a cikkben folytatjuk a helyi biztonsági szabályzatok tanulmányozását, és megismerkedhet a vállalata vezetékes hálózatának biztonsági beállításaival.

A Microsoft szerver operációs rendszerei a Windows Server 2008-tól kezdve bevezették a Vezetékes hálózati házirendek (IEEE 802.3) összetevőt, amely automatikus konfigurálást biztosít a vezetékes hozzáférési szolgáltatások IEEE 802.1X hitelesítéssel történő telepítéséhez az Ethernet 802.3 hálózati ügyfelek számára. A vezetékes hálózatok biztonsági beállításainak csoportházirendekkel történő megvalósításához az operációs rendszerek a Wired AutoConfig szolgáltatást (Wired AutoConfig – DOT3SVC) használják. A jelenlegi szolgáltatás felelős az IEEE 802.1X hitelesítésért a csatlakozáskor Ethernet hálózatok kompatibilis 802.1X kapcsolókkal, és kezeli a hálózati kliens hitelesített hozzáféréshez való konfigurálásához használt profilt. Azt is érdemes megjegyezni, hogy ha ezeket a házirendeket használja, akkor kívánatos megakadályozni, hogy a domain felhasználói módosítsák a szolgáltatás indítási módját.

Vezetékes hálózati házirend konfigurálása

A vezetékes hálózati házirend beállításait közvetlenül a beépülő modulból állíthatja be. A beállítások konfigurálásához kövesse az alábbi lépéseket:

1. Nyissa meg a beépülő modult, és válassza ki a csomópontot a konzolfában, kattintson rá jobb gombbal, és válassza ki a parancsot a helyi menüből "Új vezetékes hálózati házirend létrehozása Windows Vista és újabb verziókhoz" a következő ábrán látható módon:

   Rizs. 1. Hozzon létre egy vezetékes hálózati házirendet

2. A megnyíló párbeszédpanelen "Új szabályzat a vezetékes hálózatok tulajdonságaihoz", a lapon "Gyakoriak", megadhatja, hogy a Wired AutoConfig szolgáltatást használja a LAN-adapterek vezetékes hálózathoz való csatlakozásához való konfigurálásához. A Windows Vista és újabb operációs rendszerekre vonatkozó házirend-beállítások mellett vannak olyan házirend-beállítások, amelyek csak a Windows 7 és a Windows Server 2008 R2 operációs rendszerekre vonatkoznak. Ezen a lapon a következőket teheti:
   • Szabályzat neve. Ebben a szövegmezőben nevet adhat a vezetékes hálózati házirendnek. A házirend nevét a csomópont részletes paneljén láthatja "Vezetékes hálózati házirendek (IEEE 802.3)" csattan Csoportházirend-kezelési szerkesztő;
   • Leírás. Ez a szövegdoboz a vezetékes hálózati szabályzat céljának részletes leírását szolgálja;
   • Használja a Windows Wired AutoConfig szolgáltatást az ügyfelek számára. Ez az opció elvégzi a tényleges konfigurációt, és csatlakoztatja az ügyfeleket egy vezetékes 802.3-as hálózathoz. Ha letiltja ezt az opciót, akkor a Windows operációs rendszer nem fogja szabályozni a vezetékes hálózati kapcsolatot, és a házirend-beállítások nem lépnek érvénybe;
   • A megosztott felhasználói hitelesítő adatok hálózati hitelesítéshez való használatának megakadályozása. Ez a beállítás határozza meg, hogy a felhasználót meg kell-e akadályozni a megosztott felhasználói hitelesítő adatok tárolásában a hálózati hitelesítéshez. Ezt a beállítást helyileg módosíthatja a paranccsal A netsh lan megengedi az explicitcreds-t;
   • Blokkolási időszak engedélyezése. Ez a beállítás határozza meg, hogy a számítógép nem csatlakozik-e automatikusan a vezetékes hálózathoz a megadott számú percig. Az alapértelmezett 20 perc. A blokkolás időtartama 1 és 60 perc között állítható.

"Gyakoriak" vezetékes hálózati házirendek:

Rizs. 2. A vezetékes hálózati házirend beállításai párbeszédpanel Általános lapja

3. A lapon "Biztonság" konfigurációs lehetőségeket biztosít a hitelesítési módhoz és a vezetékes csatlakozási módhoz. A következő biztonsági beállításokat konfigurálhatja:
   • Engedélyezze az IEEE 802.1X hitelesítést a hálózati hozzáféréshez. Ez a beállítás közvetlenül a 802.1X hitelesítés engedélyezésére vagy letiltására használható hálózati hozzáférés. Ez az opció alapértelmezés szerint engedélyezve van;
   • Válasszon egy hálózati hitelesítési módot. Ennek a legördülő listának a segítségével megadhatja a vezetékes hálózati házirendre alkalmazott hálózati kliens hitelesítési módszerek egyikét. A következő két lehetőség közül választhat:
     • Microsoft: Védett EAP-k (PEAP). Ennél a hitelesítési módnál az ablak "Tulajdonságok" tartalmazza a használandó hitelesítési módszer konfigurációs beállításait;
     • Microsoft: intelligens kártyák vagy egyéb tanúsítvány. Ennél a hitelesítési módnál az ablakban "Tulajdonságok" olyan konfigurációs beállításokat biztosít, amelyek lehetővé teszik az intelligens kártya vagy tanúsítvány megadását a csatlakozáshoz, valamint a megbízható gyökér CA-k listáját.

   Alapértelmezés szerint kiválasztott módszer Microsoft: Védett EAP-k (PEAP);

4. Hitelesítési mód. Ezt a legördülő listát használják a végrehajtáshoz hálózati ellenőrzés hitelesség. A következő négy lehetőség közül választhat:
   • Felhasználói vagy számítógépes hitelesítés. Ha ez a lehetőség be van jelölve, a rendszer a számítógép aktuális állapota alapján használja a biztonsági hitelesítő adatokat. Még ha nincs is bejelentkezve felhasználó, a hitelesítés a számítógép hitelesítő adataival történik. Amikor egy felhasználó bejelentkezik, a bejelentkezett felhasználó hitelesítő adatait fogják használni. A Microsoft a legtöbb esetben ennek a hitelesítési módnak a használatát javasolja.
   • Csak számítógépre. Ebben az esetben csak a számítógép hitelesítő adatai kerülnek hitelesítésre;
   • Felhasználói hitelesítés. Ennek az opciónak a kiválasztása csak új 802.1X eszközhöz való csatlakozáskor kényszeríti ki a felhasználói hitelesítést. Minden más esetben a hitelesítés csak a számítógép számára történik;
   • Vendég hitelesítés. Ez a beállítás lehetővé teszi, hogy vendégfiók alapján csatlakozzon a hálózathoz.
5. A hitelesítési hibák maximális száma. Ez a beállítás lehetővé teszi a hitelesítési hibák maximális számának megadását. Az alapértelmezett érték 1;
6. Gyorsítótárazza a felhasználói adatokat a hálózathoz való későbbi csatlakozásokhoz. Ha ez a beállítás engedélyezve van, a felhasználói hitelesítő adatok a rendszerleíró adatbázisban tárolódnak, és a rendszer nem kér hitelesítő adatokat, amikor a felhasználó kijelentkezik, majd bejelentkezik.

A következő ábra a fület mutatja "Biztonság" ezt a párbeszédpanelt:

Rizs. 3. A Vezetékes hálózati házirend beállításai párbeszédpanel Biztonság lapja

A hitelesítési módok tulajdonságai

Ahogy az előző részben említettük, mindkét hitelesítési módhoz vannak további beállítások, amelyeket a gombra kattintva hívhatunk meg "Tulajdonságok". Ebben a részben a hitelesítési módszerek összes lehetséges beállításával foglalkozunk.

"Microsoft: Secure EAP (PEAP)" hitelesítési módszer beállításai

Az EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) egy bővíthető hitelesítési infrastruktúra, amely meghatározza a csomag formátumát. A hitelesítési módszer konfigurálásához a következő lehetőségek állnak rendelkezésre:

Gyors újracsatlakozás engedélyezése. Ez az opció lehetővé teszi a felhasználók számára vezeték nélküli számítógépek gyorsan mozoghat a hozzáférési pontok között anélkül, hogy új hálózatra kellene hitelesíteni. Ez a váltás csak RADIUS-kliensként konfigurált hozzáférési pontoknál működhet. Ez az opció alapértelmezés szerint engedélyezve van;

Engedélyezze a hálózati hozzáférés védelmét. Ha ezt a lehetőséget választja, mielőtt engedélyezné az EAP kérelmezők számára a hálózathoz való csatlakozást, a rendszer megfelelő ellenőrzéseket hajt végre az állapotfelmérés meghatározásához;

Szüntesse meg a kapcsolatot, ha a szerver nem támogatja a titkosított összerendelést a TLV-mechanizmuson keresztül. Ez a beállítás felelős azért, hogy a csatlakozó ügyfelek megszakítsák a hitelesítési folyamatot, ha a RADIUS-kiszolgáló nem biztosít olyan kriptográfiai TLV-kötési értéket, amely a belső és külső hitelesítési módszerek kombinálásával növeli a TLS-alagút biztonságát a PEAP-ban, így a támadók nem hajthatnak végre manipulációs támadásokat. harmadik fél;

Adatvédelmi identitás engedélyezése. Ez a beállítás megakadályozza, hogy az ügyfelek elküldjék identitásukat, mielőtt az ügyfél hitelesítette volna a RADIUS-kiszolgálót, és opcionálisan helyet biztosít egy névtelen identitásérték megadására.

A Secure EAP Properties párbeszédpanel a következő ábrán látható:

Rizs. 5. Biztonságos EAP tulajdonságok párbeszédpanel

Hitelesítési módszer beállításai "Smartkártya vagy egyéb tanúsítvány - EAP-TLS beállítások"

A hitelesítési módszer konfigurálásához a következő lehetőségek állnak rendelkezésre:

• Csatlakozáskor használja az intelligens kártyámat. Ha a választógombot ebbe a pozícióba állítja, a hitelesítést kérő ügyfelek intelligens kártya tanúsítványt fognak bemutatni a hálózati hitelesítéshez;
• Csatlakozáskor használja a számítógépen található tanúsítványt. Ha ez a lehetőség be van jelölve, az ügyfélkapcsolat ellenőrzése az aktuális felhasználónál vagy a helyi számítógépes tárolóban található tanúsítványt fogja használni;
• Használjon egyszerű tanúsítványválasztást. Ez a beállítás lehetővé teszi a Windows operációs rendszer számára, hogy kiszűrje azokat a tanúsítványokat, amelyek nem felelnek meg a hitelesítési követelményeknek;
• Ellenőrizze a kiszolgáló tanúsítványát. Ezzel a lehetőséggel beállíthatja az ügyfélszámítógépeknek biztosított kiszolgálótanúsítvány érvényes, le nem járt aláírásának ellenőrzését, valamint a tanúsítványt a kiszolgálónak kiállító megbízható gyökér tanúsító hatóság jelenlétét.
• Csatlakozás szerverekhez. Ez az opció megegyezik az előző részben leírt azonos nevű opcióval;
• Megbízható gyökérközpontok tanúsítvány. Csakúgy, mint a biztonságos EAP tulajdonságai párbeszédpanelen, ebben a listában megtalálja az összes megbízható root hitelesítésszolgáltatót, amely telepítve van a felhasználói és a számítógép tanúsítványtárolóiban;
• Ne kérje a felhasználót új kiszolgálók vagy megbízható tanúsító hatóságok engedélyezésére. Ha bejelöli ezt a lehetőséget, ha van egy helytelenül konfigurált szervertanúsítvány, vagy az szerepel a felhasználó listájában, akkor nem jelenik meg egy párbeszédpanel, amely egy ilyen tanúsítvány engedélyezését kéri. Ez az opció alapértelmezés szerint le van tiltva;
• Használjon másik felhasználónevet a csatlakozáshoz. Ez a beállítás határozza meg, hogy a tanúsítványban szereplő felhasználónévtől eltérő felhasználónevet használjunk-e a hitelesítéshez. Ha az eltérő felhasználónév használatának lehetősége engedélyezett, legalább egy tanúsítványt ki kell választania a megbízható gyökér CA-k listájából.

Az intelligens kártyák vagy más tanúsítványok beállítására szolgáló párbeszédpanel az alábbi ábrán látható:

Rizs. 6. Dialógus ablak intelligens kártyák vagy egyéb tanúsítványok beállításához

Ha nem biztos a választott tanúsítványban, akkor kattintson a gombra "Tanusítvány megtekintése" megtekintheti a kiválasztott tanúsítvány összes részletét az alábbiak szerint:

Rizs. 7. Tekintse meg a tanúsítványt a megbízható legfelső szintű hitelesítésszolgáltatók listájából

Speciális vezetékes házirend biztonsági beállítások

Valószínűleg észrevetted ezt a lapon "Biztonság" A Vezetékes hálózati házirend beállításai párbeszédpanelen további biztonsági beállítások találhatók a 802.1X hitelesítéssel hozzáférést kérő hálózati ügyfelek viselkedésének megváltoztatásához. A speciális vezetékes házirend-beállítások két csoportra oszthatók: IEEE 802.1X beállításokra és egyszeri bejelentkezési beállításokra. Nézzük meg mindegyik csoportot:

Az IEEE 802.1X beállítási csoportban megadhatja a vezetékes hálózati kérések jellemzőit 802.1X hitelesítéssel. A következő szerkesztési lehetőségek állnak rendelkezésre:

• Alkalmazza a speciális 802.1X beállításokat. Ez az opció lehetővé teszi a következő négy beállítás aktiválását;
• Max. EAPOL üzenetek. Az EAPOL egy EAP-protokoll, amelyet még azelőtt használnak, hogy a számítógépnek ideje lenne hitelesíteni, és csak a sikeres „bejelentkezés” után tud áthaladni az összes többi forgalom azon a kapcsolóporton, amelyhez a számítógép csatlakozik. Ez a paraméter szabályozza az elküldött EAPOL-Start üzenetek maximális számát;
• Késleltetési idő (mp). Ez a beállítás szabályozza a késleltetést másodpercben, mielőtt a következő 802.1X hitelesítési kérés megtörténik, miután megkapta a hitelesítési hiba értesítését;
• Kezdési időszak (kezdési időszak). Ez a paraméter szabályozza, hogy mennyi időt kell várni az egymást követő EAPOL-Start üzenetek újraküldése előtt;
• Ellenőrzési időszak (mp). Ez a paraméter határozza meg, hogy hány másodperc teljen el az egymást követő kezdeti EAPOL-üzenetek újraküldése között a 802.1X átjelentkezési hozzáférés-ellenőrzés kezdeményezése után;
• EAPOL-Start üzenet. Ezzel a paraméterrel a következő átviteli jellemzőket adhatja meg a kezdeti EAPOL-üzenetekhez:
  • Ne vigye át. Ha ezt a lehetőséget választja, az EAPOL-üzenetek nem kerülnek továbbításra;
  • Áthelyezve. Ha ezt a lehetőséget választja, az ügyfélnek kézzel kell elküldenie a kezdeti EAPOL-üzeneteket;
  • IEEE 802.1X átvitel. Ha ezt az opciót választja (alapértelmezett), az EAPOL üzenetek automatikusan elküldésre kerülnek, és a 802.1X hitelesítés elindulására várnak.

Egyszeri bejelentkezés használatakor a hitelesítést a hálózati biztonsági konfiguráció alapján kell végrehajtani a felhasználói bejelentkezési folyamat során az operációs rendszerbe. A következő lehetőségek állnak rendelkezésre az egyszeri bejelentkezési profilok teljes konfigurálásához:

• Engedélyezze az egyszeri bejelentkezést a hálózaton. Ennek az opciónak az engedélyezése aktiválja az egyszeri bejelentkezés beállításait;
• Engedélyezze közvetlenül a felhasználói bejelentkezés előtt. Ha bejelöli ezt a lehetőséget, akkor a 802.1X hitelesítés megtörténik, mielőtt a felhasználó befejezné a bejelentkezést;
• Engedélyezze azonnal a felhasználói bejelentkezés után. Ha bejelöli ezt a lehetőséget, akkor a 802.1X hitelesítés a felhasználó bejelentkezése után kerül végrehajtásra;
• Max. csatlakozási késleltetés. Ez a paraméter határozza meg azt a maximális időtartamot, ameddig a hitelesítést be kell fejezni, és ennek megfelelően, mennyi ideig várjon a felhasználó, mielőtt megjelenik a felhasználói bejelentkezési ablak;
• További párbeszédpanelek megjelenítésének engedélyezése egyszeri bejelentkezéskor. Ez a beállítás felelős a felhasználó bejelentkezési párbeszédpaneljének megjelenítéséért;
• Ez a hálózat különböző VLAN-okat használ a gép és a felhasználói hitelesítő adatok hitelesítéséhez. Ha megadja ezt a beállítást, indításkor minden számítógép ugyanabba a virtuális hálózatba kerül, és sikeres felhasználói bejelentkezés után a jogosultságoktól függően más-más hálózatba kerül át. virtuális hálózatok. Ezt az opciót csak akkor érdemes aktiválni, ha több VLAN-nal rendelkezik a vállalatban.

A vezetékes hálózati házirend speciális biztonsági beállításai párbeszédpanel az alábbi ábrán látható:

Rizs. 8. ábra: Vezetékes hálózat házirend Speciális biztonsági beállítások párbeszédpanel

Következtetés

Ebből a cikkből megismerhette az IEE 802.1X vezetékes hálózati házirend összes beállítását. Megtanulta, hogyan hozhat létre ilyen házirendet, valamint megismerte az EAP-hitelesítési módszereket és az intelligens kártyákkal vagy más tanúsítványokkal történő hitelesítést. A következő cikkben megismerheti a Network List Manager helyi biztonsági szabályzatait.

Az Exchange Server 2003 házirendjeit úgy alakították ki, hogy növeljék az adminisztráció rugalmasságát, miközben csökkentik a rendszergazdák terheit. A házirend olyan konfigurációs beállítások halmaza, amelyek az Exchange ugyanazon osztályába tartozó egy vagy több objektumra vonatkoznak. Létrehozhat például egy házirendet, amely hatással van bizonyos beállításokra az Exchange-kiszolgálók egy részén vagy mindegyikén. Ha módosítania kell ezeket a beállításokat, akkor csak módosítania kell ezt a házirendet, és a rendszer alkalmazni fogja a megfelelő szerverszervezetre.

Kétféle házirend létezik: rendszerházirend és címzett házirend. A címzett házirendek vonatkoznak a levelezési hozzáférési objektumokra, és meghatározzák az e-mail-címek létrehozásának módját. A címzettekre vonatkozó irányelveket a „Címzettek létrehozása és kezelése” című részben tárgyalja. A rendszerházirendek a kiszolgálókra, a postafiók-tárolókra és a nyilvános mappatárolókra vonatkoznak. Ezek a házirendek a felelős csoport Irányelvek tárolójában jelennek meg adminisztráció ezt a szabályzatot (12.10. ábra).

Rizs. 12.10. Rendszerházirend objektum

jegyzet. Az Exchange Server 2003 telepítése nem hoz létre alapértelmezett tárolót a rendszerházirendekhez. A rendszerházirendek létrehozása előtt létre kell hozni. Kattintson a jobb gombbal arra az adminisztrációs csoportra, amelyben házirend-mappát szeretne létrehozni, mutasson az Új elemre, és válassza a Rendszerházirend-tároló lehetőséget.

Hozzon létre egy rendszerházirendet

Rendszerházirend létrehozásához nyissa meg a megfelelő Rendszerházirend-tárolót, kattintson a jobb gombbal a tárolóra, majd válassza ki a létrehozandó házirend típusát: kiszolgálóházirend, postaláda-tárolóházirend vagy nyilvános mappák tárolási házirendje.

Amikor rendszerházirendekkel dolgozik, feltétlenül hozzon létre egy házirend-objektumot abban a csoportban, amely felelős az adott házirend felügyeletéért. Ellenkező esetben hiba léphet fel a kritikus házirendek felett adminisztratív felügyeletet gyakorló személyek kiválasztásában. Nézzük meg, hogyan jön létre mind a három házirend, kezdve a szerverházirendekkel.

Hozzon létre egy szerver házirendet

A szerverházirend meghatározza az üzenetkövetési és naplófájl-karbantartási beállításokat. Nem vonatkozik az ebbe az adminisztrációs csoportba tartozó kiszolgálók biztonsági beállításaira vagy egyéb beállításaira. Szerverházirend létrehozásához kattintson a jobb gombbal a System Policies tárolóra, mutasson az Új elemre, majd válassza a Kiszolgálóházirend lehetőséget. Megjelenik az 1. ábrán látható Új házirend párbeszédpanel. 12.11 , amely meghatározza a házirend tulajdonságoldalán megjelenő lapokat. A szerverházirendnek egyetlen lehetősége van: az Általános lap. Jelölje be a lap beállítását, majd kattintson az OK gombra. Megjelenik egy konfigurációs ablak, amelyben létrejön a házirend.

Rizs. 12.11.

Ezt követően meg kell adnia a házirend nevét a házirend tulajdonságai oldal Általános lapjának ablakában. Ahogy a 12.12. ábrán látható, valójában két Általános lap van. Az első fül a házirend nevének megadására szolgál. Válasszon egy nevet a házirend által végrehajtandó feladat leírásához, például Üzenetkövetési házirend vagy Tárgynaplózási házirend engedélyezése. Az ebben a szakaszban kiválasztott megfelelő név időt takarít meg, mert nem szükséges megnyitni a szabályzat tulajdoni oldalát a cél meghatározásához.

ábrán látható Általános (Irányelv) fül. A 12.13 tartalmazza a szóban forgó szervezet Exchange-kiszolgálóira alkalmazott aktuális házirend-beállításokat. A lap neve Általános (Irányelv), mert potenciálisan beállítja a tulajdonságoldalak Általános lapját az összes elérhető kiszolgálóhoz. (A fejezet későbbi részében látni fogjuk, hogyan kell alkalmazni ezt a házirendet a szervezet összes szerverére.) Ha összehasonlítja ezt a lapot a kiszolgáló tulajdonságai oldalán található Általános lappal, látni fogja, hogy a lapok ugyanazok, kivéve: az azonosító információkat a lap tetején.

Az Általános (Irányelv) lap lehetővé teszi a naplózást, valamint a tárgynaplózást és megjelenítést az összes meglévő Exchange 2003 kiszolgálón Ez a beállítás az Üzenetkövetés engedélyezése opcióval együtt működik, amely lehetővé teszi a szervezeten belül küldött üzenetek nyomon követését. Ezek a beállítások hasznosak az olyan problémák forrásának elhárításához, amelyek akkor fordulnak elő, ha egyes felhasználók nem kapnak üzenetet más felhasználóktól. Lehetőség van nyomon követni egy üzenet áthaladását egy szervezeten keresztül, hogy megállapítsa, hol vannak problémák az adatátvitellel. Az üzenetkövetéssel és az üzenet tárgyának naplózásával kapcsolatos további információkért tekintse meg a 6. fejezetet, az Exchange Server 2003 funkcionalitása, biztonsága és támogatása.

Rizs. 12.12.

Rizs. 12.13.

Ha egy házirend érvénybe lépett, az nem módosítható a helyi szerver szintjén. A példaként használt üzenetkövetési házirendet az EX-SRV1 szerveren hoztuk létre az arizonai rendszergazdai csoportban. Tovább

A Windows Server operációs rendszer funkcionalitása kiszámított és verzióról verzióra javul, egyre több szerep és összetevő van, ezért a mai cikkben megpróbálom röviden leírni az egyes szerepkörök leírása és célja a Windows Server 2016 rendszerben.

Mielőtt folytatná a Windows Server kiszolgálói szerepkörök leírását, nézzük meg, mi is az a " Szerver szerepkör» a Windows Server operációs rendszeren.

Mi az a "kiszolgálói szerepkör" a Windows Server rendszerben?

Szerver szerepkör- ez egy szoftvercsomag, amely egy bizonyos funkció végrehajtását biztosítja a szerver által, és ez a fő funkció. Más szavakkal, " Szerver szerepkör' a szerver célállomása, azaz. mire való. Hogy a szerver elláthassa fő funkcióját, pl. bizonyos szerepet Szerver szerepkör» tartalmazza az ehhez szükséges összes szoftvert ( programok, szolgáltatások).

A kiszolgálónak egy szerepe lehet, ha aktívan használják, vagy több is, ha mindegyik nem terheli túl erősen a szervert, és ritkán használják.

Egy kiszolgálói szerepkör több szerepkör-szolgáltatást is tartalmazhat, amelyek biztosítják a szerepkör funkcionalitását. Például a "kiszolgálói szerepkörben" Webszerver (IIS)” meglehetősen nagy számú szolgáltatást foglal magában, és a „ DNS szerver» nem tartalmazza a szerepkör-szolgáltatásokat, mert ez a szerepkör csak egy funkciót lát el.

A szerepkör-szolgáltatások az Ön igényeitől függően mind együtt, mind egyenként telepíthetők. A szerepkör telepítése lényegében egy vagy több szolgáltatás telepítését jelenti.

A Windows Server is rendelkezik " Alkatrészek" szerver.

Szerverösszetevők (funkció)- Ezt szoftver, amelyek nem kiszolgálói szerepkör, hanem egy vagy több szerepkört javítanak, vagy egy vagy több szerepet kezelnek.

Egyes szerepkörök nem telepíthetők, ha a kiszolgáló nem rendelkezik a szerepkörök működéséhez szükséges szolgáltatásokkal vagy összetevőkkel. Ezért az ilyen szerepek telepítésekor " Szerepkörök és szolgáltatások hozzáadása varázsló» automatikusan felkéri a szükséges, további szerepkör-szolgáltatások vagy összetevők telepítésére.

A Windows Server 2016 kiszolgálói szerepköreinek leírása

Valószínűleg már ismeri a Windows Server 2016 számos szerepét, mivel ezek már jó ideje léteznek, de mint mondtam, minden új szereppel Windows verzió Szerver, új szerepkörök kerülnek fel, amelyekkel még nem dolgozhattál, de szeretnéd tudni, mire valók, úgyhogy kezdjük el nézni őket.

Jegyzet! A Windows Server 2016 operációs rendszer újdonságairól a "Windows Server 2016 telepítése és az új funkciók áttekintése" című anyagban olvashat..

Mivel nagyon gyakran a szerepek, szolgáltatások és összetevők telepítése és adminisztrációja történik Windows használatával PowerShell , minden szerepkörnél és szolgáltatásánál feltüntetem a PowerShellben a telepítéshez, illetve a kezeléshez használható nevet.

DHCP szerver

Ez a szerepkör lehetővé teszi a dinamikus IP-címek és a kapcsolódó beállítások központi konfigurálását a hálózaton lévő számítógépekhez és eszközökhöz. A DHCP-kiszolgáló szerepkörhöz nem tartoznak szerepszolgáltatások.

A Windows PowerShell neve DHCP.

DNS szerver

Ez a szerepkör névfeloldásra szolgál TCP/IP hálózatokban. A DNS-kiszolgáló szerepkör biztosítja és karbantartja a DNS-t. A DNS-kiszolgáló kezelésének egyszerűsítése érdekében azt általában ugyanarra a kiszolgálóra telepítik, mint az Active Directory tartományi szolgáltatások. A DNS-kiszolgáló szerepkörhöz nem tartoznak szerepszolgáltatások.

A PowerShell szerepkörneve DNS.

Hyper-V

A Hyper-V szerepkörrel virtualizált környezetet hozhat létre és kezelhet. Más szóval, ez egy eszköz a létrehozáshoz és a kezeléshez virtuális gépek.

A Windows PowerShell szerepkörneve Hyper-V.

Az eszköz állapotának igazolása

Szerep" » lehetővé teszi az eszköz állapotának értékelését a biztonsági paraméterek mért mutatói alapján, például a biztonságos rendszerindítás és a kliens Bitlocker állapotának mutatói alapján.

Ennek a szerepkörnek a működéséhez sok szerepkör szolgáltatásra és összetevőre van szükség, például: több szolgáltatás a szerepkörből " Webszerver (IIS)", komponens" ", komponens" .NET Framework 4.6 szolgáltatásai».

A telepítés során az összes szükséges szerepkör-szolgáltatás és szolgáltatás automatikusan kiválasztásra kerül. A szerep " Az eszköz állapotának igazolása» Nincsenek szerepszolgáltatások.

A PowerShell neve DeviceHealthAttestationService.

Webszerver (IIS)

Megbízható, kezelhető és méretezhető webalkalmazás-infrastruktúrát biztosít. Meglehetősen nagyszámú szolgáltatásból áll (43).

A Windows PowerShell neve Web-Server.

Tartalmazza a következő szerepkör-szolgáltatásokat ( zárójelben feltüntetem a Windows PowerShell nevét):

Webszerver (Web-WebServer)- Szerepkör-szolgáltatások csoportja, amely támogatja a HTML-webhelyeket, az ASP.NET-bővítményeket, az ASP-t és a webszervert. A következő szolgáltatásokból áll:

• Biztonság (webes biztonság)- a webszerver biztonságát biztosító szolgáltatások halmaza.
  • Kérések szűrése (Web-Filtering) - ezekkel az eszközökkel feldolgozhatja a szerverre érkező összes kérést, és szűrheti ezeket a kéréseket a webszerver rendszergazdája által meghatározott speciális szabályok alapján;
  • IP-cím és tartomány korlátozások (Web-IP-Security) – ezek az eszközök lehetővé teszik a hozzáférés engedélyezését vagy megtagadását a webszerveren lévő tartalomhoz a kérésben szereplő forrás IP-címe vagy tartományneve alapján;
  • URL hitelesítés (Web-Url-Auth) – az eszközök lehetővé teszik olyan szabályok kidolgozását, amelyek korlátozzák a webtartalomhoz való hozzáférést, és társítják azokat felhasználókkal, csoportokkal vagy HTTP-fejlécparancsokkal;
  • Digest Authentication (Web-Digest-Auth) – Ez a hitelesítés magasabb szintű biztonságot nyújt, mint az alaphitelesítés. A kivonatolt hitelesítés a felhasználói hitelesítéshez úgy működik, mint egy jelszókivonat átadása egy Windows tartományvezérlőnek;
  • Alapszintű hitelesítés (Web-Basic-Auth) – Ez a hitelesítési módszer erős webböngésző-kompatibilitást biztosít. Használata kis belső hálózatokban javasolt. Ennek a módszernek a fő hátránya, hogy a hálózaton keresztül továbbított jelszavak meglehetősen könnyen elfoghatók és visszafejthetők, ezért használja ezt a módszert az SSL-lel kombinálva;
  • A Windows-hitelesítés (Web-Windows-Auth) egy Windows tartományhitelesítésen alapuló hitelesítés. Más szóval, használhatod Fiókok Active Directory webhelyeik felhasználóinak hitelesítésére;
  • Client Certificate Mapping Authentication (Web-Client-Auth) – Ez a hitelesítési módszer ügyféltanúsítványt használ. Ez a típus az Active Directory szolgáltatásokat használja a tanúsítványleképezés biztosítására;
  • IIS ügyféltanúsítvány-leképezés hitelesítés (Web-Cert-Auth) – Ez a módszer ügyféltanúsítványokat is használ a hitelesítéshez, de az IIS-t használja a tanúsítványleképezés biztosításához. Ez a típus jobb teljesítményt nyújt;
  • Központosított SSL-tanúsítvány-támogatás (Web-CertProvider) – ezek az eszközök lehetővé teszik az SSL-kiszolgáló tanúsítványainak központi kezelését, ami nagyban leegyszerűsíti ezen tanúsítványok kezelésének folyamatát;
• Szervizelhetőség és diagnosztika (Web-Health)– szolgáltatások készlete webszerverek, webhelyek és alkalmazások figyelésére, kezelésére és hibaelhárítására:
  • http naplózás (Web-Http-Logging) - az eszközök biztosítják a weboldal tevékenység naplózását egy adott szerveren, pl. naplóbejegyzés;
  • ODBC naplózás (Web-ODBC-naplózás) – Ezek az eszközök a webhelytevékenységek naplózását is biztosítják, de támogatják a tevékenység naplózását egy ODBC-kompatibilis adatbázisba;
  • A Request Monitor (Web-Request-Monitor) egy olyan eszköz, amely lehetővé teszi a webalkalmazások állapotának figyelését az IIS-munkafolyamat HTTP-kérelmeire vonatkozó információk elfogásával;
  • Egyéni naplózás (Web-Custom-Logging) – Ezekkel az eszközökkel konfigurálhatja a webszerver-tevékenységek naplózását olyan formátumban, amely jelentősen eltér a szabványos IIS formátumtól. Más szavakkal, létrehozhat saját naplózó modult;
  • A naplózó eszközök (Web-Log-Libraries) a webszerver naplóinak kezelésére és a naplózási feladatok automatizálására szolgáló eszközök;
  • A nyomkövetés (Web-Http-Tracing) egy eszköz a webalkalmazások szabálysértéseinek diagnosztizálására és feloldására.
• http gyakori függvények (Web-Common-Http)– alapvető HTTP-funkciókat biztosító szolgáltatások:
  • Alapértelmezett dokumentum (Web-Default-Doc) – Ezzel a funkcióval beállíthatja, hogy a webszerver alapértelmezett dokumentumot adjon vissza, ha a felhasználók nem adnak meg egy adott dokumentumot a kérés URL-jében, így könnyebben hozzáférhetnek a webhelyhez, például domain, fájl megadása nélkül;
  • Címtárböngészés (Web-Dir-Browsing) – Ezzel az eszközzel egy webszervert konfigurálhat úgy, hogy a felhasználók megtekinthessék a webhelyen található összes könyvtár és fájl listáját. Például olyan esetekben, amikor a felhasználók nem adnak meg fájlt a kérés URL-jében, és az alapértelmezett dokumentumok le vannak tiltva, vagy nincsenek konfigurálva;
  • http-hibák (Web-Http-Errors) – ezzel a funkcióval konfigurálhatja azokat a hibaüzeneteket, amelyek visszaküldésre kerülnek a felhasználók webböngészőinek, ha a webszerver hibát észlel. Ez az eszköz a hibaüzenetek egyszerűbb megjelenítésére szolgál a felhasználók számára;
  • Statikus tartalom (Web-Static-Content) − ezt a gyógymódot lehetővé teszi a tartalom statikus fájlformátumok, például HTML-fájlok vagy képfájlok használatát egy webszerveren;
  • http átirányítás (Web-Http-Redirect) - ezzel a funkcióval átirányíthatja a felhasználói kérést egy adott célhelyre, pl. ez az átirányítás;
  • WebDAV Publishing (Web-DAV-Publishing) – lehetővé teszi a WebDAV technológia használatát az IIS WEB szerveren. WebDAV ( Webes elosztott szerzői és verziókezelési) egy olyan technológia, amely lehetővé teszi a felhasználók számára, hogy együtt dolgozzanak ( olvasás, szerkesztés, tulajdonságok olvasása, másolás, áthelyezés) távoli webszervereken lévő fájlok felett a HTTP protokoll használatával.
• Teljesítmény (webes teljesítmény)- szolgáltatáskészlet a nagyobb webszerver-teljesítmény eléréséhez a kimeneti gyorsítótárazáson és az olyan általános tömörítési mechanizmusokon keresztül, mint a Gzip és a Deflate:
  • A statikus tartalomtömörítés (Web-Stat-Compression) a http statikus tartalom tömörítésének testreszabására szolgáló eszköz, amely lehetővé teszi a sávszélesség hatékonyabb felhasználását, anélkül, hogy szükségtelen CPU-terhelést igényelne;
  • A dinamikus tartalomtömörítés (Web-Dyn-Compression) a HTTP dinamikus tartalomtömörítés konfigurálására szolgáló eszköz. Ez az eszköz hatékonyabb sávszélesség-kihasználást biztosít, de ebben az esetben a dinamikus tömörítéssel járó szerver CPU-terhelése lelassíthatja a webhelyet, ha a CPU-terhelés tömörítés nélkül is magas.
• Alkalmazásfejlesztés (Web-App-Dev)- webalkalmazások, más szóval weboldal-fejlesztési technológiák fejlesztésére és tárolására szolgáló szolgáltatások és eszközök készlete:
  • Az ASP (Web-ASP) a weboldalak támogatására és fejlesztésére szolgáló környezet és webes alkalmazások ASP technológia segítségével. Jelenleg van egy újabb és fejlettebb weboldalfejlesztési technológia - ASP.NET;
  • Az ASP.NET 3.5 (Web-Asp-Net) egy ASP.NET technológiát használó webhelyek és webes alkalmazások objektumorientált fejlesztői környezete;
  • Az ASP.NET 4.6 (Web-Asp-Net45) egy objektum-orientált fejlesztőkörnyezet az ASP.NET új verzióját használó webhelyekhez és webes alkalmazásokhoz;
  • A CGI (Web-CGI) az a lehetőség, hogy a CGI segítségével információkat továbbítson a webszerverről egy külső programnak. A CGI egyfajta interfészszabvány külső program webszerverhez való csatlakoztatásához. Van egy hátránya, a CGI használata befolyásolja a teljesítményt;
  • A Server Side Inclusions (SSI) (Web-Includes) támogatja az SSI szkriptnyelvet ( szerver oldali engedélyezése), amely HTML oldalak dinamikus generálására szolgál;
  • Alkalmazás inicializálása (Web-AppInit) - ez az eszköz elvégzi a webalkalmazások inicializálásának feladatait a weboldal küldése előtt;
  • WebSocket protokoll (Web-WebSockets) - a WebSocket protokoll használatával kommunikáló szerveralkalmazások létrehozásának lehetőségével. A WebSocket egy protokoll, amely egyidejűleg tud adatokat küldeni és fogadni egy böngésző és egy webszerver között TCP-kapcsolaton keresztül, egyfajta kiterjesztése a HTTP protokollnak;
  • ISAPI kiterjesztések (Web-ISAPI-Ext) - webtartalom dinamikus fejlesztésének támogatása az ISAPI alkalmazásprogramozási felület segítségével. Az ISAPI egy API az IIS webszerverhez. Az ISAPI-alkalmazások sokkal gyorsabbak, mint az ASP-fájlok vagy a COM+-összetevőket hívó fájlok;
  • A .NET 3.5 bővíthetőség (Web-Net-Ext) a .NET 3.5 bővíthetőségi szolgáltatása, amely lehetővé teszi a webszerver funkcióinak módosítását, hozzáadását és kiterjesztését a kérésfeldolgozási folyamatban, a konfigurációban és a felhasználói felületen;
  • A .NET 4.6 bővíthetőség (Web-Net-Ext45) egy .NET 4.6 bővíthetőség, amely lehetővé teszi a webszerver-funkciók módosítását, hozzáadását és kiterjesztését a teljes kérésfeldolgozási folyamaton, konfiguráción és felhasználói felületen;
  • ISAPI-szűrők (Web-ISAPI-Filter) – ISAPI-szűrők támogatása. Az ISAPI-szűrők olyan programok, amelyeket akkor hívnak meg, ha egy webszerver egy adott HTTP-kérést kap, hogy ezt a szűrőt feldolgozzák.

FTP - szerver (Web-Ftp-Server)– az FTP protokollt támogató szolgáltatások. Az FTP-kiszolgálóról részletesebben beszéltünk az anyagban - "FTP-kiszolgáló telepítése és konfigurálása Windows Server 2016 rendszeren". A következő szolgáltatásokat tartalmazza:

• FTP szolgáltatás (Web-Ftp-Service) - támogatja az FTP protokollt a webszerveren;
• FTP-bővíthetőség (Web-Ftp-Ext) – Kibővíti a szabványos FTP-képességeket, például olyan funkciók támogatását, mint az egyéni szolgáltatók, az ASP.NET-felhasználók vagy az IIS-kezelő felhasználók.

Kezelőeszközök (Web-Mgmt-Tools) az IIS 10 webszerver felügyeleti eszközei, köztük az IIS felhasználói felület, a parancssori eszközök és a szkriptek.

• Az IIS Management Console (Web-Mgmt-Console) az IIS kezelésének felhasználói felülete;
• A karakterkészletek és az IIS-kezelő eszközök (Web-Scripting-Tools) olyan eszközök és szkriptek, amelyek az IIS-t parancssorral vagy szkriptekkel kezelik. Használhatók például a vezérlés automatizálására;
• Menedzsment szolgáltatás (Web-Mgmt-Service) – ez a szolgáltatás lehetővé teszi a webkiszolgáló távoli kezelését egy másik számítógépről az IIS Manager használatával;
• IIS 6 kompatibilitáskezelés (Web-Mgmt-Compat) – Kompatibilitást biztosít a két IIS API-t használó alkalmazásokhoz és parancsfájlokhoz. A meglévő IIS 6 szkriptek használhatók az IIS 10 webszerver kezelésére:
  • Az IIS 6 kompatibilitási metabázis (Web-Metabase) egy kompatibilitási eszköz, amely lehetővé teszi az IIS korábbi verzióiból áttelepített alkalmazások és karakterkészletek futtatását;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) – Ezek az eszközök lehetővé teszik ugyanazon IIS 6 parancsfájl-kezelési szolgáltatások használatát, amelyeket az IIS 6 kezelésére hoztak létre az IIS 10-ben;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) – Távoli felügyeleti eszköz IIS szerverek 6.0;
  • Az IIS 6 WMI-kompatibilitás (Web-WMI) a Windows Management Instrumentation (WMI) parancsfájl-kezelő felülete az IIS 10.0 webszerver-feladatok programozott vezérlésére és automatizálására egy WMI-szolgáltatóban létrehozott parancsfájlok segítségével.

Active Directory tartományi szolgáltatások

Szerep" Active Directory tartományi szolgáltatások» (AD DS) olyan elosztott adatbázist biztosít, amely tárolja és feldolgozza a hálózati erőforrásokról szóló információkat. Ez a szerep a hálózati elemek, például a felhasználók, számítógépek és egyéb eszközök hierarchikus elválasztó struktúrába rendezésére szolgál. A hierarchikus struktúra erdőket, az erdőn belüli tartományokat és az egyes tartományokon belüli szervezeti egységeket (OU-k) tartalmazza. Az AD DS-t futtató kiszolgálót tartományvezérlőnek nevezik.

A Windows PowerShell szerepkörneve AD-Domain-Services.

Windows Server Essentials mód

Ez a szerep egy számítógépes infrastruktúra, és kényelmes és hatékony funkciókat biztosít, például: ügyféladatok tárolása központi helyen, és ezen adatok védelme Tartalékmásolat szerver- és kliensszámítógépek, távoli webelérés, amellyel gyakorlatilag bármilyen eszközről hozzáférhet az adatokhoz. Ez a szerepkör számos szerepkör-szolgáltatást és szolgáltatást igényel, például: BranchCache-szolgáltatások, Windows Server biztonsági mentés, felügyelet csoportszabályzat, szerep szolgáltatás " DFS névterek».

A PowerShell neve ServerEssentialsRole.

Hálózati vezérlő

A Windows Server 2016-ban bevezetett szerepkör egyetlen automatizálási pontot biztosít az adatközpontban található fizikai és virtuális hálózati infrastruktúra kezeléséhez, figyeléséhez és diagnosztizálásához. Ezzel a szerepkörrel konfigurálhatja az IP-alhálózatokat, a fizikai VLAN-okat hálózati adapterek Hyper-V gazdagépek, virtuális kapcsolók, fizikai útválasztók, tűzfalbeállítások és VPN-átjárók kezelése.

A Windows PowerShell neve NetworkController.

Node Guardian Service

Ez a Hosted Guardian Service (HGS) kiszolgálói szerepkör, és tanúsítási és kulcsvédelmi szolgáltatásokat biztosít, amelyek lehetővé teszik a védett gazdagépek árnyékolt virtuális gépek futtatását. Ennek a szerepkörnek a működéséhez számos további szerepre és összetevőre van szükség, például: Active Directory tartományi szolgáltatások, webszerver (IIS), a " Feladatátvételi klaszterezés" és mások.

A PowerShell neve HostGuardianServiceRole.

Active Directory Lightweight címtárszolgáltatások

Szerep" Active Directory Lightweight címtárszolgáltatások» (AD LDS) az AD DS egy egyszerűsített változata, amely kevesebb funkcionalitással rendelkezik, de nem igényel tartományok vagy tartományvezérlők telepítését, és nem rendelkezik az AD DS által megkövetelt függőségekkel és tartománykorlátozásokkal. Az AD LDS az LDAP protokollon keresztül fut ( Lightweight Directory Access Protocol). Több AD LDS-példány telepíthető ugyanazon a kiszolgálón egymástól függetlenül felügyelt sémákkal.

A PowerShell neve ADLDS.

MultiPoint szolgáltatások

Ez egy új szerepkör is, amely új a Windows Server 2016 rendszerben. A MultiPoint Services (MPS) alapvető távoli asztali funkciókat biztosít, amelyek lehetővé teszik, hogy több felhasználó egyidejűleg és egymástól függetlenül dolgozzon ugyanazon a számítógépen. A szerepkör telepítéséhez és működtetéséhez több további szolgáltatást és összetevőt kell telepítenie, például: Nyomtatókiszolgáló, Windows Search Service, XPS Viewer és mások, amelyek mindegyike automatikusan kiválasztásra kerül az MPS telepítése során.

A PowerShell szerepkörének neve MultiPointServerRole.

Windows Server Update Services

Ezzel a szerepkörrel (WSUS) a rendszergazdák kezelhetik a Microsoft frissítéseit. Például hozzon létre külön számítógépcsoportokat a különböző frissítési készletekhez, valamint fogadjon jelentéseket a számítógépek követelményeknek való megfeleléséről és a telepítendő frissítésekről. a működéshez" Windows Server Update Services» Szerepkör-szolgáltatásokra és -összetevőkre van szüksége, például: Webszerver (IIS), Windows belső adatbázis, aktiválási szolgáltatás Windows folyamatok.

A Windows PowerShell neve UpdateServices.

• WID-kapcsolat (UpdateServices-WidDB) – WID-re állítva ( Windows belső adatbázis) a WSUS által használt adatbázis. Más szavakkal, a WSUS a szolgáltatási adatait WID-ben tárolja;
• A WSUS-szolgáltatások (UpdateServices-Services) a WSUS-szerepkör-szolgáltatások, például a frissítési szolgáltatás, a jelentéskészítési webszolgáltatás, az API távoli webszolgáltatás, az ügyfél webszolgáltatás, a webes egyszerű hitelesítési webszolgáltatás, a kiszolgálószinkronizálási szolgáltatás és a DSS hitelesítési webszolgáltatás;
• Az SQL Server Connectivity (UpdateServices-DB) egy olyan összetevő-telepítés, amely lehetővé teszi a WSUS-szolgáltatás számára, hogy csatlakozzon egy Microsoft SQL Server adatbázishoz. Ez a beállítás biztosítja a szolgáltatási adatok tárolását egy Microsoft SQL Server adatbázisban. Ebben az esetben legalább egy SQL Server-példánynak már telepítve kell lennie.

Mennyiségi licencaktiválási szolgáltatások

Ezzel a kiszolgálói szerepkörrel automatizálhatja és leegyszerűsítheti a Microsoft szoftvereinek mennyiségi licenceinek kiadását, és lehetővé teszi ezen licencek kezelését is.

A PowerShell neve VolumeActivation.

Nyomtatási és dokumentumszolgáltatások

Ez a szerverszerep a nyomtatók és lapolvasók hálózaton való megosztására, a nyomtató- és lapolvasószerverek központi konfigurálására és kezelésére, valamint a hálózati nyomtatók és lapolvasók kezelésére szolgál. A Nyomtatási és dokumentumszolgáltatások lehetővé teszik a beszkennelt dokumentumok nyilvános, e-mailben történő elküldését is hálózati mappákat vagy a Windows SharePoint Services webhelyekre.

A PowerShell neve Print-Services.

• Nyomtatószerver (nyomtatószerver) – Ez a szerepkör-szolgáltatás tartalmazza a " Nyomtatáskezelés”, amely nyomtatók vagy nyomtatószerverek kezelésére, valamint nyomtatók és egyéb nyomtatószerverek migrálására szolgál;
• Nyomtatás az interneten keresztül (Print-Internet) – Az interneten keresztüli nyomtatás megvalósításához egy webhely jön létre, amelyen keresztül a felhasználók kezelhetik a kiszolgálón lévő nyomtatási feladatokat. A szolgáltatás működéséhez, ahogy Ön is tudja, telepítenie kell a " Webszerver (IIS)". Minden szükséges összetevő automatikusan kiválasztásra kerül, ha bejelöli ezt a négyzetet a szerepkör-szolgáltatás telepítési folyamata során " Internetes nyomtatás»;
• Az elosztott szkennelési kiszolgáló (Print-Scan-Server) egy olyan szolgáltatás, amely lehetővé teszi a beolvasott dokumentumok fogadását a hálózati szkennerekről, és célállomásra küldését. Ez a szolgáltatás tartalmazza a " Szkennelés kezelése”, amely a hálózati szkennerek kezelésére és a szkennelés konfigurálására szolgál;
• LPD szolgáltatás (Print-LPD-Service) - LPD szolgáltatás ( Vonalnyomtató démon) lehetővé teszi a UNIX-alapú számítógépek és a Line Printer Remote (LPR) szolgáltatást használó egyéb számítógépek számára, hogy a kiszolgáló megosztott nyomtatóira nyomtathassanak.

Hálózati házirend és hozzáférési szolgáltatások

Szerep" » (NPAS) lehetővé teszi a Network Policy Server (NPS) számára, hogy beállítsa és kényszerítse ki a hálózati hozzáférést, hitelesítést és engedélyezést, valamint az ügyfélállapot-házirendeket, más szóval a hálózat biztonságát.

A Windows PowerShell neve NPAS.

Windows-telepítési szolgáltatások

Ezzel a szerepkörrel távolról telepítheti a Windows operációs rendszert hálózaton keresztül.

A PowerShell szerepkörneve WDS.

• Telepítési kiszolgáló (WDS-Deployment) – ez a szerepkör-szolgáltatás a Windows operációs rendszerek távoli üzembe helyezéséhez és konfigurálásához készült. Lehetővé teszi képek létrehozását és testreszabását is az újrafelhasználáshoz;
• Transport Server (WDS-Transport) – Ez a szolgáltatás tartalmazza azokat az alapvető hálózati összetevőket, amelyekkel adatokat továbbíthat csoportos küldéssel egy önálló szerveren.

Active Directory tanúsítványszolgáltatások

Ez a szerepkör célja a tanúsítványkibocsátók és a kapcsolódó szerepkör-szolgáltatások létrehozása, amelyek lehetővé teszik a tanúsítványok kiadását és kezelését különböző alkalmazásokhoz.

A Windows PowerShell neve AD-tanúsítvány.

A következő szerepkör-szolgáltatásokat tartalmazza:

• Hitelesítés-szolgáltató (ADCS-Cert-Authority) - ezzel a szerepkör-szolgáltatással tanúsítványokat állíthat ki felhasználóknak, számítógépeknek és szolgáltatásoknak, valamint kezelheti a tanúsítvány érvényességét;
• Tanúsítványigénylési házirend webszolgáltatás (ADCS-Enroll-Web-Pol) – Ez a szolgáltatás lehetővé teszi a felhasználók és a számítógépek számára, hogy egy webböngészőből lekérjék a tanúsítványigénylési szabályzatra vonatkozó információkat, még akkor is, ha a számítógép nem tagja egy tartománynak. Működéséhez szükséges Webszerver (IIS)»;
• Tanúsítványigénylési webszolgáltatás (ADCS-Enroll-Web-Svc) – Ez a szolgáltatás lehetővé teszi a felhasználók és számítógépek számára a tanúsítványok regisztrálását és megújítását webböngésző használatával HTTPS-kapcsolaton keresztül, még akkor is, ha a számítógép nem tagja egy tartománynak. Működnie is kell Webszerver (IIS)»;
• Online válaszadó (ADCS-Online-Cert) – A szolgáltatás célja, hogy ellenőrizze az ügyfelek tanúsítványainak visszavonását. Más szóval, elfogadja az adott tanúsítványok visszavonási állapotkérelmét, értékeli a tanúsítványok állapotát, és aláírt választ küld vissza az állapotra vonatkozó információkkal. A szolgáltatás működéséhez szükséges Webszerver (IIS)»;
• Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) – Ez a szolgáltatás webes felületet biztosít a felhasználók számára olyan feladatok elvégzéséhez, mint például a tanúsítványok kérése és megújítása, a CRL-ek beszerzése és az intelligens kártya tanúsítványok regisztrálása. A szolgáltatás működéséhez szükséges Webszerver (IIS)»;
• Hálózati eszközregisztrációs szolgáltatás (ADCS-Device-Enrollment) – Ezzel a szolgáltatással tanúsítványokat állíthat ki és kezelhet olyan útválasztók és egyéb hálózati eszközök számára, amelyek nem rendelkeznek hálózati fiókkal. A szolgáltatás működéséhez szükséges Webszerver (IIS)».

Távoli asztali szolgáltatások

Egy kiszolgálói szerepkör, amely virtuális asztali számítógépekhez, munkamenet-alapú asztali számítógépekhez és távoli alkalmazásokhoz való hozzáférés biztosítására használható.

A Windows PowerShell szerepkörneve Remote-Desktop-Services.

A következő szolgáltatásokból áll:

• Távoli asztali webelérés (RDS-Web-Access) – Ez a szerepkör-szolgáltatás lehetővé teszi a felhasználók számára a távoli asztalok és RemoteApp alkalmazások elérését a " Rajt» vagy webböngésző használatával;
• Távoli asztali licencelés (RDS-Licensing) – A szolgáltatás a távoli asztali munkamenetgazda-kiszolgálóhoz vagy virtuális asztalhoz való csatlakozáshoz szükséges licencek kezelésére szolgál. Használható telepítésre, licencek kiadására és elérhetőségük nyomon követésére. Ehhez a szolgáltatáshoz " Webszerver (IIS)»;
• A Remote Desktop Connection Broker (RDS-Connection-Broker) egy olyan szerepkör-szolgáltatás, amely a következő lehetőségeket nyújtja: a felhasználó újracsatlakoztatása egy meglévő virtuális asztalhoz, RemoteApp alkalmazáshoz és munkamenet-alapú asztalhoz, valamint terheléselosztás a távoli munkamenet-gazdaszerverek asztali számítógépei között. vagy egyesített virtuális asztalok között. Ehhez a szolgáltatáshoz a " »;
• Remote Desktop Virtualization Host (DS-Virtualization) – A szolgáltatás lehetővé teszi a felhasználók számára, hogy a RemoteApp és a Desktop Connection segítségével virtuális asztalokhoz kapcsolódjanak. Ez a szolgáltatás a Hyper-V-vel együtt működik, azaz. ezt a szerepet telepíteni kell;
• Remote Desktop Session Host (RDS-RD-Server) – Ez a szolgáltatás RemoteApp-alkalmazásokat és munkamenet-alapú asztali számítógépeket tud tárolni egy kiszolgálón. A hozzáférés a Remote Desktop Connection kliensen vagy a RemoteAppson keresztül történik;
• Remote Desktop Gateway (RDS-Gateway) – A szolgáltatás lehetővé teszi a jogosult távoli felhasználók számára, hogy virtuális asztali számítógépekhez, RemoteApps-okhoz és munkamenet-alapú asztalokhoz kapcsolódjanak vállalati hálózaton vagy az interneten keresztül. Ehhez a szolgáltatáshoz a következő kiegészítő szolgáltatásokra és összetevőkre van szükség: Webszerver (IIS)», « Hálózati házirend és hozzáférési szolgáltatások», « RPC HTTP-proxyn keresztül».

AD RMS

Ez egy kiszolgálói szerepkör, amely lehetővé teszi, hogy megvédje az információkat a jogosulatlan használattól. Érvényesíti a felhasználói identitást, és engedélyeket ad a jogosult felhasználóknak a védett adatokhoz való hozzáféréshez. Ez a szerepkör további szolgáltatásokat és összetevőket igényel: Webszerver (IIS)», « Windows folyamataktiválási szolgáltatás», « .NET Framework 4.6 szolgáltatásai».

A Windows PowerShell neve ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - a telepítéshez szükséges főszerep szolgáltatás;
• Az identitás-összevonási támogatás (ADRMS-Identity) egy opcionális szerepkör-szolgáltatás, amely lehetővé teszi az egyesített identitások számára, hogy az Active Directory összevonási szolgáltatások használatával védett tartalmat fogyaszthassanak.

AD FS

Ez a szerepkör egyszerűsített és biztonságos identitás-összevonást és egyszeri bejelentkezési (SSO) funkciót biztosít a böngészőt használó webhelyek számára.

A PowerShell neve ADFS-Federation.

Távoli hozzáférés

Ez a szerepkör kapcsolatot biztosít DirectAccess, VPN és webalkalmazás-proxy segítségével. A szerep is Távoli hozzáférés"hagyományos útválasztási lehetőségeket biztosít, beleértve a hálózati címfordítást (NAT) és más csatlakozási lehetőségeket. Ez a szerepkör további szolgáltatásokat és szolgáltatásokat igényel: Webszerver (IIS)», « Windows belső adatbázis».

A Windows PowerShell szerepkörneve RemoteAccess.

• DirectAccess és VPN (RAS) (DirectAccess-VPN) - a szolgáltatás lehetővé teszi a felhasználók számára, hogy bármikor csatlakozzanak a vállalati hálózathoz, amikor a DirectAccess segítségével hozzáférnek az internethez, valamint VPN kapcsolatok alagútépítési és adattitkosítási technológiákkal kombinálva;
• Útválasztás - a szolgáltatás támogatja a NAT útválasztókat, útválasztókat helyi hálózat BGP, RIP és multicast-kompatibilis útválasztókkal (IGMP proxy);
• Webalkalmazás-proxy (Web-alkalmazás-proxy) – A szolgáltatás lehetővé teszi a HTTP- és HTTPS-protokollokon alapuló alkalmazások közzétételét a vállalati hálózatról a vállalati hálózaton kívüli ügyféleszközökre.

Fájl- és tárolási szolgáltatások

Ez egy kiszolgálói szerepkör, amely fájlok és mappák megosztására, megosztások kezelésére és vezérlésére, fájlok replikálására, gyors fájlkeresésre, valamint UNIX ügyfélszámítógépek hozzáférésének biztosítására használható. A fájlszolgáltatásokat és különösen a fájlszervert a „Fájlszerver (Fájlkiszolgáló) telepítése Windows Server 2016 rendszeren” című anyagban tárgyaltuk részletesebben.

A Windows PowerShell neve FileAndStorage-Services.

Tárolási szolgáltatások- Ez a szolgáltatás olyan tároláskezelési funkciókat biztosít, amelyek mindig telepítve vannak, és nem távolíthatók el.

Fájlszolgáltatások és iSCSI-szolgáltatások (fájlszolgáltatások) olyan technológiák, amelyek leegyszerűsítik a fájlszerverek és -tárolók kezelését, lemezterületet takarítanak meg, replikációt és gyorsítótárazást biztosítanak a fájlok ágakban, valamint fájlmegosztást biztosítanak az NFS protokollon keresztül. A következő szerepkör-szolgáltatásokat tartalmazza:

• Fájlszerver (FS-FileServer) - szerepkör-szolgáltatás, amely kezeli a megosztott mappákat, és hozzáférést biztosít a felhasználóknak a számítógépen található fájlokhoz a hálózaton keresztül;
• Adatduplikáció (FS-Data-Deduplication) – ez a szolgáltatás lemezterületet takarít meg azzal, hogy azonos adatokból csak egy példányt tárol egy köteten;
• Fájlkiszolgáló erőforrás-kezelő (FS-Resource-Manager) - ezzel a szolgáltatással kezelheti a fájlszerveren lévő fájlokat és mappákat, tárhelyjelentéseket hozhat létre, fájlokat és mappákat osztályozhat, konfigurálhat mappakvótákat és meghatározhat fájlblokkoló házirendeket;
• iSCSI Target Storage Provider (VDS- és VSS-hardverszolgáltatók) (iSCSITarget-VSS-VDS) – A szolgáltatás lehetővé teszi az iSCSI-célhoz csatlakoztatott kiszolgálón lévő alkalmazások számára, hogy árnyékmásolják az iSCSI virtuális lemezeken lévő köteteket;
• DFS névterek (FS-DFS-Namespace) – ezzel a szolgáltatással csoportosíthat megosztott mappák különböző szervereken tárolva egy vagy több logikusan felépített névtérben;
• Munkamappák (FS-SyncShareService) – a szolgáltatás lehetővé teszi a munkafájlok egyidejű használatát személyi számítógépek beleértve a munkahelyi és személyes. Fájljait a munkamappákban tárolhatja, szinkronizálhatja, és elérheti őket a helyi hálózatról vagy az internetről. A szolgáltatás működéséhez a "komponens" IIS In-Process Web Core»;
• Az DFS-replikáció (FS-DFS-Replication) egy többkiszolgálós adatreplikációs motor, amely lehetővé teszi mappák szinkronizálását LAN- vagy WAN-kapcsolaton keresztül. Ez a technológia a Remote Differential Compression (RDC) protokollt használja a fájlok csak azon részének frissítésére, amely az utolsó replikáció óta megváltozott. Az elosztott fájlrendszer-replikáció használható DFS névterekkel vagy anélkül;
• Szerver NFS-hez (FS-NFS-Service) – A szolgáltatás lehetővé teszi a számítógép számára, hogy fájlokat osszon meg UNIX-alapú számítógépekkel és más, a Network File System (NFS) protokollt használó számítógépekkel;
• iSCSI Target Server (FS-iSCSITarget-Server) – szolgáltatásokat és kezelést biztosít az iSCSI-célokhoz;
• BranchCache szolgáltatás hálózati fájlokhoz (FS-BranchCache) – A szolgáltatás BranchCache támogatást biztosít ezen a fájlkiszolgálón;
• Fájlkiszolgáló VSS-ügynök szolgáltatás (FS-VSS-Agent) – A szolgáltatás lehetővé teszi az adatfájlokat ezen a fájlkiszolgálón tároló alkalmazások számára a kötet árnyékmásolatát.

faxszerver

A szerepkör faxokat küld és fogad, és lehetővé teszi a faxerőforrások, például feladatok, beállítások, jelentések és faxeszközök kezelését ezen a számítógépen vagy a hálózaton. Munkavégzéshez szükséges Nyomtatószerver».

A Windows PowerShell szerepkörneve Fax.

Ezzel befejeződött a Windows Server 2016 kiszolgálói szerepköreinek áttekintése, remélem, egyelőre hasznos volt az anyag!

Csoportházirendek alkalmazása (3. rész)

A csoportházirend-objektumok általában egy tárolóhoz (tartományhoz, helyhez vagy szervezeti egységhez) vannak hozzárendelve, és a tárolóban lévő összes objektumra vonatkoznak. Egy jól szervezett tartománystruktúra esetén ez teljesen elég, de néha szükséges, hogy a házirendek alkalmazását tovább korlátozzuk egy adott objektumcsoportra. Ehhez kétféle szűrő használható.

Biztonsági szűrők

A biztonsági szűrők segítségével korlátozhatja a házirendek alkalmazását egy adott biztonsági csoportra. Vegyük például a GPO2-t, amely a Start menü központi konfigurálására szolgál a Windows 8.1\Windows 10 operációs rendszert futtató munkaállomásokon. A GPO2 az Employees OU-hoz van hozzárendelve, és kivétel nélkül minden felhasználóra vonatkozik.

Most menjünk a "Hatókör" fülre, ahol a "Biztonsági szűrés" részben megjelölik azokat a csoportokat, amelyekre ez a csoportházirend-objektum alkalmazható. Alapértelmezés szerint itt a Hitelesített felhasználók csoport van megadva. Ez azt jelenti, hogy a politika alkalmazható bárki olyan felhasználó vagy számítógép, amely sikeresen hitelesítette a tartományt.

Valójában minden csoportházirend-objektumnak saját hozzáférési listája van, amely a Delegálás lapon látható.

A házirend alkalmazásához az objektumnak olvasási (Olvasás) és alkalmazási (Csoportházirend alkalmazása) jogokkal kell rendelkeznie, amelyekkel a Hitelesített felhasználók csoport rendelkezik. Ennek megfelelően ahhoz, hogy a házirend ne mindenkire, hanem csak egy adott csoportra vonatkozzon, el kell távolítani a listáról az Authenticated Users-t, majd hozzá kell adni a kívánt csoportot és megadni a megfelelő jogosultságokat.

Így példánkban a házirend csak a Számviteli csoportra alkalmazható.

WMI szűrők

A Windows Management Instrumentation (WMI) az egyik leghatékonyabb eszköz a Windows operációs rendszer kezeléséhez. A WMI hatalmas számú osztályt tartalmaz, amelyekkel szinte bármilyen felhasználói és számítógépbeállítást leírhat. Az összes elérhető WMI-osztályt listaként tekintheti meg a PowerShell használatával a parancs futtatásával:

Get-WmiObject -List

Például vegyük az osztályt Win32_OperatingSystem, amely az operációs rendszer tulajdonságaiért felelős. Tegyük fel, hogy az összes operációs rendszert ki szeretné szűrni, kivéve a Windows 10-et. Egy olyan számítógéphez lépünk, amelyen a Windows 10 telepítve van, megnyitjuk a PowerShell-konzolt, és a paranccsal megjelenítjük az operációs rendszer nevét, verzióját és típusát:

Get-WmiObject -Class Win32_OperatingSystem | fl Név, Verzió, Terméktípus

A szűrőhöz az operációs rendszer verzióját és típusát használjuk. A verzió megegyezik a kliens és a szerver operációs rendszerrel, és a következőképpen van meghatározva:

Windows Server 2016\Windows 10 – 10.0
Windows Server 2012 R2\Windows 8.1 – 6.3
Windows Server 2012\Windows 8 – 6.2
Windows Server 2008 R2\Windows 7 – 6.1
Windows Server 2008\Windows Vista - 6.0

A terméktípus felelős a számítógép céljáért, és 3 értéke lehet:

1 - munkaállomás;
2 - tartományvezérlő;
3 - szerver.

Most folytassuk a szűrő létrehozását. Ehhez nyissa meg a Csoportházirend-kezelés beépülő modult, és lépjen a WMI-szűrők részre. Kattintson a jobb gombbal rá, és válassza az Új menüpontot a helyi menüből.

A megnyíló ablakban adjon nevet és leírást a szűrőnek. Ezután megnyomjuk a "Hozzáadás" gombot és a "Query" mezőbe beírjuk a WQL lekérdezést, ami a WMI szűrő alapja. Ki kell választanunk az operációs rendszer 10.0-s verzióját 1-es típussal, így a kérés így fog kinézni:

SELECT * FROM Win32_OperatingSystem WHERE Verzió LIKE ″10,0%″ AND ProductType = ″1″

Jegyzet. Windows Query Language (WQL) – WMI lekérdezési nyelv. Erről többet megtudhat az MSDN-en.

Mentse el a kapott szűrőt.

Most már csak a WMI-szűrőt kell hozzárendelnie egy csoportházirend-objektumhoz, például a GPO3-hoz. Nyissa meg a csoportházirend-objektum tulajdonságait, nyissa meg a „Hatókör” lapot, és a „WMI-szűrés” mezőben válassza ki a kívánt szűrőt a listából.

Csoportpolitikák alkalmazásának elemzése

A sok csoportházirend-objektum-szűrési módszerrel szükség van ezek alkalmazásának diagnosztizálására és elemzésére. A csoportházirendek számítógépre gyakorolt ​​hatásának ellenőrzésének legegyszerűbb módja a parancssori segédprogram használata gpresult.

Menjünk például a wks2 számítógépre, amelyen Windows 7 van telepítve, és ellenőrizzük, hogy működött-e a WMI-szűrő. Ehhez nyissa meg a cmd konzolt rendszergazdai jogokkal, és hajtsa végre a parancsot gpresult /r, amely összefoglaló információkat jelenít meg a felhasználóra és a számítógépre alkalmazott csoportházirendekről.

Jegyzet. A gpresult segédprogram számos beállítást tartalmaz, amelyeket a paranccsal tekinthetünk meg gpresult /?.

Amint a kapott adatokból látható, a GPO3 házirend nem került alkalmazásra a számítógépen, mert a WMI szűrő szűrte.

A csoportházirend-objektum-műveletet a Csoportházirend-kezelés beépülő modulból is ellenőrizheti egy speciális varázsló segítségével. A varázsló elindításához kattintson a jobb gombbal a "Csoportházirend eredményei" szakaszra, és a megnyíló menüben válassza ki a "Group Policy Results Wizard" elemet.

Adja meg annak a számítógépnek a nevét, amelyre a jelentés készül. Ha csak a felhasználóspecifikus csoportházirend-beállításokat szeretné megtekinteni, dönthet úgy, hogy nem gyűjti a számítógép beállításait. Ehhez jelölje be az alábbi négyzetet (csak a felhasználói házirend-beállítások megjelenítése).

Ezután kiválasztjuk a felhasználónevet, amelyre az adatokat gyűjtjük, vagy megadhatja, hogy a felhasználó csoportházirend-beállításait ne tartalmazza a jelentés (csak a számítógépes házirend-beállítások megjelenítése).

Ellenőrizzük a kiválasztott beállításokat, kattintsunk a "Tovább" gombra és várjuk, amíg az adatok összegyűjtése és a jelentés elkészítése megtörténik.

A jelentés átfogó adatokat tartalmaz a felhasználóra és a számítógépre alkalmazott (vagy nem alkalmazott) csoportházirend-objektumokról, valamint a használt szűrőkről.

Például készítsünk jelentéseket két különböző felhasználó számára, és hasonlítsuk össze őket. Először nyissuk meg Kirill felhasználó jelentését, és menjünk a felhasználói beállítások részhez. Amint láthatja, a GPO2 házirendet nem alkalmazták erre a felhasználóra, mert nincs jogosultsága az alkalmazására (Reason Denied - Inaсcessible).

És most nyissuk meg a jelentést Oleg felhasználó számára. Ez a felhasználó a Számviteli csoport tagja, így a házirendet sikeresen alkalmaztuk rá. Ez azt jelenti, hogy a biztonsági szűrő sikeresen befejeződött.

Ezzel talán befejezem a csoportházirendek alkalmazásáról szóló „lenyűgöző” történetet. Remélem, ez az információ hasznos lesz és segít a rendszeradminisztráció nehéz feladatában 🙂

A Windows telepítésekor a legtöbb nem alapvető alrendszer nincs aktiválva vagy telepítve. Ez biztonsági okokból történik. Mivel a rendszer alapértelmezés szerint biztonságos, a rendszergazdák egy olyan rendszer megtervezésére összpontosíthatnak, amely azt csinálja, amit csinál, és semmi többre. A kívánt szolgáltatások engedélyezése érdekében a Windows felkéri a kiszolgálói szerepkör kiválasztására.

Szerepek

A kiszolgálói szerepkör olyan programok halmaza, amelyek megfelelően telepítve és konfigurálva lehetővé teszik a számítógép számára, hogy bizonyos funkciókat hajtson végre több felhasználó vagy a hálózat más számítógépei számára. Általánosságban minden szerep a következő jellemzőkkel rendelkezik.

• Meghatározzák a számítógép használatának fő funkcióját, célját vagy rendeltetését. Kijelölhet egy számítógépet egy olyan szerep betöltésére, amelyet gyakran használnak a vállalatban, vagy több szerepet is betölthet, ha minden szerepet csak alkalmanként használnak.
• A szerepkörök révén a felhasználók a szervezet egészében hozzáférhetnek más számítógépek által kezelt erőforrásokhoz, például webhelyekhez, nyomtatókhoz vagy különböző számítógépeken tárolt fájlokhoz.
• Általában saját adatbázisaik vannak, amelyek sorba állítják a felhasználói vagy számítógépes kéréseket, vagy információkat rögzítenek a szerepkörhöz társított hálózati felhasználókról és számítógépekről. Az Active Directory tartományi szolgáltatások például tartalmaz egy adatbázist a hálózaton lévő összes számítógép nevének és hierarchikus kapcsolatainak tárolására.
• A megfelelő telepítés és konfigurálás után a szerepek automatikusan működnek. Ez lehetővé teszi, hogy a számítógépek, amelyekre telepítve vannak, korlátozott felhasználói interakció mellett hajtsanak végre hozzárendelt feladatokat.

Szerepköri szolgáltatások

A szerepszolgáltatások olyan programok, amelyek egy szerepkör funkcionalitását biztosítják. Egy szerepkör telepítésekor kiválaszthatja, hogy mely szolgáltatásokat nyújtson a vállalat többi felhasználójának és számítógépének. Egyes szerepkörök, például a DNS-kiszolgáló, csak egy funkciót látnak el, ezért nincsenek szerepszolgáltatások. Más szerepkörök, például a Remote Desktop Services, számos szolgáltatással rendelkeznek, amelyeket a vállalat távoli hozzáférési igényei alapján telepíthet. A szerepkört szorosan kapcsolódó, egymást kiegészítő szerepszolgáltatások gyűjteményeként lehet felfogni. A legtöbb esetben egy szerepkör telepítése egy vagy több szolgáltatás telepítését jelenti.

Alkatrészek

Az összetevők olyan programok, amelyek nem közvetlenül a szerepkörök részét képezik, de támogatják vagy bővítik egy vagy több szerepkör vagy a teljes kiszolgáló funkcionalitását, függetlenül attól, hogy mely szerepkörök vannak telepítve. A feladatátvételi fürteszköz például kiterjeszti más szerepköröket, például a fájlszolgáltatásokat és a DHCP-kiszolgálót, lehetővé téve számukra, hogy kiszolgálófürtökhöz csatlakozzanak, ami fokozott redundanciát és teljesítményt biztosít. A másik összetevő, a Telnet Client lehetővé teszi a távoli kommunikációt a Telnet szerverrel hálózati kapcsolaton keresztül. Ez a funkció javítja a szerver kommunikációs lehetőségeit.

Ha a Windows Server Server Core módban fut, a következő kiszolgálói szerepkörök támogatottak:

• Active Directory tanúsítványszolgáltatások;
• Active Directory tartományi szolgáltatások;
• DHCP szerver
• DNS szerver;
• fájlszolgáltatások (beleértve a fájlszerver erőforrás-kezelőjét);
• Active Directory könnyű címtárszolgáltatások;
• Hyper-V
• Nyomtatási és dokumentumszolgáltatások;
• streaming média szolgáltatások;
• webszerver (beleértve az ASP.NET egy részhalmazát);
• Windows Server Update Server;
• Active Directory jogkezelő szerver;
• Útválasztási és távelérési kiszolgáló és a következő alárendelt szerepkörök:
  • Remote Desktop Connection Broker;
  • engedélyezés;
  • virtualizáció.

Ha a Windows Server Server Core módban fut, a következő kiszolgálófunkciók támogatottak:

• Microsoft .NET-keretrendszer 3.5;
• Microsoft .NET-keretrendszer 4.5;
• Windows PowerShell;
• Háttérben működő intelligens átviteli szolgáltatás (BITS);
• BitLocker meghajtótitkosítás;
• BitLocker hálózati feloldás;
• BranchCache
• adatközponti híd;
• Továbbfejlesztett tárolás;
• feladatátvételi fürtözés;
• Többutas I/O;
• hálózati terheléselosztás;
• PNRP protokoll;
• qWave;
• távoli differenciáltömörítés;
• egyszerű TCP/IP szolgáltatások;
• RPC HTTP-proxyn keresztül;
• SMTP szerver;
• SNMP szolgáltatás;
• Telnet kliens;
• telnet szerver;
• TFTP kliens;
• Windows belső adatbázis;
• Windows PowerShell Web Access;
• Windows aktiválási szolgáltatás;
• szabványos Windows-tárhelykezelés;
• IIS WinRM kiterjesztés;
• WINS szerver;
• WoW64 támogatás.

Szerver szerepkörök telepítése a Kiszolgálókezelő segítségével

A hozzáadáshoz nyissa meg a Kiszolgálókezelőt, és a Kezelés menüben kattintson a Szerepkörök és szolgáltatások hozzáadása elemre:

Megnyílik a Szerepkörök és szolgáltatások hozzáadása varázsló. Kattintson a Tovább gombra

Telepítés típusa, válassza a Szerepkör alapú vagy a szolgáltatás alapú telepítést. Következő:

Szerver kiválasztása - válassza ki szerverünket. Kattintson a Következő kiszolgálói szerepkörök lehetőségre – ha szükséges, válassza ki a szerepköröket, válassza ki a szerepkör-szolgáltatásokat, majd kattintson a Tovább gombra az összetevők kiválasztásához. Az eljárás során a Szerepkörök és szolgáltatások hozzáadása varázsló automatikusan tájékoztatja Önt a célkiszolgálón minden olyan ütközésről, amely megakadályozhatja a telepítést vagy normál működés kiválasztott szerepek vagy funkciók. A rendszer kéri a kiválasztott szerepkörök vagy szolgáltatások által igényelt szerepkörök, szerepkör-szolgáltatások és szolgáltatások hozzáadását is.

Szerepkörök telepítése a PowerShell segítségével

A Windows PowerShell megnyitása Írja be a Get-WindowsFeature parancsot a helyi kiszolgálón elérhető és telepített szerepkörök és szolgáltatások listájának megtekintéséhez. A parancsmag kimenete tartalmazza a telepített és a telepítésre elérhető szerepkörök és szolgáltatások parancsneveit.

A szintaxis megtekintéséhez írja be a Get-Help Install-WindowsFeature parancsot megengedett paraméterek Install-WindowsFeature (MAN) parancsmag.

Írja be a következő parancsot (a -Restart újraindítja a kiszolgálót, ha a szerepkör telepítése újraindítást igényel).

Install-WindowsFeature -Name -Restart

A szerepek és szerepszolgáltatások leírása

Az alábbiakban ismertetjük az összes szerepkört és szerepkör-szolgáltatást. Lássuk a speciális beállításokat a leggyakoribbak számára webes gyakorlat Szerver szerepkör és távoli asztali szolgáltatások

Az IIS részletes leírása

• Általános HTTP-szolgáltatások – Alapvető HTTP-összetevők
  • Alapértelmezett dokumentum – lehetővé teszi a webhely indexoldalának beállítását.
  • Címtárböngészés – Lehetővé teszi a felhasználók számára, hogy megtekintsék egy webszerveren lévő címtár tartalmát. A Címtárböngészés használatával automatikusan létrehozhat egy listát a könyvtárban lévő összes könyvtárról és fájlról, ha a felhasználók nem adnak meg fájlt az URL-ben, és az indexoldal le van tiltva vagy nincs konfigurálva
  • HTTP-hibák – lehetővé teszi a böngészőben az ügyfeleknek visszaküldött hibaüzenetek testreszabását.
  • Statikus tartalom – lehetővé teszi statikus tartalom, például képek vagy html-fájlok közzétételét.
  • HTTP átirányítás – Támogatja a felhasználói kérések átirányítását.
  • A WebDAV Publishing lehetővé teszi a fájlok közzétételét webszerverről a HTTP protokoll használatával.
• Egészségügyi és diagnosztikai szolgáltatások – Diagnosztikai összetevők
  • A HTTP naplózás egy adott szerver webhelytevékenységének naplózását biztosítja.
  • Az Egyéni naplózás támogatja a "hagyományos" naplóktól eltérő egyéni naplók létrehozását.
  • A Logging Tools keretrendszert biztosít a webszerver-naplók kezeléséhez és a gyakori naplózási feladatok automatizálásához.
  • Az ODBC naplózás olyan keretrendszert biztosít, amely támogatja a webszerver-tevékenységek naplózását egy ODBC-kompatibilis adatbázisba.
  • A Request Monitor keretet biztosít a webalkalmazások állapotának figyeléséhez azáltal, hogy információkat gyűjt a HTTP-kérésekről egy IIS-munkafolyamatban.
  • A nyomkövetés keretet biztosít a webalkalmazások diagnosztizálásához és hibaelhárításához. A sikertelen kéréskövetés használatával nyomon követheti a nehezen megtalálható eseményeket, például a gyenge teljesítményt vagy a hitelesítési hibákat.
• Teljesítménykomponensek a webszerver teljesítményének növelésére.
  • A statikus tartalomtömörítés keretrendszert biztosít a statikus tartalom HTTP-tömörítésének konfigurálásához
  • A Dynamic Content Compression keretrendszert biztosít a dinamikus tartalom HTTP-tömörítésének konfigurálásához.
• Biztonsági összetevők
  • A kérésszűrés lehetővé teszi az összes bejövő kérés rögzítését és a rendszergazda által beállított szabályok alapján történő szűrését.
  • Az alapszintű hitelesítés lehetővé teszi további jogosultságok beállítását
  • A központosított SSL-tanúsítvány-támogatás egy olyan szolgáltatás, amely lehetővé teszi a tanúsítványok központi helyen, például fájlmegosztáson történő tárolását.
  • A Client Certificate Mapping Authentication ügyféltanúsítványokat használ a felhasználók hitelesítésére.
  • A Digest Authentication úgy működik, hogy jelszókivonatot küld egy Windows tartományvezérlőnek a felhasználók hitelesítése érdekében. Ha az alapvető hitelesítésnél nagyobb biztonságra van szüksége, fontolja meg a Digest hitelesítés használatát
  • Az IIS Client Certificate Mapping Authentication ügyféltanúsítványokat használ a felhasználók hitelesítésére. Az ügyféltanúsítvány egy megbízható forrásból származó digitális azonosító.
  • Az IP- és tartománykorlátozások lehetővé teszik a hozzáférés engedélyezését/megtagadását a kért IP-cím vagy tartománynév alapján.
  • Az URL hitelesítés lehetővé teszi olyan szabályok létrehozását, amelyek korlátozzák a webtartalomhoz való hozzáférést.
  • Windows-hitelesítés Ez a hitelesítési séma lehetővé teszi a Windows tartományi rendszergazdái számára, hogy kihasználják a tartományi infrastruktúra előnyeit a felhasználók hitelesítésére.
• Alkalmazásfejlesztési funkciók
• FTP szerver
  • FTP szolgáltatás Lehetővé teszi az FTP közzétételt a webszerveren.
  • FTP-bővíthetőség Lehetővé teszi az FTP-funkciók támogatását, amelyek kiterjesztik a funkcionalitást
• felügyeleti eszközök
  • Az IIS Management Console telepíti az IIS Managert, amely lehetővé teszi a webszerver grafikus felhasználói felületen keresztüli kezelését
  • Az IIS 6.0 felügyeleti kompatibilitás továbbfejlesztett kompatibilitást biztosít az Admin Base Object (ABO) és a Directory Service Interface (ADSI) Active Directory API-t használó alkalmazások és parancsfájlok számára. Ez lehetővé teszi a meglévő IIS 6.0 szkriptek használatát az IIS 8.0 webszerver számára
  • Az IIS-kezelési parancsfájlok és eszközök biztosítják az infrastruktúrát az IIS-webkiszolgáló programozott kezeléséhez, a parancssor ablakában lévő parancsok használatával vagy parancsfájlok futtatásával.
  • A Kezelőszolgáltatás biztosítja az infrastruktúrát a felhasználói felület, az IIS Manager testreszabásához.

Az RDS részletes leírása

• Remote Desktop Connection Broker – Az asztali és virtuális asztali munkamenetek alapján biztosítja az ügyféleszköz újracsatlakozását a programokhoz.
• Remote Desktop Gateway – Lehetővé teszi a jogosult felhasználók számára, hogy virtuális asztalokhoz, RemoteApp-programokhoz és munkamenet-alapú asztali számítógépekhez kapcsolódjanak vállalati hálózaton vagy az interneten keresztül.
• Távoli asztali licencelés – RDP-licenckezelő eszköz
• Remote Desktop Session Host – Tartalmaz egy kiszolgálót a RemoteApp programok vagy egy asztali munkamenet hosztolására.
• Remote Desktop Virtualization Host – lehetővé teszi az RDP konfigurálását a virtuális gépeken
• Remote Desktop WebAccess – Lehetővé teszi a felhasználók számára, hogy a Start menü vagy a webböngésző segítségével csatlakozzanak az asztali erőforrásokhoz.

Fontolja meg egy terminállicenc-kiszolgáló telepítését és konfigurálását. A fentiek leírják a szerepkörök telepítését, az RDS telepítése nem különbözik más szerepkörök telepítésétől, a Role Servicesben ki kell választanunk a Remote Desktop Licensing és a Remote Desktop Session Host lehetőséget. A telepítés után a Terminálszolgáltatások elem megjelenik a Kiszolgálókezelő-eszközökben. A Terminal Services RD Licensing Diagnoserben két elem található, ez egy eszköz a távoli asztali licencelés működésének diagnosztizálására, és a Remote Desktop Licensing Manager, ez egy licenckezelő eszköz.

Futtassa az RD Licensing Diagnoser programot

Itt láthatjuk, hogy még nincsenek elérhető licencek, mert a licencelési mód nincs beállítva az RD Session Host szerverhez. A licenckiszolgálót a helyi csoportházirendek határozzák meg. A szerkesztő elindításához futtassa a gpedit.msc parancsot. Megnyílik a Helyi csoportházirend-szerkesztő. A bal oldali fában bontsa ki a lapokat:

• Számítógép konfigurációja
• adminisztratív sablonok
• Windows-összetevők
• Távoli asztali szolgáltatások
• Távoli asztali munkamenetgazda
• "Licensing" (licenc)

Nyissa meg a paramétereket Használja a megadott távoli asztali licenckiszolgálókat

A házirend-beállítások szerkesztőablakban engedélyezze a licenckiszolgálót (Engedélyezve). Ezután meg kell határoznia egy licenckiszolgálót a távoli asztali szolgáltatásokhoz. Példámban a licenckiszolgáló ugyanazon a fizikai szerveren található. Adja meg a licenckiszolgáló hálózati nevét vagy IP-címét, majd kattintson az OK gombra. Ha a kiszolgáló neve, a licencszerver a jövőben megváltozik, akkor ugyanabban a részben meg kell változtatnia.

Ezt követően az RD Licensing Diagnoser programban láthatja, hogy a terminállicenc-kiszolgáló konfigurálva van, de nincs engedélyezve. Az engedélyezéshez futtassa a Távoli asztali licenckezelőt

Válassza ki a licenckiszolgálót, amelynek állapota Nincs aktiválva. Az aktiváláshoz kattintson rá a jobb gombbal, és válassza a Szerver aktiválása lehetőséget. Elindul a Kiszolgálóaktiválás varázsló. A Csatlakozási mód lapon válassza az Automatikus csatlakozás lehetőséget. Ezután töltse ki a szervezetre vonatkozó információkat, ezután aktiválódik a licencszerver.

Active Directory tanúsítványszolgáltatások

Az AD CS konfigurálható szolgáltatásokat biztosít a nyilvános kulcsú technológiát használó szoftverbiztonsági rendszerekben használt digitális tanúsítványok kiadásához és kezeléséhez. Az AD CS által biztosított digitális tanúsítványok elektronikus dokumentumok és üzenetek titkosítására és digitális aláírására használhatók. Ezekkel a digitális tanúsítványokkal számítógép-, felhasználói- és eszközfiókok hitelesíthetők a hálózaton. A digitális tanúsítványok a következőkre szolgálnak:

• adatvédelem titkosítás révén;
• integritás digitális aláírásokon keresztül;
• hitelesítés a tanúsítványkulcsok számítógép-, felhasználói és eszközfiókokhoz való kapcsolásával a hálózaton.

Az AD CS a biztonság javítására használható, ha egy felhasználó, eszköz vagy szolgáltatás azonosságát a megfelelő privát kulcshoz köti. Az AD CS által támogatott alkalmazások közé tartoznak a biztonságos többcélú Internet Mail Standard Extensions (S/MIME), biztonságos vezeték nélküli hálózatok, virtuális magánhálózatok (VPN), IPsec, titkosító fájlrendszer (EFS), intelligens kártya bejelentkezés, biztonsági és szállítási réteg biztonsági protokoll. (SSL/TLS) és digitális aláírások.

Active Directory tartományi szolgáltatások

Az Active Directory Domain Services (AD DS) kiszolgálói szerepkör használatával méretezhető, biztonságos és felügyelhető infrastruktúrát hozhat létre a felhasználók és erőforrások kezelésére; címtár-kompatibilis alkalmazásokat is biztosíthat, mint például a Microsoft Exchange Server. Az Active Directory Domain Services elosztott adatbázist biztosít, amely információkat tárol és kezel a hálózati erőforrásokról és a címtár-kompatibilis alkalmazásadatokról. Az AD DS-t futtató kiszolgálót tartományvezérlőnek nevezik. A rendszergazdák az AD DS segítségével a hálózati elemeket, például a felhasználókat, számítógépeket és egyéb eszközöket hierarchikus beágyazott struktúrákba rendezhetik. A hierarchikus beágyazott struktúra tartalmazza az Active Directory erdőt, az erdő tartományait és az egyes tartományok szervezeti egységeit. A biztonsági funkciók be vannak építve az AD DS-be a címtárban található erőforrásokhoz való hitelesítés és hozzáférés-szabályozás formájában. Az egyszeri bejelentkezés révén a rendszergazdák a hálózaton keresztül kezelhetik a címtárinformációkat és -szervezést. A felhatalmazott hálózati felhasználók a hálózati egyszeri bejelentkezést is használhatják a hálózaton bárhol található erőforrásokhoz. Az Active Directory tartományi szolgáltatások a következő további szolgáltatásokat nyújtják.

• A szabályok halmaza egy séma, amely meghatározza a könyvtárban található objektumok és attribútumok osztályait, az objektumok példányaira vonatkozó korlátozásokat és korlátokat, valamint nevük formátumát.
• Globális katalógus, amely információkat tartalmaz a katalógus minden egyes objektumáról. A felhasználók és a rendszergazdák a globális katalógust használhatják a katalógusadatok keresésére, függetlenül attól, hogy a katalógus melyik tartománya tartalmazza ténylegesen a keresett adatokat.
• Lekérdezési és indexelési mechanizmus, amelyen keresztül az objektumok és tulajdonságaik közzétehetők és megtalálhatók hálózati felhasználókés alkalmazások.
• Replikációs szolgáltatás, amely a címtáradatokat hálózaton keresztül osztja el. A tartomány összes írható tartományvezérlője részt vesz a replikációban, és tartalmazza a tartomány összes címtáradatának teljes másolatát. A címtáradatok minden módosítása replikálódik a tartományban az összes tartományvezérlőre.
• Műveleti főszerepek (más néven rugalmas egyetlen főműveletek vagy FSMO-k). A műveletek mestereként működő tartományvezérlőket speciális feladatok elvégzésére tervezték az adatok konzisztenciájának biztosítása és az ütköző címtárbejegyzések elkerülése érdekében.

Active Directory összevonási szolgáltatások

Az AD FS egyszerűsített és biztonságos identitás-összevonási és egyszeri bejelentkezési (SSO) webszolgáltatásokat biztosít azoknak a végfelhasználóknak, akiknek hozzá kell férniük az alkalmazásokhoz egy AD FS-sel védett vállalatban, az összevonási partnerszervezetekben vagy a felhőben. A Windows Server AD FS tartalmaz egy szerepkör-szolgáltatás Az összevonási szolgáltatás identitásszolgáltatóként működik (hitelesíti a felhasználókat, hogy biztonsági tokeneket adjanak az AD FS-ben megbízó alkalmazásokhoz) vagy összevonási szolgáltatóként (más identitásszolgáltatók jogkivonatait alkalmazza, majd biztonsági tokeneket biztosít az AD FS-ben megbízó alkalmazások számára).

Active Directory Lightweight címtárszolgáltatások

Az Active Directory Lightweight Directory Services (AD LDS) egy LDAP protokoll, amely rugalmas támogatást nyújt a címtáralkalmazásokhoz az Active Directory tartományi szolgáltatások függőségei és tartományspecifikus korlátozásai nélkül. Az AD LDS futhat tagi vagy önálló szervereken. Az AD LDS több példányát is futtathatja egymástól függetlenül kezelt sémákkal ugyanazon a kiszolgálón. Az AD LDS szolgáltatási szerepkörrel címtárszolgáltatásokat nyújthat a címtár-kompatibilis alkalmazásoknak anélkül, hogy tartományi és erdőszolgáltatási adatokat használna, és egyetlen erdőszintű séma nélkül.

Active Directory jogkezelési szolgáltatások

Az AD RMS segítségével kiterjesztheti szervezete biztonsági stratégiáját azáltal, hogy a dokumentumokat az Information Rights Management (IRM) használatával védi. Az AD RMS lehetővé teszi a felhasználóknak és a rendszergazdáknak, hogy hozzáférési engedélyeket rendeljenek dokumentumokhoz, munkafüzetekhez és prezentációkhoz az IRM-házirendek segítségével. Ez lehetővé teszi, hogy megvédje a bizalmas információkat az illetéktelen felhasználók általi nyomtatástól, továbbítástól vagy másolástól. Ha egy fájl engedélyeit az IRM korlátozza, a hozzáférési és használati korlátozások az információ helyétől függetlenül érvényesek, mivel a fájl engedélye magában a dokumentumfájlban tárolódik. Az AD RMS-sel és az IRM-mel az egyes felhasználók saját preferenciáikat alkalmazhatják a személyes és bizalmas információk továbbítására vonatkozóan. Segítenek továbbá egy szervezetnek érvényesíteni a vállalati szabályzatokat az érzékeny és személyes adatok felhasználásának és terjesztésének ellenőrzésére. Az AD RMS által támogatott IRM-megoldások a következő képességek biztosítására szolgálnak.

• Állandó használati irányelvek, amelyek az információkkal együtt maradnak, akár áthelyezik, küldik vagy továbbítják.
• Egy további adatvédelmi réteg az érzékeny adatok – például jelentések, termékleírások, ügyfélinformációk és e-mail üzenetek – védelme érdekében, nehogy szándékosan vagy véletlenül illetéktelen kezekbe kerüljenek.
• Akadályozza meg, hogy a jogosult címzettek jogosulatlan küldést, másolást, szerkesztést, nyomtatást, faxolást vagy beillesztést küldjenek a korlátozott tartalmaknak.
• A Microsoft Windows NYOMTATÁSI KÉPERNYŐ funkciójával akadályozza meg a korlátozott tartalom másolását.
• A fájl lejáratának támogatása, amely megakadályozza, hogy a dokumentum tartalma meghatározott idő elteltével megtekinthető legyen.
• Olyan vállalati szabályzatok végrehajtása, amelyek szabályozzák a tartalom szervezeten belüli használatát és terjesztését

Alkalmazásszerver

Az Application Server integrált környezetet biztosít az egyéni szerver alapú üzleti alkalmazások telepítéséhez és futtatásához.

DHCP szerver

A DHCP egy kliens-szerver technológia, amely lehetővé teszi, hogy a DHCP-szerverek IP-címeket rendeljenek hozzá vagy béreljenek olyan számítógépekhez és más eszközökhöz, amelyek DHCP-kliensek. A DHCP-kiszolgálók hálózaton történő telepítése automatikusan biztosítja az ügyfélszámítógépeket és egyéb eszközöket hálózati eszközök az IPv4 és IPv6 érvényes IP-címeken, valamint ezen ügyfelek és eszközök által igényelt további konfigurációs beállításokon alapul. A Windows Server DHCP-kiszolgáló szolgáltatása támogatja a házirend-alapú hozzárendeléseket és a DHCP-feladatátvételt.

DNS szerver

A DNS-szolgáltatás egy hierarchikus elosztott adatbázis, amely DNS-tartománynevek hozzárendelését tartalmazza különböző típusú adatokhoz, például IP-címekhez. A DNS-szolgáltatás lehetővé teszi olyan barátságos nevek használatát, mint például a www.microsoft.com a számítógépek és egyéb erőforrások megtalálásában a TCP/IP-alapú hálózatokon. A Windows Server DNS szolgáltatása továbbfejlesztett támogatást nyújt a DNS biztonsági modulokhoz (DNSSEC), beleértve a hálózati regisztrációt és az automatikus beállítások kezelését.

FAX szerver

A Faxszerver faxokat küld és fogad, és lehetővé teszi a faxerőforrások, például feladatok, beállítások, jelentések és faxeszközök kezelését a faxkiszolgálón.

Fájl- és tárolási szolgáltatások

A rendszergazdák a Fájl- és tárolási szolgáltatások szerepkörrel több fájlkiszolgálót és azok tárolóit állíthatják be, és kezelhetik ezeket a kiszolgálókat a Kiszolgálókezelő vagy a Windows PowerShell segítségével. Néhány speciális alkalmazás a következő funkciókat tartalmazza.

• munkamappák. Használata lehetővé teszi a felhasználók számára, hogy munkahelyi fájlokat tároljanak és hozzáférjenek a vállalati számítógépeken kívüli személyi számítógépeken és eszközökön. A felhasználók kényelmes helyen tárolhatják a munkafájlokat, és bárhonnan hozzáférhetnek hozzájuk. A szervezetek úgy szabályozzák a vállalati adatokat, hogy központilag kezelt fájlszervereken tárolják a fájlokat, és opcionálisan beállítják a felhasználói eszközházirendeket (például titkosítási és képernyőzár jelszavakat).
• Adatduplikáció. Használatával csökkentheti a fájlok tárolásához szükséges lemezterületet, így pénzt takaríthat meg a tárhelyen.
• iSCSI célszerver. Központosított, szoftver- és eszközfüggetlen iSCSI-lemez-alrendszerek létrehozására használható tárolóhálózatokban (SAN).
• Lemezterületek. Használja a magas rendelkezésre állású, rugalmas és méretezhető tárhely üzembe helyezéséhez költséghatékony, iparági szabványos meghajtókkal.
• Szerverkezelő. Több fájlkiszolgáló távoli kezelésére használható egyetlen ablakból.
• Windows PowerShell. Használja a legtöbb fájlszerver-adminisztrációs feladat kezelésének automatizálására.

Hyper-V

A Hyper-V szerepkör lehetővé teszi virtualizált számítási környezet létrehozását és kezelését a Windows Serverbe épített virtualizációs technológia segítségével. A Hyper-V szerepkör telepítése telepíti az előfeltételeket és az opcionális felügyeleti eszközöket. A szükséges összetevők közé tartozik a Windows hypervisor, a virtualizációkezelő szolgáltatás, Hyper-V gépek, WMI virtualizációs szolgáltató és virtualizációs összetevők, például VMbus, Virtualization Service Provider (VSP) és Virtual Infrastructure Driver (VID).

Hálózati házirend és hozzáférési szolgáltatások

A Network Policy and Access Services a következő hálózati csatlakozási megoldásokat kínálja:

• A Hálózati hozzáférés-védelem az ügyfélállapot-házirendek létrehozására, érvényesítésére és javítására szolgáló technológia. A hálózati hozzáférés védelmével a rendszergazdák beállíthatnak és automatikusan kényszeríthetnek olyan állapotházirendeket, amelyek tartalmazzák a szoftverre, a biztonsági frissítésekre és egyéb beállításokra vonatkozó követelményeket. Azon ügyfélszámítógépeken, amelyek nem felelnek meg az állapotszabályzatnak, korlátozhatja a hálózathoz való hozzáférést mindaddig, amíg konfigurációjukat frissítik, hogy megfeleljenek a házirend követelményeinek.
• Ha a 802.1X-kompatibilis vezeték nélküli hozzáférési pontokat telepíti, a Network Policy Server (NPS) segítségével olyan tanúsítványalapú hitelesítési módszereket telepíthet, amelyek biztonságosabbak, mint a jelszóalapú hitelesítés. A 802.1X-kompatibilis hardver telepítése egy NPS-kiszolgálóval lehetővé teszi az intranet felhasználók hitelesítését, mielőtt csatlakozhatnának a hálózathoz, vagy IP-címet kapnának egy DHCP-kiszolgálótól.
• Ahelyett, hogy minden hálózati hozzáférési kiszolgálón konfigurálna egy hálózati hozzáférési szabályzatot, központilag létrehozhat minden olyan házirendet, amely meghatározza a hálózati csatlakozási kérelmek minden aspektusát (ki csatlakozhat, ha a kapcsolat engedélyezett, a hálózathoz való csatlakozáshoz használandó biztonsági szint ).

Nyomtatási és dokumentumszolgáltatások

A Print and Document Services lehetővé teszi a nyomtatószerver és a hálózati nyomtató feladatok központosítását. Ez a szerepkör azt is lehetővé teszi, hogy beolvasott dokumentumokat fogadjon hálózati szkennerekről, és dokumentumokat tölthessen fel hálózati megosztásokra – a Windows SharePoint Services webhelyére vagy e-mailben.

távoli hozzáférés

A Remote Access Server szerepkör a következő hálózati hozzáférési technológiák logikai csoportja.

• Közvetlen hozzáférés
• Útválasztás és távoli hozzáférés
• Webalkalmazás-proxy

Ezek a technológiák szerepszolgáltatások távelérési kiszolgáló szerepkör. A Remote Access Server szerepkör telepítésekor a Szerepkörök és szolgáltatások hozzáadása varázsló futtatásával telepíthet egy vagy több szerepkör-szolgáltatást.

A Windows Server rendszeren a távelérési kiszolgáló szerepkör lehetővé teszi a DirectAccess és VPN központi adminisztrálását, konfigurálását és figyelését az RRAS távelérési szolgáltatásokkal. A DirectAccess és az RRAS ugyanazon az Edge Serveren telepíthető, és ezen keresztül kezelhető Windows parancsok PowerShell és távelérési felügyeleti konzol (MMC).

Távoli asztali szolgáltatások

A Remote Desktop Services felgyorsítja és kibővíti az asztali számítógépek és alkalmazások telepítését bármely eszközön, hatékonyabbá téve a távoli dolgozót, miközben megvédi a kritikus szellemi tulajdont és egyszerűsíti a megfelelőséget. A Remote Desktop Services magában foglalja a Virtual Desktop Infrastructure-t (VDI), a munkamenet-alapú asztali számítógépeket és az alkalmazásokat, így a felhasználók bárhonnan dolgozhatnak.

Kötetaktiválási szolgáltatások

A Volume License Activation Services egy olyan kiszolgálói szerepkör a Windows Server rendszerben, amely a Windows Server 2012-től kezdve automatizálja és leegyszerűsíti a Microsoft-szoftverek mennyiségi licenceinek kiadását és kezelését különféle forgatókönyvekben és környezetekben. A mennyiségi licencaktiválási szolgáltatásokkal együtt telepítheti és konfigurálhatja a kulcskezelési szolgáltatást (KMS) és az Active Directory aktiválását.

Webszerver (IIS)

A Windows Server webkiszolgálói (IIS) szerepköre platformot biztosít webhelyek, szolgáltatások és alkalmazások tárolására. A webszerver használata információkhoz való hozzáférést biztosít a felhasználók számára az interneten, az intraneten és az extraneten. A rendszergazdák a webszerver (IIS) szerepkör használatával több webhelyet, webalkalmazást és FTP-helyet állíthatnak be és kezelhetnek. A különleges jellemzők a következők.

• A diszpécser használata IIS az IIS-összetevők konfigurálásához és a webhelyek adminisztrálásához.
• Az FTP protokoll használata lehetővé teszi a webhelytulajdonosok számára a fájlok feltöltését és letöltését.
• Webhely-izoláció használata annak megakadályozására, hogy a szerveren lévő webhelyek hatással legyenek másokra.
• Különféle technológiákkal fejlesztett webalkalmazások testreszabása, mint például a Classic ASP, az ASP.NET és a PHP.
• A Windows PowerShell segítségével automatikusan kezelheti a legtöbb webszerver-felügyeleti feladatot.
• Konszolidáljon több webszervert egy kiszolgálófarmba, amelyet az IIS segítségével lehet felügyelni.

Windows-telepítési szolgáltatások

A Windows Deployment Services lehetővé teszi a Windows operációs rendszerek hálózaton keresztüli üzembe helyezését, ami azt jelenti, hogy nem kell minden operációs rendszert közvetlenül CD-ről vagy DVD-ről telepítenie.

Windows Server Essentials tapasztalat

Ez a szerepkör a következő feladatok elvégzését teszi lehetővé:

• a szerver és a kliens adatok védelme a szerver és a hálózaton lévő összes kliens számítógép biztonsági mentésével;
• kezelheti a felhasználókat és a felhasználói csoportokat egy egyszerűsített szerver-irányítópulton keresztül. Ezenkívül a Windows Azure Active Directory*-val való integráció lehetővé teszi a felhasználók számára, hogy tartományi hitelesítési adataik segítségével könnyen hozzáférjenek az online Microsoft Online szolgáltatásokhoz (például Office 365, Exchange Online és SharePoint Online);
• központi helyen tárolja a vállalati adatokat;
• integrálja a kiszolgálót a Microsoft Online Services szolgáltatással (például Office 365, Exchange Online, SharePoint Online és Windows Intune):
• mindenütt jelenlévő hozzáférési funkciók használata a szerveren (például távoli webelérés és virtuális magánhálózatok) a szerver, a hálózati számítógépek és a rendkívül biztonságos távoli helyekről származó adatok eléréséhez;
• elérheti az adatokat bárhonnan és bármilyen eszközről a szervezet saját internetes portáljával (távoli webelérésen keresztül);
• kezelheti a szervezete e-mailjeit elérő mobileszközöket az Office 365-tel az Active Sync protokollon keresztül az irányítópultról;
• figyeli a hálózat állapotát, és testreszabható állapotjelentéseket kap; jelentések igény szerint generálhatók, személyre szabhatók és e-mailben elküldhetők meghatározott címzetteknek.

Windows Server Update Services

A WSUS-kiszolgáló biztosítja azokat az összetevőket, amelyekre a rendszergazdáknak szükségük van a frissítések kezeléséhez és terjesztéséhez a felügyeleti konzolon keresztül. Ezenkívül a WSUS-kiszolgáló a szervezet más WSUS-kiszolgálóinak frissítéseinek forrása is lehet. A WSUS implementálásakor a hálózaton legalább egy WSUS-kiszolgálónak csatlakoznia kell a Microsoft Update szolgáltatáshoz, hogy információkat kapjon az elérhető frissítésekről. A hálózat biztonságától és konfigurációjától függően a rendszergazda meghatározhatja, hogy hány másik kiszolgáló csatlakozzon közvetlenül a Microsoft Update szolgáltatáshoz.

Bevezetés

A vállalaton belüli számítógépek számának növekedésével egyre akutabbá válik a kezelési és karbantartási költségek kérdése. A számítógépek kézi konfigurálása sok időt vesz igénybe a személyzettől és a számítógépek számának növekedésével az őket kiszolgáló személyzet növelése érdekében. Ezenkívül a gépek nagy száma miatt egyre nehezebb ellenőrizni a vállalat által elfogadott szabványok betartását. A csoportházirend (Csoportházirend) egy átfogó eszköz a Windows 2000 vagy újabb rendszert futtató számítógépek központi kezeléséhez Active Directory tartományban. A csoportházirendek nem vonatkoznak a Windows NT4/9x rendszert futtató számítógépekre: ezeket a rendszerházirend vezérli, amelyről ebben a cikkben nem lesz szó.

csoportházirend-objektumok

A csoportházirendeken belül létrehozott összes beállítás a csoportházirend-objektumokban (GPO-k) lesz tárolva. A csoportházirend-objektumoknak két típusa van: helyi csoportházirend-objektum és Active Directory csoportházirend-objektum. A helyi csoportházirend-objektum Windows 2000 és újabb rendszert futtató számítógépeken érhető el. Csak egy lehet, és ez az egyetlen csoportházirend-objektum, amely nem tartományi gépen lehet.

A csoportházirend-objektum az Active Directory adatbázisban található fájlok, könyvtárak és bejegyzések általános neve (ha nem helyi objektum), amelyek tárolják a beállításokat, és meghatározzák, hogy milyen egyéb beállításokat módosíthat a csoportházirendekkel. A házirend létrehozásával valójában egy csoportházirend-objektumot hoz létre és módosít. A helyi csoportházirend-objektum a %SystemRoot%\System32\GroupPolicy mappában található. Az Active Directory csoportházirend-objektumokat egy tartományvezérlő tárolja, és társíthatók egy helyhez, tartományhoz vagy szervezeti egységhez (szervezeti egységhez, szervezeti egységhez vagy szervezeti egységhez). Egy objektum összerendelése határozza meg a hatókörét. Alapértelmezés szerint egy tartományban két csoportházirend-objektum jön létre: az alapértelmezett tartományi házirend és az alapértelmezett tartományvezérlő házirend. Az első a tartományban lévő jelszavakra és fiókokra vonatkozó alapértelmezett házirendet határozza meg. A második az OU tartományvezérlőkkel kommunikál, és növeli a tartományvezérlők biztonsági beállításait.

Hozzon létre egy csoportházirend-objektumot

Házirend létrehozásához (vagyis új csoportházirend-objektum létrehozásához) nyissa meg az Active Directory felhasználók és számítógépek alkalmazást, és válassza ki az új objektum létrehozásának helyét. Csoportházirend-objektumokat csak egy webhelyhez, tartományhoz vagy szervezeti egység objektumhoz hozhat létre és kapcsolhat össze.

Rizs. 1. Hozzon létre egy csoportházirend-objektumot.

Csoportházirend-objektum létrehozásához és például szervezeti egység tesztelőihez való kapcsolásához kattintson a jobb gombbal erre a szervezeti egységre, és válassza ki a tulajdonságokat a helyi menüből. A megnyíló tulajdonságok ablakban nyissa meg a Csoportházirend lapot, és kattintson az Új gombra.

Rizs. 2. Hozzon létre egy csoportházirend-objektumot.

Nevet adunk a GP objektumnak, ami után létrejön az objektum, és elkezdhetjük a házirend konfigurálását. Kattintson duplán a létrehozott objektumra, vagy nyomja meg a Szerkesztés gombot, megnyílik a GPO szerkesztő ablak, ahol az objektum konkrét paramétereit konfigurálhatja.

Rizs. 3. A beállítások leírása a Bővített lapon.

A legtöbb fő beállítás intuitív (leírásuk is van, ha megnyitja a Kibővített lapot), és nem foglalkozunk mindegyikkel részletesen. ábrából látható. 3, a csoportházirend-objektum két részből áll: Számítógép-konfiguráció és Felhasználói konfiguráció. Az első szakasz beállításai a Windows rendszerindításkor kerülnek alkalmazásra az ebben a tárolóban és az alatta lévő számítógépeken (hacsak nincs felülírva az öröklődés), és függetlenek attól, hogy melyik felhasználó van bejelentkezve. A második szakasz beállításai a felhasználói bejelentkezés során kerülnek alkalmazásra.

A csoportházirend-objektumok alkalmazásának sorrendje

Amikor a számítógép elindul, a következő műveletek történnek:

1. A rendszer beolvassa a rendszerleíró adatbázist, és meghatározza, hogy a számítógép melyik webhelyhez tartozik. Lekérdezés történik a DNS-kiszolgálón az ezen a helyen található tartományvezérlők IP-címeinek beszerzése érdekében.
2. A címek megérkezése után a számítógép csatlakozik a tartományvezérlőhöz.
3. Az ügyfél kéri a GP objektumok listáját a tartományvezérlőtől, és alkalmazza azokat. Ez utóbbi elküldi a GP objektumok listáját abban a sorrendben, ahogyan azokat alkalmazni kell.
4. Amikor a felhasználó bejelentkezik, a számítógép ismét lekéri a GP objektumok listáját, amelyeket alkalmazni kell a felhasználóra, lekéri és alkalmazza azokat.

A csoportházirendek akkor kerülnek alkalmazásra, amikor az OC elindul, és amikor a felhasználó bejelentkezik. Ezután 90 percenként alkalmazzák őket, 30 perces eltéréssel, hogy elkerüljék a tartományvezérlő túlterhelését, ha egyszerre sok ügyfél kéri. Tartományvezérlők esetében a frissítési időköz 5 perc. Ezt a viselkedést a Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Csoportházirend részben módosíthatja. A csoportházirend-objektumok csak a Számítógép és a Felhasználó objektumokra hatnak. A házirend csak azokra az objektumokra vonatkozik, amelyek abban a címtárobjektumban (hely, tartomány, szervezeti egység) találhatók, amelyekhez a csoportházirend-objektum társítva van, és a fa lejjebb található (hacsak nincs letiltva az öröklés). Például: A csoportházirend-objektum az OU-tesztelőkben jön létre (ahogyan fent tettük).

Rizs. 4. A beállítások öröklődése.

Az ebben a csoportházirend-objektumban elvégzett összes beállítás csak az OU tesztelőkben és az OU InTesterekben található felhasználókat és számítógépeket érinti. Nézzük meg, hogyan alkalmazzák a házirendeket egy példa segítségével. Az OU-tesztelőkben található felhasználói teszt bejelentkezik az OU compOU-ban található számítógép-kompra (lásd az 5. ábrát).

Rizs. 5. A házirendek alkalmazásának rendje.

A tartományban négy csoportházirend-objektum található:

1. A webhelytárolóhoz társított SitePolicy;
2. A tartománytárolóhoz társított alapértelmezett tartományházirend;
3. Az OU tesztelőihez kapcsolódó irányelv1;
4. Az OU compOU-hoz kapcsolódó irányelv2.

Nál nél Windows rendszerindítás egy számítógépes munkaállomáson a Számítógép konfigurációja szakaszban meghatározott beállítások a következő sorrendben kerülnek alkalmazásra:

1. Helyi csoportházirend-beállítások;
2. A GPO SitePolicy beállításai;

4. A GPO Policy2 beállításai.

Amikor a tesztfelhasználó bejelentkezik a számítógépre, a Felhasználói konfiguráció szakaszokban meghatározott paraméterek a következők:

1. Helyi csoportházirend-beállítások;
2. A GPO SitePolicy beállításai;
3. A csoportházirend-objektum alapértelmezett tartományházirendjének beállításai;
4. A GPO Policy1 beállításai.

Vagyis a csoportházirend-objektumok ebben a sorrendben kerülnek alkalmazásra: helyi házirendek, helyszintű házirendek, tartományszintű házirendek, szervezeti egység szintű házirendek.

A csoportházirendek aszinkron módon kerülnek alkalmazásra a Windows XP ügyfelekre és szinkron módon a Windows 2000 ügyfelekre, ami azt jelenti, hogy a felhasználói bejelentkezési képernyő csak az összes számítógépházirend alkalmazása után jelenik meg, a felhasználói házirendek pedig az asztal megjelenése előtt. Az aszinkron házirend-érvényesítés azt jelenti, hogy a felhasználó bejelentkezési képernyője a számítógép összes házirendjének alkalmazása előtt, az asztal pedig az összes házirend alkalmazása előtt jelenik meg, ami gyorsabb felhasználói betöltést és bejelentkezést eredményez.
A fent leírt viselkedés két esetben változik. Először az ügyfélszámítógép lassú hálózati kapcsolatot észlelt. Alapértelmezés szerint ebben az esetben csak a biztonsági beállítások és adminisztrációs sablonok kerülnek alkalmazásra. Az 500 Kb/s-nál kisebb sávszélességű kapcsolat lassúnak számít. Ezt az értéket a Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Csoportházirend\Csoportházirend lassú hivatkozás észlelése részben módosíthatja. Szintén a Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Csoportházirend részben konfigurálhat más házirend-beállításokat is, hogy azok feldolgozása lassú kapcsolaton keresztül történjen. A házirendek alkalmazási sorrendjének megváltoztatásának második módja a Felhasználói csoport házirend-visszacsatolási feldolgozási beállítása. Ez a beállítás módosítja az alapértelmezett házirendek alkalmazásának sorrendjét, ahol a felhasználói házirendek a számítógépes házirendek után kerülnek alkalmazásra, és felülírja az utóbbit. Beállíthatja a visszacsatolási beállítást, hogy számítógépes házirendeket alkalmazzon a felhasználói házirendek után, és felülírja a számítógépes házirendekkel ütköző felhasználói házirendeket. A loopback paraméternek 2 módja van:

1. Egyesítés (csatlakozás) - először a számítógépes házirend kerül alkalmazásra, majd a felhasználó és ismét a számítógép. Ebben az esetben a számítógépes házirend lecseréli a felhasználói szabályzatnak ellentmondó beállításait a sajátjával.
2. Csere (csere) - a felhasználói szabályzat feldolgozása nem történik meg.

A felhasználói csoport házirend-visszacsatolási feldolgozási beállításának használatának szemléltetésére például nyilvános számítógépen, amelyen ugyanazokkal a korlátozott beállításokkal kell rendelkeznie, függetlenül attól, hogy melyik felhasználó használja.

Elsőbbség, öröklődés és konfliktusmegoldás

Ahogy már észrevette, a csoportházirend-objektumok minden szinten ugyanazokat a beállításokat tartalmazzák, és ugyanaz a beállítás több szinten is eltérően definiálható. Ebben az esetben az utoljára alkalmazott érték lesz a tényleges érték (a csoportházirend-objektumok alkalmazási sorrendjét fentebb tárgyaltuk). Ez a szabály minden beállításra vonatkozik, kivéve a nem konfiguráltként meghatározottakat. Ezeknél a beállításoknál a Windows nem tesz semmit. De van egy kivétel: minden fiók- és jelszóbeállítás csak domain szinten adható meg, más szinteken ezeket a beállításokat figyelmen kívül hagyja.

Rizs. 6. Active Directory felhasználók és számítógépek.

Ha több csoportházirend-objektum van ugyanazon a szinten, akkor alulról felfelé alkalmazzák őket. A házirend-objektum pozíciójának módosításával a listában (a Fel és Le gombok segítségével) kiválaszthatja a kívánt alkalmazási sorrendet.

Rizs. 7. A házirendek alkalmazásának rendje.

Néha azt szeretné, hogy egy adott szervezeti egység ne kapja meg a házirend-beállításokat az upstream tárolókhoz társított csoportházirend-objektumoktól. Ebben az esetben le kell tiltania a házirend öröklését a Block Policy inheritance jelölőnégyzet bejelölésével. Minden örökölt házirend-beállítás blokkolva van, és nincs mód az egyes beállítások letiltására. A jelszó- és fiókházirendet meghatározó tartományszintű beállítások nem zárhatók ki.

Rizs. 9. A szabályzat öröklésének blokkolása.

Ha azt szeretné, hogy egy adott csoportházirend-objektum bizonyos beállításai ne legyenek felülírva, válassza ki a kívánt csoportházirend-objektumot, nyomja meg a Beállítások gombot, és válassza a Nincs felülírás lehetőséget. Ez a beállítás kényszeríti a csoportházirend-objektum-beállítások alkalmazását, ha a házirend öröklése le van tiltva. Nincs felülírás azon a helyen, ahol a csoportházirend-objektum a címtárobjektummal van társítva, nem magán a csoportházirend-objektumnál. Ha a csoportházirend-objektum több tárolóhoz kapcsolódik egy tartományban, akkor ez a beállítás nem lesz automatikusan konfigurálva a többi hivatkozáshoz. Ha a No Override beállítás több hivatkozáshoz van konfigurálva ugyanazon a szinten, akkor a lista tetején lévő csoportházirend-objektum beállításai élveznek elsőbbséget (és hatásukat). Ha a No Override beállítások több csoportházirend-objektumhoz vannak konfigurálva különböző szinteken, akkor a címtárhierarchiában magasabban lévő csoportházirend-objektumok lépnek életbe. Ez azt jelenti, hogy ha a Nincs felülírás beállításai úgy vannak beállítva, hogy egy csoportházirend-objektumot egy tartományobjektumhoz, és egy csoportházirend-objektumhoz egy szervezeti egységhez kapcsoljanak, akkor a tartományi szinten meghatározott beállítások lépnek életbe. A Letiltva jelölőnégyzet törli a csoportházirend-objektum hatását erre a tárolóra.

Rizs. 10. Opciók Nincs felülírás és Letiltva.

Ahogy fentebb említettük, a házirendek csak a felhasználókat és a számítógépeket érintik. Gyakran felmerül a kérdés: „hogyan lehet elérni, hogy egy bizonyos házirend hatással legyen egy bizonyos biztonsági csoportba tartozó összes felhasználóra?”. Ehhez a csoportházirend-objektum egy tartományobjektumhoz van kötve (vagy bármely, a tárolók vagy szervezeti egység felett található tárolóhoz, amelyben a kívánt csoport összes felhasználói objektuma található), és meg kell adni a hozzáférési beállításokat. A Biztonság lapon kattintson a Tulajdonságok elemre, törölje a Hitelesített felhasználók csoportot, és adja hozzá a szükséges csoportot csoportházirend olvasási és alkalmazási jogokkal.

A felhasználó számítógépét érintő beállítások meghatározása

A végső konfiguráció meghatározásához és a problémák azonosításához tudnia kell, hogy egy adott felhasználónál vagy számítógépnél mely házirend-beállítások vannak érvényben. Ehhez létezik egy Resultant Set of Policy (az eredő házirendkészlet, RSoP) eszköz. Az RSoP regisztrációs és ütemezési módban is működhet. Az RSoP meghívásához kattintson jobb gombbal a felhasználói vagy számítógépes objektumra, és válassza az Összes feladat lehetőséget.

Rizs. 11. A Resultant Set of Policy eszköz meghívása.

Indításkor (naplózási módban) meg kell adnia, hogy melyik számítógéphez és felhasználóhoz kívánja meghatározni az eredménykészletet, és megjelenik egy eredménybeállítási ablak, amely jelzi, hogy melyik csoportházirend-objektum melyik beállítást alkalmazta.

Rizs. 12. Eredményes szabályzatkészlet.

Egyéb csoportházirend-kezelő eszközök

A GPResult egy parancssori eszköz, amely az RSoP funkciók egy részét biztosítja. A GPResult alapértelmezés szerint minden Windows XP és Windows Server 2003 rendszert futtató számítógépen elérhető.

A GPUpdate kényszeríti a csoportházirendek alkalmazását – mind a helyi, mind az Active Directory alapú. A Windows XP/2003 rendszerben a /refreshpolicy opciót váltotta fel a Windows 2000 secedit eszközében.

A parancs szintaxisának leírása elérhető, ha a /? billentyűvel futtatja őket.

Konklúzió helyett

Ennek a cikknek nem célja a csoportházirendekkel való munka minden szempontjának elmagyarázása, nem a tapasztalt rendszergazdáknak szól. Véleményem szerint a fentiek mindegyike csak valahogy segítene megérteni a politikusokkal való együttműködés alapelveit azok számára, akik még soha nem dolgoztak velük, vagy csak most kezdik elsajátítani őket.

GPResult segédprogram.alkalmazás– egy konzolalkalmazás, amely az Active Directory tartomány számítógépére és/vagy felhasználójára alkalmazott beállítások elemzésére és csoportházirendek diagnosztizálására szolgál. A GPResult lehetővé teszi, hogy adatokat kapjon az eredményül kapott házirend-készletből (Resultant Set of Policy, RSOP), az alkalmazott tartományházirendek (GPO-k) listája, azok beállításai, valamint részletes információk a feldolgozási hibáikról. A segédprogram a Windows XP óta a Windows operációs rendszer része. A GPResult segédprogram lehetővé teszi olyan kérdések megválaszolását, mint például, hogy egy adott házirend vonatkozik-e egy számítógépre, melyik csoportházirend-objektum módosította egy adott Windows-beállítást, és kiderítheti az okokat.

Ebben a cikkben megvizsgáljuk a GPResult parancs használatának sajátosságait a csoportházirendek alkalmazásának diagnosztizálására és hibakeresésére egy Active Directory tartományban.

Kezdetben a csoportházirendek Windows rendszerben való alkalmazásának diagnosztizálására az RSOP.msc grafikus konzolt használták, amely lehetővé tette a kapott házirendek (tartomány + helyi) beállításait a számítógépre és a felhasználóra alkalmazott grafikus formában, hasonló módon megszerezni. a GPO-szerkesztő konzolt (lent, az RSOP.msc konzolnézet példájában láthatja, hogy a frissítési beállítások be vannak állítva).

Az RSOP.msc konzolt azonban a Windows modern verzióiban nem praktikus használni, mert nem tükrözi a különböző kliensoldali bővítmények (CSE), például GPP (Group Policy Preferences) által alkalmazott beállításokat, nem teszi lehetővé a keresést, kevés diagnosztikai információt ad. Ezért jelenleg a GPResult parancs a fő eszköz a GPO használatának diagnosztizálására a Windows rendszerben (a Windows 10 rendszerben még figyelmeztetés is van arra, hogy az RSOP nem ad teljes jelentést, ellentétben a GPResult-tal).

A GPResult.exe segédprogram használata

A GPResult parancs azon a számítógépen fut, amelyen tesztelni szeretné a csoportházirendek alkalmazását. A GPResult parancs szintaxisa a következő:

GPRESULT ]] [(/X | /H) ]

Ha részletes információkat szeretne kapni az adott AD-objektumra (felhasználó és számítógép) vonatkozó csoportházirendekről és a csoportházirend-objektum infrastruktúrájához kapcsolódó egyéb beállításokról (azaz az eredményül kapott GPO-házirend-beállításokról - RsoP), futtassa a parancsot:

A parancs végrehajtásának eredménye 2 részre oszlik:

• SZÁMÍTÓGÉP BEÁLLÍTÁSOK (Számítógép konfiguráció) – a szakasz információkat tartalmaz a számítógépet érintő csoportházirend-objektumokról (Active Directory objektumként);
• FELHASZNÁLÓ BEÁLLÍTÁSOK – a házirendek felhasználói része (az AD-ben lévő felhasználói fiókokra vonatkozó házirendek).

Röviden tekintsük át azokat a főbb paramétereket/szakaszokat, amelyek érdekesek lehetnek számunkra a GPResult kimenetben:

• WebhelyNév(Site name:) - annak az AD oldalnak a neve, ahol a számítógép található;
• CN– teljes kanonikus felhasználó/számítógép, amelyhez az RSoP adatokat generálták;
• UtolsóidőcsoportIrányelvvoltalkalmazott(Utoljára alkalmazott csoportházirend) – a csoportházirendek utolsó alkalmazásának időpontja;
• csoportIrányelvvoltalkalmazotttól től(A csoportházirend alkalmazása innen történt) - a tartományvezérlő, amelyről a csoportházirend-objektum legújabb verziója betöltődött;
• TartományNévés Domaintípus(Domain név, tartomány típusa) – Active Directory tartomány séma neve és verziója;
• AlkalmazottcsoportIrányelvObjektumok(Alkalmazott csoportházirend-objektumok)– az aktív csoportházirend-objektumok listája;
• Akövetkezőcsoportházirend-objektumokvoltaknemalkalmazottmertőkvoltakszűrtki(A következő csoportházirend-objektumok nem kerültek alkalmazásra, mert szűrték őket) - nem alkalmazták (szűrt) GPO-k;
• Afelhasználó/számítógépvanarésznak,-nekakövetkezőBiztonságcsoportok(A felhasználó/számítógép a következő biztonsági csoportok tagja) – Tartománycsoportok, amelyeknek a felhasználó tagja.

Példánkban láthatja, hogy a felhasználói objektumot 4 csoportházirend érinti.

• Alapértelmezett tartományi szabályzat;
• Engedélyezze a Windows tűzfalat;
• DNS-utótag keresési listája

Ha nem szeretné, hogy a konzol egyszerre jelenítsen meg információkat a felhasználói házirendekről és a számítógépes szabályzatokról, akkor a /scope kapcsolóval csak az Önt érdeklő szakaszt jelenítheti meg. Csak az eredményül kapott felhasználói szabályzatok:

gpresult /r /scope:user

vagy csak alkalmazott számítógépes házirendek:

gpresult /r /scope:computer

Mert A Gpresult segédprogram közvetlenül a parancssori konzolra adja ki az adatait, ami nem mindig kényelmes a későbbi elemzéshez; kimenete átirányítható a vágólapra:

gpresult /r |klip

vagy szöveges fájl:

gpresult /r > c:\gpresult.txt

A rendkívül részletes RSOP-információk megjelenítéséhez adja hozzá a /z kapcsolót.

HTML RSOP jelentés a GPResult segítségével

Ezenkívül a GPResult segédprogram HTML-jelentést tud készíteni az alkalmazott eredményházirendekről (Windows 7 és újabb verziókban érhető el). Ez a jelentés részletes információkat tartalmaz a csoportházirendek által beállított összes rendszerbeállításról, valamint az ezeket beállító adott csoportházirend-objektumok nevéről (a struktúráról kapott jelentés hasonlít a Tartománycsoportházirend-kezelési konzol (GPMC) Beállítások lapjára). HTML GPResult jelentést a következő paranccsal hozhat létre:

GPResult /h c:\gp-report\report.html /f

Jelentés generálásához és böngészőben való automatikus megnyitásához futtassa a következő parancsot:

GPResult /h GPResult.html & GPResult.html

A gpresult HTML jelentés meglehetősen sok hasznos információt tartalmaz: láthatóak a csoportházirend-objektumok alkalmazási hibái, a feldolgozási idő (ms-ban), valamint a konkrét házirendek és a CSE alkalmazása (a Számítógép részletei -> Összetevő állapota részben). Például a fenti képernyőképen láthatja, hogy a 24 jelszót emlékezetes beállításokkal rendelkező házirendet az Alapértelmezett tartományházirend (Nyertes GPO oszlop) alkalmazza. Mint látható, egy ilyen HTML-jelentés sokkal kényelmesebb az alkalmazott irányelvek elemzéséhez, mint az rsop.msc konzol.

GPResult adatok lekérése távoli számítógépről

A GPResult adatokat gyűjthet egy távoli számítógépről is, így nincs szükség arra, hogy a rendszergazda helyileg vagy RDP-vel bejelentkezzen egy távoli számítógépre. Az RSOP adatok távoli számítógépről történő gyűjtésének parancsformátuma a következő:

GPResult /s server-ts1 /r

Hasonló módon távolról is gyűjthet adatokat felhasználói és számítógépes szabályzatokból.

A felhasználónévnek nincs RSOP adata

Engedélyezett UAC esetén a GPResult emelt szintű jogosultságok nélküli futtatása csak a csoportházirend egyéni szakaszának beállításait jeleníti meg. Ha mindkét részt (FELHASZNÁLÓI BEÁLLÍTÁSOK és SZÁMÍTÓGÉP BEÁLLÍTÁSOK) egyszerre kell megjeleníteni, akkor a parancsot le kell futtatni. Ha az emelt szintű parancssor a jelenlegi felhasználótól eltérő rendszeren van, a segédprogram figyelmeztetést ad ki INFO: Afelhasználó"tartomány\felhasználó"csinálnemvanRSOPadat ( A 'domain\user' felhasználónak nincsenek RSOP-adatai). Ennek az az oka, hogy a GPResult információkat próbál gyűjteni a futtató felhasználó számára, de azért Ez a felhasználó nem jelentkezett be a rendszerbe, és ehhez a felhasználóhoz nem állnak rendelkezésre RSOP információk. Egy aktív munkamenettel rendelkező felhasználó RSOP-információinak gyűjtéséhez meg kell adnia a fiókját:

gpresult /r /user:tn\edward

Ha nem ismeri a távoli számítógépen bejelentkezett fiók nevét, a következőképpen szerezheti be a fiókot:

qwinsta /SERVER:remotePC1

Ellenőrizze az idő(k)et is az ügyfélen. Az időnek meg kell egyeznie a PDC (elsődleges tartományvezérlő) idővel.

A következő csoportházirend-objektum-irányelvek nem kerültek alkalmazásra, mert kiszűrték őket

A csoportházirendek hibaelhárítása során ügyeljen a szakaszra is: A következő csoportházirend-objektumok nem kerültek alkalmazásra, mert kiszűrték őket (A következő csoportházirend-szabályzatok nem kerültek alkalmazásra, mert kiszűrték őket). Ez a szakasz azon csoportházirend-objektumok listáját jeleníti meg, amelyek valamilyen okból nem vonatkoznak erre az objektumra. Lehetséges lehetőségek, amelyekre a szabályzat nem vonatkozik:

Azt is megtudhatja, hogy a házirendet alkalmazni kell-e egy adott AD-objektumra a Hatékony engedélyek lapon (Speciális -> Hatékony hozzáférés).

Tehát ebben a cikkben áttekintettük a csoportházirendek alkalmazásának diagnosztizálásának jellemzőit a GPResult segédprogrammal, és áttekintettük a használatának tipikus forgatókönyveit.

A Windows Server operációs rendszer funkcionalitása kiszámított és verzióról verzióra javul, egyre több szerep és összetevő van, ezért a mai cikkben megpróbálom röviden leírni az egyes szerepkörök leírása és célja a Windows Server 2016 rendszerben.

Mielőtt folytatná a Windows Server kiszolgálói szerepkörök leírását, nézzük meg, mi is az a " Szerver szerepkör» a Windows Server operációs rendszeren.

Mi az a "kiszolgálói szerepkör" a Windows Server rendszerben?

Szerver szerepkör- ez egy szoftvercsomag, amely egy bizonyos funkció végrehajtását biztosítja a szerver által, és ez a fő funkció. Más szavakkal, " Szerver szerepkör' a szerver célállomása, azaz. mire való. Hogy a szerver elláthassa fő funkcióját, pl. bizonyos szerepet Szerver szerepkör» tartalmazza az ehhez szükséges összes szoftvert ( programok, szolgáltatások).

A kiszolgálónak egy szerepe lehet, ha aktívan használják, vagy több is, ha mindegyik nem terheli túl erősen a szervert, és ritkán használják.

Egy kiszolgálói szerepkör több szerepkör-szolgáltatást is tartalmazhat, amelyek biztosítják a szerepkör funkcionalitását. Például a "kiszolgálói szerepkörben" Webszerver (IIS)” meglehetősen nagy számú szolgáltatást foglal magában, és a „ DNS szerver» nem tartalmazza a szerepkör-szolgáltatásokat, mert ez a szerepkör csak egy funkciót lát el.

A szerepkör-szolgáltatások az Ön igényeitől függően mind együtt, mind egyenként telepíthetők. A szerepkör telepítése lényegében egy vagy több szolgáltatás telepítését jelenti.

A Windows Server is rendelkezik " Alkatrészek" szerver.

Szerverösszetevők (funkció) olyan szoftvereszközök, amelyek nem kiszolgálói szerepkör, hanem egy vagy több szerepkör képességeit bővítik, vagy egy vagy több szerepkört kezelnek.

Egyes szerepkörök nem telepíthetők, ha a kiszolgáló nem rendelkezik a szerepkörök működéséhez szükséges szolgáltatásokkal vagy összetevőkkel. Ezért az ilyen szerepek telepítésekor " Szerepkörök és szolgáltatások hozzáadása varázsló» automatikusan felkéri a szükséges, további szerepkör-szolgáltatások vagy összetevők telepítésére.

A Windows Server 2016 kiszolgálói szerepköreinek leírása

Valószínűleg már ismeri a Windows Server 2016 számos szerepét, mivel ezek már jó ideje léteznek, de ahogy mondtam, a Windows Server minden egyes új verziójával új szerepkörök kerülnek hozzáadásra, amelyek esetleg nem működtek. -val, de szeretnénk tudni, hogy mire valók, ezért kezdjük el megnézni őket.

Jegyzet! A Windows Server 2016 operációs rendszer újdonságairól a "Windows Server 2016 telepítése és az új funkciók áttekintése" című anyagban olvashat..

Mivel a szerepkörök, szolgáltatások és összetevők telepítése és adminisztrációja nagyon gyakran a Windows PowerShell segítségével történik, minden szerepkörhöz és szolgáltatáshoz megjelölök egy nevet, amely a PowerShellben használható a telepítéshez vagy a kezeléshez.

DHCP szerver

Ez a szerepkör lehetővé teszi a dinamikus IP-címek és a kapcsolódó beállítások központi konfigurálását a hálózaton lévő számítógépekhez és eszközökhöz. A DHCP-kiszolgáló szerepkörhöz nem tartoznak szerepszolgáltatások.

A Windows PowerShell neve DHCP.

DNS szerver

Ez a szerepkör névfeloldásra szolgál TCP/IP hálózatokban. A DNS-kiszolgáló szerepkör biztosítja és karbantartja a DNS-t. A DNS-kiszolgáló kezelésének egyszerűsítése érdekében azt általában ugyanarra a kiszolgálóra telepítik, mint az Active Directory tartományi szolgáltatások. A DNS-kiszolgáló szerepkörhöz nem tartoznak szerepszolgáltatások.

A PowerShell szerepkörneve DNS.

Hyper-V

A Hyper-V szerepkörrel virtualizált környezetet hozhat létre és kezelhet. Más szóval, ez egy eszköz a virtuális gépek létrehozására és kezelésére.

A Windows PowerShell szerepkörneve Hyper-V.

Az eszköz állapotának igazolása

Szerep" » lehetővé teszi az eszköz állapotának értékelését a biztonsági paraméterek mért mutatói alapján, például a biztonságos rendszerindítás és a kliens Bitlocker állapotának mutatói alapján.

Ennek a szerepkörnek a működéséhez sok szerepkör szolgáltatásra és összetevőre van szükség, például: több szolgáltatás a szerepkörből " Webszerver (IIS)", komponens" ", komponens" .NET Framework 4.6 szolgáltatásai».

A telepítés során az összes szükséges szerepkör-szolgáltatás és szolgáltatás automatikusan kiválasztásra kerül. A szerep " Az eszköz állapotának igazolása» Nincsenek szerepszolgáltatások.

A PowerShell neve DeviceHealthAttestationService.

Webszerver (IIS)

Megbízható, kezelhető és méretezhető webalkalmazás-infrastruktúrát biztosít. Meglehetősen nagyszámú szolgáltatásból áll (43).

A Windows PowerShell neve Web-Server.

Tartalmazza a következő szerepkör-szolgáltatásokat ( zárójelben feltüntetem a Windows PowerShell nevét):

Webszerver (Web-WebServer)- Szerepkör-szolgáltatások csoportja, amely támogatja a HTML-webhelyeket, az ASP.NET-bővítményeket, az ASP-t és a webszervert. A következő szolgáltatásokból áll:

• Biztonság (webes biztonság)- a webszerver biztonságát biztosító szolgáltatások halmaza.
  • Kérések szűrése (Web-Filtering) - ezekkel az eszközökkel feldolgozhatja a szerverre érkező összes kérést, és szűrheti ezeket a kéréseket a webszerver rendszergazdája által meghatározott speciális szabályok alapján;
  • IP-cím és tartomány korlátozások (Web-IP-Security) – ezek az eszközök lehetővé teszik a hozzáférés engedélyezését vagy megtagadását a webszerveren lévő tartalomhoz a kérésben szereplő forrás IP-címe vagy tartományneve alapján;
  • URL hitelesítés (Web-Url-Auth) – az eszközök lehetővé teszik olyan szabályok kidolgozását, amelyek korlátozzák a webtartalomhoz való hozzáférést, és társítják azokat felhasználókkal, csoportokkal vagy HTTP-fejlécparancsokkal;
  • Digest Authentication (Web-Digest-Auth) – Ez a hitelesítés magasabb szintű biztonságot nyújt, mint az alaphitelesítés. A kivonatolt hitelesítés a felhasználói hitelesítéshez úgy működik, mint egy jelszókivonat átadása egy Windows tartományvezérlőnek;
  • Alapszintű hitelesítés (Web-Basic-Auth) – Ez a hitelesítési módszer erős webböngésző-kompatibilitást biztosít. Használata kis belső hálózatokban javasolt. Ennek a módszernek a fő hátránya, hogy a hálózaton keresztül továbbított jelszavak meglehetősen könnyen elfoghatók és visszafejthetők, ezért használja ezt a módszert az SSL-lel kombinálva;
  • A Windows-hitelesítés (Web-Windows-Auth) egy Windows tartományhitelesítésen alapuló hitelesítés. Más szavakkal, az Active Directory-fiókok segítségével hitelesítheti webhelyei felhasználóit;
  • Client Certificate Mapping Authentication (Web-Client-Auth) – Ez a hitelesítési módszer ügyféltanúsítványt használ. Ez a típus az Active Directory szolgáltatásokat használja a tanúsítványleképezés biztosítására;
  • IIS ügyféltanúsítvány-leképezés hitelesítés (Web-Cert-Auth) – Ez a módszer ügyféltanúsítványokat is használ a hitelesítéshez, de az IIS-t használja a tanúsítványleképezés biztosításához. Ez a típus jobb teljesítményt nyújt;
  • Központosított SSL-tanúsítvány-támogatás (Web-CertProvider) – ezek az eszközök lehetővé teszik az SSL-kiszolgáló tanúsítványainak központi kezelését, ami nagyban leegyszerűsíti ezen tanúsítványok kezelésének folyamatát;
• Szervizelhetőség és diagnosztika (Web-Health)– szolgáltatások készlete webszerverek, webhelyek és alkalmazások figyelésére, kezelésére és hibaelhárítására:
  • http naplózás (Web-Http-Logging) - az eszközök biztosítják a weboldal tevékenység naplózását egy adott szerveren, pl. naplóbejegyzés;
  • ODBC naplózás (Web-ODBC-naplózás) – Ezek az eszközök a webhelytevékenységek naplózását is biztosítják, de támogatják a tevékenység naplózását egy ODBC-kompatibilis adatbázisba;
  • A Request Monitor (Web-Request-Monitor) egy olyan eszköz, amely lehetővé teszi a webalkalmazások állapotának figyelését az IIS-munkafolyamat HTTP-kérelmeire vonatkozó információk elfogásával;
  • Egyéni naplózás (Web-Custom-Logging) – Ezekkel az eszközökkel konfigurálhatja a webszerver-tevékenységek naplózását olyan formátumban, amely jelentősen eltér a szabványos IIS formátumtól. Más szavakkal, létrehozhat saját naplózó modult;
  • A naplózó eszközök (Web-Log-Libraries) a webszerver naplóinak kezelésére és a naplózási feladatok automatizálására szolgáló eszközök;
  • A nyomkövetés (Web-Http-Tracing) egy eszköz a webalkalmazások szabálysértéseinek diagnosztizálására és feloldására.
• http gyakori függvények (Web-Common-Http)– alapvető HTTP-funkciókat biztosító szolgáltatások:
  • Alapértelmezett dokumentum (Web-Default-Doc) – Ezzel a funkcióval beállíthatja, hogy a webszerver alapértelmezett dokumentumot adjon vissza, ha a felhasználók nem adnak meg egy adott dokumentumot a kérés URL-jében, így könnyebben hozzáférhetnek a webhelyhez, például domain, fájl megadása nélkül;
  • Címtárböngészés (Web-Dir-Browsing) – Ezzel az eszközzel egy webszervert konfigurálhat úgy, hogy a felhasználók megtekinthessék a webhelyen található összes könyvtár és fájl listáját. Például olyan esetekben, amikor a felhasználók nem adnak meg fájlt a kérés URL-jében, és az alapértelmezett dokumentumok le vannak tiltva, vagy nincsenek konfigurálva;
  • http-hibák (Web-Http-Errors) – ezzel a funkcióval konfigurálhatja azokat a hibaüzeneteket, amelyek visszaküldésre kerülnek a felhasználók webböngészőinek, ha a webszerver hibát észlel. Ez az eszköz a hibaüzenetek egyszerűbb megjelenítésére szolgál a felhasználók számára;
  • Statikus tartalom (Web-Static-Content) – ez az eszköz lehetővé teszi a webszerveren lévő tartalom használatát statikus fájlformátumok, például HTML-fájlok vagy képfájlok formájában;
  • http átirányítás (Web-Http-Redirect) - ezzel a funkcióval átirányíthatja a felhasználói kérést egy adott célhelyre, pl. ez az átirányítás;
  • WebDAV Publishing (Web-DAV-Publishing) – lehetővé teszi a WebDAV technológia használatát az IIS WEB szerveren. WebDAV ( Webes elosztott szerzői és verziókezelési) egy olyan technológia, amely lehetővé teszi a felhasználók számára, hogy együtt dolgozzanak ( olvasás, szerkesztés, tulajdonságok olvasása, másolás, áthelyezés) távoli webszervereken lévő fájlok felett a HTTP protokoll használatával.
• Teljesítmény (webes teljesítmény)- szolgáltatáskészlet a nagyobb webszerver-teljesítmény eléréséhez a kimeneti gyorsítótárazáson és az olyan általános tömörítési mechanizmusokon keresztül, mint a Gzip és a Deflate:
  • A statikus tartalomtömörítés (Web-Stat-Compression) a http statikus tartalom tömörítésének testreszabására szolgáló eszköz, amely lehetővé teszi a sávszélesség hatékonyabb felhasználását, anélkül, hogy szükségtelen CPU-terhelést igényelne;
  • A dinamikus tartalomtömörítés (Web-Dyn-Compression) a HTTP dinamikus tartalomtömörítés konfigurálására szolgáló eszköz. Ez az eszköz hatékonyabb sávszélesség-kihasználást biztosít, de ebben az esetben a dinamikus tömörítéssel járó szerver CPU-terhelése lelassíthatja a webhelyet, ha a CPU-terhelés tömörítés nélkül is magas.
• Alkalmazásfejlesztés (Web-App-Dev)- webalkalmazások, más szóval weboldal-fejlesztési technológiák fejlesztésére és tárolására szolgáló szolgáltatások és eszközök készlete:
  • Az ASP (Web-ASP) egy olyan környezet, amely ASP technológiát használó webhelyek és webes alkalmazások támogatására és fejlesztésére szolgál. Jelenleg van egy újabb és fejlettebb weboldalfejlesztési technológia - ASP.NET;
  • Az ASP.NET 3.5 (Web-Asp-Net) egy ASP.NET technológiát használó webhelyek és webes alkalmazások objektumorientált fejlesztői környezete;
  • Az ASP.NET 4.6 (Web-Asp-Net45) egy objektum-orientált fejlesztőkörnyezet az ASP.NET új verzióját használó webhelyekhez és webes alkalmazásokhoz;
  • A CGI (Web-CGI) az a lehetőség, hogy a CGI segítségével információkat továbbítson a webszerverről egy külső programnak. A CGI egyfajta interfészszabvány külső program webszerverhez való csatlakoztatásához. Van egy hátránya, a CGI használata befolyásolja a teljesítményt;
  • A Server Side Inclusions (SSI) (Web-Includes) támogatja az SSI szkriptnyelvet ( szerver oldali engedélyezése), amely HTML oldalak dinamikus generálására szolgál;
  • Alkalmazás inicializálása (Web-AppInit) - ez az eszköz elvégzi a webalkalmazások inicializálásának feladatait a weboldal küldése előtt;
  • WebSocket protokoll (Web-WebSockets) - a WebSocket protokoll használatával kommunikáló szerveralkalmazások létrehozásának lehetőségével. A WebSocket egy protokoll, amely egyidejűleg tud adatokat küldeni és fogadni egy böngésző és egy webszerver között TCP-kapcsolaton keresztül, egyfajta kiterjesztése a HTTP protokollnak;
  • ISAPI kiterjesztések (Web-ISAPI-Ext) - webtartalom dinamikus fejlesztésének támogatása az ISAPI alkalmazásprogramozási felület segítségével. Az ISAPI egy API az IIS webszerverhez. Az ISAPI-alkalmazások sokkal gyorsabbak, mint az ASP-fájlok vagy a COM+-összetevőket hívó fájlok;
  • A .NET 3.5 bővíthetőség (Web-Net-Ext) a .NET 3.5 bővíthetőségi szolgáltatása, amely lehetővé teszi a webszerver funkcióinak módosítását, hozzáadását és kiterjesztését a kérésfeldolgozási folyamatban, a konfigurációban és a felhasználói felületen;
  • A .NET 4.6 bővíthetőség (Web-Net-Ext45) egy .NET 4.6 bővíthetőség, amely lehetővé teszi a webszerver-funkciók módosítását, hozzáadását és kiterjesztését a teljes kérésfeldolgozási folyamaton, konfiguráción és felhasználói felületen;
  • ISAPI-szűrők (Web-ISAPI-Filter) – ISAPI-szűrők támogatása. Az ISAPI-szűrők olyan programok, amelyeket akkor hívnak meg, ha egy webszerver egy adott HTTP-kérést kap, hogy ezt a szűrőt feldolgozzák.

FTP - szerver (Web-Ftp-Server)– az FTP protokollt támogató szolgáltatások. Az FTP-kiszolgálóról részletesebben beszéltünk az anyagban - "FTP-kiszolgáló telepítése és konfigurálása Windows Server 2016 rendszeren". A következő szolgáltatásokat tartalmazza:

• FTP szolgáltatás (Web-Ftp-Service) - támogatja az FTP protokollt a webszerveren;
• FTP-bővíthetőség (Web-Ftp-Ext) – Kibővíti a szabványos FTP-képességeket, például olyan funkciók támogatását, mint az egyéni szolgáltatók, az ASP.NET-felhasználók vagy az IIS-kezelő felhasználók.

Kezelőeszközök (Web-Mgmt-Tools) az IIS 10 webszerver felügyeleti eszközei, köztük az IIS felhasználói felület, a parancssori eszközök és a szkriptek.

• Az IIS Management Console (Web-Mgmt-Console) az IIS kezelésének felhasználói felülete;
• A karakterkészletek és az IIS-kezelő eszközök (Web-Scripting-Tools) olyan eszközök és szkriptek, amelyek az IIS-t parancssorral vagy szkriptekkel kezelik. Használhatók például a vezérlés automatizálására;
• Menedzsment szolgáltatás (Web-Mgmt-Service) – ez a szolgáltatás lehetővé teszi a webkiszolgáló távoli kezelését egy másik számítógépről az IIS Manager használatával;
• IIS 6 kompatibilitáskezelés (Web-Mgmt-Compat) – Kompatibilitást biztosít a két IIS API-t használó alkalmazásokhoz és parancsfájlokhoz. A meglévő IIS 6 szkriptek használhatók az IIS 10 webszerver kezelésére:
  • Az IIS 6 kompatibilitási metabázis (Web-Metabase) egy kompatibilitási eszköz, amely lehetővé teszi az IIS korábbi verzióiból áttelepített alkalmazások és karakterkészletek futtatását;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) – Ezek az eszközök lehetővé teszik ugyanazon IIS 6 parancsfájl-kezelési szolgáltatások használatát, amelyeket az IIS 6 kezelésére hoztak létre az IIS 10-ben;
  • Az IIS 6 Management Console (Web-Lgcy-Mgmt-Console) egy eszköz a távoli IIS 6.0 szerverek adminisztrálására;
  • Az IIS 6 WMI-kompatibilitás (Web-WMI) a Windows Management Instrumentation (WMI) parancsfájl-kezelő felülete az IIS 10.0 webszerver-feladatok programozott vezérlésére és automatizálására egy WMI-szolgáltatóban létrehozott parancsfájlok segítségével.

Active Directory tartományi szolgáltatások

Szerep" Active Directory tartományi szolgáltatások» (AD DS) olyan elosztott adatbázist biztosít, amely tárolja és feldolgozza a hálózati erőforrásokról szóló információkat. Ez a szerep a hálózati elemek, például a felhasználók, számítógépek és egyéb eszközök hierarchikus elválasztó struktúrába rendezésére szolgál. A hierarchikus struktúra erdőket, az erdőn belüli tartományokat és az egyes tartományokon belüli szervezeti egységeket (OU-k) tartalmazza. Az AD DS-t futtató kiszolgálót tartományvezérlőnek nevezik.

A Windows PowerShell szerepkörneve AD-Domain-Services.

Windows Server Essentials mód

Ez a szerepkör egy számítógépes infrastruktúra, és kényelmes és hatékony funkciókat biztosít, például: ügyféladatok központi helyen történő tárolása és ezen adatok védelme a szerver és az ügyfélszámítógépek biztonsági mentésével, távoli webelérés, amely lehetővé teszi az adatok elérését gyakorlatilag bármilyen eszközről. . Ez a szerepkör számos szerepkör-szolgáltatást és szolgáltatást igényel, például: BranchCache-szolgáltatások, Windows Server biztonsági mentés, csoportházirend-kezelés, szerepkör-szolgáltatás " DFS névterek».

A PowerShell neve ServerEssentialsRole.

Hálózati vezérlő

A Windows Server 2016-ban bevezetett szerepkör egyetlen automatizálási pontot biztosít az adatközpontban található fizikai és virtuális hálózati infrastruktúra kezeléséhez, figyeléséhez és diagnosztizálásához. Ezzel a szerepkörrel egy pontról konfigurálhatja az IP-alhálózatokat, a VLAN-okat, a Hyper-V gazdagépek fizikai hálózati adaptereit, kezelheti a virtuális kapcsolókat, a fizikai útválasztókat, a tűzfalbeállításokat és a VPN-átjárókat.

A Windows PowerShell neve NetworkController.

Node Guardian Service

Ez a Hosted Guardian Service (HGS) kiszolgálói szerepkör, és tanúsítási és kulcsvédelmi szolgáltatásokat biztosít, amelyek lehetővé teszik a védett gazdagépek árnyékolt virtuális gépek futtatását. Ennek a szerepkörnek a működéséhez számos további szerepre és összetevőre van szükség, például: Active Directory tartományi szolgáltatások, webszerver (IIS), a " Feladatátvételi klaszterezés" és mások.

A PowerShell neve HostGuardianServiceRole.

Active Directory Lightweight címtárszolgáltatások

Szerep" Active Directory Lightweight címtárszolgáltatások» (AD LDS) az AD DS egy egyszerűsített változata, amely kevesebb funkcionalitással rendelkezik, de nem igényel tartományok vagy tartományvezérlők telepítését, és nem rendelkezik az AD DS által megkövetelt függőségekkel és tartománykorlátozásokkal. Az AD LDS az LDAP protokollon keresztül fut ( Lightweight Directory Access Protocol). Több AD LDS-példány telepíthető ugyanazon a kiszolgálón egymástól függetlenül felügyelt sémákkal.

A PowerShell neve ADLDS.

MultiPoint szolgáltatások

Ez egy új szerepkör is, amely új a Windows Server 2016 rendszerben. A MultiPoint Services (MPS) alapvető távoli asztali funkciókat biztosít, amelyek lehetővé teszik, hogy több felhasználó egyidejűleg és egymástól függetlenül dolgozzon ugyanazon a számítógépen. A szerepkör telepítéséhez és működtetéséhez több további szolgáltatást és összetevőt kell telepítenie, például: Nyomtatókiszolgáló, Windows Search Service, XPS Viewer és mások, amelyek mindegyike automatikusan kiválasztásra kerül az MPS telepítése során.

A PowerShell szerepkörének neve MultiPointServerRole.

Windows Server Update Services

Ezzel a szerepkörrel (WSUS) a rendszergazdák kezelhetik a Microsoft frissítéseit. Például hozzon létre külön számítógépcsoportokat a különböző frissítési készletekhez, valamint fogadjon jelentéseket a számítógépek követelményeknek való megfeleléséről és a telepítendő frissítésekről. a működéshez" Windows Server Update Services» Olyan szerepkör-szolgáltatásokra és összetevőkre van szüksége, mint: Webszerver (IIS), Windows belső adatbázis, Windows folyamataktiválási szolgáltatás.

A Windows PowerShell neve UpdateServices.

• WID-kapcsolat (UpdateServices-WidDB) – WID-re állítva ( Windows belső adatbázis) a WSUS által használt adatbázis. Más szavakkal, a WSUS a szolgáltatási adatait WID-ben tárolja;
• A WSUS-szolgáltatások (UpdateServices-Services) a WSUS-szerepkör-szolgáltatások, például a frissítési szolgáltatás, a jelentéskészítési webszolgáltatás, az API távoli webszolgáltatás, az ügyfél webszolgáltatás, a webes egyszerű hitelesítési webszolgáltatás, a kiszolgálószinkronizálási szolgáltatás és a DSS hitelesítési webszolgáltatás;
• Az SQL Server Connectivity (UpdateServices-DB) egy olyan összetevő-telepítés, amely lehetővé teszi a WSUS-szolgáltatás számára, hogy csatlakozzon egy Microsoft SQL Server adatbázishoz. Ez a beállítás biztosítja a szolgáltatási adatok tárolását egy Microsoft SQL Server adatbázisban. Ebben az esetben legalább egy SQL Server-példánynak már telepítve kell lennie.

Mennyiségi licencaktiválási szolgáltatások

Ezzel a kiszolgálói szerepkörrel automatizálhatja és leegyszerűsítheti a Microsoft szoftvereinek mennyiségi licenceinek kiadását, és lehetővé teszi ezen licencek kezelését is.

A PowerShell neve VolumeActivation.

Nyomtatási és dokumentumszolgáltatások

Ez a szerverszerep a nyomtatók és lapolvasók hálózaton való megosztására, a nyomtató- és lapolvasószerverek központi konfigurálására és kezelésére, valamint a hálózati nyomtatók és lapolvasók kezelésére szolgál. A Print and Document Services lehetővé teszi a beszkennelt dokumentumok e-mailben, hálózati megosztásokra vagy Windows SharePoint Services webhelyekre történő küldését is.

A PowerShell neve Print-Services.

• Nyomtatószerver (nyomtatószerver) – Ez a szerepkör-szolgáltatás tartalmazza a " Nyomtatáskezelés”, amely nyomtatók vagy nyomtatószerverek kezelésére, valamint nyomtatók és egyéb nyomtatószerverek migrálására szolgál;
• Nyomtatás az interneten keresztül (Print-Internet) – Az interneten keresztüli nyomtatás megvalósításához egy webhely jön létre, amelyen keresztül a felhasználók kezelhetik a kiszolgálón lévő nyomtatási feladatokat. A szolgáltatás működéséhez, ahogy Ön is tudja, telepítenie kell a " Webszerver (IIS)". Minden szükséges összetevő automatikusan kiválasztásra kerül, ha bejelöli ezt a négyzetet a szerepkör-szolgáltatás telepítési folyamata során " Internetes nyomtatás»;
• Az elosztott szkennelési kiszolgáló (Print-Scan-Server) egy olyan szolgáltatás, amely lehetővé teszi a beolvasott dokumentumok fogadását a hálózati szkennerekről, és célállomásra küldését. Ez a szolgáltatás tartalmazza a " Szkennelés kezelése”, amely a hálózati szkennerek kezelésére és a szkennelés konfigurálására szolgál;
• LPD szolgáltatás (Print-LPD-Service) - LPD szolgáltatás ( Vonalnyomtató démon) lehetővé teszi a UNIX-alapú számítógépek és a Line Printer Remote (LPR) szolgáltatást használó egyéb számítógépek számára, hogy a kiszolgáló megosztott nyomtatóira nyomtathassanak.

Hálózati házirend és hozzáférési szolgáltatások

Szerep" » (NPAS) lehetővé teszi a Network Policy Server (NPS) számára, hogy beállítsa és kényszerítse ki a hálózati hozzáférést, hitelesítést és engedélyezést, valamint az ügyfélállapot-házirendeket, más szóval a hálózat biztonságát.

A Windows PowerShell neve NPAS.

Windows-telepítési szolgáltatások

Ezzel a szerepkörrel távolról telepítheti a Windows operációs rendszert hálózaton keresztül.

A PowerShell szerepkörneve WDS.

• Telepítési kiszolgáló (WDS-Deployment) – ez a szerepkör-szolgáltatás a Windows operációs rendszerek távoli üzembe helyezéséhez és konfigurálásához készült. Lehetővé teszi képek létrehozását és testreszabását is az újrafelhasználáshoz;
• Transport Server (WDS-Transport) – Ez a szolgáltatás tartalmazza azokat az alapvető hálózati összetevőket, amelyekkel adatokat továbbíthat csoportos küldéssel egy önálló szerveren.

Active Directory tanúsítványszolgáltatások

Ez a szerepkör célja a tanúsítványkibocsátók és a kapcsolódó szerepkör-szolgáltatások létrehozása, amelyek lehetővé teszik a tanúsítványok kiadását és kezelését különböző alkalmazásokhoz.

A Windows PowerShell neve AD-tanúsítvány.

A következő szerepkör-szolgáltatásokat tartalmazza:

• Hitelesítés-szolgáltató (ADCS-Cert-Authority) - ezzel a szerepkör-szolgáltatással tanúsítványokat állíthat ki felhasználóknak, számítógépeknek és szolgáltatásoknak, valamint kezelheti a tanúsítvány érvényességét;
• Tanúsítványigénylési házirend webszolgáltatás (ADCS-Enroll-Web-Pol) – Ez a szolgáltatás lehetővé teszi a felhasználók és a számítógépek számára, hogy egy webböngészőből lekérjék a tanúsítványigénylési szabályzatra vonatkozó információkat, még akkor is, ha a számítógép nem tagja egy tartománynak. Működéséhez szükséges Webszerver (IIS)»;
• Tanúsítványigénylési webszolgáltatás (ADCS-Enroll-Web-Svc) – Ez a szolgáltatás lehetővé teszi a felhasználók és számítógépek számára a tanúsítványok regisztrálását és megújítását webböngésző használatával HTTPS-kapcsolaton keresztül, még akkor is, ha a számítógép nem tagja egy tartománynak. Működnie is kell Webszerver (IIS)»;
• Online válaszadó (ADCS-Online-Cert) – A szolgáltatás célja, hogy ellenőrizze az ügyfelek tanúsítványainak visszavonását. Más szóval, elfogadja az adott tanúsítványok visszavonási állapotkérelmét, értékeli a tanúsítványok állapotát, és aláírt választ küld vissza az állapotra vonatkozó információkkal. A szolgáltatás működéséhez szükséges Webszerver (IIS)»;
• Certificate Authority Web Enrollment Service (ADCS-Web-Enrollment) – Ez a szolgáltatás webes felületet biztosít a felhasználók számára olyan feladatok elvégzéséhez, mint például a tanúsítványok kérése és megújítása, a CRL-ek beszerzése és az intelligens kártya tanúsítványok regisztrálása. A szolgáltatás működéséhez szükséges Webszerver (IIS)»;
• Hálózati eszközregisztrációs szolgáltatás (ADCS-Device-Enrollment) – Ezzel a szolgáltatással tanúsítványokat állíthat ki és kezelhet olyan útválasztók és egyéb hálózati eszközök számára, amelyek nem rendelkeznek hálózati fiókkal. A szolgáltatás működéséhez szükséges Webszerver (IIS)».

Távoli asztali szolgáltatások

Egy kiszolgálói szerepkör, amely virtuális asztali számítógépekhez, munkamenet-alapú asztali számítógépekhez és távoli alkalmazásokhoz való hozzáférés biztosítására használható.

A Windows PowerShell szerepkörneve Remote-Desktop-Services.

A következő szolgáltatásokból áll:

• Távoli asztali webelérés (RDS-Web-Access) – Ez a szerepkör-szolgáltatás lehetővé teszi a felhasználók számára a távoli asztalok és RemoteApp alkalmazások elérését a " Rajt» vagy webböngésző használatával;
• Távoli asztali licencelés (RDS-Licensing) – A szolgáltatás a távoli asztali munkamenetgazda-kiszolgálóhoz vagy virtuális asztalhoz való csatlakozáshoz szükséges licencek kezelésére szolgál. Használható telepítésre, licencek kiadására és elérhetőségük nyomon követésére. Ehhez a szolgáltatáshoz " Webszerver (IIS)»;
• A Remote Desktop Connection Broker (RDS-Connection-Broker) egy olyan szerepkör-szolgáltatás, amely a következő lehetőségeket nyújtja: a felhasználó újracsatlakoztatása egy meglévő virtuális asztalhoz, RemoteApp alkalmazáshoz és munkamenet-alapú asztalhoz, valamint terheléselosztás a távoli munkamenet-gazdaszerverek asztali számítógépei között. vagy egyesített virtuális asztalok között. Ehhez a szolgáltatáshoz a " »;
• Remote Desktop Virtualization Host (DS-Virtualization) – A szolgáltatás lehetővé teszi a felhasználók számára, hogy a RemoteApp és a Desktop Connection segítségével virtuális asztalokhoz kapcsolódjanak. Ez a szolgáltatás a Hyper-V-vel együtt működik, azaz. ezt a szerepet telepíteni kell;
• Remote Desktop Session Host (RDS-RD-Server) – Ez a szolgáltatás RemoteApp-alkalmazásokat és munkamenet-alapú asztali számítógépeket tud tárolni egy kiszolgálón. A hozzáférés a Remote Desktop Connection kliensen vagy a RemoteAppson keresztül történik;
• Remote Desktop Gateway (RDS-Gateway) – A szolgáltatás lehetővé teszi a jogosult távoli felhasználók számára, hogy virtuális asztali számítógépekhez, RemoteApps-okhoz és munkamenet-alapú asztalokhoz kapcsolódjanak vállalati hálózaton vagy az interneten keresztül. Ehhez a szolgáltatáshoz a következő kiegészítő szolgáltatásokra és összetevőkre van szükség: Webszerver (IIS)», « Hálózati házirend és hozzáférési szolgáltatások», « RPC HTTP-proxyn keresztül».

AD RMS

Ez egy kiszolgálói szerepkör, amely lehetővé teszi, hogy megvédje az információkat a jogosulatlan használattól. Érvényesíti a felhasználói identitást, és engedélyeket ad a jogosult felhasználóknak a védett adatokhoz való hozzáféréshez. Ez a szerepkör további szolgáltatásokat és összetevőket igényel: Webszerver (IIS)», « Windows folyamataktiválási szolgáltatás», « .NET Framework 4.6 szolgáltatásai».

A Windows PowerShell neve ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - a telepítéshez szükséges főszerep szolgáltatás;
• Az identitás-összevonási támogatás (ADRMS-Identity) egy opcionális szerepkör-szolgáltatás, amely lehetővé teszi az egyesített identitások számára, hogy az Active Directory összevonási szolgáltatások használatával védett tartalmat fogyaszthassanak.

AD FS

Ez a szerepkör egyszerűsített és biztonságos identitás-összevonást és egyszeri bejelentkezési (SSO) funkciót biztosít a böngészőt használó webhelyek számára.

A PowerShell neve ADFS-Federation.

Távoli hozzáférés

Ez a szerepkör kapcsolatot biztosít DirectAccess, VPN és webalkalmazás-proxy segítségével. A szerep is Távoli hozzáférés"hagyományos útválasztási lehetőségeket biztosít, beleértve a hálózati címfordítást (NAT) és más csatlakozási lehetőségeket. Ez a szerepkör további szolgáltatásokat és szolgáltatásokat igényel: Webszerver (IIS)», « Windows belső adatbázis».

A Windows PowerShell szerepkörneve RemoteAccess.

• DirectAccess és VPN (RAS) (DirectAccess-VPN) - a szolgáltatás lehetővé teszi a felhasználók számára, hogy a DirectAccess segítségével bármikor csatlakozzanak a vállalati hálózathoz internet-hozzáféréssel, valamint VPN-kapcsolatokat szervezzenek alagút- és adattitkosítási technológiákkal kombinálva;
• Útválasztás (Routing) - a szolgáltatás támogatja a NAT-útválasztókat, a BGP-protokollokkal rendelkező LAN-útválasztókat, a RIP-protokollokat és a multicast-támogatással rendelkező útválasztókat (IGMP-proxy);
• Webalkalmazás-proxy (Web-alkalmazás-proxy) – A szolgáltatás lehetővé teszi a HTTP- és HTTPS-protokollokon alapuló alkalmazások közzétételét a vállalati hálózatról a vállalati hálózaton kívüli ügyféleszközökre.

Fájl- és tárolási szolgáltatások

Ez egy kiszolgálói szerepkör, amely fájlok és mappák megosztására, megosztások kezelésére és vezérlésére, fájlok replikálására, gyors fájlkeresésre, valamint UNIX ügyfélszámítógépek hozzáférésének biztosítására használható. A fájlszolgáltatásokat és különösen a fájlszervert a „Fájlszerver (Fájlkiszolgáló) telepítése Windows Server 2016 rendszeren” című anyagban tárgyaltuk részletesebben.

A Windows PowerShell neve FileAndStorage-Services.

Tárolási szolgáltatások- Ez a szolgáltatás olyan tároláskezelési funkciókat biztosít, amelyek mindig telepítve vannak, és nem távolíthatók el.

Fájlszolgáltatások és iSCSI-szolgáltatások (fájlszolgáltatások) olyan technológiák, amelyek leegyszerűsítik a fájlszerverek és -tárolók kezelését, lemezterületet takarítanak meg, replikációt és gyorsítótárazást biztosítanak a fájlok ágakban, valamint fájlmegosztást biztosítanak az NFS protokollon keresztül. A következő szerepkör-szolgáltatásokat tartalmazza:

• Fájlszerver (FS-FileServer) - szerepkör-szolgáltatás, amely kezeli a megosztott mappákat, és hozzáférést biztosít a felhasználóknak a számítógépen található fájlokhoz a hálózaton keresztül;
• Adatduplikáció (FS-Data-Deduplication) – ez a szolgáltatás lemezterületet takarít meg azzal, hogy azonos adatokból csak egy példányt tárol egy köteten;
• Fájlkiszolgáló erőforrás-kezelő (FS-Resource-Manager) - ezzel a szolgáltatással kezelheti a fájlszerveren lévő fájlokat és mappákat, tárhelyjelentéseket hozhat létre, fájlokat és mappákat osztályozhat, konfigurálhat mappakvótákat és meghatározhat fájlblokkoló házirendeket;
• iSCSI Target Storage Provider (VDS- és VSS-hardverszolgáltatók) (iSCSITarget-VSS-VDS) – A szolgáltatás lehetővé teszi az iSCSI-célhoz csatlakoztatott kiszolgálón lévő alkalmazások számára, hogy árnyékmásolják az iSCSI virtuális lemezeken lévő köteteket;
• DFS névterek (FS-DFS-Namespace) – ezzel a szolgáltatással csoportosíthatja a különböző kiszolgálókon tárolt megosztott mappákat egy vagy több logikusan felépített névtérbe;
• Munka mappák (FS-SyncShareService) - a szolgáltatás lehetővé teszi a munkafájlok használatát különböző számítógépeken, beleértve a munkahelyi és a személyes adatokat is. Fájljait a munkamappákban tárolhatja, szinkronizálhatja, és elérheti őket a helyi hálózatról vagy az internetről. A szolgáltatás működéséhez a "komponens" IIS In-Process Web Core»;
• Az DFS-replikáció (FS-DFS-Replication) egy többkiszolgálós adatreplikációs motor, amely lehetővé teszi mappák szinkronizálását LAN- vagy WAN-kapcsolaton keresztül. Ez a technológia a Remote Differential Compression (RDC) protokollt használja a fájlok csak azon részének frissítésére, amely az utolsó replikáció óta megváltozott. Az elosztott fájlrendszer-replikáció használható DFS névterekkel vagy anélkül;
• Szerver NFS-hez (FS-NFS-Service) – A szolgáltatás lehetővé teszi a számítógép számára, hogy fájlokat osszon meg UNIX-alapú számítógépekkel és más, a Network File System (NFS) protokollt használó számítógépekkel;
• iSCSI Target Server (FS-iSCSITarget-Server) – szolgáltatásokat és kezelést biztosít az iSCSI-célokhoz;
• BranchCache szolgáltatás hálózati fájlokhoz (FS-BranchCache) – A szolgáltatás BranchCache támogatást biztosít ezen a fájlkiszolgálón;
• Fájlkiszolgáló VSS-ügynök szolgáltatás (FS-VSS-Agent) – A szolgáltatás lehetővé teszi az adatfájlokat ezen a fájlkiszolgálón tároló alkalmazások számára a kötet árnyékmásolatát.

faxszerver

A szerepkör faxokat küld és fogad, és lehetővé teszi a faxerőforrások, például feladatok, beállítások, jelentések és faxeszközök kezelését ezen a számítógépen vagy a hálózaton. Munkavégzéshez szükséges Nyomtatószerver».

A Windows PowerShell szerepkörneve Fax.

Ezzel befejeződött a Windows Server 2016 kiszolgálói szerepköreinek áttekintése, remélem, egyelőre hasznos volt az anyag!

Socket-kiszolgáló fejlesztése előtt létre kell hoznia egy házirend-kiszolgálót, amely megmondja a Silverlightnak, hogy mely ügyfelek csatlakozhatnak a socket-kiszolgálóhoz.

Amint fentebb látható, a Silverlight nem engedélyezi a tartalom betöltését vagy a webszolgáltatás meghívását, ha a tartomány nem rendelkezik clientaccesspolicy .xml vagy crossdomain fájllal. xml, ahol ezek a műveletek kifejezetten engedélyezettek. Hasonló korlátozás vonatkozik a socket szerverre is. Ha nem engedélyezi az ügyféleszköznek a távoli hozzáférést lehetővé tevő clientaccesspolicy .xml fájl letöltését, a Silverlight megtagadja a kapcsolat létrehozását.

Sajnos ügyfél-hozzáférési szabályzat biztosítása. cml-t egy socket-alkalmazásba nagyobb kihívás, mint a webhelyen keresztül történő biztosítása. Webhely használatakor a webszerver szoftver biztosíthat egy clientaccesspolicy .xml fájlt, de ne felejtse el hozzáadni. Ugyanakkor egy socket alkalmazás használatakor meg kell nyitnia egy socketet, amelyhez az ügyfélalkalmazások hozzáférhetnek a házirend-kérelmekkel. Ezenkívül manuálisan kell létrehoznia a socketet kiszolgáló kódot. E feladatok végrehajtásához létre kell hoznia egy házirend-kiszolgálót.

A következőkben bemutatjuk, hogy a házirend-kiszolgáló ugyanúgy működik, mint az üzenetkiszolgáló, csak valamivel egyszerűbb interakciókat kezel. Az üzenetkiszolgálók és házirendek külön-külön vagy egy alkalmazásban kombinálhatók. A második esetben figyelniük kell a különböző szálakon érkező kéréseket. Ebben a példában létrehozunk egy házirend-kiszolgálót, majd kombináljuk egy üzenetkiszolgálóval.

Házirend-kiszolgáló létrehozásához először létre kell hoznia egy .NET-alkalmazást. Bármilyen típusú .NET-alkalmazás szolgálhat házirend-kiszolgálóként. A legegyszerűbb módja egy konzolalkalmazás használata. Miután elvégezte a konzolalkalmazás hibakeresését, áthelyezheti a kódot egy Windows-szolgáltatásba, hogy az folyamatosan a háttérben fusson.

Házirend-fájl

A következő a házirend-kiszolgáló által biztosított házirendfájl.

A házirendfájl három szabályt határoz meg.

Lehetővé teszi a hozzáférést a 4502 és 4532 közötti összes porthoz (ez a Silverlight kiegészítő által támogatott portok teljes skálája). Az elérhető portok tartományának módosításához módosítsa az elem portattribútumának értékét.

Lehetővé teszi a TCP hozzáférést (az engedélyt az elem protokoll attribútuma határozza meg).

Lehetővé teszi a hívást bármely tartományból. Ezért a kapcsolatot létesítő Silverlight alkalmazást bármely webhely tárolhatja. A szabály módosításához szerkesztenie kell az elem uri attribútuma.

A dolgok megkönnyítése érdekében a házirendszabályok a projekthez hozzáadott clientaccess-ploi.cy.xml fájlba kerülnek. A Visual Studio programban a házirendfájl Másolás a kimeneti könyvtárba paraméterét Cop Always értékre kell állítani. csak meg kell találnia a fájlt a merevlemezen, nyissa meg, és visszaküldi a tartalmát az ügyféleszközre.

PolicyServer osztály

A házirend-kiszolgáló funkciói két kulcsosztályon alapulnak: PolicyServer és PolicyConnection. A PolicyServer osztály kezeli a kapcsolatokra való várakozást. Amikor kap egy kapcsolatot, átadja a vezérlést a PoicyConnection osztály egy új példányának, amely átadja a házirendfájlt az ügyfélnek. Ez a két részből álló eljárás általános a hálózati programozásban. Ezt többször is látni fogja, ha üzenetszerverekkel dolgozik.

A PolicyServer osztály betölti a házirendfájlt a merevlemezről, és bájtok tömbjeként tárolja a mezőben.

Public Class PolicyServer

privát bájt házirend;

public PolicyServer(karakterlánc policyFile) (

A figyelés megkezdéséhez a szerveralkalmazásnak meg kell hívnia a PolicyServert. Rajt(). Létrehoz egy TcpListener objektumot, amely figyeli a kéréseket. A TcpListener objektum úgy van beállítva, hogy a 943-as porton figyeljen. A Silverlightban ez a port a házirend-kiszolgálók számára van fenntartva. Ha házirendfájlokat kér, a Silverlight alkalmazás automatikusan a 943-as portra irányítja azokat.

privát TcpListener figyelő;

public void Start()

// Hallgató létrehozása

hallgató = new TcpListener(IPAddress.Any, 943);

// Hallgatás indítása; a Start() metódus azonnal visszaadja a II-t a hallgató hívása után.Start();

// Várakozás a kapcsolatra; a metódus azonnal visszatér;

A II várakozás külön szálban történik

A felajánlott kapcsolat elfogadásához a házirend-kiszolgáló meghívja a BeginAcceptTcpClient() metódust. A .NET-keretrendszer összes Beginxxx() metódusához hasonlóan a hívás után azonnal visszatér, és egy külön szálon végzi el a szükséges műveleteket. Hálózati alkalmazásoknál ez nagyon jelentős tényező, mivel lehetővé teszi számos házirendfájlokra vonatkozó kérés egyidejű feldolgozását.

Jegyzet. A kezdő hálózati programozók gyakran csodálkoznak azon, hogyan lehet egyszerre több kérést feldolgozni, és úgy gondolják, hogy ehhez több szerverre van szükség. Azonban nem. Ezzel a megközelítéssel az ügyfélalkalmazások gyorsan kifogynának az elérhető portokból. A gyakorlatban a szerveralkalmazások sok kérést dolgoznak fel egyetlen porton keresztül. Ez a folyamat az alkalmazások számára láthatatlan, mivel a Windows beépített TCP-alrendszere automatikusan azonosítja az üzeneteket, és az alkalmazáskód megfelelő objektumaihoz irányítja. Minden kapcsolat négy paraméter alapján egyedileg azonosítható: az ügyfél IP-címe, az ügyfélportszám, a szerver IP-címe és a szerver portszáma.

Minden kérésnél az OnAcceptTcpClient() visszahívási metódus aktiválódik. Újra meghívja a BeginAcceptTcpClient O metódust, hogy elkezdjen várni a következő kérésre egy másik szálon, majd elkezdi feldolgozni az aktuális kérést.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Irányelvkérés érkezett."); // Várakozás a következő kapcsolatra.

hallgató.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Az aktuális kapcsolat kezelése.

TcpClient kliens = hallgató.EndAcceptTcpClient(ar); PolicyConnection policyConnection = new PolicyConnection(kliens, szabályzat); policyConnection.HandleRequest() ;

fogás (Kivétel hiba) (

Minden alkalommal, amikor új kapcsolat érkezik, egy új PolicyConnection objektum jön létre a kezeléséhez. Ezenkívül a PolicyConnection objektum egy házirendfájlt is karbantart.

A PolicyServer osztály utolsó összetevője a Stop() metódus, amely nem vár a kérésekre. Az alkalmazás meghívja, amikor leáll.

privát bool isStopped;

public void StopO(

isStopped = igaz;

hallgató. állj meg();

fogás (Kivétel hiba) (

Console.WriteLine(err.Message);

A következő kódot használja az alkalmazáskiszolgáló Main() metódusa a házirend-kiszolgáló indításához.

static void Main(string args) (

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("A házirend-kiszolgáló elindult."); Console.WriteLine("Nyomja meg az Enter billentyűt a kilépéshez.");

// Billentyűnyomásra vár; a // Console.ReadKey() metódussal beállíthatjuk, hogy várjon egy adott // sorra (például kilép), vagy megnyomjon bármilyen billentyűt Console.ReadLine();

policyServer.Stop();

Console.WriteLine("A házirend-kiszolgáló leállítása.");

PolicyConnection osztály

A PolicyConnection osztály egyszerűbb feladatot hajt végre. A PolicyConnection objektum a házirendfájl adataira vonatkozó hivatkozást tárol. Ezután a HandleRequest() metódus meghívása után a PolicyConnection objektum lekér egy új kapcsolatot a hálózati adatfolyamból, és megpróbálja beolvasni. A kliens eszköznek szöveget tartalmazó karakterláncot kell küldenie, melynek elolvasása után a kliens eszköz a házirend-adatokat a folyamba írja és megszakítja a kapcsolatot. A következő a PolicyConnection osztály kódja.

nyilvános osztály PolicyConnection(

privát TcpClient kliens; privát bájt házirend;

nyilvános PolicyConnection (TcpClient kliens, bájt házirend) (

this.client = kliens; this.policy = politika;

// Klienskérelem létrehozása privát statikus karakterlánc policyRequestString = "

public void HandleRequest()(

Stream s = kliens.GetStream(); // A házirend lekérdezési karakterláncának olvasása

bájt puffer = új bájt;

// Várjon csak 5 másodpercet kliens.ReceiveTimeout = 5000;'

s.Read(puffer, 0, puffer.Length);

// A házirend átadása (ellenőrizheti azt is, hogy a házirend-kérelem // rendelkezik-e a szükséges tartalommal) s.Write(policy, 0, policy.Length);

// A kliens kapcsolat bezárása.Close();

Console.WriteLine("Szabályfájl kiszolgálva.");

Tehát van egy teljesen működő házirend-kiszolgálónk. Sajnos még nem tesztelhető, mert a Silverlight bővítmény nem teszi lehetővé a házirendfájlok kifejezett kérését. Ehelyett automatikusan lekéri őket, amikor egy socket alkalmazást próbál használni. Mielőtt kliens alkalmazást hozhatna létre ehhez a socket alkalmazáshoz, létre kell hoznia egy kiszolgálót.

A témát folytatva:

Új cikkek

/

A Windows telepítésekor a legtöbb nem alapvető alrendszer nincs aktiválva vagy telepítve. Ez biztonsági okokból történik. Mivel a rendszer alapértelmezés szerint biztonságos, a rendszergazdák egy olyan rendszer megtervezésére összpontosíthatnak, amely azt csinálja, amit csinál, és semmi többre. A kívánt szolgáltatások engedélyezése érdekében a Windows felkéri a kiszolgálói szerepkör kiválasztására.

Szerepek

A kiszolgálói szerepkör olyan programok halmaza, amelyek megfelelően telepítve és konfigurálva lehetővé teszik a számítógép számára, hogy bizonyos funkciókat hajtson végre több felhasználó vagy a hálózat más számítógépei számára. Általánosságban minden szerep a következő jellemzőkkel rendelkezik.

• Meghatározzák a számítógép használatának fő funkcióját, célját vagy rendeltetését. Kijelölhet egy számítógépet egy olyan szerep betöltésére, amelyet gyakran használnak a vállalatban, vagy több szerepet is betölthet, ha minden szerepet csak alkalmanként használnak.
• A szerepkörök révén a felhasználók a szervezet egészében hozzáférhetnek más számítógépek által kezelt erőforrásokhoz, például webhelyekhez, nyomtatókhoz vagy különböző számítógépeken tárolt fájlokhoz.
• Általában saját adatbázisaik vannak, amelyek sorba állítják a felhasználói vagy számítógépes kéréseket, vagy információkat rögzítenek a szerepkörhöz társított hálózati felhasználókról és számítógépekről. Az Active Directory tartományi szolgáltatások például tartalmaz egy adatbázist a hálózaton lévő összes számítógép nevének és hierarchikus kapcsolatainak tárolására.
• A megfelelő telepítés és konfigurálás után a szerepek automatikusan működnek. Ez lehetővé teszi, hogy a számítógépek, amelyekre telepítve vannak, korlátozott felhasználói interakció mellett hajtsanak végre hozzárendelt feladatokat.

Szerepköri szolgáltatások

A szerepszolgáltatások olyan programok, amelyek egy szerepkör funkcionalitását biztosítják. Egy szerepkör telepítésekor kiválaszthatja, hogy mely szolgáltatásokat nyújtson a vállalat többi felhasználójának és számítógépének. Egyes szerepkörök, például a DNS-kiszolgáló, csak egy funkciót látnak el, ezért nincsenek szerepszolgáltatások. Más szerepkörök, például a Remote Desktop Services, számos szolgáltatással rendelkeznek, amelyeket a vállalat távoli hozzáférési igényei alapján telepíthet. A szerepkört szorosan kapcsolódó, egymást kiegészítő szerepszolgáltatások gyűjteményeként lehet felfogni. A legtöbb esetben egy szerepkör telepítése egy vagy több szolgáltatás telepítését jelenti.

Alkatrészek

Az összetevők olyan programok, amelyek nem közvetlenül a szerepkörök részét képezik, de támogatják vagy bővítik egy vagy több szerepkör vagy a teljes kiszolgáló funkcionalitását, függetlenül attól, hogy mely szerepkörök vannak telepítve. A feladatátvételi fürteszköz például kiterjeszti más szerepköröket, például a fájlszolgáltatásokat és a DHCP-kiszolgálót, lehetővé téve számukra, hogy kiszolgálófürtökhöz csatlakozzanak, ami fokozott redundanciát és teljesítményt biztosít. A másik összetevő, a Telnet Client lehetővé teszi a távoli kommunikációt a Telnet szerverrel hálózati kapcsolaton keresztül. Ez a funkció javítja a szerver kommunikációs lehetőségeit.

Ha a Windows Server Server Core módban fut, a következő kiszolgálói szerepkörök támogatottak:

• Active Directory tanúsítványszolgáltatások;
• Active Directory tartományi szolgáltatások;
• DHCP szerver
• DNS szerver;
• fájlszolgáltatások (beleértve a fájlszerver erőforrás-kezelőjét);
• Active Directory könnyű címtárszolgáltatások;
• Hyper-V
• Nyomtatási és dokumentumszolgáltatások;
• streaming média szolgáltatások;
• webszerver (beleértve az ASP.NET egy részhalmazát);
• Windows Server Update Server;
• Active Directory jogkezelő szerver;
• Útválasztási és távelérési kiszolgáló és a következő alárendelt szerepkörök:
  • Remote Desktop Connection Broker;
  • engedélyezés;
  • virtualizáció.

Ha a Windows Server Server Core módban fut, a következő kiszolgálófunkciók támogatottak:

• Microsoft .NET-keretrendszer 3.5;
• Microsoft .NET-keretrendszer 4.5;
• Windows PowerShell;
• Háttérben működő intelligens átviteli szolgáltatás (BITS);
• BitLocker meghajtótitkosítás;
• BitLocker hálózati feloldás;
• BranchCache
• adatközponti híd;
• Továbbfejlesztett tárolás;
• feladatátvételi fürtözés;
• Többutas I/O;
• hálózati terheléselosztás;
• PNRP protokoll;
• qWave;
• távoli differenciáltömörítés;
• egyszerű TCP/IP szolgáltatások;
• RPC HTTP-proxyn keresztül;
• SMTP szerver;
• SNMP szolgáltatás;
• Telnet kliens;
• telnet szerver;
• TFTP kliens;
• Windows belső adatbázis;
• Windows PowerShell Web Access;
• Windows aktiválási szolgáltatás;
• szabványos Windows-tárhelykezelés;
• IIS WinRM kiterjesztés;
• WINS szerver;
• WoW64 támogatás.

Szerver szerepkörök telepítése a Kiszolgálókezelő segítségével

A hozzáadáshoz nyissa meg a Kiszolgálókezelőt, és a Kezelés menüben kattintson a Szerepkörök és szolgáltatások hozzáadása elemre:

Megnyílik a Szerepkörök és szolgáltatások hozzáadása varázsló. Kattintson a Tovább gombra

Telepítés típusa, válassza a Szerepkör alapú vagy a szolgáltatás alapú telepítést. Következő:

Szerver kiválasztása - válassza ki szerverünket. Kattintson a Következő kiszolgálói szerepkörök lehetőségre – ha szükséges, válassza ki a szerepköröket, válassza ki a szerepkör-szolgáltatásokat, majd kattintson a Tovább gombra az összetevők kiválasztásához. Az eljárás során a Szerepkörök és szolgáltatások hozzáadása varázsló automatikusan tájékoztatja Önt a célkiszolgálón olyan ütközésekről, amelyek megakadályozhatják a kiválasztott szerepkörök vagy szolgáltatások telepítését vagy normál működését. A rendszer kéri a kiválasztott szerepkörök vagy szolgáltatások által igényelt szerepkörök, szerepkör-szolgáltatások és szolgáltatások hozzáadását is.

Szerepkörök telepítése a PowerShell segítségével

A Windows PowerShell megnyitása Írja be a Get-WindowsFeature parancsot a helyi kiszolgálón elérhető és telepített szerepkörök és szolgáltatások listájának megtekintéséhez. A parancsmag kimenete tartalmazza a telepített és a telepítésre elérhető szerepkörök és szolgáltatások parancsneveit.

Írja be a Get-Help Install-WindowsFeature parancsot az Install-WindowsFeature (MAN) parancsmag szintaxisának és érvényes paramétereinek megtekintéséhez.

Írja be a következő parancsot (a -Restart újraindítja a kiszolgálót, ha a szerepkör telepítése újraindítást igényel).

Install-WindowsFeature-Name -Újrakezd

A szerepek és szerepszolgáltatások leírása

Az alábbiakban ismertetjük az összes szerepkört és szerepkör-szolgáltatást. Nézzük meg a gyakorlatunkban leggyakrabban előforduló webkiszolgálói szerepkör és távoli asztali szolgáltatások speciális beállításait.

Az IIS részletes leírása

• Általános HTTP-szolgáltatások – Alapvető HTTP-összetevők
  • Alapértelmezett dokumentum – lehetővé teszi a webhely indexoldalának beállítását.
  • Címtárböngészés – Lehetővé teszi a felhasználók számára, hogy megtekintsék egy webszerveren lévő címtár tartalmát. A Címtárböngészés használatával automatikusan létrehozhat egy listát a könyvtárban lévő összes könyvtárról és fájlról, ha a felhasználók nem adnak meg fájlt az URL-ben, és az indexoldal le van tiltva vagy nincs konfigurálva
  • HTTP-hibák – lehetővé teszi a böngészőben az ügyfeleknek visszaküldött hibaüzenetek testreszabását.
  • Statikus tartalom – lehetővé teszi statikus tartalom, például képek vagy html-fájlok közzétételét.
  • HTTP átirányítás – Támogatja a felhasználói kérések átirányítását.
  • A WebDAV Publishing lehetővé teszi a fájlok közzétételét webszerverről a HTTP protokoll használatával.
• Egészségügyi és diagnosztikai szolgáltatások – Diagnosztikai összetevők
  • A HTTP naplózás egy adott szerver webhelytevékenységének naplózását biztosítja.
  • Az Egyéni naplózás támogatja a "hagyományos" naplóktól eltérő egyéni naplók létrehozását.
  • A Logging Tools keretrendszert biztosít a webszerver-naplók kezeléséhez és a gyakori naplózási feladatok automatizálásához.
  • Az ODBC naplózás olyan keretrendszert biztosít, amely támogatja a webszerver-tevékenységek naplózását egy ODBC-kompatibilis adatbázisba.
  • A Request Monitor keretet biztosít a webalkalmazások állapotának figyeléséhez azáltal, hogy információkat gyűjt a HTTP-kérésekről egy IIS-munkafolyamatban.
  • A nyomkövetés keretet biztosít a webalkalmazások diagnosztizálásához és hibaelhárításához. A sikertelen kéréskövetés használatával nyomon követheti a nehezen megtalálható eseményeket, például a gyenge teljesítményt vagy a hitelesítési hibákat.
• Teljesítménykomponensek a webszerver teljesítményének növelésére.
  • A statikus tartalomtömörítés keretrendszert biztosít a statikus tartalom HTTP-tömörítésének konfigurálásához
  • A Dynamic Content Compression keretrendszert biztosít a dinamikus tartalom HTTP-tömörítésének konfigurálásához.
• Biztonsági összetevők
  • A kérésszűrés lehetővé teszi az összes bejövő kérés rögzítését és a rendszergazda által beállított szabályok alapján történő szűrését.
  • Az alapszintű hitelesítés lehetővé teszi további jogosultságok beállítását
  • A központosított SSL-tanúsítvány-támogatás egy olyan szolgáltatás, amely lehetővé teszi a tanúsítványok központi helyen, például fájlmegosztáson történő tárolását.
  • A Client Certificate Mapping Authentication ügyféltanúsítványokat használ a felhasználók hitelesítésére.
  • A Digest Authentication úgy működik, hogy jelszókivonatot küld egy Windows tartományvezérlőnek a felhasználók hitelesítése érdekében. Ha az alapvető hitelesítésnél nagyobb biztonságra van szüksége, fontolja meg a Digest hitelesítés használatát
  • Az IIS Client Certificate Mapping Authentication ügyféltanúsítványokat használ a felhasználók hitelesítésére. Az ügyféltanúsítvány egy megbízható forrásból származó digitális azonosító.
  • Az IP- és tartománykorlátozások lehetővé teszik a hozzáférés engedélyezését/megtagadását a kért IP-cím vagy tartománynév alapján.
  • Az URL hitelesítés lehetővé teszi olyan szabályok létrehozását, amelyek korlátozzák a webtartalomhoz való hozzáférést.
  • Windows-hitelesítés Ez a hitelesítési séma lehetővé teszi a Windows tartományi rendszergazdái számára, hogy kihasználják a tartományi infrastruktúra előnyeit a felhasználók hitelesítésére.
• Alkalmazásfejlesztési funkciók
• FTP szerver
  • FTP szolgáltatás Lehetővé teszi az FTP közzétételt a webszerveren.
  • FTP-bővíthetőség Lehetővé teszi az FTP-funkciók támogatását, amelyek kiterjesztik a funkcionalitást
• felügyeleti eszközök
  • Az IIS Management Console telepíti az IIS Managert, amely lehetővé teszi a webszerver grafikus felhasználói felületen keresztüli kezelését
  • Az IIS 6.0 felügyeleti kompatibilitás továbbfejlesztett kompatibilitást biztosít az Admin Base Object (ABO) és a Directory Service Interface (ADSI) Active Directory API-t használó alkalmazások és parancsfájlok számára. Ez lehetővé teszi a meglévő IIS 6.0 szkriptek használatát az IIS 8.0 webszerver számára
  • Az IIS-kezelési parancsfájlok és eszközök biztosítják az infrastruktúrát az IIS-webkiszolgáló programozott kezeléséhez, a parancssor ablakában lévő parancsok használatával vagy parancsfájlok futtatásával.
  • A Kezelőszolgáltatás biztosítja az infrastruktúrát a felhasználói felület, az IIS Manager testreszabásához.

Az RDS részletes leírása

• Remote Desktop Connection Broker – Az asztali és virtuális asztali munkamenetek alapján biztosítja az ügyféleszköz újracsatlakozását a programokhoz.
• Remote Desktop Gateway – Lehetővé teszi a jogosult felhasználók számára, hogy virtuális asztalokhoz, RemoteApp-programokhoz és munkamenet-alapú asztali számítógépekhez kapcsolódjanak vállalati hálózaton vagy az interneten keresztül.
• Távoli asztali licencelés – RDP-licenckezelő eszköz
• Remote Desktop Session Host – Tartalmaz egy kiszolgálót a RemoteApp programok vagy egy asztali munkamenet hosztolására.
• Remote Desktop Virtualization Host – lehetővé teszi az RDP konfigurálását a virtuális gépeken
• Remote Desktop WebAccess – Lehetővé teszi a felhasználók számára, hogy a Start menü vagy a webböngésző segítségével csatlakozzanak az asztali erőforrásokhoz.

Fontolja meg egy terminállicenc-kiszolgáló telepítését és konfigurálását. A fentiek leírják a szerepkörök telepítését, az RDS telepítése nem különbözik más szerepkörök telepítésétől, a Role Servicesben ki kell választanunk a Remote Desktop Licensing és a Remote Desktop Session Host lehetőséget. A telepítés után a Terminálszolgáltatások elem megjelenik a Kiszolgálókezelő-eszközökben. A Terminal Services RD Licensing Diagnoserben két elem található, ez egy eszköz a távoli asztali licencelés működésének diagnosztizálására, és a Remote Desktop Licensing Manager, ez egy licenckezelő eszköz.

Futtassa az RD Licensing Diagnoser programot

Itt láthatjuk, hogy még nincsenek elérhető licencek, mert a licencelési mód nincs beállítva az RD Session Host szerverhez. A licenckiszolgálót a helyi csoportházirendek határozzák meg. A szerkesztő elindításához futtassa a gpedit.msc parancsot. Megnyílik a Helyi csoportházirend-szerkesztő. A bal oldali fában bontsa ki a lapokat:

• Számítógép konfigurációja
• adminisztratív sablonok
• Windows-összetevők
• Távoli asztali szolgáltatások
• Távoli asztali munkamenetgazda
• "Licensing" (licenc)

Nyissa meg a paramétereket Használja a megadott távoli asztali licenckiszolgálókat

A házirend-beállítások szerkesztőablakban engedélyezze a licenckiszolgálót (Engedélyezve). Ezután meg kell határoznia egy licenckiszolgálót a távoli asztali szolgáltatásokhoz. Példámban a licenckiszolgáló ugyanazon a fizikai szerveren található. Adja meg a licenckiszolgáló hálózati nevét vagy IP-címét, majd kattintson az OK gombra. Ha a kiszolgáló neve, a licencszerver a jövőben megváltozik, akkor ugyanabban a részben meg kell változtatnia.

Ezt követően az RD Licensing Diagnoser programban láthatja, hogy a terminállicenc-kiszolgáló konfigurálva van, de nincs engedélyezve. Az engedélyezéshez futtassa a Távoli asztali licenckezelőt

Válassza ki a licenckiszolgálót, amelynek állapota Nincs aktiválva. Az aktiváláshoz kattintson rá a jobb gombbal, és válassza a Szerver aktiválása lehetőséget. Elindul a Kiszolgálóaktiválás varázsló. A Csatlakozási mód lapon válassza az Automatikus csatlakozás lehetőséget. Ezután töltse ki a szervezetre vonatkozó információkat, ezután aktiválódik a licencszerver.

Active Directory tanúsítványszolgáltatások

Az AD CS konfigurálható szolgáltatásokat biztosít a nyilvános kulcsú technológiát használó szoftverbiztonsági rendszerekben használt digitális tanúsítványok kiadásához és kezeléséhez. Az AD CS által biztosított digitális tanúsítványok elektronikus dokumentumok és üzenetek titkosítására és digitális aláírására használhatók. Ezekkel a digitális tanúsítványokkal számítógép-, felhasználói- és eszközfiókok hitelesíthetők a hálózaton. A digitális tanúsítványok a következőkre szolgálnak:

• adatvédelem titkosítás révén;
• integritás digitális aláírásokon keresztül;
• hitelesítés a tanúsítványkulcsok számítógép-, felhasználói és eszközfiókokhoz való kapcsolásával a hálózaton.

Az AD CS a biztonság javítására használható, ha egy felhasználó, eszköz vagy szolgáltatás azonosságát a megfelelő privát kulcshoz köti. Az AD CS által támogatott alkalmazások közé tartoznak a biztonságos többcélú Internet Mail Standard Extensions (S/MIME), biztonságos vezeték nélküli hálózatok, virtuális magánhálózatok (VPN), IPsec, titkosító fájlrendszer (EFS), intelligens kártya bejelentkezés, biztonsági és szállítási réteg biztonsági protokoll. (SSL/TLS) és digitális aláírások.

Active Directory tartományi szolgáltatások

Az Active Directory Domain Services (AD DS) kiszolgálói szerepkör használatával méretezhető, biztonságos és felügyelhető infrastruktúrát hozhat létre a felhasználók és erőforrások kezelésére; címtár-kompatibilis alkalmazásokat is biztosíthat, mint például a Microsoft Exchange Server. Az Active Directory Domain Services elosztott adatbázist biztosít, amely információkat tárol és kezel a hálózati erőforrásokról és a címtár-kompatibilis alkalmazásadatokról. Az AD DS-t futtató kiszolgálót tartományvezérlőnek nevezik. A rendszergazdák az AD DS segítségével a hálózati elemeket, például a felhasználókat, számítógépeket és egyéb eszközöket hierarchikus beágyazott struktúrákba rendezhetik. A hierarchikus beágyazott struktúra tartalmazza az Active Directory erdőt, az erdő tartományait és az egyes tartományok szervezeti egységeit. A biztonsági funkciók be vannak építve az AD DS-be a címtárban található erőforrásokhoz való hitelesítés és hozzáférés-szabályozás formájában. Az egyszeri bejelentkezés révén a rendszergazdák a hálózaton keresztül kezelhetik a címtárinformációkat és -szervezést. A felhatalmazott hálózati felhasználók a hálózati egyszeri bejelentkezést is használhatják a hálózaton bárhol található erőforrásokhoz. Az Active Directory tartományi szolgáltatások a következő további szolgáltatásokat nyújtják.

• A szabályok halmaza egy séma, amely meghatározza a könyvtárban található objektumok és attribútumok osztályait, az objektumok példányaira vonatkozó korlátozásokat és korlátokat, valamint nevük formátumát.
• Globális katalógus, amely információkat tartalmaz a katalógus minden egyes objektumáról. A felhasználók és a rendszergazdák a globális katalógust használhatják a katalógusadatok keresésére, függetlenül attól, hogy a katalógus melyik tartománya tartalmazza ténylegesen a keresett adatokat.
• Lekérdezési és indexelési mechanizmus, amelyen keresztül az objektumokat és tulajdonságaikat közzétehetik és megtalálhatják a hálózati felhasználók és alkalmazások.
• Replikációs szolgáltatás, amely a címtáradatokat hálózaton keresztül osztja el. A tartomány összes írható tartományvezérlője részt vesz a replikációban, és tartalmazza a tartomány összes címtáradatának teljes másolatát. A címtáradatok minden módosítása replikálódik a tartományban az összes tartományvezérlőre.
• Műveleti főszerepek (más néven rugalmas egyetlen főműveletek vagy FSMO-k). A műveletek mestereként működő tartományvezérlőket speciális feladatok elvégzésére tervezték az adatok konzisztenciájának biztosítása és az ütköző címtárbejegyzések elkerülése érdekében.

Active Directory összevonási szolgáltatások

Az AD FS egyszerűsített és biztonságos identitás-összevonási és egyszeri bejelentkezési (SSO) webszolgáltatásokat biztosít azoknak a végfelhasználóknak, akiknek hozzá kell férniük az alkalmazásokhoz egy AD FS-sel védett vállalatban, az összevonási partnerszervezetekben vagy a felhőben. A Windows Server AD FS tartalmaz egy szerepkör-szolgáltatás Az összevonási szolgáltatás identitásszolgáltatóként működik (hitelesíti a felhasználókat, hogy biztonsági tokeneket adjanak az AD FS-ben megbízó alkalmazásokhoz) vagy összevonási szolgáltatóként (más identitásszolgáltatók jogkivonatait alkalmazza, majd biztonsági tokeneket biztosít az AD FS-ben megbízó alkalmazások számára).

Active Directory Lightweight címtárszolgáltatások

Az Active Directory Lightweight Directory Services (AD LDS) egy LDAP protokoll, amely rugalmas támogatást nyújt a címtáralkalmazásokhoz az Active Directory tartományi szolgáltatások függőségei és tartományspecifikus korlátozásai nélkül. Az AD LDS futhat tagi vagy önálló szervereken. Az AD LDS több példányát is futtathatja egymástól függetlenül kezelt sémákkal ugyanazon a kiszolgálón. Az AD LDS szolgáltatási szerepkörrel címtárszolgáltatásokat nyújthat a címtár-kompatibilis alkalmazásoknak anélkül, hogy tartományi és erdőszolgáltatási adatokat használna, és egyetlen erdőszintű séma nélkül.

Active Directory jogkezelési szolgáltatások

Az AD RMS segítségével kiterjesztheti szervezete biztonsági stratégiáját azáltal, hogy a dokumentumokat az Information Rights Management (IRM) használatával védi. Az AD RMS lehetővé teszi a felhasználóknak és a rendszergazdáknak, hogy hozzáférési engedélyeket rendeljenek dokumentumokhoz, munkafüzetekhez és prezentációkhoz az IRM-házirendek segítségével. Ez lehetővé teszi, hogy megvédje a bizalmas információkat az illetéktelen felhasználók általi nyomtatástól, továbbítástól vagy másolástól. Ha egy fájl engedélyeit az IRM korlátozza, a hozzáférési és használati korlátozások az információ helyétől függetlenül érvényesek, mivel a fájl engedélye magában a dokumentumfájlban tárolódik. Az AD RMS-sel és az IRM-mel az egyes felhasználók saját preferenciáikat alkalmazhatják a személyes és bizalmas információk továbbítására vonatkozóan. Segítenek továbbá egy szervezetnek érvényesíteni a vállalati szabályzatokat az érzékeny és személyes adatok felhasználásának és terjesztésének ellenőrzésére. Az AD RMS által támogatott IRM-megoldások a következő képességek biztosítására szolgálnak.

• Állandó használati irányelvek, amelyek az információkkal együtt maradnak, akár áthelyezik, küldik vagy továbbítják.
• Egy további adatvédelmi réteg az érzékeny adatok – például jelentések, termékleírások, ügyfélinformációk és e-mail üzenetek – védelme érdekében, nehogy szándékosan vagy véletlenül illetéktelen kezekbe kerüljenek.
• Akadályozza meg, hogy a jogosult címzettek jogosulatlan küldést, másolást, szerkesztést, nyomtatást, faxolást vagy beillesztést küldjenek a korlátozott tartalmaknak.
• A Microsoft Windows NYOMTATÁSI KÉPERNYŐ funkciójával akadályozza meg a korlátozott tartalom másolását.
• A fájl lejáratának támogatása, amely megakadályozza, hogy a dokumentum tartalma meghatározott idő elteltével megtekinthető legyen.
• Olyan vállalati szabályzatok végrehajtása, amelyek szabályozzák a tartalom szervezeten belüli használatát és terjesztését

Alkalmazásszerver

Az Application Server integrált környezetet biztosít az egyéni szerver alapú üzleti alkalmazások telepítéséhez és futtatásához.

DHCP szerver

A DHCP egy kliens-szerver technológia, amely lehetővé teszi a DHCP-kiszolgálók számára IP-címek kiosztását vagy bérbeadását számítógépekhez és más eszközökhöz, amelyek DHCP-kliensek. A DHCP-kiszolgálók hálózaton történő telepítése automatikusan biztosítja a kliensszámítógépek és más hálózati eszközök számára az IPv4 és IPv6 alapján érvényes IP-címeket. A Windows Server DHCP-kiszolgáló szolgáltatása támogatja a házirend-alapú hozzárendeléseket és a DHCP-feladatátvételt.

DNS szerver

A DNS-szolgáltatás egy hierarchikus elosztott adatbázis, amely DNS-tartománynevek hozzárendelését tartalmazza különböző típusú adatokhoz, például IP-címekhez. A DNS-szolgáltatás lehetővé teszi olyan barátságos nevek használatát, mint például a www.microsoft.com a számítógépek és egyéb erőforrások megtalálásában a TCP/IP-alapú hálózatokon. A Windows Server DNS szolgáltatása továbbfejlesztett támogatást nyújt a DNS biztonsági modulokhoz (DNSSEC), beleértve a hálózati regisztrációt és az automatikus beállítások kezelését.

FAX szerver

A Faxszerver faxokat küld és fogad, és lehetővé teszi a faxerőforrások, például feladatok, beállítások, jelentések és faxeszközök kezelését a faxkiszolgálón.

Fájl- és tárolási szolgáltatások

A rendszergazdák a Fájl- és tárolási szolgáltatások szerepkörrel több fájlkiszolgálót és azok tárolóit állíthatják be, és kezelhetik ezeket a kiszolgálókat a Kiszolgálókezelő vagy a Windows PowerShell segítségével. Néhány speciális alkalmazás a következő funkciókat tartalmazza.

• munkamappák. Használata lehetővé teszi a felhasználók számára, hogy munkahelyi fájlokat tároljanak és hozzáférjenek a vállalati számítógépeken kívüli személyi számítógépeken és eszközökön. A felhasználók kényelmes helyen tárolhatják a munkafájlokat, és bárhonnan hozzáférhetnek hozzájuk. A szervezetek úgy szabályozzák a vállalati adatokat, hogy központilag kezelt fájlszervereken tárolják a fájlokat, és opcionálisan beállítják a felhasználói eszközházirendeket (például titkosítási és képernyőzár jelszavakat).
• Adatduplikáció. Használatával csökkentheti a fájlok tárolásához szükséges lemezterületet, így pénzt takaríthat meg a tárhelyen.
• iSCSI célszerver. Központosított, szoftver- és eszközfüggetlen iSCSI-lemez-alrendszerek létrehozására használható tárolóhálózatokban (SAN).
• Lemezterületek. Használja a magas rendelkezésre állású, rugalmas és méretezhető tárhely üzembe helyezéséhez költséghatékony, iparági szabványos meghajtókkal.
• Szerverkezelő. Több fájlkiszolgáló távoli kezelésére használható egyetlen ablakból.
• Windows PowerShell. Használja a legtöbb fájlszerver-adminisztrációs feladat kezelésének automatizálására.

Hyper-V

A Hyper-V szerepkör lehetővé teszi virtualizált számítási környezet létrehozását és kezelését a Windows Serverbe épített virtualizációs technológia segítségével. A Hyper-V szerepkör telepítése telepíti az előfeltételeket és az opcionális felügyeleti eszközöket. Az előfeltételek közé tartozik a Windows hypervisor, a Hyper-V Virtual Machine Management Service, a WMI virtualizációs szolgáltató és a virtualizációs összetevők, például a VMbus, a Virtualization Service Provider (VSP) és a Virtual Infrastructure Driver (VID).

Hálózati házirend és hozzáférési szolgáltatások

A Network Policy and Access Services a következő hálózati csatlakozási megoldásokat kínálja:

• A Hálózati hozzáférés-védelem az ügyfélállapot-házirendek létrehozására, érvényesítésére és javítására szolgáló technológia. A hálózati hozzáférés védelmével a rendszergazdák beállíthatnak és automatikusan kényszeríthetnek olyan állapotházirendeket, amelyek tartalmazzák a szoftverre, a biztonsági frissítésekre és egyéb beállításokra vonatkozó követelményeket. Azon ügyfélszámítógépeken, amelyek nem felelnek meg az állapotszabályzatnak, korlátozhatja a hálózathoz való hozzáférést mindaddig, amíg konfigurációjukat frissítik, hogy megfeleljenek a házirend követelményeinek.
• Ha a 802.1X-kompatibilis vezeték nélküli hozzáférési pontokat telepíti, a Network Policy Server (NPS) segítségével olyan tanúsítványalapú hitelesítési módszereket telepíthet, amelyek biztonságosabbak, mint a jelszóalapú hitelesítés. A 802.1X-kompatibilis hardver telepítése egy NPS-kiszolgálóval lehetővé teszi az intranet felhasználók hitelesítését, mielőtt csatlakozhatnának a hálózathoz, vagy IP-címet kapnának egy DHCP-kiszolgálótól.
• Ahelyett, hogy minden hálózati hozzáférési kiszolgálón konfigurálna egy hálózati hozzáférési szabályzatot, központilag létrehozhat minden olyan házirendet, amely meghatározza a hálózati csatlakozási kérelmek minden aspektusát (ki csatlakozhat, ha a kapcsolat engedélyezett, a hálózathoz való csatlakozáshoz használandó biztonsági szint ).

Nyomtatási és dokumentumszolgáltatások

A Print and Document Services lehetővé teszi a nyomtatószerver és a hálózati nyomtató feladatok központosítását. Ez a szerepkör azt is lehetővé teszi, hogy beolvasott dokumentumokat fogadjon hálózati szkennerekről, és dokumentumokat tölthessen fel hálózati megosztásokra – a Windows SharePoint Services webhelyére vagy e-mailben.

távoli hozzáférés

A Remote Access Server szerepkör a következő hálózati hozzáférési technológiák logikai csoportja.

• Közvetlen hozzáférés
• Útválasztás és távoli hozzáférés
• Webalkalmazás-proxy

Ezek a technológiák szerepszolgáltatások távelérési kiszolgáló szerepkör. A Remote Access Server szerepkör telepítésekor a Szerepkörök és szolgáltatások hozzáadása varázsló futtatásával telepíthet egy vagy több szerepkör-szolgáltatást.

A Windows Server rendszeren a távelérési kiszolgáló szerepkör lehetővé teszi a DirectAccess és VPN központi adminisztrálását, konfigurálását és figyelését az RRAS távelérési szolgáltatásokkal. A DirectAccess és az RRAS ugyanazon az Edge Serveren telepíthető, és a Windows PowerShell-parancsok és a Távoli hozzáférés-felügyeleti konzol (MMC) segítségével kezelhető.

Távoli asztali szolgáltatások

A Remote Desktop Services felgyorsítja és kibővíti az asztali számítógépek és alkalmazások telepítését bármely eszközön, hatékonyabbá téve a távoli dolgozót, miközben megvédi a kritikus szellemi tulajdont és egyszerűsíti a megfelelőséget. A Remote Desktop Services magában foglalja a Virtual Desktop Infrastructure-t (VDI), a munkamenet-alapú asztali számítógépeket és az alkalmazásokat, így a felhasználók bárhonnan dolgozhatnak.

Kötetaktiválási szolgáltatások

A Volume License Activation Services egy olyan kiszolgálói szerepkör a Windows Server rendszerben, amely a Windows Server 2012-től kezdve automatizálja és leegyszerűsíti a Microsoft-szoftverek mennyiségi licenceinek kiadását és kezelését különféle forgatókönyvekben és környezetekben. A mennyiségi licencaktiválási szolgáltatásokkal együtt telepítheti és konfigurálhatja a kulcskezelési szolgáltatást (KMS) és az Active Directory aktiválását.

Webszerver (IIS)

A Windows Server webkiszolgálói (IIS) szerepköre platformot biztosít webhelyek, szolgáltatások és alkalmazások tárolására. A webszerver használata információkhoz való hozzáférést biztosít a felhasználók számára az interneten, az intraneten és az extraneten. A rendszergazdák a webszerver (IIS) szerepkör használatával több webhelyet, webalkalmazást és FTP-helyet állíthatnak be és kezelhetnek. A különleges jellemzők a következők.

• Használja az Internet Information Services (IIS) Managert az IIS-összetevők konfigurálásához és a webhelyek adminisztrálásához.
• Az FTP protokoll használata lehetővé teszi a webhelytulajdonosok számára a fájlok feltöltését és letöltését.
• Webhely-izoláció használata annak megakadályozására, hogy a szerveren lévő webhelyek hatással legyenek másokra.
• Különféle technológiákkal fejlesztett webalkalmazások testreszabása, mint például a Classic ASP, az ASP.NET és a PHP.
• A Windows PowerShell segítségével automatikusan kezelheti a legtöbb webszerver-felügyeleti feladatot.
• Konszolidáljon több webszervert egy kiszolgálófarmba, amelyet az IIS segítségével lehet felügyelni.

Windows-telepítési szolgáltatások

A Windows Deployment Services lehetővé teszi a Windows operációs rendszerek hálózaton keresztüli üzembe helyezését, ami azt jelenti, hogy nem kell minden operációs rendszert közvetlenül CD-ről vagy DVD-ről telepítenie.

Windows Server Essentials tapasztalat

Ez a szerepkör a következő feladatok elvégzését teszi lehetővé:

• a szerver és a kliens adatok védelme a szerver és a hálózaton lévő összes kliens számítógép biztonsági mentésével;
• kezelheti a felhasználókat és a felhasználói csoportokat egy egyszerűsített szerver-irányítópulton keresztül. Ezenkívül a Windows Azure Active Directory*-val való integráció lehetővé teszi a felhasználók számára, hogy tartományi hitelesítési adataik segítségével könnyen hozzáférjenek az online Microsoft Online szolgáltatásokhoz (például Office 365, Exchange Online és SharePoint Online);
• központi helyen tárolja a vállalati adatokat;
• integrálja a kiszolgálót a Microsoft Online Services szolgáltatással (például Office 365, Exchange Online, SharePoint Online és Windows Intune):
• mindenütt jelenlévő hozzáférési funkciók használata a szerveren (például távoli webelérés és virtuális magánhálózatok) a szerver, a hálózati számítógépek és a rendkívül biztonságos távoli helyekről származó adatok eléréséhez;
• elérheti az adatokat bárhonnan és bármilyen eszközről a szervezet saját internetes portáljával (távoli webelérésen keresztül);
• kezelheti a szervezete e-mailjeit elérő mobileszközöket az Office 365-tel az Active Sync protokollon keresztül az irányítópultról;
• figyeli a hálózat állapotát, és testreszabható állapotjelentéseket kap; jelentések igény szerint generálhatók, személyre szabhatók és e-mailben elküldhetők meghatározott címzetteknek.

Windows Server Update Services

A WSUS-kiszolgáló biztosítja azokat az összetevőket, amelyekre a rendszergazdáknak szükségük van a frissítések kezeléséhez és terjesztéséhez a felügyeleti konzolon keresztül. Ezenkívül a WSUS-kiszolgáló a szervezet más WSUS-kiszolgálóinak frissítéseinek forrása is lehet. A WSUS implementálásakor a hálózaton legalább egy WSUS-kiszolgálónak csatlakoznia kell a Microsoft Update szolgáltatáshoz, hogy információkat kapjon az elérhető frissítésekről. A hálózat biztonságától és konfigurációjától függően a rendszergazda meghatározhatja, hogy hány másik kiszolgáló csatlakozzon közvetlenül a Microsoft Update szolgáltatáshoz.

Helló. Nem tudja regisztrálni a saját fiókját?
írj PM-re - vk.com/watsonshit
- Rendelésre regisztrálunk számlákat.
- Segítünk az UCP 1. és 2. szakaszában.
- Gyors és minőségi kiszolgálás.
- Garanciák, vélemények. Felelősek vagyunk a biztonságért.
- Teljesen más szerverek UCP regisztrációval.
Pacific Coast Project – SW Project stb.

Nem találta meg a választ a kérdésére?Írja meg a megjegyzésekben, és megadom a választ.

) Mire való az OOC chat?
- 1) Ez egy csevegés, amely nem befolyásolja a játékmenetet.

2) Mit jelent a szerepjáték kifejezés?
- 2) A szerepjáték egyfajta játék, amelyben el kell játszani az általam választott szerepet.

3) Ha bármely helyzet nem az Ön javára (gyilkosság / rablás). A tetteid?
- 2) Továbbra is fogok játszani, bármi is történjen.

2) Pénzt kaptál egy csalótól, mit fogsz csinálni?
- 4) Tájékoztatom a szerver adminisztrációját, leiratkozom egy speciális témában, és pénzt adok a /jótékonysághoz.

3) Jogod van megölni egy rendőrt?
- 1) Természetesen csak akkor ölhetek meg rendőrt, ha jó okom van rá.

1) Szabad-e elhaladni a vezetőülésből?
- 4) Nem, az ilyen műveleteket a szerver szabályai tiltják.

4) Megengedett-e a hírességek és film-/sorozat-/rajzfilmfigurák becenevei?
- 3) Nem, tilos.

5) A lövöldözés során gyakorlatilag három szereplőt megöltek, de egy idő után ugyanezek a karakterek már újra játszották a szerepüket. Milyen típusú gyilkosságról van szó?
- 2) Player Kill.

7) Rád lőnek, de nem akarsz meghalni, és ezért...
- 4) Megpróbálsz menekülni és túlélni szerepjátékkal.

2) Van jogod a Bunny-Hop használatához?
- 3) Igen, jogom van használni, ha nem zavarok senkit.

7) Mit fog tenni, ha javaslata van a szerver fejlesztésére?
- 3) Írok róla a fórum megfelelő részében.

3) Kötelező-e leiratkozni a műveletekről kis méretű fegyverek használatakor?
- 4) Nem.

2) Először vagy a szerveren, és egyáltalán nem ismered a parancsokat, mit fogsz csinálni?
- 3) Felteszek egy kérdést az adminisztrációnak az /askq paranccsal, majd várom a választ.

3) Mi a /coin parancs célja?
- minden vitás helyzet megoldására

1) Mi az a metagaming?
- 2) Ez a szerepkörön kívüli információk felhasználása egy szerep eljátszása során.

6) A játékos, akinek karaktere technikailag meghalt egy lövöldözés során, úgy döntött, hogy bosszút áll a vétkeseken, és szerephez kapcsolódó okok nélkül megölte az egyik ellenfelet. Milyen jogsértések vannak itt a játékos részéről?
- 3) Bosszúgyilkosság.

10) Szabad-e pótolni az egészséget egy verekedés/csata során?
- 4) Nem.

8) Szabad-e kirúgni az LSPD alkalmazottait, és mivel jár ez?
- 4) Igen, egy közönséges tűzharc mindkét fél PC-jével végződik. Ha ez ügyirat vagy razzia, a rendőrség PK-t, a bűnözők pedig SK-t kapnak.

6) Mennyi a maximális összeg egy olyan rablásért, amely nem igényel adminisztrációs ellenőrzést?
- 1) $500

9) Milyen nyelvek használhatók szerverünkön?
- 1) Orosz.

7) Hosszas és gondos előkészület után a gyilkos teljesítette a parancsot – ölt. A tervet a legapróbb részletekig kiszámolták, ennek eredményeként a megrendelő bőkezűen fizetett. Mi az áldozat ebben az esetben?
- 1) Karakterölés.

9) Megengedett-e az állami járművek ellopása?
- 2) Igen, de először meg kell kérdezni az adminisztrátort, és a játékszabályzat 9. pontja szerint kell eljárni.

8) Mikor jelenítheti meg a szexuális erőszakot és kegyetlenséget?
- 2) Szexuális erőszak és kegyetlenség csak az RP-ben érintett összes személy beleegyezésével játszható.

10) Mit kell tenned, ha úgy gondolod, hogy a játék nem a szabályok szerint megy?
- 1) Írj a /report címre, ha az adminisztrátor távol van - írj panaszt a fórumon.

7) Hány játékórát kell játszania egy játékosnak, hogy kirabolják?
- 3) 8 óra.

8) Adja meg a /coin parancs helyes használatát. Után:
- abbahagytam a lélegzetem, és megütöttem a labdát, megpróbálva a lyukba dobni.

8) Adja meg a /me parancs helyes használatát:
- /én szélesen mosolyogtam, egyenesen Linda szemébe nézve. Közelebb lépett, majd gyengéden megölelte.

VIRTUÁLIS PÉNZTÁRSASÁG ELADÁSA PACIFIC COAST PROJECT ÉS GRINCH SZEREPJÁTÉK SZERVEREN.
MINDEN INFORMÁCIÓ A CSOPORTBAN!
vk.com/virtongarant