Oferiți o descriere detaliată a politicii serverului cu privire la relație. Oferiți o descriere detaliată a politicii serverului

Utilitarul GPResult.executabil– este o aplicație consolă concepută pentru a analiza setările și a diagnostica politicile de grup care sunt aplicate unui computer și/sau utilizator dintr-un domeniu Active Directory. În special, GPResult vă permite să obțineți date din setul rezultat de politici (Resultant Set of Policy, RSOP), o listă de politici de domeniu aplicate (GPO), setările acestora și informații detaliate despre erorile lor de procesare. Utilitarul a făcut parte din sistemul de operare Windows încă din zilele Windows XP. Utilitarul GPResult vă permite să răspundeți la întrebări, cum ar fi dacă o anumită politică se aplică unui computer, care GPO a schimbat o anumită setare Windows și să aflați motivele.

În acest articol, vom analiza specificul utilizării comenzii GPResult pentru a diagnostica și a depana aplicarea politicilor de grup într-un domeniu Active Directory.

Inițial, pentru diagnosticarea aplicării politicilor de grup în Windows s-a folosit consola grafică RSOP.msc, care a făcut posibilă obținerea setărilor politicilor rezultate (domeniu + local) aplicate computerului și utilizatorului într-o formă grafică similară cu consola editorului GPO (mai jos, în exemplul vizualizării consolei RSOP.msc, puteți vedea că setările de actualizare sunt setate).

Cu toate acestea, consola RSOP.msc în versiunile moderne de Windows nu este practică de utilizat, deoarece nu reflectă setările aplicate de diferite extensii la nivelul clientului (CSE), cum ar fi GPP (Preferințe de politică de grup), nu permite căutarea, oferă puține informații de diagnosticare. Prin urmare, în acest moment, comanda GPResult este principalul instrument de diagnosticare a utilizării GPO în Windows (în Windows 10, există chiar și un avertisment că RSOP nu oferă un raport complet, spre deosebire de GPResult).

Folosind utilitarul GPResult.exe

Comanda GPResult este rulată pe computerul pe care doriți să testați aplicarea politicilor de grup. Comanda GPResult are următoarea sintaxă:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Pentru a obține informații detaliate despre politicile de grup care se aplică unui anumit obiect AD (utilizator și computer) și alte setări legate de infrastructura GPO (adică setările de politică GPO rezultate - RsoP), rulați comanda:

Rezultatele executării comenzii sunt împărțite în 2 secțiuni:

• CALCULATOR SETĂRI (Configurație computer) – secțiunea conține informații despre obiectele GPO care afectează computerul (ca obiect Active Directory);
• UTILIZATOR SETĂRI – secțiunea utilizator a politicilor (politici care se aplică unui cont de utilizator în AD).

Să trecem pe scurt peste principalii parametri/secțiuni care ne pot interesa în rezultatul GPResult:

• SiteNume(Numele site-ului:) - numele site-ului AD în care se află computerul;
• CN– utilizator/calculator canonic complet pentru care au fost generate datele RSoP;
• UltimultimpgrupPoliticăa fostaplicat(Ultima politică de grup aplicată) - momentul în care politicile de grup au fost aplicate ultima dată;
• grupPoliticăa fostaplicatdin(Politica de grup a fost aplicată de la) - controlerul de domeniu de la care a fost încărcată cea mai recentă versiune a GPO;
• domeniuNumeși Domeniultip(Nume de domeniu, tip de domeniu) – Numele și versiunea schemei de domeniu Active Directory;
• AplicatgrupPoliticăObiecte(GPO aplicate)– liste de obiecte active ale politicii de grup;
• Theca urmare aGPO-uriau fostnuaplicatdeoareceeiau fostfiltratafară(Următoarele politici GPO nu au fost aplicate deoarece au fost filtrate) - GPO neaplicate (filtrate);
• Theutilizator/calculatoresteApartedecelca urmare aSecuritategrupuri(Utilizatorul/calculatorul este membru al următoarelor grupuri de securitate) – Grupuri de domenii din care este membru utilizatorul.

În exemplul nostru, puteți vedea că obiectul utilizator este afectat de 4 politici de grup.

• Politica de domeniu implicită;
• Activați paravanul de protecție Windows;
• Lista de căutare a sufixelor DNS

Dacă nu doriți ca consola să afișeze informații atât despre politicile utilizatorilor, cât și despre politicile computerului în același timp, puteți utiliza opțiunea /scope pentru a afișa numai secțiunea care vă interesează. Doar politicile de utilizator rezultate:

gpresult /r /scope:user

sau doar politici aplicate pentru computer:

gpresult /r /scope:computer

pentru că Utilitarul Gpresult își scoate datele direct în consola liniei de comandă, ceea ce nu este întotdeauna convenabil pentru analiza ulterioară; ieșirea sa poate fi redirecționată în clipboard:

gpresult /r |clip

sau fișier text:

gpresult /r > c:\gpresult.txt

Pentru a afișa informații RSOP super-detaliate, adăugați comutatorul /z.

Raport HTML RSOP folosind GPResult

În plus, utilitarul GPResult poate genera un raport HTML privind politicile de rezultat aplicate (disponibil în Windows 7 și versiuni ulterioare). Acest raport va conține informații detaliate despre toate setările de sistem care sunt stabilite de politicile de grup și numele GPO-urilor specifice care le stabilesc (raportul rezultat asupra structurii seamănă cu fila Setări din Consola de gestionare a politicilor de grup de domeniu - GPMC). Puteți genera un raport HTML GPResult folosind comanda:

GPResult /h c:\gp-report\report.html /f

Pentru a genera un raport și a-l deschide automat într-un browser, executați comanda:

GPResult /h GPResult.html și GPResult.html

Raportul gpresult HTML conține destul de multe informații utile: erorile aplicației GPO, timpul de procesare (în ms) și aplicarea unor politici specifice și CSE (în secțiunea Detalii computer -> Stare componente) sunt vizibile. De exemplu, în captura de ecran de mai sus, puteți vedea că politica cu setările 24 de parole reținute este aplicată de Politica de domeniu implicită (coloana GPO câștigătoare). După cum puteți vedea, un astfel de raport HTML este mult mai convenabil pentru analiza politicilor aplicate decât consola rsop.msc.

Obținerea datelor GPResult de la un computer la distanță

GPResult poate colecta și date de pe un computer la distanță, eliminând necesitatea ca un administrator să se conecteze local sau RDP la un computer la distanță. Formatul de comandă pentru colectarea datelor RSOP de la un computer la distanță este următorul:

GPResult /s server-ts1 /r

În mod similar, puteți colecta de la distanță date atât din politicile utilizatorilor, cât și din politicile computerului.

numele de utilizator nu are date RSOP

Cu UAC activat, rularea GPResult fără privilegii ridicate afișează doar setările pentru secțiunea personalizată a Politicii de grup. Dacă trebuie să afișați ambele secțiuni (SETĂRI UTILIZATOR și SETĂRI CALCULATOR) în același timp, comanda trebuie rulată. Dacă promptul de comandă ridicat este pe un alt sistem decât utilizatorul curent, utilitarul va emite un avertisment INFO: Theutilizator"domeniu\utilizator"facenuaveaRSOPdate ( Utilizatorul „domeniu\utilizator” nu are date RSOP). Acest lucru se datorează faptului că GPResult încearcă să colecteze informații pentru utilizatorul care a rulat-o, dar pentru că Acest utilizator nu s-a conectat la sistem și nu sunt disponibile informații RSOP pentru acest utilizator. Pentru a colecta informații RSOP pentru un utilizator cu o sesiune activă, trebuie să specificați contul său:

gpresult /r /user:tn\edward

Dacă nu cunoașteți numele contului care este conectat pe computerul de la distanță, puteți obține contul astfel:

qwinsta /SERVER:remotePC1

Verificați, de asemenea, orele de pe client. Ora trebuie să se potrivească cu ora de pe PDC (controller de domeniu primar).

Următoarele politici GPO nu au fost aplicate deoarece au fost filtrate

Când depanați politicile de grup, ar trebui să acordați atenție secțiunii: Următoarele GPO nu au fost aplicate deoarece au fost filtrate (următoarele politici GPO nu au fost aplicate deoarece au fost filtrate). Această secțiune afișează o listă de GPO care, dintr-un motiv sau altul, nu se aplică acestui obiect. Opțiuni posibile pentru care politica nu se poate aplica:

De asemenea, puteți înțelege dacă politica ar trebui aplicată unui anumit obiect AD din fila Permisiuni efective (Avansat -> Acces efectiv).

Deci, în acest articol, am analizat caracteristicile de diagnosticare a aplicării politicilor de grup folosind utilitarul GPResult și am analizat scenariile tipice pentru utilizarea acestuia.

Înainte de a dezvolta un server socket, trebuie să creați un server de politici care să îi spună lui Silverlight care clienți au permisiunea de a se conecta la serverul socket.

După cum se arată mai sus, Silverlight nu permite încărcarea conținutului sau apelarea unui serviciu web dacă domeniul nu are un fișier clientaccesspolicy .xml sau între domenii. xml unde aceste operațiuni sunt permise în mod explicit. O restricție similară este aplicată serverului socket. Dacă nu permiteți dispozitivului client să descarce fișierul clientaccesspolicy .xml care permite accesul de la distanță, Silverlight va refuza să stabilească o conexiune.

Din păcate, furnizarea unei politici de acces client. cml la o aplicație socket este mai mult o provocare decât furnizarea acesteia printr-un site web. Când utilizați un site web, software-ul serverului web poate furniza un fișier .xml clientaccesspolicy, nu uitați să îl adăugați. În același timp, atunci când utilizați o aplicație socket, trebuie să deschideți un socket pe care aplicațiile client să îl poată accesa cu solicitări de politică. În plus, trebuie să creați manual codul care servește socket-ul. Pentru a îndeplini aceste sarcini, trebuie să creați un server de politici.

În cele ce urmează, vom arăta că serverul de politici funcționează în același mod ca și serverul de mesaje, doar se ocupă de interacțiuni puțin mai simple. Serverele de mesaje și politicile pot fi create separat sau combinate într-o singură aplicație. În cel de-al doilea caz, ei trebuie să asculte cererile pe diferite fire. În acest exemplu, vom crea un server de politici și apoi îl vom combina cu un server de mesaje.

Pentru a crea un server de politici, trebuie mai întâi să creați o aplicație .NET. Orice tip de aplicație .NET poate servi ca server de politici. Cel mai simplu mod este să folosești o aplicație consolă. După ce ați depanat aplicația de consolă, puteți muta codul într-un serviciu Windows, astfel încât să ruleze în fundal tot timpul.

Fișierul politicii

Mai jos este fișierul de politici furnizat de serverul de politici.

Fișierul de politici definește trei reguli.

Permite accesul la toate porturile de la 4502 la 4532 (aceasta este gama completă de porturi acceptate de suplimentul Silverlight). Pentru a modifica intervalul de porturi disponibile, modificați valoarea atributului de port al elementului.

Permite accesul TCP (permisiunea este definită în atributul de protocol al elementului).

Permite un apel din orice domeniu. Prin urmare, o aplicație Silverlight care stabilește o conexiune poate fi găzduită de orice site web. Pentru a modifica această regulă, trebuie să editați atributul uri al elementului.

Pentru a ușura lucrurile, regulile de politică sunt plasate în fișierul clientaccess-ploi.cy.xml care este adăugat la proiect. În Visual Studio, parametrul Copiere în directorul de ieșire al fișierului de politică trebuie să fie setat la Cop întotdeauna. ar trebui doar să găsească fișierul pe hard disk, să-l deschidă și să returneze conținutul pe dispozitivul client.

Clasa PolicyServer

Funcționalitatea serverului de politici se bazează pe două clase cheie: PolicyServer și PolicyConnection. Clasa PolicyServer se ocupă de așteptarea conexiunilor. Când primește o conexiune, transmite controlul unei noi instanțe a clasei PoicyConnection, care transmite fișierul de politică clientului. Această procedură din două părți este comună în programarea în rețea. O veți vedea de mai multe ori când lucrați cu servere de mesaje.

Clasa PolicyServer încarcă fișierul de politică de pe hard disk și îl stochează în câmp ca o matrice de octeți.

PolicyServer de clasă publică

politica de octet privat;

public PolicyServer(string policyFile) (

Pentru a începe să asculte, aplicația server trebuie să apeleze PolicyServer. Start(). Acesta creează un obiect TcpListener care ascultă cereri. Obiectul TcpListener este configurat să asculte pe portul 943. În Silverlight, acest port este rezervat serverelor de politici. Când faceți solicitări pentru fișiere de politică, aplicația Silverlight le direcționează automat către portul 943.

ascultător privat TcpListener;

public void Start()

// Creați un ascultător

ascultător = new TcpListener(IPAddress.Any, 943);

// Incepe sa asculti; metoda Start() returnează II imediat după apelarea listener.Start();

// Se așteaptă o conexiune; metoda revine imediat;

II așteptarea se face într-un fir separat

Pentru a accepta conexiunea oferită, serverul de politici apelează metoda BeginAcceptTcpClient(). Ca toate metodele Beginxxx() ale cadrului .NET, acesta revine imediat după ce a fost apelat, efectuând operațiunile necesare pe un fir separat. Pentru aplicațiile de rețea, acesta este un factor foarte important, deoarece permite procesarea simultană a multor solicitări de fișiere de politici.

Notă. Programatorii de rețea începători se întreabă adesea cum pot fi procesate mai multe cereri în același timp și cred că acest lucru necesită mai multe servere. Cu toate acestea, nu este. Cu această abordare, aplicațiile client ar rămâne rapid fără porturile disponibile. În practică, aplicațiile server procesează multe cereri printr-un singur port. Acest proces este invizibil pentru aplicații, deoarece subsistemul TCP încorporat în Windows identifică automat mesajele și le direcționează către obiectele corespunzătoare din codul aplicației. Fiecare conexiune este identificată în mod unic pe baza a patru parametri: adresa IP client, numărul portului clientului, adresa IP a serverului și numărul portului serverului.

La fiecare cerere, metoda de apel invers OnAcceptTcpClient() este declanșată. Apelează din nou metoda BeginAcceptTcpClient O pentru a începe să aștepte următoarea solicitare pe un alt fir și apoi începe procesarea cererii curente.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (este oprit) return;

Console.WriteLine("Solicitare politică primită."); // Se așteaptă următoarea conexiune.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Gestionarea conexiunii curente.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = noua PolicyConnection(client, politica); policyConnection.HandleRequest() ;

prind (Excepție eroare) (

De fiecare dată când se primește o nouă conexiune, este creat un nou obiect PolicyConnection pentru a o gestiona. În plus, obiectul PolicyConnection menține un fișier de politică.

Ultima componentă a clasei PolicyServer este metoda Stop(), care nu mai așteaptă cereri. Aplicația îl apelează când se încheie.

private bool isStopped;

public void StopO(

isStopped = adevărat;

ascultător. Stop();

prind (Excepție eroare) (

Console.WriteLine(err.Message);

Următorul cod este utilizat în metoda Main() a serverului de aplicații pentru a porni serverul de politici.

static void Main(string args) (

PolicyServer policyServer = nou PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Serverul de politici a pornit."); Console.WriteLine("Apăsați tasta Enter pentru a ieși.");

// Așteptând apăsarea tastei; folosind metoda // Console.ReadKey(), o puteți seta să aștepte o anumită linie // (de exemplu, ieșire) sau apăsați orice tastă Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Încheierea serverului de politici.");

Clasa PolicyConnection

Clasa PolicyConnection realizează o sarcină mai simplă. Obiectul PolicyConnection stochează o referință la datele fișierului de politică. Apoi, după ce metoda HandleRequest() este apelată, obiectul PolicyConnection preia o nouă conexiune din fluxul de rețea și încearcă să o citească. Dispozitivul client trebuie să trimită un șir care să conțină text. După ce citește acest text, dispozitivul client scrie datele politicii în flux și închide conexiunea. Mai jos este codul clasei PolicyConnection.

Clasa publică PolicyConnection(

client privat TcpClient; politica de octet privat;

public PolicyConnection (client TcpClient, politică de octeți) (

this.client = client; this.policy = politică;

// Creați o cerere client șir static privat policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Citiți șirul de interogare de politică

byte buffer = octet nou;

// Așteptați doar 5 secunde client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Treceți politica (puteți verifica și dacă solicitarea de politică are // conținutul cerut) s.Write(policy, 0, policy.Length);

// Închide clientul de conexiune.Close();

Console.WriteLine("Fișier de politică difuzat.");

Deci, avem un server de politici complet operațional. Din păcate, nu poate fi testat încă, deoarece programul de completare Silverlight nu permite solicitarea explicită a fișierelor de politici. În schimb, le solicită automat atunci când încearcă să folosească o aplicație socket. Înainte de a putea crea o aplicație client pentru această aplicație socket, trebuie să creați un server.

În articolele anterioare ale acestei serii, ați învățat cum să utilizați eficient funcționalitatea politicilor locale de securitate, ceea ce vă permite să protejați la maximum infrastructura organizației dvs. de atacurile celor răi din afară, precum și de majoritatea acțiunilor angajaților incompetenți. . Știți deja cum puteți configura eficient politicile de cont care vă permit să gestionați complexitatea parolelor utilizatorilor dvs., să configurați politici de audit pentru a analiza în continuare autentificarea utilizatorilor dvs. în jurnalul de securitate. În plus, ați învățat cum să atribuiți drepturi utilizatorilor dvs. pentru a evita deteriorarea sistemului și chiar a computerelor din intranet și cum puteți configura eficient jurnalele de evenimente, grupurile restricționate, serviciile de sistem, registrul și sistemul de fișiere. În acest articol, vom continua studiul politicilor locale de securitate și veți afla despre setările de securitate a rețelei cu fir pentru întreprinderea dvs.

Sistemele de operare pentru server ale Microsoft, începând cu Windows Server 2008, au introdus componenta Wired Network Policies (IEEE 802.3), care oferă configurarea automată pentru implementarea serviciilor de acces prin cablu cu autentificare IEEE 802.1X pentru clienții de rețea Ethernet 802.3. Pentru a implementa setările de securitate pentru rețelele cu fir folosind politici de grup, sistemele de operare folosesc serviciul Wired AutoConfig (Wired AutoConfig - DOT3SVC). Serviciul actual este responsabil pentru autentificarea IEEE 802.1X atunci când se conectează la rețele Ethernet folosind switch-uri 802.1X compatibile și gestionează, de asemenea, profilul utilizat pentru a configura un client de rețea pentru acces autentificat. De asemenea, este de remarcat faptul că, dacă utilizați aceste politici, atunci este de dorit să împiedicați utilizatorii din domeniul dvs. să schimbe modul de pornire al acestui serviciu.

Configurarea unei politici de rețea cu fir

Puteți seta setările politicii de rețea cu fir direct din snap-in. Pentru a configura aceste setări, urmați acești pași:

1. Deschideți snap-in-ul și selectați nodul din arborele consolei, faceți clic dreapta pe el și selectați comanda din meniul contextual „Crearea unei noi politici de rețea cu fir pentru Windows Vista și versiuni ulterioare” așa cum se arată în următoarea ilustrație:

   Orez. 1. Creați o politică de rețea cu fir

2. În caseta de dialog deschisă „Nouă politică pentru proprietățile rețelelor cu fir”, pe fila "General", puteți specifica să utilizați serviciul Wired AutoConfig pentru a configura adaptoarele LAN pentru a se conecta la o rețea cu fir. În plus față de setările de politică care se aplică pentru Windows Vista și sistemele de operare ulterioare, există unele setări de politică care se vor aplica numai sistemelor de operare Windows 7 și Windows Server 2008 R2. În această filă, puteți face următoarele:
   • Numele politicii. În această casetă de text, puteți da un nume politicii de rețea cu fir. Puteți vedea numele politicii în panoul de detalii al nodului „Politici de rețea cu fir (IEEE 802.3)” snap Editor de gestionare a politicilor de grup;
   • Descriere. Această casetă de text este pentru a completa o descriere detaliată a scopului politicii de rețea cu fir;
   • Utilizați serviciul Windows Wired AutoConfig pentru clienți. Această opțiune realizează configurația reală și conectează clienții la o rețea 802.3 cu fir. Dacă dezactivați această opțiune, atunci sistemul de operare Windows nu va controla conexiunea la rețea prin cablu și setările politicii nu vor avea efect;
   • Preveniți utilizarea acreditărilor de utilizator partajate pentru autentificarea în rețea. Această setare determină dacă utilizatorul ar trebui să fie împiedicat să stocheze acreditările de utilizator partajate pentru autentificarea în rețea. Puteți modifica această setare local cu comanda netsh lan set allowexplicitcreds;
   • Activați perioada de blocare. Această setare determină dacă să împiedice computerul să se conecteze automat la o rețea cu fir pentru numărul de minute specificat. Valoarea implicită este de 20 de minute. Perioada de blocare este reglabilă de la 1 la 60 de minute.

"General" politici de rețea cu fir:

Orez. 2. Fila General a casetei de dialog pentru setările politicii de rețea cu fir

3. Pe fila "Siguranță" oferă opțiuni de configurare pentru metoda de autentificare și modul de conectare prin cablu. Puteți configura următoarele setări de securitate:
   • Activați autentificarea IEEE 802.1X pentru acces la rețea. Această opțiune este utilizată direct pentru a activa sau dezactiva autentificarea accesului la rețea 802.1X. Această opțiune este activată implicit;
   • Selectați o metodă de autentificare în rețea. Folosind această listă derulantă, puteți specifica una dintre metodele de autentificare a clientului de rețea care va fi aplicată politicii dvs. de rețea cu fir. Următoarele două opțiuni sunt disponibile pentru selecție:
     • Microsoft: EAP-uri protejate (PEAP). Pentru această metodă de autentificare, fereastra „Proprietăți” conține setări de configurare pentru metoda de autentificare de utilizat;
     • Microsoft: carduri inteligente sau alt certificat. Pentru această metodă de autentificare, în fereastra „Proprietăți” oferă opțiuni de configurare care vă permit să specificați un card inteligent sau un certificat la care să vă conectați, precum și o listă de CA rădăcină de încredere.

   Metoda selectată implicit Microsoft: EAP-uri protejate (PEAP);

4. Modul de autentificare. Această listă derulantă este utilizată pentru a efectua autentificarea în rețea. Următoarele patru opțiuni sunt disponibile pentru selecție:
   • Autentificare utilizator sau computer. Dacă această opțiune este selectată, acreditările de securitate vor fi utilizate în funcție de starea curentă a computerului. Chiar dacă niciun utilizator nu este conectat, autentificarea va fi efectuată folosind acreditările computerului. Când un utilizator se conectează, vor fi utilizate acreditările utilizatorului conectat. Microsoft recomandă utilizarea acestei setări de mod de autentificare în majoritatea cazurilor.
   • Doar pentru computer. În acest caz, sunt autentificate doar acreditările computerului;
   • Autentificarea utilizatorului. Selectarea acestei opțiuni forțează autentificarea utilizatorului numai atunci când se conectează la un nou dispozitiv 802.1X. În toate celelalte cazuri, autentificarea se realizează numai pentru computer;
   • Autentificare invitat. Această setare vă permite să vă conectați la rețea pe baza unui cont de invitat.
5. Numărul maxim de erori de autentificare. Această setare vă permite să specificați numărul maxim de erori de autentificare. Valoarea implicită este 1;
6. Memorați în cache datele utilizatorului pentru conexiunile ulterioare la această rețea. Când această setare este activată, acreditările utilizatorului vor fi stocate în registrul de sistem și nu vor fi solicitate acreditări atunci când utilizatorul se deconectează și apoi se conectează.

Următoarea ilustrație arată fila "Siguranță" această casetă de dialog:

Orez. 3. Fila Security din caseta de dialog Wired Network Policy Settings

Proprietățile modurilor de autentificare

După cum sa menționat în secțiunea anterioară, pentru ambele metode de autentificare există setări suplimentare care sunt apelate făcând clic pe butonul „Proprietăți”. În această secțiune, vom acoperi toate setările posibile pentru metodele de autentificare.

Setările metodei de autentificare „Microsoft: Secure EAP (PEAP)”.

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) este o infrastructură de autentificare extensibilă care definește formatul pachetului. Următoarele opțiuni sunt disponibile pentru configurarea acestei metode de autentificare:

Activați reconectarea rapidă. Această opțiune permite utilizatorilor cu computere fără fir să se deplaseze rapid între punctele de acces fără a se reautentifica la o nouă rețea. Această comutare poate funcționa numai pentru punctele de acces care sunt configurate ca clienți RADIUS. Această opțiune este activată implicit;

Activați Protecția accesului la rețea. Când este selectată această opțiune, înainte de a permite solicitanților EAP să se conecteze la rețea, vor fi efectuate verificări corespunzătoare pentru a determina verificarea cerințelor de sănătate;

Deconectați-vă dacă serverul nu acceptă legarea criptată prin mecanismul TLV. Această opțiune este responsabilă pentru a determina clienții conectați să întrerupă procesul de autentificare dacă serverul RADIUS nu furnizează o valoare criptografică de legare TLV care îmbunătățește securitatea tunelului TLS în PEAP prin combinarea metodelor de autentificare interne și externe, astfel încât atacatorii să nu poată efectua atacuri de falsificare. tert;

Activați identitatea de confidențialitate. Această setare împiedică clienții să-și trimită identitatea înainte ca clientul să fi autentificat serverul RADIUS și oferă opțional un loc pentru a introduce o valoare de identitate anonimă.

Caseta de dialog Secure EAP Properties este afișată în următoarea ilustrație:

Orez. 5. Caseta de dialog Secure EAP Properties

Setări pentru metoda de autentificare „Card inteligent sau alt certificat - Setări EAP-TLS”

Următoarele opțiuni sunt disponibile pentru a configura această metodă de autentificare:

• Folosiți cardul meu inteligent când vă conectez. Dacă setați butonul radio în această poziție, clienții care fac cereri de autentificare vor prezenta un certificat de smart card pentru autentificarea în rețea;
• Când vă conectați, utilizați certificatul de pe acest computer. Când este selectată această opțiune, verificarea conexiunii clientului va folosi certificatul aflat în magazinul de computer local sau utilizator curent;
• Utilizați selecția simplă a certificatelor. Această opțiune permite sistemului de operare Windows să filtreze certificatele care nu îndeplinesc cerințele de autentificare;
• Verificați certificatul serverului. Această opțiune vă permite să setați verificarea certificatului de server care este furnizat computerelor client pentru o semnătură validă, care nu a expirat, precum și prezența unei autorități de certificare rădăcină de încredere care a emis certificatul acestui server.
• Conectați-vă la servere. Această opțiune este identică cu opțiunea cu același nume descrisă în secțiunea anterioară;
• Autorități de certificare rădăcină de încredere. La fel ca în caseta de dialog securizată proprietăți EAP, în această listă puteți găsi toate autoritățile de certificare rădăcină de încredere care sunt instalate în depozitele de certificate de utilizator și computer;
• Nu solicitați utilizatorului să autorizeze noi servere sau autorități de certificare de încredere. Bifând această opțiune, dacă există un certificat de server configurat incorect sau este prezent în listă pentru utilizator, nu se va afișa o casetă de dialog care vă va cere să autorizați un astfel de certificat. Această opțiune este dezactivată implicit;
• Utilizați un alt nume de utilizator pentru a vă conecta. Această setare determină dacă se utilizează un alt nume de utilizator pentru autentificare decât numele de utilizator din certificat. Când opțiunea de a utiliza un alt nume de utilizator este activată, trebuie să selectați cel puțin un certificat din lista de CA rădăcină de încredere.

Caseta de dialog pentru setarea cardurilor inteligente sau a altor certificate este afișată în următoarea ilustrație:

Orez. 6. Caseta de dialog pentru setarea cardurilor inteligente sau a altor certificate

Dacă nu sunteți sigur de certificatul pe care îl alegeți, atunci făcând clic pe butonul "Vizualizare certificat" va putea vizualiza toate detaliile certificatului selectat, după cum se arată mai jos:

Orez. 7. Vizualizați un certificat din lista autorităților de certificare rădăcină de încredere

Opțiuni avansate de securitate pentru politici prin cablu

Probabil ai observat asta pe filă "Siguranță"În caseta de dialog Setări politici de rețea cu fir, există opțiuni de securitate suplimentare pentru a schimba comportamentul clienților de rețea care solicită acces cu autentificare 802.1X. Setările avansate de politică prin cablu pot fi împărțite în două grupuri - setări IEEE 802.1X și setări de conectare unică. Să ne uităm la fiecare dintre aceste grupuri:

În grupul de setări IEEE 802.1X, puteți specifica caracteristicile solicitărilor de rețea cu fir cu autentificare 802.1X. Următoarele opțiuni sunt disponibile pentru editare:

• Aplicați setările avansate 802.1X. Această opțiune vă permite să activați următoarele patru setări;
• Max. Mesaje EAPOL. EAPOL este un protocol EAP care este utilizat înainte ca computerul să aibă timp să se autentifice și numai după o „conectare” cu succes, tot restul traficului va putea trece prin portul de comutare la care este conectat acest computer. Acest parametru controlează numărul maxim de mesaje EAPOL-Start trimise;
• Perioada de întârziere (sec). Această setare controlează întârzierea, în secunde, înainte ca următoarea cerere de autentificare 802.1X să fie făcută după primirea unei notificări de eșec de autentificare;
• Perioada de început (perioada de început). Acest parametru controlează timpul de așteptare înainte de a retrimite mesajele EAPOL-Start succesive;
• Perioada de verificare (sec). Acest parametru specifică numărul de secunde dintre retransmisia mesajelor inițiale succesive EAPOL după inițierea verificării accesului 802.1X;
• Mesaj EAPOL-Start. Cu acest parametru, puteți specifica următoarele caracteristici de transmisie ale mesajelor inițiale EAPOL:
  • Nu transferați. Dacă această opțiune este selectată, mesajele EAPOL nu vor fi transmise;
  • Transferat. Dacă această opțiune este selectată, clientul va trebui să trimită manual mesajele inițiale EAPOL;
  • Transmisie IEEE 802.1X. Dacă această opțiune este selectată (implicit), mesajele EAPOL vor fi trimise automat, așteptând să înceapă autentificarea 802.1X.

Când se utilizează conectarea unică, autentificarea trebuie efectuată pe baza configurației de securitate a rețelei în timpul procesului de conectare a utilizatorului la sistemul de operare. Următoarele opțiuni sunt disponibile pentru configurarea completă a profilurilor SSO:

• Activați conectarea unică pentru rețea. Activarea acestei opțiuni activează setările de conectare unică;
• Activați imediat înainte de autentificarea utilizatorului. Dacă bifați această opțiune, atunci autentificarea 802.1X va fi efectuată înainte ca utilizatorul să finalizeze autentificarea;
• Activați imediat după autentificarea utilizatorului. Dacă bifați această opțiune, atunci autentificarea 802.1X va fi efectuată după ce utilizatorul se conectează;
• Max. întârziere de conectare. Acest parametru specifică timpul maxim pentru care trebuie finalizată autentificarea și, în consecință, cât timp va aștepta utilizatorul până să apară fereastra de conectare a utilizatorului;
• Permiteți afișarea unor dialoguri suplimentare în conectarea unică. Această setare este responsabilă pentru afișarea casetei de dialog de conectare a utilizatorului;
• Această rețea utilizează diferite VLAN-uri pentru autentificarea acreditărilor de mașină și utilizator. Dacă specificați această setare, la pornire, toate computerele vor fi plasate într-o singură rețea virtuală, iar după o conectare cu succes a utilizatorului, în funcție de permisiuni, acestea vor fi transferate în diferite rețele virtuale. Este logic să activați această opțiune numai dacă aveți mai multe VLAN-uri în întreprinderea dvs.

Caseta de dialog cu setări de securitate avansate pentru politica de rețea cu fir este afișată în următoarea ilustrație:

Orez. Figura 8. Caseta de dialog Setări de securitate avansate Politica rețelelor cu fir

Concluzie

În acest articol, ați aflat despre toate setările politicii de rețea cu fir IEE 802.1X. Ați învățat cum puteți crea o astfel de politică și ați aflat despre metodele de autentificare EAP și despre autentificarea folosind carduri inteligente sau alte certificate. În articolul următor, veți afla despre politicile locale de securitate a Managerului listei de rețele.

Politicile din Exchange Server 2003 sunt concepute pentru a crește flexibilitatea administrației, reducând în același timp povara administratorilor. O politică este un set de setări de configurare care se aplică unuia sau mai multor obiecte din aceeași clasă în Exchange. De exemplu, puteți crea o politică care afectează anumite setări pe unele sau pe toate serverele Exchange. Dacă trebuie să modificați aceste setări, atunci trebuie doar să modificați această politică și va fi aplicată organizației de server corespunzătoare.

Există două tipuri de politici: politica de sistem și politica destinatarului. Politicile destinatare se aplică obiectelor de acces la e-mail și specifică modul în care sunt generate adresele de e-mail. Politicile privind destinatarii sunt discutate în „Crearea și gestionarea destinatarilor”. Politicile de sistem se aplică serverelor, magazinelor de căsuțe poștale și depozitelor de foldere publice. Aceste politici apar în containerul Politici din grupul responsabil pentru administrare această politică (Figura 12.10).

Orez. 12.10. Obiect de politică de sistem

Notă. Instalarea Exchange Server 2003 nu creează un container implicit pentru politicile de sistem. Acesta trebuie creat înainte de a construi politici de sistem. Faceți clic dreapta pe grupul de administrare în care doriți să creați un folder de politici, plasați cursorul peste Nou și selectați Container de politici de sistem.

Creați o politică de sistem

Pentru a crea o politică de sistem, accesați containerul corespunzător Politici de sistem, faceți clic dreapta pe container, apoi selectați tipul de politică de creat: politică de server, politică de stocare a cutiei poștale sau politică de depozit de foldere publice.

Când lucrați cu politici de sistem, asigurați-vă că ați creat un obiect de politică în grupul care este responsabil pentru administrarea acelei politici. În caz contrar, poate apărea o eroare în selectarea persoanelor care exercită control administrativ asupra politicilor critice. Să ne uităm la modul în care sunt create fiecare dintre cele trei tipuri de politici, începând cu politicile serverului.

Creați o politică de server

Politica serverului definește setările pentru urmărirea mesajelor și întreținerea fișierelor jurnal. Nu se aplică setărilor de securitate sau altor setări ale serverelor din acest grup de administrare. Pentru a crea o politică de server, faceți clic dreapta pe containerul Politici de sistem, indicați spre Nou, apoi selectați opțiunea Politică server. Va apărea caseta de dialog New Policy, prezentată în Figura 1. 12.11 , care specifică filele care apar pe pagina de proprietate a politicii. Există o singură opțiune pentru politica serverului: fila General. Bifați opțiunea pentru această filă și apoi faceți clic pe OK. Va fi afișată o fereastră de configurare în care va fi creată politica.

Orez. 12.11.

După aceea, trebuie să introduceți un nume pentru politică în fereastra filei General a paginii de proprietăți a politicii. După cum se arată în Figura 12.12, există de fapt două file General. Prima filă este utilizată pentru a introduce numele politicii. Selectați un nume pentru a descrie sarcina pe care trebuie să o îndeplinească această politică, cum ar fi Politica de urmărire a mesajelor sau Activarea politicii de înregistrare a subiectelor. Un nume adecvat ales în această etapă va economisi timp, deoarece nu va fi necesară deschiderea paginii de proprietate a politicii pentru a determina scopul acesteia.

Fila General (Politic) prezentată în fig. 12.13 conține setările reale de politică aplicate serverelor Exchange ale organizației în cauză. Fila se numește General (Politic) deoarece poate configura fila General a paginilor de proprietate pentru toate serverele disponibile. (Mai târziu în acest capitol, vom vedea cum să aplicăm această politică tuturor serverelor dintr-o organizație.) Dacă comparați această filă cu fila General din pagina de proprietăți a unui server, veți vedea că filele sunt aceleași, cu excepția informațiile de identificare din partea de sus a filei.

Fila General (Politică) permite înregistrarea și activarea înregistrării și afișarea subiectului pentru toate serverele existente Exchange 2003. Această setare funcționează împreună cu opțiunea Activare urmărire mesaj, care vă permite să urmăriți mesajele trimise în organizație. Aceste opțiuni sunt utile pentru depanarea sursei problemelor care apar atunci când unii utilizatori nu primesc mesaje de la alți utilizatori. Este posibil să urmăriți trecerea unui mesaj printr-o organizație pentru a determina unde există probleme cu transmiterea datelor. Pentru mai multe informații despre urmărirea mesajelor și înregistrarea subiectului mesajului, consultați Capitolul 6, Funcționalitatea, securitatea și asistența Exchange Server 2003.

Orez. 12.12.

Orez. 12.13.

Odată ce o politică a intrat în vigoare, aceasta nu poate fi modificată la nivel de server local. Politica de urmărire a mesajelor pe care am folosit-o ca exemplu a fost generată pe serverul EX-SRV1 din grupul de administrare Arizona. Pe

Funcționalitatea în sistemul de operare Windows Server este calculată și se îmbunătățește de la versiune la versiune, există tot mai multe roluri și componente, așa că în articolul de astăzi voi încerca să descriu pe scurt descrierea și scopul fiecărui rol în Windows Server 2016.

Înainte de a trece la descrierea rolurilor serverului Windows Server, să aflăm ce este exact " Rolul de server» pe sistemul de operare Windows Server.

Ce este un „Rol de server” în Windows Server?

Rolul de server- acesta este un pachet software care asigura performanta unei anumite functii de catre server, iar aceasta functie este cea principala. Cu alte cuvinte, " Rolul de server' este destinația serverului, adică pentru ce este. Pentru ca serverul să își poată îndeplini funcția principală, adică anumit rol în Rolul de server» include tot software-ul necesar pentru aceasta ( programe, servicii).

Serverul poate avea un rol dacă este utilizat în mod activ sau mai multe dacă fiecare dintre ele nu încarcă foarte mult serverul și este rar folosit.

Un rol de server poate include mai multe servicii de rol care oferă funcționalitatea rolului. De exemplu, în rolul de server " Server web (IIS)” include un număr destul de mare de servicii, iar rolul ” server DNS» nu include serviciile de rol, deoarece acest rol îndeplinește o singură funcție.

Role Services pot fi instalate împreună sau individual, în funcție de nevoile dumneavoastră. În esență, instalarea unui rol înseamnă instalarea unuia sau mai multor servicii ale acestuia.

Windows Server are, de asemenea, „ Componente" Server.

Componente server (funcție) sunt instrumente software care nu sunt un rol de server, dar extind capacitățile unuia sau mai multor roluri sau gestionează unul sau mai multe roluri.

Unele roluri nu pot fi instalate dacă serverul nu are servicii sau componente necesare care sunt necesare pentru ca rolurile să funcționeze. Prin urmare, la momentul instalării unor astfel de roluri " Adăugarea de roluri și caracteristici Expert» în sine, vă va solicita automat să instalați serviciile sau componentele suplimentare necesare.

Descrierea rolurilor de server Windows Server 2016

Probabil că sunteți deja familiarizați cu multe dintre rolurile care sunt în Windows Server 2016, deoarece acestea există de ceva timp, dar așa cum am spus, cu fiecare nouă versiune de Windows Server, se adaugă noi roluri pe care este posibil să nu le fi lucrat. cu, dar am dori să știm pentru ce sunt acestea, așa că să începem să ne uităm la ele.

Notă! Puteți citi despre noile caracteristici ale sistemului de operare Windows Server 2016 în materialul „Instalarea Windows Server 2016 și o prezentare generală a noilor funcții”.

Întrucât de foarte multe ori instalarea și administrarea rolurilor, serviciilor și componentelor are loc folosind Windows PowerShell, voi indica pentru fiecare rol și serviciul acestuia un nume care poate fi folosit în PowerShell, respectiv, pentru instalarea lui sau pentru management.

Server DHCP

Acest rol vă permite să configurați la nivel central adresele IP dinamice și setările aferente pentru computere și dispozitive din rețeaua dvs. Rolul Server DHCP nu are servicii de rol.

Numele pentru Windows PowerShell este DHCP.

server DNS

Acest rol este destinat rezolvării numelor în rețelele TCP/IP. Rolul Server DNS oferă și menține DNS. Pentru a simplifica gestionarea unui server DNS, acesta este de obicei instalat pe același server ca Active Directory Domain Services. Rolul Server DNS nu are servicii de rol.

Numele rolului pentru PowerShell este DNS.

Hyper-V

Cu rolul Hyper-V, puteți crea și gestiona un mediu virtualizat. Cu alte cuvinte, este un instrument pentru crearea și gestionarea mașinilor virtuale.

Numele rolului pentru Windows PowerShell este Hyper-V.

Atestarea de sănătate a dispozitivului

Rol " » vă permite să evaluați starea de sănătate a dispozitivului pe baza indicatorilor măsurați ai parametrilor de securitate, cum ar fi indicatorii stării de pornire securizată și Bitlocker pe client.

Pentru funcționarea acestui rol sunt necesare o mulțime de servicii și componente de rol, de exemplu: mai multe servicii din rolul " Server web (IIS)", componenta" ", componenta" Caracteristici .NET Framework 4.6».

În timpul instalării, toate serviciile și funcțiile de rol necesare vor fi selectate automat. Rolul " Atestarea de sănătate a dispozitivului» Nu există servicii de rol.

Numele pentru PowerShell este DeviceHealthAttestationService.

Server web (IIS)

Oferă o infrastructură de aplicații web fiabilă, gestionabilă și scalabilă. Constă dintr-un număr destul de mare de servicii (43).

Numele pentru Windows PowerShell este Web-Server.

Include următoarele servicii de rol ( între paranteze voi indica numele pentru Windows PowerShell):

Server web (Web-WebServer)- Un grup de servicii de rol care oferă suport pentru site-uri web HTML, extensii ASP.NET, ASP și server web. Constă din următoarele servicii:

• Securitate (Securitate web)- un set de servicii pentru a asigura securitatea serverului web.
  • Filtrarea cererilor (Web-Filtering) - folosind aceste instrumente, puteți procesa toate cererile care vin pe server și puteți filtra aceste solicitări pe baza unor reguli speciale stabilite de administratorul serverului web;
  • Adresa IP și restricții de domeniu (Web-IP-Security) - aceste instrumente vă permit să permiteți sau să interziceți accesul la conținut pe un server web pe baza adresei IP sau a numelui de domeniu al sursei din cerere;
  • Autorizare URL (Web-Url-Auth) - instrumentele vă permit să dezvoltați reguli pentru a restricționa accesul la conținutul web și pentru a le asocia cu utilizatori, grupuri sau comenzi de antet HTTP;
  • Autentificare Digest (Web-Digest-Auth) - Această autentificare oferă un nivel mai ridicat de securitate decât autentificarea de bază. Autentificarea Digest pentru autentificarea utilizatorilor funcționează ca transmiterea unui hash de parolă către un controler de domeniu Windows;
  • Autentificare de bază (Web-Basic-Auth) - Această metodă de autentificare oferă o compatibilitate puternică cu browser-ul web. Se recomandă utilizarea în rețele interne mici. Principalul dezavantaj al acestei metode este că parolele transmise prin rețea pot fi interceptate și decriptate destul de ușor, așa că utilizați această metodă în combinație cu SSL;
  • Autentificarea Windows (Web-Windows-Auth) este o autentificare bazată pe autentificarea domeniului Windows. Cu alte cuvinte, puteți utiliza conturi Active Directory pentru a autentifica utilizatorii site-urilor dvs. Web;
  • Autentificare de mapare a certificatelor clientului (Web-Client-Auth) - Această metodă de autentificare utilizează un certificat de client. Acest tip utilizează serviciile Active Directory pentru a furniza maparea certificatelor;
  • Autentificare de mapare a certificatelor clientului IIS (Web-Cert-Auth) - Această metodă utilizează și certificate de client pentru autentificare, dar folosește IIS pentru a furniza maparea certificatelor. Acest tip oferă performanțe mai bune;
  • Suport pentru certificate SSL centralizate (Web-CertProvider) - aceste instrumente vă permit să gestionați central certificatele de server SSL, ceea ce simplifică foarte mult procesul de gestionare a acestor certificate;
• Capacitatea de service și diagnosticare (Web-Health)– un set de servicii pentru monitorizarea, gestionarea și depanarea serverelor web, site-urilor și aplicațiilor:
  • Logging http (Web-Http-Logging) - instrumentele oferă înregistrarea activității site-ului pe un server dat, de exemplu. intrare în jurnal;
  • Înregistrare ODBC (Web-ODBC-Logging) – Aceste instrumente oferă, de asemenea, înregistrarea activității site-ului web, dar acceptă înregistrarea acelei activități într-o bază de date compatibilă cu ODBC;
  • Request Monitor (Web-Request-Monitor) este un instrument care vă permite să monitorizați starea de sănătate a unei aplicații web prin interceptarea informațiilor despre solicitările HTTP în procesul de lucru IIS;
  • Înregistrare personalizată (Web-Custom-Logging) - Folosind aceste instrumente, puteți configura înregistrarea activității serverului web într-un format care diferă semnificativ de formatul standard IIS. Cu alte cuvinte, vă puteți crea propriul modul de înregistrare;
  • Instrumentele de logare (Web-Log-Libraries) sunt instrumente pentru gestionarea jurnalelor de server web și automatizarea sarcinilor de înregistrare;
  • Urmărirea (Web-Http-Tracing) este un instrument pentru diagnosticarea și rezolvarea încălcărilor în aplicațiile web.
• Funcții comune http (Web-Common-Http)– un set de servicii care oferă funcționalitate HTTP de bază:
  • Document implicit (Web-Default-Doc) - Această caracteristică vă permite să configurați serverul web să returneze un document implicit atunci când utilizatorii nu specifică un anumit document în adresa URL de solicitare, facilitând accesul utilizatorilor pe site-ul web, de exemplu, prin domeniu, fără a specifica un fișier;
  • Navigare în director (Web-Dir-Browsing) - Acest instrument poate fi folosit pentru a configura un server web, astfel încât utilizatorii să poată vizualiza o listă cu toate directoarele și fișierele de pe un site web. De exemplu, pentru cazurile în care utilizatorii nu specifică un fișier în adresa URL de solicitare, iar documentele implicite sunt fie dezactivate, fie nu sunt configurate;
  • Erori http (Web-Http-Errors) - această caracteristică vă permite să configurați mesaje de eroare care vor fi returnate browserelor web ale utilizatorilor atunci când o eroare este detectată de serverul web. Acest instrument este folosit pentru a prezenta mai ușor utilizatorilor mesaje de eroare;
  • Conținut static (Web-Static-Content) - acest instrument vă permite să utilizați conținut pe un server web sub formă de formate de fișiere statice, cum ar fi fișiere HTML sau fișiere imagine;
  • Redirecționare http (Web-Http-Redirect) - folosind această funcție, puteți redirecționa o solicitare de utilizator către o anumită destinație, de exemplu. aceasta este Redirecționare;
  • WebDAV Publishing (Web-DAV-Publishing) - vă permite să utilizați tehnologia WebDAV pe serverul WEB IIS. WebDAV ( Creare și versiuni distribuite web) este o tehnologie care permite utilizatorilor să lucreze împreună ( citiți, editați, citiți proprietățile, copiați, mutați) peste fișiere de pe servere web la distanță folosind protocolul HTTP.
• Performanță (performanță web)- un set de servicii pentru a obține performanțe mai mari ale serverului web, prin memorarea în cache a ieșirii și mecanisme comune de compresie, cum ar fi Gzip și Deflate:
  • Comprimarea conținutului static (Web-Stat-Compression) este un instrument de personalizare a compresiei conținutului static http, care permite utilizarea mai eficientă a lățimii de bandă, fără încărcare inutilă a procesorului;
  • Dynamic Content Compression (Web-Dyn-Compression) este un instrument pentru configurarea compresiei dinamice a conținutului HTTP. Acest instrument oferă o utilizare mai eficientă a lățimii de bandă, dar în acest caz, sarcina procesorului serverului asociată cu compresia dinamică poate încetini site-ul dacă sarcina procesorului este mare chiar și fără compresie.
• Dezvoltare de aplicații (Web-App-Dev)- un set de servicii și instrumente pentru dezvoltarea și găzduirea aplicațiilor web, cu alte cuvinte, tehnologii de dezvoltare a site-urilor web:
  • ASP (Web-ASP) este un mediu pentru susținerea și dezvoltarea site-urilor web și aplicațiilor web folosind tehnologia ASP. În prezent, există o tehnologie de dezvoltare a site-urilor web mai nouă și mai avansată - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) este un mediu de dezvoltare orientat pe obiecte pentru site-uri web și aplicații web care utilizează tehnologia ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) este, de asemenea, un mediu de dezvoltare orientat pe obiecte pentru site-uri web și aplicații web care utilizează noua versiune de ASP.NET;
  • CGI (Web-CGI) este capacitatea de a utiliza CGI pentru a transmite informații de la un server web la un program extern. CGI este un fel de standard de interfață pentru conectarea unui program extern la un server web. Există un dezavantaj, utilizarea CGI afectează performanța;
  • Server Side Inclusions (SSI) (include web) este suport pentru limbajul de scripting SSI ( activare partea serverului), care este folosit pentru a genera dinamic pagini HTML;
  • Inițializarea aplicației (Web-AppInit) - acest instrument realizează sarcinile de inițializare a aplicațiilor web înainte de a trimite o pagină web;
  • Protocol WebSocket (Web-WebSockets) - adăugarea capacității de a crea aplicații server care comunică folosind protocolul WebSocket. WebSocket este un protocol care poate trimite și primi date simultan între un browser și un server web printr-o conexiune TCP, un fel de extensie a protocolului HTTP;
  • Extensii ISAPI (Web-ISAPI-Ext) - suport pentru dezvoltarea dinamică a conținutului web folosind interfața de programare a aplicației ISAPI. ISAPI este un API pentru serverul web IIS. Aplicațiile ISAPI sunt mult mai rapide decât fișierele ASP sau fișierele care apelează componente COM+;
  • Extensibilitatea .NET 3.5 (Web-Net-Ext) este o caracteristică de extensibilitate .NET 3.5 care vă permite să modificați, să adăugați și să extindeți funcționalitatea serverului web în întreaga conductă de procesare a cererilor, configurație și interfață cu utilizatorul;
  • Extensibilitatea .NET 4.6 (Web-Net-Ext45) este o caracteristică de extensibilitate .NET 4.6 care vă permite, de asemenea, să modificați, să adăugați și să extindeți funcționalitatea serverului web pe întreaga conductă de procesare a cererilor, configurație și interfață cu utilizatorul;
  • Filtre ISAPI (Web-ISAPI-Filter) - Adăugați suport pentru filtre ISAPI. Filtrele ISAPI sunt programe care sunt apelate atunci când un server web primește o cerere HTTP specifică pentru a fi procesată de acest filtru.

FTP - server (Web-Ftp-Server)– servicii care oferă suport pentru protocolul FTP. Am vorbit mai detaliat despre serverul FTP în materialul - „Instalarea și configurarea unui server FTP pe Windows Server 2016”. Conține următoarele servicii:

• Serviciu FTP (Web-Ftp-Service) - adaugă suport pentru protocolul FTP pe serverul web;
• Extensibilitate FTP (Web-Ftp-Ext) - Extinde capabilitățile FTP standard, cum ar fi adăugarea de suport pentru caracteristici precum furnizorii personalizați, utilizatorii ASP.NET sau utilizatorii managerului IIS.

Instrumente de management (Web-Mgmt-Tools) sunt instrumentele de gestionare pentru serverul web IIS 10. Acestea includ: interfața utilizator IIS, instrumente de linie de comandă și scripturi.

• Consola de management IIS (Web-Mgmt-Console) este interfața de utilizator pentru gestionarea IIS;
• Seturile de caractere și instrumentele de gestionare a IIS (Web-Scripting-Tools) sunt instrumente și scripturi pentru gestionarea IIS folosind linia de comandă sau scripturile. Ele pot fi folosite, de exemplu, pentru automatizarea controlului;
• Serviciu de management (Web-Mgmt-Service) - acest serviciu adaugă posibilitatea de a gestiona un server web de la distanță de pe un alt computer utilizând IIS Manager;
• IIS 6 Compatibility Management (Web-Mgmt-Compat) - Oferă compatibilitate pentru aplicațiile și scripturile care utilizează cele două API-uri IIS. Scripturile existente IIS 6 pot fi utilizate pentru a gestiona serverul web IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) este un instrument de compatibilitate care vă permite să rulați aplicații și seturi de caractere care au fost migrate de la versiuni anterioare ale IIS;
  • Instrumente de scripting IIS 6 (Web-Lgcy-Scripting) - Aceste instrumente vă permit să utilizați aceleași servicii de scripting IIS 6 care au fost create pentru a gestiona IIS 6 în IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) este un instrument pentru administrarea serverelor IIS 6.0 la distanță;
  • Compatibilitatea IIS 6 WMI (Web-WMI) sunt interfețe de scripting Windows Management Instrumentation (WMI) pentru controlul programatic și automatizarea sarcinilor serverului Web IIS 10.0 folosind un set de scripturi create într-un furnizor WMI.

Servicii de domeniu Active Directory

Rol " Servicii de domeniu Active Directory» (AD DS) oferă o bază de date distribuită care stochează și procesează informații despre resursele rețelei. Acest rol este utilizat pentru a organiza elementele de rețea, cum ar fi utilizatorii, computerele și alte dispozitive, într-o structură de izolare ierarhică. Structura ierarhică include păduri, domenii dintr-o pădure și unități organizaționale (OU) din fiecare domeniu. Serverul care rulează AD DS se numește controler de domeniu.

Numele rolului pentru Windows PowerShell este AD-Domain-Services.

Modul Windows Server Essentials

Acest rol este o infrastructură de computer și oferă caracteristici convenabile și eficiente, de exemplu: stocarea datelor clientului într-o locație centralizată și protejarea acestor date prin realizarea de copii de rezervă a serverului și computerelor client, acces web de la distanță, care vă permite să accesați datele de pe aproape orice dispozitiv . Acest rol necesită mai multe servicii și caracteristici de rol, de exemplu: Funcții BranchCache, Windows Server Backup, Group Policy Management, Role Service " Spații de nume DFS».

Numele pentru PowerShell este ServerEssentialsRole.

Controlor de rețea

Introdus în Windows Server 2016, acest rol oferă un singur punct de automatizare pentru gestionarea, monitorizarea și diagnosticarea infrastructurii de rețea fizică și virtuală din centrul de date. Folosind acest rol, puteți configura subrețele IP, VLAN-uri, adaptoare fizice de rețea ale gazdelor Hyper-V dintr-un singur punct, puteți gestiona comutatoare virtuale, routere fizice, setări firewall și gateway-uri VPN.

Numele pentru Windows PowerShell este NetworkController.

Serviciul Node Guardian

Acesta este rolul de server Hosted Guardian Service (HGS) și oferă servicii de atestare și protecție a cheilor care permit gazdelor protejate să ruleze mașini virtuale protejate. Pentru funcționarea acestui rol sunt necesare mai multe roluri și componente suplimentare, de exemplu: Active Directory Domain Services, Web Server (IIS), " Clustering de failover" si altii.

Numele pentru PowerShell este HostGuardianServiceRole.

Servicii Active Directory Lightweight Directory

Rol " Servicii Active Directory Lightweight Directory» (AD LDS) este o versiune ușoară a AD DS care are mai puține funcționalități, dar nu necesită implementarea de domenii sau controlere de domeniu și nu are dependențele și restricțiile de domeniu cerute de AD DS. AD LDS rulează peste protocolul LDAP ( Protocol schematic de acces la registru). Puteți implementa mai multe instanțe AD LDS pe același server cu scheme gestionate independent.

Numele pentru PowerShell este ADLDS.

Servicii MultiPoint

Este, de asemenea, un rol nou, care este nou în Windows Server 2016. MultiPoint Services (MPS) oferă funcționalitate de bază desktop la distanță care permite mai multor utilizatori să lucreze simultan și independent pe același computer. Pentru a instala și opera acest rol, trebuie să instalați mai multe servicii și componente suplimentare, de exemplu: Print Server, Windows Search Service, XPS Viewer și altele, toate acestea vor fi selectate automat în timpul instalării MPS.

Numele rolului pentru PowerShell este MultiPointServerRole.

Servicii de actualizare Windows Server

Cu acest rol (WSUS), administratorii de sistem pot gestiona actualizările Microsoft. De exemplu, creați grupuri separate de computere pentru diferite seturi de actualizări, precum și primiți rapoarte privind conformitatea computerelor cu cerințele și actualizările care trebuie instalate. Pentru functionare" Servicii de actualizare Windows Server» Aveți nevoie de astfel de servicii și componente de rol precum: Web Server (IIS), Windows Internal Database, Windows Process Activation Service.

Numele pentru Windows PowerShell este UpdateServices.

• Conectivitate WID (UpdateServices-WidDB) - setată la WID ( Baza de date internă Windows) baza de date utilizată de WSUS. Cu alte cuvinte, WSUS își va stoca datele de serviciu în WID;
• Serviciile WSUS (UpdateServices-Services) sunt serviciile de rol WSUS, cum ar fi Serviciul de actualizare, Serviciul web de raportare, Serviciul web de API Remoting, Serviciu web client, Serviciu web de autentificare simplă web, Serviciu de sincronizare a serverului și Serviciu web de autentificare DSS;
• SQL Server Connectivity (UpdateServices-DB) este o instalare de componentă care permite serviciului WSUS să se conecteze la o bază de date Microsoft SQL Server. Această opțiune asigură stocarea datelor de serviciu într-o bază de date Microsoft SQL Server. În acest caz, trebuie să aveți deja cel puțin o instanță de SQL Server instalată.

Servicii de activare a licențelor în volum

Cu acest rol de server, puteți automatiza și simplifica emiterea de licențe de volum pentru software de la Microsoft și vă permite, de asemenea, să gestionați aceste licențe.

Numele pentru PowerShell este VolumeActivation.

Servicii de imprimare și documente

Acest rol de server este conceput pentru a partaja imprimante și scanere într-o rețea, pentru a configura și gestiona centralizat serverele de imprimare și scanare și pentru a gestiona imprimante și scanere de rețea. Print and Document Services vă permite, de asemenea, să trimiteți documente scanate prin e-mail, către partajări în rețea sau către site-uri Windows SharePoint Services.

Numele pentru PowerShell este Print-Services.

• Print Server (Print-Server) - Acest serviciu de rol include " Managementul tipăririi”, care este folosit pentru a gestiona imprimante sau servere de imprimare, precum și pentru a migra imprimante și alte servere de imprimare;
• Imprimare prin Internet (Print-Internet) - Pentru a implementa imprimarea pe Internet, este creat un site web prin care utilizatorii pot gestiona lucrările de imprimare pe server. Pentru ca acest serviciu să funcționeze, după cum înțelegeți, trebuie să instalați " Server web (IIS)". Toate componentele necesare vor fi selectate automat când bifați această casetă în timpul procesului de instalare a serviciului de rol " Imprimare pe Internet»;
• Serverul de scanare distribuit (Print-Scan-Server) este un serviciu care vă permite să primiți documente scanate de la scanere de rețea și să le trimiteți către o destinație. Acest serviciu conține și „ Managementul scanării”, care este folosit pentru a gestiona scanere de rețea și pentru a configura scanarea;
• Serviciu LPD (Print-LPD-Service) - serviciu LPD ( Line Printer Daemon) permite computerelor bazate pe UNIX și altor computere care utilizează serviciul Line Printer Remote (LPR) să imprime pe imprimantele partajate ale serverului.

Politică de rețea și servicii de acces

Rol " » (NPAS) permite Network Policy Server (NPS) să seteze și să impună accesul la rețea, autentificarea și autorizarea și politicile de sănătate ale clientului, cu alte cuvinte, pentru a securiza rețeaua.

Numele pentru Windows PowerShell este NPAS.

Servicii de implementare Windows

Cu acest rol, puteți instala de la distanță sistemul de operare Windows într-o rețea.

Numele rolului pentru PowerShell este WDS.

• Server de implementare (WDS-Deployment) - acest serviciu de rol este conceput pentru implementarea și configurarea de la distanță a sistemelor de operare Windows. De asemenea, vă permite să creați și să personalizați imagini pentru reutilizare;
• Server de transport (WDS-Transport) - Acest serviciu conține componentele de bază ale rețelei cu care puteți transfera date prin multicasting pe un server autonom.

Servicii de certificate Active Directory

Acest rol este destinat să creeze autorități de certificare și servicii de rol aferente care vă permit să emitați și să gestionați certificate pentru diverse aplicații.

Numele pentru Windows PowerShell este AD-Certificate.

Include următoarele servicii de rol:

• Autoritate de certificare (ADCS-Cert-Authority) - folosind acest serviciu de rol, puteți emite certificate utilizatorilor, computerelor și serviciilor, precum și gestionați valabilitatea certificatului;
• Serviciul web pentru politica de înregistrare a certificatelor (ADCS-Enroll-Web-Pol) - Acest serviciu permite utilizatorilor și computerelor să obțină informații despre politica de înregistrare a certificatelor de la un browser web, chiar dacă computerul nu este membru al unui domeniu. Pentru funcționarea lui este necesar Server web (IIS)»;
• Serviciul web de înregistrare a certificatelor (ADCS-Enroll-Web-Svc) - Acest serviciu permite utilizatorilor și computerelor să înregistreze și să reînnoiască certificate folosind un browser web prin HTTPS, chiar dacă computerul nu este membru al unui domeniu. De asemenea, trebuie să funcționeze Server web (IIS)»;
• Online Responder (ADCS-Online-Cert) - Serviciul este conceput pentru a verifica revocarea unui certificat pentru clienți. Cu alte cuvinte, acceptă o cerere de stare de revocare pentru anumite certificate, evaluează starea acelor certificate și trimite înapoi un răspuns semnat cu informații despre stare. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)»;
• Serviciul de înregistrare web al autorității de certificare (ADCS-Web-Enrollment) - Acest serviciu oferă utilizatorilor o interfață web pentru a efectua sarcini precum solicitarea și reînnoirea certificatelor, obținerea CRL-urilor și înregistrarea certificatelor de carduri inteligente. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)»;
• Serviciul de înregistrare a dispozitivelor de rețea (ADCS-Device-Enrollment) — Folosind acest serviciu, puteți emite și gestiona certificate pentru routere și alte dispozitive de rețea care nu au conturi de rețea. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)».

Servicii desktop la distanță

Un rol de server care poate fi utilizat pentru a oferi acces la desktop-uri virtuale, desktop-uri bazate pe sesiune și RemoteApps.

Numele rolului pentru Windows PowerShell este Remote-Desktop-Services.

Constă din următoarele servicii:

• Remote Desktop Web Access (RDS-Web-Access) - Acest serviciu de rol permite utilizatorilor să acceseze desktop-uri la distanță și aplicații RemoteApp prin intermediul „ start» sau folosind un browser web;
• Licențiere Desktop la distanță (licențiere RDS) - Serviciul este conceput pentru a gestiona licențele necesare pentru a se conecta la serverul gazdă de sesiune Desktop la distanță sau desktopul virtual. Poate fi folosit pentru a instala, a emite licențe și a urmări disponibilitatea acestora. Acest serviciu necesită „ Server web (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) este un serviciu de rol care oferă următoarele capabilități: reconectarea unui utilizator la un desktop virtual existent, aplicație RemoteApp și desktop bazat pe sesiune, precum și echilibrarea încărcării între desktopurile serverelor gazdă de sesiune la distanță sau între desktop-uri virtuale grupate. Acest serviciu necesită „ »;
• Gazdă de virtualizare desktop la distanță (DS-Virtualization) - Serviciul permite utilizatorilor să se conecteze la desktopuri virtuale folosind RemoteApp și Desktop Connection. Acest serviciu funcționează împreună cu Hyper-V, de ex. acest rol trebuie instalat;
• Gazdă sesiune Desktop la distanță (RDS-RD-Server) - Acest serviciu poate găzdui aplicații RemoteApp și desktop-uri bazate pe sesiune pe un server. Accesul se face prin clientul Remote Desktop Connection sau RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) - Serviciul permite utilizatorilor la distanță autorizați să se conecteze la desktop-uri virtuale, RemoteApps și desktop-uri bazate pe sesiune dintr-o rețea corporativă sau prin Internet. Acest serviciu necesită următoarele servicii și componente suplimentare: Server web (IIS)», « Politică de rețea și servicii de acces», « RPC peste proxy HTTP».

AD RMS

Acesta este un rol de server care vă va permite să protejați informațiile împotriva utilizării neautorizate. Validează identitățile utilizatorilor și acordă licențe utilizatorilor autorizați pentru a accesa datele protejate. Acest rol necesită servicii și componente suplimentare: Server web (IIS)», « Serviciul de activare a proceselor Windows», « Caracteristici .NET Framework 4.6».

Numele pentru Windows PowerShell este ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - serviciul de rol principal, necesar pentru instalare;
• Identity Federation Support (ADRMS-Identity) este un serviciu de rol opțional care permite identităților federate să consume conținut protejat folosind Active Directory Federation Services.

AD FS

Acest rol oferă o federație simplificată și sigură a identității și o funcționalitate de conectare unică (SSO) site-urilor web care utilizează un browser.

Numele pentru PowerShell este ADFS-Federation.

Acces de la distanță

Acest rol oferă conectivitate prin DirectAccess, VPN și proxy de aplicație web. De asemenea rolul Acces de la distanță„oferă capabilități tradiționale de rutare, inclusiv traducerea adresei de rețea (NAT) și alte opțiuni de conectare. Acest rol necesită servicii și caracteristici suplimentare: Server web (IIS)», « Baza de date internă Windows».

Numele rolului pentru Windows PowerShell este RemoteAccess.

• DirectAccess și VPN (RAS) (DirectAccess-VPN) - serviciul permite utilizatorilor să se conecteze oricând la rețeaua corporativă cu acces la Internet prin DirectAccess, precum și să organizeze conexiuni VPN în combinație cu tehnologiile de tunel și criptarea datelor;
• Routing (Routing) - serviciul oferă suport pentru routere NAT, routere LAN cu protocoale BGP, protocoale RIP și routere cu suport multicast (proxy IGMP);
• Web Application Proxy (Web-Application-Proxy) - Serviciul vă permite să publicați aplicații bazate pe protocoalele HTTP și HTTPS din rețeaua corporativă către dispozitivele client care se află în afara rețelei corporative.

Servicii de fișiere și stocare

Acesta este un rol de server care poate fi folosit pentru a partaja fișiere și foldere, pentru a gestiona și controla partajările, pentru a replica fișiere, pentru a oferi căutări rapide de fișiere și pentru a acorda acces la computerele client UNIX. Am discutat mai detaliat despre serviciile de fișiere și în special despre serverul de fișiere în materialul „Instalarea unui server de fișiere (File Server) pe Windows Server 2016”.

Numele pentru Windows PowerShell este FileAndStorage-Services.

Servicii de depozitare- Acest serviciu oferă funcționalitate de gestionare a stocării care este întotdeauna instalată și nu poate fi eliminată.

Servicii de fișiere și servicii iSCSI (servicii de fișiere) sunt tehnologii care simplifică gestionarea serverelor și stocărilor de fișiere, economisește spațiu pe disc, asigură replicarea și stocarea în cache a fișierelor în ramuri și, de asemenea, oferă partajarea fișierelor prin protocolul NFS. Include următoarele servicii de rol:

• File Server (FS-FileServer) - un serviciu de rol care gestionează folderele partajate și oferă utilizatorilor acces la fișierele de pe acest computer prin rețea;
• Deduplicarea datelor (FS-Data-Deduplication) - acest serviciu economisește spațiu pe disc prin stocarea unei singure copii a datelor identice pe un volum;
• File Server Resource Manager (FS-Resource-Manager) - folosind acest serviciu, puteți gestiona fișiere și foldere pe un server de fișiere, puteți crea rapoarte de stocare, clasifica fișiere și foldere, configura cote de foldere și defini politici de blocare a fișierelor;
• Furnizor de stocare țintă iSCSI (furnizori de hardware VDS și VSS) (iSCSItarget-VSS-VDS) - Serviciul permite aplicațiilor de pe un server conectat la o țintă iSCSI să ascundă volume de copiere pe discurile virtuale iSCSI;
• Spații de nume DFS (FS-DFS-Namespace) - folosind acest serviciu, puteți grupa foldere partajate găzduite pe diferite servere într-unul sau mai multe spații de nume structurate logic;
• Foldere de lucru (FS-SyncShareService) - serviciul vă permite să utilizați fișiere de lucru pe diferite computere, inclusiv de lucru și personale. Vă puteți stoca fișierele în foldere de lucru, le puteți sincroniza și le puteți accesa din rețeaua locală sau de pe Internet. Pentru ca serviciul să funcționeze, componenta " Core Web IIS în proces»;
• Replicarea DFS (FS-DFS-Replication) este un motor de replicare a datelor multi-server care vă permite să sincronizați folderele printr-o conexiune LAN sau WAN. Această tehnologie folosește protocolul RDC (Remote Differential Compression) pentru a actualiza doar porțiunea din fișierele care s-au modificat de la ultima replicare. Replicarea DFS poate fi utilizată cu sau fără spații de nume DFS;
• Server pentru NFS (FS-NFS-Service) - Serviciul permite acestui computer să partajeze fișiere cu computere bazate pe UNIX și alte computere care utilizează protocolul Network File System (NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) - oferă servicii și management pentru ținte iSCSI;
• Serviciul BranchCache pentru fișiere de rețea (FS-BranchCache) - Serviciul oferă suport BranchCache pe acest server de fișiere;
• Serviciu de agent VSS pentru server de fișiere (FS-VSS-Agent) - Serviciul permite copieri umbra de volum pentru aplicațiile care stochează fișiere de date pe acest server de fișiere.

server de fax

Rolul trimite și primește faxuri și vă permite să gestionați resursele de fax, cum ar fi lucrări, setări, rapoarte și dispozitive de fax pe acest computer sau în rețea. Necesar pentru muncă Server de imprimare».

Numele rolului pentru Windows PowerShell este Fax.

Aceasta completează revizuirea rolurilor de server Windows Server 2016, sper că materialul v-a fost de folos, deocamdată!

Aplicarea politicilor de grup (Partea 3)

De obicei, GPO-urile sunt atribuite unui container (domeniu, site sau OU) și se aplică tuturor obiectelor din acel container. Cu o structură de domeniu bine organizată, acest lucru este suficient, dar uneori este necesar să restrângem și mai mult aplicarea politicilor la un anumit grup de obiecte. Pentru aceasta se pot folosi două tipuri de filtre.

Filtre de securitate

Filtrele de securitate vă permit să restricționați aplicarea politicilor la un anumit grup de securitate. De exemplu, să luăm GPO2, care este folosit pentru a configura centralizat meniul Start pe stațiile de lucru cu Windows 8.1\Windows 10. GPO2 este alocat OU-ului angajaților și se aplică tuturor utilizatorilor fără excepție.

Acum să mergem la fila „Scope”, unde în secțiunea „Security Filtering” sunt indicate grupurile cărora li se poate aplica acest GPO. În mod implicit, grupul Utilizatori autentificați este specificat aici. Aceasta înseamnă că politica poate fi aplicată oricine un utilizator sau un computer care s-a autentificat cu succes la domeniu.

De fapt, fiecare GPO are propria listă de acces, care poate fi văzută în fila Delegare.

Pentru a aplica politica, obiectul trebuie să aibă drepturi de a citi (Citire) și de a aplica (Aplicare politica de grup), pe care le are grupul de Utilizatori autentificați. În consecință, pentru ca politica să fie aplicată nu tuturor, ci doar unui anumit grup, este necesar să eliminați utilizatorii autentificați din listă, apoi să adăugați grupul dorit și să îi acordați drepturile corespunzătoare.

Deci, în exemplul nostru, politica poate fi aplicată numai grupului Contabilitate.

filtre WMI

Windows Management Instrumentation (WMI) este unul dintre cele mai puternice instrumente pentru gestionarea sistemului de operare Windows. WMI conține un număr mare de clase cu ajutorul cărora puteți descrie aproape orice setări de utilizator și computer. Puteți vizualiza toate clasele WMI disponibile ca o listă folosind PowerShell rulând comanda:

Get-WmiObject -List

De exemplu, luați clasa Win32_OperatingSystem, care este responsabil pentru proprietățile sistemului de operare. Să presupunem că doriți să filtrați toate sistemele de operare, cu excepția Windows 10. Mergem la un computer cu Windows 10 instalat, deschidem consola PowerShell și afișăm numele, versiunea și tipul sistemului de operare folosind comanda:

Get-WmiObject -Class Win32_OperatingSystem | fl Nume, versiune, tip produs

Pentru filtru, folosim versiunea și tipul sistemului de operare. Versiunea este aceeași pentru sistemul de operare client și server și este definită după cum urmează:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Tipul de produs este responsabil pentru scopul computerului și poate avea 3 valori:

1 - post de lucru;
2 - controler de domeniu;
3 - server.

Acum să trecem la crearea unui filtru. Pentru a face acest lucru, deschideți snap-in Management Policy de grup și accesați secțiunea Filtre WMI. Faceți clic dreapta pe el și selectați Nou din meniul contextual.

În fereastra care se deschide, dați filtrului un nume și o descriere. Apoi apăsăm butonul „Add” și în câmpul „Query” introducem interogarea WQL, care stă la baza filtrului WMI. Trebuie să selectăm versiunea OS 10.0 cu tipul 1, deci cererea va arăta astfel:

SELECTAȚI * FROM Win32_OperatingSystem WHERE Versiunea LIKE ″10.0%″ ȘI ProductType = ″1″

Notă. Windows Query Language (WQL) - limbaj de interogare WMI. Puteți afla mai multe despre acesta pe MSDN.

Salvați filtrul rezultat.

Acum tot ce mai rămâne este să atribuiți filtrul WMI unui GPO, cum ar fi GPO3. Accesați proprietățile GPO, deschideți fila „Scope” și în câmpul „WMI Filtering”, selectați filtrul dorit din listă.

Analiza aplicării politicilor de grup

Cu atât de multe metode de filtrare GPO, este necesar să putem diagnostica și analiza aplicarea acestora. Cel mai simplu mod de a verifica efectul politicilor de grup pe un computer este utilizarea utilitarului de linie de comandă gpresult.

De exemplu, să mergem la computerul wks2, care are instalat Windows 7, și să verificăm dacă filtrul WMI a funcționat. Pentru a face acest lucru, deschideți consola cmd cu drepturi de administrator și executați comanda gpresult /r, care afișează informații rezumative despre politicile de grup aplicate utilizatorului și computerului.

Notă. Utilitarul gpresult are multe setări, care pot fi vizualizate cu comanda gpresult /?.

După cum puteți vedea din datele primite, politica GPO3 nu a fost aplicată computerului deoarece a fost filtrată de filtrul WMI.

De asemenea, puteți verifica acțiunea GPO din snap-in Management Policy de grup, folosind un expert special. Pentru a lansa expertul, faceți clic dreapta pe secțiunea „Rezultatele politicii de grup” și selectați elementul „Asistent pentru rezultatele politicii de grup” din meniul care se deschide.

Specificați numele computerului pentru care va fi generat raportul. Dacă doriți doar să vizualizați setările de Politică de grup specifice utilizatorului, puteți alege să nu colectați setări pentru computer. Pentru a face acest lucru, bifați caseta de mai jos (afișați numai setările politicii utilizatorului).

Apoi selectăm numele de utilizator pentru care vor fi colectate datele sau puteți specifica să nu includeți setările politicii de grup pentru utilizator în raport (afișați doar setările politicii computerului).

Verificăm setările selectate, facem clic pe „Următorul” și așteptăm cât se colectează datele și se generează raportul.

Raportul conține date complete despre GPO-urile aplicate (sau neaplicate) utilizatorului și computerului, precum și filtrele utilizate.

De exemplu, să creăm rapoarte pentru doi utilizatori diferiți și să le comparăm. Să deschidem mai întâi raportul pentru utilizatorul Kirill și să mergem la secțiunea setări utilizator. După cum puteți vedea, politica GPO2 nu a fost aplicată acestui utilizator, deoarece nu are drepturi să o aplice (Motiv refuzat - Inaccesibil).

Și acum să deschidem raportul pentru utilizatorul Oleg. Acest utilizator este membru al grupului Contabilitate, astfel încât politica i-a fost aplicată cu succes. Aceasta înseamnă că filtrul de securitate a fost finalizat cu succes.

Pe aceasta, probabil, voi termina povestea ″fascinantă″ despre aplicarea politicilor de grup. Sper că aceste informații vă vor fi utile și vă vor ajuta în sarcina dificilă de administrare a sistemului 🙂

Când instalați Windows, majoritatea subsistemelor neesențiale nu sunt activate sau instalate. Acest lucru se face din motive de securitate. Deoarece sistemul este sigur în mod implicit, administratorii de sistem se pot concentra pe proiectarea unui sistem care face ceea ce face și nimic mai mult. Pentru a vă ajuta să activați funcțiile dorite, Windows vă solicită să selectați un rol de server.

Roluri

Un rol de server este un set de programe care, atunci când sunt instalate și configurate corect, permit unui computer să îndeplinească o funcție specifică pentru mai mulți utilizatori sau alte computere dintr-o rețea. În general, toate rolurile au următoarele caracteristici.

• Ele definesc funcția principală, scopul sau scopul utilizării unui computer. Puteți desemna un computer pentru a juca un rol care este foarte utilizat în întreprindere sau pentru a juca mai multe roluri în care fiecare rol este folosit doar ocazional.
• Rolurile oferă utilizatorilor din întreaga organizație acces la resurse care sunt gestionate de alte computere, cum ar fi site-uri web, imprimante sau fișiere stocate pe diferite computere.
• De obicei, au propriile baze de date care pun în coadă solicitările utilizatorilor sau computerului sau înregistrează informații despre utilizatorii rețelei și computerele asociate cu un rol. De exemplu, Active Directory Domain Services conține o bază de date pentru stocarea numelor și relațiilor ierarhice ale tuturor computerelor dintr-o rețea.
• Odată instalate și configurate corect, rolurile funcționează automat. Acest lucru permite computerelor pe care sunt instalate să efectueze sarcinile atribuite cu interacțiune limitată a utilizatorului.

Servicii de rol

Serviciile de rol sunt programe care oferă funcționalitatea unui rol. Când instalați un rol, puteți alege ce servicii oferă altor utilizatori și computere din întreprindere. Unele roluri, cum ar fi serverul DNS, îndeplinesc o singură funcție, deci nu există servicii de rol pentru ele. Alte roluri, cum ar fi Serviciile Desktop la distanță, au mai multe servicii pe care le puteți instala în funcție de nevoile de acces de la distanță ale întreprinderii dumneavoastră. Un rol poate fi gândit ca o colecție de servicii de rol strâns legate, complementare. În cele mai multe cazuri, instalarea unui rol înseamnă instalarea unuia sau mai multor servicii ale acestuia.

Componente

Componentele sunt programe care nu fac parte direct din roluri, dar susțin sau extind funcționalitatea unuia sau mai multor roluri sau a întregului server, indiferent de rolurile instalate. De exemplu, Failover Cluster Tool extinde alte roluri, cum ar fi File Services și DHCP Server, permițându-le să se alăture clusterelor de servere, ceea ce oferă redundanță și performanță sporite. Cealaltă componentă, Clientul Telnet, permite comunicarea de la distanță cu serverul Telnet printr-o conexiune de rețea. Această caracteristică îmbunătățește opțiunile de comunicare pentru server.

Când Windows Server rulează în modul Server Core, sunt acceptate următoarele roluri de server:

• Servicii de certificate Active Directory;
• Servicii de domeniu Active Directory;
• Server DHCP
• server DNS;
• servicii de fișiere (inclusiv managerul de resurse server de fișiere);
• Servicii Active Directory Lightweight Directory;
• Hyper-V
• servicii de tipărire și documente;
• Servicii media de streaming;
• server web (inclusiv un subset de ASP.NET);
• Windows Server Update Server;
• Server de gestionare a drepturilor Active Directory;
• Server de rutare și acces la distanță și următoarele roluri subordonate:
  • Remote Desktop Connection Broker;
  • licențiere;
  • virtualizare.

Când Windows Server rulează în modul Server Core, sunt acceptate următoarele caracteristici de server:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Serviciu de transfer inteligent de fundal (BITS);
• Criptare BitLocker Drive;
• Deblocarea rețelei BitLocker;
• BranchCache
• puntea centrului de date;
• Stocare îmbunătățită;
• clustering de failover;
• I/O cu mai multe căi;
• echilibrarea sarcinii rețelei;
• protocol PNRP;
• qWave;
• compresie diferenţială de la distanţă;
• servicii simple TCP/IP;
• RPC peste proxy HTTP;
• server SMTP;
• serviciu SNMP;
• client Telnet;
• server telnet;
• client TFTP;
• baza de date internă Windows;
• Acces Web Windows PowerShell;
• Serviciu de activare Windows;
• management standardizat al stocării Windows;
• extensia IIS WinRM;
• server WINS;
• Suport WoW64.

Instalarea rolurilor de server folosind Server Manager

Pentru a adăuga, deschideți Server Manager și, în meniul Gestionare, faceți clic pe Adăugați roluri și funcții:

Se deschide Expertul Adăugare roluri și caracteristici. Faceți clic pe Următorul

Tip de instalare, selectați Instalare bazată pe rol sau pe funcție. Următorul:

Selectare server - selectați serverul nostru. Faceți clic pe Următorul rol de server - Selectați rolurile dacă este necesar, selectați servicii de rol și faceți clic pe Următorul pentru a selecta componente. În timpul acestei proceduri, Expertul Adăugare roluri și caracteristici vă informează automat despre conflictele de pe serverul de destinație care pot împiedica instalarea sau funcționarea normală a rolurilor sau caracteristicilor selectate. De asemenea, vi se solicită să adăugați rolurile, serviciile de rol și caracteristicile necesare rolurilor sau caracteristicilor selectate.

Instalarea rolurilor cu PowerShell

Deschideți Windows PowerShell Introduceți comanda Get-WindowsFeature pentru a vedea lista rolurilor și funcțiilor disponibile și instalate pe serverul local. Ieșirea acestui cmdlet conține numele comenzilor pentru rolurile și caracteristicile care sunt instalate și disponibile pentru instalare.

Tastați Get-Help Install-WindowsFeature pentru a vedea sintaxa și parametrii validi pentru cmdlet-ul Install-WindowsFeature (MAN).

Introduceți următoarea comandă (-Restart va reporni serverul dacă instalarea rolului necesită o repornire).

Instalare-Feature Windows -Nume -Repornire

Descrierea rolurilor și a serviciilor de rol

Toate rolurile și serviciile de rol sunt descrise mai jos. Să ne uităm la setările avansate pentru cele mai comune rol de server web și servicii de desktop la distanță din practica noastră.

Descrierea detaliată a IIS

• Caracteristici HTTP comune - Componente HTTP de bază
  • Document implicit - vă permite să setați pagina de index pentru site.
  • Navigare în director - Permite utilizatorilor să vadă conținutul unui director pe un server web. Utilizați Navigarea în director pentru a genera automat o listă cu toate directoarele și fișierele dintr-un director atunci când utilizatorii nu specifică un fișier în adresa URL și pagina de index este dezactivată sau nu este configurată
  • Erori HTTP - vă permite să personalizați mesajele de eroare returnate clienților în browser.
  • Conținut static - vă permite să postați conținut static, cum ar fi imagini sau fișiere html.
  • Redirecționare HTTP - Oferă suport pentru redirecționarea solicitărilor utilizatorilor.
  • WebDAV Publishing vă permite să publicați fișiere de pe un server web folosind protocolul HTTP.
• Funcții de sănătate și diagnosticare - Componente de diagnosticare
  • Înregistrarea HTTP oferă înregistrarea activității site-ului web pentru un anumit server.
  • Logging personalizat oferă suport pentru crearea de jurnalele personalizate care sunt diferite de jurnalele „tradiționale”.
  • Logging Tools oferă un cadru pentru gestionarea jurnalelor de server web și automatizarea sarcinilor comune de înregistrare.
  • ODBC Logging oferă un cadru care acceptă înregistrarea activității serverului web într-o bază de date compatibilă cu ODBC.
  • Request Monitor oferă un cadru pentru monitorizarea stării aplicațiilor web prin colectarea de informații despre solicitările HTTP într-un proces de lucru IIS.
  • Urmărirea oferă un cadru pentru diagnosticarea și depanarea aplicațiilor web. Folosind urmărirea cererilor eșuate, puteți urmări evenimente greu de găsit, cum ar fi performanță slabă sau eșecuri de autentificare.
• Componente de performanță pentru a crește performanța serverului web.
  • Comprimarea conținutului static oferă un cadru pentru configurarea compresiei HTTP a conținutului static
  • Dynamic Content Compression oferă un cadru pentru configurarea compresiei HTTP a conținutului dinamic.
• Componente de securitate
  • Filtrarea solicitărilor vă permite să capturați toate solicitările primite și să le filtrați pe baza regulilor stabilite de administrator.
  • Autentificarea de bază vă permite să setați autorizare suplimentară
  • Suportul centralizat pentru certificate SSL este o caracteristică care vă permite să stocați certificate într-o locație centrală, cum ar fi o partajare de fișiere.
  • Autentificarea de mapare a certificatelor clientului utilizează certificate de client pentru a autentifica utilizatorii.
  • Digest Authentication funcționează prin trimiterea unui hash de parolă către un controler de domeniu Windows pentru a autentifica utilizatorii. Dacă aveți nevoie de mai multă securitate decât autentificarea de bază, luați în considerare utilizarea autentificării Digest
  • Autentificarea de mapare a certificatelor clientului IIS utilizează certificate de client pentru a autentifica utilizatorii. Certificatul de client este un ID digital obținut dintr-o sursă de încredere.
  • Restricțiile IP și domeniului vă permit să permiteți/interziceți accesul pe baza adresei IP sau a numelui de domeniu solicitat.
  • Autorizarea URL vă permite să creați reguli care restricționează accesul la conținutul web.
  • Autentificare Windows Această schemă de autentificare permite administratorilor de domenii Windows să profite de infrastructura de domeniu pentru autentificarea utilizatorilor.
• Caracteristici de dezvoltare a aplicațiilor
• Server FTP
  • Serviciu FTP Permite publicarea FTP pe un server web.
  • Extensibilitate FTP Permite suport pentru funcțiile FTP care extind funcționalitatea
• Instrumente de management
  • Consola de management IIS instalează Managerul IIS, care vă permite să gestionați serverul web printr-o interfață grafică
  • Compatibilitatea cu managementul IIS 6.0 oferă compatibilitate înainte pentru aplicațiile și scripturile care utilizează obiectul de bază de administrare (ABO) și API-ul Active Directory (ADSI) pentru interfața serviciului de director. Acest lucru permite scripturilor existente IIS 6.0 să fie utilizate de serverul web IIS 8.0
  • Scripturile și instrumentele de gestionare IIS oferă infrastructura pentru gestionarea serverului web IIS în mod programatic, utilizând comenzi într-o fereastră de prompt de comandă sau rulând scripturi.
  • Serviciul de management oferă infrastructura pentru personalizarea interfeței cu utilizatorul, IIS Manager.

Descrierea detaliată a RDS

• Remote Desktop Connection Broker - Oferă reconectarea dispozitivului client la programe bazate pe sesiuni desktop și desktop virtual.
• Remote Desktop Gateway - Permite utilizatorilor autorizați să se conecteze la desktop-uri virtuale, programe RemoteApp și desktop-uri bazate pe sesiune dintr-o rețea corporativă sau prin Internet.
• Licențiere desktop la distanță - Instrument de gestionare a licențelor RDP
• Gazdă sesiune Desktop la distanță - Include un server pentru a găzdui programe RemoteApp sau o sesiune bazată pe desktop.
• Gazdă de virtualizare desktop la distanță - vă permite să configurați RDP pe mașini virtuale
• Remote Desktop WebAccess - Permite utilizatorilor să se conecteze la resurse desktop folosind meniul Start sau browser web.

Luați în considerare instalarea și configurarea unui server de licență terminal. Cele de mai sus descriu cum se instalează roluri, instalarea RDS nu este diferită de instalarea altor roluri, în Serviciile de rol trebuie să selectăm Licențiere Desktop la distanță și Gazdă sesiune Desktop la distanță. După instalare, elementul Terminal Services va apărea în Server Manager-Tools. Există două elemente în Terminal Services RD Licensing Diagnoser, acesta este un instrument pentru diagnosticarea funcționării licențelor desktop la distanță și Manager de licențe Desktop la distanță, acesta este un instrument de gestionare a licențelor.

Rulați RD Licensing Diagnoser

Aici putem vedea că nu există încă licențe disponibile deoarece modul de licențiere nu este setat pentru serverul RD Session Host. Serverul de licență este specificat în politicile de grup locale. Pentru a lansa editorul, rulați comanda gpedit.msc. Se deschide Editorul de politici de grup local. În arborele din stânga, extindeți filele:

• Configurarea computerului
• Șabloane administrative
• Componente Windows
• Servicii desktop la distanță
• Gazdă sesiune desktop la distanță
• „Licensing” (Licensing)

Deschideți parametrii Utilizați serverele de licență pentru Desktop la distanță specificate

În fereastra de editare a setărilor politicii, activați serverul de licențiere (Activat). Apoi, trebuie să definiți un server de licență pentru Serviciile Desktop la distanță. În exemplul meu, serverul de licență este situat pe același server fizic. Specificați numele rețelei sau adresa IP a serverului de licență și faceți clic pe OK. Dacă numele serverului, serverul de licență se va schimba în viitor, va trebui să îl schimbați în aceeași secțiune.

După aceea, în RD Licensing Diagnoser, puteți vedea că serverul de licențe terminal este configurat, dar nu este activat. Pentru a activa, rulați Managerul de licențe pentru desktop la distanță

Selectați serverul de licențiere, cu starea Not Activated . Pentru activare, faceți clic dreapta pe el și selectați Activare server. Va porni asistentul de activare a serverului. În fila Metodă de conectare, selectați Conexiune automată. Apoi, completați informațiile despre organizație, după care serverul de licență este activat.

Servicii de certificate Active Directory

AD CS oferă servicii configurabile pentru emiterea și gestionarea certificatelor digitale care sunt utilizate în sistemele de securitate software care utilizează tehnologii cu cheie publică. Certificatele digitale furnizate de AD CS pot fi utilizate pentru a cripta și semna digital documente și mesaje electronice. Aceste certificate digitale pot fi utilizate pentru a autentifica conturile de computer, utilizator și dispozitiv din rețea. Certificatele digitale sunt utilizate pentru a furniza:

• confidențialitate prin criptare;
• integritate prin semnături digitale;
• autentificare prin conectarea cheilor de certificat la conturile de computer, utilizator și dispozitiv din rețea.

AD CS poate fi utilizat pentru a îmbunătăți securitatea legând identitatea unui utilizator, dispozitiv sau serviciu la cheia privată corespunzătoare. Aplicațiile acceptate de AD CS includ extensii standard de poștă Internet multifuncțională (S/MIME), rețele wireless securizate, rețele private virtuale (VPN), IPsec, sistem de fișiere de criptare (EFS), conectare cu cardul inteligent, protocol de securitate și nivel de transport. (SSL/TLS) și semnături digitale.

Servicii de domeniu Active Directory

Folosind rolul de server Active Directory Domain Services (AD DS), puteți crea o infrastructură scalabilă, sigură și gestionabilă pentru gestionarea utilizatorilor și a resurselor; de asemenea, puteți furniza aplicații activate pentru directoare, cum ar fi Microsoft Exchange Server. Serviciile de domeniu Active Directory furnizează o bază de date distribuită care stochează și gestionează informații despre resursele de rețea și datele aplicațiilor activate de director. Serverul care rulează AD DS se numește controler de domeniu. Administratorii pot folosi AD DS pentru a organiza elementele de rețea, cum ar fi utilizatorii, computerele și alte dispozitive, într-o structură imbricată ierarhică. Structura imbricată ierarhică include pădurea Active Directory, domeniile din pădure și unitățile organizaționale din fiecare domeniu. Caracteristicile de securitate sunt integrate în AD DS sub formă de autentificare și control al accesului la resursele din director. Cu conectare unică, administratorii pot gestiona informațiile despre director și organizarea prin rețea. De asemenea, utilizatorii autorizați de rețea pot utiliza conectarea unică la rețea pentru a accesa resursele situate oriunde în rețea. Serviciile de domeniu Active Directory oferă următoarele caracteristici suplimentare.

• Un set de reguli este o schemă care definește clasele de obiecte și atribute care sunt conținute într-un director, restricțiile și limitele instanțelor respectivelor obiecte și formatul numelor acestora.
• Un catalog global care conține informații despre fiecare obiect din catalog. Utilizatorii și administratorii pot folosi catalogul global pentru a căuta date de catalog, indiferent de domeniul din catalog care conține de fapt datele căutate.
• Un mecanism de interogare și indexare prin care obiectele și proprietățile lor pot fi publicate și localizate de utilizatorii și aplicațiile rețelei.
• Un serviciu de replicare care distribuie date de director într-o rețea. Toți controlorii de domeniu care pot fi scrise din domeniu participă la replicare și conțin o copie completă a tuturor datelor de director pentru domeniul lor. Orice modificare a datelor din director este replicată în domeniu tuturor controlorilor de domeniu.
• Roluri de master operațiuni (cunoscute și sub denumirea de operațiuni master unice flexibile sau FSMO). Controloarele de domeniu care acționează ca stăpâni ai operațiunilor sunt proiectate să îndeplinească sarcini speciale pentru a asigura coerența datelor și pentru a evita intrările de director conflictuale.

Servicii de federație Active Directory

AD FS oferă utilizatorilor finali care au nevoie de acces la aplicații într-o întreprindere securizată prin AD FS, în organizații partenere de federație sau în cloud cu servicii web simplificate și sigure de federare a identității și de conectare unică (SSO). Windows Server AD FS include un serviciu de rol Serviciul de federație care acționează ca furnizor de identitate (autentifică utilizatorii pentru a furniza jetoane de securitate aplicațiilor care au încredere în AD FS) sau ca furnizor de federație (aplică jetoane de la alți furnizori de identitate și apoi furnizează jetoane de securitate aplicațiilor care au încredere în AD FS).

Servicii Active Directory Lightweight Directory

Active Directory Lightweight Directory Services (AD LDS) este un protocol LDAP care oferă suport flexibil pentru aplicațiile de directoare fără dependențele și restricțiile specifice domeniului Active Directory Domain Services. AD LDS poate fi rulat pe servere membre sau independente. Puteți rula mai multe instanțe de AD LDS cu scheme gestionate independent pe același server. Cu rolul de serviciu AD LDS, puteți furniza servicii de directoare aplicațiilor activate pentru directoare fără a utiliza date de domeniu și servicii forestiere și fără a necesita o singură schemă la nivelul întregii păduri.

Servicii de gestionare a drepturilor Active Directory

Puteți utiliza AD RMS pentru a extinde strategia de securitate a organizației dvs. prin securizarea documentelor utilizând Information Rights Management (IRM). AD RMS permite utilizatorilor și administratorilor să atribuie permisiuni de acces documentelor, registrelor de lucru și prezentărilor folosind politici IRM. Acest lucru vă permite să protejați informațiile confidențiale împotriva tipăririi, redirecționării sau copierii de către utilizatori neautorizați. Odată ce permisiunile unui fișier sunt restricționate folosind IRM, restricțiile de acces și utilizare se aplică indiferent de locația informațiilor, deoarece permisiunea fișierului este stocată în fișierul document însuși. Cu AD RMS și IRM, utilizatorii individuali își pot aplica propriile preferințe în ceea ce privește transferul de informații personale și confidențiale. Ele vor ajuta, de asemenea, o organizație să aplice politicile corporative pentru a controla utilizarea și distribuirea informațiilor sensibile și personale. Soluțiile IRM acceptate de AD RMS sunt utilizate pentru a oferi următoarele capabilități.

• Politici de utilizare persistente care rămân cu informații indiferent dacă sunt mutate, trimise sau redirecționate.
• Un nivel suplimentar de confidențialitate pentru a proteja datele sensibile - cum ar fi rapoartele, specificațiile produselor, informațiile despre clienți și mesajele de e-mail - împotriva căderii intenționate sau accidentale în mâini greșite.
• Preveniți trimiterea, copierea, editarea, imprimarea, trimiterea prin fax sau lipirea neautorizată a conținutului restricționat de către destinatarii autorizați.
• Preveniți copierea conținutului restricționat utilizând caracteristica PRINT SCREEN din Microsoft Windows.
• Suport pentru expirarea fișierului, împiedicând vizualizarea conținutului documentului după o anumită perioadă de timp.
• Implementați politici corporative care guvernează utilizarea și distribuirea conținutului în cadrul organizației

Server de aplicații

Application Server oferă un mediu integrat pentru implementarea și rularea aplicațiilor de afaceri personalizate bazate pe server.

Server DHCP

DHCP este o tehnologie client-server care permite serverelor DHCP să atribuie sau să închirieze adrese IP computerelor și altor dispozitive care sunt clienți DHCP. Implementarea serverelor DHCP într-o rețea oferă automat computerelor client și altor dispozitive de rețea adrese IP valide IPv4 și IPv6. și setări de configurare suplimentare cerute de acești clienți și dispozitive.Serviciul DHCP Server din Windows Server include suport pentru atribuiri bazate pe politici și failover DHCP.

Server DNS

Serviciul DNS este o bază de date ierarhică distribuită care conține mapări ale numelor de domenii DNS la diferite tipuri de date, cum ar fi adrese IP. Serviciul DNS vă permite să utilizați nume prietenoase, cum ar fi www.microsoft.com, pentru a ajuta la localizarea computerelor și a altor resurse în rețelele bazate pe TCP/IP. Serviciul DNS din Windows Server oferă suport îmbunătățit suplimentar pentru modulele de securitate DNS (DNSSEC), inclusiv înregistrarea în rețea și gestionarea automată a setărilor.

Server FAX

Fax Server trimite și primește faxuri și vă permite să gestionați resursele de fax, cum ar fi lucrări, setări, rapoarte și dispozitive de fax pe serverul dvs. de fax.

Servicii de fișiere și stocare

Administratorii pot folosi rolul Servicii de fișiere și stocare pentru a configura mai multe servere de fișiere și stocarea acestora și pentru a gestiona acele servere folosind Server Manager sau Windows PowerShell. Unele aplicații specifice includ următoarele caracteristici.

• foldere de lucru. Utilizați pentru a permite utilizatorilor să stocheze și să acceseze fișiere de lucru pe computere personale și dispozitive, altele decât computerele corporative. Utilizatorii au un loc convenabil pentru a stoca fișierele de lucru și pentru a le accesa de oriunde. Organizațiile controlează datele corporative prin stocarea fișierelor pe servere de fișiere gestionate central și, opțional, prin stabilirea politicilor dispozitivelor utilizatorului (cum ar fi criptarea și parolele de blocare a ecranului).
• Deduplicarea datelor. Utilizați pentru a reduce cerințele de spațiu pe disc pentru stocarea fișierelor, economisind bani pe stocare.
• Server țintă iSCSI. Utilizați pentru a crea subsisteme de disc iSCSI centralizate, independente de software și dispozitiv în rețelele de stocare (SAN).
• Spații pe disc. Utilizați pentru a implementa stocarea care este foarte disponibilă, rezistentă și scalabilă, cu unități rentabile, standard din industrie.
• Manager server. Utilizați pentru a gestiona de la distanță mai multe servere de fișiere dintr-o singură fereastră.
• Windows PowerShell. Utilizați pentru a automatiza gestionarea majorității sarcinilor de administrare a serverului de fișiere.

Hyper-V

Rolul Hyper-V vă permite să creați și să gestionați un mediu de calcul virtualizat folosind tehnologia de virtualizare încorporată în Windows Server. Instalarea rolului Hyper-V instalează cerințe preliminare și instrumente de gestionare opționale. Cerințele preliminare includ hypervisorul Windows, Serviciul de gestionare a mașinilor virtuale Hyper-V, furnizorul de virtualizare WMI și componentele de virtualizare precum VMbus, furnizorul de servicii de virtualizare (VSP) și driverul de infrastructură virtuală (VID).

Politică de rețea și servicii de acces

Serviciile de politică de rețea și acces oferă următoarele soluții de conectivitate la rețea:

• Network Access Protection este o tehnologie pentru crearea, aplicarea și remedierea politicilor de sănătate ale clienților. Cu Network Access Protection, administratorii de sistem pot seta și aplica automat politici de sănătate care includ cerințe pentru software, actualizări de securitate și alte setări. Pentru computerele client care nu respectă politica de sănătate, puteți restricționa accesul la rețea până când configurația lor este actualizată pentru a respecta cerințele politicii.
• Dacă sunt implementate puncte de acces wireless 802.1X, puteți utiliza Network Policy Server (NPS) pentru a implementa metode de autentificare bazate pe certificate care sunt mai sigure decât autentificarea bazată pe parolă. Implementarea hardware-ului 802.1X activat cu un server NPS permite utilizatorilor de intranet să fie autentificați înainte de a se putea conecta la rețea sau de a obține o adresă IP de la un server DHCP.
• În loc să configurați o politică de acces la rețea pe fiecare server de acces la rețea, puteți crea la nivel central toate politicile care definesc toate aspectele solicitărilor de conexiune la rețea (cine se poate conecta, atunci când o conexiune este permisă, nivelul de securitate care trebuie utilizat pentru a se conecta la rețea). ).

Servicii de imprimare și documente

Serviciile de imprimare și documente vă permit să centralizați sarcinile serverului de imprimare și ale imprimantei de rețea. Acest rol vă permite, de asemenea, să primiți documente scanate de la scanere de rețea și să încărcați documente în partajări de rețea - pe un site Windows SharePoint Services sau prin e-mail.

acces de la distanță

Rolul Remote Access Server este o grupare logică a următoarelor tehnologii de acces la rețea.

• Acces direct
• Rutare și acces la distanță
• Proxy de aplicație web

Aceste tehnologii sunt servicii de rol rol de server de acces la distanță. Când instalați rolul Server de acces la distanță, puteți instala unul sau mai multe servicii de rol rulând Expertul Adăugare roluri și caracteristici.

Pe Windows Server, rolul Remote Access Server oferă posibilitatea de a administra, configura și monitoriza central DirectAccess și VPN cu servicii de acces la distanță (RRAS) de rutare și acces la distanță. DirectAccess și RRAS pot fi implementate pe același server Edge și gestionate folosind comenzile Windows PowerShell și Remote Access Management Console (MMC).

Servicii desktop la distanță

Remote Desktop Services accelerează și extinde implementarea desktop-urilor și a aplicațiilor pe orice dispozitiv, făcând lucrătorul de la distanță mai eficient, securizând în același timp proprietatea intelectuală critică și simplificând conformitatea. Serviciile desktop la distanță includ infrastructură desktop virtuală (VDI), desktop-uri bazate pe sesiune și aplicații, oferind utilizatorilor posibilitatea de a lucra de oriunde.

Servicii de activare a volumului

Serviciile de activare a licențelor în volum este un rol de server în Windows Server începând cu Windows Server 2012, care automatizează și simplifică emiterea și gestionarea licențelor în volum pentru software-ul Microsoft în diferite scenarii și medii. Împreună cu serviciile de activare a licenței în volum, puteți instala și configura serviciul de gestionare a cheilor (KMS) și activarea Active Directory.

Server Web (IIS)

Rolul Web Server (IIS) în Windows Server oferă o platformă pentru găzduirea de site-uri Web, servicii și aplicații. Utilizarea unui server web oferă acces la informații utilizatorilor de pe Internet, intranet și extranet. Administratorii pot folosi rolul Server Web (IIS) pentru a configura și gestiona mai multe site-uri web, aplicații web și site-uri FTP. Caracteristicile speciale includ următoarele.

• Utilizați Managerul Internet Information Services (IIS) pentru a configura componentele IIS și pentru a administra site-uri web.
• Utilizarea protocolului FTP pentru a permite proprietarilor site-urilor web să încarce și să descarce fișiere.
• Folosirea izolării site-ului web pentru a preveni ca un site de pe server să îi afecteze pe alții.
• Personalizarea aplicațiilor web dezvoltate folosind diverse tehnologii precum Classic ASP, ASP.NET și PHP.
• Utilizați Windows PowerShell pentru a gestiona automat majoritatea sarcinilor de administrare a serverului web.
• Consolidați mai multe servere web într-o fermă de servere care poate fi gestionată folosind IIS.

Servicii de implementare Windows

Serviciile de implementare Windows vă permit să implementați sisteme de operare Windows într-o rețea, ceea ce înseamnă că nu trebuie să instalați fiecare sistem de operare direct de pe un CD sau DVD.

Experiență Windows Server Essentials

Acest rol vă permite să efectuați următoarele sarcini:

• protejați datele serverului și ale clientului prin realizarea de copii de siguranță a serverului și a tuturor computerelor client din rețea;
• gestionați utilizatorii și grupurile de utilizatori printr-un tablou de bord simplificat al serverului. În plus, integrarea cu Windows Azure Active Directory* oferă utilizatorilor acces ușor la serviciile online Microsoft Online (cum ar fi Office 365, Exchange Online și SharePoint Online) folosind acreditările de domeniu;
• stocați datele companiei într-o locație centralizată;
• integrați serverul cu Microsoft Online Services (cum ar fi Office 365, Exchange Online, SharePoint Online și Windows Intune):
• utilizați funcții de acces omniprezente pe server (cum ar fi accesul la internet la distanță și rețelele private virtuale) pentru a accesa serverul, computerele din rețea și datele din locații la distanță foarte sigure;
• accesați datele de oriunde și de pe orice dispozitiv utilizând portalul web propriu al organizației (prin acces web de la distanță);
• gestionați dispozitivele mobile care accesează e-mailul organizației dvs. cu Office 365 prin protocolul Active Sync din tabloul de bord;
• monitorizați starea rețelei și primiți rapoarte de sănătate personalizabile; rapoartele pot fi generate la cerere, personalizate și trimise prin e-mail către anumiți destinatari.

Servicii de actualizare Windows Server

Serverul WSUS oferă componentele de care au nevoie administratorii pentru a gestiona și distribui actualizări prin consola de management. În plus, serverul WSUS poate fi sursa de actualizări pentru alte servere WSUS din organizație. La implementarea WSUS, cel puțin un server WSUS din rețea trebuie să fie conectat la Microsoft Update pentru a primi informații despre actualizările disponibile. În funcție de securitatea și configurația rețelei, un administrator poate determina câte alte servere sunt conectate direct la Microsoft Update.

Introducere

Odată cu creșterea numărului de computere în întreprindere, problema costului gestionării și întreținerii acesteia devine din ce în ce mai acută. Configurarea manuală a calculatoarelor necesită mult timp personalului și forțează, odată cu creșterea numărului de calculatoare, să crească personalul care le deservește. În plus, cu un număr mare de mașini, devine din ce în ce mai dificil să monitorizezi conformitatea cu standardele adoptate de întreprindere. Politica de grup (Politica de grup) este un instrument cuprinzător pentru gestionarea centralizată a computerelor care rulează Windows 2000 și versiuni ulterioare într-un domeniu Active Directory. Politicile de grup nu sunt aplicate computerelor care rulează Windows NT4/9x: sunt controlate de Politica de sistem, care nu va fi discutată în acest articol.

GPO-uri

Toate setările pe care le creați în cadrul politicilor de grup vor fi stocate în obiectele politicii de grup (GPO). GPO-urile sunt de două tipuri: GPO locale și GPO-uri Active Directory. GPO-ul local este disponibil pe computerele care rulează Windows 2000 și versiuni ulterioare. Poate exista doar unul și este singurul GPO care poate fi pe o mașină care nu este de domeniu.

Un obiect de politică de grup este un nume generic pentru un set de fișiere, directoare și intrări din baza de date Active Directory (dacă nu este un obiect local) care stochează setările dvs. și determină ce alte setări puteți modifica folosind politicile de grup. Prin crearea unei politici, de fapt creați și modificați un GPO. GPO-ul local este stocat în %SystemRoot%\System32\GroupPolicy. GPO-urile Active Directory sunt stocate pe un controler de domeniu și pot fi asociate cu un site, domeniu sau OU (unitate organizațională, unitate organizațională sau unitate organizațională). Legarea unui obiect îi definește domeniul de aplicare. În mod implicit, două GPO sunt create într-un domeniu: Politica de domeniu implicită și Politica de control de domeniu implicită. Prima definește politica implicită pentru parole și conturi din domeniu. Al doilea comunică cu controlerele de domeniu OU și mărește setările de securitate pentru controlerele de domeniu.

Creați un GPO

Pentru a crea o politică (adică a crea de fapt un nou GPO), deschideți Active Directory Users & Computers și alegeți unde să creați un nou obiect. Puteți crea și lega un GPO numai la un site, domeniu sau obiect OU.

Orez. 1. Creați un GPO.

Pentru a crea un GPO și a-l conecta, de exemplu, la testerii OU, faceți clic dreapta pe această OU și selectați proprietăți din meniul contextual. În fereastra de proprietăți care se deschide, deschideți fila Politică de grup și faceți clic pe Nou.

Orez. 2. Creați un GPO.

Dăm numele obiectului GP, după care este creat obiectul și puteți începe configurarea politicii. Faceți dublu clic pe obiectul creat sau apăsați butonul Editare, se va deschide fereastra editorului GPO, unde puteți configura parametrii specifici ai obiectului.

Orez. 3. Descrierea setărilor din fila Extins.

Majoritatea setărilor principale sunt intuitive (au și o descriere dacă deschideți fila Extins) și nu ne vom opri asupra fiecăruia în detaliu. După cum se poate observa din fig. 3, GPO este format din două secțiuni: Configurare computer și Configurare utilizator. Setările din prima secțiune sunt aplicate la pornirea Windows computerelor din acest container și mai jos (cu excepția cazului în care moștenirea este suprascrisă) și sunt independente de utilizatorul conectat. Setările celei de-a doua secțiuni sunt aplicate în timpul autentificării utilizatorului.

Ordinea aplicării GPO-urilor

Când computerul pornește, au loc următoarele acțiuni:

1. Se citește registrul și se determină site-ul căruia îi aparține computerul. Se face o interogare la serverul DNS pentru a obține adresele IP ale controlorilor de domeniu localizați în acest site.
2. După ce au primit adresele, computerul se conectează la controlerul de domeniu.
3. Clientul solicită o listă de obiecte GP de la controlerul de domeniu și le aplică. Acesta din urmă trimite o listă de obiecte GP în ordinea în care ar trebui să fie aplicate.
4. Când utilizatorul se conectează, computerul solicită din nou o listă de obiecte GP pentru a fi aplicate utilizatorului, le preia și le aplică.

Politicile de grup sunt aplicate atunci când pornește OC și când utilizatorul se conectează. Acestea sunt apoi aplicate la fiecare 90 de minute, cu o variație de 30 de minute pentru a evita supraîncărcarea controlerului de domeniu dacă un număr mare de clienți solicită în același timp. Pentru controlerele de domeniu, intervalul de actualizare este de 5 minute. Puteți modifica acest comportament în Configurație computer\Șabloane administrative\Sistem\Politică de grup. Un GPO poate acționa numai asupra obiectelor Computer și Utilizator. Politica se aplică numai obiectelor situate în obiectul director (site, domeniu, unitate organizațională) cu care este asociat GPO și mai jos în arbore (cu excepția cazului în care moștenirea este dezactivată). De exemplu: un GPO este creat în testerii OU (cum am făcut mai sus).

Orez. 4. Moștenirea setărilor.

Toate setările făcute în acest GPO vor afecta numai utilizatorii și computerele situate în testerii OU și InTesters OU. Să aruncăm o privire la modul în care sunt aplicate politicile folosind un exemplu. Testul utilizatorului, situat în testerele OU, se conectează la computer comp, situat în OU compOU (vezi Figura 5).

Orez. 5. Ordinea aplicării politicilor.

Există patru GPO-uri în domeniu:

1. SitePolicy asociată cu containerul site-ului;
2. Politica de domeniu implicită asociată cu containerul de domeniu;
3. Politica1 asociată cu testerii OU;
4. Politica2 asociată cu OU compOU.

Când porniți Windows pe o stație de lucru comp, setările definite în secțiunile Configurare computer sunt aplicate în această ordine:

1. Setări GPO locale;
2. Setări GPO SitePolicy;

4. Setări GPO Policy2.

Când utilizatorul de testare se conectează la computerul comp, parametrii definiți în secțiunile Configurare utilizator sunt:

1. Setări GPO locale;
2. Setări GPO SitePolicy;
3. Setările implicite ale politicii de domeniu GPO;
4. Setări GPO Policy1.

Adică, GPO-urile sunt aplicate în această ordine: politici locale, politici la nivel de site, politici la nivel de domeniu, politici la nivel de OU.

Politicile de grup sunt aplicate asincron clienților Windows XP și sincron clienților Windows 2000, ceea ce înseamnă că ecranul de conectare a utilizatorului apare numai după ce toate politicile computerului au fost aplicate, iar politicile utilizatorului sunt aplicate înainte de apariția desktopului. Aplicarea asincronă a politicilor înseamnă că ecranul de conectare al utilizatorului apare înainte ca toate politicile computerului să se aplice, iar desktopul apare înainte ca toate politicile utilizatorului să se aplice, ceea ce duce la încărcarea și autentificarea mai rapidă a utilizatorului.
Comportamentul descris mai sus se modifică în două cazuri. Mai întâi, computerul client a detectat o conexiune lentă la rețea. În mod implicit, în acest caz sunt aplicate doar setările de securitate și șabloanele administrative. O conexiune cu o lățime de bandă mai mică de 500 Kb/s este considerată lentă. Puteți modifica această valoare în Configurație computer\Șabloane administrative\Sistem\Politica de grup\Politica de grup Detectarea legăturii lente. De asemenea, în secțiunea Configurare computer\Șabloane administrative\Sistem\Politică de grup, puteți configura alte setări de politică, astfel încât acestea să fie procesate și printr-o conexiune lentă. A doua modalitate de a schimba ordinea în care sunt aplicate politicile este opțiunea de procesare a politicii loopback a grupului de utilizatori. Această opțiune modifică ordinea în care sunt aplicate politicile implicite, în care politicile utilizatorului sunt aplicate după politicile computerului și le înlocuiesc pe cele din urmă. Puteți seta opțiunea de loopback pentru a aplica politicile computerului după politicile utilizatorului și pentru a suprascrie orice politici de utilizator care sunt în conflict cu politicile computerului. Parametrul loopback are 2 moduri:

1. Merge (pentru a conecta) - la început se aplică politica computerului, apoi utilizatorul și din nou computerul. În acest caz, politica computerului înlocuiește setările politicii de utilizator care o contrazic cu propriile sale.
2. Înlocuiți (înlocuiți) - politica utilizatorului nu este procesată.

Pentru a ilustra utilizarea setării de procesare a loopback-ului politicii de grup de utilizatori, de exemplu, pe un computer public, pe care trebuie să aveți aceleași setări limitate, indiferent de utilizatorul care o folosește.

Precedență, moștenire și soluționarea conflictelor

După cum ați observat deja, la toate nivelurile, GPO-urile conțin aceleași setări, iar aceeași setare poate fi definită diferit la mai multe niveluri. În acest caz, ultima valoare aplicată va fi valoarea efectivă (ordinea în care sunt aplicate GPO-urile a fost discutată mai sus). Această regulă se aplică tuturor setărilor, cu excepția celor definite ca neconfigurate. Pentru aceste setări, Windows nu ia nicio măsură. Dar există o excepție: toate setările de cont și parole pot fi definite doar la nivel de domeniu, la alte niveluri aceste setări vor fi ignorate.

Orez. 6. Utilizatori și computere Active Directory.

Dacă există mai multe GPO la același nivel, acestea sunt aplicate de jos în sus. Schimbând poziția obiectului politică în listă (folosind butoanele Sus și Jos), puteți selecta ordinea dorită a aplicației.

Orez. 7. Ordinea aplicării politicilor.

Uneori doriți ca un anumit OU să nu primească setări de politică de la GPO-uri asociate cu containerele din amonte. În acest caz, trebuie să dezactivați moștenirea politicii bifând caseta de selectare Blocare moștenire a politicii. Toate setările de politică moștenite sunt blocate și nu există nicio modalitate de a bloca setările individuale. Setările la nivel de domeniu care definesc politica privind parolele și politica contului nu pot fi blocate.

Orez. 9. Blocarea moștenirii politicii.

Dacă doriți ca anumite setări dintr-un anumit GPO să nu fie suprascrise, selectați GPO-ul dorit, apăsați butonul Opțiuni și selectați Fără suprascriere. Această opțiune forțează aplicarea setărilor GPO acolo unde moștenirea politicii este blocată. Nicio modificare nu este setată în locația în care GPO este asociat cu obiectul director, nu la GPO în sine. Dacă GPO-ul este conectat la mai multe containere dintr-un domeniu, atunci această setare nu va fi configurată automat pentru restul legăturilor. Dacă setarea Fără suprascriere este configurată pentru mai multe legături la același nivel, setările GPO din partea de sus a listei vor avea prioritate (și efect). Dacă setările No Override sunt configurate pentru mai multe GPO la diferite niveluri, setările GPO mai sus în ierarhia directoarelor vor avea efect. Adică, dacă setările No override sunt configurate pentru a lega un GPO la un obiect de domeniu și pentru a lega un GPO la o OU, setările definite la nivel de domeniu vor avea efect. Caseta de selectare Dezactivată anulează efectul acestui GPO asupra acestui container.

Orez. 10. Opțiuni Fără suprascrie și Dezactivate.

După cum am menționat mai sus, politicile afectează numai utilizatorii și computerele. Adesea apare întrebarea: „cum să faceți ca o anumită politică să afecteze toți utilizatorii incluși într-un anumit grup de securitate?”. Pentru a face acest lucru, GPO este legat de un obiect de domeniu (sau orice container situat deasupra containerelor sau OU în care se află toate obiectele utilizator din grupul dorit) și setările de acces sunt configurate. Faceți clic pe Proprietăți, în fila Securitate, ștergeți grupul Utilizatori autentificați și adăugați grupul necesar cu drepturi Citiți și Aplicați politica de grup.

Determinarea setărilor care afectează computerul utilizatorului

Pentru a determina configurația finală și a identifica problemele, trebuie să știți ce setări de politică sunt în vigoare în prezent pentru un anumit utilizator sau computer. Pentru a face acest lucru, există un instrument Setul de politici rezultat (setul de politici rezultat, RSoP). RSoP poate funcționa atât în ​​modul de înregistrare, cât și în modul de programare. Pentru a invoca RSoP, faceți clic dreapta pe utilizator sau pe obiectul computerului și selectați Toate sarcinile.

Orez. 11. Apelarea instrumentului Setul rezultat de politici.

La lansare (în modul de înregistrare), vi se va cere să selectați pentru ce computer și utilizator să definiți setul de rezultate și va apărea o fereastră de setări a rezultatelor care indică ce GPO a aplicat care setare.

Orez. 12. Setul rezultat de politici.

Alte instrumente de gestionare a politicilor de grup

GPResult este un instrument de linie de comandă care oferă o parte din funcționalitatea RSoP. GPResult este disponibil implicit pe toate computerele care rulează Windows XP și Windows Server 2003.

GPUpdate forțează aplicarea politicilor de grup - atât locale, cât și bazate pe Active Directory. În Windows XP/2003, a înlocuit opțiunea /refreshpolicy din instrumentul secedit pentru Windows 2000.

O descriere a sintaxei comenzii este disponibilă atunci când le executați cu tasta /?.

În loc de o concluzie

Acest articol nu își propune să explice toate aspectele lucrului cu politicile de grup, nu se adresează administratorilor de sistem experimentați. Toate cele de mai sus, după părerea mea, ar trebui doar să ajute cumva la înțelegerea principiilor de bază ale lucrului cu politicienii pentru cei care nu au lucrat niciodată cu ei sau abia încep să le stăpânească.

Utilitarul GPResult.executabil– este o aplicație consolă concepută pentru a analiza setările și a diagnostica politicile de grup care sunt aplicate unui computer și/sau utilizator dintr-un domeniu Active Directory. În special, GPResult vă permite să obțineți date din setul rezultat de politici (Resultant Set of Policy, RSOP), o listă de politici de domeniu aplicate (GPO), setările acestora și informații detaliate despre erorile lor de procesare. Utilitarul a făcut parte din sistemul de operare Windows încă din zilele Windows XP. Utilitarul GPResult vă permite să răspundeți la întrebări, cum ar fi dacă o anumită politică se aplică unui computer, care GPO a schimbat o anumită setare Windows și să aflați motivele.

În acest articol, vom analiza specificul utilizării comenzii GPResult pentru a diagnostica și a depana aplicarea politicilor de grup într-un domeniu Active Directory.

Inițial, pentru diagnosticarea aplicării politicilor de grup în Windows s-a folosit consola grafică RSOP.msc, care a făcut posibilă obținerea setărilor politicilor rezultate (domeniu + local) aplicate computerului și utilizatorului într-o formă grafică similară cu consola editorului GPO (mai jos, în exemplul vizualizării consolei RSOP.msc, puteți vedea că setările de actualizare sunt setate).

Cu toate acestea, consola RSOP.msc în versiunile moderne de Windows nu este practică de utilizat, deoarece nu reflectă setările aplicate de diverse extensii la nivelul clientului (CSE), cum ar fi GPP (Preferințe politici de grup), nu permite căutarea, oferă puține informații de diagnosticare. Prin urmare, în acest moment, comanda GPResult este principalul instrument de diagnosticare a utilizării GPO în Windows (în Windows 10, există chiar și un avertisment că RSOP nu oferă un raport complet, spre deosebire de GPResult).

Folosind utilitarul GPResult.exe

Comanda GPResult este rulată pe computerul pe care doriți să testați aplicarea politicilor de grup. Comanda GPResult are următoarea sintaxă:

GPRESULT ]] [(/X | /H) ]

Pentru a obține informații detaliate despre politicile de grup care se aplică unui anumit obiect AD (utilizator și computer) și alte setări legate de infrastructura GPO (adică setările de politică GPO rezultate - RsoP), rulați comanda:

Rezultatele executării comenzii sunt împărțite în 2 secțiuni:

• CALCULATOR SETĂRI (Configurație computer) – secțiunea conține informații despre obiectele GPO care afectează computerul (ca obiect Active Directory);
• UTILIZATOR SETĂRI – secțiunea utilizator a politicilor (politici care se aplică unui cont de utilizator în AD).

Să trecem pe scurt peste principalii parametri/secțiuni care ne pot interesa în rezultatul GPResult:

• SiteNume(Numele site-ului:) - numele site-ului AD în care se află computerul;
• CN– utilizator/calculator canonic complet pentru care au fost generate datele RSoP;
• UltimultimpgrupPoliticăa fostaplicat(Ultima politică de grup aplicată) - momentul în care politicile de grup au fost aplicate ultima dată;
• grupPoliticăa fostaplicatdin(Politica de grup a fost aplicată de la) - controlerul de domeniu de la care a fost încărcată cea mai recentă versiune a GPO;
• domeniuNumeși Domeniultip(Nume de domeniu, tip de domeniu) – Numele și versiunea schemei de domeniu Active Directory;
• AplicatgrupPoliticăObiecte(GPO aplicate)– liste de obiecte active ale politicii de grup;
• Theca urmare aGPO-uriau fostnuaplicatdeoareceeiau fostfiltratafară(Următoarele politici GPO nu au fost aplicate deoarece au fost filtrate) - GPO neaplicate (filtrate);
• Theutilizator/calculatoresteApartedecelca urmare aSecuritategrupuri(Utilizatorul/calculatorul este membru al următoarelor grupuri de securitate) – Grupuri de domenii din care este membru utilizatorul.

În exemplul nostru, puteți vedea că obiectul utilizator este afectat de 4 politici de grup.

• Politica de domeniu implicită;
• Activați paravanul de protecție Windows;
• Lista de căutare a sufixelor DNS

Dacă nu doriți ca consola să afișeze informații atât despre politicile utilizatorilor, cât și despre politicile computerului în același timp, puteți utiliza opțiunea /scope pentru a afișa numai secțiunea care vă interesează. Doar politicile de utilizator rezultate:

gpresult /r /scope:user

sau doar politici aplicate pentru computer:

gpresult /r /scope:computer

pentru că Utilitarul Gpresult își scoate datele direct în consola liniei de comandă, ceea ce nu este întotdeauna convenabil pentru analiza ulterioară; ieșirea sa poate fi redirecționată în clipboard:

gpresult /r |clip

sau fișier text:

gpresult /r > c:\gpresult.txt

Pentru a afișa informații RSOP super-detaliate, adăugați comutatorul /z.

Raport HTML RSOP folosind GPResult

În plus, utilitarul GPResult poate genera un raport HTML privind politicile de rezultat aplicate (disponibil în Windows 7 și versiuni ulterioare). Acest raport va conține informații detaliate despre toate setările de sistem care sunt stabilite de politicile de grup și numele GPO-urilor specifice care le stabilesc (raportul rezultat asupra structurii seamănă cu fila Setări din Consola de gestionare a politicilor de grup de domeniu - GPMC). Puteți genera un raport HTML GPResult folosind comanda:

GPResult /h c:\gp-report\report.html /f

Pentru a genera un raport și a-l deschide automat într-un browser, executați comanda:

GPResult /h GPResult.html și GPResult.html

Raportul gpresult HTML conține destul de multe informații utile: erorile aplicației GPO, timpul de procesare (în ms) și aplicarea unor politici specifice și CSE (în secțiunea Detalii computer -> Stare componente) sunt vizibile. De exemplu, în captura de ecran de mai sus, puteți vedea că politica cu setările 24 de parole reținute este aplicată de Politica de domeniu implicită (coloana GPO câștigătoare). După cum puteți vedea, un astfel de raport HTML este mult mai convenabil pentru analiza politicilor aplicate decât consola rsop.msc.

Obținerea datelor GPResult de la un computer la distanță

GPResult poate colecta și date de pe un computer la distanță, eliminând necesitatea ca un administrator să se conecteze local sau RDP la un computer la distanță. Formatul de comandă pentru colectarea datelor RSOP de la un computer la distanță este următorul:

GPResult /s server-ts1 /r

În mod similar, puteți colecta de la distanță date atât din politicile utilizatorilor, cât și din politicile computerului.

numele de utilizator nu are date RSOP

Cu UAC activat, rularea GPResult fără privilegii ridicate afișează doar setările pentru secțiunea personalizată a Politicii de grup. Dacă trebuie să afișați ambele secțiuni (SETĂRI UTILIZATOR și SETĂRI CALCULATOR) în același timp, comanda trebuie rulată. Dacă promptul de comandă ridicat este pe un alt sistem decât utilizatorul curent, utilitarul va emite un avertisment INFO: Theutilizator"domeniu\utilizator"facenuaveaRSOPdate ( Utilizatorul „domeniu\utilizator” nu are date RSOP). Acest lucru se datorează faptului că GPResult încearcă să colecteze informații pentru utilizatorul care a rulat-o, dar pentru că Acest utilizator nu s-a conectat la sistem și nu sunt disponibile informații RSOP pentru acest utilizator. Pentru a colecta informații RSOP pentru un utilizator cu o sesiune activă, trebuie să specificați contul său:

gpresult /r /user:tn\edward

Dacă nu cunoașteți numele contului care este conectat pe computerul de la distanță, puteți obține contul astfel:

qwinsta /SERVER:remotePC1

Verificați, de asemenea, orele de pe client. Ora trebuie să se potrivească cu ora de pe PDC (controller de domeniu primar).

Următoarele politici GPO nu au fost aplicate deoarece au fost filtrate

Când depanați politicile de grup, ar trebui să acordați atenție secțiunii: Următoarele GPO nu au fost aplicate deoarece au fost filtrate (următoarele politici GPO nu au fost aplicate deoarece au fost filtrate). Această secțiune afișează o listă de GPO care, dintr-un motiv sau altul, nu se aplică acestui obiect. Opțiuni posibile pentru care politica nu se poate aplica:

De asemenea, puteți înțelege dacă politica ar trebui aplicată unui anumit obiect AD din fila Permisiuni efective (Avansat -> Acces efectiv).

Deci, în acest articol, am analizat caracteristicile de diagnosticare a aplicării politicilor de grup folosind utilitarul GPResult și am analizat scenariile tipice pentru utilizarea acestuia.

Funcționalitatea în sistemul de operare Windows Server este calculată și se îmbunătățește de la versiune la versiune, există tot mai multe roluri și componente, așa că în articolul de astăzi voi încerca să descriu pe scurt descrierea și scopul fiecărui rol în Windows Server 2016.

Înainte de a trece la descrierea rolurilor serverului Windows Server, să aflăm ce este exact " Rolul de server» pe sistemul de operare Windows Server.

Ce este un „Rol de server” în Windows Server?

Rolul de server- acesta este un pachet software care asigura performanta unei anumite functii de catre server, iar aceasta functie este cea principala. Cu alte cuvinte, " Rolul de server' este destinația serverului, adică pentru ce este. Pentru ca serverul să își poată îndeplini funcția principală, adică anumit rol în Rolul de server» include tot software-ul necesar pentru aceasta ( programe, servicii).

Serverul poate avea un rol dacă este utilizat în mod activ sau mai multe dacă fiecare dintre ele nu încarcă foarte mult serverul și este rar folosit.

Un rol de server poate include mai multe servicii de rol care oferă funcționalitatea rolului. De exemplu, în rolul de server " Server web (IIS)” include un număr destul de mare de servicii, iar rolul ” server DNS» nu include serviciile de rol, deoarece acest rol îndeplinește o singură funcție.

Role Services pot fi instalate împreună sau individual, în funcție de nevoile dumneavoastră. În esență, instalarea unui rol înseamnă instalarea unuia sau mai multor servicii ale acestuia.

Windows Server are, de asemenea, „ Componente" Server.

Componente server (funcție) sunt instrumente software care nu sunt un rol de server, dar extind capacitățile unuia sau mai multor roluri sau gestionează unul sau mai multe roluri.

Unele roluri nu pot fi instalate dacă serverul nu are servicii sau componente necesare care sunt necesare pentru ca rolurile să funcționeze. Prin urmare, la momentul instalării unor astfel de roluri " Adăugarea de roluri și caracteristici Expert» în sine, vă va solicita automat să instalați serviciile sau componentele suplimentare necesare.

Descrierea rolurilor de server Windows Server 2016

Probabil că sunteți deja familiarizați cu multe dintre rolurile care sunt în Windows Server 2016, deoarece acestea există de ceva timp, dar așa cum am spus, cu fiecare nouă versiune de Windows Server, se adaugă noi roluri pe care este posibil să nu le fi lucrat. cu, dar am dori să știm pentru ce sunt acestea, așa că să începem să ne uităm la ele.

Notă! Puteți citi despre noile caracteristici ale sistemului de operare Windows Server 2016 în materialul „Instalarea Windows Server 2016 și o prezentare generală a noilor funcții”.

Întrucât de foarte multe ori instalarea și administrarea rolurilor, serviciilor și componentelor are loc folosind Windows PowerShell, voi indica pentru fiecare rol și serviciul acestuia un nume care poate fi folosit în PowerShell, respectiv, pentru instalarea lui sau pentru management.

Server DHCP

Acest rol vă permite să configurați la nivel central adresele IP dinamice și setările aferente pentru computere și dispozitive din rețeaua dvs. Rolul Server DHCP nu are servicii de rol.

Numele pentru Windows PowerShell este DHCP.

server DNS

Acest rol este destinat rezolvării numelor în rețelele TCP/IP. Rolul Server DNS oferă și menține DNS. Pentru a simplifica gestionarea unui server DNS, acesta este de obicei instalat pe același server ca Active Directory Domain Services. Rolul Server DNS nu are servicii de rol.

Numele rolului pentru PowerShell este DNS.

Hyper-V

Cu rolul Hyper-V, puteți crea și gestiona un mediu virtualizat. Cu alte cuvinte, este un instrument pentru crearea și gestionarea mașinilor virtuale.

Numele rolului pentru Windows PowerShell este Hyper-V.

Atestarea de sănătate a dispozitivului

Rol " » vă permite să evaluați starea de sănătate a dispozitivului pe baza indicatorilor măsurați ai parametrilor de securitate, cum ar fi indicatorii stării de pornire securizată și Bitlocker pe client.

Pentru funcționarea acestui rol sunt necesare o mulțime de servicii și componente de rol, de exemplu: mai multe servicii din rolul " Server web (IIS)", componenta" ", componenta" Caracteristici .NET Framework 4.6».

În timpul instalării, toate serviciile și funcțiile de rol necesare vor fi selectate automat. Rolul " Atestarea de sănătate a dispozitivului» Nu există servicii de rol.

Numele pentru PowerShell este DeviceHealthAttestationService.

Server web (IIS)

Oferă o infrastructură de aplicații web fiabilă, gestionabilă și scalabilă. Constă dintr-un număr destul de mare de servicii (43).

Numele pentru Windows PowerShell este Web-Server.

Include următoarele servicii de rol ( între paranteze voi indica numele pentru Windows PowerShell):

Server web (Web-WebServer)- Un grup de servicii de rol care oferă suport pentru site-uri web HTML, extensii ASP.NET, ASP și server web. Constă din următoarele servicii:

• Securitate (Securitate web)- un set de servicii pentru a asigura securitatea serverului web.
  • Filtrarea cererilor (Web-Filtering) - folosind aceste instrumente, puteți procesa toate cererile care vin pe server și puteți filtra aceste solicitări pe baza unor reguli speciale stabilite de administratorul serverului web;
  • Adresa IP și restricții de domeniu (Web-IP-Security) - aceste instrumente vă permit să permiteți sau să interziceți accesul la conținut pe un server web pe baza adresei IP sau a numelui de domeniu al sursei din cerere;
  • Autorizare URL (Web-Url-Auth) - instrumentele vă permit să dezvoltați reguli pentru a restricționa accesul la conținutul web și pentru a le asocia cu utilizatori, grupuri sau comenzi de antet HTTP;
  • Autentificare Digest (Web-Digest-Auth) - Această autentificare oferă un nivel mai ridicat de securitate decât autentificarea de bază. Autentificarea Digest pentru autentificarea utilizatorilor funcționează ca transmiterea unui hash de parolă către un controler de domeniu Windows;
  • Autentificare de bază (Web-Basic-Auth) - Această metodă de autentificare oferă o compatibilitate puternică cu browser-ul web. Se recomandă utilizarea în rețele interne mici. Principalul dezavantaj al acestei metode este că parolele transmise prin rețea pot fi interceptate și decriptate destul de ușor, așa că utilizați această metodă în combinație cu SSL;
  • Autentificarea Windows (Web-Windows-Auth) este o autentificare bazată pe autentificarea domeniului Windows. Cu alte cuvinte, puteți utiliza conturi Active Directory pentru a autentifica utilizatorii site-urilor dvs. Web;
  • Autentificare de mapare a certificatelor clientului (Web-Client-Auth) - Această metodă de autentificare utilizează un certificat de client. Acest tip utilizează serviciile Active Directory pentru a furniza maparea certificatelor;
  • Autentificare de mapare a certificatelor clientului IIS (Web-Cert-Auth) - Această metodă utilizează și certificate de client pentru autentificare, dar folosește IIS pentru a furniza maparea certificatelor. Acest tip oferă performanțe mai bune;
  • Suport pentru certificate SSL centralizate (Web-CertProvider) - aceste instrumente vă permit să gestionați central certificatele de server SSL, ceea ce simplifică foarte mult procesul de gestionare a acestor certificate;
• Capacitatea de service și diagnosticare (Web-Health)– un set de servicii pentru monitorizarea, gestionarea și depanarea serverelor web, site-urilor și aplicațiilor:
  • Logging http (Web-Http-Logging) - instrumentele oferă înregistrarea activității site-ului pe un server dat, de exemplu. intrare în jurnal;
  • Înregistrare ODBC (Web-ODBC-Logging) – Aceste instrumente oferă, de asemenea, înregistrarea activității site-ului web, dar acceptă înregistrarea acelei activități într-o bază de date compatibilă cu ODBC;
  • Request Monitor (Web-Request-Monitor) este un instrument care vă permite să monitorizați starea de sănătate a unei aplicații web prin interceptarea informațiilor despre solicitările HTTP în procesul de lucru IIS;
  • Înregistrare personalizată (Web-Custom-Logging) - Folosind aceste instrumente, puteți configura înregistrarea activității serverului web într-un format care diferă semnificativ de formatul standard IIS. Cu alte cuvinte, vă puteți crea propriul modul de înregistrare;
  • Instrumentele de logare (Web-Log-Libraries) sunt instrumente pentru gestionarea jurnalelor de server web și automatizarea sarcinilor de înregistrare;
  • Urmărirea (Web-Http-Tracing) este un instrument pentru diagnosticarea și rezolvarea încălcărilor în aplicațiile web.
• Funcții comune http (Web-Common-Http)– un set de servicii care oferă funcționalitate HTTP de bază:
  • Document implicit (Web-Default-Doc) - Această caracteristică vă permite să configurați serverul web să returneze un document implicit atunci când utilizatorii nu specifică un anumit document în adresa URL de solicitare, facilitând accesul utilizatorilor pe site-ul web, de exemplu, prin domeniu, fără a specifica un fișier;
  • Navigare în director (Web-Dir-Browsing) - Acest instrument poate fi folosit pentru a configura un server web, astfel încât utilizatorii să poată vizualiza o listă cu toate directoarele și fișierele de pe un site web. De exemplu, pentru cazurile în care utilizatorii nu specifică un fișier în adresa URL de solicitare, iar documentele implicite sunt fie dezactivate, fie nu sunt configurate;
  • Erori http (Web-Http-Errors) - această caracteristică vă permite să configurați mesaje de eroare care vor fi returnate browserelor web ale utilizatorilor atunci când o eroare este detectată de serverul web. Acest instrument este folosit pentru a prezenta mai ușor utilizatorilor mesaje de eroare;
  • Conținut static (Web-Static-Content) - acest instrument vă permite să utilizați conținut pe un server web sub formă de formate de fișiere statice, cum ar fi fișiere HTML sau fișiere imagine;
  • Redirecționare http (Web-Http-Redirect) - folosind această funcție, puteți redirecționa o solicitare de utilizator către o anumită destinație, de exemplu. aceasta este Redirecționare;
  • WebDAV Publishing (Web-DAV-Publishing) - vă permite să utilizați tehnologia WebDAV pe serverul WEB IIS. WebDAV ( Creare și versiuni distribuite web) este o tehnologie care permite utilizatorilor să lucreze împreună ( citiți, editați, citiți proprietățile, copiați, mutați) peste fișiere de pe servere web la distanță folosind protocolul HTTP.
• Performanță (performanță web)- un set de servicii pentru a obține performanțe mai mari ale serverului web, prin memorarea în cache a ieșirii și mecanisme comune de compresie, cum ar fi Gzip și Deflate:
  • Comprimarea conținutului static (Web-Stat-Compression) este un instrument de personalizare a compresiei conținutului static http, care permite utilizarea mai eficientă a lățimii de bandă, fără încărcare inutilă a procesorului;
  • Dynamic Content Compression (Web-Dyn-Compression) este un instrument pentru configurarea compresiei dinamice a conținutului HTTP. Acest instrument oferă o utilizare mai eficientă a lățimii de bandă, dar în acest caz, sarcina procesorului serverului asociată cu compresia dinamică poate încetini site-ul dacă sarcina procesorului este mare chiar și fără compresie.
• Dezvoltare de aplicații (Web-App-Dev)- un set de servicii și instrumente pentru dezvoltarea și găzduirea aplicațiilor web, cu alte cuvinte, tehnologii de dezvoltare a site-urilor web:
  • ASP (Web-ASP) este un mediu pentru susținerea și dezvoltarea site-urilor web și aplicațiilor web folosind tehnologia ASP. În prezent, există o tehnologie de dezvoltare a site-urilor web mai nouă și mai avansată - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) este un mediu de dezvoltare orientat pe obiecte pentru site-uri web și aplicații web care utilizează tehnologia ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) este, de asemenea, un mediu de dezvoltare orientat pe obiecte pentru site-uri web și aplicații web care utilizează noua versiune de ASP.NET;
  • CGI (Web-CGI) este capacitatea de a utiliza CGI pentru a transmite informații de la un server web la un program extern. CGI este un fel de standard de interfață pentru conectarea unui program extern la un server web. Există un dezavantaj, utilizarea CGI afectează performanța;
  • Server Side Inclusions (SSI) (include web) este suport pentru limbajul de scripting SSI ( activare partea serverului), care este folosit pentru a genera dinamic pagini HTML;
  • Inițializarea aplicației (Web-AppInit) - acest instrument realizează sarcinile de inițializare a aplicațiilor web înainte de a trimite o pagină web;
  • Protocol WebSocket (Web-WebSockets) - adăugarea capacității de a crea aplicații server care comunică folosind protocolul WebSocket. WebSocket este un protocol care poate trimite și primi date simultan între un browser și un server web printr-o conexiune TCP, un fel de extensie a protocolului HTTP;
  • Extensii ISAPI (Web-ISAPI-Ext) - suport pentru dezvoltarea dinamică a conținutului web folosind interfața de programare a aplicației ISAPI. ISAPI este un API pentru serverul web IIS. Aplicațiile ISAPI sunt mult mai rapide decât fișierele ASP sau fișierele care apelează componente COM+;
  • Extensibilitatea .NET 3.5 (Web-Net-Ext) este o caracteristică de extensibilitate .NET 3.5 care vă permite să modificați, să adăugați și să extindeți funcționalitatea serverului web în întreaga conductă de procesare a cererilor, configurație și interfață cu utilizatorul;
  • Extensibilitatea .NET 4.6 (Web-Net-Ext45) este o caracteristică de extensibilitate .NET 4.6 care vă permite, de asemenea, să modificați, să adăugați și să extindeți funcționalitatea serverului web pe întreaga conductă de procesare a cererilor, configurație și interfață cu utilizatorul;
  • Filtre ISAPI (Web-ISAPI-Filter) - Adăugați suport pentru filtre ISAPI. Filtrele ISAPI sunt programe care sunt apelate atunci când un server web primește o cerere HTTP specifică pentru a fi procesată de acest filtru.

FTP - server (Web-Ftp-Server)– servicii care oferă suport pentru protocolul FTP. Am vorbit mai detaliat despre serverul FTP în materialul - „Instalarea și configurarea unui server FTP pe Windows Server 2016”. Conține următoarele servicii:

• Serviciu FTP (Web-Ftp-Service) - adaugă suport pentru protocolul FTP pe serverul web;
• Extensibilitate FTP (Web-Ftp-Ext) - Extinde capabilitățile FTP standard, cum ar fi adăugarea de suport pentru caracteristici precum furnizorii personalizați, utilizatorii ASP.NET sau utilizatorii managerului IIS.

Instrumente de management (Web-Mgmt-Tools) sunt instrumentele de gestionare pentru serverul web IIS 10. Acestea includ: interfața utilizator IIS, instrumente de linie de comandă și scripturi.

• Consola de management IIS (Web-Mgmt-Console) este interfața de utilizator pentru gestionarea IIS;
• Seturile de caractere și instrumentele de gestionare a IIS (Web-Scripting-Tools) sunt instrumente și scripturi pentru gestionarea IIS folosind linia de comandă sau scripturile. Ele pot fi folosite, de exemplu, pentru automatizarea controlului;
• Serviciu de management (Web-Mgmt-Service) - acest serviciu adaugă posibilitatea de a gestiona un server web de la distanță de pe un alt computer utilizând IIS Manager;
• IIS 6 Compatibility Management (Web-Mgmt-Compat) - Oferă compatibilitate pentru aplicațiile și scripturile care utilizează cele două API-uri IIS. Scripturile existente IIS 6 pot fi utilizate pentru a gestiona serverul web IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) este un instrument de compatibilitate care vă permite să rulați aplicații și seturi de caractere care au fost migrate de la versiuni anterioare ale IIS;
  • Instrumente de scripting IIS 6 (Web-Lgcy-Scripting) - Aceste instrumente vă permit să utilizați aceleași servicii de scripting IIS 6 care au fost create pentru a gestiona IIS 6 în IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) este un instrument pentru administrarea serverelor IIS 6.0 la distanță;
  • Compatibilitatea IIS 6 WMI (Web-WMI) sunt interfețe de scripting Windows Management Instrumentation (WMI) pentru controlul programatic și automatizarea sarcinilor serverului Web IIS 10.0 folosind un set de scripturi create într-un furnizor WMI.

Servicii de domeniu Active Directory

Rol " Servicii de domeniu Active Directory» (AD DS) oferă o bază de date distribuită care stochează și procesează informații despre resursele rețelei. Acest rol este utilizat pentru a organiza elementele de rețea, cum ar fi utilizatorii, computerele și alte dispozitive, într-o structură de izolare ierarhică. Structura ierarhică include păduri, domenii dintr-o pădure și unități organizaționale (OU) din fiecare domeniu. Serverul care rulează AD DS se numește controler de domeniu.

Numele rolului pentru Windows PowerShell este AD-Domain-Services.

Modul Windows Server Essentials

Acest rol este o infrastructură de computer și oferă caracteristici convenabile și eficiente, de exemplu: stocarea datelor clientului într-o locație centralizată și protejarea acestor date prin realizarea de copii de rezervă a serverului și computerelor client, acces web de la distanță, care vă permite să accesați datele de pe aproape orice dispozitiv . Acest rol necesită mai multe servicii și caracteristici de rol, de exemplu: Funcții BranchCache, Windows Server Backup, Group Policy Management, Role Service " Spații de nume DFS».

Numele pentru PowerShell este ServerEssentialsRole.

Controlor de rețea

Introdus în Windows Server 2016, acest rol oferă un singur punct de automatizare pentru gestionarea, monitorizarea și diagnosticarea infrastructurii de rețea fizică și virtuală din centrul de date. Folosind acest rol, puteți configura subrețele IP, VLAN-uri, adaptoare fizice de rețea ale gazdelor Hyper-V dintr-un singur punct, puteți gestiona comutatoare virtuale, routere fizice, setări firewall și gateway-uri VPN.

Numele pentru Windows PowerShell este NetworkController.

Serviciul Node Guardian

Acesta este rolul de server Hosted Guardian Service (HGS) și oferă servicii de atestare și protecție a cheilor care permit gazdelor protejate să ruleze mașini virtuale protejate. Pentru funcționarea acestui rol sunt necesare mai multe roluri și componente suplimentare, de exemplu: Active Directory Domain Services, Web Server (IIS), " Clustering de failover" si altii.

Numele pentru PowerShell este HostGuardianServiceRole.

Servicii Active Directory Lightweight Directory

Rol " Servicii Active Directory Lightweight Directory» (AD LDS) este o versiune ușoară a AD DS care are mai puține funcționalități, dar nu necesită implementarea de domenii sau controlere de domeniu și nu are dependențele și restricțiile de domeniu cerute de AD DS. AD LDS rulează peste protocolul LDAP ( Protocol schematic de acces la registru). Puteți implementa mai multe instanțe AD LDS pe același server cu scheme gestionate independent.

Numele pentru PowerShell este ADLDS.

Servicii MultiPoint

Este, de asemenea, un rol nou, care este nou în Windows Server 2016. MultiPoint Services (MPS) oferă funcționalitate de bază desktop la distanță care permite mai multor utilizatori să lucreze simultan și independent pe același computer. Pentru a instala și opera acest rol, trebuie să instalați mai multe servicii și componente suplimentare, de exemplu: Print Server, Windows Search Service, XPS Viewer și altele, toate acestea vor fi selectate automat în timpul instalării MPS.

Numele rolului pentru PowerShell este MultiPointServerRole.

Servicii de actualizare Windows Server

Cu acest rol (WSUS), administratorii de sistem pot gestiona actualizările Microsoft. De exemplu, creați grupuri separate de computere pentru diferite seturi de actualizări, precum și primiți rapoarte privind conformitatea computerelor cu cerințele și actualizările care trebuie instalate. Pentru functionare" Servicii de actualizare Windows Server» Aveți nevoie de astfel de servicii și componente de rol precum: Web Server (IIS), Windows Internal Database, Windows Process Activation Service.

Numele pentru Windows PowerShell este UpdateServices.

• Conectivitate WID (UpdateServices-WidDB) - setată la WID ( Baza de date internă Windows) baza de date utilizată de WSUS. Cu alte cuvinte, WSUS își va stoca datele de serviciu în WID;
• Serviciile WSUS (UpdateServices-Services) sunt serviciile de rol WSUS, cum ar fi Serviciul de actualizare, Serviciul web de raportare, Serviciul web de API Remoting, Serviciu web client, Serviciu web de autentificare simplă web, Serviciu de sincronizare a serverului și Serviciu web de autentificare DSS;
• SQL Server Connectivity (UpdateServices-DB) este o instalare de componentă care permite serviciului WSUS să se conecteze la o bază de date Microsoft SQL Server. Această opțiune asigură stocarea datelor de serviciu într-o bază de date Microsoft SQL Server. În acest caz, trebuie să aveți deja cel puțin o instanță de SQL Server instalată.

Servicii de activare a licențelor în volum

Cu acest rol de server, puteți automatiza și simplifica emiterea de licențe de volum pentru software de la Microsoft și vă permite, de asemenea, să gestionați aceste licențe.

Numele pentru PowerShell este VolumeActivation.

Servicii de imprimare și documente

Acest rol de server este conceput pentru a partaja imprimante și scanere într-o rețea, pentru a configura și gestiona centralizat serverele de imprimare și scanare și pentru a gestiona imprimante și scanere de rețea. Print and Document Services vă permite, de asemenea, să trimiteți documente scanate prin e-mail, către partajări în rețea sau către site-uri Windows SharePoint Services.

Numele pentru PowerShell este Print-Services.

• Print Server (Print-Server) - Acest serviciu de rol include " Managementul tipăririi”, care este folosit pentru a gestiona imprimante sau servere de imprimare, precum și pentru a migra imprimante și alte servere de imprimare;
• Imprimare prin Internet (Print-Internet) - Pentru a implementa imprimarea pe Internet, este creat un site web prin care utilizatorii pot gestiona lucrările de imprimare pe server. Pentru ca acest serviciu să funcționeze, după cum înțelegeți, trebuie să instalați " Server web (IIS)". Toate componentele necesare vor fi selectate automat când bifați această casetă în timpul procesului de instalare a serviciului de rol " Imprimare pe Internet»;
• Serverul de scanare distribuit (Print-Scan-Server) este un serviciu care vă permite să primiți documente scanate de la scanere de rețea și să le trimiteți către o destinație. Acest serviciu conține și „ Managementul scanării”, care este folosit pentru a gestiona scanere de rețea și pentru a configura scanarea;
• Serviciu LPD (Print-LPD-Service) - serviciu LPD ( Line Printer Daemon) permite computerelor bazate pe UNIX și altor computere care utilizează serviciul Line Printer Remote (LPR) să imprime pe imprimantele partajate ale serverului.

Politică de rețea și servicii de acces

Rol " » (NPAS) permite Network Policy Server (NPS) să seteze și să impună accesul la rețea, autentificarea și autorizarea și politicile de sănătate ale clientului, cu alte cuvinte, pentru a securiza rețeaua.

Numele pentru Windows PowerShell este NPAS.

Servicii de implementare Windows

Cu acest rol, puteți instala de la distanță sistemul de operare Windows într-o rețea.

Numele rolului pentru PowerShell este WDS.

• Server de implementare (WDS-Deployment) - acest serviciu de rol este conceput pentru implementarea și configurarea de la distanță a sistemelor de operare Windows. De asemenea, vă permite să creați și să personalizați imagini pentru reutilizare;
• Server de transport (WDS-Transport) - Acest serviciu conține componentele de bază ale rețelei cu care puteți transfera date prin multicasting pe un server autonom.

Servicii de certificate Active Directory

Acest rol este destinat să creeze autorități de certificare și servicii de rol aferente care vă permit să emitați și să gestionați certificate pentru diverse aplicații.

Numele pentru Windows PowerShell este AD-Certificate.

Include următoarele servicii de rol:

• Autoritate de certificare (ADCS-Cert-Authority) - folosind acest serviciu de rol, puteți emite certificate utilizatorilor, computerelor și serviciilor, precum și gestionați valabilitatea certificatului;
• Serviciul web pentru politica de înregistrare a certificatelor (ADCS-Enroll-Web-Pol) - Acest serviciu permite utilizatorilor și computerelor să obțină informații despre politica de înregistrare a certificatelor de la un browser web, chiar dacă computerul nu este membru al unui domeniu. Pentru funcționarea lui este necesar Server web (IIS)»;
• Serviciul web de înregistrare a certificatelor (ADCS-Enroll-Web-Svc) - Acest serviciu permite utilizatorilor și computerelor să înregistreze și să reînnoiască certificate folosind un browser web prin HTTPS, chiar dacă computerul nu este membru al unui domeniu. De asemenea, trebuie să funcționeze Server web (IIS)»;
• Online Responder (ADCS-Online-Cert) - Serviciul este conceput pentru a verifica revocarea unui certificat pentru clienți. Cu alte cuvinte, acceptă o cerere de stare de revocare pentru anumite certificate, evaluează starea acelor certificate și trimite înapoi un răspuns semnat cu informații despre stare. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)»;
• Serviciul de înregistrare web al autorității de certificare (ADCS-Web-Enrollment) - Acest serviciu oferă utilizatorilor o interfață web pentru a efectua sarcini precum solicitarea și reînnoirea certificatelor, obținerea CRL-urilor și înregistrarea certificatelor de carduri inteligente. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)»;
• Serviciul de înregistrare a dispozitivelor de rețea (ADCS-Device-Enrollment) — Folosind acest serviciu, puteți emite și gestiona certificate pentru routere și alte dispozitive de rețea care nu au conturi de rețea. Pentru ca serviciul să funcționeze, este necesar Server web (IIS)».

Servicii desktop la distanță

Un rol de server care poate fi utilizat pentru a oferi acces la desktop-uri virtuale, desktop-uri bazate pe sesiune și RemoteApps.

Numele rolului pentru Windows PowerShell este Remote-Desktop-Services.

Constă din următoarele servicii:

• Remote Desktop Web Access (RDS-Web-Access) - Acest serviciu de rol permite utilizatorilor să acceseze desktop-uri la distanță și aplicații RemoteApp prin intermediul „ start» sau folosind un browser web;
• Licențiere Desktop la distanță (licențiere RDS) - Serviciul este conceput pentru a gestiona licențele necesare pentru a se conecta la serverul gazdă de sesiune Desktop la distanță sau desktopul virtual. Poate fi folosit pentru a instala, a emite licențe și a urmări disponibilitatea acestora. Acest serviciu necesită „ Server web (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) este un serviciu de rol care oferă următoarele capabilități: reconectarea unui utilizator la un desktop virtual existent, aplicație RemoteApp și desktop bazat pe sesiune, precum și echilibrarea încărcării între desktopurile serverelor gazdă de sesiune la distanță sau între desktop-uri virtuale grupate. Acest serviciu necesită „ »;
• Gazdă de virtualizare desktop la distanță (DS-Virtualization) - Serviciul permite utilizatorilor să se conecteze la desktopuri virtuale folosind RemoteApp și Desktop Connection. Acest serviciu funcționează împreună cu Hyper-V, de ex. acest rol trebuie instalat;
• Gazdă sesiune Desktop la distanță (RDS-RD-Server) - Acest serviciu poate găzdui aplicații RemoteApp și desktop-uri bazate pe sesiune pe un server. Accesul se face prin clientul Remote Desktop Connection sau RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) - Serviciul permite utilizatorilor la distanță autorizați să se conecteze la desktop-uri virtuale, RemoteApps și desktop-uri bazate pe sesiune dintr-o rețea corporativă sau prin Internet. Acest serviciu necesită următoarele servicii și componente suplimentare: Server web (IIS)», « Politică de rețea și servicii de acces», « RPC peste proxy HTTP».

AD RMS

Acesta este un rol de server care vă va permite să protejați informațiile împotriva utilizării neautorizate. Validează identitățile utilizatorilor și acordă licențe utilizatorilor autorizați pentru a accesa datele protejate. Acest rol necesită servicii și componente suplimentare: Server web (IIS)», « Serviciul de activare a proceselor Windows», « Caracteristici .NET Framework 4.6».

Numele pentru Windows PowerShell este ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - serviciul de rol principal, necesar pentru instalare;
• Identity Federation Support (ADRMS-Identity) este un serviciu de rol opțional care permite identităților federate să consume conținut protejat folosind Active Directory Federation Services.

AD FS

Acest rol oferă o federație simplificată și sigură a identității și o funcționalitate de conectare unică (SSO) site-urilor web care utilizează un browser.

Numele pentru PowerShell este ADFS-Federation.

Acces de la distanță

Acest rol oferă conectivitate prin DirectAccess, VPN și proxy de aplicație web. De asemenea rolul Acces de la distanță„oferă capabilități tradiționale de rutare, inclusiv traducerea adresei de rețea (NAT) și alte opțiuni de conectare. Acest rol necesită servicii și caracteristici suplimentare: Server web (IIS)», « Baza de date internă Windows».

Numele rolului pentru Windows PowerShell este RemoteAccess.

• DirectAccess și VPN (RAS) (DirectAccess-VPN) - serviciul permite utilizatorilor să se conecteze oricând la rețeaua corporativă cu acces la Internet prin DirectAccess, precum și să organizeze conexiuni VPN în combinație cu tehnologiile de tunel și criptarea datelor;
• Routing (Routing) - serviciul oferă suport pentru routere NAT, routere LAN cu protocoale BGP, protocoale RIP și routere cu suport multicast (proxy IGMP);
• Web Application Proxy (Web-Application-Proxy) - Serviciul vă permite să publicați aplicații bazate pe protocoalele HTTP și HTTPS din rețeaua corporativă către dispozitivele client care se află în afara rețelei corporative.

Servicii de fișiere și stocare

Acesta este un rol de server care poate fi folosit pentru a partaja fișiere și foldere, pentru a gestiona și controla partajările, pentru a replica fișiere, pentru a oferi căutări rapide de fișiere și pentru a acorda acces la computerele client UNIX. Am discutat mai detaliat despre serviciile de fișiere și în special despre serverul de fișiere în materialul „Instalarea unui server de fișiere (File Server) pe Windows Server 2016”.

Numele pentru Windows PowerShell este FileAndStorage-Services.

Servicii de depozitare- Acest serviciu oferă funcționalitate de gestionare a stocării care este întotdeauna instalată și nu poate fi eliminată.

Servicii de fișiere și servicii iSCSI (servicii de fișiere) sunt tehnologii care simplifică gestionarea serverelor și stocărilor de fișiere, economisește spațiu pe disc, asigură replicarea și stocarea în cache a fișierelor în ramuri și, de asemenea, oferă partajarea fișierelor prin protocolul NFS. Include următoarele servicii de rol:

• File Server (FS-FileServer) - un serviciu de rol care gestionează folderele partajate și oferă utilizatorilor acces la fișierele de pe acest computer prin rețea;
• Deduplicarea datelor (FS-Data-Deduplication) - acest serviciu economisește spațiu pe disc prin stocarea unei singure copii a datelor identice pe un volum;
• File Server Resource Manager (FS-Resource-Manager) - folosind acest serviciu, puteți gestiona fișiere și foldere pe un server de fișiere, puteți crea rapoarte de stocare, clasifica fișiere și foldere, configura cote de foldere și defini politici de blocare a fișierelor;
• Furnizor de stocare țintă iSCSI (furnizori de hardware VDS și VSS) (iSCSItarget-VSS-VDS) - Serviciul permite aplicațiilor de pe un server conectat la o țintă iSCSI să ascundă volume de copiere pe discurile virtuale iSCSI;
• Spații de nume DFS (FS-DFS-Namespace) - folosind acest serviciu, puteți grupa foldere partajate găzduite pe diferite servere într-unul sau mai multe spații de nume structurate logic;
• Foldere de lucru (FS-SyncShareService) - serviciul vă permite să utilizați fișiere de lucru pe diferite computere, inclusiv de lucru și personale. Vă puteți stoca fișierele în foldere de lucru, le puteți sincroniza și le puteți accesa din rețeaua locală sau de pe Internet. Pentru ca serviciul să funcționeze, componenta " Core Web IIS în proces»;
• Replicarea DFS (FS-DFS-Replication) este un motor de replicare a datelor multi-server care vă permite să sincronizați folderele printr-o conexiune LAN sau WAN. Această tehnologie folosește protocolul RDC (Remote Differential Compression) pentru a actualiza doar porțiunea din fișierele care s-au modificat de la ultima replicare. Replicarea DFS poate fi utilizată cu sau fără spații de nume DFS;
• Server pentru NFS (FS-NFS-Service) - Serviciul permite acestui computer să partajeze fișiere cu computere bazate pe UNIX și alte computere care utilizează protocolul Network File System (NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) - oferă servicii și management pentru ținte iSCSI;
• Serviciul BranchCache pentru fișiere de rețea (FS-BranchCache) - Serviciul oferă suport BranchCache pe acest server de fișiere;
• Serviciu de agent VSS pentru server de fișiere (FS-VSS-Agent) - Serviciul permite copieri umbra de volum pentru aplicațiile care stochează fișiere de date pe acest server de fișiere.

server de fax

Rolul trimite și primește faxuri și vă permite să gestionați resursele de fax, cum ar fi lucrări, setări, rapoarte și dispozitive de fax pe acest computer sau în rețea. Necesar pentru muncă Server de imprimare».

Numele rolului pentru Windows PowerShell este Fax.

Aceasta completează revizuirea rolurilor de server Windows Server 2016, sper că materialul v-a fost de folos, deocamdată!

Înainte de a dezvolta un server socket, trebuie să creați un server de politici care să îi spună lui Silverlight care clienți au permisiunea de a se conecta la serverul socket.

După cum se arată mai sus, Silverlight nu permite încărcarea conținutului sau apelarea unui serviciu web dacă domeniul nu are un fișier clientaccesspolicy .xml sau între domenii. xml unde aceste operațiuni sunt permise în mod explicit. O restricție similară este aplicată serverului socket. Dacă nu permiteți dispozitivului client să descarce fișierul clientaccesspolicy .xml care permite accesul de la distanță, Silverlight va refuza să stabilească o conexiune.

Din păcate, furnizarea unei politici de acces client. cml la o aplicație socket este mai mult o provocare decât furnizarea acesteia printr-un site web. Când utilizați un site web, software-ul serverului web poate furniza un fișier .xml clientaccesspolicy, nu uitați să îl adăugați. În același timp, atunci când utilizați o aplicație socket, trebuie să deschideți un socket pe care aplicațiile client să îl poată accesa cu solicitări de politică. În plus, trebuie să creați manual codul care servește socket-ul. Pentru a îndeplini aceste sarcini, trebuie să creați un server de politici.

În cele ce urmează, vom arăta că serverul de politici funcționează în același mod ca și serverul de mesaje, doar se ocupă de interacțiuni puțin mai simple. Serverele de mesaje și politicile pot fi create separat sau combinate într-o singură aplicație. În cel de-al doilea caz, ei trebuie să asculte cererile pe diferite fire. În acest exemplu, vom crea un server de politici și apoi îl vom combina cu un server de mesaje.

Pentru a crea un server de politici, trebuie mai întâi să creați o aplicație .NET. Orice tip de aplicație .NET poate servi ca server de politici. Cel mai simplu mod este să folosești o aplicație consolă. După ce ați depanat aplicația de consolă, puteți muta codul într-un serviciu Windows, astfel încât să ruleze în fundal tot timpul.

Fișierul politicii

Mai jos este fișierul de politici furnizat de serverul de politici.

Fișierul de politici definește trei reguli.

Permite accesul la toate porturile de la 4502 la 4532 (aceasta este gama completă de porturi acceptate de suplimentul Silverlight). Pentru a modifica intervalul de porturi disponibile, modificați valoarea atributului de port al elementului.

Permite accesul TCP (permisiunea este definită în atributul de protocol al elementului).

Permite un apel din orice domeniu. Prin urmare, o aplicație Silverlight care stabilește o conexiune poate fi găzduită de orice site web. Pentru a modifica această regulă, trebuie să editați atributul uri al elementului.

Pentru a ușura lucrurile, regulile de politică sunt plasate în fișierul clientaccess-ploi.cy.xml care este adăugat la proiect. În Visual Studio, parametrul Copiere în directorul de ieșire al fișierului de politică trebuie să fie setat la Cop întotdeauna. ar trebui doar să găsească fișierul pe hard disk, să-l deschidă și să returneze conținutul pe dispozitivul client.

Clasa PolicyServer

Funcționalitatea serverului de politici se bazează pe două clase cheie: PolicyServer și PolicyConnection. Clasa PolicyServer se ocupă de așteptarea conexiunilor. Când primește o conexiune, transmite controlul unei noi instanțe a clasei PoicyConnection, care transmite fișierul de politică clientului. Această procedură din două părți este comună în programarea în rețea. O veți vedea de mai multe ori când lucrați cu servere de mesaje.

Clasa PolicyServer încarcă fișierul de politică de pe hard disk și îl stochează în câmp ca o matrice de octeți.

PolicyServer de clasă publică

politica de octet privat;

public PolicyServer(string policyFile) (

Pentru a începe să asculte, aplicația server trebuie să apeleze PolicyServer. Start(). Acesta creează un obiect TcpListener care ascultă cereri. Obiectul TcpListener este configurat să asculte pe portul 943. În Silverlight, acest port este rezervat serverelor de politici. Când faceți solicitări pentru fișiere de politică, aplicația Silverlight le direcționează automat către portul 943.

ascultător privat TcpListener;

public void Start()

// Creați un ascultător

ascultător = new TcpListener(IPAddress.Any, 943);

// Incepe sa asculti; metoda Start() returnează II imediat după apelarea listener.Start();

// Se așteaptă o conexiune; metoda revine imediat;

II așteptarea se face într-un fir separat

Pentru a accepta conexiunea oferită, serverul de politici apelează metoda BeginAcceptTcpClient(). Ca toate metodele Beginxxx() ale cadrului .NET, acesta revine imediat după ce a fost apelat, efectuând operațiunile necesare pe un fir separat. Pentru aplicațiile de rețea, acesta este un factor foarte important, deoarece permite procesarea simultană a multor solicitări de fișiere de politici.

Notă. Programatorii de rețea începători se întreabă adesea cum pot fi procesate mai multe cereri în același timp și cred că acest lucru necesită mai multe servere. Cu toate acestea, nu este. Cu această abordare, aplicațiile client ar rămâne rapid fără porturile disponibile. În practică, aplicațiile server procesează multe cereri printr-un singur port. Acest proces este invizibil pentru aplicații, deoarece subsistemul TCP încorporat în Windows identifică automat mesajele și le direcționează către obiectele corespunzătoare din codul aplicației. Fiecare conexiune este identificată în mod unic pe baza a patru parametri: adresa IP client, numărul portului clientului, adresa IP a serverului și numărul portului serverului.

La fiecare cerere, metoda de apel invers OnAcceptTcpClient() este declanșată. Apelează din nou metoda BeginAcceptTcpClient O pentru a începe să aștepte următoarea solicitare pe un alt fir și apoi începe procesarea cererii curente.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (este oprit) return;

Console.WriteLine("Solicitare politică primită."); // Se așteaptă următoarea conexiune.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Gestionarea conexiunii curente.

TcpClient client = listener.EndAcceptTcpClient(ar); PolicyConnection policyConnection = noua PolicyConnection(client, politica); policyConnection.HandleRequest() ;

prind (Excepție eroare) (

De fiecare dată când se primește o nouă conexiune, este creat un nou obiect PolicyConnection pentru a o gestiona. În plus, obiectul PolicyConnection menține un fișier de politică.

Ultima componentă a clasei PolicyServer este metoda Stop(), care nu mai așteaptă cereri. Aplicația îl apelează când se încheie.

private bool isStopped;

public void StopO(

isStopped = adevărat;

ascultător. Stop();

prind (Excepție eroare) (

Console.WriteLine(err.Message);

Următorul cod este utilizat în metoda Main() a serverului de aplicații pentru a porni serverul de politici.

static void Main(string args) (

PolicyServer policyServer = nou PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Serverul de politici a pornit."); Console.WriteLine("Apăsați tasta Enter pentru a ieși.");

// Așteptând apăsarea tastei; folosind metoda // Console.ReadKey(), o puteți seta să aștepte o anumită linie // (de exemplu, ieșire) sau apăsați orice tastă Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Încheierea serverului de politici.");

Clasa PolicyConnection

Clasa PolicyConnection realizează o sarcină mai simplă. Obiectul PolicyConnection stochează o referință la datele fișierului de politică. Apoi, după ce metoda HandleRequest() este apelată, obiectul PolicyConnection preia o nouă conexiune din fluxul de rețea și încearcă să o citească. Dispozitivul client trebuie să trimită un șir care să conțină text. După ce citește acest text, dispozitivul client scrie datele politicii în flux și închide conexiunea. Mai jos este codul clasei PolicyConnection.

Clasa publică PolicyConnection(

client privat TcpClient; politica de octet privat;

public PolicyConnection (client TcpClient, politică de octeți) (

this.client = client; this.policy = politică;

// Creați o cerere client șir static privat policyRequestString = "

public void HandleRequest()(

Stream s = client.GetStream(); // Citiți șirul de interogare de politică

byte buffer = octet nou;

// Așteptați doar 5 secunde client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Treceți politica (puteți verifica și dacă solicitarea de politică are // conținutul cerut) s.Write(policy, 0, policy.Length);

// Închide clientul de conexiune.Close();

Console.WriteLine("Fișier de politică difuzat.");

Deci, avem un server de politici complet operațional. Din păcate, nu poate fi testat încă, deoarece programul de completare Silverlight nu permite solicitarea explicită a fișierelor de politici. În schimb, le solicită automat atunci când încearcă să folosească o aplicație socket. Înainte de a putea crea o aplicație client pentru această aplicație socket, trebuie să creați un server.

Continuând subiectul:

Articole noi

/

Când instalați Windows, majoritatea subsistemelor neesențiale nu sunt activate sau instalate. Acest lucru se face din motive de securitate. Deoarece sistemul este sigur în mod implicit, administratorii de sistem se pot concentra pe proiectarea unui sistem care face ceea ce face și nimic mai mult. Pentru a vă ajuta să activați funcțiile dorite, Windows vă solicită să selectați un rol de server.

Roluri

Un rol de server este un set de programe care, atunci când sunt instalate și configurate corect, permit unui computer să îndeplinească o funcție specifică pentru mai mulți utilizatori sau alte computere dintr-o rețea. În general, toate rolurile au următoarele caracteristici.

• Ele definesc funcția principală, scopul sau scopul utilizării unui computer. Puteți desemna un computer pentru a juca un rol care este foarte utilizat în întreprindere sau pentru a juca mai multe roluri în care fiecare rol este folosit doar ocazional.
• Rolurile oferă utilizatorilor din întreaga organizație acces la resurse care sunt gestionate de alte computere, cum ar fi site-uri web, imprimante sau fișiere stocate pe diferite computere.
• De obicei, au propriile baze de date care pun în coadă solicitările utilizatorilor sau computerului sau înregistrează informații despre utilizatorii rețelei și computerele asociate cu un rol. De exemplu, Active Directory Domain Services conține o bază de date pentru stocarea numelor și relațiilor ierarhice ale tuturor computerelor dintr-o rețea.
• Odată instalate și configurate corect, rolurile funcționează automat. Acest lucru permite computerelor pe care sunt instalate să efectueze sarcinile atribuite cu interacțiune limitată a utilizatorului.

Servicii de rol

Serviciile de rol sunt programe care oferă funcționalitatea unui rol. Când instalați un rol, puteți alege ce servicii oferă altor utilizatori și computere din întreprindere. Unele roluri, cum ar fi serverul DNS, îndeplinesc o singură funcție, deci nu există servicii de rol pentru ele. Alte roluri, cum ar fi Serviciile Desktop la distanță, au mai multe servicii pe care le puteți instala în funcție de nevoile de acces de la distanță ale întreprinderii dumneavoastră. Un rol poate fi gândit ca o colecție de servicii de rol strâns legate, complementare. În cele mai multe cazuri, instalarea unui rol înseamnă instalarea unuia sau mai multor servicii ale acestuia.

Componente

Componentele sunt programe care nu fac parte direct din roluri, dar susțin sau extind funcționalitatea unuia sau mai multor roluri sau a întregului server, indiferent de rolurile instalate. De exemplu, Failover Cluster Tool extinde alte roluri, cum ar fi File Services și DHCP Server, permițându-le să se alăture clusterelor de servere, ceea ce oferă redundanță și performanță sporite. Cealaltă componentă, Clientul Telnet, permite comunicarea de la distanță cu serverul Telnet printr-o conexiune de rețea. Această caracteristică îmbunătățește opțiunile de comunicare pentru server.

Când Windows Server rulează în modul Server Core, sunt acceptate următoarele roluri de server:

• Servicii de certificate Active Directory;
• Servicii de domeniu Active Directory;
• Server DHCP
• server DNS;
• servicii de fișiere (inclusiv managerul de resurse server de fișiere);
• Servicii Active Directory Lightweight Directory;
• Hyper-V
• servicii de tipărire și documente;
• Servicii media de streaming;
• server web (inclusiv un subset de ASP.NET);
• Windows Server Update Server;
• Server de gestionare a drepturilor Active Directory;
• Server de rutare și acces la distanță și următoarele roluri subordonate:
  • Remote Desktop Connection Broker;
  • licențiere;
  • virtualizare.

Când Windows Server rulează în modul Server Core, sunt acceptate următoarele caracteristici de server:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Serviciu de transfer inteligent de fundal (BITS);
• Criptare BitLocker Drive;
• Deblocarea rețelei BitLocker;
• BranchCache
• puntea centrului de date;
• Stocare îmbunătățită;
• clustering de failover;
• I/O cu mai multe căi;
• echilibrarea sarcinii rețelei;
• protocol PNRP;
• qWave;
• compresie diferenţială de la distanţă;
• servicii simple TCP/IP;
• RPC peste proxy HTTP;
• server SMTP;
• serviciu SNMP;
• client Telnet;
• server telnet;
• client TFTP;
• baza de date internă Windows;
• Acces Web Windows PowerShell;
• Serviciu de activare Windows;
• management standardizat al stocării Windows;
• extensia IIS WinRM;
• server WINS;
• Suport WoW64.

Instalarea rolurilor de server folosind Server Manager

Pentru a adăuga, deschideți Server Manager și, în meniul Gestionare, faceți clic pe Adăugați roluri și funcții:

Se deschide Expertul Adăugare roluri și caracteristici. Faceți clic pe Următorul

Tip de instalare, selectați Instalare bazată pe rol sau pe funcție. Următorul:

Selectare server - selectați serverul nostru. Faceți clic pe Următorul rol de server - Selectați rolurile dacă este necesar, selectați servicii de rol și faceți clic pe Următorul pentru a selecta componente. În timpul acestei proceduri, Expertul Adăugare roluri și caracteristici vă informează automat despre conflictele de pe serverul de destinație care pot împiedica instalarea sau funcționarea normală a rolurilor sau caracteristicilor selectate. De asemenea, vi se solicită să adăugați rolurile, serviciile de rol și caracteristicile necesare rolurilor sau caracteristicilor selectate.

Instalarea rolurilor cu PowerShell

Deschideți Windows PowerShell Introduceți comanda Get-WindowsFeature pentru a vedea lista rolurilor și funcțiilor disponibile și instalate pe serverul local. Ieșirea acestui cmdlet conține numele comenzilor pentru rolurile și caracteristicile care sunt instalate și disponibile pentru instalare.

Tastați Get-Help Install-WindowsFeature pentru a vedea sintaxa și parametrii validi pentru cmdlet-ul Install-WindowsFeature (MAN).

Introduceți următoarea comandă (-Restart va reporni serverul dacă instalarea rolului necesită o repornire).

Instalare-WindowsFeature –Nume -Repornire

Descrierea rolurilor și a serviciilor de rol

Toate rolurile și serviciile de rol sunt descrise mai jos. Să ne uităm la setările avansate pentru cele mai comune rol de server web și servicii de desktop la distanță din practica noastră.

Descrierea detaliată a IIS

• Caracteristici HTTP comune - Componente HTTP de bază
  • Document implicit - vă permite să setați pagina de index pentru site.
  • Navigare în director - Permite utilizatorilor să vadă conținutul unui director pe un server web. Utilizați Navigarea în director pentru a genera automat o listă cu toate directoarele și fișierele dintr-un director atunci când utilizatorii nu specifică un fișier în adresa URL și pagina de index este dezactivată sau nu este configurată
  • Erori HTTP - vă permite să personalizați mesajele de eroare returnate clienților în browser.
  • Conținut static - vă permite să postați conținut static, cum ar fi imagini sau fișiere html.
  • Redirecționare HTTP - Oferă suport pentru redirecționarea solicitărilor utilizatorilor.
  • WebDAV Publishing vă permite să publicați fișiere de pe un server web folosind protocolul HTTP.
• Funcții de sănătate și diagnosticare - Componente de diagnosticare
  • Înregistrarea HTTP oferă înregistrarea activității site-ului web pentru un anumit server.
  • Logging personalizat oferă suport pentru crearea de jurnalele personalizate care sunt diferite de jurnalele „tradiționale”.
  • Logging Tools oferă un cadru pentru gestionarea jurnalelor de server web și automatizarea sarcinilor comune de înregistrare.
  • ODBC Logging oferă un cadru care acceptă înregistrarea activității serverului web într-o bază de date compatibilă cu ODBC.
  • Request Monitor oferă un cadru pentru monitorizarea stării aplicațiilor web prin colectarea de informații despre solicitările HTTP într-un proces de lucru IIS.
  • Urmărirea oferă un cadru pentru diagnosticarea și depanarea aplicațiilor web. Folosind urmărirea cererilor eșuate, puteți urmări evenimente greu de găsit, cum ar fi performanță slabă sau eșecuri de autentificare.
• Componente de performanță pentru a crește performanța serverului web.
  • Comprimarea conținutului static oferă un cadru pentru configurarea compresiei HTTP a conținutului static
  • Dynamic Content Compression oferă un cadru pentru configurarea compresiei HTTP a conținutului dinamic.
• Componente de securitate
  • Filtrarea solicitărilor vă permite să capturați toate solicitările primite și să le filtrați pe baza regulilor stabilite de administrator.
  • Autentificarea de bază vă permite să setați autorizare suplimentară
  • Suportul centralizat pentru certificate SSL este o caracteristică care vă permite să stocați certificate într-o locație centrală, cum ar fi o partajare de fișiere.
  • Autentificarea de mapare a certificatelor clientului utilizează certificate de client pentru a autentifica utilizatorii.
  • Digest Authentication funcționează prin trimiterea unui hash de parolă către un controler de domeniu Windows pentru a autentifica utilizatorii. Dacă aveți nevoie de mai multă securitate decât autentificarea de bază, luați în considerare utilizarea autentificării Digest
  • Autentificarea de mapare a certificatelor clientului IIS utilizează certificate de client pentru a autentifica utilizatorii. Certificatul de client este un ID digital obținut dintr-o sursă de încredere.
  • Restricțiile IP și domeniului vă permit să permiteți/interziceți accesul pe baza adresei IP sau a numelui de domeniu solicitat.
  • Autorizarea URL vă permite să creați reguli care restricționează accesul la conținutul web.
  • Autentificare Windows Această schemă de autentificare permite administratorilor de domenii Windows să profite de infrastructura de domeniu pentru autentificarea utilizatorilor.
• Caracteristici de dezvoltare a aplicațiilor
• Server FTP
  • Serviciu FTP Permite publicarea FTP pe un server web.
  • Extensibilitate FTP Permite suport pentru funcțiile FTP care extind funcționalitatea
• Instrumente de management
  • Consola de management IIS instalează Managerul IIS, care vă permite să gestionați serverul web printr-o interfață grafică
  • Compatibilitatea cu managementul IIS 6.0 oferă compatibilitate înainte pentru aplicațiile și scripturile care utilizează obiectul de bază de administrare (ABO) și API-ul Active Directory (ADSI) pentru interfața serviciului de director. Acest lucru permite scripturilor existente IIS 6.0 să fie utilizate de serverul web IIS 8.0
  • Scripturile și instrumentele de gestionare IIS oferă infrastructura pentru gestionarea serverului web IIS în mod programatic, utilizând comenzi într-o fereastră de prompt de comandă sau rulând scripturi.
  • Serviciul de management oferă infrastructura pentru personalizarea interfeței cu utilizatorul, IIS Manager.

Descrierea detaliată a RDS

• Remote Desktop Connection Broker - Oferă reconectarea dispozitivului client la programe bazate pe sesiuni desktop și desktop virtual.
• Remote Desktop Gateway - Permite utilizatorilor autorizați să se conecteze la desktop-uri virtuale, programe RemoteApp și desktop-uri bazate pe sesiune dintr-o rețea corporativă sau prin Internet.
• Licențiere desktop la distanță - Instrument de gestionare a licențelor RDP
• Gazdă sesiune Desktop la distanță - Include un server pentru a găzdui programe RemoteApp sau o sesiune bazată pe desktop.
• Gazdă de virtualizare desktop la distanță - vă permite să configurați RDP pe mașini virtuale
• Remote Desktop WebAccess - Permite utilizatorilor să se conecteze la resurse desktop folosind meniul Start sau browser web.

Luați în considerare instalarea și configurarea unui server de licență terminal. Cele de mai sus descriu cum se instalează roluri, instalarea RDS nu este diferită de instalarea altor roluri, în Serviciile de rol trebuie să selectăm Licențiere Desktop la distanță și Gazdă sesiune Desktop la distanță. După instalare, elementul Terminal Services va apărea în Server Manager-Tools. Există două elemente în Terminal Services RD Licensing Diagnoser, acesta este un instrument pentru diagnosticarea funcționării licențelor desktop la distanță și Manager de licențe Desktop la distanță, acesta este un instrument de gestionare a licențelor.

Rulați RD Licensing Diagnoser

Aici putem vedea că nu există încă licențe disponibile deoarece modul de licențiere nu este setat pentru serverul RD Session Host. Serverul de licență este specificat în politicile de grup locale. Pentru a lansa editorul, rulați comanda gpedit.msc. Se deschide Editorul de politici de grup local. În arborele din stânga, extindeți filele:

• Configurarea computerului
• Șabloane administrative
• Componente Windows
• Servicii desktop la distanță
• Gazdă sesiune desktop la distanță
• „Licensing” (Licensing)

Deschideți parametrii Utilizați serverele de licență pentru Desktop la distanță specificate

În fereastra de editare a setărilor politicii, activați serverul de licențiere (Activat). Apoi, trebuie să definiți un server de licență pentru Serviciile Desktop la distanță. În exemplul meu, serverul de licență este situat pe același server fizic. Specificați numele rețelei sau adresa IP a serverului de licență și faceți clic pe OK. Dacă numele serverului, serverul de licență se va schimba în viitor, va trebui să îl schimbați în aceeași secțiune.

După aceea, în RD Licensing Diagnoser, puteți vedea că serverul de licențe terminal este configurat, dar nu este activat. Pentru a activa, rulați Managerul de licențe pentru desktop la distanță

Selectați serverul de licențiere, cu starea Not Activated . Pentru activare, faceți clic dreapta pe el și selectați Activare server. Va porni asistentul de activare a serverului. În fila Metodă de conectare, selectați Conexiune automată. Apoi, completați informațiile despre organizație, după care serverul de licență este activat.

Servicii de certificate Active Directory

AD CS oferă servicii configurabile pentru emiterea și gestionarea certificatelor digitale care sunt utilizate în sistemele de securitate software care utilizează tehnologii cu cheie publică. Certificatele digitale furnizate de AD CS pot fi utilizate pentru a cripta și semna digital documente și mesaje electronice. Aceste certificate digitale pot fi utilizate pentru a autentifica conturile de computer, utilizator și dispozitiv din rețea. Certificatele digitale sunt utilizate pentru a furniza:

• confidențialitate prin criptare;
• integritate prin semnături digitale;
• autentificare prin conectarea cheilor de certificat la conturile de computer, utilizator și dispozitiv din rețea.

AD CS poate fi utilizat pentru a îmbunătăți securitatea legând identitatea unui utilizator, dispozitiv sau serviciu la cheia privată corespunzătoare. Aplicațiile acceptate de AD CS includ extensii standard de poștă Internet multifuncțională (S/MIME), rețele wireless securizate, rețele private virtuale (VPN), IPsec, sistem de fișiere de criptare (EFS), conectare cu cardul inteligent, protocol de securitate și nivel de transport. (SSL/TLS) și semnături digitale.

Servicii de domeniu Active Directory

Folosind rolul de server Active Directory Domain Services (AD DS), puteți crea o infrastructură scalabilă, sigură și gestionabilă pentru gestionarea utilizatorilor și a resurselor; de asemenea, puteți furniza aplicații activate pentru directoare, cum ar fi Microsoft Exchange Server. Serviciile de domeniu Active Directory furnizează o bază de date distribuită care stochează și gestionează informații despre resursele de rețea și datele aplicațiilor activate de director. Serverul care rulează AD DS se numește controler de domeniu. Administratorii pot folosi AD DS pentru a organiza elementele de rețea, cum ar fi utilizatorii, computerele și alte dispozitive, într-o structură imbricată ierarhică. Structura imbricată ierarhică include pădurea Active Directory, domeniile din pădure și unitățile organizaționale din fiecare domeniu. Caracteristicile de securitate sunt integrate în AD DS sub formă de autentificare și control al accesului la resursele din director. Cu conectare unică, administratorii pot gestiona informațiile despre director și organizarea prin rețea. De asemenea, utilizatorii autorizați de rețea pot utiliza conectarea unică la rețea pentru a accesa resursele situate oriunde în rețea. Serviciile de domeniu Active Directory oferă următoarele caracteristici suplimentare.

• Un set de reguli este o schemă care definește clasele de obiecte și atribute care sunt conținute într-un director, restricțiile și limitele instanțelor respectivelor obiecte și formatul numelor acestora.
• Un catalog global care conține informații despre fiecare obiect din catalog. Utilizatorii și administratorii pot folosi catalogul global pentru a căuta date de catalog, indiferent de domeniul din catalog care conține de fapt datele căutate.
• Un mecanism de interogare și indexare prin care obiectele și proprietățile lor pot fi publicate și localizate de utilizatorii și aplicațiile rețelei.
• Un serviciu de replicare care distribuie date de director într-o rețea. Toți controlorii de domeniu care pot fi scrise din domeniu participă la replicare și conțin o copie completă a tuturor datelor de director pentru domeniul lor. Orice modificare a datelor din director este replicată în domeniu tuturor controlorilor de domeniu.
• Roluri de master operațiuni (cunoscute și sub denumirea de operațiuni master unice flexibile sau FSMO). Controloarele de domeniu care acționează ca stăpâni ai operațiunilor sunt proiectate să îndeplinească sarcini speciale pentru a asigura coerența datelor și pentru a evita intrările de director conflictuale.

Servicii de federație Active Directory

AD FS oferă utilizatorilor finali care au nevoie de acces la aplicații într-o întreprindere securizată prin AD FS, în organizații partenere de federație sau în cloud cu servicii web simplificate și sigure de federare a identității și de conectare unică (SSO). Windows Server AD FS include un serviciu de rol Serviciul de federație care acționează ca furnizor de identitate (autentifică utilizatorii pentru a furniza jetoane de securitate aplicațiilor care au încredere în AD FS) sau ca furnizor de federație (aplică jetoane de la alți furnizori de identitate și apoi furnizează jetoane de securitate aplicațiilor care au încredere în AD FS).

Servicii Active Directory Lightweight Directory

Active Directory Lightweight Directory Services (AD LDS) este un protocol LDAP care oferă suport flexibil pentru aplicațiile de directoare fără dependențele și restricțiile specifice domeniului Active Directory Domain Services. AD LDS poate fi rulat pe servere membre sau independente. Puteți rula mai multe instanțe de AD LDS cu scheme gestionate independent pe același server. Cu rolul de serviciu AD LDS, puteți furniza servicii de directoare aplicațiilor activate pentru directoare fără a utiliza date de domeniu și servicii forestiere și fără a necesita o singură schemă la nivelul întregii păduri.

Servicii de gestionare a drepturilor Active Directory

Puteți utiliza AD RMS pentru a extinde strategia de securitate a organizației dvs. prin securizarea documentelor utilizând Information Rights Management (IRM). AD RMS permite utilizatorilor și administratorilor să atribuie permisiuni de acces documentelor, registrelor de lucru și prezentărilor folosind politici IRM. Acest lucru vă permite să protejați informațiile confidențiale împotriva tipăririi, redirecționării sau copierii de către utilizatori neautorizați. Odată ce permisiunile unui fișier sunt restricționate folosind IRM, restricțiile de acces și utilizare se aplică indiferent de locația informațiilor, deoarece permisiunea fișierului este stocată în fișierul document însuși. Cu AD RMS și IRM, utilizatorii individuali își pot aplica propriile preferințe în ceea ce privește transferul de informații personale și confidențiale. Ele vor ajuta, de asemenea, o organizație să aplice politicile corporative pentru a controla utilizarea și distribuirea informațiilor sensibile și personale. Soluțiile IRM acceptate de AD RMS sunt utilizate pentru a oferi următoarele capabilități.

• Politici de utilizare persistente care rămân cu informații indiferent dacă sunt mutate, trimise sau redirecționate.
• Un nivel suplimentar de confidențialitate pentru a proteja datele sensibile - cum ar fi rapoartele, specificațiile produselor, informațiile despre clienți și mesajele de e-mail - împotriva căderii intenționate sau accidentale în mâini greșite.
• Preveniți trimiterea, copierea, editarea, imprimarea, trimiterea prin fax sau lipirea neautorizată a conținutului restricționat de către destinatarii autorizați.
• Preveniți copierea conținutului restricționat utilizând caracteristica PRINT SCREEN din Microsoft Windows.
• Suport pentru expirarea fișierului, împiedicând vizualizarea conținutului documentului după o anumită perioadă de timp.
• Implementați politici corporative care guvernează utilizarea și distribuirea conținutului în cadrul organizației

Server de aplicații

Application Server oferă un mediu integrat pentru implementarea și rularea aplicațiilor de afaceri personalizate bazate pe server.

Server DHCP

DHCP este o tehnologie client-server care permite serverelor DHCP să atribuie sau să închirieze adrese IP computerelor și altor dispozitive care sunt clienți DHCP. Implementarea serverelor DHCP într-o rețea oferă automat computerelor client și altor dispozitive de rețea adrese IP valide IPv4 și IPv6. și setări de configurare suplimentare cerute de acești clienți și dispozitive.Serviciul DHCP Server din Windows Server include suport pentru atribuiri bazate pe politici și failover DHCP.

Server DNS

Serviciul DNS este o bază de date ierarhică distribuită care conține mapări ale numelor de domenii DNS la diferite tipuri de date, cum ar fi adrese IP. Serviciul DNS vă permite să utilizați nume prietenoase, cum ar fi www.microsoft.com, pentru a ajuta la localizarea computerelor și a altor resurse în rețelele bazate pe TCP/IP. Serviciul DNS din Windows Server oferă suport îmbunătățit suplimentar pentru modulele de securitate DNS (DNSSEC), inclusiv înregistrarea în rețea și gestionarea automată a setărilor.

Server FAX

Fax Server trimite și primește faxuri și vă permite să gestionați resursele de fax, cum ar fi lucrări, setări, rapoarte și dispozitive de fax pe serverul dvs. de fax.

Servicii de fișiere și stocare

Administratorii pot folosi rolul Servicii de fișiere și stocare pentru a configura mai multe servere de fișiere și stocarea acestora și pentru a gestiona acele servere folosind Server Manager sau Windows PowerShell. Unele aplicații specifice includ următoarele caracteristici.

• foldere de lucru. Utilizați pentru a permite utilizatorilor să stocheze și să acceseze fișiere de lucru pe computere personale și dispozitive, altele decât computerele corporative. Utilizatorii au un loc convenabil pentru a stoca fișierele de lucru și pentru a le accesa de oriunde. Organizațiile controlează datele corporative prin stocarea fișierelor pe servere de fișiere gestionate central și, opțional, prin stabilirea politicilor dispozitivelor utilizatorului (cum ar fi criptarea și parolele de blocare a ecranului).
• Deduplicarea datelor. Utilizați pentru a reduce cerințele de spațiu pe disc pentru stocarea fișierelor, economisind bani pe stocare.
• Server țintă iSCSI. Utilizați pentru a crea subsisteme de disc iSCSI centralizate, independente de software și dispozitiv în rețelele de stocare (SAN).
• Spații pe disc. Utilizați pentru a implementa stocarea care este foarte disponibilă, rezistentă și scalabilă, cu unități rentabile, standard din industrie.
• Manager server. Utilizați pentru a gestiona de la distanță mai multe servere de fișiere dintr-o singură fereastră.
• Windows PowerShell. Utilizați pentru a automatiza gestionarea majorității sarcinilor de administrare a serverului de fișiere.

Hyper-V

Rolul Hyper-V vă permite să creați și să gestionați un mediu de calcul virtualizat folosind tehnologia de virtualizare încorporată în Windows Server. Instalarea rolului Hyper-V instalează cerințe preliminare și instrumente de gestionare opționale. Cerințele preliminare includ hypervisorul Windows, Serviciul de gestionare a mașinilor virtuale Hyper-V, furnizorul de virtualizare WMI și componentele de virtualizare precum VMbus, furnizorul de servicii de virtualizare (VSP) și driverul de infrastructură virtuală (VID).

Politică de rețea și servicii de acces

Serviciile de politică de rețea și acces oferă următoarele soluții de conectivitate la rețea:

• Network Access Protection este o tehnologie pentru crearea, aplicarea și remedierea politicilor de sănătate ale clienților. Cu Network Access Protection, administratorii de sistem pot seta și aplica automat politici de sănătate care includ cerințe pentru software, actualizări de securitate și alte setări. Pentru computerele client care nu respectă politica de sănătate, puteți restricționa accesul la rețea până când configurația lor este actualizată pentru a respecta cerințele politicii.
• Dacă sunt implementate puncte de acces wireless 802.1X, puteți utiliza Network Policy Server (NPS) pentru a implementa metode de autentificare bazate pe certificate care sunt mai sigure decât autentificarea bazată pe parolă. Implementarea hardware-ului 802.1X activat cu un server NPS permite utilizatorilor de intranet să fie autentificați înainte de a se putea conecta la rețea sau de a obține o adresă IP de la un server DHCP.
• În loc să configurați o politică de acces la rețea pe fiecare server de acces la rețea, puteți crea la nivel central toate politicile care definesc toate aspectele solicitărilor de conexiune la rețea (cine se poate conecta, atunci când o conexiune este permisă, nivelul de securitate care trebuie utilizat pentru a se conecta la rețea). ).

Servicii de imprimare și documente

Serviciile de imprimare și documente vă permit să centralizați sarcinile serverului de imprimare și ale imprimantei de rețea. Acest rol vă permite, de asemenea, să primiți documente scanate de la scanere de rețea și să încărcați documente în partajări de rețea - pe un site Windows SharePoint Services sau prin e-mail.

acces de la distanță

Rolul Remote Access Server este o grupare logică a următoarelor tehnologii de acces la rețea.

• Acces direct
• Rutare și acces la distanță
• Proxy de aplicație web

Aceste tehnologii sunt servicii de rol rol de server de acces la distanță. Când instalați rolul Server de acces la distanță, puteți instala unul sau mai multe servicii de rol rulând Expertul Adăugare roluri și caracteristici.

Pe Windows Server, rolul Remote Access Server oferă posibilitatea de a administra, configura și monitoriza central DirectAccess și VPN cu servicii de acces la distanță (RRAS) de rutare și acces la distanță. DirectAccess și RRAS pot fi implementate pe același server Edge și gestionate folosind comenzile Windows PowerShell și Remote Access Management Console (MMC).

Servicii desktop la distanță

Remote Desktop Services accelerează și extinde implementarea desktop-urilor și a aplicațiilor pe orice dispozitiv, făcând lucrătorul de la distanță mai eficient, securizând în același timp proprietatea intelectuală critică și simplificând conformitatea. Serviciile desktop la distanță includ infrastructură desktop virtuală (VDI), desktop-uri bazate pe sesiune și aplicații, oferind utilizatorilor posibilitatea de a lucra de oriunde.

Servicii de activare a volumului

Serviciile de activare a licențelor în volum este un rol de server în Windows Server începând cu Windows Server 2012, care automatizează și simplifică emiterea și gestionarea licențelor în volum pentru software-ul Microsoft în diferite scenarii și medii. Împreună cu serviciile de activare a licenței în volum, puteți instala și configura serviciul de gestionare a cheilor (KMS) și activarea Active Directory.

Server Web (IIS)

Rolul Web Server (IIS) în Windows Server oferă o platformă pentru găzduirea de site-uri Web, servicii și aplicații. Utilizarea unui server web oferă acces la informații utilizatorilor de pe Internet, intranet și extranet. Administratorii pot folosi rolul Server Web (IIS) pentru a configura și gestiona mai multe site-uri web, aplicații web și site-uri FTP. Caracteristicile speciale includ următoarele.

• Utilizați Managerul Internet Information Services (IIS) pentru a configura componentele IIS și pentru a administra site-uri web.
• Utilizarea protocolului FTP pentru a permite proprietarilor site-urilor web să încarce și să descarce fișiere.
• Folosirea izolării site-ului web pentru a preveni ca un site de pe server să îi afecteze pe alții.
• Personalizarea aplicațiilor web dezvoltate folosind diverse tehnologii precum Classic ASP, ASP.NET și PHP.
• Utilizați Windows PowerShell pentru a gestiona automat majoritatea sarcinilor de administrare a serverului web.
• Consolidați mai multe servere web într-o fermă de servere care poate fi gestionată folosind IIS.

Servicii de implementare Windows

Serviciile de implementare Windows vă permit să implementați sisteme de operare Windows într-o rețea, ceea ce înseamnă că nu trebuie să instalați fiecare sistem de operare direct de pe un CD sau DVD.

Experiență Windows Server Essentials

Acest rol vă permite să efectuați următoarele sarcini:

• protejați datele serverului și ale clientului prin realizarea de copii de siguranță a serverului și a tuturor computerelor client din rețea;
• gestionați utilizatorii și grupurile de utilizatori printr-un tablou de bord simplificat al serverului. În plus, integrarea cu Windows Azure Active Directory* oferă utilizatorilor acces ușor la serviciile online Microsoft Online (cum ar fi Office 365, Exchange Online și SharePoint Online) folosind acreditările de domeniu;
• stocați datele companiei într-o locație centralizată;
• integrați serverul cu Microsoft Online Services (cum ar fi Office 365, Exchange Online, SharePoint Online și Windows Intune):
• utilizați funcții de acces omniprezente pe server (cum ar fi accesul la internet la distanță și rețelele private virtuale) pentru a accesa serverul, computerele din rețea și datele din locații la distanță foarte sigure;
• accesați datele de oriunde și de pe orice dispozitiv utilizând portalul web propriu al organizației (prin acces web de la distanță);
• gestionați dispozitivele mobile care accesează e-mailul organizației dvs. cu Office 365 prin protocolul Active Sync din tabloul de bord;
• monitorizați starea rețelei și primiți rapoarte de sănătate personalizabile; rapoartele pot fi generate la cerere, personalizate și trimise prin e-mail către anumiți destinatari.

Servicii de actualizare Windows Server

Serverul WSUS oferă componentele de care au nevoie administratorii pentru a gestiona și distribui actualizări prin consola de management. În plus, serverul WSUS poate fi sursa de actualizări pentru alte servere WSUS din organizație. La implementarea WSUS, cel puțin un server WSUS din rețea trebuie să fie conectat la Microsoft Update pentru a primi informații despre actualizările disponibile. În funcție de securitatea și configurația rețelei, un administrator poate determina câte alte servere sunt conectate direct la Microsoft Update.

Buna ziua. Nu vă puteți înregistra propriul cont?
scrie pe PM - vk.com/watsonshit
- Înregistrăm conturi la comandă.
- Ajutăm cu etapele 1 și 2 ale UCP.
- Serviciu rapid si de calitate.
- Garanții, recenzii. Suntem responsabili pentru siguranță.
- Servere absolut diferite cu înregistrare UCP.
Proiect Coasta Pacificului - Proiect SW etc.

Nu ai găsit răspunsul la întrebarea ta? Scrie în comentarii și îți voi da răspunsul.

) Pentru ce este OOC chat?
- 1) Acesta este un chat care nu afectează jocul.

2) Ce se înțelege prin termenul de joc de rol?
- 2) Un joc de rol este un tip de joc în care trebuie să jucați rolul pe care l-am ales.

3) Dacă vreo situație nu este în favoarea dumneavoastră (crimă/tâlhărie). Actiunile tale?
- 2) Voi continua să joc orice ar fi.

2) Ai primit bani de la un trișor, ce vei face?
- 4) Voi informa administrația serverului, voi dezabona într-un subiect special și voi adăuga bani la /charity.

3) Ai dreptul de a ucide un polițist?
- 1) Desigur, pot ucide un polițist doar dacă am un motiv întemeiat.

1) Este permis să treacă de pe scaunul șoferului?
- 4) Nu, astfel de acțiuni sunt interzise de regulile serverului.

4) Sunt permise poreclele celebrităților și ale personajelor de film/serie/desene animate?
- 3) Nu, sunt interzise.

5) În timpul luptei, din punct de vedere tehnic, trei personaje au fost ucise, dar după un timp aceleași personaje își jucau deja rolurile din nou. Ce fel de crimă este asta?
- 2) Uciderea jucătorului.

7) Se trag in tine, dar tu nu vrei sa mori, si de aceea...
- 4) Vei încerca să scapi și să supraviețuiești prin jocuri de rol.

2) Aveți dreptul să utilizați Bunny-Hop?
- 3) Da, am dreptul să-l folosesc dacă nu interferez cu nimeni.

7) Ce vei face dacă ai o propunere de dezvoltare a serverului?
- 3) Voi scrie despre asta în secțiunea corespunzătoare de pe forum.

3) Este obligatorie să vă dezabonați acțiunile atunci când utilizați arme de dimensiuni mici?
- 4) Nu.

2) Ești pentru prima dată pe server și nu știi deloc comenzile, ce vei face?
- 3) Voi pune o întrebare administrației cu comanda /askq, apoi voi aștepta un răspuns.

3) Care este scopul comenzii /coin?
- sa rezolve toate situatiile disputabile

1) Ce este Metagaming?
- 2) Aceasta este utilizarea informațiilor non-rol atunci când acționați un rol.

6) Jucătorul, al cărui personaj a fost ucis din punct de vedere tehnic în timpul unui schimb de focuri, a decis să se răzbune pe infractori și a ucis unul dintre adversari fără niciun motiv de rol. Ce încălcări sunt aici din partea jucătorului?
- 3) Uciderea răzbunării.

10) Este permisă refacerea cantității de sănătate în timpul unei lupte / încăierare?
- 4) Nu.

8) Este permis să tragi asupra angajaților LSPD și cu ce este plin?
- 4) Da, o luptă obișnuită se termină cu PC pentru ambele părți. Dacă acesta este un dosar de caz sau un raid, poliției primesc PK, iar criminalilor SK.

6) Care este suma maximă pentru un jaf care nu necesită verificări administrative?
- 1) $500

9) Ce limbi pot fi folosite pe serverul nostru?
- 1) rusă.

7) După o pregătire lungă și atentă, ucigașul a îndeplinit ordinul - a ucis. Planul a fost calculat până la cel mai mic detaliu, drept urmare clientul a plătit cu generozitate. Care este sacrificiul în acest caz?
- 1) Uciderea personajelor.

9) Este permis furtul vehiculelor guvernamentale?
- 2) Da, dar trebuie mai întâi să întrebați administratorul, precum și să acționați în conformitate cu paragraful 9 din regulile jocului.

8) Când poți acționa violența sexuală și cruzimea?
- 2) Violența sexuală și cruzimea pot fi jucate numai cu acordul tuturor persoanelor implicate în RP.

10) Ce ar trebui să faci dacă crezi că jocul nu merge conform regulilor?
- 1) Scrieți la /report, dacă administratorul este absent - scrieți o reclamație pe forum.

7) Câte ore de joc ar trebui să aibă un jucător pentru a fi jefuit?
- 3) 8 ore.

8) Specificați utilizarea corectă a comenzii /coin. După:
- M-am oprit din respirație și am lovit mingea, încercând să o arunc în gaură.

8) Specificați utilizarea corectă a comenzii /me:
-/mi-am zâmbit larg, privind direct în ochii Lindei. Se apropie, apoi o îmbrățișă ușor.

VANZARE DE MONEDA VIRTUALĂ PE SERVERE DE PROIECTE DE COASTĂ PACIFICĂ ȘI GRINCH ROLE PLAY.
TOATE INFORMAȚII ÎN GRUP!
vk.com/virtongarant