Príkaz GPResult: diagnostika výsledných skupinových politík. Uveďte podrobný popis politiky servera

Keď inštalujete Windows, väčšina nepodstatných podsystémov nie je aktivovaná ani nainštalovaná. Deje sa tak z bezpečnostných dôvodov. Keďže systém je štandardne zabezpečený, správcov systému sa môže sústrediť na návrh systému, ktorý bude vykonávať iba funkcie, ktoré mu boli pridelené, a nič viac. Aby vám pomohol aktivovať požadované funkcie, systém Windows vás vyzve, aby ste vybrali rolu servera.

Roly

Rola servera je súbor programov, ktoré, ak sú správne nainštalované a nakonfigurované, umožňujú počítaču vykonávať špecifickú funkciu pre viacerých používateľov alebo iné počítače v sieti. Vo všeobecnosti majú všetky roly nasledujúce charakteristiky.

• Definujú hlavnú funkciu, účel alebo účel používania počítača. Počítač môžete určiť, aby hral jednu rolu, ktorá sa v podniku často používa, alebo aby hral viacero rolí, pričom každá rola sa používa len príležitostne.
• Roly poskytujú používateľom v celej organizácii prístup k prostriedkom, ktoré spravujú iné počítače, ako sú webové stránky, tlačiarne alebo súbory uložené na rôznych počítačoch.
• Zvyčajne majú svoje vlastné databázy, ktoré zaraďujú požiadavky používateľov alebo počítačov do frontu alebo zaznamenávajú informácie o používateľoch siete a počítačoch spojených s rolou. Napríklad Active Directory Domain Services obsahuje databázu na ukladanie mien a hierarchických vzťahov všetkých počítačov v sieti.
• Po správnej inštalácii a konfigurácii roly fungujú automaticky. To umožňuje počítačom, na ktorých sú nainštalované, vykonávať priradené úlohy s obmedzenou interakciou používateľa.

Služby rolí

Služby rolí sú programy, ktoré poskytujú funkčnosť role. Keď rolu nainštalujete, môžete si vybrať, ktoré služby poskytuje iným používateľom a počítačom v podniku. Niektoré roly, ako napríklad server DNS, vykonávajú iba jednu funkciu, takže pre ne neexistujú žiadne služby rolí. Ďalšie roly, ako napríklad Služby vzdialenej pracovnej plochy, majú niekoľko služieb, ktoré môžete nainštalovať na základe potrieb vzdialeného prístupu vášho podniku. Rolu možno považovať za súbor úzko súvisiacich, doplnkových služieb rolí. Vo väčšine prípadov inštalácia roly znamená inštaláciu jednej alebo viacerých jej služieb.

Komponenty

Komponenty sú programy, ktoré nie sú priamo súčasťou rolí, ale podporujú alebo rozširujú funkčnosť jednej alebo viacerých rolí alebo celého servera bez ohľadu na to, ktoré roly sú nainštalované. Napríklad Failover Cluster Tool rozširuje ďalšie roly, ako sú File Services a DHCP Server, tým, že im umožňuje pripojiť sa k serverovým klastrom, čo poskytuje zvýšenú redundanciu a výkon. Druhý komponent, Telnet klient, umožňuje vzdialenú komunikáciu s Telnet serverom cez sieťové pripojenie. Táto funkcia vylepšuje komunikačné možnosti pre server.

Kedy Windows Server beží v režime Server Core, sú podporované nasledujúce role servera:

• Active Directory Certificate Services;
• Active Directory Domain Services;
• DHCP server
• DNS server;
• súborové služby (vrátane správcu prostriedkov súborového servera);
• Active Directory Lightweight Directory Services;
• Hyper-V
• Tlačiarenské a dokumentačné služby;
• streamingové mediálne služby;
• webový server (vrátane podmnožiny ASP.NET);
• Windows Server Update Server;
• Server správy práv Active Directory;
• Server smerovania a vzdialeného prístupu a nasledujúce podriadené roly:
  • Sprostredkovateľ pripojenia vzdialenej pracovnej plochy;
  • udeľovanie licencií;
  • virtualizácie.

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce funkcie servera:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Služba inteligentného prenosu na pozadí (BITS);
• BitLocker Drive Encryption;
• Odomknutie siete BitLocker;
• BranchCache
• most dátového centra;
• Rozšírené úložisko;
• klastrovanie prepnutia pri zlyhaní;
• viaccestný I/O;
• vyrovnávanie zaťaženia siete;
• protokol PNRP;
• qWave;
• vzdialená diferenciálna kompresia;
• jednoduché služby TCP/IP;
• RPC cez HTTP proxy;
• SMTP server;
• služba SNMP;
• Telnet klient;
• telnet server;
• TFTP klient;
• vnútorná základňa Údaje systému Windows;
• Windows PowerShell Web Access;
• Služba aktivácie systému Windows;
• štandardizovaná správa úložiska Windows;
• rozšírenie IIS WinRM;
• server WINS;
• podpora WoW64.

Inštalácia serverových rolí pomocou Server Manager

Ak chcete pridať, otvorte Správcu servera a v ponuke Spravovať kliknite na položku Pridať roly a funkcie:

Otvorí sa Sprievodca pridaním rolí a funkcií. Kliknite na tlačidlo Ďalej

Typ inštalácie, vyberte inštaláciu na základe rolí alebo funkcií. Ďalšie:

Výber servera - vyberte si náš server. Kliknite na Ďalej Roly servera – V prípade potreby vyberte roly, vyberte služby rolí a kliknite na Ďalej, aby ste vybrali komponenty. Počas tohto postupu vás Sprievodca pridaním rolí a funkcií automaticky informuje o konfliktoch na cieľovom serveri, ktoré môžu brániť inštalácii alebo normálnej prevádzke vybratých rolí alebo funkcií. Zobrazí sa tiež výzva na pridanie rolí, služieb rolí a funkcií požadovaných vybratými rolami alebo funkciami.

Inštalácia rolí pomocou PowerShell

Otvorenie prostredia Windows PowerShell Zadaním príkazu Get-WindowsFeature zobrazíte zoznam dostupných a nainštalovaných rolí a funkcií na lokálnom serveri. Výstup tohto cmdlet obsahuje názvy príkazov pre roly a funkcie, ktoré sú nainštalované a dostupné na inštaláciu.

Ak chcete zobraziť syntax a platné parametre cmdlet Install-WindowsFeature (MAN), zadajte príkaz Get-Help Install-WindowsFeature.

Zadajte nasledujúci príkaz (-Reštart reštartuje server, ak si inštalácia roly vyžaduje reštart).

Install-WindowsFeature-Name-Restart

Popis rolí a služieb rolí

Všetky roly a služby rolí sú popísané nižšie. Pozrime sa na rozšírené nastavenia pre najbežnejšie v našom web prax Rola servera a služby vzdialenej pracovnej plochy

Podrobný popis IIS

• Spoločné funkcie HTTP – Základné komponenty HTTP
  • Predvolený dokument – ​​umožňuje vám nastaviť indexovú stránku lokality.
  • Prehľadávanie adresárov – umožňuje používateľom prezerať si obsah adresára na webovom serveri. Použite Prehľadávanie adresárov na automatické vygenerovanie zoznamu všetkých adresárov a súborov v adresári, keď používatelia nešpecifikujú súbor v adrese URL a indexová stránka je zakázaná alebo nie je nakonfigurovaná
  • Chyby HTTP – umožňuje vám prispôsobiť chybové hlásenia vracané klientom v prehliadači.
  • Statický obsah – umožňuje uverejňovať statický obsah, ako sú obrázky alebo html súbory.
  • Presmerovanie HTTP – Poskytuje podporu pre presmerovanie požiadaviek používateľov.
  • Publikovanie WebDAV vám umožňuje publikovať súbory z webového servera pomocou protokolu HTTP.
• Funkcie zdravia a diagnostiky – diagnostické komponenty
  • Protokolovanie HTTP poskytuje protokolovanie aktivity webovej stránky pre daný server.
  • Vlastné protokolovanie poskytuje podporu pre vytváranie vlastných protokolov, ktoré sa líšia od „tradičných“ protokolov.
  • Protokolovacie nástroje poskytujú rámec pre správu protokolov webového servera a automatizáciu bežných úloh protokolovania.
  • ODBC Logging poskytuje rámec, ktorý podporuje logovanie aktivity webového servera do databázy kompatibilnej s ODBC.
  • Request Monitor poskytuje rámec na monitorovanie stavu webových aplikácií zhromažďovaním informácií o HTTP požiadavkách v pracovnom procese IIS.
  • Sledovanie poskytuje rámec na diagnostiku a riešenie problémov webových aplikácií. Pomocou sledovania neúspešných požiadaviek môžete sledovať ťažko dostupné udalosti, ako je napríklad slabý výkon alebo zlyhania autentifikácie.
• Výkonové komponenty na zvýšenie výkonu webového servera.
  • Static Content Compression poskytuje rámec na konfiguráciu HTTP kompresie statického obsahu
  • Dynamická kompresia obsahu poskytuje rámec pre konfiguráciu HTTP kompresie dynamického obsahu.
• Bezpečnostné komponenty
  • Filtrovanie požiadaviek vám umožňuje zachytiť všetky prichádzajúce požiadavky a filtrovať ich na základe pravidiel stanovených správcom.
  • Basic Authentication umožňuje nastaviť dodatočnú autorizáciu
  • Centralizovaná podpora certifikátov SSL je funkcia, ktorá vám umožňuje ukladať certifikáty na centrálne miesto, napríklad zdieľanie súborov.
  • Autentifikácia mapovania klientských certifikátov používa klientske certifikáty na autentifikáciu používateľov.
  • Digest Authentication funguje tak, že sa do radiča domény Windows odosiela hash hesla na overenie používateľov. Ak potrebujete viac vysoký stupeň zabezpečenia v porovnaní so základnou autentifikáciou, zvážte použitie autentifikácie Digest
  • IIS Client Certificate Mapping Authentication používa klientske certifikáty na autentifikáciu používateľov. Klientsky certifikát je digitálny identifikátor získaný z dôveryhodného zdroja.
  • Obmedzenia IP a domén vám umožňujú povoliť/zamietnuť prístup na základe požadovanej adresy IP alebo názvu domény.
  • URL Authorization vám umožňuje vytvárať pravidlá, ktoré obmedzujú prístup k webovému obsahu.
  • Overovanie systému Windows Táto schéma overovania umožňuje správcom domény systému Windows využívať infraštruktúru domény na overovanie používateľov.
• Funkcie vývoja aplikácií
• FTP server
  • Služba FTP Umožňuje publikovanie cez FTP na webovom serveri.
  • Rozšíriteľnosť FTP Umožňuje podporu funkcií FTP, ktoré rozširujú funkčnosť
• Nástroje na správu
  • IIS Management Console nainštaluje IIS Manager, ktorý vám umožňuje spravovať webový server cez GUI
  • Kompatibilita správy IIS 6.0 poskytuje doprednú kompatibilitu pre aplikácie a skripty, ktoré používajú objekt Admin Base Object (ABO) a rozhranie ADSI (Address Directory Service Interface) Active Directory API. To umožňuje, aby webový server IIS 8.0 používal existujúce skripty IIS 6.0
  • Skripty a nástroje na správu IIS poskytujú infraštruktúru na riadenie webového servera IIS programovo pomocou príkazov v príkazový riadok alebo spustením skriptov.
  • Služba správy poskytuje infraštruktúru na prispôsobenie používateľského rozhrania, IIS Manager.

Podrobný popis RDS

• Sprostredkovateľ pripojenia vzdialenej pracovnej plochy – Poskytuje opätovné pripojenie klientskeho zariadenia k programom na základe relácií pracovnej plochy a virtuálnej pracovnej plochy.
• Brána vzdialenej pracovnej plochy – umožňuje oprávneným používateľom pripojiť sa k virtuálnym pracovným plochám, programom RemoteApp a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez internet.
• Licencovanie vzdialenej plochy – nástroj na správu licencií RDP
• Hostiteľ relácie vzdialenej pracovnej plochy – zahŕňa server na hosťovanie programov RemoteApp alebo relácie na pracovnej ploche.
• Hostiteľ virtualizácie vzdialenej plochy – umožňuje vám konfigurovať RDP na virtuálnych počítačoch
• Vzdialená plocha WebAccess – umožňuje používateľom pripojiť sa k zdrojom pracovnej plochy pomocou ponuky Štart alebo webového prehliadača.

Zvážte inštaláciu a konfiguráciu terminálového licenčného servera. Vyššie uvedené popisuje, ako nainštalovať roly, inštalácia RDS sa nelíši od inštalácie iných rolí, v Role Services musíme vybrať Remote Desktop Licensing a Remote Desktop Session Host. Po inštalácii sa v Server Manager-Tools objaví položka Terminálové služby. V diagnostike licencovania RD pre Terminálové služby sú dve položky, ide o nástroj na diagnostiku fungovania licencovania vzdialenej plochy a Správca licencií vzdialenej plochy, ide o nástroj na správu licencií.

Spustite nástroj Diagnostika licencií RD

Tu vidíme, že zatiaľ nie sú dostupné žiadne licencie, pretože pre server RD Session Host nie je nastavený licenčný režim. Licenčný server je špecifikovaný v politikách miestnej skupiny. Ak chcete spustiť editor, spustite príkaz gpedit.msc. Otvorí sa Editor miestnej politiky skupiny. V strome vľavo rozbaľte karty:

• Konfigurácia počítača
• Administratívne šablóny
• Komponenty systému Windows
• Služby vzdialenej pracovnej plochy
• Hostiteľ relácie vzdialenej pracovnej plochy
• "Licencia" (licencia)

Otvorte parametre Použiť zadané licenčné servery vzdialenej pracovnej plochy

V okne úpravy nastavení politiky povoľte licenčný server (Povolené). Ďalej musíte definovať licenčný server pre Služby vzdialenej pracovnej plochy. V mojom príklade je licenčný server umiestnený na tom istom fyzický server. Zadajte názov siete alebo IP adresu licenčného servera a kliknite na OK. Ak sa názov servera, licenčný server v budúcnosti zmení, budete ho musieť zmeniť v rovnakej sekcii.

Potom v nástroji Diagnostika licencií RD uvidíte, že terminálový licenčný server je nakonfigurovaný, ale nie je povolený. Ak to chcete povoliť, spustite Správcu licencií vzdialenej pracovnej plochy

Vyberte licenčný server so stavom Neaktivovaný . Ak chcete aktivovať, kliknite naň pravým tlačidlom myši a vyberte položku Aktivovať server. Spustí sa Sprievodca aktiváciou servera. Na karte Spôsob pripojenia vyberte položku Automatické pripojenie. Ďalej vyplňte informácie o organizácii, potom sa aktivuje licenčný server.

Certifikačné služby Active Directory

AD CS poskytuje konfigurovateľné služby na vydávanie a správu digitálnych certifikátov, ktoré sa používajú v systémoch zabezpečenia softvéru, ktoré využívajú technológie verejného kľúča. Digitálne certifikáty poskytované službou AD CS možno použiť na šifrovanie a digitálne podpisovanie elektronické dokumenty a správy.Tieto digitálnych certifikátov možno použiť na overenie účtov počítačov, používateľov a zariadení v sieti. Digitálne certifikáty sa používajú na poskytovanie:

• súkromie prostredníctvom šifrovania;
• integrita prostredníctvom digitálnych podpisov;
• autentifikácia prepojením kľúčov certifikátov s počítačovými, používateľskými a zariadeniami v sieti.

AD CS možno použiť na zlepšenie zabezpečenia priradením identity používateľa, zariadenia alebo služby k príslušnej identite súkromný kľúč. Aplikácie podporované AD CS zahŕňajú Secure Multipurpose Internet Mail Standard Extensions (S/MIME), zabezpečené bezdrôtové siete, virtuálne privátne siete (VPN), IPsec, Encrypting File System (EFS), prihlasovanie pomocou čipových kariet, protokol zabezpečenia a transportnej vrstvy (SSL /TLS) a digitálnych podpisov.

Active Directory Domain Services

Pomocou role servera Active Directory Domain Services (AD DS) môžete vytvoriť škálovateľnú, zabezpečenú a spravovateľnú infraštruktúru na správu používateľov a zdrojov; Môžete tiež poskytnúť aplikácie s podporou adresárov, ako napríklad Microsoft Exchange Server. Active Directory Domain Services poskytuje distribuovanú databázu, ktorá ukladá informácie o sieťové zdroje a dáta aplikácií s povoleným adresárom a spravovať tieto informácie. Server, na ktorom je spustená služba AD DS, sa nazýva radič domény. Správcovia môžu použiť službu AD DS na usporiadanie sieťových prvkov, ako sú používatelia, počítače a ďalšie zariadenia, do hierarchickej vnorenej štruktúry. Hierarchická vnorená štruktúra zahŕňa doménu Active Directory, domény v doméne a organizačné jednotky v každej doméne. Funkcie zabezpečenia sú integrované do AD DS vo forme autentifikácie a riadenia prístupu k prostriedkom v adresári. Pomocou jediného prihlásenia môžu správcovia spravovať informácie o adresároch a organizáciu cez sieť. Autorizovaní používatelia siete môžu tiež použiť jednotné prihlásenie do siete na prístup k zdrojom umiestneným kdekoľvek v sieti. Active Directory Domain Services poskytuje nasledujúce dodatočné funkcie.

• Sada pravidiel je schéma, ktorá definuje triedy objektov a atribútov, ktoré sú obsiahnuté v adresári, obmedzenia a limity pre inštancie týchto objektov a formát ich názvov.
• Globálny katalóg obsahujúci informácie o každom objekte v katalógu. Používatelia a správcovia môžu použiť globálny katalóg na vyhľadávanie údajov katalógu bez ohľadu na to, ktorá doména v katalógu skutočne obsahuje hľadané údaje.
• Mechanizmus dotazov a indexovania, prostredníctvom ktorého možno publikovať a lokalizovať objekty a ich vlastnosti užívateľov siete a aplikácie.
• Replikačná služba, ktorá distribuuje údaje adresára cez sieť. Všetky radiče domény s možnosťou zápisu v doméne sa zúčastňujú replikácie a obsahujú úplnú kópiu všetkých údajov adresára pre svoju doménu. Akékoľvek zmeny údajov adresára sa replikujú v doméne na všetky radiče domény.
• Roly hlavného operačného servera (známe aj ako flexibilné samostatné hlavné operácie alebo FSMO). Radiče domény, ktoré pôsobia ako hlavní operatívy, sú navrhnuté tak, aby vykonávali špeciálne úlohy, aby zabezpečili konzistentnosť údajov a zabránili konfliktným položkám adresára.

Active Directory Federation Services

Služba AD FS poskytuje koncovým používateľom, ktorí potrebujú prístup k aplikáciám v podnikoch zabezpečených službou AD FS, partnerských federáciách alebo v cloude, pomocou zjednodušenej a bezpečnej federácie identity a webových služieb jednotného prihlásenia (SSO). Windows Server AD FS obsahuje rolu služba Federation Service vystupujúca ako poskytovateľ identity (overuje používateľov, aby poskytli bezpečnostné tokeny aplikáciám, ktoré dôverujú AD FS) alebo ako poskytovateľ federácie (aplikuje tokeny od iných poskytovateľov identity a potom poskytuje bezpečnostné tokeny aplikáciám, ktoré dôverujú AD FS).

Odľahčené adresárové služby Active Directory

Active Directory Lightweight Directory Services (AD LDS) je protokol LDAP, ktorý poskytuje flexibilnú podporu pre adresárové aplikácie bez závislostí a obmedzení špecifických pre doménu Active Directory Domain Services. AD LDS možno spustiť na členských alebo samostatných serveroch. Na rovnakom serveri môžete spustiť viacero inštancií služby AD LDS s nezávisle spravovanými schémami. S rolou služby AD LDS môžete poskytovať adresárové služby aplikáciám s povolenými adresármi bez použitia údajov domény a lesných služieb a bez potreby jedinej schémy pre celý les.

Active Directory Rights Management Services

AD RMS môžete použiť na rozšírenie bezpečnostnej stratégie vašej organizácie zabezpečením dokumentov pomocou Information Rights Management (IRM). Služba AD RMS umožňuje používateľom a správcom prideľovať prístupové povolenia dokumentom, zošitom a prezentáciám pomocou zásad IRM. To vám umožňuje chrániť dôverné informácie pred tlačou, preposielaním alebo kopírovaním neoprávnenými používateľmi. Keď sú povolenia súboru obmedzené pomocou IRM, obmedzenia prístupu a používania platia bez ohľadu na umiestnenie informácií, pretože povolenie súboru je uložené v samotnom súbore dokumentu. S AD RMS a IRM môžu jednotliví používatelia uplatniť svoje vlastné preferencie týkajúce sa prenosu osobných a dôverných informácií. Pomôžu tiež organizácii presadzovať podnikové zásady na kontrolu používania a distribúcie citlivých a osobných informácií. Riešenia IRM podporované službou AD RMS sa používajú na poskytovanie nasledujúcich možností.

• Trvalé zásady používania, ktoré zostávajú s informáciami bez ohľadu na to, či sú presunuté, odoslané alebo preposielané.
• Ďalšia vrstva ochrany osobných údajov na ochranu citlivých údajov – ako sú správy, špecifikácie produktov, informácie o zákazníkoch a e-mailové správy – pred úmyselným alebo náhodným pádom do nesprávnych rúk.
• Zabráňte neoprávnenému odosielaniu, kopírovaniu, úpravám, tlači, faxovaniu alebo prilepovaniu obmedzeného obsahu oprávnenými príjemcami.
• Zabránenie kopírovaniu obmedzeného obsahu pomocou funkcie PRINT SCREEN v Microsoft Windows.
• Podpora uplynutia platnosti súboru, ktorá bráni prezeraniu obsahu dokumentu po určitom čase.
• Implementujte podnikové zásady, ktoré riadia používanie a distribúciu obsahu v rámci organizácie

Aplikačný server

Application Server poskytuje integrované prostredie na nasadenie a spustenie vlastných podnikových aplikácií založených na serveri.

DHCP server

DHCP je technológia klient-server, ktorá umožňuje serverom DHCP prideľovať alebo prenajímať adresy IP počítačom a iným zariadeniam, ktoré sú klientmi DHCP. Nasadenie serverov DHCP v sieti automaticky poskytuje klientskym počítačom a iným sieťovým zariadeniam na základe platných IP adries IPv4 a IPv6 a dodatočné konfiguračné nastavenia vyžadované týmito klientmi a zariadeniami Služba DHCP Server v systéme Windows Server zahŕňa podporu pre priradenia založené na politike a DHCP núdzové prepnutie.

DNS server

Služba DNS je hierarchická distribuovaná databáza obsahujúca mapovanie názvov domén DNS na rôzne typy údajov, ako sú adresy IP. Služba DNS vám umožňuje používať priateľské názvy, ako napríklad www.microsoft.com, aby ste pomohli lokalizovať počítače a iné zdroje v sieťach založených na TCP/IP. Služba DNS v systéme Windows Server poskytuje ďalšiu vylepšenú podporu pre moduly zabezpečenia DNS (DNSSEC), vrátane sieťovej registrácie a automatizovanej správy nastavení.

FAX server

Faxový server odosiela a prijíma faxy a umožňuje vám spravovať faxové zdroje, ako sú úlohy, nastavenia, správy a faxové zariadenia na vašom faxovom serveri.

Súborové a úložné služby

Správcovia môžu použiť rolu Súborové a úložné služby na nastavenie viacerých súborových serverov a ich úložísk a na správu týchto serverov pomocou Server Manager alebo Windows PowerShell. Niektoré špecifické aplikácie obsahujú nasledujúce funkcie.

• pracovné priečinky. Používa sa na umožnenie používateľom ukladať pracovné súbory a pristupovať k nim osobné počítače a iné zariadenia ako firemné PC. Používatelia získajú pohodlné miesto na ukladanie pracovných súborov a prístup k nim odkiaľkoľvek. Organizácie kontrolujú podnikové údaje ukladaním súborov na centrálne spravované súborové servery a voliteľným nastavením pravidiel pre používateľské zariadenia (ako je šifrovanie a heslá na uzamknutie obrazovky).
• Deduplikácia údajov. Používa sa na zníženie požiadaviek na miesto na disku na ukladanie súborov, čím šetríte peniaze na úložisku.
• cieľový server iSCSI. Používa sa na vytváranie centralizovaných diskových podsystémov iSCSI nezávislých od softvéru a zariadení v sieťach SAN (Storage Area Network).
• Priestory na disku. Používa sa na nasadenie úložiska, ktoré je vysoko dostupné, odolné voči chybám a škálovateľné s cenovo výhodnými jednotkami štandardného v odvetví.
• Správca servera. Použiť pre diaľkové ovládanie viac súborových serverov z jedného okna.
• Windows PowerShell. Používa sa na automatizáciu správy väčšiny úloh správy súborového servera.

Hyper-V

Rola Hyper-V vám umožňuje vytvárať a spravovať virtualizované výpočtové prostredie pomocou virtualizačnej technológie zabudovanej do systému Windows Server. Inštalácia roly Hyper-V nainštaluje predpoklady a voliteľné nástroje na správu. Medzi predpoklady patrí hypervízor Windows, služba správy virtuálnych strojov Hyper-V, poskytovateľ virtualizácie WMI a komponenty virtualizácie, ako sú VMbus, poskytovateľ virtualizačných služieb (VSP) a ovládač virtuálnej infraštruktúry (VID).

Sieťová politika a prístupové služby

Služby sieťovej politiky a prístupu poskytujú nasledujúce riešenia sieťového pripojenia:

• Network Access Protection je technológia na vytváranie, presadzovanie a nápravu zásad zdravia klienta. Pomocou Network Access Protection môžu správcovia systému nastaviť a automaticky presadzovať zdravotné politiky, ktoré zahŕňajú požiadavky na softvér, bezpečnostné aktualizácie a ďalšie nastavenia. Pre klientske počítače, ktoré nie sú v súlade s politikou zdravia, môžete obmedziť prístup k sieti, kým sa ich konfigurácia neaktualizuje tak, aby vyhovovala požiadavkám politiky.
• Ak sú nasadené bezdrôtové prístupové body s podporou 802.1X, môžete použiť server NPS (Network Policy Server) na nasadenie metód autentifikácie na základe certifikátu, ktoré sú bezpečnejšie ako autentifikácia založená na hesle. Nasadenie hardvéru s podporou 802.1X so serverom NPS umožňuje overenie používateľov intranetu pred pripojením k sieti alebo získaním adresy IP zo servera DHCP.
• Namiesto konfigurácie politiky sieťového prístupu na každom serveri sieťového prístupu môžete centrálne vytvoriť všetky politiky, ktoré budú definovať všetky aspekty požiadaviek na sieťové pripojenie (kto sa môže pripojiť, keď je pripojenie povolené, úroveň zabezpečenia, ktorá sa musí použiť na pripojenie k sieť).

Služby tlače a dokumentov

Služby tlače a dokumentov vám umožňujú centralizovať úlohy tlačového servera a sieťovej tlačiarne. Táto rola vám tiež umožňuje prijímať naskenované dokumenty zo sieťových skenerov a odosielať dokumenty do sieťových zdieľaných priečinkov – lokality Windows SharePoint Services alebo e-mail.

vzdialený prístup

Rola Server vzdialeného prístupu je logickým zoskupením nasledujúcich technológií sieťového prístupu.

• Priamy prístup
• Smerovanie a vzdialený prístup
• Proxy webovej aplikácie

Tieto technológie sú služby rolí rola servera vzdialeného prístupu. Keď nainštalujete rolu Server vzdialeného prístupu, môžete nainštalovať jednu alebo viacero služieb rolí spustením Sprievodcu pridaním rolí a funkcií.

V systéme Windows Server poskytuje rola Remote Access Server možnosť centrálne spravovať, konfigurovať a monitorovať DirectAccess a VPN so službami vzdialeného prístupu Routing and Remote Access Service (RRAS). DirectAccess a RRAS možno nasadiť na rovnaký server Edge a spravovať pomocou príkazov prostredia Windows PowerShell a konzoly na správu vzdialeného prístupu (MMC).

Služby vzdialenej pracovnej plochy

Služba Remote Desktop Services urýchľuje a rozširuje nasadenie desktopov a aplikácií na akomkoľvek zariadení, vďaka čomu je vzdialený pracovník efektívnejší a zároveň zabezpečuje dôležité duševné vlastníctvo a zjednodušuje dodržiavanie predpisov. Služby vzdialenej pracovnej plochy zahŕňajú infraštruktúru virtuálnej pracovnej plochy (VDI), pracovné plochy založené na reláciách a aplikácie, ktoré používateľom umožňujú pracovať odkiaľkoľvek.

Služby aktivácie objemu

Volume License Activation Services je rola servera v systéme Windows Server počnúc systémom Windows Server 2012, ktorá automatizuje a zjednodušuje vydávanie hromadných licencií pre softvér Microsoft, ako aj správu takýchto licencií v rôznych scenároch a prostrediach. Spolu so službami aktivácie hromadných licencií môžete nainštalovať a nakonfigurovať službu správy kľúčov (KMS) a aktiváciu služby Active Directory.

webový server (IIS)

Rola webového servera (IIS) v systéme Windows Server poskytuje platformu na hosťovanie webových lokalít, služieb a aplikácií. Používanie webového servera poskytuje používateľom prístup k informáciám na internete, intranete a extranete. Správcovia môžu použiť rolu webového servera (IIS) na nastavenie a správu viacerých webových lokalít, webových aplikácií a lokalít FTP. Medzi špeciálne funkcie patria nasledujúce.

• Na konfiguráciu súčastí IIS a správu webových lokalít použite nástroj Internet Information Services (IIS) Manager.
• Používanie protokolu FTP na umožnenie vlastníkom webových stránok nahrávať a sťahovať súbory.
• Použitie izolácie webových stránok na zabránenie tomu, aby jedna webová lokalita na serveri ovplyvňovala ostatné.
• Prispôsobenie webových aplikácií vyvinutých pomocou rôznych technológií ako Classic ASP, ASP.NET a PHP.
• Pomocou prostredia Windows PowerShell môžete automaticky spravovať väčšinu úloh správy webového servera.
• Konsolidujte viacero webových serverov do serverovej farmy, ktorú možno spravovať pomocou IIS.

Služby nasadenia systému Windows

Windows Deployment Services vám umožňuje nasadiť operačné systémy Windows cez sieť, čo znamená, že nemusíte inštalovať každý operačný systém priamo z disku CD alebo DVD.

Windows Server Essentials Experience

Táto rola vám umožňuje vykonávať nasledujúce úlohy:

• chrániť údaje servera a klienta zálohovaním servera a všetkých klientskych počítačov v sieti;
• spravovať používateľov a skupiny používateľov prostredníctvom zjednodušeného ovládacieho panela servera. Okrem toho integrácia s Windows Azure Active Directory* poskytuje používateľom jednoduchý prístup k online službám Microsoft Online Services (ako sú Office 365, Exchange Online a SharePoint Online) pomocou ich doménových poverení;
• uchovávať firemné údaje na centralizovanom mieste;
• integrovať server so službami Microsoft Online Services (ako sú Office 365, Exchange Online, SharePoint Online a Windows Intune):
• používať funkcie všadeprítomného prístupu na serveri (napríklad vzdialený webový prístup a virtuálne súkromné ​​siete) na prístup k serveru, počítačom v sieti a údajom zo vzdialených miest z vysoký stupeň bezpečnosť;
• pristupovať k údajom odkiaľkoľvek a z akéhokoľvek zariadenia pomocou vlastného webového portálu organizácie (prostredníctvom vzdialeného webového prístupu);
• zariadiť mobilné zariadenia Tie, ktoré pristupujú k e-mailu vašej organizácie s Office 365 pomocou protokolu Active Sync z hlavného panela.
• monitorovať stav siete a prijímať prispôsobiteľné správy o stave; správy môžu byť generované na požiadanie, prispôsobené a odoslané e-mailom konkrétnym príjemcom.

Windows Server Update Services

Server WSUS poskytuje súčasti, ktoré správcovia potrebujú na správu a distribúciu aktualizácií prostredníctvom riadiacej konzoly. Server WSUS môže byť navyše zdrojom aktualizácií pre iné servery WSUS v organizácii. Pri implementácii WSUS musí byť aspoň jeden server WSUS v sieti pripojený k službe Microsoft Update, aby ste mohli dostávať informácie o dostupných aktualizáciách. V závislosti od zabezpečenia a konfigurácie siete môže správca určiť, koľko ďalších serverov je priamo pripojených k službe Microsoft Update.

Úvod

S nárastom počtu počítačov v podniku sa otázka nákladov na jeho správu a údržbu stáva čoraz naliehavejšou. Manuálne nastavenie počítačov vyžaduje veľa času od personálu a síl, s nárastom počtu počítačov, zvýšiť počet svojich zamestnancov. Okrem toho s veľkým počtom strojov je čoraz ťažšie monitorovať dodržiavanie noriem prijatých podnikom. Skupinová politika (Group Policy) je komplexný nástroj na centralizovanú správu počítačov so systémom Windows 2000 a vyšším v doméne Active Directory. Skupinové politiky sa nevzťahujú na počítače so systémom Windows NT4/9x: riadia ich systémová politika, o ktorej sa v tomto článku nehovorí.

GPO

Všetky nastavenia, ktoré vytvoríte v rámci skupinovej politiky, budú uložené v objektoch skupinovej politiky (GPO). GPO sú dva typy: lokálne GPO a Active Directory GPO. Lokálny GPO je dostupný na počítačoch so systémom Windows 2000 a novším. Môže byť len jeden a je to jediný GPO, ktorý môže byť na nedoménovom počítači.

GPO je všeobecný názov pre množinu súborov, adresárov a položiek v databáze Active Directory (ak nejde o lokálny objekt), v ktorých sú uložené vaše nastavenia a ktoré určujú, aké ďalšie nastavenia môžete zmeniť pomocou skupinových politík. Vytvorením politiky v skutočnosti vytvárate a upravujete GPO. Miestny GPO je uložený v %SystemRoot%\System32\GroupPolicy. Objekty GPO služby Active Directory sú uložené na radiči domény a môžu byť priradené k lokalite, doméne alebo OU (organizačná jednotka, organizačná jednotka alebo organizačná jednotka). Väzba objektu definuje jeho rozsah. V predvolenom nastavení sa v doméne vytvoria dva objekty GPO: Predvolená politika domény a Predvolená politika radiča domény. Prvý definuje predvolenú politiku pre heslá a účty v doméne. Druhý komunikuje s OU Domain Controllers a zvyšuje nastavenia zabezpečenia pre doménové radiče.

Vytvorte GPO

Ak chcete vytvoriť politiku (teda v skutočnosti vytvoriť nový objekt GPO), otvorte Active Directory Users & Computers a vyberte, kde chcete vytvoriť nový objekt. Môžete vytvoriť a prepojiť iba objekt GPO s lokalitou, doménou alebo objektom OU.

Ryža. 1. Vytvorte GPO.

Ak chcete vytvoriť objekt GPO a prepojiť ho napríklad s testermi OU, kliknite pravým tlačidlom myši na túto OU a z kontextovej ponuky vyberte vlastnosti. V okne vlastností, ktoré sa otvorí, otvorte kartu Zásady skupiny a kliknite na položku Nové.

Ryža. 2. Vytvorte GPO.

Dáme názov objektu GP, po ktorom sa vytvorí objekt a môžete začať konfigurovať politiku. Dvakrát kliknite na vytvorený objekt alebo stlačte tlačidlo Upraviť, otvorí sa okno editora GPO, kde môžete konfigurovať konkrétne parametre objektu.

Ryža. 3. Popis nastavení na karte Rozšírené.

Väčšina hlavných nastavení je intuitívna (majú aj popis, ak otvoríte kartu Rozšírené) a nebudeme sa podrobne venovať každému. Ako je možné vidieť na obr. 3, GPO pozostáva z dvoch častí: Konfigurácia počítača a Konfigurácia používateľa. Nastavenia v prvej časti sa použijú pri spustení systému Windows na počítače v tomto kontajneri a nižšie (pokiaľ nie je prepísané dedičstvo) a sú nezávislé od toho, ktorý používateľ je prihlásený. Nastavenia druhej sekcie sa použijú počas prihlásenia používateľa.

Poradie použitia GPO

Po spustení počítača sa vykonajú nasledujúce akcie:

1. Načíta sa register a určí sa, ku ktorej stránke počítač patrí. Je podaná žiadosť DNS server za účelom získania IP adries doménových radičov umiestnených na tejto stránke.
2. Po prijatí adries sa počítač pripojí k radiču domény.
3. Klient si vyžiada zoznam objektov GP od radiča domény a aplikuje ich. Ten odošle zoznam objektov GP v poradí, v akom sa majú aplikovať.
4. Keď sa používateľ prihlási, počítač si opäť vyžiada zoznam objektov GP, ktoré sa majú používateľovi použiť, načíta ich a aplikuje.

Skupinové politiky sa aplikujú pri spustení OC a pri prihlásení používateľa. Potom sa aplikujú každých 90 minút s 30-minútovou variáciou, aby sa predišlo preťaženiu radiča domény, ak súčasne požaduje veľký počet klientov. V prípade radičov domény je interval aktualizácie 5 minút. Toto správanie môžete zmeniť v časti Konfigurácia počítača\Šablóny pre správu\Systém\Zásady skupiny. GPO môže pôsobiť iba na objekty Počítač a Používateľ. Politika sa vzťahuje iba na objekty nachádzajúce sa v objekte adresára (lokality, doméne, organizačnej jednotke), ku ktorému je objekt GPO priradený, a ďalej v strome (pokiaľ nie je dedenie zakázané). Napríklad: GPO sa vytvorí v testeroch OU (ako sme to urobili vyššie).

Ryža. 4. Dedičnosť nastavení.

Všetky nastavenia vykonané v tomto GPO ovplyvnia iba používateľov a počítače umiestnené v testeroch OU a InTesters OU. Pozrime sa na príklade uplatňovania zásad. Používateľský test, ktorý sa nachádza v testeroch OU, sa prihlási do počítačovej zostavy umiestnenej v kompOU OU (pozri obrázok 5).

Ryža. 5. Poradie uplatňovania politík.

V doméne sú štyri GPO:

1. SitePolicy spojené s kontajnerom lokality;
2. Predvolená politika domény spojená s kontajnerom domény;
3. Zásady1 spojené s testermi OU;
4. Zásady2 spojené s OU compOU.

Pri zavádzaní systému Windows na počítačovej pracovnej stanici sa nastavenia definované v časti Konfigurácia počítača použijú v tomto poradí:

1. Lokálne nastavenia GPO;
2. Nastavenia GPO SitePolicy;

4. Nastavenia GPO Policy2.

Keď sa testovací používateľ prihlási na počítač comp, parametre definované v sekciách User Configuration sú:

1. Lokálne nastavenia GPO;
2. Nastavenia GPO SitePolicy;
3. Predvolené nastavenia zásad domény GPO;
4. Nastavenia GPO Policy1.

To znamená, že GPO sa aplikujú v tomto poradí: lokálne zásady, zásady na úrovni lokality, zásady na úrovni domény, zásady na úrovni OU.

Skupinové politiky sa aplikujú asynchrónne na klientov Windows XP a synchrónne na klientov Windows 2000, čo znamená, že prihlasovacia obrazovka používateľa sa zobrazí až po použití všetkých zásad počítača a používateľské zásady sa aplikujú pred zobrazením pracovnej plochy. Asynchrónne presadzovanie zásad znamená, že prihlasovacia obrazovka používateľa sa zobrazí skôr, ako sa použijú všetky zásady počítača, a pracovná plocha sa zobrazí skôr, ako sa použijú všetky zásady používateľa, čo vedie k rýchlejšiemu načítaniu používateľa a prihláseniu.
Vyššie opísané správanie sa mení v dvoch prípadoch. Najprv klientsky počítač zistil pomalé sieťové pripojenie. Štandardne sa v tomto prípade použijú iba nastavenia zabezpečenia a šablóny správy. Spojenie so šírkou pásma menšou ako 500 Kb/s sa považuje za pomalé. Túto hodnotu môžete zmeniť v časti Konfigurácia počítača\Šablóny pre správu\Systém\Zásady skupiny\Zásady skupiny Detekcia pomalého pripojenia. V časti Konfigurácia počítača\Šablóny pre správu\Systém\Zásady skupiny môžete nakonfigurovať niektoré ďalšie nastavenia politiky tak, aby sa spracovávali aj pri pomalom pripojení. Druhým spôsobom, ako zmeniť poradie, v ktorom sa aplikujú politiky, je možnosť spracovania spätnej slučky politiky skupiny používateľov. Táto možnosť zmení poradie, v ktorom sa aplikujú predvolené politiky, pričom používateľské politiky sa aplikujú až po počítačových politikách a prepíšu posledné. Môžete nastaviť možnosť spätnej slučky tak, aby aplikovala počítačové politiky po používateľských politikách a prepísala všetky používateľské politiky, ktoré sú v rozpore s počítačovými politikami. Parameter spätnej slučky má 2 režimy:

1. Zlúčiť (na pripojenie) - najprv sa použije politika počítača, potom používateľa a znova počítač. V tomto prípade počítačová politika nahrádza nastavenia užívateľskej politiky, ktoré jej odporujú, svojimi vlastnými.
2. Nahradiť (nahradiť) – používateľská politika sa nespracuje.

Na ilustráciu použitia možnosti spracovania spätnej slučky politiky skupiny používateľov napríklad na verejnom počítači, na ktorom musíte mať rovnaké obmedzené nastavenia bez ohľadu na to, ktorý používateľ ho používa.

Prednosť, dedičnosť a riešenie konfliktov

Ako ste si už všimli, na všetkých úrovniach GPO obsahujú rovnaké nastavenia a rovnaké nastavenie je možné definovať na niekoľkých úrovniach rôznymi spôsobmi. V tomto prípade bude poslednou použitou hodnotou efektívna hodnota (poradie, v ktorom sa GPO aplikujú, bolo diskutované vyššie). Toto pravidlo platí pre všetky nastavenia okrem tých, ktoré sú definované ako nenakonfigurované. Pri týchto nastaveniach systém Windows nevykonáva žiadnu akciu. Existuje však jedna výnimka: všetky nastavenia účtu a hesla možno definovať iba na úrovni domény, na iných úrovniach budú tieto nastavenia ignorované.

Ryža. 6. Používatelia a počítače služby Active Directory.

Ak je na rovnakej úrovni viacero objektov GPO, použijú sa zdola nahor. Zmenou pozície objektu politiky v zozname (pomocou tlačidiel Hore a Dole) môžete vybrať požadované poradie aplikácie.

Ryža. 7. Poradie uplatňovania politík.

Niekedy chcete, aby konkrétna OU neprijímala nastavenia politiky z GPO priradených k upstream kontajnerom. V takom prípade musíte zakázať dedenie politiky začiarknutím políčka Blokovať dedičstvo politiky. Všetky zdedené nastavenia politiky sú zablokované a neexistuje spôsob, ako zablokovať jednotlivé nastavenia. Nastavenia na úrovni domény, ktoré definujú politiku hesiel a politiku účtov, nemožno uzamknúť.

Ryža. 9. Blokovanie dedenia politiky.

Ak chcete, aby sa určité nastavenia v danom objekte GPO neprepísali, vyberte požadovaný objekt GPO, stlačte tlačidlo Možnosti a vyberte možnosť Bez prepísania. Táto možnosť vynúti použitie nastavení GPO tam, kde je zablokované dedenie politiky. Žiadne prepísanie nie je nastavené na mieste, kde je objekt GPO priradený k objektu adresára, nie v samotnom objekte GPO. Ak je objekt GPO prepojený s viacerými kontajnermi v doméne, toto nastavenie nebude automaticky nakonfigurované pre ostatné prepojenia. Ak je nastavenie Bez prepísania nakonfigurované pre viacero prepojení na rovnakej úrovni, budú mať prednosť (a budú účinné) nastavenia objektu GPO v hornej časti zoznamu. Ak sú nastavenia bez prepísania nakonfigurované pre viaceré objekty GPO na rôznych úrovniach, prejavia sa nastavenia GPO vyššie v hierarchii adresárov. To znamená, že ak sú nastavenia Žiadne prepísanie nakonfigurované na prepojenie objektu GPO s objektom domény a na prepojenie s objektom GPO s organizačnou jednotkou, nadobudnú účinnosť nastavenia definované na úrovni domény. Začiarkavacie políčko Vypnuté ruší účinok tohto GPO na tento kontajner.

Ryža. 10. Možnosti No Override a Disabled.

Ako bolo uvedené vyššie, zásady ovplyvňujú iba používateľov a počítače. Často vyvstáva otázka: „ako dosiahnuť, aby určitá politika ovplyvnila všetkých používateľov patriacich do určitej bezpečnostnej skupiny?“. Na tento účel je objekt GPO naviazaný na objekt domény (alebo akýkoľvek kontajner umiestnený nad kontajnermi alebo OU, v ktorých sa nachádzajú všetky používateľské objekty z požadovanej skupiny) a sú nakonfigurované nastavenia prístupu. Kliknite na Vlastnosti, na karte Zabezpečenie odstráňte skupinu Authenticated Users a pridajte požadovanú skupinu s právami Čítať a používať skupinovú politiku.

Určenie nastavení, ktoré ovplyvňujú počítač používateľa

Ak chcete určiť konečnú konfiguráciu a identifikovať problémy, budete potrebovať vedieť, ktoré nastavenia politiky ovplyvňujú daného používateľa alebo počítač tento moment. Na to slúži nástroj Resultant Set of Policy (výsledná sada politík, RSoP). RSoP môže fungovať v režime registrácie aj v režime plánovania. Ak chcete vyvolať RSoP, kliknite pravým tlačidlom myši na objekt používateľa alebo počítača a vyberte položku Všetky úlohy.

Ryža. 11. Vyvolanie nástroja Výsledný súbor zásad.

Po spustení (v režime protokolovania) budete vyzvaní, aby ste vybrali, pre ktorý počítač a používateľa chcete definovať sadu výsledkov, a zobrazí sa okno s nastaveniami výsledkov, ktoré ukazuje, ktorý objekt GPO použil ktoré nastavenie.

Ryža. 12. Výsledný súbor zásad.

Ďalšie nástroje na správu zásad skupiny

GPResult je nástroj príkazového riadka, ktorý poskytuje niektoré funkcie RSoP. GPResult je predvolene k dispozícii na všetkých počítačoch so systémom Windows XP a Windows Server 2003.

GPUpdate vynúti uplatňovanie skupinových zásad – lokálnych aj založených na Active Directory. Vo Windows XP/2003 nahradila možnosť /refreshpolicy v nástroji secedit pre Windows 2000.

Opis syntaxe príkazu je dostupný, keď ho spustíte pomocou klávesu /?.

Namiesto záveru

Tento článok si nekladie za cieľ vysvetliť všetky aspekty práce so skupinovými politikami, nie je určený skúseným správcom systému. Všetko spomenuté by podľa mňa malo len ako-tak pomôcť pochopiť základné princípy práce s politikmi tým, ktorí s nimi nikdy nepracovali, alebo si ich len začínajú osvojovať.

Pomôcka GPResult.exe– je konzolová aplikácia určená na analýzu nastavení a diagnostiku skupinových politík, ktoré sú aplikované na počítač a/alebo používateľa v doméne Active Directory. GPResult umožňuje získať najmä údaje výslednej sady politík (Resultant Set of Policy, RSOP), zoznam aplikovaných doménových politík (GPO), ich nastavenia a podrobné informácie o ich chybách spracovania. Pomôcka je súčasťou operačného systému Windows už od čias Windows XP. Pomôcka GPResult vám umožňuje odpovedať na otázky, ako napríklad, či sa konkrétna politika vzťahuje na počítač, ktorý GPO zmenil konkrétne nastavenie systému Windows, a zistiť dôvody.

V tomto článku sa pozrieme na funkcie použitia príkazu GPResult na diagnostiku a ladenie aplikácie skupinových politík v doméne Active Directory.

Spočiatku sa na diagnostiku aplikácie skupinových politík vo Windows používala grafická konzola RSOP.msc, ktorá umožňovala získať nastavenia výsledných politík (doména + lokálna) aplikovaných na počítač a používateľa v grafickej podobe podobnej do konzoly editora GPO (nižšie na príklade zobrazenia konzoly RSOP.msc vidíte, že nastavenia aktualizácie sú nastavené).

Konzolu RSOP.msc v moderných verziách systému Windows však nie je praktické používať, pretože neodráža nastavenia aplikované rôznymi rozšíreniami na strane klienta (CSE), ako napríklad GPP (Group Policy Preferences), neumožňuje vyhľadávanie, poskytuje málo diagnostických informácií. Preto je v súčasnosti hlavným nástrojom na diagnostiku použitia GPO vo Windowse príkaz GPResult (vo Windows 10 je dokonca varovanie, že RSOP na rozdiel od GPResult nedáva kompletnú správu).

Pomocou pomôcky GPResult.exe

Príkaz GPResult sa spustí na počítači, na ktorom chcete otestovať aplikáciu skupinových politík. Príkaz GPResult má nasledujúcu syntax:

GPRESULT ]] [(/X | /H) ]

Ak chcete získať podrobné informácie o skupinových politikách, ktoré sa vzťahujú na daný objekt AD (používateľ a počítač) a ďalšie nastavenia súvisiace s infraštruktúrou GPO (t. j. výsledné nastavenia politiky GPO - RsoP), spustite príkaz:

Výsledky vykonania príkazu sú rozdelené do 2 sekcií:

• POČÍTAČ NASTAVENIE (Konfigurácia počítača) – sekcia obsahuje informácie o objektoch GPO, ktoré ovplyvňujú počítač (ako objekt Active Directory);
• POUŽÍVATEĽ NASTAVENIE – užívateľská časť zásad (zásady, ktoré sa vzťahujú na užívateľský účet v AD).

Poďme si v krátkosti prejsť hlavné parametre/sekcie, ktoré nás môžu vo výstupe GPResult zaujímať:

• stránkynázov(Názov stránky:) - názov stránky AD, na ktorej sa počítač nachádza;
• CN– úplný kanonický používateľ/počítač, pre ktorý boli vygenerované údaje RSoP;
• Poslednýčasskupinapolitikabolaplikované(Naposledy použitá skupinová politika) – čas, kedy boli naposledy použité skupinové politiky;
• skupinapolitikabolaplikovanéod(Skupinová politika bola aplikovaná z) – radič domény, z ktorého bola načítaná Najnovšia verzia GPO
• doménynázova Doménatypu(Názov domény, typ domény) – názov a verzia schémy domény Active Directory;
• AplikovanéskupinapolitikaObjekty(Použité GPO)– zoznamy objektov aktívnej skupinovej politiky;
• ThenasledujúceGPObolinieaplikovanépretožeonibolifiltrovanévon(Nasledujúce zásady GPO neboli použité, pretože boli filtrované) - neaplikované (filtrované) GPO;
• Theužívateľ/počítačjeačasťzanasledujúcebezpečnosťskupiny(Používateľ/počítač je členom nasledujúcich bezpečnostných skupín) – Skupiny domén, ktorých je používateľ členom.

V našom príklade môžete vidieť, že objekt používateľa ovplyvňujú 4 skupinové politiky.

• Predvolená politika domény;
• Povoliť bránu Windows Firewall;
• Zoznam vyhľadávania prípon DNS

Ak nechcete, aby konzola súčasne zobrazovala informácie o politikách používateľov a politikách počítača, môžete použiť možnosť /scope na zobrazenie iba sekcie, ktorá vás zaujíma. Iba výsledné pravidlá pre používateľov:

gpresult /r /scope:user

alebo iba aplikované pravidlá pre stroj:

gpresult /r /scope:computer

Pretože Obslužný program Gpresult odosiela svoje údaje priamo do konzoly príkazového riadka, čo nie je vždy vhodné pre následnú analýzu; jeho výstup môže byť presmerovaný do schránky:

gpresult /r |klip

alebo textový súbor:

gpresult /r > c:\gpresult.txt

Ak chcete zobraziť veľmi podrobné informácie RSOP, pridajte prepínač /z.

HTML RSOP report pomocou GPResult

Okrem toho môže pomôcka GPResult vygenerovať HTML správu o použitých politikách výsledkov (dostupné v systéme Windows 7 a novších). Táto zostava bude obsahovať podrobné informácie o všetkých systémových nastaveniach, ktoré sú nastavené skupinovými politikami a názvy konkrétnych GPO, ktoré ich nastavujú (výsledná zostava o štruktúre pripomína záložku Nastavenia v Konzole na správu zásad skupiny domén - GPMC). Hlásenie HTML GPResult môžete vygenerovať pomocou príkazu:

GPResult /h c:\gp-report\report.html /f

Ak chcete vygenerovať prehľad a automaticky ho otvoriť v prehliadači, spustite príkaz:

GPResult /h GPResult.html & GPResult.html

HTML správa gpresult obsahuje pomerne veľa užitočných informácií: sú viditeľné chyby aplikácie GPO, čas spracovania (v ms) a aplikácia špecifických politík a VVN (v časti Podrobnosti o počítači -> Stav komponentu). Napríklad na snímke obrazovky vyššie môžete vidieť, že politika s nastaveniami, ktoré si zapamätáte 24 hesiel, sa uplatňuje v Predvolenej politike domény (stĺpec Víťazný GPO). Ako vidíte, takáto HTML správa je oveľa pohodlnejšia na analýzu použitých politík ako konzola rsop.msc.

Získavanie údajov GPResult zo vzdialeného počítača

GPResult dokáže zhromažďovať údaje aj zo vzdialeného počítača, čím sa eliminuje potreba, aby správca musel ísť miestne alebo rdp prihlásenie na vzdialený počítač. Formát príkazu na zhromažďovanie údajov RSOP zo vzdialeného počítača je nasledujúci:

GPResult /s server-ts1 /r

Podobne môžete vzdialene zhromažďovať údaje z používateľských politík a počítačových politík.

používateľské meno nemá žiadne údaje RSOP

Keď je UAC povolený, spustenie GPResult bez zvýšených oprávnení zobrazí iba nastavenia pre sekciu politiky skupiny používateľov. Ak potrebujete zobraziť obe sekcie (POUŽÍVATEĽSKÉ NASTAVENIA a NASTAVENIA POČÍTAČA) súčasne, treba príkaz spustiť. Ak sa zvýšený príkazový riadok nachádza v inom systéme, než je aktuálny používateľ, pomôcka vydá varovanie INFO: Theužívateľ„doména\user“robíniemaťRSOPúdajov ( Používateľ 'doména\používateľ' nemá žiadne údaje RSOP). Je to preto, že GPResult sa snaží zbierať informácie pre používateľa, ktorý ho spustil, ale preto Tento používateľ sa neprihlásil do systému a pre tohto používateľa nie sú dostupné žiadne informácie RSOP. Ak chcete zhromažďovať informácie RSOP pre používateľa s aktívnou reláciou, musíte zadať jeho účet:

gpresult /r /user:tn\edward

Ak nepoznáte názov účtu, do ktorého ste prihlásený vzdialený počítač, môžete získať takýto účet:

qwinsta /SERVER:remotePC1

Tiež skontrolujte čas (y) na klientovi. Čas sa musí zhodovať s časom na PDC (primárnom radiči domény).

Nasledujúce zásady GPO neboli použité, pretože boli odfiltrované

Pri riešení problémov so skupinovými politikami by ste mali venovať pozornosť aj časti: Nasledujúce GPO neboli použité, pretože boli odfiltrované (Nasledujúce GPO politiky neboli použité, pretože boli odfiltrované). Táto sekcia zobrazuje zoznam GPO, ktoré sa z jedného alebo druhého dôvodu nevzťahujú na tento objekt. Možné možnosti, na ktoré sa pravidlá nemusia vzťahovať:

Na karte Efektívne povolenia (Rozšírené -> Efektívny prístup) môžete tiež pochopiť, či sa má politika použiť na konkrétny objekt AD.

V tomto článku sme teda preskúmali funkcie diagnostiky aplikácie skupinových politík pomocou pomôcky GPResult a zhodnotili typické scenáre jej použitia.

Funkčnosť v operačnom systéme Windows Server sa počíta a zlepšuje od verzie k verzii, rolí a komponentov pribúda, preto sa v dnešnom článku pokúsim stručne popísať popis a účel každej roly v systéme Windows Server 2016.

Skôr než prejdeme k popisu rolí servera Windows Server, zistime, čo presne je " Rola servera» v operačnom systéme Windows Server.

Čo je to „rola servera“ v systéme Windows Server?

Rola servera je softvérový balík, ktorý zabezpečuje, že server vykonáva určitú funkciu a danú funkciu je hlavný. Inými slovami, " Rola servera' je cieľ servera, t.j. na čo to je. Aby server mohol vykonávať svoju hlavnú funkciu, t.j. určitú rolu, v " Rola servera» obsahuje všetok potrebný softvér ( programy, služby).

Server môže mať jednu rolu, ak sa aktívne používa, alebo viacero, ak každá z nich server príliš nezaťažuje a používa sa len zriedka.

Rola servera môže zahŕňať viacero služieb rolí, ktoré poskytujú funkčnosť roly. Napríklad v úlohe servera " webový server (IIS)“ zahŕňa pomerne veľký počet služieb a úlohu „ DNS server» nezahŕňa služby rolí, pretože táto rola plní iba jednu funkciu.

Služby rolí je možné nainštalovať všetky spolu alebo jednotlivo, v závislosti od vašich potrieb. Inštalácia roly v podstate znamená inštaláciu jednej alebo viacerých jej služieb.

Windows Server má tiež " Komponenty» server.

Komponenty servera (funkcia)- toto softvér, ktoré nie sú rolou servera, ale zlepšujú jednu alebo viac rolí alebo spravujú jednu alebo viac rolí.

Niektoré roly nemožno nainštalovať, ak server nemá požadované služby alebo komponenty, ktoré sú potrebné na fungovanie rolí. Preto v čase inštalácie takýchto rolí " Sprievodca pridaním rolí a funkcií» vás automaticky vyzve na inštaláciu potrebných dodatočných služieb rolí alebo komponentov.

Popis rolí servera Windows Server 2016

Pravdepodobne ste už oboznámení s mnohými rolami, ktoré sú v systéme Windows Server 2016, pretože existujú už nejaký čas, ale ako som povedal, s každou novou verziou Windows Server sa pridávajú nové roly, s ktorými ste možno nepracovali. s ešte, ale chceli by sme vedieť, na čo slúžia, tak sa na ne poďme pozrieť.

Poznámka! O nových funkciách operačného systému Windows Server 2016 si môžete prečítať v materiáli " Inštalácia systému Windows Server 2016 a čo je nové ».

Keďže k inštalácii a správe rolí, služieb a komponentov veľmi často dochádza pomocou prostredia Windows PowerShell, uvediem pre každú rolu a jej službu názov, ktorý je možné v PowerShell použiť na jej inštaláciu alebo správu.

DHCP server

Táto rola vám umožňuje centrálne konfigurovať dynamické IP adresy a súvisiace nastavenia pre počítače a zariadenia vo vašej sieti. Rola servera DHCP nemá služby rolí.

Názov prostredia Windows PowerShell je DHCP.

DNS server

Táto rola je určená na rozlíšenie mien v sieťach TCP/IP. Rola DNS Server poskytuje a udržiava DNS. Na zjednodušenie správy servera DNS sa server zvyčajne inštaluje na rovnaký server ako doménové služby Active Directory. Rola servera DNS nemá služby rolí.

Názov role pre PowerShell je DNS.

Hyper-V

S rolou Hyper-V môžete vytvárať a spravovať virtualizované prostredie. Inými slovami, je to nástroj na vytváranie a správu virtuálnych strojov.

Názov role pre Windows PowerShell je Hyper-V.

Potvrdenie o zdravotnom stave zariadenia

rola" » umožňuje vyhodnotiť zdravotný stav zariadenia na základe nameraných indikátorov bezpečnostných parametrov, ako sú indikátory stavu bezpečného bootovania a Bitlocker na klientovi.

Na fungovanie tejto roly je potrebných veľa služieb a komponentov rolí, napríklad: niekoľko služieb z role " webový server (IIS)", komponent" ", komponent" Funkcie .NET Framework 4.6».

Počas inštalácie sa automaticky vyberú všetky požadované služby rolí a funkcie. rola" Potvrdenie o zdravotnom stave zariadenia» Neexistujú žiadne služby rolí.

Názov pre PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spoľahlivú, spravovateľnú a škálovateľnú infraštruktúru webových aplikácií. Pozostáva z pomerne veľkého počtu služieb (43).

Názov prostredia Windows PowerShell je Web-Server.

Zahŕňa nasledujúce služby rolí ( v zátvorkách uvediem názov pre Windows PowerShell):

Webový server (Web-WebServer)- Skupina služieb rolí, ktorá poskytuje podporu pre webové stránky HTML, rozšírenia ASP.NET, ASP a webový server. Pozostáva z nasledujúcich služieb:

• Bezpečnosť (Web Security)- súbor služieb na zaistenie bezpečnosti webového servera.
  • Filtrovanie požiadaviek (Web-Filtering) - pomocou týchto nástrojov môžete spracovávať všetky požiadavky prichádzajúce na server a filtrovať tieto požiadavky na základe špeciálnych pravidiel stanovených správcom web servera;
  • Obmedzenia IP adresy a domény (Web-IP-Security) – tieto nástroje vám umožňujú povoliť alebo zamietnuť prístup k obsahu na webovom serveri na základe IP adresy alebo názvu domény zdroja v požiadavke;
  • URL Authorization (Web-Url-Auth) – nástroje vám umožňujú vyvinúť pravidlá na obmedzenie prístupu k webovému obsahu a priradiť ich k užívateľom, skupinám alebo príkazom HTTP hlavičky;
  • Autentifikácia súhrnu (Web-Digest-Auth) − túto kontrolu Autentifikácia poskytuje vyššiu úroveň zabezpečenia ako základná autentifikácia. Digest autentifikácia na overenie používateľa funguje ako odovzdanie hash hesla do radiča domény Windows;
  • Základná autentifikácia (Web-Basic-Auth) – Táto metóda overovania poskytuje silnú kompatibilitu webového prehliadača. Odporúča sa používať v malých interných sieťach. Hlavnou nevýhodou tejto metódy je, že heslá prenášané cez sieť sa dajú pomerne ľahko zachytiť a dešifrovať, preto túto metódu používajte v kombinácii s SSL;
  • Windows Authentication (Web-Windows-Auth) je overovanie založené na overovaní domény Windows. Inými slovami, môžete použiť účty Active Directory na overenie používateľov ich webových stránok;
  • Autentifikácia mapovaním klientskeho certifikátu (Web-Client-Auth) – táto metóda autentifikácie využíva klientsky certifikát. Tento typ využíva služby Active Directory na poskytovanie mapovania certifikátov;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – táto metóda používa aj klientske certifikáty na autentifikáciu, ale na poskytovanie mapovania certifikátov využíva IIS. Tento typ poskytuje lepší výkon;
  • Centralizovaná podpora SSL certifikátov (Web-CertProvider) - tieto nástroje umožňujú centrálne spravovať certifikáty SSL servera, čo značne zjednodušuje proces správy týchto certifikátov;
• Obslužnosť a diagnostika (Web-Health)– súbor služieb na monitorovanie, správu a riešenie problémov webových serverov, stránok a aplikácií:
  • http logging (Web-Http-Logging) - nástroje zabezpečujú logovanie aktivity webu na danom serveri, t.j. záznam do denníka;
  • Protokolovanie ODBC (Web-ODBC-Logging) – Tieto nástroje tiež poskytujú protokolovanie aktivity webovej stránky, ale podporujú protokolovanie tejto aktivity do databázy kompatibilnej s ODBC;
  • Request Monitor (Web-Request-Monitor) je nástroj, ktorý vám umožňuje monitorovať stav webovej aplikácie zachytávaním informácií o HTTP požiadavkách v pracovnom procese IIS;
  • Vlastné protokolovanie (Web-Custom-Logging) – Pomocou týchto nástrojov môžete nakonfigurovať protokolovanie aktivity webového servera vo formáte, ktorý sa výrazne líši od štandardného formátu IIS. Inými slovami, môžete si vytvoriť svoj vlastný protokolovací modul;
  • Protokolovacie nástroje (Web-Log-Libraries) sú nástroje na správu protokolov webového servera a automatizáciu úloh protokolovania;
  • Sledovanie (Web-Http-Tracing) je nástroj na diagnostiku a riešenie porušení vo webových aplikáciách.
• http Spoločné funkcie (Web-Common-Http)– súbor služieb, ktoré poskytujú základnú funkčnosť HTTP:
  • Predvolený dokument (Web-Default-Doc) – Táto funkcia vám umožňuje nakonfigurovať webový server tak, aby vrátil predvolený dokument, keď používatelia nešpecifikujú konkrétny dokument v adrese URL požiadavky, čím sa používateľom uľahčí prístup k webovej lokalite, napr. doména bez zadania súboru;
  • Prehľadávanie adresárov (Web-Dir-Browsing) – Tento nástroj možno použiť na konfiguráciu webového servera tak, aby používatelia mohli zobraziť zoznam všetkých adresárov a súborov na webovej lokalite. Napríklad pre prípady, keď používatelia nešpecifikujú súbor v adrese URL požiadavky a predvolené dokumenty sú buď zakázané, alebo nie sú nakonfigurované;
  • http chyby (Web-Http-Errors) – táto funkcia vám umožňuje konfigurovať chybové hlásenia, ktoré sa vrátia do webových prehliadačov používateľov, keď webový server zistí chybu. Tento nástroj sa používa na jednoduchšie zobrazovanie chybových hlásení používateľom;
  • Statický obsah (Web-Static-Content) – tento nástroj vám umožňuje používať obsah na webovom serveri vo forme statických formátov súborov, ako sú súbory HTML alebo obrazové súbory;
  • http redirect (Web-Http-Redirect) - pomocou tejto funkcie môžete presmerovať požiadavku používateľa na konkrétny cieľ, t.j. toto je presmerovanie;
  • Publishing WebDAV (Web-DAV-Publishing) - umožňuje používať technológiu WebDAV na webovom serveri IIS. WebDAV ( Webové distribuované vytváranie a vytváranie verzií) je technológia, ktorá umožňuje používateľom spolupracovať ( čítať, upravovať, čítať vlastnosti, kopírovať, presúvať) cez súbory na vzdialených webových serveroch pomocou protokolu HTTP.
• Výkon (výkon webu)- súbor služieb na dosiahnutie vyššieho výkonu webového servera prostredníctvom vyrovnávacej pamäte výstupu a bežných kompresných mechanizmov, ako sú Gzip a Deflate:
  • Statická kompresia obsahu (Web-Stat-Compression) je nástroj na prispôsobenie kompresie statického obsahu http, umožňuje efektívnejšie využitie šírky pásma a zároveň bez zbytočného zaťaženia procesora;
  • Dynamická kompresia obsahu (Web-Dyn-Compression) je nástroj na konfiguráciu kompresie dynamického obsahu HTTP. Tento nástroj poskytuje efektívnejšie využitie šírky pásma, ale v tomto prípade môže zaťaženie procesora servera spojené s dynamickou kompresiou spomaliť stránku, ak je zaťaženie procesora vysoké aj bez kompresie.
• Vývoj aplikácií (Web-App-Dev)- súbor služieb a nástrojov na vývoj a hosťovanie webových aplikácií, inými slovami, technológie vývoja webových stránok:
  • ASP (Web-ASP) je prostredie na podporu a vývoj webových stránok a webových aplikácií pomocou technológie ASP. V súčasnosti existuje novšia a pokročilejšia technológia vývoja webových stránok - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektovo orientované vývojové prostredie pre webové stránky a webové aplikácie využívajúce technológiu ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je tiež objektovo orientované vývojové prostredie pre webové stránky a webové aplikácie využívajúce novú verziu ASP.NET;
  • CGI (Web-CGI) je schopnosť používať CGI na prenos informácií z webového servera do externého programu. CGI je druh štandardu rozhrania na pripojenie externého programu k webovému serveru. Nevýhodou je, že použitie CGI ovplyvňuje výkon;
  • Server Side Inclusions (SSI) (Web-Includes) je podpora pre skriptovací jazyk SSI ( povoliť na strane servera), ktorý sa používa na dynamické generovanie HTML stránok;
  • Inicializácia aplikácie (Web-AppInit) - tento nástroj vykonáva úlohy inicializácie webových aplikácií pred odoslaním webovej stránky;
  • Protokol WebSocket (Web-WebSockets) – pridáva možnosť vytvárať serverové aplikácie, ktoré komunikujú pomocou protokolu WebSocket. WebSocket je protokol, ktorý dokáže súčasne odosielať a prijímať dáta medzi prehliadačom a webový server nad TCP spojením, akési rozšírenie protokolu HTTP;
  • Rozšírenia ISAPI (Web-ISAPI-Ext) - podpora dynamického rozvoja webového obsahu pomocou aplikačného programovacieho rozhrania ISAPI. ISAPI je API pre webový server IIS. Aplikácie ISAPI sú oveľa rýchlejšie ako súbory ASP alebo súbory, ktoré volajú komponenty COM+;
  • Rozšíriteľnosť .NET 3.5 (Web-Net-Ext) je funkcia rozšíriteľnosti .NET 3.5, ktorá vám umožňuje meniť, pridávať a rozširovať funkčnosť webového servera v rámci procesu spracovania požiadaviek, konfigurácie a používateľského rozhrania;
  • Rozšíriteľnosť .NET 4.6 (Web-Net-Ext45) je funkcia rozšíriteľnosti .NET 4.6, ktorá vám tiež umožňuje upravovať, pridávať a rozširovať funkčnosť webového servera v rámci celého procesu spracovania požiadaviek, konfigurácie a používateľského rozhrania;
  • Filtre ISAPI (Web-ISAPI-Filter) – Pridajte podporu pre filtre ISAPI. Filtre ISAPI sú programy, ktoré sa volajú, keď webový server prijme špecifickú požiadavku HTTP na spracovanie týmto filtrom.

FTP - server (Web-Ftp-Server)– služby, ktoré poskytujú podporu protokolu FTP. Podrobnejšie sme o FTP serveri hovorili v materiáli - "Inštalácia a konfigurácia FTP servera na Windows Server 2016". Obsahuje nasledujúce služby:

• Služba FTP (Web-Ftp-Service) - pridáva podporu protokolu FTP na webovom serveri;
• Rozšíriteľnosť FTP (Web-Ftp-Ext) – Rozširuje štandardné možnosti FTP, ako je pridanie podpory pre funkcie, ako sú napríklad vlastní poskytovatelia, používatelia ASP.NET alebo používatelia manažérov IIS.

Nástroje na správu (Web-Mgmt-Tools)– Toto sú nástroje na správu webového servera IIS 10. Patria sem: používateľské rozhranie IIS, nástroje a skripty príkazového riadku.

• IIS Management Console (Web-Mgmt-Console) je používateľské rozhranie na správu IIS;
• Znakové sady a nástroje na správu IIS (Web-Scripting-Tools) sú nástroje a skripty na správu IIS pomocou príkazového riadka alebo skriptov. Môžu byť použité napríklad na automatizáciu riadenia;
• Služba správy (Web-Mgmt-Service) – táto služba pridáva možnosť vzdialene spravovať webový server z iného počítača pomocou IIS Manager;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – Poskytuje kompatibilitu pre aplikácie a skripty, ktoré používajú dve rozhrania API služby IIS. Existujúce skripty IIS 6 možno použiť na správu webového servera IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) je nástroj na zabezpečenie kompatibility, ktorý vám umožňuje spúšťať aplikácie a znakové sady, ktoré boli migrované zo starších verzií IIS;
  • Skriptovacie nástroje IIS 6 (Web-Lgcy-Scripting) – tieto nástroje vám umožňujú používať rovnaké skriptovacie služby IIS 6, ktoré boli vytvorené na správu IIS 6 v IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) – nástroj na vzdialenú správu servery IIS 6.0;
  • IIS 6 WMI Compatibility (Web-WMI) sú skriptovacie rozhrania Windows Management Instrumentation (WMI) na programové riadenie a automatizáciu úloh webového servera IIS 10.0 pomocou sady skriptov vytvorených u poskytovateľa WMI.

Active Directory Domain Services

rola" Active Directory Domain Services» (AD DS) poskytuje distribuovanú databázu, ktorá uchováva a spracováva informácie o sieťových zdrojoch. Táto rola sa používa na organizáciu sieťových prvkov, ako sú používatelia, počítače a iné zariadenia, do hierarchickej zadržiavacej štruktúry. Hierarchická štruktúra zahŕňa lesy, domény v rámci lesa a organizačné jednotky (OU) v rámci každej domény. Server so službou AD DS sa nazýva radič domény.

Názov role pre Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Táto rola je počítačová infraštruktúra a poskytuje pohodlné a efektívne funkcie, napríklad: ukladanie klientskych údajov na centralizovanom mieste a ochranu týchto údajov zálohovaním serverových a klientskych počítačov, vzdialený webový prístup, ktorý vám umožňuje pristupovať k údajom prakticky z akéhokoľvek zariadenia . Táto rola vyžaduje niekoľko služieb a funkcií rolí, ako napríklad: Funkcie BranchCache, Zálohovanie servera Windows, Správa skupinové pravidlá, služba role " Priestory názvov DFS».

Názov pre PowerShell je ServerEssentialsRole.

Sieťový ovládač

Táto rola predstavená v systéme Windows Server 2016 poskytuje jediný bod automatizácie na správu, monitorovanie a diagnostiku fyzickej a virtuálnej sieťovej infraštruktúry v dátovom centre. Pomocou tejto roly môžete konfigurovať IP podsiete, VLAN, fyzické sieťové adaptéry Hyper-V hosťuje, spravuje virtuálne prepínače, fyzické smerovače, nastavenia brány firewall a brány VPN.

Názov prostredia Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je rola servera Hosted Guardian Service (HGS) a poskytuje služby atestácie a ochrany kľúčov, ktoré umožňujú chráneným hostiteľom bežať v tieni virtuálne stroje. Na fungovanie tejto roly je potrebných niekoľko ďalších rolí a komponentov, napríklad: Active Directory Domain Services, Web Server (IIS), „ Failover Clustering"iné.

Názov pre PowerShell je HostGuardianServiceRole.

Odľahčené adresárové služby Active Directory

rola" Odľahčené adresárové služby Active Directory» (AD LDS) je odľahčená verzia služby AD DS, ktorá má menej funkcií, ale nevyžaduje nasadenie domén alebo radičov domény a nemá závislosti a obmedzenia domény požadované službou AD DS. AD LDS beží cez protokol LDAP ( Lightweight Directory Access Protocol). Na ten istý server môžete nasadiť viacero inštancií AD LDS s nezávisle spravovanými schémami.

Názov pre PowerShell je ADLDS.

Služby MultiPoint

Je to tiež nová rola, ktorá je nová v systéme Windows Server 2016. Služby MultiPoint Services (MPS) poskytujú základné funkcie vzdialenej pracovnej plochy, ktorá umožňuje viacerým používateľom pracovať súčasne a nezávisle na tom istom počítači. Ak chcete nainštalovať a prevádzkovať túto rolu, musíte nainštalovať niekoľko dodatočných služieb a komponentov, napríklad: Print Server, Windows Search Service, XPS Viewer a ďalšie, pričom všetky budú automaticky vybrané počas inštalácie MPS.

Názov roly pre PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolou (WSUS) môžu správcovia systému spravovať aktualizácie od spoločnosti Microsoft. Napríklad vytvorte samostatné skupiny počítačov pre rôzne sady aktualizácií, ako aj prijímajte správy o súlade počítačov s požiadavkami a aktualizáciami, ktoré je potrebné nainštalovať. Na fungovanie" Windows Server Update Services» Potrebujete také služby rolí a komponenty, ako sú: webový server (IIS), interná databáza systému Windows, služba aktivácie procesov systému Windows.

Názov prostredia Windows PowerShell je UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – nastavené na WID ( Interná databáza systému Windows) databáza používaná službou WSUS. Inými slovami, WSUS bude ukladať svoje servisné dáta vo WID;
• Služby WSUS (UpdateServices-Services) sú služby rol WSUS, ako sú aktualizačná služba, webová služba na vytváranie správ, webová služba na vzdialenú komunikáciu s rozhraním API, webová služba klienta, webová služba na jednoduchú autentizáciu, služba synchronizácie servera a webová služba overovania DSS;
• SQL Server Pripojenie (UpdateServices-DB) je inštalácia komponentu, ktorý umožňuje službe WSUS pripojiť sa k databáze údaje spoločnosti Microsoft SQL Server. Táto možnosť poskytuje ukladanie servisných údajov v databáze Microsoft SQL Server. V tomto prípade už musíte mať nainštalovanú aspoň jednu inštanciu SQL Server.

Multilicenčné aktivačné služby

S touto rolou servera môžete automatizovať a zjednodušiť vydávanie hromadných licencií na softvér od spoločnosti Microsoft a tiež vám umožňuje tieto licencie spravovať.

Názov pre PowerShell je VolumeActivation.

Služby tlače a dokumentov

Táto rola servera je určená na zdieľanie tlačiarní a skenerov v sieti, na centrálne konfigurovanie a správu tlačových a skenovacích serverov a na správu sieťových tlačiarní a skenerov. Služby tlače a dokumentov vám tiež umožňujú posielať naskenované dokumenty e-mailom, verejne sieťové priečinky alebo na lokality Windows SharePoint Services.

Názov pre PowerShell je Print-Services.

• Tlačový server (tlačový server) – Táto služba role zahŕňa „ Správa tlače“, ktorý sa používa na správu tlačiarní alebo tlačových serverov, ako aj na migráciu tlačiarní a iných tlačových serverov;
• Tlač cez internet (Print-Internet) – Na implementáciu tlače cez internet je vytvorená webová stránka, prostredníctvom ktorej môžu používatelia spravovať tlačové úlohy na serveri. Aby táto služba fungovala, ako viete, musíte nainštalovať " webový server (IIS)". Všetky požadované súčasti sa vyberú automaticky, keď začiarknete toto políčko počas procesu inštalácie služby role " Internetová tlač»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, ktorá vám umožňuje prijímať naskenované dokumenty zo sieťových skenerov a odosielať ich na miesto určenia. Táto služba obsahuje aj „ Správa skenovania“, ktorý sa používa na správu sieťových skenerov a na konfiguráciu skenovania;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon riadkovej tlačiarne) umožňuje počítačom so systémom UNIX a iným počítačom používajúcim službu Line Printer Remote (LPR) tlačiť zdieľané tlačiarne server.

Sieťová politika a prístupové služby

rola" » (NPAS) umožňuje serveru Network Policy Server (NPS) nastaviť a vynútiť prístup k sieti, autentifikáciu a autorizáciu a zásady zdravia klienta, inými slovami, zabezpečiť sieť.

Názov prostredia Windows PowerShell je NPAS.

Služby nasadenia systému Windows

Pomocou tejto roly môžete vzdialene inštalovať operačný systém Windows cez sieť.

Názov role pre PowerShell je WDS.

• Deployment Server (WDS-Deployment) – táto služba role je určená na vzdialené nasadenie a konfiguráciu operačných systémov Windows. Umožňuje vám tiež vytvárať a upravovať obrázky na opätovné použitie;
• Transport Server (WDS-Transport) – Táto služba obsahuje základné sieťové komponenty, pomocou ktorých môžete prenášať dáta multicastingom na samostatnom serveri.

Certifikačné služby Active Directory

Táto rola je určená na vytváranie certifikačných autorít a súvisiacich služieb rolí, ktoré vám umožňujú vydávať a spravovať certifikáty pre rôzne aplikácie.

Názov pre Windows PowerShell je AD-Certificate.

Zahŕňa nasledujúce služby rolí:

• Certifikačná autorita (ADCS-Cert-Authority) – pomocou tejto služby role môžete vydávať certifikáty používateľom, počítačom a službám, ako aj spravovať platnosť certifikátu;
• Webová služba Zásady registrácie certifikátov (ADCS-Enroll-Web-Pol) – Táto služba umožňuje používateľom a počítačom získať informácie o zásadách registrácie certifikátov z webového prehliadača, aj keď počítač nie je členom domény. Pre jeho fungovanie je to nevyhnutné webový server (IIS)»;
• Webová služba registrácie certifikátov (ADCS-Enroll-Web-Svc) – Táto služba umožňuje používateľom a počítačom registrovať a obnovovať certifikáty pomocou webového prehliadača cez HTTPS, aj keď počítač nie je členom domény. Musí tiež fungovať webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) - Služba je určená na kontrolu zrušenia certifikátu pre klientov. Inými slovami, prijme požiadavku na stav zrušenia pre konkrétne certifikáty, vyhodnotí stav týchto certifikátov a pošle späť podpísanú odpoveď s informáciami o stave. Aby služba fungovala, je to nevyhnutné webový server (IIS)»;
• Webová registračná služba certifikačnej autority (ADCS-Web-Enrollment) – Táto služba poskytuje používateľom webové rozhranie na vykonávanie úloh, ako je napríklad vyžiadanie a obnovenie certifikátov, získanie CRL a registrácia certifikátov čipových kariet. Aby služba fungovala, je to nevyhnutné webový server (IIS)»;
• Služba registrácie sieťových zariadení (ADCS-Device-Enrollment) – pomocou tejto služby môžete vydávať a spravovať certifikáty pre smerovače a iné sieťové zariadenia, ktoré nemajú sieťové účty. Aby služba fungovala, je to nevyhnutné webový server (IIS)».

Služby vzdialenej pracovnej plochy

Rola servera, ktorá poskytuje prístup k virtuálnym desktopom, desktopom založeným na reláciách a vzdialené aplikácie vzdialená aplikácia.

Názov role pre Windows PowerShell je Remote-Desktop-Services.

Pozostáva z nasledujúcich služieb:

• Webový prístup k vzdialenej ploche (RDS-Web-Access) – Táto služba role umožňuje používateľom pristupovať k vzdialeným pracovným plochám a aplikáciám RemoteApp prostredníctvom „ Štart» alebo pomocou webového prehliadača;
• Licencovanie vzdialenej pracovnej plochy (RDS-Licensing) – Služba je určená na správu licencií, ktoré sú potrebné na pripojenie k hostiteľovi relácie vzdialenej pracovnej plochy alebo k virtuálnej pracovnej ploche. Môže sa použiť na inštaláciu, vydávanie licencií a sledovanie ich dostupnosti. Táto služba vyžaduje " webový server (IIS)»;
• Sprostredkovateľ pripojenia k vzdialenej ploche (RDS-Connection-Broker) je služba role, ktorá poskytuje nasledujúce možnosti: opätovné pripojenie používateľa k existujúcej virtuálnej pracovnej ploche, aplikácii RemoteApp a pracovnej ploche založenej na reláciách, ako aj vyrovnávanie záťaže medzi počítačmi serverov hostiteľských vzdialených relácií alebo medzi združenými virtuálnymi desktopmi. Táto služba vyžaduje „ »;
• Hostiteľ virtualizácie vzdialenej pracovnej plochy (DS-Virtualization) – Služba umožňuje používateľom pripojiť sa k virtuálnym pracovným plochám pomocou RemoteApp a Desktop Connection. Táto služba funguje v spojení s Hyper-V, t.j. táto rola musí byť nainštalovaná;
• Hostiteľ relácie vzdialenej pracovnej plochy (RDS-RD-Server) – Táto služba môže hostiť aplikácie RemoteApp a pracovné plochy založené na reláciách na serveri. Prístup je cez klienta Remote Desktop Connection alebo RemoteApps;
• Brána vzdialenej pracovnej plochy (RDS-Gateway) – služba umožňuje oprávneným vzdialeným používateľom pripojiť sa k virtuálnym pracovným plochám, vzdialeným aplikáciám a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez internet. Táto služba vyžaduje nasledujúce dodatočné služby a komponenty: webový server (IIS)», « Sieťová politika a prístupové služby», « RPC cez HTTP proxy».

AD RMS

Toto je rola servera, ktorá vám umožní chrániť informácie pred neoprávneným použitím. Overuje identitu používateľov a udeľuje licencie oprávneným používateľom na prístup k chráneným údajom. Táto rola vyžaduje ďalšie služby a komponenty: webový server (IIS)», « Služba aktivácie procesov systému Windows», « Funkcie .NET Framework 4.6».

Názov prostredia Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – služba hlavnej role, potrebná na inštaláciu;
• Podpora federácie identít (ADRMS-Identity) je voliteľná služba rolí, ktorá umožňuje federatívnym identitám využívať chránený obsah pomocou služby Active Directory Federation Services.

AD FS

Táto rola poskytuje webovým stránkam pomocou prehliadača zjednodušenú a zabezpečenú federáciu identity a funkciu jednotného prihlásenia (SSO).

Názov pre PowerShell je ADFS-Federation.

Vzdialený prístup

Táto rola poskytuje konektivitu prostredníctvom DirectAccess, VPN a proxy webovej aplikácie. Aj rola Vzdialený prístup "poskytuje tradičné možnosti smerovania vrátane prekladu sieťových adries (NAT) a ďalších možností pripojenia. Táto rola vyžaduje ďalšie služby a funkcie: webový server (IIS)», « Interná databáza systému Windows».

Názov role pre Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje používateľom kedykoľvek sa pripojiť k podnikovej sieti s prístupom na internet cez DirectAccess, ako aj organizovať pripojenia VPN v kombinácii s technológiami tunelovania a šifrovania údajov;
• Smerovanie (Routing) - služba poskytuje podporu pre NAT routery, LAN routery s protokolmi BGP, RIP a routery s podporou multicast (IGMP proxy);
• Web Application Proxy (Web-Application-Proxy) - Služba umožňuje publikovať aplikácie založené na protokoloch HTTP a HTTPS z podnikovej siete na klientske zariadenia, ktoré sú mimo podnikovej siete.

Súborové a úložné služby

Toto je rola servera, ktorú možno použiť na zdieľanie súborov a priečinkov, spravovanie a riadenie zdieľaní, replikáciu súborov, poskytovanie rýchleho vyhľadávania súborov a udeľovanie prístupu ku klientskym počítačom UNIX. Súborovým službám a najmä súborovému serveru sme sa podrobnejšie venovali v materiáli „Inštalácia súborového servera (File Server) na Windows Server 2016“.

Názov prostredia Windows PowerShell je FileAndStorage-Services.

Skladovacie služby- Táto služba poskytuje funkciu správy úložiska, ktorá je vždy nainštalovaná a nemožno ju odstrániť.

Súborové služby a služby iSCSI (súborové služby)- Ide o technológie, ktoré zjednodušujú správu súborových serverov a úložísk, šetria miesto na disku, zabezpečujú replikáciu a cachovanie súborov v pobočkách a poskytujú aj zdieľanie súborov cez protokol NFS. Zahŕňa nasledujúce služby rolí:

• Súborový server (FS-FileServer) – služba role, ktorá spravuje zdieľané priečinky a poskytuje používateľom prístup k súborom na tomto počítači cez sieť;
• Deduplikácia údajov (FS-Data-Deduplication) – táto služba šetrí miesto na disku tým, že na zväzok ukladá iba jednu kópiu identických údajov;
• Správca zdrojov súborového servera (FS-Resource-Manager) – pomocou tejto služby môžete spravovať súbory a priečinky na súborovom serveri, vytvárať správy o úložisku, klasifikovať súbory a priečinky, konfigurovať kvóty priečinkov a definovať politiky blokovania súborov;
• Poskytovateľ cieľového úložiska iSCSI (Poskytovatelia hardvéru VDS a VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje spúšťanie aplikácií na serveri pripojenom k ​​cieľu iSCSI. tieňová kópia zväzky na virtuálnych diskoch iSCSI;
• Menné priestory DFS (FS-DFS-Namespace) - pomocou tejto služby môžete zoskupovať zdieľané priečinky hosťované na rôznych serveroch do jedného alebo viacerých logicky štruktúrovaných menných priestorov;
• Pracovné priečinky (FS-SyncShareService) – služba vám umožňuje používať pracovné súbory na rôzne počítače vrátane pracovných a osobných. Svoje súbory môžete ukladať do pracovných priečinkov, synchronizovať ich a pristupovať k nim z lokálnej siete alebo internetu. Aby služba fungovala, komponent " Webové jadro IIS v procese»;
• Replikácia DFS (FS-DFS-Replication) je modul replikácie údajov na viacerých serveroch, ktorý vám umožňuje synchronizovať priečinky cez pripojenie LAN alebo WAN. Táto technológia používa protokol Remote Differential Compression (RDC) na aktualizáciu iba časti súborov, ktoré sa zmenili od poslednej replikácie. Replikáciu DFS možno použiť s priestormi názvov DFS alebo bez nich;
• Server pre NFS (FS-NFS-Service) – Služba umožňuje tomuto počítaču zdieľať súbory s počítačmi so systémom UNIX a inými počítačmi, ktoré používajú protokol Network File System (NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – poskytuje služby a správu pre iSCSI ciele;
• Služba BranchCache pre sieťové súbory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto súborovom serveri;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje tieňové kópie zväzku pre aplikácie, ktoré ukladajú dátové súbory na tomto súborovom serveri.

faxový server

Rola odosiela a prijíma faxy a umožňuje vám spravovať faxové zdroje, ako sú úlohy, nastavenia, správy a faxové zariadenia na tomto počítači alebo v sieti. Vyžaduje sa pre prácu Tlačový server».

Názov role pre Windows PowerShell je Fax.

Týmto je prehľad rolí servera Windows Server 2016 dokončený, dúfam, že materiál bol pre vás zatiaľ užitočný!

Pred vývojom soketového servera musíte vytvoriť politický server, ktorý informuje Silverlight, ktorí klienti sa môžu pripojiť k soketovému serveru.

Ako je uvedené vyššie, Silverlight neumožňuje načítanie obsahu alebo volanie webovej služby, ak doména nemá clientaccesspolicy .xml alebo súbor crossdomain. xml, kde sú tieto operácie výslovne povolené. Podobné obmedzenie platí pre soketový server. Ak nepovolíte klientskemu zariadeniu stiahnuť súbor .xml clientaccesspolicy, ktorý umožňuje vzdialený prístup, Silverlight odmietne nadviazať spojenie.

Žiaľ, poskytovanie zásad klientskeho prístupu. cml do aplikácie soketu je väčšou výzvou ako jej poskytovanie prostredníctvom webovej stránky. Pri používaní webovej stránky môže softvér webového servera poskytnúť súbor .xml clientaccesspolicy, len ho nezabudnite pridať. Súčasne, keď používate aplikáciu soketu, musíte otvoriť soket, ku ktorému môžu klientske aplikácie pristupovať s požiadavkami na politiku. Okrem toho musíte manuálne vytvoriť kód, ktorý obsluhuje zásuvku. Ak chcete vykonať tieto úlohy, musíte vytvoriť server politík.

V nasledujúcom texte ukážeme, že server politík funguje rovnakým spôsobom ako server správ, iba spracováva o niečo jednoduchšie interakcie. Servery správ a politiky môžu byť vytvorené samostatne alebo kombinované v jednej aplikácii. V druhom prípade musia počúvať požiadavky na rôznych vláknach. V tomto príklade vytvoríme server politík a potom ho skombinujeme so serverom správ.

Ak chcete vytvoriť server politík, musíte najskôr vytvoriť aplikáciu .NET. Akýkoľvek typ aplikácie .NET môže slúžiť ako server politík. Najjednoduchším spôsobom je použiť konzolovú aplikáciu. Po odladení konzolovej aplikácie môžete kód presunúť do služby Windows, aby bežala na pozadí po celú dobu.

Súbor zásad

Nasleduje súbor politiky poskytnutý serverom politík.

Súbor politiky definuje tri pravidlá.

Umožňuje prístup ku všetkým portom od 4502 do 4532 (toto je celý rad portov podporovaných doplnkom Silverlight). Ak chcete zmeniť rozsah dostupných portov, zmeňte hodnotu atribútu portu prvku.

Umožňuje prístup TCP (oprávnenie je definované v atribúte protokolu prvku).

Umožňuje volanie z ľubovoľnej domény. Preto môže byť aplikácia Silverlight, ktorá vytvára spojenie, hosťovaná na ľubovoľnej webovej lokalite. Ak chcete zmeniť toto pravidlo, musíte upraviť atribút uri prvku.

Na uľahčenie sú pravidlá politiky umiestnené v súbore clientaccess-ploi.cy.xml, ktorý sa pridáva do projektu. AT vizuálne štúdio Nastavenie Kopírovať do výstupného adresára súboru politiky musí byť nastavené na Vždy kopírovať. stačí nájsť súbor na pevnom disku, otvoriť ho a vrátiť obsah do klientskeho zariadenia.

Trieda PolicyServer

Funkčnosť servera politík je založená na dvoch kľúčových triedach: PolicyServer a PolicyConnection. Trieda PolicyServer spracováva čakanie na pripojenia. Keď prijme spojenie, odovzdá riadenie novej inštancii triedy PoicyConnection, ktorá odovzdá súbor politiky klientovi. Tento dvojdielny postup je bežný v sieťovom programovaní. Pri práci so servermi správ to uvidíte viackrát.

Trieda PolicyServer načíta súbor politiky z pevného disku a uloží ho do poľa ako pole bajtov.

verejnej triedy PolicyServer

politika súkromných bajtov;

public PolicyServer(string policyFile) (

Ak chcete začať počúvať, serverová aplikácia musí zavolať PolicyServer. Štart (). Vytvára objekt TcpListener, ktorý počúva požiadavky. Objekt TcpListener je nakonfigurovaný na počúvanie na porte 943. V Silverlight je tento port vyhradený pre servery politík. Pri vytváraní požiadaviek na súbory zásad ich aplikácia Silverlight automaticky nasmeruje na port 943.

súkromný poslucháč TcpListener;

public void Start()

// Vytvorenie poslucháča

listener = new TcpListener(IPAddress.Any, 943);

// Začnite počúvať; metóda Start() vráti II ihneď po zavolaní listener.Start();

// Čaká sa na spojenie; metóda sa okamžite vráti;

Čakanie II sa vykonáva v samostatnom vlákne

Ak chcete prijať ponúkané pripojenie, server politík zavolá metódu BeginAcceptTcpClient(). Rovnako ako všetky metódy Beginxxx() rámca .NET sa vráti ihneď po zavolaní a vykoná potrebné operácie na samostatnom vlákne. Pre sieťové aplikácie je to veľmi významný faktor, pretože umožňuje súčasne spracovať veľa požiadaviek na súbory politík.

Poznámka. Začínajúci sieťoví programátori sa často čudujú, ako je možné súčasne spracovať viac ako jednu požiadavku, a myslia si, že to vyžaduje niekoľko serverov. Avšak nie je. S týmto prístupom by klientske aplikácie rýchlo vyčerpali dostupné porty. V praxi serverové aplikácie spracovávajú mnoho požiadaviek cez jeden port. Tento proces je pre aplikácie neviditeľný, pretože vstavaný podsystém TCP v systéme Windows automaticky identifikuje správy a nasmeruje ich do príslušných objektov v kóde aplikácie. Každé pripojenie je jednoznačne identifikované na základe štyroch parametrov: adresa IP klienta, číslo portu klienta, adresa IP servera a číslo portu servera.

Pri každej požiadavke sa spustí metóda spätného volania OnAcceptTcpClient(). Znovu zavolá metódu BeginAcceptTcpClient O, aby sa začalo čakať na ďalšiu požiadavku v inom vlákne, a potom začne spracovávať aktuálnu požiadavku.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Prijatá požiadavka zásad."); // Čaká sa na ďalšie pripojenie.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Spracovanie aktuálneho pripojenia.

Klient TcpClient = poslucháč.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nové PolicyConnection(klient, politika); policyConnection.HandleRequest() ;

chytiť (výnimka chyba) (

Zakaždým, keď sa prijme nové pripojenie, vytvorí sa nový objekt PolicyConnection, ktorý ho spracuje. Okrem toho objekt PolicyConnection udržiava súbor politiky.

Posledným komponentom triedy PolicyServer je metóda Stop(), ktorá zastaví čakanie na požiadavky. Aplikácia ho zavolá, keď sa ukončí.

private bool isStopped;

public void StopO(

isStopped = true;

poslucháča. stop();

chytiť (výnimka chyba) (

Console.WriteLine(err.Message);

Nasledujúci kód sa používa v metóde Main() aplikačného servera na spustenie servera politík.

static void Main(string args) (

PolicyServer policyServer = nový PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Server zásad bol spustený."); Console.WriteLine("Pre ukončenie stlačte kláves Enter.");

// Čakanie na stlačenie klávesu; pomocou metódy // Console.ReadKey() ju môžete nastaviť tak, aby čakala na konkrétny // riadok (napríklad quit) alebo stlačte ľubovoľný kláves Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Ukončiť server zásad.");

trieda PolicyConnection

Trieda PolicyConnection vykonáva jednoduchšiu úlohu. Objekt PolicyConnection ukladá odkaz na údaje súboru politiky. Potom, po zavolaní metódy HandleRequest(), objekt PolicyConnection získa nové pripojenie zo sieťového toku a pokúsi sa ho prečítať. Klientske zariadenie musí odoslať reťazec obsahujúci text. Po prečítaní tohto textu klientske zariadenie zapíše dáta politiky do streamu a uzavrie spojenie. Nasleduje kód triedy PolicyConnection.

verejná trieda PolicyConnection(

súkromný klient TcpClient; politika súkromných bajtov;

public PolicyConnection (klient TcpClient, politika bajtov) (

this.client = klient; this.policy = politika;

// Vytvorenie súkromnej požiadavky klienta so statickým reťazcom policyRequestString = "

public void HandleRequest()(

Stream s = klient.GetStream(); // Čítanie reťazca dotazu na politiku

byte buffer = nový bajt;

// Počkajte iba 5 sekúnd client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Odovzdať politiku (môžete tiež skontrolovať, či požiadavka na politiku má // požadovaný obsah) s.Write(policy, 0, policy.Length);

// Zatvorte pripojenie client.Close();

Console.WriteLine("Súbor s pravidlami doručený.");

Takže máme plne funkčný server zásad. Žiaľ, zatiaľ sa nedá otestovať, pretože doplnok Silverlight neumožňuje explicitné vyžiadanie súborov zásad. Namiesto toho ich automaticky požaduje pri pokuse o použitie aplikácie soketu. Pred vytvorením klientskej aplikácie pre túto soketovú aplikáciu musíte vytvoriť server.

Pokračovanie v téme:

Nové články

/

Keď inštalujete Windows, väčšina nepodstatných podsystémov nie je aktivovaná ani nainštalovaná. Deje sa tak z bezpečnostných dôvodov. Keďže systém je v predvolenom nastavení zabezpečený, správcovia systému sa môžu sústrediť na navrhovanie systému, ktorý robí to, čo robí, a nič viac. Aby vám pomohol aktivovať požadované funkcie, systém Windows vás vyzve, aby ste vybrali rolu servera.

Roly

Rola servera je súbor programov, ktoré, ak sú správne nainštalované a nakonfigurované, umožňujú počítaču vykonávať špecifickú funkciu pre viacerých používateľov alebo iné počítače v sieti. Vo všeobecnosti majú všetky roly nasledujúce charakteristiky.

• Definujú hlavnú funkciu, účel alebo účel používania počítača. Počítač môžete určiť, aby hral jednu rolu, ktorá sa v podniku často používa, alebo aby hral viacero rolí, pričom každá rola sa používa len príležitostne.
• Roly poskytujú používateľom v celej organizácii prístup k prostriedkom, ktoré spravujú iné počítače, ako sú webové stránky, tlačiarne alebo súbory uložené na rôznych počítačoch.
• Zvyčajne majú svoje vlastné databázy, ktoré zaraďujú požiadavky používateľov alebo počítačov do frontu alebo zaznamenávajú informácie o používateľoch siete a počítačoch spojených s rolou. Napríklad Active Directory Domain Services obsahuje databázu na ukladanie mien a hierarchických vzťahov všetkých počítačov v sieti.
• Po správnej inštalácii a konfigurácii roly fungujú automaticky. To umožňuje počítačom, na ktorých sú nainštalované, vykonávať priradené úlohy s obmedzenou interakciou používateľa.

Služby rolí

Služby rolí sú programy, ktoré poskytujú funkčnosť role. Keď rolu nainštalujete, môžete si vybrať, ktoré služby poskytuje iným používateľom a počítačom v podniku. Niektoré roly, ako napríklad server DNS, vykonávajú iba jednu funkciu, takže pre ne neexistujú žiadne služby rolí. Ďalšie roly, ako napríklad Služby vzdialenej pracovnej plochy, majú niekoľko služieb, ktoré môžete nainštalovať na základe potrieb vzdialeného prístupu vášho podniku. Rolu možno považovať za súbor úzko súvisiacich, doplnkových služieb rolí. Vo väčšine prípadov inštalácia roly znamená inštaláciu jednej alebo viacerých jej služieb.

Komponenty

Komponenty sú programy, ktoré nie sú priamo súčasťou rolí, ale podporujú alebo rozširujú funkčnosť jednej alebo viacerých rolí alebo celého servera bez ohľadu na to, ktoré roly sú nainštalované. Napríklad Failover Cluster Tool rozširuje ďalšie roly, ako sú File Services a DHCP Server, tým, že im umožňuje pripojiť sa k serverovým klastrom, čo poskytuje zvýšenú redundanciu a výkon. Druhý komponent, Telnet klient, umožňuje vzdialenú komunikáciu s Telnet serverom cez sieťové pripojenie. Táto funkcia vylepšuje komunikačné možnosti pre server.

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce roly servera:

• Active Directory Certificate Services;
• Active Directory Domain Services;
• DHCP server
• DNS server;
• súborové služby (vrátane správcu prostriedkov súborového servera);
• Active Directory Lightweight Directory Services;
• Hyper-V
• Tlačiarenské a dokumentačné služby;
• streamingové mediálne služby;
• webový server (vrátane podmnožiny ASP.NET);
• Windows Server Update Server;
• Server správy práv Active Directory;
• Server smerovania a vzdialeného prístupu a nasledujúce podriadené roly:
  • Sprostredkovateľ pripojenia vzdialenej pracovnej plochy;
  • udeľovanie licencií;
  • virtualizácie.

Keď Windows Server beží v režime Server Core, sú podporované nasledujúce funkcie servera:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• Služba inteligentného prenosu na pozadí (BITS);
• BitLocker Drive Encryption;
• Odomknutie siete BitLocker;
• BranchCache
• most dátového centra;
• Rozšírené úložisko;
• klastrovanie prepnutia pri zlyhaní;
• viaccestný I/O;
• vyrovnávanie zaťaženia siete;
• protokol PNRP;
• qWave;
• vzdialená diferenciálna kompresia;
• jednoduché služby TCP/IP;
• RPC cez HTTP proxy;
• SMTP server;
• služba SNMP;
• Telnet klient;
• telnet server;
• TFTP klient;
• interná databáza Windows;
• Windows PowerShell Web Access;
• Služba aktivácie systému Windows;
• štandardizovaná správa úložiska Windows;
• rozšírenie IIS WinRM;
• server WINS;
• podpora WoW64.

Inštalácia serverových rolí pomocou Server Manager

Ak chcete pridať, otvorte Správcu servera a v ponuke Spravovať kliknite na položku Pridať roly a funkcie:

Otvorí sa Sprievodca pridaním rolí a funkcií. Kliknite na tlačidlo Ďalej

Typ inštalácie, vyberte inštaláciu na základe rolí alebo funkcií. Ďalšie:

Výber servera - vyberte si náš server. Kliknite na Ďalej Roly servera – V prípade potreby vyberte roly, vyberte služby rolí a kliknite na Ďalej, aby ste vybrali komponenty. Počas tohto postupu vás Sprievodca pridaním rolí a funkcií automaticky informuje o konfliktoch na cieľovom serveri, ktoré môžu brániť inštalácii alebo normálnej prevádzke vybratých rolí alebo funkcií. Zobrazí sa tiež výzva na pridanie rolí, služieb rolí a funkcií požadovaných vybratými rolami alebo funkciami.

Inštalácia rolí pomocou PowerShell

Otvorenie prostredia Windows PowerShell Zadaním príkazu Get-WindowsFeature zobrazíte zoznam dostupných a nainštalovaných rolí a funkcií na lokálnom serveri. Výstup tohto cmdlet obsahuje názvy príkazov pre roly a funkcie, ktoré sú nainštalované a dostupné na inštaláciu.

Ak chcete zobraziť syntax a platné parametre cmdlet Install-WindowsFeature (MAN), zadajte príkaz Get-Help Install-WindowsFeature.

Zadajte nasledujúci príkaz (-Reštart reštartuje server, ak si inštalácia roly vyžaduje reštart).

Install-WindowsFeature-Name -Reštart

Popis rolí a služieb rolí

Všetky roly a služby rolí sú popísané nižšie. Pozrime sa na rozšírené nastavenia pre najbežnejšiu rolu webového servera a služby vzdialenej pracovnej plochy v našej praxi.

Podrobný popis IIS

• Spoločné funkcie HTTP – Základné komponenty HTTP
  • Predvolený dokument – ​​umožňuje vám nastaviť indexovú stránku lokality.
  • Prehľadávanie adresárov – umožňuje používateľom prezerať si obsah adresára na webovom serveri. Použite Prehľadávanie adresárov na automatické vygenerovanie zoznamu všetkých adresárov a súborov v adresári, keď používatelia nešpecifikujú súbor v adrese URL a indexová stránka je zakázaná alebo nie je nakonfigurovaná
  • Chyby HTTP – umožňuje vám prispôsobiť chybové hlásenia vracané klientom v prehliadači.
  • Statický obsah – umožňuje uverejňovať statický obsah, ako sú obrázky alebo html súbory.
  • Presmerovanie HTTP – Poskytuje podporu pre presmerovanie požiadaviek používateľov.
  • Publikovanie WebDAV vám umožňuje publikovať súbory z webového servera pomocou protokolu HTTP.
• Funkcie zdravia a diagnostiky – diagnostické komponenty
  • Protokolovanie HTTP poskytuje protokolovanie aktivity webovej stránky pre daný server.
  • Vlastné protokolovanie poskytuje podporu pre vytváranie vlastných protokolov, ktoré sa líšia od „tradičných“ protokolov.
  • Protokolovacie nástroje poskytujú rámec pre správu protokolov webového servera a automatizáciu bežných úloh protokolovania.
  • ODBC Logging poskytuje rámec, ktorý podporuje logovanie aktivity webového servera do databázy kompatibilnej s ODBC.
  • Request Monitor poskytuje rámec na monitorovanie stavu webových aplikácií zhromažďovaním informácií o HTTP požiadavkách v pracovnom procese IIS.
  • Sledovanie poskytuje rámec na diagnostiku a riešenie problémov webových aplikácií. Pomocou sledovania neúspešných požiadaviek môžete sledovať ťažko dostupné udalosti, ako je napríklad slabý výkon alebo zlyhania autentifikácie.
• Výkonové komponenty na zvýšenie výkonu webového servera.
  • Static Content Compression poskytuje rámec na konfiguráciu HTTP kompresie statického obsahu
  • Dynamická kompresia obsahu poskytuje rámec pre konfiguráciu HTTP kompresie dynamického obsahu.
• Bezpečnostné komponenty
  • Filtrovanie požiadaviek vám umožňuje zachytiť všetky prichádzajúce požiadavky a filtrovať ich na základe pravidiel stanovených správcom.
  • Basic Authentication umožňuje nastaviť dodatočnú autorizáciu
  • Centralizovaná podpora certifikátov SSL je funkcia, ktorá vám umožňuje ukladať certifikáty na centrálne miesto, napríklad zdieľanie súborov.
  • Autentifikácia mapovania klientských certifikátov používa klientske certifikáty na autentifikáciu používateľov.
  • Digest Authentication funguje tak, že sa do radiča domény Windows odosiela hash hesla na overenie používateľov. Ak potrebujete väčšiu bezpečnosť ako základné overenie, zvážte použitie overenia Digest
  • IIS Client Certificate Mapping Authentication používa klientske certifikáty na autentifikáciu používateľov. Klientsky certifikát je digitálny identifikátor získaný z dôveryhodného zdroja.
  • Obmedzenia IP a domén vám umožňujú povoliť/zamietnuť prístup na základe požadovanej adresy IP alebo názvu domény.
  • URL Authorization vám umožňuje vytvárať pravidlá, ktoré obmedzujú prístup k webovému obsahu.
  • Overovanie systému Windows Táto schéma overovania umožňuje správcom domény systému Windows využívať infraštruktúru domény na overovanie používateľov.
• Funkcie vývoja aplikácií
• FTP server
  • Služba FTP Umožňuje publikovanie cez FTP na webovom serveri.
  • Rozšíriteľnosť FTP Umožňuje podporu funkcií FTP, ktoré rozširujú funkčnosť
• Nástroje na správu
  • IIS Management Console nainštaluje IIS Manager, ktorý vám umožňuje spravovať webový server cez GUI
  • Kompatibilita správy IIS 6.0 poskytuje doprednú kompatibilitu pre aplikácie a skripty, ktoré používajú objekt Admin Base Object (ABO) a rozhranie ADSI (Address Directory Service Interface) Active Directory API. To umožňuje, aby webový server IIS 8.0 používal existujúce skripty IIS 6.0
  • Skripty a nástroje na správu IIS poskytujú infraštruktúru na riadenie webového servera IIS programovo, pomocou príkazov v okne príkazového riadka alebo spúšťaním skriptov.
  • Služba správy poskytuje infraštruktúru na prispôsobenie používateľského rozhrania, IIS Manager.

Podrobný popis RDS

• Sprostredkovateľ pripojenia vzdialenej pracovnej plochy – Poskytuje opätovné pripojenie klientskeho zariadenia k programom na základe relácií pracovnej plochy a virtuálnej pracovnej plochy.
• Brána vzdialenej pracovnej plochy – umožňuje oprávneným používateľom pripojiť sa k virtuálnym pracovným plochám, programom RemoteApp a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez internet.
• Licencovanie vzdialenej plochy – nástroj na správu licencií RDP
• Hostiteľ relácie vzdialenej pracovnej plochy – zahŕňa server na hosťovanie programov RemoteApp alebo relácie na pracovnej ploche.
• Hostiteľ virtualizácie vzdialenej plochy – umožňuje vám konfigurovať RDP na virtuálnych počítačoch
• Vzdialená plocha WebAccess – umožňuje používateľom pripojiť sa k zdrojom pracovnej plochy pomocou ponuky Štart alebo webového prehliadača.

Zvážte inštaláciu a konfiguráciu terminálového licenčného servera. Vyššie uvedené popisuje, ako nainštalovať roly, inštalácia RDS sa nelíši od inštalácie iných rolí, v Role Services musíme vybrať Remote Desktop Licensing a Remote Desktop Session Host. Po inštalácii sa v Server Manager-Tools objaví položka Terminálové služby. V diagnostike licencovania RD pre Terminálové služby sú dve položky, ide o nástroj na diagnostiku fungovania licencovania vzdialenej plochy a Správca licencií vzdialenej plochy, ide o nástroj na správu licencií.

Spustite nástroj Diagnostika licencií RD

Tu vidíme, že zatiaľ nie sú dostupné žiadne licencie, pretože pre server RD Session Host nie je nastavený licenčný režim. Licenčný server je špecifikovaný v politikách miestnej skupiny. Ak chcete spustiť editor, spustite príkaz gpedit.msc. Otvorí sa Editor miestnej politiky skupiny. V strome vľavo rozbaľte karty:

• Konfigurácia počítača
• Administratívne šablóny
• Komponenty systému Windows
• Služby vzdialenej pracovnej plochy
• Hostiteľ relácie vzdialenej pracovnej plochy
• "Licencia" (licencia)

Otvorte parametre Použiť zadané licenčné servery vzdialenej pracovnej plochy

V okne úpravy nastavení politiky povoľte licenčný server (Povolené). Ďalej musíte definovať licenčný server pre Služby vzdialenej pracovnej plochy. V mojom príklade je licenčný server umiestnený na rovnakom fyzickom serveri. Zadajte názov siete alebo IP adresu licenčného servera a kliknite na OK. Ak sa názov servera, licenčný server v budúcnosti zmení, budete ho musieť zmeniť v rovnakej sekcii.

Potom v nástroji Diagnostika licencií RD uvidíte, že terminálový licenčný server je nakonfigurovaný, ale nie je povolený. Ak to chcete povoliť, spustite Správcu licencií vzdialenej pracovnej plochy

Vyberte licenčný server so stavom Neaktivovaný . Ak chcete aktivovať, kliknite naň pravým tlačidlom myši a vyberte položku Aktivovať server. Spustí sa Sprievodca aktiváciou servera. Na karte Spôsob pripojenia vyberte položku Automatické pripojenie. Ďalej vyplňte informácie o organizácii, potom sa aktivuje licenčný server.

Certifikačné služby Active Directory

AD CS poskytuje konfigurovateľné služby na vydávanie a správu digitálnych certifikátov, ktoré sa používajú v systémoch zabezpečenia softvéru, ktoré využívajú technológie verejného kľúča. Digitálne certifikáty poskytované službou AD CS možno použiť na šifrovanie a digitálne podpisovanie elektronických dokumentov a správ. Tieto digitálne certifikáty možno použiť na overenie účtov počítačov, používateľov a zariadení v sieti. Digitálne certifikáty sa používajú na poskytovanie:

• súkromie prostredníctvom šifrovania;
• integrita prostredníctvom digitálnych podpisov;
• autentifikácia prepojením kľúčov certifikátov s počítačovými, používateľskými a zariadeniami v sieti.

AD CS je možné použiť na zlepšenie bezpečnosti naviazaním identity používateľa, zariadenia alebo služby na zodpovedajúci súkromný kľúč. Aplikácie podporované AD CS zahŕňajú Secure Multipurpose Internet Mail Standard Extensions (S/MIME), zabezpečené bezdrôtové siete, virtuálne privátne siete (VPN), IPsec, Encrypting File System (EFS), prihlasovanie pomocou čipových kariet, protokol zabezpečenia a transportnej vrstvy (SSL /TLS) a digitálnych podpisov.

Active Directory Domain Services

Pomocou role servera Active Directory Domain Services (AD DS) môžete vytvoriť škálovateľnú, zabezpečenú a spravovateľnú infraštruktúru na správu používateľov a zdrojov; Môžete tiež poskytnúť aplikácie s podporou adresárov, ako napríklad Microsoft Exchange Server. Doménové služby Active Directory poskytujú distribuovanú databázu, ktorá ukladá a spravuje informácie o sieťových prostriedkoch a údajoch aplikácií s podporou adresárov. Server, na ktorom je spustená služba AD DS, sa nazýva radič domény. Správcovia môžu použiť službu AD DS na usporiadanie sieťových prvkov, ako sú používatelia, počítače a ďalšie zariadenia, do hierarchickej vnorenej štruktúry. Hierarchická vnorená štruktúra zahŕňa doménu Active Directory, domény v doméne a organizačné jednotky v každej doméne. Funkcie zabezpečenia sú integrované do AD DS vo forme autentifikácie a riadenia prístupu k prostriedkom v adresári. Pomocou jediného prihlásenia môžu správcovia spravovať informácie o adresároch a organizáciu cez sieť. Autorizovaní používatelia siete môžu tiež použiť jednotné prihlásenie do siete na prístup k zdrojom umiestneným kdekoľvek v sieti. Active Directory Domain Services poskytuje nasledujúce dodatočné funkcie.

• Sada pravidiel je schéma, ktorá definuje triedy objektov a atribútov, ktoré sú obsiahnuté v adresári, obmedzenia a limity pre inštancie týchto objektov a formát ich názvov.
• Globálny katalóg obsahujúci informácie o každom objekte v katalógu. Používatelia a správcovia môžu použiť globálny katalóg na vyhľadávanie údajov katalógu bez ohľadu na to, ktorá doména v katalógu skutočne obsahuje hľadané údaje.
• Mechanizmus dotazov a indexovania, prostredníctvom ktorého môžu používatelia siete a aplikácie publikovať a lokalizovať objekty a ich vlastnosti.
• Replikačná služba, ktorá distribuuje údaje adresára cez sieť. Všetky radiče domény s možnosťou zápisu v doméne sa zúčastňujú replikácie a obsahujú úplnú kópiu všetkých údajov adresára pre svoju doménu. Akékoľvek zmeny údajov adresára sa replikujú v doméne na všetky radiče domény.
• Roly hlavného operačného servera (známe aj ako flexibilné samostatné hlavné operácie alebo FSMO). Radiče domény, ktoré pôsobia ako hlavní operatívy, sú navrhnuté tak, aby vykonávali špeciálne úlohy, aby zabezpečili konzistentnosť údajov a zabránili konfliktným položkám adresára.

Active Directory Federation Services

Služba AD FS poskytuje koncovým používateľom, ktorí potrebujú prístup k aplikáciám v podnikoch zabezpečených službou AD FS, partnerských federáciách alebo v cloude, pomocou zjednodušenej a bezpečnej federácie identity a webových služieb jednotného prihlásenia (SSO). Windows Server AD FS obsahuje rolu služba Federation Service vystupujúca ako poskytovateľ identity (overuje používateľov, aby poskytli bezpečnostné tokeny aplikáciám, ktoré dôverujú AD FS) alebo ako poskytovateľ federácie (aplikuje tokeny od iných poskytovateľov identity a potom poskytuje bezpečnostné tokeny aplikáciám, ktoré dôverujú AD FS).

Odľahčené adresárové služby Active Directory

Active Directory Lightweight Directory Services (AD LDS) je protokol LDAP, ktorý poskytuje flexibilnú podporu pre adresárové aplikácie bez závislostí a obmedzení špecifických pre doménu Active Directory Domain Services. AD LDS možno spustiť na členských alebo samostatných serveroch. Na rovnakom serveri môžete spustiť viacero inštancií služby AD LDS s nezávisle spravovanými schémami. S rolou služby AD LDS môžete poskytovať adresárové služby aplikáciám s povolenými adresármi bez použitia údajov domény a lesných služieb a bez potreby jedinej schémy pre celý les.

Active Directory Rights Management Services

AD RMS môžete použiť na rozšírenie bezpečnostnej stratégie vašej organizácie zabezpečením dokumentov pomocou Information Rights Management (IRM). Služba AD RMS umožňuje používateľom a správcom prideľovať prístupové povolenia dokumentom, zošitom a prezentáciám pomocou zásad IRM. To vám umožňuje chrániť dôverné informácie pred tlačou, preposielaním alebo kopírovaním neoprávnenými používateľmi. Keď sú povolenia súboru obmedzené pomocou IRM, obmedzenia prístupu a používania platia bez ohľadu na umiestnenie informácií, pretože povolenie súboru je uložené v samotnom súbore dokumentu. S AD RMS a IRM môžu jednotliví používatelia uplatniť svoje vlastné preferencie týkajúce sa prenosu osobných a dôverných informácií. Pomôžu tiež organizácii presadzovať podnikové zásady na kontrolu používania a distribúcie citlivých a osobných informácií. Riešenia IRM podporované službou AD RMS sa používajú na poskytovanie nasledujúcich možností.

• Trvalé zásady používania, ktoré zostávajú s informáciami bez ohľadu na to, či sú presunuté, odoslané alebo preposielané.
• Ďalšia vrstva ochrany osobných údajov na ochranu citlivých údajov – ako sú správy, špecifikácie produktov, informácie o zákazníkoch a e-mailové správy – pred úmyselným alebo náhodným pádom do nesprávnych rúk.
• Zabráňte neoprávnenému odosielaniu, kopírovaniu, úpravám, tlači, faxovaniu alebo prilepovaniu obmedzeného obsahu oprávnenými príjemcami.
• Zabráňte kopírovaniu obmedzeného obsahu pomocou funkcie PRINT SCREEN v systéme Microsoft Windows.
• Podpora uplynutia platnosti súboru, ktorá bráni prezeraniu obsahu dokumentu po určitom čase.
• Implementujte podnikové zásady, ktoré riadia používanie a distribúciu obsahu v rámci organizácie

Aplikačný server

Application Server poskytuje integrované prostredie na nasadenie a spustenie vlastných podnikových aplikácií založených na serveri.

DHCP server

DHCP je technológia klient-server, ktorá umožňuje serverom DHCP prideľovať alebo prenajímať adresy IP počítačom a iným zariadeniam, ktoré sú klientmi DHCP. Nasadenie serverov DHCP v sieti automaticky poskytuje klientskym počítačom a iným sieťovým zariadeniam na základe platných IP adries IPv4 a IPv6 a dodatočné konfiguračné nastavenia vyžadované týmito klientmi a zariadeniami Služba DHCP Server v systéme Windows Server zahŕňa podporu pre priradenia založené na politike a DHCP núdzové prepnutie.

DNS server

Služba DNS je hierarchická distribuovaná databáza obsahujúca mapovanie názvov domén DNS na rôzne typy údajov, ako sú adresy IP. Služba DNS vám umožňuje používať priateľské názvy, ako napríklad www.microsoft.com, aby ste pomohli lokalizovať počítače a iné zdroje v sieťach založených na TCP/IP. Služba DNS v systéme Windows Server poskytuje ďalšiu vylepšenú podporu pre moduly zabezpečenia DNS (DNSSEC), vrátane sieťovej registrácie a automatizovanej správy nastavení.

FAX server

Faxový server odosiela a prijíma faxy a umožňuje vám spravovať faxové zdroje, ako sú úlohy, nastavenia, správy a faxové zariadenia na vašom faxovom serveri.

Súborové a úložné služby

Správcovia môžu použiť rolu Súborové a úložné služby na nastavenie viacerých súborových serverov a ich úložísk a na správu týchto serverov pomocou Server Manager alebo Windows PowerShell. Niektoré špecifické aplikácie obsahujú nasledujúce funkcie.

• pracovné priečinky. Používa sa na umožnenie používateľom ukladať a pristupovať k pracovným súborom na osobných počítačoch a zariadeniach iných ako firemné počítače. Používatelia získajú pohodlné miesto na ukladanie pracovných súborov a prístup k nim odkiaľkoľvek. Organizácie kontrolujú podnikové údaje ukladaním súborov na centrálne spravované súborové servery a voliteľným nastavením pravidiel pre používateľské zariadenia (ako je šifrovanie a heslá na uzamknutie obrazovky).
• Deduplikácia údajov. Používa sa na zníženie požiadaviek na miesto na disku na ukladanie súborov, čím šetríte peniaze na úložisku.
• cieľový server iSCSI. Používa sa na vytváranie centralizovaných diskových podsystémov iSCSI nezávislých od softvéru a zariadení v sieťach SAN (Storage Area Network).
• Priestory na disku. Používa sa na nasadenie úložiska, ktoré je vysoko dostupné, odolné voči chybám a škálovateľné s cenovo výhodnými jednotkami štandardného v odvetví.
• Správca servera. Používa sa na vzdialenú správu viacerých súborových serverov z jedného okna.
• Windows PowerShell. Používa sa na automatizáciu správy väčšiny úloh správy súborového servera.

Hyper-V

Rola Hyper-V vám umožňuje vytvárať a spravovať virtualizované výpočtové prostredie pomocou virtualizačnej technológie zabudovanej do systému Windows Server. Inštalácia roly Hyper-V nainštaluje predpoklady a voliteľné nástroje na správu. Medzi predpoklady patrí hypervízor Windows, služba správy virtuálnych strojov Hyper-V, poskytovateľ virtualizácie WMI a komponenty virtualizácie, ako sú VMbus, poskytovateľ virtualizačných služieb (VSP) a ovládač virtuálnej infraštruktúry (VID).

Sieťová politika a prístupové služby

Služby sieťovej politiky a prístupu poskytujú nasledujúce riešenia sieťového pripojenia:

• Network Access Protection je technológia na vytváranie, presadzovanie a nápravu zásad zdravia klienta. Pomocou Network Access Protection môžu správcovia systému nastaviť a automaticky presadzovať zdravotné politiky, ktoré zahŕňajú požiadavky na softvér, bezpečnostné aktualizácie a ďalšie nastavenia. Pre klientske počítače, ktoré nie sú v súlade s politikou zdravia, môžete obmedziť prístup k sieti, kým sa ich konfigurácia neaktualizuje tak, aby vyhovovala požiadavkám politiky.
• Ak sú nasadené bezdrôtové prístupové body s podporou 802.1X, môžete použiť server NPS (Network Policy Server) na nasadenie metód autentifikácie na základe certifikátu, ktoré sú bezpečnejšie ako autentifikácia založená na hesle. Nasadenie hardvéru s podporou 802.1X so serverom NPS umožňuje overenie používateľov intranetu pred pripojením k sieti alebo získaním adresy IP zo servera DHCP.
• Namiesto konfigurácie politiky sieťového prístupu na každom serveri sieťového prístupu môžete centrálne vytvoriť všetky politiky, ktoré budú definovať všetky aspekty požiadaviek na sieťové pripojenie (kto sa môže pripojiť, keď je pripojenie povolené, úroveň zabezpečenia, ktorá sa musí použiť na pripojenie k sieť).

Služby tlače a dokumentov

Služby tlače a dokumentov vám umožňujú centralizovať úlohy tlačového servera a sieťovej tlačiarne. Táto rola vám tiež umožňuje prijímať naskenované dokumenty zo sieťových skenerov a odosielať dokumenty do sieťových zdieľaných priečinkov – na lokalitu Windows SharePoint Services alebo prostredníctvom e-mailu.

vzdialený prístup

Rola Server vzdialeného prístupu je logickým zoskupením nasledujúcich technológií sieťového prístupu.

• Priamy prístup
• Smerovanie a vzdialený prístup
• Proxy webovej aplikácie

Tieto technológie sú služby rolí rola servera vzdialeného prístupu. Keď nainštalujete rolu Server vzdialeného prístupu, môžete nainštalovať jednu alebo viacero služieb rolí spustením Sprievodcu pridaním rolí a funkcií.

V systéme Windows Server poskytuje rola Remote Access Server možnosť centrálne spravovať, konfigurovať a monitorovať DirectAccess a VPN so službami vzdialeného prístupu Routing and Remote Access Service (RRAS). DirectAccess a RRAS možno nasadiť na rovnaký server Edge a spravovať pomocou príkazov prostredia Windows PowerShell a konzoly na správu vzdialeného prístupu (MMC).

Služby vzdialenej pracovnej plochy

Služba Remote Desktop Services urýchľuje a rozširuje nasadenie desktopov a aplikácií na akomkoľvek zariadení, vďaka čomu je vzdialený pracovník efektívnejší a zároveň zabezpečuje dôležité duševné vlastníctvo a zjednodušuje dodržiavanie predpisov. Služby vzdialenej pracovnej plochy zahŕňajú infraštruktúru virtuálnej pracovnej plochy (VDI), pracovné plochy založené na reláciách a aplikácie, ktoré používateľom umožňujú pracovať odkiaľkoľvek.

Služby aktivácie objemu

Volume License Activation Services je rola servera v systéme Windows Server počnúc systémom Windows Server 2012, ktorá automatizuje a zjednodušuje vydávanie a správu objemových licencií pre softvér spoločnosti Microsoft v rôznych scenároch a prostrediach. Spolu so službami aktivácie hromadných licencií môžete nainštalovať a nakonfigurovať službu správy kľúčov (KMS) a aktiváciu služby Active Directory.

webový server (IIS)

Rola webového servera (IIS) v systéme Windows Server poskytuje platformu na hosťovanie webových lokalít, služieb a aplikácií. Používanie webového servera poskytuje používateľom prístup k informáciám na internete, intranete a extranete. Správcovia môžu použiť rolu webového servera (IIS) na nastavenie a správu viacerých webových lokalít, webových aplikácií a lokalít FTP. Medzi špeciálne funkcie patria nasledujúce.

• Na konfiguráciu súčastí IIS a správu webových lokalít použite nástroj Internet Information Services (IIS) Manager.
• Používanie protokolu FTP na umožnenie vlastníkom webových stránok nahrávať a sťahovať súbory.
• Použitie izolácie webových stránok na zabránenie tomu, aby jedna webová lokalita na serveri ovplyvňovala ostatné.
• Prispôsobenie webových aplikácií vyvinutých pomocou rôznych technológií ako Classic ASP, ASP.NET a PHP.
• Pomocou prostredia Windows PowerShell môžete automaticky spravovať väčšinu úloh správy webového servera.
• Konsolidujte viacero webových serverov do serverovej farmy, ktorú možno spravovať pomocou IIS.

Služby nasadenia systému Windows

Windows Deployment Services vám umožňuje nasadiť operačné systémy Windows cez sieť, čo znamená, že nemusíte inštalovať každý operačný systém priamo z disku CD alebo DVD.

Windows Server Essentials Experience

Táto rola vám umožňuje vykonávať nasledujúce úlohy:

• chrániť údaje servera a klienta zálohovaním servera a všetkých klientskych počítačov v sieti;
• spravovať používateľov a skupiny používateľov prostredníctvom zjednodušeného ovládacieho panela servera. Okrem toho integrácia s Windows Azure Active Directory* poskytuje používateľom jednoduchý prístup k online službám Microsoft Online Services (ako sú Office 365, Exchange Online a SharePoint Online) pomocou ich doménových poverení;
• uchovávať firemné údaje na centralizovanom mieste;
• integrovať server so službami Microsoft Online Services (ako sú Office 365, Exchange Online, SharePoint Online a Windows Intune):
• používať funkcie všadeprítomného prístupu na serveri (napríklad vzdialený webový prístup a virtuálne súkromné ​​siete) na prístup k serveru, počítačom v sieti a údajom z vysoko bezpečných vzdialených miest;
• pristupovať k údajom odkiaľkoľvek a z akéhokoľvek zariadenia pomocou vlastného webového portálu organizácie (prostredníctvom vzdialeného webového prístupu);
• Spravujte mobilné zariadenia, ktoré pristupujú k e-mailu vašej organizácie pomocou služieb Office 365 prostredníctvom protokolu Active Sync z ovládacieho panela.
• monitorovať stav siete a prijímať prispôsobiteľné správy o stave; správy môžu byť generované na požiadanie, prispôsobené a odoslané e-mailom konkrétnym príjemcom.

Windows Server Update Services

Server WSUS poskytuje súčasti, ktoré správcovia potrebujú na správu a distribúciu aktualizácií prostredníctvom riadiacej konzoly. Server WSUS môže byť navyše zdrojom aktualizácií pre iné servery WSUS v organizácii. Pri implementácii WSUS musí byť aspoň jeden server WSUS v sieti pripojený k službe Microsoft Update, aby ste mohli dostávať informácie o dostupných aktualizáciách. V závislosti od zabezpečenia a konfigurácie siete môže správca určiť, koľko ďalších serverov je priamo pripojených k službe Microsoft Update.

Pomôcka GPResult.exe– je konzolová aplikácia určená na analýzu nastavení a diagnostiku skupinových politík, ktoré sú aplikované na počítač a/alebo používateľa v doméne Active Directory. GPResult umožňuje získať najmä údaje výslednej sady politík (Resultant Set of Policy, RSOP), zoznam aplikovaných doménových politík (GPO), ich nastavenia a podrobné informácie o ich chybách spracovania. Pomôcka je súčasťou operačného systému Windows už od čias Windows XP. Pomôcka GPResult vám umožňuje odpovedať na otázky, ako napríklad, či sa konkrétna politika vzťahuje na počítač, ktorý GPO zmenil konkrétne nastavenie systému Windows, a zistiť dôvody.

V tomto článku sa pozrieme na funkcie použitia príkazu GPResult na diagnostiku a ladenie aplikácie skupinových politík v doméne Active Directory.

Spočiatku sa na diagnostiku aplikácie skupinových politík vo Windows používala grafická konzola RSOP.msc, ktorá umožňovala získať nastavenia výsledných politík (doména + lokálna) aplikovaných na počítač a používateľa v grafickej podobe podobnej do konzoly editora GPO (nižšie na príklade zobrazenia konzoly RSOP.msc vidíte, že nastavenia aktualizácie sú nastavené).

Konzolu RSOP.msc v moderných verziách systému Windows však nie je praktické používať, pretože neodráža nastavenia použité rôznymi rozšíreniami skupinovej politiky (CSE), ako napríklad GPP (preferencie skupinovej politiky), neumožňuje vyhľadávanie, poskytuje málo diagnostických informácií. Preto je v súčasnosti hlavným nástrojom na diagnostiku použitia GPO vo Windowse príkaz GPResult (vo Windows 10 je dokonca varovanie, že RSOP na rozdiel od GPResult nedáva kompletnú správu).

Pomocou pomôcky GPResult.exe

Príkaz GPResult sa spustí na počítači, na ktorom chcete otestovať aplikáciu skupinových politík. Príkaz GPResult má nasledujúcu syntax:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Ak chcete získať podrobné informácie o skupinových politikách, ktoré sa vzťahujú na daný objekt AD (používateľ a počítač) a ďalšie nastavenia súvisiace s infraštruktúrou GPO (t. j. výsledné nastavenia politiky GPO - RsoP), spustite príkaz:

Výsledky vykonania príkazu sú rozdelené do 2 sekcií:

• POČÍTAČ NASTAVENIE (Konfigurácia počítača) – sekcia obsahuje informácie o objektoch GPO, ktoré ovplyvňujú počítač (ako objekt Active Directory);
• POUŽÍVATEĽ NASTAVENIE – užívateľská časť zásad (zásady, ktoré sa vzťahujú na užívateľský účet v AD).

Poďme si v krátkosti prejsť hlavné parametre/sekcie, ktoré nás môžu vo výstupe GPResult zaujímať:

• stránkynázov(Názov stránky:) - názov stránky AD, na ktorej sa počítač nachádza;
• CN– úplný kanonický používateľ/počítač, pre ktorý boli vygenerované údaje RSoP;
• Poslednýčasskupinapolitikabolaplikované(Naposledy použitá skupinová politika) – čas, kedy boli naposledy použité skupinové politiky;
• skupinapolitikabolaplikovanéod(Politika skupiny bola použitá z) – radič domény, z ktorého bola načítaná najnovšia verzia objektu GPO;
• doménynázova Doménatypu(Názov domény, typ domény) – názov a verzia schémy domény Active Directory;
• AplikovanéskupinapolitikaObjekty(Použité GPO)– zoznamy objektov aktívnej skupinovej politiky;
• ThenasledujúceGPObolinieaplikovanépretožeonibolifiltrovanévon(Nasledujúce zásady GPO neboli použité, pretože boli filtrované) - neaplikované (filtrované) GPO;
• Theužívateľ/počítačjeačasťzanasledujúcebezpečnosťskupiny(Používateľ/počítač je členom nasledujúcich bezpečnostných skupín) – Skupiny domén, ktorých je používateľ členom.

V našom príklade môžete vidieť, že objekt používateľa ovplyvňujú 4 skupinové politiky.

• Predvolená politika domény;
• Povoliť bránu Windows Firewall;
• Zoznam vyhľadávania prípon DNS

Ak nechcete, aby konzola súčasne zobrazovala informácie o politikách používateľov a politikách počítača, môžete použiť možnosť /scope na zobrazenie iba sekcie, ktorá vás zaujíma. Iba výsledné pravidlá pre používateľov:

gpresult /r /scope:user

alebo iba aplikované pravidlá pre stroj:

gpresult /r /scope:computer

Pretože Obslužný program Gpresult odosiela svoje údaje priamo do konzoly príkazového riadka, čo nie je vždy vhodné pre následnú analýzu; jeho výstup môže byť presmerovaný do schránky:

gpresult /r |klip

alebo textový súbor:

gpresult /r > c:\gpresult.txt

Ak chcete zobraziť veľmi podrobné informácie RSOP, pridajte prepínač /z.

HTML RSOP report pomocou GPResult

Okrem toho môže pomôcka GPResult vygenerovať HTML správu o použitých politikách výsledkov (dostupné v systéme Windows 7 a novších). Táto zostava bude obsahovať podrobné informácie o všetkých systémových nastaveniach, ktoré sú nastavené skupinovými politikami a názvy konkrétnych GPO, ktoré ich nastavujú (výsledná zostava o štruktúre pripomína záložku Nastavenia v Konzole na správu zásad skupiny domén - GPMC). Hlásenie HTML GPResult môžete vygenerovať pomocou príkazu:

GPResult /h c:\gp-report\report.html /f

Ak chcete vygenerovať prehľad a automaticky ho otvoriť v prehliadači, spustite príkaz:

GPResult /h GPResult.html & GPResult.html

HTML správa gpresult obsahuje pomerne veľa užitočných informácií: sú viditeľné chyby aplikácie GPO, čas spracovania (v ms) a aplikácia špecifických politík a VVN (v časti Podrobnosti o počítači -> Stav komponentu). Napríklad na snímke obrazovky vyššie môžete vidieť, že politika s nastaveniami, ktoré si zapamätáte 24 hesiel, sa uplatňuje v Predvolenej politike domény (stĺpec Víťazný GPO). Ako vidíte, takáto HTML správa je oveľa pohodlnejšia na analýzu použitých politík ako konzola rsop.msc.

Získavanie údajov GPResult zo vzdialeného počítača

GPResult môže tiež zhromažďovať údaje zo vzdialeného počítača, čím sa eliminuje potreba, aby sa správca prihlasoval lokálne alebo RDP na vzdialený počítač. Formát príkazu na zhromažďovanie údajov RSOP zo vzdialeného počítača je nasledujúci:

GPResult /s server-ts1 /r

Podobne môžete vzdialene zhromažďovať údaje z používateľských politík a počítačových politík.

používateľské meno nemá žiadne údaje RSOP

Keď je UAC povolený, spustenie GPResult bez zvýšených oprávnení zobrazí iba nastavenia pre sekciu politiky skupiny používateľov. Ak potrebujete zobraziť obe sekcie (POUŽÍVATEĽSKÉ NASTAVENIA a NASTAVENIA POČÍTAČA) súčasne, treba príkaz spustiť. Ak sa zvýšený príkazový riadok nachádza v inom systéme, než je aktuálny používateľ, pomôcka vydá varovanie INFO: Theužívateľ„doména\user“robíniemaťRSOPúdajov ( Používateľ 'doména\používateľ' nemá žiadne údaje RSOP). Je to preto, že GPResult sa snaží zbierať informácie pre používateľa, ktorý ho spustil, ale preto Tento používateľ sa neprihlásil do systému a pre tohto používateľa nie sú dostupné žiadne informácie RSOP. Ak chcete zhromažďovať informácie RSOP pre používateľa s aktívnou reláciou, musíte zadať jeho účet:

gpresult /r /user:tn\edward

Ak nepoznáte názov účtu, ktorý je prihlásený na vzdialenom počítači, môžete ho získať takto:

qwinsta /SERVER:remotePC1

Tiež skontrolujte čas (y) na klientovi. Čas sa musí zhodovať s časom na PDC (primárnom radiči domény).

Nasledujúce zásady GPO neboli použité, pretože boli odfiltrované

Pri riešení problémov so skupinovými politikami by ste mali venovať pozornosť aj časti: Nasledujúce GPO neboli použité, pretože boli odfiltrované (Nasledujúce GPO politiky neboli použité, pretože boli odfiltrované). Táto sekcia zobrazuje zoznam GPO, ktoré sa z jedného alebo druhého dôvodu nevzťahujú na tento objekt. Možné možnosti, na ktoré sa pravidlá nemusia vzťahovať:

Na karte Efektívne povolenia (Rozšírené -> Efektívny prístup) môžete tiež pochopiť, či sa má politika použiť na konkrétny objekt AD.

V tomto článku sme teda preskúmali funkcie diagnostiky aplikácie skupinových politík pomocou pomôcky GPResult a zhodnotili typické scenáre jej použitia.

Prednáška 4 Server sieťovej politiky: Server RADIUS, Proxy RADIUS a Server bezpečnostnej politiky

Prednáška 4

Téma: Server sieťových zásad: Server RADIUS, proxy RADIUS a server zásad ochrany sieťového prístupu

Úvod

Windows Server 2008 a Windows Server 2008 R2 sú pokročilé operačné systémy Windows Server navrhnuté na podporu novej generácie sietí, aplikácií a webových služieb. Pomocou týchto operačných systémov môžete navrhovať, poskytovať a spravovať flexibilné a všadeprítomné používateľské a aplikačné skúsenosti, budovať vysoko bezpečné sieťové infraštruktúry a zvyšovať technologickú efektivitu a organizáciu vo vašej organizácii.

Server sieťovej politiky

Server Network Policy Server vám umožňuje vytvárať a presadzovať politiky prístupu k sieti v celej organizácii, aby ste zaistili zdravie klienta a overili a autorizovali požiadavky na pripojenie. Server NPS môžete použiť aj ako proxy server RADIUS na posielanie žiadostí o pripojenie na servery NPS alebo iné servery RADIUS nakonfigurované v skupinách vzdialených serverov RADIUS.

Server sieťových zásad vám umožňuje centrálne konfigurovať a spravovať zásady overovania, autorizácie a stavu klientskej siete prostredníctvom nasledujúcich troch možností:

server RADIUS. NPS centrálne zabezpečuje autentifikáciu, autorizáciu a účtovanie pre bezdrôtové pripojenia, overené pripojenia prepínačov, telefonické pripojenia a pripojenia k virtuálnej súkromnej sieti (VPN). Keď používate server NPS ako server RADIUS, servery prístupu k sieti, ako sú bezdrôtové prístupové body a servery VPN, sú na serveri NPS nakonfigurované ako klienti RADIUS. Konfiguruje tiež sieťové politiky, ktoré NPS používa na autorizáciu žiadostí o pripojenie. Okrem toho môžete nakonfigurovať účtovníctvo RADIUS tak, aby NPS zaznamenával údaje do protokolových súborov uložených na lokálnom pevnom disku alebo v databáze Microsoft SQL Server.

RADIUS proxy. Ak sa server NPS používa ako server proxy RADIUS, musíte nakonfigurovať zásady žiadostí o pripojenie, ktoré určujú, ktoré žiadosti o pripojenie server NPS prepošle iným serverom RADIUS a ktoré konkrétne servery RADIUS budú tieto požiadavky preposielať. NPS možno nakonfigurovať aj na presmerovanie poverení, ktoré sa majú uložiť na jednom alebo viacerých počítačoch vo vzdialenej skupine serverov RADIUS.

Server politiky Network Access Protection (NAP). Keď je server NPS nakonfigurovaný ako server politík NAP, server NPS vyhodnocuje zdravotné stavy odosielané klientskymi počítačmi s podporou NAP, ktoré sa pokúšajú pripojiť k sieti. Network Policy Server nakonfigurovaný s Network Access Protection funguje ako server RADIUS, ktorý overuje a autorizuje požiadavky na pripojenie. NPS vám umožňuje konfigurovať politiky a nastavenia Network Access Protection, vrátane skupín System Health Checkers, Health Policy a Update Server, ktoré zabezpečujú aktualizáciu klientskych počítačov v súlade so sieťovou politikou organizácie.

Na serveri Network Policy Server môžete nakonfigurovať ľubovoľnú kombináciu funkcií uvedených vyššie. NPS môže napríklad fungovať ako server politiky NAP pomocou jednej alebo viacerých aplikačných metód, pričom môže pôsobiť ako server RADIUS pre telefonické pripojenia a RADIUS proxy na posielanie niektorých požiadaviek na pripojenie skupine vzdialených serverov RADIUS, čo umožňuje autentifikáciu a autorizáciu v inej doméne.

Server RADIUS a proxy RADIUS

NPS možno použiť ako server RADIUS, proxy server RADIUS alebo oboje.

server RADIUS

Microsoft NPS je implementovaný v súlade so štandardom RADIUS popísaným v IETF RFC 2865 a RFC 2866. Ako server RADIUS NPS centrálne vykonáva autentifikáciu, autorizáciu a účtovanie pripojení pre rôzne typy sieťového prístupu, vrátane bezdrôtového prístupu, prepínania s autentifikáciou, vytáčania -up a prístup VPN a pripojenia medzi smerovačmi.

Network Policy Server vám umožňuje používať heterogénnu sadu zariadení na bezdrôtový prístup, vzdialený prístup, siete VPN a prepínanie. Server sieťových zásad možno použiť so službou Smerovanie a vzdialený prístup, ktorá je dostupná v operačných systémoch Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition a Windows Server 2003, Datacenter Edition.

Ak je počítač NPS členom domény Active Directory®, server NPS používa túto adresárovú službu ako databázu používateľských účtov a je súčasťou riešenia jednotného prihlásenia. Rovnaká sada poverení sa používa na riadenie prístupu k sieti (overovanie a autorizáciu prístupu k sieti) a na prihlásenie do domény Active Directory.

Poskytovatelia internetových služieb a organizácie, ktoré poskytujú prístup k sieti, čelia zložitejším výzvam správy všetkých typov sietí z jedného miesta správy, bez ohľadu na použité vybavenie na prístup k sieti. Štandard RADIUS podporuje túto funkčnosť v homogénnych aj heterogénnych prostrediach. Protokol RADIUS je protokol klient/server, ktorý umožňuje zariadeniu s prístupom k sieti (pôsobiace ako klienti RADIUS) odosielať autentifikačné a účtovné požiadavky na server RADIUS.

Server RADIUS má prístup k informáciám o používateľských kontách a môže overiť poverenia pri autentifikácii na udelenie prístupu k sieti. Ak sú poverenia používateľa autentické a pokus o pripojenie je autorizovaný, server RADIUS autorizuje prístup tohto používateľa na základe špecifikovaných podmienok a zaznamená informácie o pripojení. Používanie protokolu RADIUS umožňuje zhromažďovanie a uchovávanie informácií o autentifikácii, autorizácii a účtovaní na jednom mieste namiesto toho, aby sa museli vykonávať na každom prístupovom serveri.

RADIUS proxy

Ako proxy server RADIUS posiela server NPS overovacie a účtovné správy na iné servery RADIUS.

Pomocou NPS môžu organizácie outsourcovať svoju infraštruktúru vzdialeného prístupu poskytovateľovi služieb, pričom si zachovávajú kontrolu nad overovaním používateľov, autorizáciou a účtovaním.

Konfigurácie NPS možno vytvoriť pre nasledujúce scenáre:

Bezdrôtový prístup

Vytáčané alebo virtuálne privátne sieťové pripojenie v organizácii.

Vzdialený prístup alebo bezdrôtový prístup poskytovaný externou organizáciou

Prístup na internet

Overený prístup k externým sieťovým zdrojom pre obchodných partnerov

Príklady konfigurácie servera RADIUS a servera RADIUS proxy

Nasledujúce príklady konfigurácie ukazujú, ako nakonfigurovať server NPS ako server RADIUS a server proxy RADIUS.

NPS ako server RADIUS. V tomto príklade je server NPS nakonfigurovaný ako server RADIUS, jedinou nakonfigurovanou politikou je predvolená politika žiadostí o pripojenie a všetky žiadosti o pripojenie spracováva lokálny server NPS. NPS môže autentifikovať a autorizovať používateľov, ktorých účty sú v doméne servera alebo v dôveryhodných doménach.

NPS ako proxy server RADIUS. V tomto príklade je server NPS nakonfigurovaný ako server proxy RADIUS, ktorý preposiela požiadavky na pripojenie skupinám vzdialených serverov RADIUS v dvoch rôznych nedôveryhodných doménach. Predvolená politika žiadostí o pripojenie je odstránená a nahradená dvoma novými politikami žiadostí o pripojenie, ktoré presmerujú požiadavky na každú z dvoch nedôveryhodných domén. V tomto príklade server NPS nespracováva požiadavky na pripojenie na lokálnom serveri.

NPS ako server RADIUS aj server RADIUS proxy. Okrem predvolenej politiky žiadostí o pripojenie, ktorá spracováva požiadavky lokálne, sa vytvorí nová politika žiadostí o pripojenie na ich presmerovanie na server NPS alebo iný server RADIUS v nedôveryhodnej doméne. Druhá politika sa nazýva Proxy. V tomto príklade sa politika proxy zobrazí ako prvá v zoradenom zozname politík. Ak sa žiadosť o pripojenie zhoduje s politikou „Proxy“, daná žiadosť pri pripojení je presmerované na server RADIUS v skupine vzdialených serverov RADIUS. Ak sa žiadosť o pripojenie nezhoduje s politikou proxy, ale zodpovedá predvolenej politike žiadosti o pripojenie, server NPS spracuje žiadosť o pripojenie na lokálnom serveri. Ak žiadosť o pripojenie nezodpovedá žiadnej z týchto zásad, bude zamietnutá.

NPS ako server RADIUS so vzdialenými účtovnými servermi. V tomto príklade nie je lokálny server NPS nakonfigurovaný na účtovanie a predvolená politika požiadaviek na pripojenie sa zmenila tak, že správy účtovania RADIUS sa posielajú ďalej na server NPS alebo iný server RADIUS v skupine vzdialených serverov RADIUS. Aj keď sa správy o účtovaní preposielajú, správy o autentifikácii a autorizácii sa neposielajú ďalej a príslušnú funkčnosť pre lokálnu doménu a všetky dôveryhodné domény má na starosti lokálny server NPS.

NPS so vzdialeným mapovaním používateľov RADIUS na Windows. V tomto príklade server NPS funguje ako server RADIUS aj ako proxy server RADIUS pre každú požiadavku na pripojenie, pričom presmeruje požiadavku na overenie na vzdialený server RADIUS a zároveň sa overí pomocou lokálneho používateľského účtu Windows. Táto konfigurácia je implementovaná nastavením užívateľského atribútu Remote RADIUS Server Mapping to Windows ako podmienky politiky požiadavky na pripojenie. (Okrem toho musíte vytvoriť lokálne používateľské konto na serveri RADIUS s rovnakým názvom ako vzdialené konto, voči ktorému sa bude vzdialený server RADIUS overovať.)

Server zásad ochrany prístupu k sieti

Súčasťou je súčasť Network Access Protection Windows Vista®, Windows® 7, Windows Server® 2008 a Windows Server® 2008 R2. Pomáha chrániť prístup k súkromným sieťam tým, že zaisťuje, že klientske počítače sú v súlade so zásadami zdravia platnými v sieti organizácie, keď týmto klientom umožňuje prístup k sieťovým zdrojom. Okrem toho súlad klientskeho počítača s politikou zdravia definovanou správcom monitoruje ochrana prístupu k sieti, kým je klientsky počítač pripojený k sieti. Vďaka možnosti automatickej aktualizácie Network Access Protection môžu byť nevyhovujúce počítače automaticky aktualizované podľa zdravotnej politiky, aby im neskôr mohol byť udelený prístup k sieti.

Správcovia systému definujú politiky zdravia siete a vytvárajú tieto politiky pomocou komponentov NAP, ktoré sú dostupné z NPS alebo dodávané inými spoločnosťami (v závislosti od implementácie NAP).

Zásady zdravia môžu mať charakteristiky, ako sú softvérové ​​požiadavky, požiadavky na aktualizácie zabezpečenia a požiadavky na konfiguračné nastavenia. Network Access Protection presadzuje zásady zdravia tým, že kontroluje a hodnotí stav klientskych počítačov, obmedzuje prístup k sieti na počítače, ktoré nie sú v súlade s predpismi, a opravuje nekonzistentnosť, aby sa zabezpečil neobmedzený prístup k sieti.

Pred vývojom soketového servera musíte vytvoriť politický server, ktorý informuje Silverlight, ktorí klienti sa môžu pripojiť k soketovému serveru.

Ako je uvedené vyššie, Silverlight neumožňuje načítanie obsahu alebo volanie webovej služby, ak doména nemá clientaccesspolicy .xml alebo súbor crossdomain. xml, kde sú tieto operácie výslovne povolené. Podobné obmedzenie platí pre soketový server. Ak nepovolíte klientskemu zariadeniu stiahnuť súbor .xml clientaccesspolicy, ktorý umožňuje vzdialený prístup, Silverlight odmietne nadviazať spojenie.

Žiaľ, poskytovanie zásad klientskeho prístupu. cml do aplikácie soketu je väčšou výzvou ako jej poskytovanie prostredníctvom webovej stránky. Pri používaní webovej stránky môže softvér webového servera poskytnúť súbor .xml clientaccesspolicy, len ho nezabudnite pridať. Súčasne, keď používate aplikáciu soketu, musíte otvoriť soket, ku ktorému môžu klientske aplikácie pristupovať s požiadavkami na politiku. Okrem toho musíte manuálne vytvoriť kód, ktorý obsluhuje zásuvku. Ak chcete vykonať tieto úlohy, musíte vytvoriť server politík.

V nasledujúcom texte ukážeme, že server politík funguje rovnakým spôsobom ako server správ, iba spracováva o niečo jednoduchšie interakcie. Servery správ a politiky môžu byť vytvorené samostatne alebo kombinované v jednej aplikácii. V druhom prípade musia počúvať požiadavky na rôznych vláknach. V tomto príklade vytvoríme server politík a potom ho skombinujeme so serverom správ.

Ak chcete vytvoriť server politík, musíte najskôr vytvoriť aplikáciu .NET. Akýkoľvek typ aplikácie .NET môže slúžiť ako server politík. Najjednoduchším spôsobom je použiť konzolovú aplikáciu. Po odladení konzolovej aplikácie môžete kód presunúť do služby Windows, aby bežala na pozadí po celú dobu.

Súbor zásad

Nasleduje súbor politiky poskytnutý serverom politík.

Súbor politiky definuje tri pravidlá.

Umožňuje prístup ku všetkým portom od 4502 do 4532 (toto je celý rad portov podporovaných doplnkom Silverlight). Ak chcete zmeniť rozsah dostupných portov, zmeňte hodnotu atribútu portu prvku.

Umožňuje prístup TCP (oprávnenie je definované v atribúte protokolu prvku).

Umožňuje volanie z ľubovoľnej domény. Preto môže byť aplikácia Silverlight, ktorá vytvára spojenie, hosťovaná na ľubovoľnej webovej lokalite. Ak chcete zmeniť toto pravidlo, musíte upraviť atribút uri prvku.

Na uľahčenie sú pravidlá politiky umiestnené v súbore clientaccess-ploi.cy.xml, ktorý sa pridáva do projektu. Vo Visual Studio musí byť parameter Copy to Output Directory súboru politiky nastavený na Cop Always. stačí nájsť súbor na pevnom disku, otvoriť ho a vrátiť obsah do klientskeho zariadenia.

Trieda PolicyServer

Funkčnosť servera politík je založená na dvoch kľúčových triedach: PolicyServer a PolicyConnection. Trieda PolicyServer spracováva čakanie na pripojenia. Keď prijme spojenie, odovzdá riadenie novej inštancii triedy PoicyConnection, ktorá odovzdá súbor politiky klientovi. Tento dvojdielny postup je bežný v sieťovom programovaní. Pri práci so servermi správ to uvidíte viackrát.

Trieda PolicyServer načíta súbor politiky z pevného disku a uloží ho do poľa ako pole bajtov.

verejnej triedy PolicyServer

politika súkromných bajtov;

public PolicyServer(string policyFile) (

Ak chcete začať počúvať, serverová aplikácia musí zavolať PolicyServer. Štart (). Vytvára objekt TcpListener, ktorý počúva požiadavky. Objekt TcpListener je nakonfigurovaný na počúvanie na porte 943. V Silverlight je tento port vyhradený pre servery politík. Pri vytváraní požiadaviek na súbory zásad ich aplikácia Silverlight automaticky nasmeruje na port 943.

súkromný poslucháč TcpListener;

public void Start()

// Vytvorenie poslucháča

listener = new TcpListener(IPAddress.Any, 943);

// Začnite počúvať; metóda Start() vráti II ihneď po zavolaní listener.Start();

// Čaká sa na spojenie; metóda sa okamžite vráti;

Čakanie II sa vykonáva v samostatnom vlákne

Ak chcete prijať ponúkané pripojenie, server politík zavolá metódu BeginAcceptTcpClient(). Rovnako ako všetky metódy Beginxxx() rámca .NET sa vráti ihneď po zavolaní a vykoná potrebné operácie na samostatnom vlákne. Pre sieťové aplikácie je to veľmi významný faktor, pretože umožňuje súčasne spracovať veľa požiadaviek na súbory politík.

Poznámka. Začínajúci sieťoví programátori sa často čudujú, ako je možné súčasne spracovať viac ako jednu požiadavku, a myslia si, že to vyžaduje niekoľko serverov. Avšak nie je. S týmto prístupom by klientske aplikácie rýchlo vyčerpali dostupné porty. V praxi serverové aplikácie spracovávajú mnoho požiadaviek cez jeden port. Tento proces je pre aplikácie neviditeľný, pretože vstavaný podsystém TCP v systéme Windows automaticky identifikuje správy a nasmeruje ich do príslušných objektov v kóde aplikácie. Každé pripojenie je jednoznačne identifikované na základe štyroch parametrov: adresa IP klienta, číslo portu klienta, adresa IP servera a číslo portu servera.

Pri každej požiadavke sa spustí metóda spätného volania OnAcceptTcpClient(). Znovu zavolá metódu BeginAcceptTcpClient O, aby sa začalo čakať na ďalšiu požiadavku v inom vlákne, a potom začne spracovávať aktuálnu požiadavku.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Prijatá požiadavka zásad."); // Čaká sa na ďalšie pripojenie.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Spracovanie aktuálneho pripojenia.

Klient TcpClient = poslucháč.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nové PolicyConnection(klient, politika); policyConnection.HandleRequest() ;

chytiť (výnimka chyba) (

Zakaždým, keď sa prijme nové pripojenie, vytvorí sa nový objekt PolicyConnection, ktorý ho spracuje. Okrem toho objekt PolicyConnection udržiava súbor politiky.

Posledným komponentom triedy PolicyServer je metóda Stop(), ktorá zastaví čakanie na požiadavky. Aplikácia ho zavolá, keď sa ukončí.

private bool isStopped;

public void StopO(

isStopped = true;

poslucháča. stop();

chytiť (výnimka chyba) (

Console.WriteLine(err.Message);

Nasledujúci kód sa používa v metóde Main() aplikačného servera na spustenie servera politík.

static void Main(string args) (

PolicyServer policyServer = nový PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Server zásad bol spustený."); Console.WriteLine("Pre ukončenie stlačte kláves Enter.");

// Čakanie na stlačenie klávesu; pomocou metódy // Console.ReadKey() ju môžete nastaviť tak, aby čakala na konkrétny // riadok (napríklad quit) alebo stlačte ľubovoľný kláves Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Ukončiť server zásad.");

trieda PolicyConnection

Trieda PolicyConnection vykonáva jednoduchšiu úlohu. Objekt PolicyConnection ukladá odkaz na údaje súboru politiky. Potom, po zavolaní metódy HandleRequest(), objekt PolicyConnection získa nové pripojenie zo sieťového toku a pokúsi sa ho prečítať. Klientske zariadenie musí odoslať reťazec obsahujúci text. Po prečítaní tohto textu klientske zariadenie zapíše dáta politiky do streamu a uzavrie spojenie. Nasleduje kód triedy PolicyConnection.

verejná trieda PolicyConnection(

súkromný klient TcpClient; politika súkromných bajtov;

public PolicyConnection (klient TcpClient, politika bajtov) (

this.client = klient; this.policy = politika;

// Vytvorenie súkromnej požiadavky klienta so statickým reťazcom policyRequestString = "

public void HandleRequest()(

Stream s = klient.GetStream(); // Čítanie reťazca dotazu na politiku

byte buffer = nový bajt;

// Počkajte iba 5 sekúnd client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Odovzdať politiku (môžete tiež skontrolovať, či požiadavka na politiku má // požadovaný obsah) s.Write(policy, 0, policy.Length);

// Zatvorte pripojenie client.Close();

Console.WriteLine("Súbor s pravidlami doručený.");

Takže máme plne funkčný server zásad. Žiaľ, zatiaľ sa nedá otestovať, pretože doplnok Silverlight neumožňuje explicitné vyžiadanie súborov zásad. Namiesto toho ich automaticky požaduje pri pokuse o použitie aplikácie soketu. Pred vytvorením klientskej aplikácie pre túto soketovú aplikáciu musíte vytvoriť server.

V predchádzajúcich článkoch tento cyklus naučili ste sa efektívne využívať funkcionalitu lokálnych bezpečnostných politík, čo vám umožňuje čo najviac chrániť infraštruktúru vašej organizácie pred útokmi neprajníkov zvonku, ako aj pred väčšinou akcií nekompetentných zamestnancov. Už viete, ako môžete efektívne nastaviť zásady účtov, ktoré vám umožnia spravovať zložitosť hesiel vašich používateľov, nastaviť zásady auditu na neskoršiu analýzu autentifikácie vašich používateľov v protokole zabezpečenia. Okrem toho ste sa naučili, ako prideliť práva svojim používateľom, aby ste nepoškodili váš systém a dokonca aj počítače vo vašom intranete, a ako môžete efektívne nakonfigurovať protokoly udalostí, obmedzené skupiny, systémové služby, register a súborový systém. V tomto článku budeme pokračovať v štúdiu miestnych bezpečnostných zásad a dozviete sa o nastaveniach zabezpečenia káblovej siete pre váš podnik.

Serverové operačné systémy spoločnosti Microsoft, počnúc Windows Server 2008, zaviedli komponent Wired Network Policies (IEEE 802.3), ktorý poskytuje automatickú konfiguráciu pre nasadenie služieb káblového prístupu s overením IEEE 802.1X pre klientov siete Ethernet 802.3. Na implementáciu nastavení zabezpečenia pre káblové siete pomocou skupinových zásad používajú operačné systémy službu Wired AutoConfig (Wired AutoConfig - DOT3SVC). Aktuálna služba je zodpovedná za autentifikáciu IEEE 802.1X pri pripájaní k ethernetovým sieťam pomocou kompatibilných prepínačov 802.1X a tiež spravuje profil používaný na konfiguráciu sieťového klienta na overený prístup. Za zmienku tiež stojí, že ak použijete tieto zásady, potom je žiaduce zabrániť používateľom vo vašej doméne zmeniť režim spustenia tejto služby.

Konfigurácia zásad káblovej siete

Nastavenia zásad káblovej siete môžete nastaviť priamo z modulu snap-in. Ak chcete nakonfigurovať tieto nastavenia, postupujte takto:

1. Otvorte modul snap-in a vyberte uzol v strome konzoly, kliknite naň pravým tlačidlom myši a vyberte príkaz z kontextovej ponuky „Vytvorenie novej zásady káblovej siete pre systém Windows Vista a novší“ ako je znázornené na nasledujúcom obrázku:

   Ryža. 1. Vytvorte politiku káblovej siete

2. V otvorenom dialógovom okne "Nová politika pre vlastnosti káblových sietí", na karte "generál", môžete určiť použitie služby Wired AutoConfig na konfiguráciu adaptérov LAN na pripojenie ku káblovej sieti. Okrem nastavení zásad, ktoré sa vzťahujú na operačné systémy Windows Vista a novšie, existujú aj niektoré nastavenia zásad, ktoré sa budú vzťahovať iba na operačné systémy Windows 7 a Windows Server 2008 R2. Na tejto karte môžete vykonať nasledujúce akcie:
   • Názov politiky. V tomto textovom poli môžete pomenovať pravidlá káblovej siete. Názov politiky môžete vidieť na table podrobností uzla "Zásady káblovej siete (IEEE 802.3)" zaklapnúť Editor správy zásad skupiny;
   • Popis. Toto textové pole slúži na vyplnenie podrobného popisu účelu politiky káblovej siete;
   • Pre klientov použite službu Windows Wired AutoConfig. Táto možnosť vykoná skutočnú konfiguráciu a pripojí klientov ku káblovej sieti 802.3. Ak túto možnosť zakážete, operačný systém Windows nebude ovládať káblové sieťové pripojenie a nastavenia politiky sa neprejavia;
   • Zabrániť používaniu zdieľaných používateľských poverení na overenie siete. Toto nastavenie určuje, či sa má používateľovi zabrániť v ukladaní zdieľaných používateľských poverení na sieťovú autentifikáciu. Toto nastavenie môžete zmeniť lokálne pomocou príkazu netsh lan set allowexplicitcreds;
   • Povoliť obdobie blokovania. Toto nastavenie určuje, či sa má počítaču zabrániť v automatickom pripojení ku káblovej sieti na vami určený počet minút. Predvolená hodnota je 20 minút. Doba blokovania je nastaviteľná od 1 do 60 minút.

"generál" pravidlá káblovej siete:

Ryža. 2. Karta Všeobecné v dialógovom okne nastavení zásad káblovej siete

3. Na karte "bezpečnosť" poskytuje možnosti konfigurácie pre metódu overovania a režim káblového pripojenia. Môžete si prispôsobiť nasledujúce parametre bezpečnosť:
   • Povoľte overenie IEEE 802.1X pre prístup k sieti. Táto možnosť sa používa priamo na povolenie alebo zakázanie overovania prístupu k sieti 802.1X. Táto možnosť je predvolene povolená;
   • Vyberte metódu sieťovej autentifikácie. Pomocou tohto rozbaľovacieho zoznamu môžete zadať jednu z metód autentifikácie sieťového klienta, ktorá sa použije na politiku káblovej siete. Na výber sú nasledujúce dve možnosti:
     • Microsoft: Chránené EAP (PEAP). Pre túto metódu autentifikácie je okno "Vlastnosti" obsahuje konfiguračné nastavenia pre metódu autentifikácie, ktorá sa má použiť;
     • Microsoft: čipové karty alebo iný certifikát. Pre túto metódu overenia v okne "Vlastnosti" poskytuje možnosti konfigurácie, ktoré vám umožňujú zadať smart kartu alebo certifikát, ku ktorému sa chcete pripojiť, ako aj zoznam dôveryhodných koreňových CA.

   Predvolene vybratá metóda Microsoft: Chránené EAP (PEAP);

4. Režim overenia. Tento rozbaľovací zoznam sa používa na overenie siete. Na výber sú nasledujúce štyri možnosti:
   • Overenie používateľa alebo počítača. Ak je vybratá táto možnosť, bezpečnostné poverenia sa použijú na základe aktuálneho stavu počítača. Aj keď nie je prihlásený žiadny používateľ, overenie sa vykoná pomocou poverení počítača. Keď sa používateľ prihlási, použijú sa prihlasovacie údaje prihláseného používateľa. Spoločnosť Microsoft odporúča vo väčšine prípadov používať toto nastavenie režimu overovania.
   • Len pre počítač. V tomto prípade sú overené iba poverenia počítača;
   • Overenie používateľa. Pri výbere daný parameter Povolí vynútenú autentifikáciu používateľa iba pri pripojení k novému zariadeniu 802.1X. Vo všetkých ostatných prípadoch sa autentifikácia vykonáva iba pre počítač;
   • Autentifikácia hosťa. Toto nastavenie vám umožňuje pripojiť sa k sieti na základe účtu hosťa.
5. Maximálny počet chýb autentifikácie. Toto nastavenie vám umožňuje určiť maximálny počet chýb autentifikácie. Predvolená hodnota je 1;
6. Uložte používateľské údaje do vyrovnávacej pamäte pre následné pripojenia k tejto sieti. Keď je toto nastavenie povolené, prihlasovacie údaje používateľa sa uložia do systémového registra a pri odhlásení a následnom prihlásení používateľa sa nebudú vyžadovať žiadne prihlasovacie údaje.

Nasledujúca ilustrácia zobrazuje kartu "bezpečnosť" toto dialógové okno:

Ryža. 3. Karta Zabezpečenie v dialógovom okne Nastavenie zásad káblovej siete

Vlastnosti režimov autentifikácie

Ako bolo spomenuté v predchádzajúcej časti, pre obe metódy autentifikácie existujú ďalšie nastavenia, ktoré sa vyvolávajú kliknutím na tlačidlo "Vlastnosti". V tejto časti sa pozrieme na všetko možné nastavenia pre metódy autentifikácie.

Nastavenia metódy overenia „Microsoft: Secure EAP (PEAP)“.

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) je rozšíriteľná overovacia infraštruktúra, ktorá definuje formát balíka. Na konfiguráciu tejto metódy overenia sú k dispozícii nasledujúce možnosti:

Povoliť rýchle opätovné pripojenie. Táto možnosť umožňuje používateľom s bezdrôtové počítače rýchlo sa pohybovať medzi prístupovými bodmi bez opätovného overenia totožnosti v novej sieti. Toto prepínanie môže fungovať len pre prístupové body, ktoré sú nakonfigurované ako klienti RADIUS. Táto možnosť je predvolene povolená;

Povoliť ochranu prístupu k sieti. Ak je vybratá táto možnosť, pred povolením pripojenia žiadateľov EAP k sieti sa vykonajú príslušné kontroly, aby sa určila kontrola zdravotných požiadaviek;

Odpojte sa, ak server nepodporuje šifrovanú väzbu prostredníctvom mechanizmu TLV. Táto možnosť je zodpovedná za to, že pripájajúci sa klienti prerušia proces autentifikácie, ak server RADIUS neposkytuje kryptografickú hodnotu väzby TLV, ktorá zvyšuje bezpečnosť tunela TLS v PEAP kombináciou interných a externých metód autentifikácie, aby útočníci nemohli vykonávať falšovacie útoky. tretia strana;

Povoliť identitu súkromia. Toto nastavenie bráni klientom odoslať svoju identitu predtým, ako klient autentifikuje server RADIUS, a voliteľne poskytuje miesto na zadanie hodnoty anonymnej identity.

Dialógové okno Secure EAP Properties je zobrazené na nasledujúcom obrázku:

Ryža. 5. Dialógové okno Secure EAP Properties

Nastavenia spôsobu overovania „Smart karta alebo iný certifikát – nastavenia EAP-TLS“

Na konfiguráciu tejto metódy overenia sú k dispozícii nasledujúce možnosti:

• Pri pripájaní použiť moju čipovú kartu. Ak nastavíte prepínač na túto pozíciu, klienti, ktorí žiadajú o autentifikáciu, predložia certifikát čipovej karty na overenie siete;
• Pri pripájaní použite certifikát na tomto počítači. Keď je vybratá táto možnosť, overenie pripojenia klienta použije certifikát umiestnený v aktuálnom používateľovi alebo lokálnom počítači;
• Použite jednoduchý výber certifikátu. Táto možnosť umožňuje operačnému systému Windows odfiltrovať certifikáty, ktoré nespĺňajú požiadavky na autentifikáciu;
• Skontrolujte certifikát servera. Táto možnosť vám umožňuje nastaviť overenie certifikátu servera, ktorý je poskytnutý klientskym počítačom na platný podpis bez expirácie, ako aj prítomnosť dôveryhodnej koreňovej certifikačnej autority, ktorá vydala certifikát pre tento server.
• Pripojte sa k serverom. Táto možnosť je totožná s možnosťou s rovnakým názvom opísanou v predchádzajúcej časti;
• dôveryhodný koreňové centrá certifikácia. Rovnako ako v dialógovom okne vlastností zabezpečeného EAP, aj v tomto zozname môžete nájsť všetky dôveryhodné koreňové certifikačné autority, ktoré sú nainštalované v úložiskách certifikátov používateľa a počítača;
• Nevyzývajte používateľa, aby autorizoval nové servery alebo dôveryhodné certifikačné autority. Zaškrtnutím tejto možnosti, ak existuje nesprávne nakonfigurovaný serverový certifikát alebo sa nachádza v zozname pre používateľa, nezobrazí sa dialógové okno so žiadosťou o autorizáciu takéhoto certifikátu. Táto možnosť je predvolene vypnutá;
• Na pripojenie použite iné používateľské meno. Toto nastavenie určuje, či sa má na autentifikáciu použiť iné meno používateľa, ako je meno používateľa v certifikáte. Ak je povolená možnosť použiť iné meno používateľa, musíte vybrať aspoň jeden certifikát zo zoznamu dôveryhodných koreňových CA.

Dialógové okno na nastavenie čipových kariet alebo iných certifikátov je zobrazené na nasledujúcom obrázku:

Ryža. 6. Dialógové okno pre nastavenie čipových kariet alebo iných certifikátov

Ak si nie ste istý certifikátom, ktorý si vyberiete, potom kliknutím na tlačidlo "Zobraziť certifikát" budú môcť zobraziť všetky podrobnosti o vybranom certifikáte, ako je uvedené nižšie:

Ryža. 7. Zobrazte certifikát zo zoznamu dôveryhodných koreňových certifikačných autorít

Rozšírené možnosti zabezpečenia káblovej politiky

Pravdepodobne ste si to všimli na karte "bezpečnosť" V dialógovom okne Nastavenie zásad káblovej siete sú k dispozícii ďalšie možnosti zabezpečenia na zmenu správania sieťových klientov požadujúcich prístup pomocou overenia 802.1X. Pokročilé nastavenia zásad káblového pripojenia možno rozdeliť do dvoch skupín – nastavenia IEEE 802.1X a nastavenia jednotného prihlásenia. Pozrime sa na každú z týchto skupín:

V skupine nastavení IEEE 802.1X môžete špecifikovať charakteristiky požiadaviek káblovej siete s overením 802.1X. Na úpravu sú k dispozícii nasledujúce možnosti:

• Použite rozšírené nastavenia 802.1X. Táto možnosť vám umožňuje aktivovať nasledujúce štyri nastavenia;
• Max. správy EAPOL. EAPOL je protokol EAP, ktorý sa používa skôr, ako sa počítač stihne overiť, a až po úspešnom „prihlásení“ bude môcť všetka ostatná prevádzka prejsť cez port prepínača, ku ktorému je tento počítač pripojený. Toto nastavenie je zodpovedné za maximálne množstvo odoslané správy EAPOL-Start;
• Doba oneskorenia (s). Toto nastavenie riadi oneskorenie v sekundách pred vykonaním ďalšej požiadavky na overenie 802.1X po prijatí upozornenia na zlyhanie overenia;
• Obdobie začiatku (obdobie začiatku). Tento parameter riadi čas čakania pred opätovným odoslaním následných správ EAPOL-Start;
• Kontrolné obdobie (s). Tento parameter špecifikuje počet sekúnd medzi opakovaným odoslaním po sebe nasledujúcich počiatočných správ EAPOL po spustení 802.1X end-to-end kontroly prístupu;
• Správa EAPOL-Start. Pomocou tohto parametra môžete zadať nasledujúce charakteristiky prenosu počiatočných správ EAPOL:
  • Neprenášajte. Ak vyberiete túto možnosť, správy EAPOL sa nebudú prenášať;
  • Prenesené. Ak je vybratá táto možnosť, klient bude musieť manuálne odoslať počiatočné správy EAPOL;
  • Prenos IEEE 802.1X. keď je vybratá táto možnosť (predvolene je definovaná), správy EAPOL sa budú odosielať na automatický režim, čaká na spustenie autentifikácie 802.1X.

Pri používaní jednotného prihlásenia sa musí vykonať autentifikácia na základe konfigurácie zabezpečenia siete počas procesu prihlasovania používateľa do operačného systému. Pre úplné prispôsobenie profily jednotného prihlásenia, sú k dispozícii nasledujúce možnosti:

• Povoliť jednotné prihlásenie pre sieť. Povolením tejto možnosti sa aktivujú nastavenia jednotného prihlásenia;
• Povoliť tesne pred prihlásením používateľa. Ak začiarknete toto políčko, overenie 802.1X sa vykoná predtým, ako používateľ dokončí prihlásenie;
• Povoliť ihneď po prihlásení používateľa. Ak zaškrtnete túto možnosť, overenie 802.1X sa vykoná po prihlásení používateľa;
• Max. meškanie spojenia. Tento parameter určuje maximálny čas, počas ktorého sa musí vykonať overenie, a podľa toho, ako dlho bude používateľ čakať, kým sa zobrazí prihlasovacie okno používateľa;
• Povoliť zobrazenie ďalších dialógových okien pri jednotnom prihlásení. Toto nastavenie je zodpovedné za zobrazenie prihlasovacieho dialógového okna používateľa;
• Táto sieť používa rôzne siete VLAN na overenie poverení počítača a používateľa. Ak zadáte toto nastavenie, pri spustení budú všetky počítače umiestnené do jednej virtuálnej siete a po úspešnom prihlásení používateľa sa v závislosti od oprávnení prenesú do rôznych virtuálne siete. Túto možnosť má zmysel aktivovať iba vtedy, ak máte vo svojom podniku niekoľko sietí VLAN.

Dialógové okno rozšírených nastavení zabezpečenia pravidiel káblovej siete je zobrazené na nasledujúcom obrázku:

Ryža. Obrázok 8. Dialógové okno Zásady káblových sietí Rozšírené nastavenia zabezpečenia

Záver

V tomto článku ste sa dozvedeli o všetkých nastaveniach zásad káblovej siete IEE 802.1X. Naučili ste sa, ako môžete vytvoriť takúto politiku, a dozvedeli ste sa o metódach autentifikácie EAP a autentifikácii pomocou čipových kariet alebo iných certifikátov. V ďalšom článku sa dozviete o miestnych bezpečnostných zásadách Network List Manager.

Zásady v Exchange Server 2003 sú navrhnuté tak, aby zvýšili flexibilitu správy a zároveň znížili zaťaženie správcov. Politika je množina konfiguračných nastavení, ktoré sa vzťahujú na jeden alebo viacero objektov rovnakej triedy na serveri Exchange. Môžete napríklad vytvoriť politiku, ktorá ovplyvní určité nastavenia na niektorých alebo všetkých serveroch Exchange. Ak potrebujete zmeniť tieto nastavenia, stačí upraviť túto politiku a použije sa na príslušnú organizáciu servera.

Existujú dva typy politík: systémová politika a politika príjemcov. Politiky príjemcov sa vzťahujú na objekty prístupu k pošte a určujú spôsob generovania e-mailových adries. Politiky príjemcov sú popísané v časti „Vytváranie a správa príjemcov“. Systémové pravidlá sa vzťahujú na servery, sklady poštových schránok a verejné priečinky. Tieto politiky sa zobrazia v kontajneri Politiky v rámci skupiny, za ktorú je zodpovedná administratívy túto politiku (obrázok 12.10).

Ryža. 12.10. Objekt systémovej politiky

Poznámka. Inštalácia Exchange Server 2003 nevytvorí predvolený kontajner pre systémové politiky. Musí byť vytvorený pred vytvorením systémových pravidiel. Kliknite pravým tlačidlom myši na skupinu administrácie, v ktorej chcete vytvoriť priečinok politiky, umiestnite kurzor myši na položku Nové a vyberte položku System Policy Container.

Vytvorte systémovú politiku

Ak chcete vytvoriť systémovú politiku, prejdite do príslušného kontajnera Systémové politiky, kliknite pravým tlačidlom myši na kontajner a potom vyberte typ politiky, ktorú chcete vytvoriť: politika servera, politika úložiska poštových schránok alebo politika úložiska verejných priečinkov.

Pri práci so systémovými politikami sa uistite, že ste vytvorili objekt politiky v skupine, ktorá je zodpovedná za správu tejto politiky. V opačnom prípade môže nastať chyba pri výbere ľudí, ktorí vykonávajú administratívnu kontrolu nad kritickými politikami. Pozrime sa, ako sa vytvára každý z troch typov politík, počnúc politikami servera.

Vytvorte politiku servera

Politika servera definuje nastavenia pre sledovanie správ a údržbu protokolových súborov. Nevzťahuje sa na bezpečnostné nastavenia alebo iné nastavenia serverov v tejto administračnej skupine. Ak chcete vytvoriť politiku servera, kliknite pravým tlačidlom myši na kontajner Systémové politiky, ukážte na položku Nové a potom vyberte možnosť Politika servera. Zobrazí sa dialógové okno Nová politika, znázornené na obrázku 1. 12.11, ktorý určuje karty, ktoré sa zobrazia na stránke vlastností politiky. Existuje len jedna možnosť pre politiku servera: karta Všeobecné. Začiarknite možnosť pre túto kartu a potom kliknite na tlačidlo OK. Zobrazí sa konfiguračné okno, v ktorom sa vytvorí konfigurácia. túto politiku.

Ryža. 12.11.

Potom musíte zadať názov politiky v okne karty Všeobecné na stránke vlastností politiky. Ako je znázornené na obrázku 12.12, v skutočnosti existujú dve karty Všeobecné. Prvá záložka slúži na zadanie názvu politiky. Vyberte názov popisujúci úlohu, ktorú má táto politika vykonávať, ako napríklad Politika sledovania správ alebo Povoliť politiku zaznamenávania predmetov. Vhodný názov zvolený v tejto fáze ušetrí čas, pretože nebude potrebné otvárať stránku vlastností politiky na určenie jej účelu.

Karta Všeobecné (Politika) zobrazená na obr. 12.13 obsahuje aktuálne nastavenia politiky aplikované na servery Exchange príslušnej organizácie. Karta sa nazýva Všeobecné (Politika), pretože potenciálne konfiguruje kartu Všeobecné na stránkach vlastností pre všetky dostupné servery. (Neskôr v tejto kapitole sa pozrieme na to, ako použiť túto politiku na všetky servery v organizácii.) Ak porovnáte túto kartu s kartou Všeobecné na stránke vlastností servera, uvidíte, že karty sú rovnaké okrem pre identifikačné informácie v hornej časti karty.

Záložka General (Policy) umožňuje zapisovanie do denníka a povolenie logovania a zobrazovania predmetu pre všetky existujúce servery Exchange 2003. Toto nastavenie funguje v spojení s možnosťou Povoliť sledovanie správ, aby ste umožnili sledovanie správ odoslaných v organizácii. Tieto možnosti sú užitočné pri riešení problémov, ktoré sa vyskytujú, keď niektorí používatelia nedostávajú správy od iných používateľov. Je možné sledovať prechod správy cez organizáciu a určiť, kde sú problémy s prenosom dát. Ďalšie informácie o sledovaní správ a protokolovaní predmetu správy nájdete v kapitole 6, Funkcie, zabezpečenie a podpora Exchange Server 2003.

Ryža. 12.12.

Ryža. 12.13.

Keď politika nadobudne účinnosť, nie je možné ju zmeniť na úrovni lokálne servery. Politika sledovania správ, ktorú sme použili ako príklad, bola vygenerovaná na serveri EX-SRV1 v skupine administrátorov Arizona. Na

Funkčnosť v operačnom systéme Windows Server sa počíta a zlepšuje od verzie k verzii, rolí a komponentov pribúda, preto sa v dnešnom článku pokúsim stručne popísať popis a účel každej roly v systéme Windows Server 2016.

Skôr než prejdeme k popisu rolí servera Windows Server, zistime, čo presne je " Rola servera» v operačnom systéme Windows Server.

Čo je to „rola servera“ v systéme Windows Server?

Rola servera- ide o softvérový balík, ktorý zabezpečuje výkon určitej funkcie serverom, pričom táto funkcia je hlavná. Inými slovami, " Rola servera' je cieľ servera, t.j. na čo to je. Aby server mohol vykonávať svoju hlavnú funkciu, t.j. určitú úlohu v Rola servera» obsahuje všetok potrebný softvér ( programy, služby).

Server môže mať jednu rolu, ak sa aktívne používa, alebo viacero, ak každá z nich server príliš nezaťažuje a používa sa len zriedka.

Rola servera môže zahŕňať viacero služieb rolí, ktoré poskytujú funkčnosť roly. Napríklad v úlohe servera " webový server (IIS)“ zahŕňa pomerne veľký počet služieb a úlohu „ DNS server» nezahŕňa služby rolí, pretože táto rola plní iba jednu funkciu.

Služby rolí je možné nainštalovať všetky spolu alebo jednotlivo, v závislosti od vašich potrieb. Inštalácia roly v podstate znamená inštaláciu jednej alebo viacerých jej služieb.

Windows Server má tiež " Komponenty» server.

Komponenty servera (funkcia) sú softvérové ​​nástroje, ktoré nie sú rolou servera, ale rozširujú možnosti jednej alebo viacerých rolí alebo spravujú jednu alebo viacero rolí.

Niektoré roly nemožno nainštalovať, ak server nemá požadované služby alebo komponenty, ktoré sú potrebné na fungovanie rolí. Preto v čase inštalácie takýchto rolí " Sprievodca pridaním rolí a funkcií» vás automaticky vyzve na inštaláciu potrebných dodatočných služieb rolí alebo komponentov.

Popis rolí servera Windows Server 2016

Pravdepodobne ste už oboznámení s mnohými rolami, ktoré sú v systéme Windows Server 2016, pretože existujú už nejaký čas, ale ako som povedal, s každou novou verziou Windows Server sa pridávajú nové roly, s ktorými ste možno nepracovali. s ešte, ale chceli by sme vedieť, na čo slúžia, tak sa na ne poďme pozrieť.

Poznámka! O nových funkciách operačného systému Windows Server 2016 sa dočítate v materiáli „Inštalácia Windows Server 2016 a prehľad nových funkcií“.

Keďže k inštalácii a správe rolí, služieb a komponentov veľmi často dochádza pomocou prostredia Windows PowerShell, uvediem pre každú rolu a jej službu názov, ktorý je možné v PowerShell použiť na jej inštaláciu alebo správu.

DHCP server

Táto rola vám umožňuje centrálne konfigurovať dynamické IP adresy a súvisiace nastavenia pre počítače a zariadenia vo vašej sieti. Rola servera DHCP nemá služby rolí.

Názov prostredia Windows PowerShell je DHCP.

DNS server

Táto rola je určená na rozlíšenie mien v sieťach TCP/IP. Rola DNS Server poskytuje a udržiava DNS. Na zjednodušenie správy servera DNS sa server zvyčajne inštaluje na rovnaký server ako doménové služby Active Directory. Rola servera DNS nemá služby rolí.

Názov role pre PowerShell je DNS.

Hyper-V

S rolou Hyper-V môžete vytvárať a spravovať virtualizované prostredie. Inými slovami, je to nástroj na vytváranie a správu virtuálnych strojov.

Názov role pre Windows PowerShell je Hyper-V.

Potvrdenie o zdravotnom stave zariadenia

rola" » umožňuje vyhodnotiť zdravotný stav zariadenia na základe nameraných indikátorov bezpečnostných parametrov, ako sú indikátory stavu bezpečného bootovania a Bitlocker na klientovi.

Na fungovanie tejto roly je potrebných veľa služieb a komponentov rolí, napríklad: niekoľko služieb z role " webový server (IIS)", komponent" ", komponent" Funkcie .NET Framework 4.6».

Počas inštalácie sa automaticky vyberú všetky požadované služby rolí a funkcie. rola" Potvrdenie o zdravotnom stave zariadenia» Neexistujú žiadne služby rolí.

Názov pre PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spoľahlivú, spravovateľnú a škálovateľnú infraštruktúru webových aplikácií. Pozostáva z pomerne veľkého počtu služieb (43).

Názov prostredia Windows PowerShell je Web-Server.

Zahŕňa nasledujúce služby rolí ( v zátvorkách uvediem názov pre Windows PowerShell):

Webový server (Web-WebServer)- Skupina služieb rolí, ktorá poskytuje podporu pre webové stránky HTML, rozšírenia ASP.NET, ASP a webový server. Pozostáva z nasledujúcich služieb:

• Bezpečnosť (Web Security)- súbor služieb na zaistenie bezpečnosti webového servera.
  • Filtrovanie požiadaviek (Web-Filtering) - pomocou týchto nástrojov môžete spracovávať všetky požiadavky prichádzajúce na server a filtrovať tieto požiadavky na základe špeciálnych pravidiel stanovených správcom web servera;
  • Obmedzenia IP adresy a domény (Web-IP-Security) – tieto nástroje vám umožňujú povoliť alebo zamietnuť prístup k obsahu na webovom serveri na základe IP adresy alebo názvu domény zdroja v požiadavke;
  • URL Authorization (Web-Url-Auth) – nástroje vám umožňujú vyvinúť pravidlá na obmedzenie prístupu k webovému obsahu a priradiť ich k užívateľom, skupinám alebo príkazom HTTP hlavičky;
  • Digest Authentication (Web-Digest-Auth) – Toto overenie poskytuje vyššiu úroveň zabezpečenia ako základné overenie. Digest autentifikácia na overenie používateľa funguje ako odovzdanie hash hesla do radiča domény Windows;
  • Základná autentifikácia (Web-Basic-Auth) – Táto metóda overovania poskytuje silnú kompatibilitu webového prehliadača. Odporúča sa používať v malých interných sieťach. Hlavnou nevýhodou tejto metódy je, že heslá prenášané cez sieť sa dajú pomerne ľahko zachytiť a dešifrovať, preto túto metódu používajte v kombinácii s SSL;
  • Windows Authentication (Web-Windows-Auth) je overovanie založené na overovaní domény Windows. Inými slovami, kontá Active Directory môžete použiť na overenie používateľov vašich webových lokalít;
  • Autentifikácia mapovaním klientskeho certifikátu (Web-Client-Auth) – táto metóda autentifikácie využíva klientsky certifikát. Tento typ využíva služby Active Directory na poskytovanie mapovania certifikátov;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – táto metóda používa aj klientske certifikáty na autentifikáciu, ale na poskytovanie mapovania certifikátov využíva IIS. Tento typ poskytuje lepší výkon;
  • Centralizovaná podpora SSL certifikátov (Web-CertProvider) - tieto nástroje umožňujú centrálne spravovať certifikáty SSL servera, čo značne zjednodušuje proces správy týchto certifikátov;
• Obslužnosť a diagnostika (Web-Health)– súbor služieb na monitorovanie, správu a riešenie problémov webových serverov, stránok a aplikácií:
  • http logging (Web-Http-Logging) - nástroje zabezpečujú logovanie aktivity webu na danom serveri, t.j. záznam do denníka;
  • Protokolovanie ODBC (Web-ODBC-Logging) – Tieto nástroje tiež poskytujú protokolovanie aktivity webovej stránky, ale podporujú protokolovanie tejto aktivity do databázy kompatibilnej s ODBC;
  • Request Monitor (Web-Request-Monitor) je nástroj, ktorý vám umožňuje monitorovať stav webovej aplikácie zachytávaním informácií o HTTP požiadavkách v pracovnom procese IIS;
  • Vlastné protokolovanie (Web-Custom-Logging) – Pomocou týchto nástrojov môžete nakonfigurovať protokolovanie aktivity webového servera vo formáte, ktorý sa výrazne líši od štandardného formátu IIS. Inými slovami, môžete si vytvoriť svoj vlastný protokolovací modul;
  • Protokolovacie nástroje (Web-Log-Libraries) sú nástroje na správu protokolov webového servera a automatizáciu úloh protokolovania;
  • Sledovanie (Web-Http-Tracing) je nástroj na diagnostiku a riešenie porušení vo webových aplikáciách.
• http Spoločné funkcie (Web-Common-Http)– súbor služieb, ktoré poskytujú základnú funkčnosť HTTP:
  • Predvolený dokument (Web-Default-Doc) – Táto funkcia vám umožňuje nakonfigurovať webový server tak, aby vrátil predvolený dokument, keď používatelia nešpecifikujú konkrétny dokument v adrese URL požiadavky, čím sa používateľom uľahčí prístup k webovej lokalite, napr. doména bez zadania súboru;
  • Prehľadávanie adresárov (Web-Dir-Browsing) – Tento nástroj možno použiť na konfiguráciu webového servera tak, aby používatelia mohli zobraziť zoznam všetkých adresárov a súborov na webovej lokalite. Napríklad pre prípady, keď používatelia nešpecifikujú súbor v adrese URL požiadavky a predvolené dokumenty sú buď zakázané, alebo nie sú nakonfigurované;
  • http chyby (Web-Http-Errors) – táto funkcia vám umožňuje konfigurovať chybové hlásenia, ktoré sa vrátia do webových prehliadačov používateľov, keď webový server zistí chybu. Tento nástroj sa používa na jednoduchšie zobrazovanie chybových hlásení používateľom;
  • Statický obsah (Web-Static-Content) – tento nástroj vám umožňuje používať obsah na webovom serveri vo forme statických formátov súborov, ako sú súbory HTML alebo obrazové súbory;
  • http redirect (Web-Http-Redirect) - pomocou tejto funkcie môžete presmerovať požiadavku používateľa na konkrétny cieľ, t.j. toto je presmerovanie;
  • Publishing WebDAV (Web-DAV-Publishing) - umožňuje používať technológiu WebDAV na webovom serveri IIS. WebDAV ( Webové distribuované vytváranie a vytváranie verzií) je technológia, ktorá umožňuje používateľom spolupracovať ( čítať, upravovať, čítať vlastnosti, kopírovať, presúvať) cez súbory na vzdialených webových serveroch pomocou protokolu HTTP.
• Výkon (výkon webu)- súbor služieb na dosiahnutie vyššieho výkonu webového servera prostredníctvom vyrovnávacej pamäte výstupu a bežných kompresných mechanizmov, ako sú Gzip a Deflate:
  • Statická kompresia obsahu (Web-Stat-Compression) je nástroj na prispôsobenie kompresie statického obsahu http, umožňuje efektívnejšie využitie šírky pásma a zároveň bez zbytočného zaťaženia procesora;
  • Dynamická kompresia obsahu (Web-Dyn-Compression) je nástroj na konfiguráciu kompresie dynamického obsahu HTTP. Tento nástroj poskytuje efektívnejšie využitie šírky pásma, ale v tomto prípade môže zaťaženie procesora servera spojené s dynamickou kompresiou spomaliť stránku, ak je zaťaženie procesora vysoké aj bez kompresie.
• Vývoj aplikácií (Web-App-Dev)- súbor služieb a nástrojov na vývoj a hosťovanie webových aplikácií, inými slovami, technológie vývoja webových stránok:
  • ASP (Web-ASP) je prostredie na podporu a vývoj webových stránok a webových aplikácií pomocou technológie ASP. V súčasnosti existuje novšia a pokročilejšia technológia vývoja webových stránok - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektovo orientované vývojové prostredie pre webové stránky a webové aplikácie využívajúce technológiu ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je tiež objektovo orientované vývojové prostredie pre webové stránky a webové aplikácie využívajúce novú verziu ASP.NET;
  • CGI (Web-CGI) je schopnosť používať CGI na prenos informácií z webového servera do externého programu. CGI je druh štandardu rozhrania na pripojenie externého programu k webovému serveru. Nevýhodou je, že použitie CGI ovplyvňuje výkon;
  • Server Side Inclusions (SSI) (Web-Includes) je podpora pre skriptovací jazyk SSI ( povoliť na strane servera), ktorý sa používa na dynamické generovanie HTML stránok;
  • Inicializácia aplikácie (Web-AppInit) - tento nástroj vykonáva úlohy inicializácie webových aplikácií pred odoslaním webovej stránky;
  • Protokol WebSocket (Web-WebSockets) – pridáva možnosť vytvárať serverové aplikácie, ktoré komunikujú pomocou protokolu WebSocket. WebSocket je protokol, ktorý dokáže súčasne odosielať a prijímať dáta medzi prehliadačom a webovým serverom cez TCP spojenie, akési rozšírenie protokolu HTTP;
  • Rozšírenia ISAPI (Web-ISAPI-Ext) - podpora dynamického rozvoja webového obsahu pomocou aplikačného programovacieho rozhrania ISAPI. ISAPI je API pre webový server IIS. Aplikácie ISAPI sú oveľa rýchlejšie ako súbory ASP alebo súbory, ktoré volajú komponenty COM+;
  • Rozšíriteľnosť .NET 3.5 (Web-Net-Ext) je funkcia rozšíriteľnosti .NET 3.5, ktorá vám umožňuje meniť, pridávať a rozširovať funkčnosť webového servera v rámci procesu spracovania požiadaviek, konfigurácie a používateľského rozhrania;
  • Rozšíriteľnosť .NET 4.6 (Web-Net-Ext45) je funkcia rozšíriteľnosti .NET 4.6, ktorá vám tiež umožňuje upravovať, pridávať a rozširovať funkčnosť webového servera v rámci celého procesu spracovania požiadaviek, konfigurácie a používateľského rozhrania;
  • Filtre ISAPI (Web-ISAPI-Filter) – Pridajte podporu pre filtre ISAPI. Filtre ISAPI sú programy, ktoré sa volajú, keď webový server prijme špecifickú požiadavku HTTP na spracovanie týmto filtrom.

FTP - server (Web-Ftp-Server)– služby, ktoré poskytujú podporu protokolu FTP. Podrobnejšie sme o FTP serveri hovorili v materiáli - "Inštalácia a konfigurácia FTP servera na Windows Server 2016". Obsahuje nasledujúce služby:

• Služba FTP (Web-Ftp-Service) - pridáva podporu protokolu FTP na webovom serveri;
• Rozšíriteľnosť FTP (Web-Ftp-Ext) – Rozširuje štandardné možnosti FTP, ako je pridanie podpory pre funkcie, ako sú napríklad vlastní poskytovatelia, používatelia ASP.NET alebo používatelia manažérov IIS.

Nástroje na správu (Web-Mgmt-Tools) sú nástroje na správu webového servera IIS 10. Patria sem: používateľské rozhranie služby IIS, nástroje príkazového riadka a skripty.

• IIS Management Console (Web-Mgmt-Console) je používateľské rozhranie na správu IIS;
• Znakové sady a nástroje na správu IIS (Web-Scripting-Tools) sú nástroje a skripty na správu IIS pomocou príkazového riadka alebo skriptov. Môžu byť použité napríklad na automatizáciu riadenia;
• Služba správy (Web-Mgmt-Service) – táto služba pridáva možnosť vzdialene spravovať webový server z iného počítača pomocou IIS Manager;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – Poskytuje kompatibilitu pre aplikácie a skripty, ktoré používajú dve rozhrania API služby IIS. Existujúce skripty IIS 6 možno použiť na správu webového servera IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) je nástroj na zabezpečenie kompatibility, ktorý vám umožňuje spúšťať aplikácie a znakové sady, ktoré boli migrované zo starších verzií IIS;
  • Skriptovacie nástroje IIS 6 (Web-Lgcy-Scripting) – tieto nástroje vám umožňujú používať rovnaké skriptovacie služby IIS 6, ktoré boli vytvorené na správu IIS 6 v IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) je nástroj na správu vzdialených serverov IIS 6.0;
  • IIS 6 WMI Compatibility (Web-WMI) sú skriptovacie rozhrania Windows Management Instrumentation (WMI) na programové riadenie a automatizáciu úloh webového servera IIS 10.0 pomocou sady skriptov vytvorených u poskytovateľa WMI.

Active Directory Domain Services

rola" Active Directory Domain Services» (AD DS) poskytuje distribuovanú databázu, ktorá uchováva a spracováva informácie o sieťových zdrojoch. Táto rola sa používa na organizáciu sieťových prvkov, ako sú používatelia, počítače a iné zariadenia, do hierarchickej zadržiavacej štruktúry. Hierarchická štruktúra zahŕňa lesy, domény v rámci lesa a organizačné jednotky (OU) v rámci každej domény. Server so službou AD DS sa nazýva radič domény.

Názov role pre Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Táto rola je počítačová infraštruktúra a poskytuje pohodlné a efektívne funkcie, napríklad: ukladanie klientskych údajov na centralizovanom mieste a ochranu týchto údajov zálohovaním serverových a klientskych počítačov, vzdialený webový prístup, ktorý vám umožňuje pristupovať k údajom prakticky z akéhokoľvek zariadenia . Táto rola vyžaduje niekoľko služieb a funkcií rolí, napríklad: Funkcie BranchCache, Zálohovanie servera Windows, Správa zásad skupiny, Služba rolí " Priestory názvov DFS».

Názov pre PowerShell je ServerEssentialsRole.

Sieťový ovládač

Táto rola predstavená v systéme Windows Server 2016 poskytuje jediný bod automatizácie na správu, monitorovanie a diagnostiku fyzickej a virtuálnej sieťovej infraštruktúry v dátovom centre. Pomocou tejto roly môžete z jedného bodu konfigurovať podsiete IP, siete VLAN, fyzické sieťové adaptéry hostiteľov Hyper-V, spravovať virtuálne prepínače, fyzické smerovače, nastavenia brány firewall a brány VPN.

Názov prostredia Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je rola servera Hosted Guardian Service (HGS) a poskytuje služby atestácie a ochrany kľúčov, ktoré umožňujú chráneným hostiteľom spúšťať tienené virtuálne stroje. Na fungovanie tejto roly je potrebných niekoľko ďalších rolí a komponentov, napríklad: Active Directory Domain Services, Web Server (IIS), „ Failover Clustering"iné.

Názov pre PowerShell je HostGuardianServiceRole.

Odľahčené adresárové služby Active Directory

rola" Odľahčené adresárové služby Active Directory» (AD LDS) je odľahčená verzia služby AD DS, ktorá má menej funkcií, ale nevyžaduje nasadenie domén alebo radičov domény a nemá závislosti a obmedzenia domény požadované službou AD DS. AD LDS beží cez protokol LDAP ( Lightweight Directory Access Protocol). Na ten istý server môžete nasadiť viacero inštancií AD LDS s nezávisle spravovanými schémami.

Názov pre PowerShell je ADLDS.

Služby MultiPoint

Je to tiež nová rola, ktorá je nová v systéme Windows Server 2016. Služby MultiPoint Services (MPS) poskytujú základné funkcie vzdialenej pracovnej plochy, ktorá umožňuje viacerým používateľom pracovať súčasne a nezávisle na tom istom počítači. Ak chcete nainštalovať a prevádzkovať túto rolu, musíte nainštalovať niekoľko dodatočných služieb a komponentov, napríklad: Print Server, Windows Search Service, XPS Viewer a ďalšie, pričom všetky budú automaticky vybrané počas inštalácie MPS.

Názov roly pre PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolou (WSUS) môžu správcovia systému spravovať aktualizácie od spoločnosti Microsoft. Napríklad vytvorte samostatné skupiny počítačov pre rôzne sady aktualizácií, ako aj prijímajte správy o súlade počítačov s požiadavkami a aktualizáciami, ktoré je potrebné nainštalovať. Na fungovanie" Windows Server Update Services» Potrebujete také služby rolí a komponenty, ako sú: webový server (IIS), interná databáza systému Windows, služba aktivácie procesov systému Windows.

Názov prostredia Windows PowerShell je UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – nastavené na WID ( Interná databáza systému Windows) databáza používaná službou WSUS. Inými slovami, WSUS bude ukladať svoje servisné dáta vo WID;
• Služby WSUS (UpdateServices-Services) sú služby rol WSUS, ako sú aktualizačná služba, webová služba na vytváranie správ, webová služba na vzdialenú komunikáciu s rozhraním API, webová služba klienta, webová služba na jednoduchú autentizáciu, služba synchronizácie servera a webová služba overovania DSS;
• SQL Server Connectivity (UpdateServices-DB) je inštalácia komponentu, ktorá umožňuje službe WSUS pripojiť sa k databáze Microsoft SQL Server. Táto možnosť poskytuje ukladanie servisných údajov v databáze Microsoft SQL Server. V tomto prípade už musíte mať nainštalovanú aspoň jednu inštanciu SQL Server.

Multilicenčné aktivačné služby

S touto rolou servera môžete automatizovať a zjednodušiť vydávanie hromadných licencií na softvér od spoločnosti Microsoft a tiež vám umožňuje tieto licencie spravovať.

Názov pre PowerShell je VolumeActivation.

Služby tlače a dokumentov

Táto rola servera je určená na zdieľanie tlačiarní a skenerov v sieti, na centrálne konfigurovanie a správu tlačových a skenovacích serverov a na správu sieťových tlačiarní a skenerov. Služby tlače a dokumentov vám tiež umožňujú odosielať naskenované dokumenty e-mailom, do zdieľaných sieťových zložiek alebo na lokality služby Windows SharePoint Services.

Názov pre PowerShell je Print-Services.

• Tlačový server (tlačový server) – Táto služba role zahŕňa „ Správa tlače“, ktorý sa používa na správu tlačiarní alebo tlačových serverov, ako aj na migráciu tlačiarní a iných tlačových serverov;
• Tlač cez internet (Print-Internet) – Na implementáciu tlače cez internet je vytvorená webová stránka, prostredníctvom ktorej môžu používatelia spravovať tlačové úlohy na serveri. Aby táto služba fungovala, ako viete, musíte nainštalovať " webový server (IIS)". Všetky požadované súčasti sa vyberú automaticky, keď začiarknete toto políčko počas procesu inštalácie služby role " Internetová tlač»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, ktorá vám umožňuje prijímať naskenované dokumenty zo sieťových skenerov a odosielať ich na miesto určenia. Táto služba obsahuje aj „ Správa skenovania“, ktorý sa používa na správu sieťových skenerov a na konfiguráciu skenovania;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon riadkovej tlačiarne) umožňuje počítačom so systémom UNIX a iným počítačom používajúcim službu Line Printer Remote (LPR) tlačiť na zdieľaných tlačiarňach servera.

Sieťová politika a prístupové služby

rola" » (NPAS) umožňuje serveru Network Policy Server (NPS) nastaviť a vynútiť prístup k sieti, autentifikáciu a autorizáciu a zásady zdravia klienta, inými slovami, zabezpečiť sieť.

Názov prostredia Windows PowerShell je NPAS.

Služby nasadenia systému Windows

Pomocou tejto roly môžete vzdialene inštalovať operačný systém Windows cez sieť.

Názov role pre PowerShell je WDS.

• Deployment Server (WDS-Deployment) – táto služba role je určená na vzdialené nasadenie a konfiguráciu operačných systémov Windows. Umožňuje vám tiež vytvárať a upravovať obrázky na opätovné použitie;
• Transport Server (WDS-Transport) – Táto služba obsahuje základné sieťové komponenty, pomocou ktorých môžete prenášať dáta multicastingom na samostatnom serveri.

Certifikačné služby Active Directory

Táto rola je určená na vytváranie certifikačných autorít a súvisiacich služieb rolí, ktoré vám umožňujú vydávať a spravovať certifikáty pre rôzne aplikácie.

Názov pre Windows PowerShell je AD-Certificate.

Zahŕňa nasledujúce služby rolí:

• Certifikačná autorita (ADCS-Cert-Authority) – pomocou tejto služby role môžete vydávať certifikáty používateľom, počítačom a službám, ako aj spravovať platnosť certifikátu;
• Webová služba Zásady registrácie certifikátov (ADCS-Enroll-Web-Pol) – Táto služba umožňuje používateľom a počítačom získať informácie o zásadách registrácie certifikátov z webového prehliadača, aj keď počítač nie je členom domény. Pre jeho fungovanie je to nevyhnutné webový server (IIS)»;
• Webová služba registrácie certifikátov (ADCS-Enroll-Web-Svc) – Táto služba umožňuje používateľom a počítačom registrovať a obnovovať certifikáty pomocou webového prehliadača cez HTTPS, aj keď počítač nie je členom domény. Musí tiež fungovať webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) - Služba je určená na kontrolu zrušenia certifikátu pre klientov. Inými slovami, prijme požiadavku na stav zrušenia pre konkrétne certifikáty, vyhodnotí stav týchto certifikátov a pošle späť podpísanú odpoveď s informáciami o stave. Aby služba fungovala, je to nevyhnutné webový server (IIS)»;
• Webová registračná služba certifikačnej autority (ADCS-Web-Enrollment) – Táto služba poskytuje používateľom webové rozhranie na vykonávanie úloh, ako je napríklad vyžiadanie a obnovenie certifikátov, získanie CRL a registrácia certifikátov čipových kariet. Aby služba fungovala, je to nevyhnutné webový server (IIS)»;
• Služba registrácie sieťových zariadení (ADCS-Device-Enrollment) – pomocou tejto služby môžete vydávať a spravovať certifikáty pre smerovače a iné sieťové zariadenia, ktoré nemajú sieťové účty. Aby služba fungovala, je to nevyhnutné webový server (IIS)».

Služby vzdialenej pracovnej plochy

Rola servera, ktorá poskytuje prístup k virtuálnym desktopom, desktopom založeným na reláciách a RemoteApps.

Názov role pre Windows PowerShell je Remote-Desktop-Services.

Pozostáva z nasledujúcich služieb:

• Webový prístup k vzdialenej ploche (RDS-Web-Access) – Táto služba role umožňuje používateľom pristupovať k vzdialeným pracovným plochám a aplikáciám RemoteApp prostredníctvom „ Štart» alebo pomocou webového prehliadača;
• Licencovanie vzdialenej pracovnej plochy (RDS-Licensing) – Služba je určená na správu licencií, ktoré sú potrebné na pripojenie k hostiteľovi relácie vzdialenej pracovnej plochy alebo k virtuálnej pracovnej ploche. Môže sa použiť na inštaláciu, vydávanie licencií a sledovanie ich dostupnosti. Táto služba vyžaduje " webový server (IIS)»;
• Sprostredkovateľ pripojenia k vzdialenej ploche (RDS-Connection-Broker) je služba role, ktorá poskytuje nasledujúce možnosti: opätovné pripojenie používateľa k existujúcej virtuálnej pracovnej ploche, aplikácii RemoteApp a pracovnej ploche založenej na reláciách, ako aj vyrovnávanie záťaže medzi počítačmi serverov hostiteľských vzdialených relácií alebo medzi združenými virtuálnymi desktopmi. Táto služba vyžaduje „ »;
• Hostiteľ virtualizácie vzdialenej pracovnej plochy (DS-Virtualization) – Služba umožňuje používateľom pripojiť sa k virtuálnym pracovným plochám pomocou RemoteApp a Desktop Connection. Táto služba funguje v spojení s Hyper-V, t.j. táto rola musí byť nainštalovaná;
• Hostiteľ relácie vzdialenej pracovnej plochy (RDS-RD-Server) – Táto služba môže hostiť aplikácie RemoteApp a pracovné plochy založené na reláciách na serveri. Prístup je cez klienta Remote Desktop Connection alebo RemoteApps;
• Brána vzdialenej pracovnej plochy (RDS-Gateway) – služba umožňuje oprávneným vzdialeným používateľom pripojiť sa k virtuálnym pracovným plochám, vzdialeným aplikáciám a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez internet. Táto služba vyžaduje nasledujúce dodatočné služby a komponenty: webový server (IIS)», « Sieťová politika a prístupové služby», « RPC cez HTTP proxy».

AD RMS

Toto je rola servera, ktorá vám umožní chrániť informácie pred neoprávneným použitím. Overuje identitu používateľov a udeľuje licencie oprávneným používateľom na prístup k chráneným údajom. Táto rola vyžaduje ďalšie služby a komponenty: webový server (IIS)», « Služba aktivácie procesov systému Windows», « Funkcie .NET Framework 4.6».

Názov prostredia Windows PowerShell je ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) – služba hlavnej role, potrebná na inštaláciu;
• Podpora federácie identít (ADRMS-Identity) je voliteľná služba rolí, ktorá umožňuje federatívnym identitám využívať chránený obsah pomocou služby Active Directory Federation Services.

AD FS

Táto rola poskytuje webovým stránkam pomocou prehliadača zjednodušenú a zabezpečenú federáciu identity a funkciu jednotného prihlásenia (SSO).

Názov pre PowerShell je ADFS-Federation.

Vzdialený prístup

Táto rola poskytuje konektivitu prostredníctvom DirectAccess, VPN a proxy webovej aplikácie. Aj rola Vzdialený prístup"poskytuje tradičné možnosti smerovania vrátane prekladu sieťových adries (NAT) a ďalších možností pripojenia. Táto rola vyžaduje ďalšie služby a funkcie: webový server (IIS)», « Interná databáza systému Windows».

Názov role pre Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje používateľom kedykoľvek sa pripojiť k podnikovej sieti s prístupom na internet cez DirectAccess, ako aj organizovať pripojenia VPN v kombinácii s technológiami tunelovania a šifrovania údajov;
• Smerovanie (Routing) - služba poskytuje podporu pre NAT routery, LAN routery s protokolmi BGP, RIP a routery s podporou multicast (IGMP proxy);
• Web Application Proxy (Web-Application-Proxy) - Služba umožňuje publikovať aplikácie založené na protokoloch HTTP a HTTPS z podnikovej siete na klientske zariadenia, ktoré sú mimo podnikovej siete.

Súborové a úložné služby

Toto je rola servera, ktorú možno použiť na zdieľanie súborov a priečinkov, spravovanie a riadenie zdieľaní, replikáciu súborov, poskytovanie rýchleho vyhľadávania súborov a udeľovanie prístupu ku klientskym počítačom UNIX. Súborovým službám a najmä súborovému serveru sme sa podrobnejšie venovali v materiáli „Inštalácia súborového servera (File Server) na Windows Server 2016“.

Názov prostredia Windows PowerShell je FileAndStorage-Services.

Skladovacie služby- Táto služba poskytuje funkciu správy úložiska, ktorá je vždy nainštalovaná a nemožno ju odstrániť.

Súborové služby a služby iSCSI (súborové služby)- Ide o technológie, ktoré zjednodušujú správu súborových serverov a úložísk, šetria miesto na disku, zabezpečujú replikáciu a cachovanie súborov v pobočkách a poskytujú aj zdieľanie súborov cez protokol NFS. Zahŕňa nasledujúce služby rolí:

• Súborový server (FS-FileServer) – služba role, ktorá spravuje zdieľané priečinky a poskytuje používateľom prístup k súborom na tomto počítači cez sieť;
• Deduplikácia údajov (FS-Data-Deduplication) – táto služba šetrí miesto na disku tým, že na zväzok ukladá iba jednu kópiu identických údajov;
• Správca zdrojov súborového servera (FS-Resource-Manager) – pomocou tejto služby môžete spravovať súbory a priečinky na súborovom serveri, vytvárať správy o úložisku, klasifikovať súbory a priečinky, konfigurovať kvóty priečinkov a definovať politiky blokovania súborov;
• Poskytovateľ cieľového úložiska iSCSI (poskytovatelia hardvéru VDS a VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje aplikáciám na serveri pripojenom k ​​cieľu iSCSI vytvárať zväzky tieňovej kópie na virtuálnych diskoch iSCSI;
• Menné priestory DFS (FS-DFS-Namespace) - pomocou tejto služby môžete zoskupovať zdieľané priečinky hosťované na rôznych serveroch do jedného alebo viacerých logicky štruktúrovaných menných priestorov;
• Pracovné priečinky (FS-SyncShareService) – služba vám umožňuje používať pracovné súbory na rôznych počítačoch, vrátane pracovných a osobných. Svoje súbory môžete ukladať do pracovných priečinkov, synchronizovať ich a pristupovať k nim z lokálnej siete alebo internetu. Aby služba fungovala, komponent " Webové jadro IIS v procese»;
• Replikácia DFS (FS-DFS-Replication) je modul replikácie údajov na viacerých serveroch, ktorý vám umožňuje synchronizovať priečinky cez pripojenie LAN alebo WAN. Táto technológia používa protokol Remote Differential Compression (RDC) na aktualizáciu iba časti súborov, ktoré sa zmenili od poslednej replikácie. Replikáciu DFS možno použiť s priestormi názvov DFS alebo bez nich;
• Server pre NFS (FS-NFS-Service) – Služba umožňuje tomuto počítaču zdieľať súbory s počítačmi so systémom UNIX a inými počítačmi, ktoré používajú protokol Network File System (NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – poskytuje služby a správu pre iSCSI ciele;
• Služba BranchCache pre sieťové súbory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto súborovom serveri;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje tieňové kópie zväzku pre aplikácie, ktoré ukladajú dátové súbory na tomto súborovom serveri.

faxový server

Rola odosiela a prijíma faxy a umožňuje vám spravovať faxové zdroje, ako sú úlohy, nastavenia, správy a faxové zariadenia na tomto počítači alebo v sieti. Vyžaduje sa pre prácu Tlačový server».

Názov role pre Windows PowerShell je Fax.

Týmto je prehľad rolí servera Windows Server 2016 dokončený, dúfam, že materiál bol pre vás zatiaľ užitočný!

Uplatňovanie skupinových zásad (3. časť)

GPO sú zvyčajne priradené ku kontajneru (doméne, lokalite alebo OU) a aplikujú sa na všetky objekty v tomto kontajneri. Pri dobre organizovanej doménovej štruktúre to úplne stačí, niekedy je však potrebné ešte viac obmedziť aplikáciu politík na špecifickú skupinu objektov. Na to možno použiť dva typy filtrov.

Bezpečnostné filtre

Bezpečnostné filtre vám umožňujú obmedziť aplikáciu politík na konkrétnu bezpečnostnú skupinu. Zoberme si napríklad GPO2, ktorý sa používa na centrálnu konfiguráciu ponuky Štart na pracovných staniciach s Windows 8.1\Windows 10. GPO2 je priradený k zamestnaneckej OU a vzťahuje sa na všetkých používateľov bez výnimky.

Teraz prejdime na kartu „Rozsah“, kde sú v časti „Filtrovanie zabezpečenia“ uvedené skupiny, na ktoré je možné tento GPO použiť. Štandardne je tu uvedená skupina Authenticated Users. To znamená, že politiku možno použiť ktokoľvek používateľ alebo počítač, ktorý sa úspešne autentifikoval v doméne.

V skutočnosti má každý GPO svoj vlastný zoznam prístupových práv, ktorý je možné vidieť na karte Delegovanie.

Ak chcete použiť politiku, objekt musí mať práva na čítanie (Čítanie) a uplatňovanie (Apply group policy), ktoré má skupina Authenticated Users. Preto, aby sa politika vzťahovala nie na všetkých, ale iba na konkrétnu skupinu, je potrebné odstrániť overených používateľov zo zoznamu a potom pridať požadovanú skupinu a dať mu príslušné povolenia.

Takže v našom príklade možno zásadu použiť iba na účtovnú skupinu.

filtre WMI

Windows Management Instrumentation (WMI) je jedným z najvýkonnejších nástrojov na správu operačného systému. systém Windows. WMI obsahuje obrovské množstvo tried, pomocou ktorých môžete opísať takmer akékoľvek nastavenia používateľa a počítača. Všetky dostupné triedy WMI môžete zobraziť ako zoznam pomocou prostredia PowerShell spustením príkazu:

Get-WmiObject -List

Vezmite napríklad triedu Win32_OperatingSystem, ktorý je zodpovedný za vlastnosti operačného systému. Predpokladajme, že chcete filtrovať všetky operačné systémy okrem Windows 10. Prejdeme k počítaču s nainštalovaným Windowsom 10, otvoríme konzolu PowerShell a pomocou príkazu zobrazíme názov, verziu a typ operačného systému:

Get-WmiObject -Class Win32_OperatingSystem | fl Názov, Verzia, Typ produktu

Pre filter používame verziu a typ OS. Verzia je rovnaká pre operačný systém klienta aj servera a je definovaná takto:

Windows Server 2016\Windows 10 – 10.0
Windows Server 2012 R2\Windows 8.1 – 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Typ produktu je zodpovedný za účel počítača a môže mať 3 hodnoty:

1 - pracovná stanica;
2 - radič domény;
3 - server.

Teraz prejdime k vytvoreniu filtra. Ak to chcete urobiť, otvorte modul Správa zásad skupiny a prejdite do časti Filtre WMI. Kliknite naň pravým tlačidlom myši a v kontextovej ponuke vyberte položku Nový.

V okne, ktoré sa otvorí, zadajte názov a popis filtra. Potom stlačíme tlačidlo „Pridať“ a do poľa „Dopyt“ zadáme dotaz WQL, ktorý je základom filtra WMI. Musíme vybrať verziu OS 10.0 s typom 1, takže požiadavka bude vyzerať takto:

SELECT * FROM Win32_OperatingSystem WHERE Verzia AKO ″10,0 %″ A ProductType = ″1″

Poznámka. Windows Query Language (WQL) – dotazovací jazyk WMI. Viac sa o tom môžete dozvedieť na MSDN.

Uložte výsledný filter.

Teraz už zostáva len priradiť filter WMI k objektu GPO, napríklad GPO3. Prejdite do vlastností objektu GPO, otvorte kartu „Rozsah“ a v poli „Filtrovanie WMI“ vyberte požadovaný filter zo zoznamu.

Analýza uplatňovania skupinovej politiky

Pri toľkých metódach filtrovania GPO je potrebné vedieť diagnostikovať a analyzovať ich aplikáciu. Najjednoduchší spôsob, ako skontrolovať účinok skupinových politík na počítači, je použiť nástroj príkazového riadka gpresult.

Poďme napríklad k počítaču wks2, ktorý má nainštalovaný Windows 7, a skontrolujte, či filter WMI fungoval. Ak to chcete urobiť, otvorte konzolu cmd s právami správcu a vykonajte príkaz gpresult /r, ktorá zobrazuje súhrnné informácie o skupinových politikách aplikovaných na používateľa a počítač.

Poznámka. Pomôcka gpresult má veľa nastavení, ktoré je možné zobraziť pomocou príkazu gpresult /?.

Ako môžete vidieť z prijatých údajov, politika GPO3 nebola aplikovaná na počítač, pretože bola filtrovaná filtrom WMI.

Akciu GPO môžete skontrolovať aj v module Správa zásad skupiny pomocou špeciálneho sprievodcu. Ak chcete spustiť sprievodcu, kliknite pravým tlačidlom myši na časť „Výsledky zásad skupiny“ a v ponuke, ktorá sa otvorí, vyberte položku „Sprievodca výsledkami zásad skupiny“.

Zadajte názov počítača, pre ktorý sa zostava vygeneruje. Ak chcete iba zobraziť nastavenia skupinovej politiky špecifické pre používateľa, môžete sa rozhodnúť nezhromažďovať nastavenia pre počítač. Ak to chcete urobiť, začiarknite políčko nižšie (zobraziť iba nastavenia pravidiel používateľa).

Potom vyberieme meno používateľa, pre ktorého sa budú zhromažďovať údaje, alebo môžete určiť, aby sa do prehľadu nezahrnuli nastavenia skupinovej politiky pre používateľa (iba zobraziť nastavenia politiky počítača).

Skontrolujeme zvolené nastavenia, klikneme na „Ďalej“ a počkáme, kým sa zozbierajú údaje a vygeneruje sa správa.

Správa obsahuje komplexné údaje o GPO aplikovaných (alebo neaplikovaných) na používateľa a počítač, ako aj o použitých filtroch.

Vytvorme napríklad prehľady pre dvoch rôznych používateľov a porovnajme ich. Najprv otvorme prehľad pre používateľa Kirill a prejdeme do sekcie používateľských nastavení. Ako vidíte, politika GPO2 nebola aplikovaná na tohto používateľa, pretože nemá práva na jej uplatňovanie (Dôvod odmietnutý - Neprístupné).

A teraz otvorme správu pre používateľa Olega. Tento používateľ je členom skupiny Účtovníctvo, takže politika na neho bola úspešne použitá. To znamená, že bezpečnostný filter bol úspešne dokončený.

Týmto možno dokončím ″fascinujúci″ príbeh o uplatňovaní skupinových zásad. Dúfam, že tieto informácie budú užitočné a pomôžu vám v náročnej úlohe správy systému 🙂