Uveďte podrobný popis politiky servera pre daný vzťah. Práca s administráciou a skupinami smerovania

Ahoj. Nemôžete si zaregistrovať svoj vlastný účet?
napíšte na PM - vk.com/watsonshit
- Registrujeme účty na objednávku.
- Pomáhame s fázami 1 a 2 UCP.
- Rýchle a kvalitné služby.
- Záruky, recenzie. Sme zodpovední za bezpečnosť.
- Úplne odlišné servery s registráciou UCP.
Projekt Pacific Coast – SW projekt atď.

Nenašli ste odpoveď na svoju otázku? Napíšte do komentárov a ja vám odpoviem.

) Na čo slúži OOC chat?
- 1) Toto je chat, ktorý neovplyvňuje hrateľnosť.

2) Čo sa myslí pod pojmom hranie rolí?
- 2) Hra na hranie rolí je typ hry, v ktorej musíte hrať rolu, ktorú som si vybral.

3) Ak nejaká situácia nie je vo váš prospech (vražda / lúpež). Vaše činy?
- 2) Bez ohľadu na to budem hrať ďalej.

2) Dostali ste peniaze od podvodníka, čo urobíte?
- 4) Budem informovať administráciu servera, odhlásim sa v špeciálnej téme a pridám peniaze na /charitu.

3) Máte právo zabiť policajta?
- 1) Samozrejme, zabiť policajta môžem len vtedy, ak mám na to dobrý dôvod.

1) Je dovolené prechádzať z miesta vodiča?
- 4) Nie, takéto akcie sú zakázané pravidlami servera.

4) Sú povolené prezývky celebrít a filmov/seriálov/rozprávkových postavičiek?
- 3) Nie, sú zakázané.

5) Počas prestrelky boli technicky zabité tri postavy, ale po chvíli tie isté postavy už opäť hrali svoje úlohy. O aký druh vraždy ide?
- 2) Zabitie hráča.

7) Strieľajú po tebe, ale ty nechceš zomrieť, a preto...
- 4) Pokúsite sa uniknúť a prežiť hraním rolí.

2) Máte právo používať Bunny-Hop?
- 3) Áno, mám právo ho použiť, ak nebudem nikomu prekážať.

7) Čo urobíte, ak budete mať návrh na vývoj servera?
- 3) Napíšem o tom v príslušnej sekcii na fóre.

3) Je povinné zrušiť odber akcií pri používaní zbraní malých rozmerov?
- 4) Nie.

2) Ste na serveri prvýkrát a vôbec nepoznáte príkazy, čo budete robiť?
- 3) Príkazom /askq položím otázku administrácii, potom počkám na odpoveď.

3) Aký je účel príkazu /coin?
- riešiť všetky sporné situácie

1) Čo je Metagaming?
- 2) Ide o použitie nerolových informácií pri hraní roly.

6) Hráč, ktorého postava bola technicky zabitá počas prestrelky, sa rozhodol pomstiť páchateľom a zabil jedného z protivníkov bez dôvodov súvisiacich s rolou. Aké porušenia sú tu zo strany hráča?
- 3) Pomsta zabiť.

10) Je dovolené doplniť množstvo zdravia počas boja / potýčky?
- 4) Nie.

8) Je dovolené strieľať na zamestnancov LSPD a s čím je to spojené?
- 4) Áno, obyčajná prestrelka končí PC pre obe strany. Ak je to spis alebo razia, policia dostane PK, zlocincom SK.

6) Aká je maximálna suma za lúpež, ktorá si nevyžaduje administratívne kontroly?
- 1) $500

9) Aké jazyky je možné použiť na našom serveri?
- 1) ruský.

7) Po dlhej a starostlivej príprave vrah splnil rozkaz – zabil. Plán bol vypočítaný do najmenších detailov, v dôsledku čoho zákazník veľkoryso zaplatil. Aká je v tomto prípade obeť?
- 1) Zabitie postavy.

9) Je povolená krádež vládnych vozidiel?
- 2) Áno, ale najprv musíte požiadať administrátora, ako aj konať v súlade s odsekom 9 pravidiel hry.

8) Kedy môžete predviesť sexuálne násilie a krutosť?
- 2) Sexuálne násilie a krutosť je možné hrať len so súhlasom všetkých osôb zapojených do RP.

10) Čo by ste mali robiť, ak si myslíte, že hra neprebieha podľa pravidiel?
- 1) Napíšte na / nahláste sa, ak je neprítomný administrátor - napíšte sťažnosť na fórum.

7) Koľko odohraných hodín by mal mať hráč, aby bol okradnutý?
- 3) 8 hodín.

8) Zadajte správne použitie príkazu /coin. po:
- Prestal som dýchať, udrel som loptu a snažil som sa ju hodiť do diery.

8) Uveďte správne použitie/me príkazy:
- široko som sa usmial a pozrel priamo do Lindiných očí. Pristúpil bližšie a potom ju jemne objal.

PREDAJ VIRTUÁLNEJ MENY NA PROJEKTE PACIFIC COAST A SERVEROCH GRINCH ROLE PLAY.
VŠETKY INFO V SKUPINE!
vk.com/virtongarant

Pred vývojom soketového servera musíte vytvoriť server politík, ktorý informuje Silverlight, ktorí klienti sa môžu pripojiť k soketovému serveru.

Ako je uvedené vyššie, Silverlight neumožňuje načítanie obsahu alebo volanie webovej služby, ak doména nemá clientaccesspolicy .xml alebo súbor crossdomain. xml, kde sú tieto operácie výslovne povolené. Podobné obmedzenie platí pre soketový server. Ak nepovolíte klientskemu zariadeniu stiahnuť súbor .xml clientaccesspolicy, ktorý umožňuje vzdialený prístup, Silverlight odmietne nadviazať spojenie.

Žiaľ, poskytovanie zásad klientskeho prístupu. cml do aplikácie soketu je väčšou výzvou ako jej poskytovanie prostredníctvom webovej stránky. Pri používaní webovej stránky softvér webový server môže poskytnúť súbor .xml clientaccesspolicy, len ho nezabudnite pridať. Súčasne, keď používate aplikáciu soketu, musíte otvoriť soket, ku ktorému môžu klientske aplikácie pristupovať s požiadavkami na politiku. Okrem toho musíte manuálne vytvoriť kód, ktorý obsluhuje zásuvku. Ak chcete vykonať tieto úlohy, musíte vytvoriť server politík.

V nasledujúcom texte ukážeme, že server politík funguje rovnakým spôsobom ako server správ, iba spracováva o niečo jednoduchšie interakcie. Servery správ a politiky môžu byť vytvorené samostatne alebo kombinované v jednej aplikácii. V druhom prípade musia počúvať požiadavky na rôznych vláknach. V tomto príklade vytvoríme server politík a potom ho skombinujeme so serverom správ.

Ak chcete vytvoriť server politík, musíte najprv vytvoriť aplikáciu .NET. Akýkoľvek typ aplikácie .NET môže slúžiť ako server politík. Najjednoduchším spôsobom je použiť konzolovú aplikáciu. Po odladení konzolovej aplikácie môžete kód presunúť do služby Windows tak, aby bežala stále na pozadí.

Súbor zásad

Nasleduje súbor politiky poskytnutý serverom politík.

Súbor politiky definuje tri pravidlá.

Umožňuje prístup ku všetkým portom od 4502 do 4532 (toto je celý rad portov podporovaných doplnkom Silverlight). Ak chcete zmeniť rozsah dostupných portov, zmeňte hodnotu atribútu portu prvku.

Umožňuje prístup TCP (oprávnenie je definované v atribúte protokolu prvku).

Umožňuje volanie z ľubovoľnej domény. Preto môže byť aplikácia Silverlight, ktorá vytvára spojenie, hosťovaná na ľubovoľnej webovej lokalite. Ak chcete zmeniť toto pravidlo, musíte upraviť atribút uri prvku.

Na uľahčenie sú pravidlá politiky umiestnené v súbore clientaccess-ploi.cy.xml, ktorý sa pridáva do projektu. IN vizuálne štúdio Nastavenie Kopírovať do výstupného adresára súboru politiky musí byť nastavené na Vždy kopírovať. stačí nájsť súbor na pevnom disku, otvoriť ho a vrátiť obsah do klientskeho zariadenia.

Trieda PolicyServer

Funkčnosť servera politík je založená na dvoch kľúčových triedach: PolicyServer a PolicyConnection. Trieda PolicyServer spracováva čakanie na pripojenia. Keď prijme spojenie, odovzdá riadenie novej inštancii triedy PoicyConnection, ktorá odovzdá súbor politiky klientovi. Tento dvojdielny postup je bežný v sieťovom programovaní. Pri práci so servermi správ to uvidíte viackrát.

Trieda PolicyServer načíta súbor politiky z pevný disk a uloží ho do poľa ako pole bajtov.

verejnej triedy PolicyServer

politika súkromných bajtov;

public PolicyServer(string policyFile) (

Ak chcete začať počúvať, serverová aplikácia musí zavolať PolicyServer. Štart (). Vytvára objekt TcpListener, ktorý počúva požiadavky. Objekt TcpListener je nakonfigurovaný na počúvanie na porte 943. V Silverlight je tento port vyhradený pre servery politík. Pri vytváraní požiadaviek na súbory zásad ich aplikácia Silverlight automaticky nasmeruje na port 943.

súkromný poslucháč TcpListener;

public void Start()

// Vytvorenie poslucháča

listener = new TcpListener(IPAddress.Any, 943);

// Začnite počúvať; metóda Start() vráti II ihneď po zavolaní listener.Start();

// Čaká sa na spojenie; metóda sa okamžite vráti;

Čakanie II sa vykonáva v samostatnom vlákne

Ak chcete prijať ponúkané pripojenie, server politík zavolá metódu BeginAcceptTcpClient(). Rovnako ako všetky metódy Beginxxx() rámca .NET sa vráti ihneď po zavolaní a vykoná potrebné operácie na samostatnom vlákne. Pre sieťové aplikácie je to veľmi významný faktor, pretože umožňuje súčasne spracovať veľa požiadaviek na súbory politík.

Poznámka. Začínajúci sieťoví programátori sa často čudujú, ako môže byť súčasne spracovaných viacero požiadaviek, a myslia si, že to vyžaduje niekoľko serverov. Avšak nie je. S týmto prístupom by klientske aplikácie rýchlo vyčerpali dostupné porty. V praxi serverové aplikácie spracovávajú mnoho požiadaviek cez jeden port. Tento proces je pre aplikácie neviditeľný, pretože vstavaný podsystém TCP v systéme Windows automaticky identifikuje správy a nasmeruje ich do príslušných objektov v kóde aplikácie. Každé pripojenie je jednoznačne identifikované na základe štyroch parametrov: adresa IP klienta, číslo portu klienta, adresa IP servera a číslo portu servera.

Pri každej požiadavke sa spustí metóda spätného volania OnAcceptTcpClient(). Znovu zavolá metódu BeginAcceptTcpClient O, aby sa začalo čakať na ďalšiu požiadavku v inom vlákne, a potom začne spracovávať aktuálnu požiadavku.

public void OnAcceptTcpClient(IAsyncResult ar) (

if (isStopped) return;

Console.WriteLine("Prijatá požiadavka zásad."); // Čaká sa na ďalšie pripojenie.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Spracovanie aktuálneho pripojenia.

Klient TcpClient = poslucháč.EndAcceptTcpClient(ar); PolicyConnection policyConnection = nové PolicyConnection(klient, politika); policyConnection.HandleRequest() ;

chytiť (chyba výnimky) (

Pri každom prijatí nového pripojenia sa vytvorí nový objekt PolicyConnection, ktorý ho spracuje. Okrem toho objekt PolicyConnection udržiava súbor politiky.

Posledným komponentom triedy PolicyServer je metóda Stop(), ktorá zastaví čakanie na požiadavky. Aplikácia ho zavolá, keď sa ukončí.

private bool isStopped;

public void StopO(

isStopped = true;

poslucháča. stop();

chytiť (chyba výnimky) (

Console.WriteLine(err.Message);

Nasledujúci kód sa používa v metóde Main() aplikačného servera na spustenie servera politík.

static void Main(string args) (

PolicyServer policyServer = nový PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Server zásad spustený."); Console.WriteLine("Pre ukončenie stlačte kláves Enter.");

// Čakanie na stlačenie klávesu; pomocou metódy // Console.ReadKey() ju môžete nastaviť tak, aby čakala na konkrétny // riadok (napríklad quit) alebo stlačte ľubovoľný kláves Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Ukončiť server zásad.");

trieda PolicyConnection

Trieda PolicyConnection vykonáva jednoduchšiu úlohu. Objekt PolicyConnection ukladá odkaz na údaje súboru politiky. Potom, po zavolaní metódy HandleRequest(), objekt PolicyConnection načíta nové pripojenie zo sieťového toku a pokúsi sa ho prečítať. Klientske zariadenie musí odoslať reťazec obsahujúci text. Po prečítaní tohto textu klientske zariadenie zapíše dáta politiky do streamu a uzavrie spojenie. Nasleduje kód triedy PolicyConnection.

verejná trieda PolicyConnection(

súkromný klient TcpClient; politika súkromných bajtov;

public PolicyConnection (klient TcpClient, politika bajtov) (

this.client = klient; this.policy = politika;

// Vytvorenie súkromnej požiadavky klienta so statickým reťazcom policyRequestString = "

public void HandleRequest()(

Stream s = klient.GetStream(); // Čítanie reťazca dotazu politiky

byte buffer = nový bajt;

// Počkajte iba 5 sekúnd client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Odovzdať politiku (môžete tiež skontrolovať, či požiadavka na politiku má // požadovaný obsah) s.Write(policy, 0, policy.Length);

// Zatvorte pripojenie client.Close();

Console.WriteLine("Súbor s pravidlami doručený.");

Takže máme plne funkčný server politík. Žiaľ, zatiaľ sa nedá otestovať, pretože doplnok Silverlight neumožňuje explicitné vyžiadanie súborov zásad. Namiesto toho ich automaticky požaduje pri pokuse o použitie aplikácie soketu. Pred vytvorením klientskej aplikácie pre túto soketovú aplikáciu musíte vytvoriť server.

V predchádzajúcich článkoch tejto série ste sa naučili, ako efektívne využívať funkcionalitu lokálnych bezpečnostných politík, ktoré vám umožňujú maximálne chrániť infraštruktúru vašej organizácie pred útokmi neprajníkov zvonku, ako aj pred väčšinou akcií nekompetentných zamestnancov. . Už viete, ako môžete efektívne nastaviť zásady účtov, ktoré vám umožnia spravovať zložitosť hesiel vašich používateľov, nastaviť zásady auditu na ďalšiu analýzu autentifikácie vašich používateľov v protokole zabezpečenia. Okrem toho ste sa naučili prideľovať práva svojim používateľom, aby ste predišli poškodeniu vášho systému a dokonca aj počítačov vo vašom intranete, a tiež viete, ako efektívne konfigurovať protokoly udalostí, skupiny s obmedzený prístup, systémové služby, register a súborový systém. V tomto článku budeme pokračovať v štúdiu miestnych bezpečnostných zásad a dozviete sa o nastaveniach zabezpečenia káblovej siete pre váš podnik.

Serverové operačné systémy spoločnosti Microsoft, počnúc Windows Server 2008, zaviedli komponent Wired Network Policies (IEEE 802.3), ktorý poskytuje automatickú konfiguráciu pre nasadenie služieb káblového prístupu s overením IEEE 802.1X pre sieťových klientov Ethernet 802.3. Na implementáciu nastavení zabezpečenia pre káblové siete pomocou skupinových zásad používajú operačné systémy službu Wired AutoConfig (Wired AutoConfig - DOT3SVC). Aktuálna služba je zodpovedná za overenie IEEE 802.1X pri pripájaní k Ethernetové siete s kompatibilnými prepínačmi 802.1X a spravuje profil používaný na konfiguráciu sieťového klienta na overený prístup. Za zmienku tiež stojí, že ak používate tieto zásady, potom je žiaduce zabrániť používateľom vo vašej doméne meniť režim spustenia tejto služby.

Konfigurácia zásad káblovej siete

Nastavenia zásad káblovej siete môžete nastaviť priamo z modulu snap-in. Ak chcete nakonfigurovať tieto nastavenia, postupujte takto:

Otvorte modul snap-in a vyberte uzol v strome konzoly, kliknite naň kliknite pravým tlačidlom myši myšou a z kontextového menu vyberte príkaz "Vytvorenie novej politiky káblovej siete pre Windows Vista a novšie verzie" ako je znázornené na nasledujúcom obrázku:
Ryža. 1. Vytvorte politiku káblovej siete
V otvorenom dialógovom okne "Nová politika pre vlastnosti káblových sietí", na karte "sú bežné", môžete určiť použitie služby Wired AutoConfig na konfiguráciu adaptérov LAN na pripojenie ku káblovej sieti. Okrem nastavení zásad, ktoré sa vzťahujú na operačné systémy Windows Vista a novšie, existujú aj niektoré nastavenia zásad, ktoré sa budú vzťahovať len na operačné systémy Windows 7 a Windows Server 2008 R2. Na tejto karte môžete vykonať nasledujúce akcie:
- Názov politiky. V tomto textovom poli môžete pomenovať pravidlá káblovej siete. Názov politiky môžete vidieť na table podrobností uzla "Zásady káblovej siete (IEEE 802.3)" zaklapnúť Editor správy zásad skupiny;
- Popis. Toto textové pole slúži na vyplnenie podrobného popisu účelu politiky káblovej siete;
- Použite káblovú službu automatickej konfigurácie Siete Windows pre klientov. Táto možnosť vykoná skutočnú konfiguráciu a pripojí klientov ku káblovej sieti 802.3. Ak túto možnosť zakážete, operačný systém Windows nebude ovládať káblové sieťové pripojenie a nastavenia politiky sa neprejavia;
- Zabrániť používaniu zdieľaných používateľských poverení na sieťovú autentifikáciu. Toto nastavenie určuje, či sa má používateľovi zabrániť v ukladaní zdieľaných používateľských poverení na sieťovú autentifikáciu. Toto nastavenie môžete zmeniť lokálne pomocou príkazu netsh lan set allowexplicitcreds;
- Povoliť obdobie blokovania. Toto nastavenie určuje, či sa má počítaču zabrániť v automatickom pripájaní ku káblovej sieti na vami určený počet minút. Predvolená hodnota je 20 minút. Doba blokovania je nastaviteľná od 1 do 60 minút.

"sú bežné" pravidlá káblovej siete:

Ryža. 2. Karta Všeobecné v dialógovom okne nastavení zásad káblovej siete

Na karte "bezpečnosť" poskytuje možnosti konfigurácie pre metódu overovania a režim káblového pripojenia. Môžete nakonfigurovať nasledujúce nastavenia zabezpečenia:
- Povoľte overenie IEEE 802.1X pre prístup k sieti. Táto možnosť sa používa priamo na povolenie alebo zakázanie autentifikácie 802.1X prístup k sieti. Táto možnosť je predvolene povolená;
- Vyberte metódu sieťovej autentifikácie. Pomocou tohto rozbaľovacieho zoznamu môžete určiť jednu z metód autentifikácie sieťového klienta, ktorá sa použije na politiku káblovej siete. Na výber sú nasledujúce dve možnosti:
  - Microsoft: Chránené EAP (PEAP). Pre túto metódu autentifikácie je okno "Vlastnosti" obsahuje konfiguračné nastavenia pre metódu autentifikácie, ktorá sa má použiť;
  - Microsoft: čipové karty alebo iný certifikát. Pre túto metódu overenia v okne "Vlastnosti" poskytuje konfiguračné voľby, ktoré vám umožňujú zadať smart kartu alebo certifikát, ku ktorému sa chcete pripojiť, ako aj zoznam dôveryhodných koreňových CA.
Predvolene vybratá metóda Microsoft: Chránené EAP (PEAP);
Režim overenia. Tento rozbaľovací zoznam sa používa na vykonanie kontrola siete autentickosť. Na výber sú nasledujúce štyri možnosti:
- Overenie používateľa alebo počítača. Ak je vybratá táto možnosť, bezpečnostné poverenia sa použijú na základe aktuálneho stavu počítača. Aj keď nie je prihlásený žiadny používateľ, overenie sa vykoná pomocou poverení počítača. Keď sa používateľ prihlási, použijú sa prihlasovacie údaje prihláseného používateľa. Spoločnosť Microsoft odporúča vo väčšine prípadov používať toto nastavenie režimu overovania.
- Len pre počítač. V tomto prípade sú overené iba poverenia počítača;
- Overenie používateľa. Pri výbere daný parameter Povolí vynútenú autentifikáciu používateľa iba pri pripojení k novému zariadeniu 802.1X. Vo všetkých ostatných prípadoch sa autentifikácia vykonáva iba pre počítač;
- Autentifikácia hosťa. Toto nastavenie vám umožňuje pripojiť sa k sieti na základe účtu hosťa.
Maximálny počet chýb autentifikácie. Toto nastavenie vám umožňuje určiť maximálny počet chýb autentifikácie. Predvolená hodnota je 1;
Uložte používateľské údaje do vyrovnávacej pamäte pre následné pripojenia k tejto sieti. Keď je toto nastavenie povolené, prihlasovacie údaje používateľa sa uložia do systémového registra a pri odhlásení a následnom prihlásení používateľa sa nebudú vyžadovať žiadne poverenia.

Nasledujúca ilustrácia zobrazuje kartu "bezpečnosť" toto dialógové okno:

Ryža. 3. Karta Zabezpečenie v dialógovom okne Nastavenie zásad káblovej siete

Vlastnosti režimov autentifikácie

Ako bolo uvedené v predchádzajúcej časti, obe metódy autentifikácie majú dodatočné nastavenia ktoré sa volajú po kliknutí na tlačidlo. "Vlastnosti". V tejto časti sa pozrieme na všetko možné nastavenia pre metódy autentifikácie.

Nastavenia metódy overenia „Microsoft: Secure EAP (PEAP)“.

EAP (Extensible Authentication Protocol, Extensible Authentication Protocol) je rozšíriteľná overovacia infraštruktúra, ktorá definuje formát balíka. Na konfiguráciu tejto metódy overenia sú k dispozícii nasledujúce možnosti:

Povoliť rýchle opätovné pripojenie. Táto možnosť umožňuje používateľom s bezdrôtové počítače rýchlo sa presúvať medzi prístupovými bodmi bez opätovnej autentizácie nová sieť. Toto prepínanie môže fungovať len pre prístupové body, ktoré sú nakonfigurované ako klienti RADIUS. Táto možnosť je predvolene povolená;

Povoliť ochranu prístupu k sieti. Ak je vybratá táto možnosť, pred povolením pripojenia žiadateľov EAP k sieti sa vykonajú príslušné kontroly na určenie kontroly zdravotných požiadaviek;

Odpojte sa, ak server nepodporuje šifrovanú väzbu prostredníctvom mechanizmu TLV. Táto možnosť je zodpovedná za to, že pripájajúci sa klienti prerušia proces autentifikácie, ak server RADIUS neposkytuje kryptografickú hodnotu väzby TLV, ktorá zvyšuje bezpečnosť tunela TLS v PEAP kombináciou interných a externých metód autentifikácie, aby útočníci nemohli vykonávať falšovacie útoky. tretia strana;

Povoliť identitu súkromia. Toto nastavenie bráni klientom odoslať svoju identitu predtým, ako klient autentifikuje server RADIUS, a voliteľne poskytuje miesto na zadanie hodnoty anonymnej identity.

Dialógové okno Secure EAP Properties je zobrazené na nasledujúcom obrázku:

Ryža. 5. Dialógové okno Secure EAP Properties

Nastavenia spôsobu overovania „Smart karta alebo iný certifikát – nastavenia EAP-TLS“

Na konfiguráciu tejto metódy overenia sú k dispozícii nasledujúce možnosti:

Pri pripájaní použiť moju čipovú kartu. Ak nastavíte prepínač do tejto polohy, klienti, ktorí žiadajú o autentifikáciu, predložia certifikát čipovej karty na overenie siete;
Pri pripájaní použite certifikát na tomto počítači. Ak vyberiete túto možnosť, overenie pripojenia klienta použije certifikát umiestnený v obchode súčasný užívateľ alebo lokálny počítač;
Použite jednoduchý výber certifikátu. Táto možnosť umožňuje operačnému systému Windows odfiltrovať certifikáty, ktoré nespĺňajú požiadavky na autentifikáciu;
Skontrolujte certifikát servera. Táto možnosť vám umožňuje nastaviť overenie certifikátu servera, ktorý je poskytnutý klientskym počítačom na platný podpis, ktorého platnosť neuplynula, ako aj prítomnosť dôveryhodnej koreňovej certifikačnej autority, ktorá vydala certifikát pre tento server.
Pripojte sa k serverom. Táto možnosť je identická s možnosťou s rovnakým názvom opísanou v predchádzajúcej časti;
dôveryhodný koreňové centrá certifikácia. Rovnako ako v dialógovom okne vlastností zabezpečeného EAP, aj v tomto zozname môžete nájsť všetky dôveryhodné koreňové certifikačné autority, ktoré sú nainštalované v úložiskách certifikátov používateľa a počítača;
Nevyzývajte používateľa, aby autorizoval nové servery alebo dôveryhodné certifikačné autority. Zaškrtnutím tejto možnosti, ak existuje nesprávne nakonfigurovaný serverový certifikát alebo sa nachádza v zozname pre používateľa, nezobrazí sa dialógové okno so žiadosťou o autorizáciu takéhoto certifikátu. Táto možnosť je predvolene vypnutá;
Na pripojenie použite iné používateľské meno. Toto nastavenie určuje, či sa má na autentifikáciu použiť iné meno používateľa, ako je meno používateľa v certifikáte. Keď je povolená voľba použiť iné meno používateľa, musíte vybrať aspoň jeden certifikát zo zoznamu dôveryhodných koreňových CA.

Dialógové okno na nastavenie čipových kariet alebo iných certifikátov je zobrazené na nasledujúcom obrázku:

Ryža. 6. Dialógové okno pre nastavenie čipových kariet alebo iných certifikátov

Ak si nie ste istý certifikátom, ktorý si vyberiete, potom kliknutím na tlačidlo "Zobraziť certifikát" budú môcť zobraziť všetky podrobnosti o vybranom certifikáte, ako je uvedené nižšie:

Ryža. 7. Zobrazte certifikát zo zoznamu dôveryhodných koreňových certifikačných autorít

Rozšírené možnosti zabezpečenia káblovej politiky

Pravdepodobne ste si to všimli na karte "bezpečnosť" V dialógovom okne Nastavenie zásad káblovej siete sú k dispozícii ďalšie možnosti zabezpečenia na zmenu správania sieťových klientov požadujúcich prístup pomocou overenia 802.1X. Pokročilé nastavenia zásad káblového pripojenia možno rozdeliť do dvoch skupín – nastavenia IEEE 802.1X a nastavenia jednotného prihlásenia. Pozrime sa na každú z týchto skupín:

V skupine nastavení IEEE 802.1X môžete špecifikovať charakteristiky požiadaviek káblovej siete s overením 802.1X. Na úpravu sú k dispozícii nasledujúce možnosti:

Použite rozšírené nastavenia 802.1X. Táto možnosť vám umožňuje aktivovať nasledujúce štyri nastavenia;
Max. správy EAPOL. EAPOL je protokol EAP, ktorý sa používa skôr, ako sa počítač stihne overiť, a až po úspešnom „prihlásení“ bude všetka ostatná prevádzka schopná prejsť cez port prepínača, ku ktorému je tento počítač pripojený. Toto nastavenie je zodpovedné za maximálne množstvo odoslané správy EAPOL-Start;
Doba oneskorenia (s). Toto nastavenie riadi oneskorenie v sekundách pred vykonaním ďalšej požiadavky na overenie 802.1X po prijatí upozornenia na zlyhanie overenia;
Obdobie začiatku (obdobie začiatku). Tento parameter riadi čas čakania pred opätovným odoslaním následných správ EAPOL-Start;
Kontrolné obdobie (s). Tento parameter určuje počet sekúnd medzi opakovaným odoslaním po sebe nasledujúcich počiatočných správ EAPOL po spustení kontroly priechodného prístupu 802.1X;
Správa EAPOL-Start. Pomocou tohto parametra môžete zadať nasledujúce charakteristiky prenosu počiatočných správ EAPOL:
- Neprenášajte. Ak je vybratá táto možnosť, správy EAPOL sa nebudú prenášať;
- Prenesené. Ak je vybratá táto možnosť, klient bude musieť manuálne odoslať úvodné správy EAPOL;
- Prenos IEEE 802.1X. keď je vybratá táto možnosť (predvolene je definovaná), správy EAPOL sa budú odosielať na automatický režim, čaká na spustenie autentifikácie 802.1X.

Pri použití jednotného prihlásenia sa musí vykonať autentifikácia na základe konfigurácie zabezpečenia siete počas procesu prihlásenia používateľa do operačného systému. Pre úplné prispôsobenie profily jednotného prihlásenia, sú k dispozícii nasledujúce možnosti:

Povoliť jednotné prihlásenie pre sieť. Povolenie tejto možnosti aktivuje nastavenia jednotného prihlásenia;
Povoliť tesne pred prihlásením používateľa. Ak zaškrtnete túto možnosť, overenie 802.1X sa vykoná predtým, ako používateľ dokončí prihlásenie;
Povoliť ihneď po prihlásení používateľa. Ak zaškrtnete túto možnosť, overenie 802.1X sa vykoná po prihlásení používateľa;
Max. meškanie spojenia. Tento parameter určuje maximálny čas, počas ktorého sa musí vykonať overenie, a podľa toho, ako dlho bude používateľ čakať, kým sa zobrazí prihlasovacie okno používateľa;
Povoliť zobrazenie ďalších dialógových okien pri jednotnom prihlásení. Toto nastavenie je zodpovedné za zobrazenie prihlasovacieho dialógového okna používateľa;
Táto sieť používa rôzne siete VLAN na overenie poverení počítača a používateľa. Ak zadáte toto nastavenie, pri spustení budú všetky počítače umiestnené do jednej virtuálnej siete a po úspešnom prihlásení používateľa sa v závislosti od oprávnení prenesú do rôznych virtuálnych sietí. Túto možnosť má zmysel aktivovať iba vtedy, ak máte vo svojom podniku niekoľko sietí VLAN.

Dialógové okno rozšírených nastavení zabezpečenia pravidiel káblovej siete je zobrazené na nasledujúcom obrázku:

Ryža. Obrázok 8. Dialógové okno Zásady káblových sietí Rozšírené nastavenia zabezpečenia

Záver

V tomto článku ste sa dozvedeli o všetkých nastaveniach zásad káblovej siete IEE 802.1X. Naučili ste sa, ako môžete vytvoriť takúto politiku, a dozvedeli ste sa o metódach autentifikácie EAP a autentifikácii pomocou čipových kariet alebo iných certifikátov. V ďalšom článku sa dozviete o miestnych bezpečnostných zásadách Network List Manager.

Zásady v Exchange Server 2003 sú navrhnuté tak, aby zvýšili flexibilitu správy a zároveň znížili zaťaženie správcov. Politika je množina konfiguračných nastavení, ktoré sa vzťahujú na jeden alebo viacero objektov rovnakej triedy na serveri Exchange. Môžete napríklad vytvoriť politiku, ktorá ovplyvňuje špecifické nastavenia pre niektoré alebo všetky Exchange servery. Ak potrebujete zmeniť tieto nastavenia, stačí upraviť túto politiku a použije sa na príslušnú organizáciu servera.

Existujú dva typy politík: systémová politika a politika príjemcov. Politiky príjemcov sa vzťahujú na objekty prístupu k pošte a určujú spôsob generovania e-mailových adries. Politiky príjemcov sú popísané v časti „Vytváranie a správa príjemcov“. Systémové pravidlá sa vzťahujú na servery, úložiská poštové schránky a verejné priečinky. Tieto politiky sa zobrazujú v kontajneri Politiky v rámci skupiny, za ktorú je zodpovedná administratívy túto politiku (obrázok 12.10).

Ryža. 12.10. Objekt systémovej politiky

Poznámka. Inštalácia Exchange Server 2003 nevytvorí predvolený kontajner pre systémové politiky. Musí byť vytvorený pred vytvorením systémových pravidiel. Kliknite pravým tlačidlom myši na skupinu administrácie, v ktorej chcete vytvoriť priečinok politiky, umiestnite kurzor myši na položku Nové a vyberte položku System Policy Container.

Vytvorte systémovú politiku

Ak chcete vytvoriť systémovú politiku, prejdite do príslušného kontajnera Systémové politiky, kliknite pravým tlačidlom myši na kontajner a potom vyberte typ politiky, ktorú chcete vytvoriť: politika servera, politika úložiska poštových schránok alebo politika úložiska verejných priečinkov.

Pri práci so systémovými politikami sa uistite, že ste vytvorili objekt politiky v skupine, ktorá je zodpovedná za správu tejto politiky. V opačnom prípade sa môže vyskytnúť chyba pri výbere ľudí, ktorí vykonávajú administratívnu kontrolu nad kritickými politikami. Pozrime sa, ako sa vytvára každý z troch typov politík, počnúc politikami servera.

Vytvorte politiku servera

Politika servera definuje nastavenia pre sledovanie správ a údržbu protokolových súborov. Nevzťahuje sa na bezpečnostné nastavenia alebo iné nastavenia serverov v tejto administračnej skupine. Ak chcete vytvoriť politiku servera, kliknite pravým tlačidlom myši na kontajner Systémové politiky, ukážte na položku Nové a potom vyberte Možnosť servera Politika (Server Policy). Zobrazí sa dialógové okno Nová politika, znázornené na obrázku 1. 12.11 , ktorý určuje karty, ktoré sa zobrazia na stránke vlastností politiky. Existuje len jedna možnosť pre politiku servera: karta Všeobecné. Začiarknite možnosť pre túto kartu a potom kliknite na tlačidlo OK. Zobrazí sa konfiguračné okno, v ktorom sa vytvorí konfigurácia. túto politiku.

Ryža. 12.11.

Potom musíte zadať názov politiky v okne karty Všeobecné na stránke vlastností politiky. Ako je znázornené na obrázku 12.12, v skutočnosti existujú dve karty Všeobecné. Prvá záložka slúži na zadanie názvu politiky. Vyberte názov popisujúci úlohu, ktorú má táto politika vykonávať, napríklad Politika sledovania správ alebo Povoliť politiku zaznamenávania predmetov. Vhodný názov zvolený v tejto fáze ušetrí čas, pretože nebude potrebné otvárať stránku vlastností politiky na určenie jej účelu.

Karta Všeobecné (Politika) zobrazená na obr. 12.13 obsahuje aktuálne nastavenia politiky aplikované na servery Exchange príslušnej organizácie. Karta sa nazýva Všeobecné (Politika), pretože potenciálne konfiguruje kartu Všeobecné na stránkach vlastností pre všetky dostupné servery. (Neskôr v tejto kapitole uvidíme, ako použiť túto politiku na všetky servery v organizácii.) Ak porovnáte túto kartu s kartou Všeobecné na stránke vlastností servera, uvidíte, že karty sú rovnaké okrem identifikačné údaje v hornej časti karty.

Záložka General (Policy) umožňuje protokolovanie a povolenie protokolovania a zobrazovania predmetov pre všetky existujúce servery Exchange 2003. Toto nastavenie funguje v spojení s možnosťou Povoliť sledovanie správ, ktorá vám umožňuje sledovať správy odoslané v organizácii. Tieto možnosti sú užitočné pri riešení problémov, ktoré sa vyskytujú, keď niektorí používatelia nedostávajú správy od iných používateľov. Je možné sledovať prechod správy cez organizáciu a určiť, kde sú problémy s prenosom dát. Ďalšie informácie o sledovaní správ a protokolovaní predmetu správy nájdete v kapitole 6, Funkcie, zabezpečenie a podpora Exchange Server 2003.

Ryža. 12.12.

Ryža. 12.13.

Keď politika nadobudne účinnosť, nie je možné ju zmeniť na úrovni lokálneho servera. Politika sledovania správ, ktorú sme použili ako príklad, bola vygenerovaná na serveri EX-SRV1 v skupine admin Arizona. Zapnuté

Funkčnosť v operačnom systéme Windows Server sa počíta a zlepšuje od verzie k verzii, rolí a komponentov pribúda, preto sa v dnešnom článku pokúsim stručne popísať popis a účel každej roly v systéme Windows Server 2016.

Skôr než prejdeme k popisu rolí servera Windows Server, zistime, čo presne je " Rola servera» v operačnom systéme Windows Server.

Čo je to „rola servera“ v systéme Windows Server?

Rola servera je softvérový balík, ktorý zabezpečuje, že server vykonáva určitú funkciu a danú funkciu je hlavný. Inými slovami, " Rola servera' je cieľ servera, t.j. na čo to je. Aby server mohol vykonávať svoju hlavnú funkciu, t.j. určitú úlohu v Rola servera» obsahuje všetok potrebný softvér ( programy, služby).

Server môže mať jednu rolu, ak sa aktívne používa, alebo viacero, ak každá z nich server príliš nezaťažuje a používa sa len zriedka.

Rola servera môže zahŕňať viacero služieb rolí, ktoré poskytujú funkčnosť roly. Napríklad v úlohe servera " webový server (IIS)“ zahŕňa pomerne veľký počet služieb a úlohu „ DNS server» nezahŕňa služby rolí, pretože táto rola plní iba jednu funkciu.

Služby rolí je možné nainštalovať všetky spolu alebo jednotlivo, v závislosti od vašich potrieb. Inštalácia roly v podstate znamená inštaláciu jednej alebo viacerých jej služieb.

Windows Server má tiež " Komponenty» server.

Komponenty servera (funkcia)- Toto softvér, ktoré nie sú rolou servera, ale zlepšujú jednu alebo viac rolí alebo spravujú jednu alebo viac rolí.

Niektoré roly nie je možné nainštalovať, ak server nemá požadované služby alebo komponenty, ktoré sú potrebné na fungovanie rolí. Preto v čase inštalácie takýchto rolí " Sprievodca pridaním rolí a funkcií» vás automaticky vyzve na inštaláciu potrebných dodatočných služieb rolí alebo komponentov.

Popis rolí servera Windows Server 2016

Pravdepodobne ste už oboznámení s mnohými rolami, ktoré sú v systéme Windows Server 2016, pretože existujú už pomerne dlho, ale ako som povedal, s každou novou Verzia systému Windows Server, pridávajú sa nové roly, s ktorými ste možno ešte nepracovali, no chceli by ste vedieť, na čo slúžia, tak sa na ne poďme pozrieť.

Poznámka! O nových funkciách operačného systému Windows Server 2016 sa dočítate v materiáli „Inštalácia Windows Server 2016 a prehľad nových funkcií“.

Pretože veľmi často dochádza k inštalácii a správe rolí, služieb a komponentov pomocou systému Windows PowerShell , pre každú rolu a jej službu uvediem názov, ktorý je možné v PowerShell použiť na jej inštaláciu alebo na správu.

DHCP server

Táto rola vám umožňuje centrálne konfigurovať dynamické IP adresy a súvisiace nastavenia pre počítače a zariadenia vo vašej sieti. Rola servera DHCP nemá služby rolí.

Meno pre Windows PowerShell– DHCP.

DNS server

Táto rola je určená na rozlíšenie mien v sieťach TCP/IP. Rola DNS Server poskytuje a udržiava DNS. Na zjednodušenie správy servera DNS sa server zvyčajne inštaluje na rovnaký server ako doménové služby Active Directory. Rola servera DNS nemá služby rolí.

Názov role pre PowerShell je DNS.

Hyper-V

S rolou Hyper-V môžete vytvárať a spravovať virtualizované prostredie. Inými slovami, je to nástroj na vytváranie a správu virtuálne stroje.

Názov role pre Windows PowerShell je Hyper-V.

Potvrdenie o zdravotnom stave zariadenia

rola" » umožňuje vyhodnotiť zdravotný stav zariadenia na základe nameraných ukazovateľov bezpečnostných parametrov, napríklad ukazovateľov zdravia bezpečné spustenie a nástroje Bitlocker na klientovi.

Na fungovanie tejto roly je potrebných veľa služieb a komponentov rolí, napríklad: niekoľko služieb z role " webový server (IIS)", komponent" ", komponent" Funkcie .NET Framework 4.6».

Počas inštalácie sa automaticky vyberú všetky požadované služby rolí a funkcie. rola" Potvrdenie o zdravotnom stave zariadenia» Neexistujú žiadne služby rolí.

Názov PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spoľahlivú, spravovateľnú a škálovateľnú infraštruktúru webových aplikácií. Pozostáva z pomerne veľkého počtu služieb (43).

Názov prostredia Windows PowerShell je Web-Server.

Zahŕňa nasledujúce služby rolí ( v zátvorkách uvediem názov pre Windows PowerShell):

Webový server (Web-WebServer)- Skupina služieb rolí, ktorá poskytuje podporu pre webové stránky HTML, rozšírenia ASP.NET, ASP a webový server. Pozostáva z nasledujúcich služieb:

Bezpečnosť (Web Security)- súbor služieb na zaistenie bezpečnosti webového servera.
- Filtrovanie požiadaviek (Web-Filtering) - pomocou týchto nástrojov môžete spracovať všetky požiadavky prichádzajúce na server a filtrovať tieto požiadavky na základe špeciálnych pravidiel stanovených správcom web servera;
- Obmedzenia IP adresy a domény (Web-IP-Security) – tieto nástroje vám umožňujú povoliť alebo zamietnuť prístup k obsahu na webovom serveri na základe IP adresy alebo názvu domény zdroja v požiadavke;
- URL Authorization (Web-Url-Auth) – nástroje vám umožňujú vyvinúť pravidlá na obmedzenie prístupu k webovému obsahu a priradiť ich k užívateľom, skupinám alebo príkazom hlavičky HTTP;
- Autentifikácia súhrnu (Web-Digest-Auth) − túto kontrolu autenticita vám umožňuje poskytnúť viac vysoký stupeň bezpečnosť v porovnaní so základnou autentifikáciou. Digest autentifikácia na overenie používateľa funguje ako odovzdanie hash hesla do radiča domény Windows;
- Základná autentifikácia (Web-Basic-Auth) – Táto metóda overenia poskytuje silnú kompatibilitu webového prehliadača. Odporúča sa používať v malých interných sieťach. Hlavnou nevýhodou tejto metódy je, že heslá prenášané cez sieť sa dajú pomerne ľahko zachytiť a dešifrovať, preto túto metódu používajte v kombinácii s SSL;
- Vyšetrenie Overenie systému Windows(Web-Windows-Auth) je overenie založené na overovaní domény Windows. Inými slovami, môžete použiť účty Active Directory na overenie používateľov ich webových stránok;
- Autentifikácia mapovaním klientskeho certifikátu (Web-Client-Auth) – táto metóda autentifikácie využíva klientsky certifikát. Tento typ využíva služby Active Directory na poskytovanie mapovania certifikátov;
- IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – táto metóda používa aj klientske certifikáty na autentifikáciu, ale na poskytovanie mapovania certifikátov využíva IIS. Tento typ poskytuje lepší výkon;
- Centralizovaná podpora SSL certifikátov (Web-CertProvider) - tieto nástroje umožňujú centrálne spravovať certifikáty SSL servera, čo značne zjednodušuje proces správy týchto certifikátov;
Obslužnosť a diagnostika (Web-Health)– súbor služieb na monitorovanie, správu a riešenie problémov webových serverov, stránok a aplikácií:
- http logging (Web-Http-Logging) - nástroje zabezpečujú logovanie aktivity webu na danom serveri, t.j. záznam do denníka;
- Protokolovanie ODBC (Web-ODBC-Logging) – Tieto nástroje tiež poskytujú protokolovanie aktivity webovej stránky, ale podporujú protokolovanie tejto aktivity do databázy kompatibilnej s ODBC;
- Request Monitor (Web-Request-Monitor) je nástroj, ktorý vám umožňuje monitorovať stav webovej aplikácie zachytávaním informácií o HTTP požiadavkách v pracovnom procese IIS;
- Vlastné protokolovanie (Web-Custom-Logging) – Pomocou týchto nástrojov môžete nakonfigurovať protokolovanie aktivity webového servera vo formáte, ktorý sa výrazne líši od štandardného formátu IIS. Inými slovami, môžete si vytvoriť svoj vlastný protokolový modul;
- Protokolovacie nástroje (Web-Log-Libraries) sú nástroje na správu protokolov webového servera a automatizáciu úloh protokolovania;
- Sledovanie (Web-Http-Tracing) je nástroj na diagnostiku a riešenie porušení vo webových aplikáciách.
http Spoločné funkcie (Web-Common-Http)– súbor služieb, ktoré poskytujú základné funkcie HTTP:
- Predvolený dokument (Web-Default-Doc) – Táto funkcia vám umožňuje nakonfigurovať webový server tak, aby vrátil predvolený dokument, keď používatelia nešpecifikujú konkrétny dokument v adrese URL požiadavky, čím sa používateľom zjednoduší prístup na webovú stránku, napr. doména bez zadania súboru;
- Prehľadávanie adresárov (Web-Dir-Browsing) – Tento nástroj možno použiť na konfiguráciu webového servera tak, aby používatelia mohli zobraziť zoznam všetkých adresárov a súborov na webovej lokalite. Napríklad pre prípady, keď používatelia nešpecifikujú súbor v adrese URL požiadavky a predvolené dokumenty sú buď zakázané, alebo nie sú nakonfigurované;
- http chyby (Web-Http-Errors) – táto funkcia vám umožňuje konfigurovať chybové hlásenia, ktoré sa vrátia do webových prehliadačov používateľov, keď webový server zistí chybu. Tento nástroj sa používa na jednoduchšie prezentovanie chybových hlásení používateľom;
- Statický obsah (Web-Static-Content) − tento prostriedok nápravy umožňuje vám používať obsah vo forme statických formátov súborov, ako sú súbory HTML alebo obrazové súbory, na webovom serveri;
- http redirect (Web-Http-Redirect) - pomocou tejto funkcie môžete presmerovať požiadavku používateľa na konkrétny cieľ, t.j. toto je presmerovanie;
- Publikovanie WebDAV (Web-DAV-Publishing) - umožňuje používať technológiu WebDAV na webovom serveri IIS. WebDAV ( Webové distribuované vytváranie a vytváranie verzií) je technológia, ktorá umožňuje používateľom spolupracovať ( čítať, upravovať, čítať vlastnosti, kopírovať, presúvať) cez súbory na vzdialených webových serveroch pomocou protokolu HTTP.
Výkon (výkon webu)- súbor služieb na dosiahnutie vyššieho výkonu webového servera prostredníctvom vyrovnávacej pamäte výstupu a bežných kompresných mechanizmov, ako sú Gzip a Deflate:
- Statická kompresia obsahu (Web-Stat-Compression) je nástroj na prispôsobenie kompresie statického obsahu http, umožňuje efektívnejšie využitie šírky pásma a zároveň bez zbytočného zaťaženia procesora;
- Dynamická kompresia obsahu (Web-Dyn-Compression) je nástroj na konfiguráciu kompresie dynamického obsahu HTTP. Tento nástroj poskytuje efektívnejšie využitie šírku pásma, ale v tomto prípade zaťaženie procesora servera spojené s dynamickou kompresiou môže spomaliť stránku, ak je zaťaženie procesora vysoké aj bez kompresie.
Vývoj aplikácií (Web-App-Dev)- súbor služieb a nástrojov na vývoj a hosťovanie webových aplikácií, inými slovami, technológie vývoja webových stránok:
- ASP (Web-ASP) - podporné prostredie a vývoj webových aplikácií stránky a webových aplikácií pomocou technológie ASP. V súčasnosti existuje novšia a pokročilejšia technológia vývoja webových stránok - ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) je objektovo orientované vývojové prostredie pre webové stránky a webové aplikácie využívajúce technológiu ASP.NET;
- ASP.NET 4.6 (Web-Asp-Net45) je tiež objektovo orientované vývojové prostredie pre webové stránky a webové aplikácie využívajúce Nová verzia ASP.NET
- CGI (Web-CGI) je schopnosť používať CGI na prenos informácií z webového servera do externého programu. CGI je druh štandardu rozhrania na pripojenie externého programu k webovému serveru. Nevýhodou je, že použitie CGI ovplyvňuje výkon;
- Server Side Inclusions (SSI) (Web-Includes) je podpora pre skriptovací jazyk SSI ( povoliť na strane servera), ktorý sa používa na dynamické generovanie HTML stránok;
- Inicializácia aplikácie (Web-AppInit) - tento nástroj vykonáva úlohy inicializácie webových aplikácií pred odoslaním webovej stránky;
- Protokol WebSocket (Web-WebSockets) – pridáva možnosť vytvárať serverové aplikácie, ktoré komunikujú pomocou protokolu WebSocket. WebSocket je protokol, ktorý dokáže súčasne odosielať a prijímať dáta medzi prehliadačom a webový server nad TCP spojením, akési rozšírenie protokolu HTTP;
- Rozšírenia ISAPI (Web-ISAPI-Ext) - podpora dynamického rozvoja webového obsahu pomocou aplikačného programovacieho rozhrania ISAPI. ISAPI je rozhranie API pre webový server IIS. Aplikácie ISAPI sú oveľa rýchlejšie ako súbory ASP alebo súbory, ktoré volajú komponenty COM+;
- Rozšíriteľnosť .NET 3.5 (Web-Net-Ext) je funkcia rozšíriteľnosti .NET 3.5, ktorá vám umožňuje upravovať, pridávať a rozširovať funkčnosť webového servera v rámci procesu spracovania požiadaviek, konfigurácie a používateľského rozhrania;
- Rozšíriteľnosť .NET 4.6 (Web-Net-Ext45) je funkcia rozšíriteľnosti .NET 4.6, ktorá vám tiež umožňuje upravovať, pridávať a rozširovať funkčnosť webového servera v rámci celého procesu spracovania požiadaviek, konfigurácie a používateľského rozhrania;
- Filtre ISAPI (Web-ISAPI-Filter) – Pridajte podporu pre filtre ISAPI. Filtre ISAPI sú programy, ktoré sa volajú, keď webový server prijme špecifickú požiadavku HTTP na spracovanie týmto filtrom.

FTP - server (Web-Ftp-Server)– služby, ktoré poskytujú podporu protokolu FTP. Podrobnejšie sme o serveri FTP hovorili v materiáli - „Inštalácia a konfigurácia FTP servery na Windows Server 2016". Obsahuje nasledujúce služby:

Služba FTP (Web-Ftp-Service) - pridáva podporu protokolu FTP na webovom serveri;
Rozšíriteľnosť FTP (Web-Ftp-Ext) – Rozširuje štandardné možnosti FTP, ako je pridanie podpory pre funkcie, ako sú napríklad vlastní poskytovatelia, používatelia ASP.NET alebo používatelia správcu IIS.

Nástroje na správu (Web-Mgmt-Tools)– Toto sú nástroje na správu webového servera IIS 10. Patria sem: používateľské rozhranie IIS, nástroje príkazový riadok a skripty.

IIS Management Console (Web-Mgmt-Console) je používateľské rozhranie na správu IIS;
Znakové sady a nástroje na správu IIS (Web-Scripting-Tools) sú nástroje a skripty na správu IIS pomocou príkazového riadka alebo skriptov. Môžu byť použité napríklad na automatizáciu riadenia;
Služba správy (Web-Mgmt-Service) – táto služba pridáva možnosť vzdialene spravovať webový server z iného počítača pomocou IIS Manager;
Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – Poskytuje kompatibilitu pre aplikácie a skripty, ktoré používajú dve rozhrania API služby IIS. Existujúce skripty IIS 6 možno použiť na správu webového servera IIS 10:
- IIS 6 Compatibility Metabase (Web-Metabase) je nástroj na zabezpečenie kompatibility, ktorý vám umožňuje spúšťať aplikácie a znakové sady, ktoré boli migrované zo starších verzií IIS;
- Skriptovacie nástroje IIS 6 (Web-Lgcy-Scripting) – tieto nástroje vám umožňujú používať rovnaké skriptovacie služby IIS 6, ktoré boli vytvorené na správu IIS 6 v IIS 10;
- IIS 6 Management Console (Web-Lgcy-Mgmt-Console) – nástroj na vzdialenú správu servery IIS 6.0;
- WMI Compatibility IIS 6 (Web-WMI) je Toolkit Scripting Interfaces Ovládacie prvky systému Windows(WMI) na programové riadenie a automatizáciu úloh webového servera IIS 10.0 pomocou sady skriptov vytvorených u poskytovateľa WMI.

Active Directory Domain Services

rola" Active Directory Domain Services» (AD DS) poskytuje distribuovanú databázu, ktorá uchováva a spracováva informácie o sieťových zdrojoch. Táto rola sa používa na organizovanie sieťových prvkov, ako sú používatelia, počítače a iné zariadenia, do hierarchickej zadržiavacej štruktúry. Hierarchická štruktúra zahŕňa lesy, domény v rámci lesa a organizačné jednotky (OU) v rámci každej domény. Server so službou AD DS sa nazýva radič domény.

Názov role pre Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Táto úloha je počítačová infraštruktúra a poskytuje pohodlné a efektívne funkcie, napríklad: ukladanie údajov o zákazníkoch na centralizovanom mieste a ochranu týchto údajov Rezervovať kópiu serverové a klientske počítače, vzdialený webový prístup, ktorý vám umožňuje pristupovať k údajom prakticky z akéhokoľvek zariadenia. Táto rola vyžaduje niekoľko služieb a funkcií rolí, napríklad: Funkcie BranchCache, Zálohovanie servera Windows, Správa zásad skupiny, Služba rolí " Priestory názvov DFS».

Názov pre PowerShell je ServerEssentialsRole.

Sieťový ovládač

Táto rola predstavená v systéme Windows Server 2016 poskytuje jediný bod automatizácie na správu, monitorovanie a diagnostiku fyzickej a virtuálnej sieťovej infraštruktúry v dátovom centre. Pomocou tejto roly môžete z jedného bodu konfigurovať podsiete IP, siete VLAN, fyzické sieťové adaptéry hostiteľov Hyper-V, spravovať virtuálne prepínače, fyzické smerovače, nastavenia brány firewall a brány VPN.

Názov prostredia Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je rola servera Hosted Guardian Service (HGS) a poskytuje služby atestácie a ochrany kľúčov, ktoré umožňujú chráneným hostiteľom spúšťať tienené virtuálne stroje. Na fungovanie tejto roly je potrebných niekoľko ďalších rolí a komponentov, napríklad: Active Directory Domain Services, Web Server (IIS), „ Failover Clustering" a ďalšie.

Názov pre PowerShell je HostGuardianServiceRole.

Odľahčené adresárové služby Active Directory

rola" Odľahčené adresárové služby Active Directory» (AD LDS) je odľahčená verzia služby AD DS, ktorá má menej funkcií, ale nevyžaduje nasadenie domén alebo radičov domény a nemá závislosti a obmedzenia domény požadované službou AD DS. Služba AD LDS beží cez protokol LDAP ( Lightweight Directory Access Protocol). Na ten istý server môžete nasadiť viacero inštancií AD LDS s nezávisle spravovanými schémami.

Názov pre PowerShell je ADLDS.

Služby MultiPoint

Je to tiež nová rola, ktorá je nová v systéme Windows Server 2016. Služby MultiPoint Services (MPS) poskytujú základné funkcie vzdialenej pracovnej plochy, ktorá umožňuje viacerým používateľom pracovať súčasne a nezávisle na tom istom počítači. Ak chcete nainštalovať a prevádzkovať túto rolu, musíte nainštalovať niekoľko ďalších služieb a komponentov, napríklad: Print Server, Windows Search Service, XPS Viewer a ďalšie, pričom všetky budú automaticky vybrané počas inštalácie MPS.

Názov roly pre PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolou (WSUS) správcov systému môže spravovať aktualizácie od spoločnosti Microsoft. Napríklad vytvorte samostatné skupiny počítačov pre rôzne sady aktualizácií, ako aj prijímajte správy o súlade počítačov s požiadavkami a aktualizáciami, ktoré je potrebné nainštalovať. Na fungovanie" Windows Server Update Services» Potrebujete služby rolí a komponenty ako: Web Server (IIS), interná databáza Windows, aktivačná služba procesy Windows.

Názov prostredia Windows PowerShell je UpdateServices.

WID Connectivity (UpdateServices-WidDB) – nastavené na WID ( Interná databáza systému Windows) databáza používaná službou WSUS. Inými slovami, WSUS bude ukladať svoje servisné dáta vo WID;
Služby WSUS (UpdateServices-Services) sú služby rol WSUS, ako sú aktualizačná služba, webová služba na vytváranie správ, webová služba na vzdialenú komunikáciu s rozhraním API, webová služba klienta, webová služba na jednoduché overovanie totožnosti, služba synchronizácie servera a webová služba overovania DSS;
SQL Server Connectivity (UpdateServices-DB) je inštalácia komponentu, ktorá umožňuje službe WSUS pripojiť sa k databáze Microsoft SQL Server. Táto možnosť poskytuje ukladanie servisných údajov v databáze Microsoft SQL Server. V tomto prípade už musíte mať nainštalovanú aspoň jednu inštanciu SQL Server.

Multilicenčné aktivačné služby

S touto rolou servera môžete automatizovať a zjednodušiť vydávanie firemné licencie pre softvér od spoločnosti Microsoft a tiež vám umožňuje spravovať tieto licencie.

Názov pre PowerShell je VolumeActivation.

Tlačové a dokumentové služby

Táto rola servera je určená na zdieľanie tlačiarní a skenerov v sieti centralizované nastavenia a správa tlačových a skenovacích serverov, ako aj správa sieťových tlačiarní a skenerov. Služby tlače a dokumentov vám tiež umožňujú odosielať naskenované dokumenty e-mail, všeobecne sieťové priečinky alebo na lokality Windows SharePoint Services.

Názov pre PowerShell je Print-Services.

Tlačový server (tlačový server) – Táto služba role zahŕňa „ Správa tlače“, ktorý sa používa na správu tlačiarní alebo tlačových serverov, ako aj na migráciu tlačiarní a iných tlačových serverov;
Tlač cez internet (Print-Internet) – Na implementáciu tlače cez internet je vytvorená webová stránka, prostredníctvom ktorej môžu používatelia spravovať tlačové úlohy na serveri. Aby táto služba fungovala, ako viete, musíte nainštalovať " webový server (IIS)". Všetky požadované komponenty sa vyberú automaticky, keď začiarknete toto políčko počas procesu inštalácie služby role " Internetová tlač»;
Distribuovaný skenovací server (Print-Scan-Server) je služba, ktorá vám umožňuje prijímať naskenované dokumenty zo sieťových skenerov a odosielať ich na miesto určenia. Táto služba obsahuje aj „ Správa skenovania“, ktorý sa používa na správu sieťových skenerov a na konfiguráciu skenovania;
Služba LPD (Print-LPD-Service) – služba LPD ( Démon riadkovej tlačiarne) umožňuje počítačom so systémom UNIX a iným počítačom používajúcim službu Line Printer Remote (LPR) tlačiť na zdieľaných tlačiarňach servera.

Sieťová politika a prístupové služby

rola" » (NPAS) umožňuje serveru Network Policy Server (NPS) nastaviť a vynútiť prístup k sieti, autentifikáciu a autorizáciu a zásady zdravia klienta, inými slovami, zabezpečiť sieť.

Názov prostredia Windows PowerShell je NPAS.

Služby nasadenia systému Windows

Pomocou tejto roly môžete vzdialene inštalovať operačný systém Windows cez sieť.

Názov role pre PowerShell je WDS.

Deployment Server (WDS-Deployment) – táto služba role je určená na vzdialené nasadenie a konfiguráciu operačných systémov Windows. Umožňuje vám tiež vytvárať a upravovať obrázky na opätovné použitie;
Transport Server (WDS-Transport) – Táto služba obsahuje základné sieťové komponenty, pomocou ktorých môžete prenášať dáta multicastingom na samostatnom serveri.

Certifikačné služby Active Directory

Táto rola je určená na vytvorenie certifikačných autorít a súvisiacich služieb rolí, ktoré vám umožňujú vydávať a spravovať certifikáty pre rôzne aplikácie.

Názov pre Windows PowerShell je AD-Certificate.

Zahŕňa nasledujúce služby rolí:

Certifikačná autorita (ADCS-Cert-Authority) – pomocou tejto služby role môžete vydávať certifikáty používateľom, počítačom a službám, ako aj spravovať platnosť certifikátu;
Webová služba Zásady registrácie certifikátov (ADCS-Enroll-Web-Pol) – Táto služba umožňuje používateľom a počítačom získať informácie o zásadách registrácie certifikátov z webového prehliadača, aj keď počítač nie je členom domény. Pre jeho fungovanie je to nevyhnutné webový server (IIS)»;
Webová služba registrácie certifikátov (ADCS-Enroll-Web-Svc) – Táto služba umožňuje používateľom a počítačom registrovať a obnovovať certifikáty pomocou webového prehliadača cez HTTPS, aj keď počítač nie je členom domény. Musí tiež fungovať webový server (IIS)»;
Online respondér (ADCS-Online-Cert) - Služba je určená na kontrolu zrušenia certifikátu pre klientov. Inými slovami, prijme požiadavku na stav zrušenia pre konkrétne certifikáty, vyhodnotí stav týchto certifikátov a pošle späť podpísanú odpoveď s informáciami o stave. Aby služba fungovala, je to nevyhnutné webový server (IIS)»;
Webová registračná služba certifikačnej autority (ADCS-Web-Enrollment) – Táto služba poskytuje používateľom webové rozhranie na vykonávanie úloh, ako je napríklad vyžiadanie a obnovenie certifikátov, získanie CRL a registrácia certifikátov čipových kariet. Aby služba fungovala, je to nevyhnutné webový server (IIS)»;
Služba registrácie pre sieťové zariadenia ah (ADCS-Device-Enrollment) - Túto službu je možné použiť na vydávanie a správu certifikátov pre smerovače a iné sieťové zariadenia, ktoré nemajú sieťové účty. Aby služba fungovala, je to nevyhnutné webový server (IIS)».

Služby vzdialenej pracovnej plochy

Rola servera, ktorá poskytuje prístup k virtuálnym desktopom, desktopom založeným na reláciách a vzdialené aplikácie vzdialená aplikácia.

Názov role pre Windows PowerShell je Remote-Desktop-Services.

Pozostáva z nasledujúcich služieb:

Webový prístup k vzdialenej ploche (RDS-Web-Access) – Táto služba role umožňuje používateľom pristupovať k vzdialeným pracovným plochám a aplikáciám RemoteApp prostredníctvom „ Štart» alebo pomocou webového prehliadača;
Licencovanie vzdialenej pracovnej plochy (RDS-Licensing) – Služba je navrhnutá na správu licencií, ktoré sú potrebné na pripojenie k hostiteľovi relácie vzdialenej pracovnej plochy alebo virtuálnej pracovnej ploche. Môže sa použiť na inštaláciu, vydávanie licencií a sledovanie ich dostupnosti. Táto služba vyžaduje " webový server (IIS)»;
Sprostredkovateľ pripojenia vzdialenej pracovnej plochy (RDS-Connection-Broker) je služba role, ktorá poskytuje nasledujúce možnosti: opätovné pripojenie používateľa k existujúcej virtuálnej pracovnej ploche, aplikácii RemoteApp a pracovnej ploche založenej na reláciách, ako aj vyrovnávanie záťaže medzi servermi vzdialených hostiteľských serverov. alebo medzi združenými virtuálnymi desktopmi. Táto služba vyžaduje „ »;
Hostiteľ virtualizácie vzdialenej pracovnej plochy (DS-Virtualization) – Služba umožňuje používateľom pripojiť sa k virtuálnym pracovným plochám pomocou RemoteApp a Desktop Connection. Táto služba funguje v spojení s Hyper-V, t.j. táto rola musí byť nainštalovaná;
Hostiteľ relácie vzdialenej pracovnej plochy (RDS-RD-Server) – Táto služba môže hostiť aplikácie RemoteApp a pracovné plochy založené na reláciách na serveri. Prístup je cez klienta Remote Desktop Connection alebo RemoteApps;
Brána vzdialenej pracovnej plochy (RDS-Gateway) – Služba umožňuje oprávneným vzdialeným používateľom pripojiť sa k virtuálnym pracovným plochám, vzdialeným aplikáciám a pracovným plochám založeným na reláciách v podnikovej sieti alebo cez Internet. Táto služba vyžaduje nasledujúce dodatočné služby a komponenty: webový server (IIS)», « Sieťová politika a prístupové služby», « RPC cez HTTP proxy».

AD RMS

Toto je rola servera, ktorá vám umožní chrániť informácie pred neoprávneným použitím. Overuje identitu používateľov a udeľuje licencie oprávneným používateľom na prístup k chráneným údajom. Táto rola vyžaduje ďalšie služby a komponenty: webový server (IIS)», « Služba aktivácie procesov systému Windows», « Funkcie .NET Framework 4.6».

Názov prostredia Windows PowerShell je ADRMS.

Active Directory Rights Management Server (ADRMS-Server) – služba hlavnej role, potrebná na inštaláciu;
Podpora federácie identít (ADRMS-Identity) je voliteľná služba rolí, ktorá umožňuje federatívnym identitám využívať chránený obsah pomocou služby Active Directory Federation Services.

AD FS

Táto rola poskytuje webovým stránkam pomocou prehliadača zjednodušenú a bezpečnú federáciu identity a funkciu jednotného prihlásenia (SSO).

Názov pre PowerShell je ADFS-Federation.

Vzdialený prístup

Táto rola poskytuje konektivitu prostredníctvom DirectAccess, VPN a proxy webovej aplikácie. Aj rola Vzdialený prístup » poskytuje tradičné možnosti smerovania vrátane smerovania sieťové adresy(NAT) a ďalšie nastavenia pripojenia. Táto rola vyžaduje ďalšie služby a funkcie: webový server (IIS)», « Interná databáza systému Windows».

Názov roly pre Windows PowerShell je RemoteAccess.

DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje používateľom kedykoľvek sa pripojiť k podnikovej sieti s prístupom na internet cez DirectAccess, ako aj organizovať pripojenia VPN v kombinácii s technológiami tunelovania a šifrovania údajov;
Smerovanie - služba poskytuje podporu pre smerovače NAT, smerovače lokálna sieť so smerovačmi s podporou BGP, RIP a multicast (IGMP proxy);
Web Application Proxy (Web-Application-Proxy) – Služba umožňuje publikovať aplikácie založené na protokoloch HTTP a HTTPS z podnikovej siete na klientske zariadenia, ktoré sú mimo podnikovej siete.

Súborové a úložné služby

Toto je rola servera, ktorú možno použiť na zdieľanie súborov a priečinkov, správu a kontrolu zdieľaných položiek, replikáciu súborov, poskytovanie rýchle vyhľadávanie súbory a poskytujú prístup pre klientske počítače UNIX. Súborovým službám a najmä súborovému serveru sme sa podrobnejšie venovali v materiáli „Inštalácia súborového servera (File Server) na Windows Server 2016“.

Názov prostredia Windows PowerShell je FileAndStorage-Services.

Skladovacie služby- Táto služba poskytuje funkciu správy úložiska, ktorá je vždy nainštalovaná a nemožno ju odstrániť.

Súborové služby a služby iSCSI (súborové služby) sú technológie, ktoré zjednodušujú správu súborových serverov a úložísk, šetria miesto na disku, poskytujú replikáciu a ukladanie súborov do vyrovnávacej pamäte v pobočkách a tiež poskytujú zdieľanie súborov cez protokol NFS. Zahŕňa nasledujúce služby rolí:

Súborový server (FS-FileServer) – služba role, ktorá spravuje zdieľané priečinky a poskytuje používateľom prístup k súborom na tomto počítači cez sieť;
Deduplikácia údajov (FS-Data-Deduplication) – táto služba šetrí miesto na disku tým, že na zväzok ukladá iba jednu kópiu identických údajov;
Správca zdrojov súborového servera (FS-Resource-Manager) – pomocou tejto služby môžete spravovať súbory a priečinky na súborovom serveri, vytvárať správy o úložisku, klasifikovať súbory a priečinky, konfigurovať kvóty priečinkov a definovať politiky blokovania súborov;
Poskytovateľ cieľového úložiska iSCSI (Poskytovatelia hardvéru VDS a VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje spustenie aplikácií na serveri pripojenom k cieľu iSCSI tieňová kópia zväzky na virtuálnych diskoch iSCSI;
Menné priestory DFS (FS-DFS-Namespace) - pomocou tejto služby môžete zoskupovať zdieľané priečinky hostované na rôznych serveroch do jedného alebo viacerých logicky štruktúrovaných menných priestorov;
Pracovné priečinky (FS-SyncShareService) – služba vám umožňuje používať pracovné súbory naraz osobné počítače vrátane pracovných a osobných. Svoje súbory môžete ukladať do pracovných priečinkov, synchronizovať ich a pristupovať k nim z lokálnej siete alebo internetu. Aby služba fungovala, komponent " Webové jadro IIS v procese»;
Replikácia DFS (FS-DFS-Replication) je modul replikácie údajov medzi viacerými servermi, ktorý umožňuje synchronizovať priečinky prostredníctvom pripojenia k lokálnemu resp. globálnej siete. Táto technológia používa protokol Remote Differential Compression (RDC) na aktualizáciu iba časti súborov, ktoré sa zmenili od poslednej replikácie. Replikáciu DFS možno použiť s priestormi názvov DFS alebo bez nich;
Server pre NFS (FS-NFS-Service) – Služba umožňuje tomuto počítaču zdieľať súbory s počítačmi so systémom UNIX a inými počítačmi, ktoré používajú protokol Network File System (NFS);
iSCSI Target Server (FS-iSCSITarget-Server) – poskytuje služby a správu pre iSCSI ciele;
Služba BranchCache pre sieťové súbory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto súborovom serveri;
Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje tieňové kópie zväzku pre aplikácie, ktoré ukladajú dátové súbory na tomto súborovom serveri.

faxový server

Rola odosiela a prijíma faxy a umožňuje vám spravovať faxové zdroje, ako sú úlohy, nastavenia, správy a faxové zariadenia na tomto počítači alebo v sieti. Vyžaduje sa pre prácu Tlačový server».

Názov roly pre Windows PowerShell je Fax.

Týmto je prehľad rolí servera Windows Server 2016 dokončený, dúfam, že materiál bol pre vás zatiaľ užitočný!

Uplatňovanie skupinových zásad (3. časť)

GPO sú zvyčajne priradené ku kontajneru (doméne, lokalite alebo OU) a aplikujú sa na všetky objekty v tomto kontajneri. Pri dobre organizovanej doménovej štruktúre to úplne stačí, niekedy je však potrebné ešte viac obmedziť aplikáciu politík na špecifickú skupinu objektov. Na to možno použiť dva typy filtrov.

Bezpečnostné filtre

Bezpečnostné filtre vám umožňujú obmedziť aplikáciu politík na konkrétnu bezpečnostnú skupinu. Vezmime si napríklad GPO2, ktorý sa používa na centrálnu konfiguráciu ponuky Štart na pracovných staniciach s Windows 8.1\Windows 10. GPO2 je priradený k zamestnaneckej OU a vzťahuje sa na všetkých používateľov bez výnimky.

Teraz prejdime na kartu "Rozsah", kde sú v časti "Filtrovanie zabezpečenia" uvedené skupiny, na ktoré je možné použiť tento GPO. Štandardne je tu uvedená skupina Authenticated Users. To znamená, že politiku možno použiť ktokoľvek používateľ alebo počítač, ktorý sa úspešne autentifikoval v doméne.

V skutočnosti má každý GPO svoj vlastný zoznam prístupových práv, ktorý je možné vidieť na karte Delegácia.

Ak chcete použiť politiku, objekt musí mať práva na čítanie (Čítanie) a uplatňovanie (Apply group policy), ktoré má skupina Authenticated Users. Preto, aby sa politika vzťahovala nie na každého, ale iba na konkrétnu skupinu, je potrebné odstrániť overených používateľov zo zoznamu, potom pridať požadovanú skupinu a udeliť jej príslušné práva.

Takže v našom príklade je možné zásadu použiť iba na účtovnú skupinu.

filtre WMI

Windows Management Instrumentation (WMI) je jedným z najvýkonnejších nástrojov na správu operačného systému Windows. WMI obsahuje obrovské množstvo tried, pomocou ktorých môžete opísať takmer akékoľvek nastavenia používateľa a počítača. Všetky dostupné triedy WMI môžete zobraziť ako zoznam pomocou prostredia PowerShell spustením príkazu:

Get-WmiObject -List

Vezmite si napríklad triedu Win32_OperatingSystem, ktorý je zodpovedný za vlastnosti operačného systému. Predpokladajme, že chcete filtrovať všetky operačné systémy okrem Windows 10. Prejdeme k počítaču s nainštalovaným Windowsom 10, otvoríme konzolu PowerShell a pomocou príkazu zobrazíme názov, verziu a typ operačného systému:

Get-WmiObject -Class Win32_OperatingSystem | fl Názov, Verzia, Typ produktu

Pre filter používame verziu a typ OS. Verzia je rovnaká pre operačný systém klienta aj servera a je definovaná takto:

Windows Server 2016\Windows 10 – 10.0
Windows Server 2012 R2\Windows 8.1 – 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Typ produktu je zodpovedný za účel počítača a môže mať 3 hodnoty:

1 - pracovná stanica;
2 - radič domény;
3 - server.

Teraz prejdime k vytvoreniu filtra. Ak to chcete urobiť, otvorte modul Správa zásad skupiny a prejdite do časti Filtre WMI. Kliknite naň pravým tlačidlom myši a obsahové menu vyberte "Nový".

V okne, ktoré sa otvorí, zadajte názov a popis filtra. Potom stlačíme tlačidlo „Pridať“ a do poľa „Dopyt“ zadáme dotaz WQL, ktorý je základom filtra WMI. Musíme vybrať verziu OS 10.0 s typom 1, takže požiadavka bude vyzerať takto:

SELECT * FROM Win32_OperatingSystem WHERE Verzia AKO ″10,0 %″ A ProductType = ″1″

Poznámka. Windows Query Language (WQL) – dotazovací jazyk WMI. Viac sa o tom môžete dozvedieť na MSDN.

Uložte výsledný filter.

Teraz už zostáva len priradiť filter WMI k objektu GPO, napríklad GPO3. Prejdite na vlastnosti objektu GPO, otvorte kartu "Rozsah" a v poli "Filtrovanie WMI" vyberte požadovaný filter zo zoznamu.

Analýza uplatňovania skupinovej politiky

Pri toľkých metódach filtrovania GPO je potrebné vedieť diagnostikovať a analyzovať ich aplikáciu. Najjednoduchší spôsob, ako skontrolovať účinok skupinových politík na počítači, je použiť nástroj príkazového riadka gpresult.

Poďme napríklad k počítaču wks2, ktorý má nainštalovaný systém Windows 7, a skontrolujte, či filter WMI fungoval. Ak to chcete urobiť, otvorte konzolu cmd s právami správcu a vykonajte príkaz gpresult /r, ktorá zobrazuje súhrnné informácie o skupinových politikách aplikovaných na používateľa a počítač.

Poznámka. Pomôcka gpresult má veľa nastavení, ktoré je možné zobraziť pomocou príkazu gpresult /?.

Ako môžete vidieť z prijatých údajov, politika GPO3 nebola aplikovaná na počítač, pretože bola filtrovaná filtrom WMI.

Akciu GPO môžete skontrolovať aj v module Správa zásad skupiny pomocou špeciálneho sprievodcu. Ak chcete spustiť sprievodcu, kliknite pravým tlačidlom myši na časť „Výsledky zásad skupiny“ a v ponuke, ktorá sa otvorí, vyberte položku „Sprievodca výsledkami zásad skupiny“.

Zadajte názov počítača, pre ktorý sa zostava vygeneruje. Ak chcete iba zobraziť nastavenia skupinovej politiky špecifické pre používateľa, môžete sa rozhodnúť nezhromažďovať nastavenia pre počítač. Ak to chcete urobiť, začiarknite políčko nižšie (zobraziť iba nastavenia pravidiel používateľa).

Potom vyberieme meno používateľa, pre ktorého sa budú zhromažďovať údaje, alebo môžete určiť, aby sa do zostavy nezahrnuli nastavenia skupinovej politiky pre používateľa (iba zobraziť nastavenia politiky počítača).

Skontrolujeme zvolené nastavenia, klikneme na „Ďalej“ a počkáme, kým sa zozbierajú údaje a vygeneruje sa správa.

Správa obsahuje komplexné údaje o GPO aplikovaných (alebo neaplikovaných) na používateľa a počítač, ako aj o použitých filtroch.

Vytvorme napríklad prehľady pre dvoch rôznych používateľov a porovnajme ich. Najprv otvorme prehľad pre používateľa Kirill a prejdeme do sekcie používateľských nastavení. Ako vidíte, politika GPO2 nebola aplikovaná na tohto používateľa, pretože nemá práva na jej uplatnenie (Dôvod odmietnutý - Neprístupné).

A teraz otvorme správu pre používateľa Olega. Tento používateľ je členom skupiny Účtovníctvo, takže politika na neho bola úspešne použitá. To znamená, že bezpečnostný filter bol úspešne dokončený.

Týmto možno dokončím ″fascinujúci″ príbeh o uplatňovaní skupinových zásad. Dúfam, že tieto informácie budú užitočné a pomôžu vám v náročnej úlohe správy systému 🙂

Skôr než prejdeme k popisu rolí servera Windows Server, zistime, čo presne je " Rola servera» v operačnom systéme Windows Server.

Čo je to „rola servera“ v systéme Windows Server?

Rola servera- je to softvérový balík, ktorý zabezpečuje výkon určitej funkcie serverom, pričom táto funkcia je hlavná. Inými slovami, " Rola servera“ je účelom servera, t.j. na čo to je. Aby server mohol vykonávať svoju hlavnú funkciu, t.j. určitú úlohu v Rola servera» obsahuje všetok potrebný softvér ( programy, služby).

Server môže mať jednu rolu, ak sa aktívne používa, alebo viacero, ak každá z nich server príliš nezaťažuje a používa sa len zriedka.

Služby rolí je možné nainštalovať všetky spolu alebo jednotlivo, v závislosti od vašich potrieb. Inštalácia roly v podstate znamená inštaláciu jednej alebo viacerých jej služieb.

Windows Server má tiež " Komponenty» server.

Komponenty servera (funkcia) sú softvérové nástroje, ktoré nie sú rolou servera, ale rozširujú možnosti jednej alebo viacerých rolí alebo spravujú jednu alebo viac rolí.

Popis rolí servera Windows Server 2016

Pravdepodobne ste už oboznámení s mnohými rolami, ktoré sú v systéme Windows Server 2016, pretože existujú už pomerne dlho, ale ako som povedal, s každou novou verziou Windows Server sa pridávajú nové roly, s ktorými ste možno nepracovali. s, ale chceli by sme vedieť, na čo slúžia, tak sa na ne poďme pozrieť.

Poznámka! O nových funkciách operačného systému Windows Server 2016 sa dočítate v materiáli „Inštalácia Windows Server 2016 a prehľad nových funkcií“.

Keďže k inštalácii a správe rolí, služieb a komponentov veľmi často dochádza pomocou prostredia Windows PowerShell, uvediem pre každú rolu a jej službu názov, ktorý je možné v PowerShell použiť na jej inštaláciu alebo správu.