Uveďte podrobný popis zásad serveru týkající se. Příkaz GPResult: diagnostika výsledných skupinových zásad

Přednáška 4 Server síťových zásad: Server RADIUS, proxy RADIUS a server bezpečnostních zásad

Přednáška 4

Téma: Network Policy Server: RADIUS Server, RADIUS Proxy a Network Access Protection Policy Server

Úvod

Windows Server 2008 a Windows Server 2008 R2 jsou pokročilé operační systémy Windows Server navržené tak, aby umožňovaly novou generaci sítí, aplikací a webových služeb. S těmito operačními systémy můžete vyvíjet, poskytovat a spravovat flexibilní a komplexní prostředí pro uživatele a aplikace, vytvářet vysoce zabezpečené síťové infrastruktury a zvyšovat technologickou efektivitu a organizaci ve vaší organizaci.

Server síťových zásad

Server Network Policy Server vám umožňuje vytvářet a vynucovat zásady přístupu k síti v celé organizaci, aby bylo zajištěno zdraví klienta a autentizace a autorizace požadavků na připojení. Kromě toho lze server NPS použít jako server proxy RADIUS k předávání požadavků na připojení na server NPS nebo jiné servery RADIUS nakonfigurované ve skupinách vzdálených serverů RADIUS.

Server síťových zásad umožňuje centrálně konfigurovat a spravovat zásady ověřování klientů, autorizace a stavu při udělování přístupu k síti pomocí následujících tří funkcí:

server RADIUS. Network Policy Server centrálně zpracovává ověřování, autorizaci a účtování pro bezdrátová připojení, ověřená připojení přepínačů, telefonická připojení a připojení k virtuální privátní síti (VPN). Při použití serveru NPS jako serveru RADIUS jsou servery pro přístup k síti, jako jsou bezdrátové přístupové body a servery VPN, nakonfigurovány jako klienti RADIUS na serveru NPS. Kromě toho nakonfigurujete zásady sítě, které server NPS používá k autorizaci požadavků na připojení. Kromě toho můžete nakonfigurovat účtování RADIUS tak, aby data byla zaznamenána serverem NPS do souborů protokolu uložených na místním pevném disku nebo v databázi. Data společnosti Microsoft SQL Server.

Proxy RADIUS. Pokud se server NPS používá jako server proxy RADIUS, musíte nakonfigurovat zásady požadavků na připojení, které určují, které požadavky na připojení bude server NPS předávat jiným serverům RADIUS a kterým konkrétním serverům RADIUS budou tyto požadavky předány. Můžete také nakonfigurovat Network Policy Server tak, aby přesměroval pověření a uložil je na jeden nebo více počítačů ve skupině vzdálených serverů RADIUS.

Server zásad NAP (Network Access Protection). Když je server NPS nakonfigurován jako server zásad NAP, vyhodnocuje NPS stavy odesílané klientskými počítači s podporou NAP, které se pokoušejí připojit k síti. Server Network Policy Server, který je nakonfigurován pomocí Network Access Protection, funguje jako server RADIUS pro ověřování a autorizaci požadavků na připojení. Na serveru síťových zásad můžete konfigurovat zásady a nastavení ochrany přístupu k síti, včetně kontrol stavu systému, zásad stavu a skupin aktualizačních serverů, které zajistí aktualizaci konfigurace klientských počítačů podle síťových zásad vaší organizace.

Network Policy Server lze konfigurovat s libovolnou kombinací výše uvedených možností. Server Network Policy Server může například fungovat jako server zásad ochrany přístupu k síti pomocí jedné nebo více metod vynucení a zároveň sloužit jako server RADIUS pro připojení vzdáleného přístupu a jako proxy RADIUS pro předávání některých požadavků na připojení skupině vzdálených RADIUS. servery, což vám umožňuje provádět ověřování a autorizaci v jiné doméně.

Server RADIUS a proxy RADIUS

Server Network Policy Server lze použít jako server RADIUS, proxy server RADIUS nebo oba současně.

server RADIUS

Microsoft Network Policy Server je implementován v souladu se standardem RADIUS, jak je popsáno v IETF RFC 2865 a RFC 2866. Network Policy Server jako server RADIUS centrálně provádí ověřování, autorizaci a účtování připojení pro různé typy síťového přístupu, včetně bezdrátového přístup, přepínání ověřeného, ​​vzdáleného a VPN přístupu a připojení mezi routery.

Network Policy Server umožňuje rozmanitou sadu bezdrátových, telefonických, VPN a přepínacích zařízení. Server síťových zásad lze používat se službou Směrování a vzdálený přístup, která je dostupná v operačních systémech Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition a Windows Server 2003, Datacenter Edition.

Pokud je počítač se systémem NPS členem domény Active Directory®, server NPS používá tuto adresářovou službu jako databázi uživatelských účtů a je součástí řešení jednotného přihlašování. Stejná sada přihlašovacích údajů se používá pro řízení přístupu k síti (ověření a autorizace přístupu k síti) a pro přihlášení do domény Active Directory.

Poskytovatelé internetových služeb a organizace, které poskytují přístup k síti, čelí větším výzvám při správě všech typů sítí z jediného místa správy, bez ohledu na použité zařízení pro přístup k síti. Standard RADIUS podporuje tuto funkci v homogenních i heterogenních prostředích. Protokol RADIUS je protokol klient-server, který umožňuje zařízení pro přístup k síti (fungujícímu jako klienti RADIUS) odesílat požadavky na ověřování a účtování na server RADIUS.

Server RADIUS má přístup k informacím o uživatelském účtu a může během ověřování ověřovat přihlašovací údaje a udělovat přístup k síti. Pokud jsou přihlašovací údaje uživatele platné a pokus o připojení je autorizován, server RADIUS autorizuje přístup uživatele na základě zadaných podmínek a zaznamenává informace o připojení do protokolu. Použití protokolu RADIUS vám umožňuje shromažďovat a udržovat informace o autentizaci, autorizaci a účtování na jednom místě, aniž byste museli tuto operaci provádět na každém přístupovém serveru.

Proxy RADIUS

Jako proxy server RADIUS předává server NPS ověřovací a účetní zprávy na jiné servery RADIUS.

Se serverem Network Policy Server mohou organizace outsourcovat svou infrastrukturu vzdáleného přístupu poskytovateli služeb a zároveň si zachovat kontrolu nad ověřováním uživatelů, autorizací a účtováním.

Konfigurace serveru zásad sítě lze vytvořit pro následující scénáře:

Bezdrátový přístup

Připojení vzdáleného přístupu nebo virtuální privátní sítě v organizaci.

Vzdálený přístup nebo bezdrátový přístup poskytovaný externí organizací

Přístup na internet

Ověřený přístup k externím síťovým zdrojům pro obchodní partnery

Příklady konfigurací serveru RADIUS a proxy serveru RADIUS

Následující příklady konfigurace ukazují, jak nakonfigurovat server NPS jako server RADIUS a proxy RADIUS.

NPS jako server RADIUS. V tomto příkladu je server NPS nakonfigurován jako server RADIUS, jedinou konfigurovanou zásadou je výchozí zásada požadavků na připojení a všechny požadavky na připojení zpracovává místní server NPS. Server síťových zásad může ověřovat a autorizovat uživatele, jejichž účty jsou v doméně serveru nebo v důvěryhodných doménách.

NPS jako proxy RADIUS. V tomto příkladu je server NPS nakonfigurován jako server proxy RADIUS, který předává požadavky na připojení skupinám vzdálených serverů RADIUS ve dvou různých nedůvěryhodných doménách. Výchozí zásada žádostí o připojení je odstraněna a nahrazena dvěma novými zásadami žádostí o připojení, které předávají požadavky každé ze dvou nedůvěryhodných domén. V tomto příkladu server NPS nezpracovává požadavky na připojení na místním serveru.

NPS jako server RADIUS i proxy RADIUS. Kromě výchozí zásady požadavků na připojení, která zpracovává požadavky lokálně, je vytvořena nová zásada požadavků na připojení, která je předává na server NPS nebo jiný server RADIUS v nedůvěryhodné doméně. Druhá zásada se nazývá Proxy. V tomto příkladu se zásada proxy zobrazí jako první v seřazeném seznamu zásad. Pokud požadavek na připojení odpovídá zásadám proxy, je požadavek na připojení předán serveru RADIUS ve skupině vzdálených serverů RADIUS. Pokud požadavek na připojení neodpovídá zásadám proxy, ale odpovídá výchozí zásadě požadavku na připojení, server síťových zásad zpracuje požadavek na připojení na místním serveru. Pokud požadavek na připojení nesplňuje některou z těchto zásad, bude zamítnut.

NPS jako server RADIUS se vzdálenými účetními servery. V tomto příkladu není místní server NPS nakonfigurován pro účtování a výchozí zásada požadavků na připojení je upravena tak, aby zprávy o účtování RADIUS byly předávány na server NPS nebo jiný server RADIUS ve skupině vzdálených serverů RADIUS. Přestože jsou zprávy o účtování předávány, zprávy o ověřování a autorizaci se nepředávají a související funkce pro místní doménu a všechny důvěryhodné domény provádí místní server NPS.

NPS se vzdáleným mapováním uživatelů RADIUS na Windows. V tomto příkladu funguje server NPS jako server RADIUS i jako proxy server RADIUS pro každý jednotlivý požadavek na připojení, přičemž předává požadavek na ověření vzdálenému serveru RADIUS a současně provádí autorizaci pomocí místního uživatelského účtu Windows. Tato konfigurace je implementována nastavením atributu Remote RADIUS Server Mapping to Windows User jako podmínky zásady požadavku na připojení. (Kromě toho musíte vytvořit místní uživatelský účet na serveru RADIUS se stejným názvem jako vzdálený účet, který bude ověřen vzdáleným serverem RADIUS.)

Server zásad ochrany přístupu k síti

Součástí je ochrana síťového přístupu Windows Vista®, Windows® 7, Windows Server® 2008 a Windows Server® 2008 R2. Pomáhá zabezpečit přístup k privátním sítím tím, že zajistí, aby klientské počítače vyhovovaly zásadám stavu platným v síti organizace, když těmto klientům umožňuje přístup k síťovým zdrojům. Soulad klientského počítače se zásadami stavu definovaného správcem je navíc monitorován pomocí Network Access Protection, zatímco je klientský počítač připojen k síti. Pomocí funkce automatické aktualizace Network Access Protection mohou být nevyhovující počítače automaticky aktualizovány na zásady stavu, což jim umožní později získat přístup k síti.

Správci systému definují zásady stavu sítě a vytvářejí tyto zásady pomocí komponent Network Access Protection, které jsou dostupné ze serveru Network Policy Server nebo jsou poskytovány jinými společnostmi (v závislosti na implementaci Network Access Protection).

Zásady stavu mohou mít vlastnosti, jako jsou požadavky na software, požadavky na aktualizace zabezpečení a požadavky na konfigurační parametry. Network Access Protection vynucuje zásady stavu tím, že kontroluje a vyhodnocuje stav klientských počítačů, omezuje přístup k síti na počítače, které nesplňují tyto požadavky, a opravuje nesoulad tak, aby poskytoval neomezený přístup k síti.

Nástroj GPResult.exe– je konzolová aplikace určená k analýze nastavení a diagnostice skupinových zásad, které se vztahují na počítač a/nebo uživatele v doméně Active Directory. GPResult umožňuje zejména získat data z výsledné sady politik (Resultant Set of Policy, RSOP), seznam aplikovaných doménových politik (GPO), jejich nastavení a podrobné informace o chybách při jejich zpracování. Nástroj je součástí operačního systému Windows již od Windows XP. Nástroj GPResult vám umožňuje odpovědět na následující otázky: zda se na počítač vztahuje konkrétní zásada, který GPO změnil to či ono Nastavení systému Windows, pochopit důvody.

V tomto článku se podíváme na funkce použití příkazu GPResult k diagnostice a ladění aplikace zásad skupiny v doméně Active Directory.

Zpočátku byla pro diagnostiku aplikace skupinových zásad ve Windows využívána grafická konzole RSOP.msc, která umožňovala získat nastavení výsledných politik (doména + místní) aplikovaných na počítač a uživatele v grafické podobě podobné do konzole editoru GPO (níže vidíte na příkladu zobrazení konzole RSOP.msc, že ​​jsou nastavena nastavení aktualizace).

Není však vhodné používat konzolu RSOP.msc v moderních verzích Windows, protože neodráží nastavení použitá různými rozšířeními na straně klienta (CSE), jako je GPP (Předvolby zásad skupiny), neumožňuje vyhledávání a poskytuje málo diagnostických informací. Proto je v tuto chvíli hlavním nástrojem pro diagnostiku použití GPO ve Windows příkaz GPResult (ve Windows 10 se dokonce objevuje upozornění, že RSOP na rozdíl od GPResult neposkytuje kompletní sestavu).

Pomocí nástroje GPResult.exe

Příkaz GPResult se spustí na počítači, na kterém chcete zkontrolovat aplikaci zásad skupiny. Příkaz GPResult má následující syntaxi:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Chcete-li získat podrobné informace o zásadách skupiny, které se vztahují na daný objekt AD (uživatele a počítače) a další nastavení související s infrastrukturou GPO (tj. výsledná nastavení zásad GPO - RsoP), spusťte příkaz:

Výsledky příkazu jsou rozděleny do 2 částí:

• POČÍTAČ NASTAVENÍ (Konfigurace počítače) – sekce obsahuje informace o objektech GPO působících na počítači (jako objekt Active Directory);
• UŽIVATEL NASTAVENÍ – sekce uživatelských zásad (zásady, které se vztahují na uživatelský účet v AD).

Pojďme si stručně projít hlavní parametry/sekce, které nás mohou na výstupu GPResult zajímat:

• místonázev(Site name:) – název stránky AD, na které se počítač nachází;
• CN– úplný kanonický uživatel/počítač, pro který byla generována data RSoP;
• PosledníčasSkupinaPolitikabylaplikovaný(Naposledy použitá skupinová politika) – čas, kdy byly naposledy použity skupinové zásady;
• SkupinaPolitikabylaplikovanýz(Zásady skupiny byly použity z) – řadič domény, ze kterého byly načteny Nejnovější verze GPO;
• Doménanázeva DoménaTyp(Název domény, typ domény) – název a verze schématu domény Active Directory;
• AplikovanýSkupinaPolitikaObjekty(Aplikované objekty zásad skupiny)– seznamy objektů aktivních zásad skupiny;
• TheNásledujícíGPObylineaplikovanýprotožeonybylifiltrovanýven(Následující zásady GPO nebyly použity, protože byly filtrovány) - nepoužité (filtrované) GPO;
• Theuživatel/počítačjeAčástzaNásledujícíbezpečnostnískupiny(Uživatel/počítač je členem následujících bezpečnostních skupin) – skupiny domén, ve kterých je uživatel členem.

V našem příkladu můžete vidět, že objekt uživatele podléhá 4 zásadám skupiny.

• Výchozí zásady domény;
• Povolit bránu Windows Firewall;
• Seznam vyhledávání přípon DNS;

Pokud nechcete, aby se v konzoli zobrazovaly současně informace o uživatelských i počítačových zásadách, můžete pomocí volby /scope zobrazit pouze sekci, která vás zajímá. Pouze výsledné uživatelské zásady:

gpresult /r /scope:user

nebo pouze aplikované počítačové zásady:

gpresult /r /scope:computer

Protože Nástroj Gpresult odesílá svá data přímo do konzole příkazový řádek, což není vždy vhodné pro následnou analýzu, lze jeho výstup přesměrovat do schránky:

Gpresult /r |klip

nebo textový soubor:

Gpresult /r > c:\gpresult.txt

Chcete-li zobrazit velmi podrobné informace RSOP, musíte přidat přepínač /z.

HTML RSOP report pomocí GPResult

Kromě toho může nástroj GPResult generovat HTML zprávu o výsledných aplikovaných zásadách (k dispozici ve Windows 7 a vyšších). Tato sestava bude obsahovat podrobné informace o všech systémových parametrech, které jsou nastaveny zásadami skupiny, a názvy konkrétních objektů GPO, které je nastavují (výsledná struktura sestavy připomíná kartu Nastavení v Konzole pro správu zásad skupiny domény - GPMC). Hlášení HTML GPResult můžete vygenerovat pomocí příkazu:

GPResult /h c:\gp-report\report.html /f

Chcete-li vygenerovat sestavu a automaticky ji otevřít v prohlížeči, spusťte příkaz:

GPResult /h GPResult.html & GPResult.html

HTML report gpresult obsahuje poměrně hodně užitečné informace: jsou viditelné chyby v aplikaci GPO, doba zpracování (v ms) a aplikace specifických zásad a CSE (v části Podrobnosti o počítači -> Stav součásti). Například na výše uvedeném snímku obrazovky můžete vidět, že zásada s nastavením zapamatování 24 hesel je aplikována pomocí výchozí zásady domény (sloupec Vítězný GPO). Jak vidíte, tato zpráva HTML je pro analýzu použitých zásad mnohem pohodlnější než konzola rsop.msc.

Příjem dat GPResult ze vzdáleného počítače

GPResult může také shromažďovat data ze vzdáleného počítače, čímž eliminuje potřebu, aby se správce přihlašoval lokálně nebo RDP ke vzdálenému počítači. Formát příkazu pro sběr dat RSOP ze vzdáleného počítače je následující:

GPResult /s server-ts1 /r

Podobně můžete vzdáleně shromažďovat data jak z uživatelských zásad, tak z počítačových zásad.

Uživatelské jméno nemá data RSOP

Když je povoleno UAC, spuštění GPResult bez zvýšených oprávnění zobrazí nastavení pouze sekce zásad skupiny uživatelů. Pokud potřebujete zobrazit obě sekce (UŽIVATELSKÉ NASTAVENÍ a NASTAVENÍ POČÍTAČE) současně, je nutné příkaz spustit. Pokud je příkazový řádek povýšen na jiný systém než aktuální uživatel, nástroj vydá varování INFO:Theuživatel"doména\uživatel“dělánemítRSOPdata ( Uživatel "doména\uživatel" nemá data RSOP). K tomu dochází, protože GPResult se snaží shromáždit informace pro uživatele, který jej spustil, ale protože... Tento uživatel se nepřihlásil a neexistují pro něj žádné informace RSOP. Chcete-li shromažďovat informace RSOP pro uživatele s aktivní relací, musíte zadat jeho účet:

gpresult /r /user:tn\edward

Pokud neznáte název účtu, který je přihlášen na vzdáleném počítači, můžete účet získat takto:

qwinsta /SERVER:remotePC1

Zkontrolujte také čas(y) na klientovi. Čas se musí shodovat s časem na PDC (Primary Domain Controller).

Následující zásady GPO nebyly použity, protože byly odfiltrovány

Při odstraňování problémů se zásadami skupiny byste také měli věnovat pozornost části: Následující objekty GPO nebyly použity, protože byly odfiltrovány. Tato část zobrazuje seznam objektů GPO, které se z toho či onoho důvodu na tento objekt nevztahují. Možné způsoby, jakými zásady nemusí platit:

Zda má být politika aplikována na konkrétní objekt AD, můžete také pochopit na kartě efektivních oprávnění (Upřesnit -> Efektivní přístup).

V tomto článku jsme se tedy podívali na funkce diagnostiky aplikace skupinových zásad pomocí nástroje GPResult a podívali jsme se na typické scénáře jeho použití.

Při instalaci systému Windows se většina vedlejších podsystémů neaktivuje ani neinstaluje. Děje se tak z bezpečnostních důvodů. Protože je systém ve výchozím nastavení zabezpečený, mohou se správci systému soustředit na návrh systému, který bude plnit přesně zamýšlené funkce a nic jiného. Aby vám pomohl aktivovat funkce, které potřebujete, systém Windows vás vyzve k výběru role serveru.

Role

Role serveru je sada programů, které při správné instalaci a konfiguraci umožňují počítači vykonávat určitou funkci pro více uživatelů nebo jiných počítačů v síti. Obecně platí, že všechny role mají následující charakteristiky.

• Definují hlavní funkci, účel nebo účel použití počítače. Počítač můžete určit tak, aby vykonával jednu roli, která je ve vašem podniku intenzivně využívána, nebo pro vykonávání více rolí, pokud je každá používána pouze příležitostně.
• Role poskytují uživatelům v celé organizaci přístup ke zdrojům, které jsou spravovány jinými počítači, jako jsou webové stránky, tiskárny nebo soubory uložené na různých počítačích.
• Obvykle mají své vlastní databáze, které zařazují požadavky uživatelů nebo počítačů do fronty nebo zaznamenávají informace o uživatelích sítě a počítačích, které jsou relevantní pro danou roli. Například služba Active Directory Domain Services obsahuje databázi pro ukládání jmen a hierarchických vztahů všech počítačů v síti.
• Po správné instalaci a konfiguraci role fungují automaticky. To umožňuje počítačům, na kterých jsou nainstalovány, provádět přiřazené úkoly s omezenou interakcí uživatele.

Služby rolí

Služby rolí jsou programy, které poskytují funkčnost role. Při instalaci role si můžete vybrat, které služby poskytuje ostatním uživatelům a počítačům v podniku. Některé role, jako je DNS server, plní pouze jednu funkci, takže pro ně neexistují žádné služby rolí. Jiné role, jako jsou Služby vzdálené plochy, mají více služeb, které lze nainstalovat v závislosti na potřebách vzdáleného přístupu vaší firmy. Na roli lze nahlížet jako na soubor úzce souvisejících, doplňkových služeb rolí. Ve většině případů instalace role znamená instalaci jedné nebo více jejích služeb.

Komponenty

Komponenty jsou programy, které nejsou přímo součástí rolí, ale podporují nebo rozšiřují funkčnost jedné nebo více rolí nebo celého serveru bez ohledu na to, které role jsou nainstalovány. Například funkce Failover Cluster rozšiřuje funkčnost dalších rolí, jako jsou File Services a DHCP Server, tím, že jim umožňuje připojit se ke clusterům serverů, čímž poskytuje zvýšenou redundanci a výkon. Další komponenta - "Telnet Client" - zajišťuje vzdálenou komunikaci s Telnet serverem přes internetové připojení. Tato funkce zlepšuje komunikační schopnosti serveru.

Když Windows Server běží v režimu Server Core, jsou podporovány následující role serveru:

• Active Directory Certificate Services;
• Active Directory Domain Services;
• DHCP server;
• DNS server;
• souborové služby (včetně správce prostředků souborového serveru);
• Active Directory Lightweight Directory Services;
• Hyper-V;
• Tiskařské a dokumentační služby;
• Streamingové mediální služby;
• webový server (včetně podmnožiny ASP.NET);
• server Aktualizace systému Windows Server;
• Active Directory Rights Management Server;
• Server pro směrování a vzdálený přístup a následující podřízené role:
  • Zprostředkovatel připojení ke službám vzdálené plochy;
  • udělování licencí;
  • virtualizace.

Když Windows Server běží v režimu Server Core, jsou podporovány následující součásti serveru:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• služba inteligentního přenosu na pozadí (BITS);
• šifrování disku BitLocker;
• odemknutí sítě BitLocker;
• BranchCache
• most datového centra;
• Rozšířené úložiště;
• clustering s podporou převzetí služeb při selhání;
• Vícecestný I/O;
• vyrovnávání zatížení sítě;
• protokol PNRP;
• qWave;
• vzdálená diferenciální komprese;
• jednoduché služby TCP/IP;
• RPC přes HTTP proxy;
• SMTP server;
• služba SNMP;
• Telnet klient;
• Telnet server;
• TFTP klient;
• vnitřní základna Data systému Windows;
• Windows PowerShell Web Access;
• Služba aktivace systému Windows;
• standardizovaná správa úložiště Windows;
• rozšíření IIS WinRM;
• WINS server;
• Podpora WoW64.

Instalace serverových rolí pomocí Správce serveru

Chcete-li přidat, otevřete Správce serveru a v nabídce Správa klikněte na Přidat role a funkce:

Otevře se Průvodce přidáním rolí a funkcí. Klepněte na tlačítko Další

Typ instalace, vyberte instalaci na základě rolí nebo funkcí. Další:

Výběr serveru - vyberte náš server. Klikněte na Další Role serveru – Vyberte role, v případě potřeby vyberte služby rolí a kliknutím na Další vyberte komponenty. Během tohoto postupu vás Průvodce přidáním rolí a funkcí automaticky informuje, pokud na cílovém serveru dojde ke konfliktům, které by mohly bránit správné instalaci nebo fungování vybraných rolí nebo funkcí. Budete také vyzváni k přidání rolí, služeb rolí a funkcí, které jsou vyžadovány pro vybrané role nebo funkce.

Instalace rolí pomocí PowerShellu

Otevřete prostředí Windows PowerShell Zadejte příkaz Get-WindowsFeature a zobrazte seznam dostupných a nainstalovaných rolí a funkcí na místním serveru. Výsledky této rutiny obsahují názvy příkazů pro role a funkce, které jsou nainstalovány a dostupné pro instalaci.

Chcete-li zobrazit syntaxi a platné parametry rutiny Install-WindowsFeature (MAN), zadejte Get-Help Install-WindowsFeature.

Zadejte následující příkaz (-Restart restartuje server, pokud je při instalaci role vyžadován restart).

Install-WindowsFeature –Name -Restartovat

Popis rolí a služeb rolí

Všechny role a služby rolí jsou popsány níže. Podívejme se na pokročilou konfiguraci pro ty nejběžnější v naší praxi: Role webového serveru a Služby vzdálené plochy

Podrobný popis IIS

• Společné vlastnosti HTTP – Základní součásti HTTP
  • Výchozí dokument – ​​umožňuje nastavit indexovou stránku webu.
  • Procházení adresářů – umožňuje uživatelům vidět obsah adresáře na webovém serveru. Použijte Procházení adresářů k automatickému vygenerování seznamu všech adresářů a souborů přítomných v adresáři, když uživatelé nezadají soubor v adrese URL a stránka indexu je zakázána nebo není nakonfigurována.
  • HTTP Errors – umožňuje konfigurovat chybové zprávy vracené klientům v prohlížeči.
  • Statický obsah – umožňuje zveřejňovat statický obsah, například obrázky nebo html soubory.
  • Přesměrování HTTP – poskytuje podporu pro přesměrování požadavků uživatelů.
  • WebDAV Publishing umožňuje publikovat soubory z webového serveru pomocí protokolu HTTP.
• Funkce zdraví a diagnostiky – diagnostické komponenty
  • Protokolování HTTP poskytuje protokolování aktivity webu pro daný server.
  • Vlastní protokolování poskytuje podporu pro vytváření vlastních protokolů, které se liší od „tradičních“ protokolů.
  • Nástroje pro protokolování poskytují infrastrukturu pro správu protokolů webového serveru a automatizaci běžných úloh protokolování.
  • ODBC Logging poskytuje infrastrukturu, která podporuje protokolování aktivity webového serveru v databázi vyhovující ODBC.
  • Sledování požadavků poskytuje infrastrukturu pro sledování stavu webových aplikací shromažďováním informací o požadavcích HTTP v pracovním procesu služby IIS.
  • Trasování poskytuje rámec pro diagnostiku a odstraňování problémů s webovými aplikacemi. Pomocí trasování neúspěšných požadavků můžete sledovat těžko zachytitelné události, jako je špatný výkon nebo selhání ověřování.
• Výkonové komponenty zvyšují výkon webového serveru.
  • Komprese statického obsahu poskytuje infrastrukturu pro nastavení komprese statického obsahu HTTP
  • Dynamická komprese obsahu poskytuje infrastrukturu pro nastavení komprese HTTP dynamického obsahu.
• Bezpečnostní bezpečnostní komponenty
  • Filtrování požadavků umožňuje zaznamenávat všechny příchozí požadavky a filtrovat je na základě pravidel nastavených správcem.
  • Basic Authentication umožňuje nastavit další autorizaci
  • Centralizovaná podpora certifikátů SSL je funkce, která vám umožňuje ukládat certifikáty do centralizovaného umístění, jako je sdílení souborů.
  • Ověřování mapování klientských certifikátů používá k ověřování uživatelů klientské certifikáty.
  • Ověřování algoritmem Digest funguje tak, že se do řadiče domény Windows odešle hash hesla k ověření uživatelů. Pokud potřebujete více vysoká úroveň zabezpečení ve srovnání se základním ověřováním, zvažte použití ověřování Digest
  • Ověřování mapování klientského certifikátu IIS používá k ověřování uživatelů klientské certifikáty. Klientský certifikát je digitální ID získané z důvěryhodného zdroje.
  • Omezení IP a domén vám umožňuje povolit/zakázat přístup na základě požadované IP adresy nebo názvu domény.
  • URL Authorization vám umožňuje vytvářet pravidla, která omezují přístup k webovému obsahu.
  • Ověřování systému Windows Toto schéma ověřování umožňuje správcům domény systému Windows využívat infrastrukturu domény k ověřování uživatelů.
• Vývoj aplikací Funkce komponenty pro vývoj aplikací
• FTP server
  • Služba FTP Umožňuje publikování FTP na webový server.
  • Rozšiřitelnost FTP Zahrnuje podporu funkcí FTP, které rozšiřují možnosti
• Nástroje pro správu
  • Konzola pro správu služby IIS nainstaluje Správce služby IIS, který umožňuje spravovat webový server prostřednictvím grafického rozhraní
  • Kompatibilita správy služby IIS 6.0 poskytuje dopřednou kompatibilitu pro aplikace a skripty, které používají rozhraní ABO (Admin Base Object) a rozhraní ADSI (Active Directory Directory Service Interface). To umožňuje použití stávajících skriptů IIS 6.0 webovým serverem IIS 8.0
  • Skripty a nástroje pro správu IIS poskytují infrastrukturu pro správu webového serveru IIS programově, pomocí příkazů v okně příkazového řádku nebo spouštěním skriptů.
  • Management Service poskytuje infrastrukturu pro konfiguraci uživatelského rozhraní Správce IIS.

Podrobný popis RDS

• Zprostředkovatel připojení ke vzdálené ploše – Poskytuje opětovné připojení klientského zařízení k programům založeným na relacích stolního počítače a virtuálních plochách.
• Brána vzdálené plochy – umožňuje oprávněným uživatelům připojit se k virtuálním plochám, programům RemoteApp a plochám založeným na relacích v podnikové síti nebo přes internet.
• Licencování vzdálené plochy – nástroj správy licencí RDP
• Hostitel relací vzdálené plochy – umožňuje serveru hostovat programy RemoteApp nebo relaci na ploše.
• Hostitel virtualizace vzdálené plochy – umožňuje konfigurovat RDP na virtuálních počítačích
• Vzdálená plocha WebAccess – umožňuje uživatelům připojit se ke zdrojům plochy pomocí nabídky Start nebo webového prohlížeče.

Podívejme se na instalaci a konfiguraci terminálového licenčního serveru. Výše uvedené popisuje, jak nainstalovat role, instalace RDS se neliší od instalace jiných rolí; v Role Services budeme muset vybrat Remote Desktop Licensing a Remote Desktop Session Host. Po instalaci se v Server Manager-Tools objeví položka Terminálové služby. Terminálové služby mají dvě položky: RD Licensing Diagnoser, což je diagnostický nástroj pro licencování vzdálené plochy, a Remote Desktop Licensing Manager, což je nástroj pro správu licencí.

Spusťte nástroj RD Licensing Diagnoser

Zde vidíme, že zatím nejsou k dispozici žádné licence, protože není nastaven režim licencování pro server Hostitel relací vzdálené plochy. Licenční server je uveden v zásadách místní skupiny. Chcete-li spustit editor, spusťte příkaz gpedit.msc. Otevře se Editor místních zásad skupiny. Ve stromu nalevo otevřeme karty:

• Konfigurace počítače
• Šablony pro správu
• Součásti systému Windows
• "Služby vzdálené plochy"
• "Hostitel relace vzdálené plochy"
• "licencování"

Otevřete parametry Použít zadané licenční servery vzdálené plochy

V okně úprav nastavení zásad povolte licenční server (Povoleno). Dále musíte určit licenční server pro službu vzdálené plochy. V mém příkladu je licenční server umístěn na stejném fyzickém serveru. Zadejte název sítě nebo IP adresu licenčního serveru a klepněte na OK. Pokud v budoucnu změníte název serveru, bude nutné změnit licenční server ve stejné sekci.

Poté v RD Licensing Diagnoser uvidíte, že terminálový licenční server je nakonfigurován, ale není povolen. Chcete-li to povolit, spusťte Správce licencí vzdálené plochy

Vyberte licenční server se stavem Neaktivováno. Chcete-li jej aktivovat, klikněte na něj pravým tlačítkem a vyberte možnost Aktivovat server. Spustí se Průvodce aktivací serveru. Na kartě Způsob připojení vyberte Automatické připojení. Dále vyplňte informace o organizaci, po které se aktivuje licenční server.

Certifikační služba Active Directory

AD CS poskytuje přizpůsobitelné digitální certifikační služby, které se používají v systémech zabezpečení softwaru, které využívají technologii veřejné klíče a správu těchto certifikátů. Digitální certifikáty poskytované službou AD CS lze použít pro šifrování a digitální podepisování elektronické dokumenty a zprávy. Tyto digitální certifikáty lze použít k online ověření pravosti účtů počítačů, uživatelů a zařízení. Digitální certifikáty se používají k zajištění:

• soukromí prostřednictvím šifrování;
• integrita pomocí digitálních podpisů;
• ověřování přiřazením klíčů certifikátu k účtům počítače, uživatele a zařízení v síti.

AD CS lze použít ke zlepšení zabezpečení přidružením uživatele, zařízení nebo identity služby s příslušnou identitou soukromý klíč. Mezi použití podporovaná službou AD CS patří Secure Multipurpose Internet Mail Extensions (S/MIME), chráněná bezdrátová síť, virtuální privátní sítě (VPN), IPsec, systém šifrování souborů (EFS), přihlášení pomocí čipové karty, zabezpečení protokolu a transportní vrstvy (SSL/TLS) a digitální podpisy.

Active Directory Domain Services

Pomocí role serveru Active Directory Domain Services (AD DS) můžete vytvořit škálovatelnou, zabezpečenou a spravovanou infrastrukturu pro správu uživatelů a zdrojů; Můžete také podporovat adresářové aplikace, jako je Microsoft Exchange Server. Služba Active Directory Domain Services poskytuje distribuovanou databázi, která ukládá a spravuje informace o síťových prostředcích a datech aplikací s povoleným adresářem. Server, na kterém běží služba AD DS, se nazývá řadič domény. Správci mohou pomocí služby AD DS organizovat síťové prvky, jako jsou uživatelé, počítače a další zařízení, do hierarchické vnořené struktury. Hierarchická vnořená struktura zahrnuje doménovou strukturu Active Directory, domény v rámci doménové struktury a organizační jednotky v rámci každé domény. Funkce zabezpečení jsou integrovány do služby AD DS ve formě ověřování a řízení přístupu ke zdrojům v adresáři. Díky jednotnému přihlášení k síti mohou administrátoři spravovat data adresářů a organizaci v celé síti. Autorizovaní uživatelé sítě mohou také používat jednotné přihlašování k síti pro přístup ke zdrojům umístěným kdekoli v síti. Služba Active Directory Domain Services poskytuje následující dodatečné funkce.

• Sada pravidel je schéma, které definuje třídy objektů a atributy, které jsou obsaženy v adresáři, omezení a limity instancí těchto objektů a formát jejich názvů.
• Globální katalog, který obsahuje informace o každém objektu v katalogu. Uživatelé a administrátoři mohou používat globální katalog k vyhledávání dat adresáře bez ohledu na to, která doména v adresáři skutečně obsahuje data, která hledají.
• Dotazovací a indexovací stroj, jehož prostřednictvím mohou být objekty a jejich vlastnosti publikovány a lokalizovány síťovými uživateli a aplikacemi.
• Replikační služba, která distribuuje data adresáře po síti. Všechny zapisovatelné řadiče domény v doméně se účastní replikace a udržují úplnou kopii všech dat adresáře pro svou doménu. Jakékoli změny v datech adresáře jsou replikovány napříč doménou na všechny řadiče domény.
• Role hlavního operačního serveru (známé také jako flexibilní operace s jedním hlavním serverem nebo FSMO). Řadiče domény, které fungují jako hlavní operační server, jsou navrženy tak, aby prováděly specifické úkoly, aby zajistily konzistenci dat a odstranily konfliktní položky adresáře.

Active Directory Federation Services

Služba AD FS poskytuje koncovým uživatelům, kteří potřebují přístup k aplikacím v podniku, federačním partnerovi nebo cloudu chráněném službou AD FS, zjednodušenou a zabezpečenou federaci identit a webové funkce jednotného přihlašování (SSO). V systému Windows Server služba AD FS zahrnuje role service Federation Services fungující jako poskytovatel identity (ověřuje uživatele, aby poskytovali tokeny zabezpečení aplikacím, které důvěřují AD FS) nebo jako poskytovatel federace (používá tokeny od jiných poskytovatelů identit a poté poskytuje tokeny zabezpečení aplikacím, které důvěřují AD FS).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) je protokol LDAP, který poskytuje flexibilní podporu pro adresářové aplikace bez závislostí a omezení domény služby Active Directory Domain Services. AD LDS lze spouštět na členských nebo samostatných serverech. Na jednom serveru s nezávisle spravovanými schématy můžete spustit více instancí služby AD LDS. Pomocí role služby AD LDS můžete poskytovat adresářové služby aplikacím využívajícím adresáře bez režie domén a doménových struktur a bez nutnosti jediného schématu celé doménové struktury.

Active Directory Rights Management Services

Službu AD RMS lze použít k vylepšení strategie zabezpečení organizace tím, že chrání dokumenty pomocí správy práv k informacím (IRM). Služba AD RMS umožňuje uživatelům a správcům přidělovat přístupová oprávnění k dokumentům, sešitům a prezentacím pomocí zásad IRM. To pomáhá chránit důvěrné informace před tiskem, předáváním nebo kopírováním neoprávněnými uživateli. Jakmile jsou oprávnění k souboru omezena pomocí IRM, jsou vynucována omezení přístupu a použití bez ohledu na umístění informací, protože oprávnění k souboru je uloženo v samotném souboru dokumentu. S AD RMS a IRM mohou jednotliví uživatelé uplatnit své vlastní osobní preference týkající se sdílení osobních a citlivých informací. Pomohou také organizaci uplatňovat firemní zásady pro řízení používání a šíření důvěrných a osobních informací. Řešení IRM podporovaná službami AD RMS se používají k poskytování následujících funkcí.

• Zásady trvalého používání, které zůstávají s informacemi bez ohledu na to, zda jsou přesunuty, odeslány nebo předány dál.
• Další vrstva soukromí na ochranu citlivých dat – jako jsou zprávy, specifikace produktů, informace o zákaznících a e-mailové zprávy – před tím, aby se záměrně nebo náhodně dostaly do nesprávných rukou.
• Zabraňte oprávněným příjemcům v neoprávněném přeposílání, kopírování, upravování, tisku, faxování nebo vkládání omezeného obsahu.
• Zabraňte kopírování omezeného obsahu pomocí funkce PRINT SCREEN v systému Microsoft Windows.
• Podpora vypršení platnosti souboru, která zabraňuje zobrazení obsahu dokumentů po uplynutí stanovené doby.
• Implementujte podnikové zásady, které řídí používání a distribuci obsahu v rámci organizace

Aplikační server

Application Server poskytuje integrované prostředí pro zavádění a spouštění vlastních podnikových aplikací založených na serveru.

DHCP server

DHCP je technologie klient-server, ve které mohou servery DHCP přidělovat nebo pronajímat adresy IP počítačům a dalším zařízením, která jsou klienty DHCP. Nasazení serverů DHCP v síti automaticky poskytuje klientským počítačům a dalším síťovým zařízením na základě platných IP adres IPv4 a IPv6 a další konfigurační parametry vyžadované těmito klienty a zařízeními Služba DHCP Server v systému Windows Server zahrnuje podporu pro přiřazení na základě zásad a zpracování selhání DHCP.

DNS server

Služba DNS je hierarchická distribuovaná databáze obsahující mapování názvů domén DNS na různé typy dat, jako jsou adresy IP. DNS umožňuje používat popisné názvy, jako je www.microsoft.com, aby bylo snazší najít počítače a další zdroje v sítích založených na TCP/IP. Windows Server DNS poskytuje další, vylepšenou podporu pro rozšíření DNS Security Extensions (DNSSEC), včetně online registrace a automatické správy nastavení.

FAX Server

Faxový server odesílá a přijímá faxy a také vám dává možnost spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení na vašem faxovém serveru.

Souborové a úložné služby

Správci mohou pomocí role Souborové a úložné služby konfigurovat více souborových serverů a jejich úložiště a spravovat tyto servery pomocí Správce serveru nebo Windows PowerShell. Některé konkrétní aplikace obsahují následující funkce.

• Pracovní složky. Slouží k tomu, aby uživatelé mohli ukládat a přistupovat k pracovním souborům na osobních počítačích a zařízeních jiných než firemních. Uživatelé získají pohodlné místo pro ukládání pracovních souborů a přístup k nim odkudkoli. Organizace řídí podniková data ukládáním souborů na centrálně spravované souborové servery a volitelně nastavují zásady uživatelských zařízení (jako je šifrování a hesla pro uzamčení obrazovky).
• Deduplikace dat. Slouží ke snížení požadavků na místo na disku pro ukládání souborů a šetří náklady na úložiště.
• Cílový server iSCSI. Slouží k vytváření centralizovaných, na softwaru a hardwaru nezávislých diskových subsystémů iSCSI v sítích úložiště (SAN).
• Diskové prostory. Použijte k nasazení vysoce dostupného úložiště, které je odolné a škálovatelné pomocí cenově efektivních standardních disků.
• Správce serveru. Použij pro dálkové ovládání více souborových serverů z jednoho okna.
• Windows PowerShell. Slouží k automatizaci správy většiny úloh správy souborového serveru.

Hyper-V

Role Hyper-V vám umožňuje vytvářet a spravovat virtualizované výpočetní prostředí pomocí virtualizační technologie zabudované do systému Windows Server. Instalace role Hyper-V nainstaluje předpoklady a také volitelné nástroje pro správu. Mezi požadované komponenty patří hypervizor Služba Windows Management Service virtuální stroje Hyper-V, poskytovatel virtualizace WMI a komponenty virtualizace, jako je VMbus, poskytovatel virtualizačních služeb (VSP) a ovladač virtuální infrastruktury (VID).

Síťová politika a přístupové služby

Network Policy and Access Services poskytuje následující řešení pro síťová připojení:

• Network Access Protection je technologie pro vytváření, vynucování a opravy zásad zdraví klientů. Pomocí Network Access Protection mohou správci systému nastavit a automaticky vynutit zásady stavu, které zahrnují požadavky na software, aktualizace zabezpečení a další nastavení. Klientským počítačům, které nesplňují požadavky zásad stavu, lze omezit přístup k síti, dokud nebude jejich konfigurace aktualizována tak, aby splňovala požadavky zásad stavu.
• Pokud jste nasadili bezdrátové přístupové body s podporou 802.1X, můžete použít server NPS (Network Policy Server) k nasazení metod ověřování na základě certifikátu, které jsou bezpečnější než ověřování na základě hesla. Nasazení hardwaru s podporou 802.1X se serverem NPS umožňuje uživatelům intranetu ověření před připojením k síti nebo získáním IP adresy ze serveru DHCP.
• Namísto konfigurace zásad přístupu k síti na každém serveru pro přístup k síti můžete centrálně vytvořit všechny zásady, které definují všechny aspekty požadavků na připojení k síti (kdo se může připojit, když je připojení povoleno, úroveň zabezpečení, která musí být použita pro připojení k síť).

Tiskové a dokumentové služby

Služby tisku a dokumentů umožňují centralizovat úlohy tiskového serveru a síťové tiskárny. Tato role vám také umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat dokumenty do sdílených síťových složek, jako je web Windows SharePoint Services nebo e-mailem.

Vzdálený přístup

Role Remote Access Server je logickým seskupením následujících technologií přístup k síti.

• Přímý přístup
• Směrování a vzdálený přístup
• Proxy webové aplikace

Tyto technologie jsou služby rolí Role serveru pro vzdálený přístup. Při instalaci role Server pro vzdálený přístup můžete nainstalovat jednu nebo více služeb rolí spuštěním Průvodce přidáním rolí a funkcí.

V systému Windows Server poskytuje role Server vzdáleného přístupu možnost centrálně spravovat, konfigurovat a monitorovat služby vzdáleného přístupu DirectAccess a VPN se službou Routing and Remote Access Service (RRAS). DirectAccess a RRAS lze nasadit na stejný okrajový server a spravovat pomocí příkazů prostředí Windows PowerShell a konzoly pro správu vzdáleného přístupu (MMC).

Služby vzdálené plochy

Služba Remote Desktop Services urychluje a rozšiřuje nasazení desktopů a aplikací na libovolné zařízení, zvyšuje produktivitu vzdálených pracovníků a zároveň zajišťuje kritické duševní vlastnictví a zjednodušuje dodržování předpisů. Služby vzdálené plochy zahrnují infrastrukturu virtuálních desktopů (VDI), desktopy založené na relacích a aplikace, které uživatelům umožňují pracovat odkudkoli.

Služby aktivace objemu

Volume Activation Services je role serveru v systému Windows Server počínaje Windows Server 2012, která automatizuje a zjednodušuje vydávání multilicence pro software Microsoft, stejně jako správu takových licencí v různých scénářích a prostředích. Spolu se službami Volume Activation Services můžete nainstalovat a nakonfigurovat službu správy klíčů (KMS) a aktivaci služby Active Directory.

webový server (IIS)

Role webového serveru (IIS) v systému Windows Server poskytuje platformu pro hostování webových stránek, služeb a aplikací. Použití webového serveru zpřístupňuje informace uživatelům na internetu, intranetu a extranetu. Správci mohou používat roli webového serveru (IIS) ke konfiguraci a správě více webů, webových aplikací a serverů FTP. Mezi funkce usnadnění patří následující.

• Ke konfiguraci součástí IIS a správě webů použijte Správce Internetové informační služby.
• Používá FTP k tomu, aby majitelé webových stránek mohli odesílat a stahovat soubory.
• Pomocí izolace webových stránek zabráníte tomu, aby jeden web na serveru ovlivňoval ostatní.
• Přizpůsobení webových aplikací vyvinutých pomocí různých technologií jako Classic ASP, ASP.NET a PHP.
• Použijte Windows PowerShell k automatické správě většiny úloh správy webového serveru.
• Zkombinujte více webových serverů do serverové farmy, kterou lze spravovat pomocí IIS.

Windows Deployment Services

Služba Windows Deployment Services umožňuje nasadit operační systémy Windows přes síť, což znamená, že nemusíte instalovat každý operační systém přímo z disku CD nebo DVD.

Windows Server Essentials Experience

Tato role vám umožňuje řešit následující úkoly:

• chránit data serveru a klienta vytvořením zálohy server a všechny klientské počítače v síti;
• spravovat uživatele a skupiny uživatelů prostřednictvím zjednodušeného řídicího panelu serveru. Integrace s Windows Azure Active Directory navíc poskytuje uživatelům snadný přístup k online službám Microsoft Online Services (jako jsou Office 365, Exchange Online a SharePoint Online) pomocí jejich přihlašovacích údajů k doméně;
• ukládat firemní data na centralizovaném místě;
• integrovat server se službami Microsoft Online Services (jako jsou Office 365, Exchange Online, SharePoint Online a Windows Intune):
• Používejte funkce všudypřítomného přístupu na serveru (například vzdálený webový přístup a virtuální privátní sítě) pro přístup k serveru, počítačům v síti a datům ze vzdálených míst s vysokým stupněm zabezpečení;
• přistupovat k datům odkudkoli a z jakéhokoli zařízení pomocí vlastního webového portálu organizace (prostřednictvím vzdáleného webového přístupu);
• Správa mobilních zařízení, která přistupují k e-mailu vaší organizace pomocí Office 365 prostřednictvím protokolu Active Sync z řídicího panelu;
• Monitorujte stav sítě a přijímejte vlastní zprávy o stavu; zprávy mohou být generovány na vyžádání, přizpůsobeny a zaslány e-mailem konkrétním příjemcům.

Windows Server Update Services

Server WSUS poskytuje součásti, které správci potřebují ke správě a distribuci aktualizací prostřednictvím konzoly pro správu. Server WSUS může být navíc zdrojem aktualizací pro další servery WSUS v organizaci. Když implementujete službu WSUS, musí být alespoň jeden server WSUS ve vaší síti připojen k webu Microsoft Update, aby mohl přijímat informace o dostupných aktualizacích. V závislosti na zabezpečení a konfiguraci sítě může správce určit, kolik dalších serverů je přímo připojeno k webu Microsoft Update.

Funkčnost v operačním systému Windows Server je počítána a vylepšována od verze k verzi, rolí a komponent je stále více, takže v dnešním materiálu se pokusím stručně popsat popis a účel každé role v systému Windows Server 2016.

Než přejdeme k popisu rolí serveru Windows Server, pojďme zjistit, co " Role serveru» v operačním systému Windows Server.

Co je to „role serveru“ v systému Windows Server?

Role serveru je softwarový balík, který zajišťuje, že server vykonává určitou funkci, a tato funkce je hlavní. Jinými slovy, " Role serveru“ je účelem serveru, tzn. k čemu to je? Aby server mohl plnit svou hlavní funkci, tzn. určitou roli v " Role serveru» veškerý potřebný software je součástí dodávky ( programy, služby).

Server může mít jednu roli, pokud je aktivně používán, nebo několik, pokud každá z nich příliš nezatěžuje server a používá se zřídka.

Role serveru může zahrnovat více služeb rolí, které poskytují funkce role. Například v roli serveru " webový server (IIS)"je zahrnuto poměrně velké množství služeb a role" DNS server» služby rolí nejsou zahrnuty, protože tato role plní pouze jednu funkci.

Služby rolí lze nainstalovat společně nebo jednotlivě v závislosti na vašich potřebách. Instalace role v jádru znamená instalaci jedné nebo více jejích služeb.

Ve Windows Server jsou také " Komponenty» servery.

Komponenty serveru (Funkce)- Tento software, které nejsou rolí serveru, ale rozšiřují možnosti jedné nebo více rolí nebo spravují jednu nebo více rolí.

Některé role nelze nainstalovat, pokud na serveru nejsou nainstalovány požadované služby nebo součásti, které jsou vyžadovány pro fungování těchto rolí. Proto v době instalace takových rolí „ Průvodce přidáním rolí a funkcí", automaticky vás vyzve k instalaci nezbytných dalších služeb rolí nebo komponent.

Popis rolí serveru Windows Server 2016

Pravděpodobně již znáte mnoho rolí, které jsou ve Windows Server 2016, protože existují již poměrně dlouho, ale jak jsem již řekl, s každou novou Verze Windows Server, přidávají se nové role, se kterými jste možná ještě nepracovali, ale rádi byste věděli, k čemu slouží, tak se na ně pojďme podívat.

Poznámka! O nových funkcích operační systém Windows Server 2016 si můžete přečíst v materiálu „Instalace Windows Server 2016 a přehled nových funkcí“.

Protože velmi často probíhá instalace a správa rolí, služeb a komponent pomocí Windows PowerShell, u každé role a její služby uvedu název, který lze v PowerShellu použít k její instalaci nebo správě.

DHCP server

Tato role vám umožňuje centrálně konfigurovat dynamické IP adresy a související nastavení pro počítače a zařízení ve vaší síti. Role DHCP Server nemá služby rolí.

Název prostředí Windows PowerShell je DHCP.

DNS server

Tato role je určena pro překlad názvů v sítích TCP/IP. Role DNS Server poskytuje a udržuje DNS. Aby byla správa serveru DNS snazší, je obvykle nainstalován na stejném serveru jako služba Active Directory Domain Services. Role DNS Server nemá služby rolí.

Název role pro PowerShell je DNS.

Hyper-V

Pomocí role Hyper-V můžete vytvářet a spravovat virtualizované prostředí. Jinými slovy, je to nástroj pro vytváření a správu virtuálních strojů.

Název role pro Windows PowerShell je Hyper-V.

Certifikace výkonu zařízení

Role" » umožňuje vyhodnotit stav zařízení na základě naměřených bezpečnostních parametrů, jako je bezpečný stav spouštění a Bitlocker na klientovi.

Aby tato role fungovala, je potřeba poměrně hodně služeb a komponent rolí, například: několik služeb z role " webový server (IIS)", komponent " ", komponent " Funkce rozhraní .NET Framework 4.6».

Během instalace budou automaticky vybrány všechny požadované služby rolí a komponenty. Role " Certifikace výkonu zařízení» neexistují žádné vlastní služby.

Název pro PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spolehlivou, spravovatelnou a škálovatelnou infrastrukturu webových aplikací. Skládá se z poměrně velkého počtu služeb (43).

Název prostředí Windows PowerShell je Web-Server.

Zahrnuje následující služby rolí ( v závorkách uvedu název prostředí Windows PowerShell):

Webový server (Web-WebServer)– Skupina služeb rolí, která poskytuje podporu pro webové stránky HTML, rozšíření ASP.NET, ASP a webový server. Skládá se z následujících služeb:

• Zabezpečení (Web Security)— soubor služeb pro zajištění bezpečnosti webového serveru.
  • Filtrování požadavků (Web-Filtering) - pomocí těchto nástrojů můžete zpracovávat všechny požadavky přicházející na server a filtrovat tyto požadavky na základě speciálních pravidel nastavených správcem webového serveru;
  • Omezení IP adresy a domény (Web-IP-Security) – tyto nástroje umožňují povolit nebo zakázat přístup k obsahu na webovém serveru na základě IP adresy nebo názvu domény zdroje v požadavku;
  • URL Authorization (Web-Url-Auth) – Nástroje vám umožňují vyvinout pravidla pro omezení přístupu k webovému obsahu a přidružit je k uživatelům, skupinám nebo příkazům HTTP hlaviček;
  • Digest Authentication (Web-Digest-Auth) – Tato autentizace poskytuje vyšší úroveň zabezpečení než základní autentizace. Ověření digestu funguje tak, že předá hash hesla řadiči domény Windows k ověření uživatelů;
  • Basic Authentication (Web-Basic-Auth) – Tato metoda ověřování poskytuje silnou kompatibilitu webového prohlížeče. Doporučeno pro použití v malých vnitřních sítích. Hlavní nevýhodou této metody je, že hesla přenášená po síti lze poměrně snadno zachytit a dešifrovat, proto tuto metodu používejte v kombinaci s SSL;
  • Windows Authentication (Web-Windows-Auth) – je autentizace založená na ověřování v doména Windows. Jinými slovy, můžete použít Účty Active Directory pro ověřování uživatelů vašich webových stránek;
  • Autentizace s párováním klientského certifikátu (Web-Client-Auth) – Tato autentizační metoda zahrnuje použití klientského certifikátu. Tento typ používá Active Directory k poskytování mapování certifikátů;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Tato metoda také používá klientské certifikáty pro ověřování, ale pro mapování certifikátů používá IIS. Tento typ poskytuje vyšší výkon;
  • Centralizovaná podpora SSL certifikátů (Web-CertProvider) – tyto nástroje umožňují centrálně spravovat certifikáty SSL serveru, což značně zjednodušuje proces správy těchto certifikátů;
• Zdraví a diagnostika (Web-Health)– sada služeb pro zajištění kontroly, správy a odstraňování problémů webových serverů, stránek a aplikací:
  • Protokolování http (Web-Http-Logging) - Nástroje poskytují protokolování aktivity na webu tento server, tj. záznam protokolu;
  • Protokolování ODBC (Web-ODBC-Logging) – Tyto nástroje také poskytují protokolování aktivity webu, ale podporují protokolování této aktivity do databáze vyhovující ODBC;
  • Monitor požadavků (Web-Request-Monitor) je nástroj, který umožňuje sledovat stav webové aplikace zachycováním informací o požadavcích HTTP v pracovním procesu služby IIS;
  • Web-Custom-Logging – Tyto nástroje umožňují konfigurovat aktivitu webového serveru tak, aby byla protokolována ve formátu, který se výrazně liší od standardního formátu IIS. Jinými slovy, můžete si vytvořit svůj vlastní logovací modul;
  • Nástroje pro protokolování (Web-Log-Libraries) jsou nástroje pro správu protokolů webového serveru a automatizaci úloh protokolování;
  • Tracing (Web-Http-Tracing) je nástroj pro diagnostiku a odstraňování problémů při provozu webových aplikací.
• Společné http funkce (Web-Common-Http)– sada služeb, které poskytují základní funkčnost HTTP:
  • Výchozí dokument (Web-Default-Doc) – Tato funkce umožňuje nakonfigurovat webový server tak, aby vracel výchozí dokument, když uživatelé neurčí konkrétní dokument v adrese URL požadavku, což uživatelům usnadňuje přístup k webu, například doména, bez určení souboru;
  • Procházení adresářů (Web-Dir-Browsing) – Tento nástroj lze použít ke konfiguraci webového serveru tak, aby uživatelé mohli zobrazit seznam všech adresářů a souborů na webu. Například pro případy, kdy uživatelé neurčí soubor v URL požadavku a dokumenty jsou buď zakázány, nebo nejsou ve výchozím nastavení nakonfigurovány;
  • Chyby http (Web-Http-Errors) – tato funkce umožňuje konfigurovat chybové zprávy, které se vrátí do webových prohlížečů uživatelů, když webový server detekuje chybu. Tato funkce se používá k lepší prezentaci chybových zpráv uživatelům;
  • Statický obsah (Web-Static-Content) – tento lék umožňuje použití obsahu ve formě statických formátů souborů na webovém serveru, např. HTML soubory nebo obrazové soubory;
  • přesměrování http (Web-Http-Redirect) – pomocí této funkce můžete přesměrovat požadavek uživatele na konkrétní cíl, tzn. toto je přesměrování;
  • WebDAV Publishing (Web-DAV-Publishing) – umožňuje používat technologii WebDAV na webovém serveru IIS. WebDAV ( Webové distribuované vytváření a verzování) je technologie, která uživatelům umožňuje spolupracovat ( číst, upravovat, číst vlastnosti, kopírovat, přesouvat) nad soubory na vzdálený web servery využívající protokol HTTP.
• Výkon (Web-Performance)– sada služeb pro dosažení vyššího výkonu webového serveru prostřednictvím mezipaměti výstupu a běžných kompresních mechanismů, jako jsou Gzip a Deflate:
  • Web-Stat-Compression je nástroj pro přizpůsobení komprese statického http obsahu, umožňuje efektivnější využití šířky pásma bez zbytečné zátěže CPU;
  • Dynamická komprese obsahu (Web-Dyn-Compression) je nástroj pro konfiguraci komprese dynamického obsahu HTTP. Tato funkce poskytuje efektivnější využití šířky pásma, ale zatížení procesoru na serveru spojené s dynamickou kompresí může způsobit zpomalení webu, pokud je zatížení procesoru bez komprese vysoké.
• Vývoj aplikací (Web-App-Dev)– soubor služeb a nástrojů pro vývoj a hostování webových aplikací, jinými slovy technologie pro vývoj webových stránek:
  • ASP (Web-ASP) je prostředí pro podporu a vývoj webových stránek a webových aplikací využívajících technologii ASP. V současné době existuje novější a pokročilejší technologie pro vývoj webových stránek - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající technologii ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je také objektově orientované prostředí pro vývoj webových stránek a webových aplikací pomocí nová verze ASP.NET;
  • CGI (Web-CGI) je schopnost používat CGI k přenosu informací z webového serveru do externího programu. CGI je určitý standard rozhraní pro propojení externího programu s webovým serverem. Nevýhodou je, že používání CGI ovlivňuje výkon;
  • Server-side inclusions (SSI) (Web-Includes) jsou podporou pro skriptovací jazyk SSI ( aktivátory na straně serveru), který se používá k dynamickému generování HTML stránek;
  • Inicializace aplikace (Web-AppInit) – tento nástroj provádí úlohu inicializace webových aplikací před předáním webové stránky;
  • Protokol WebSocket (Web-WebSockets) – přidává možnost vytvářet serverové aplikace, které komunikují pomocí protokolu WebSocket. WebSocket je protokol, který dokáže odesílat a přijímat data současně mezi prohlížečem a webovým serverem přes TCP spojení, jakési rozšíření protokolu HTTP;
  • ISAPI Extensions (Web-ISAPI-Ext) – podpora dynamického rozvoje webového obsahu pomocí aplikačního programovacího rozhraní ISAPI. ISAPI je rozhraní API pro webový server IIS. Aplikace ISAPI jsou mnohem rychlejší než soubory ASP nebo soubory, které volají součásti COM+;
  • Rozšiřitelnost .NET 3.5 (Web-Net-Ext) je funkce rozšiřitelnosti .NET 3.5, která vám umožňuje měnit, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Rozšiřitelnost .NET 4.6 (Web-Net-Ext45) je funkce rozšiřitelnosti .NET 4.6, která také umožňuje měnit, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Filtry ISAPI (Web-ISAPI-Filter) – přidání podpory pro filtry ISAPI. Filtry ISAPI jsou programy, které jsou volány, když webový server obdrží konkrétní požadavek HTTP, který musí být filtrem zpracován.

FTP - server (Web-Ftp-Server)– služby, které poskytují podporu protokolu FTP. O FTP serveru jsme mluvili podrobněji v materiálu – „Instalace a konfigurace FTP serveru na Windows Server 2016“. Obsahuje následující služby:

• Služba FTP (Web-Ftp-Service) – přidává podporu protokolu FTP na webovém serveru;
• Rozšiřitelnost FTP (Web-Ftp-Ext) – Rozšiřuje standardní možnosti FTP, jako je přidání podpory pro funkce, jako jsou vlastní poskytovatelé, uživatelé ASP.NET nebo uživatelé IIS Manager.

Nástroje pro správu (Web-Mgmt-Tools)- Jedná se o nástroje pro správu webového serveru IIS 10. Patří sem: uživatelské rozhraní IIS, nástroje příkazového řádku a skripty.

• IIS Management Console (Web-Mgmt-Console) je uživatelské rozhraní pro správu IIS;
• Znakové sady a nástroje IIS (Web-Scripting-Tools) jsou nástroje a skripty pro správu IIS pomocí příkazového řádku nebo skriptů. Lze je použít například k automatizaci řízení;
• Služba správy (Web-Mgmt-Service) – tato služba přidává možnost vzdálené správy webového serveru z jiného počítače pomocí správce IIS;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – zajišťuje kompatibilitu mezi aplikacemi a skripty, které používají dvě rozhraní API služby IIS. Stávající skripty IIS 6 lze použít k ovládání webového serveru IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) je nástroj pro zajištění kompatibility, který umožňuje spouštět aplikace a znakové sady přenesené z dřívějších verzí IIS;
  • Skriptovací nástroje IIS 6 (Web-Lgcy-Scripting) – Tyto nástroje umožňují používat stejné skriptovací služby IIS 6, které byly vytvořeny pro správu IIS 6 ve službě IIS 10;
  • Konzola pro správu služeb IIS 6 (Web-Lgcy-Mgmt-Console) – nástroj pro správu vzdálených serverů IIS 6.0;
  • Kompatibilní s IIS 6 WMI (Web-WMI) - Toolkit Script Interfaces Správa Windows(WMI) k programovému řízení a automatizaci úloh webového serveru IIS 10.0 pomocí sady skriptů vytvořených u poskytovatele WMI.

Active Directory Domain Services

Role" Active Directory Domain Services» (AD DS) poskytuje distribuovanou databázi, která ukládá a zpracovává informace o síťových zdrojích. Tato role se používá k uspořádání síťových prvků, jako jsou uživatelé, počítače a další zařízení, do hierarchické zabezpečené struktury shellu. Hierarchická struktura zahrnuje doménové struktury, domény v rámci doménové struktury a organizační jednotky (OU) v rámci každé domény. Server se službou AD DS se nazývá řadič domény.

Název role pro Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Tato role představuje počítačovou infrastrukturu a poskytuje pohodlné a efektivní funkce, například: ukládání klientských dat na centralizovaném místě a ochranu těchto dat Rezervovat kopii serverové a klientské počítače, vzdálený webový přístup, umožňující přístup k datům téměř z jakéhokoli zařízení. Tato role vyžaduje několik služeb rolí a komponent, jako jsou: komponenty BranchCache, Windows Server Backup, správa skupinová politika, služba rolí " Jmenné prostory DFS».

Název pro PowerShell je ServerEssentialsRole.

Síťový ovladač

Tato role byla představena v systému Windows Server 2016 a poskytuje jediný bod automatizace pro správu, monitorování a diagnostiku fyzické a virtuální síťové infrastruktury v datovém centru. Pomocí této role můžete konfigurovat IP podsítě, VLAN, fyzické síťové adaptéry Hyper-V hostuje, spravuje virtuální přepínače, fyzické směrovače, nastavení firewallu a brány VPN.

Název prostředí Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je role serveru Hosted Guardian Service (HGS) a poskytuje služby atestace a ochrany klíčů, které umožňují chráněným hostitelům provozovat stíněné virtuální stroje. Aby tato role fungovala, je zapotřebí několik dalších rolí a komponent, například: Active Directory Domain Services, Web Server (IIS), komponenta " Clusterování při selhání" a další.

Název pro PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Role" Active Directory Lightweight Directory Services“ (AD LDS) – je odlehčená verze služby AD DS, která má méně funkcí, ale nevyžaduje nasazení domén nebo doménových řadičů a nemá závislosti a omezení domény, které služby AD DS vyžadují. Služba AD LDS funguje přes protokol LDAP ( Lightweight Directory Access Protocol). Na jednom serveru můžete nasadit více instancí služby AD LDS s nezávisle spravovanými schématy.

Název pro PowerShell je ADLDS.

Služby MultiPoint

Toto je také nová role, která byla představena v systému Windows Server 2016. Služby MultiPoint Services (MPS) poskytují základní funkce vzdálené plochy, která umožňuje více uživatelům pracovat současně a nezávisle na stejném počítači. Chcete-li nainstalovat a provozovat tuto roli, musíte nainstalovat několik dalších služeb a součástí, například: tiskový server, službu Windows Search, prohlížeč XPS a další, z nichž všechny budou vybrány automaticky při instalaci MPS.

Název role pro PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolí (WSUS) mohou správci systému spravovat Aktualizace společnosti Microsoft. Můžete například vytvořit samostatné skupiny počítačů pro různé sady aktualizací a také přijímat zprávy o souladu počítače a aktualizacích, které je třeba nainstalovat. Fungovat" Windows Server Update Services» potřebujeme takové služby rolí a komponenty jako: Webový server (IIS), interní databáze Windows, aktivační služba procesy Windows.

Název prostředí Windows PowerShell je UpdateServices.

• Připojení WID (UpdateServices-WidDB) – nastavte na WID ( Interní databáze Windows) databáze používaná službou WSUS. Jinými slovy, WSUS bude ukládat svá servisní data do WID;
• Služby WSUS (UpdateServices-Services) jsou služby role WSUS, jako je aktualizační služba, webová služba pro vytváření sestav, webová služba API Remoting, webová služba klienta, webová služba Simple Internet Authentication, služba synchronizace serveru a služba DSS Web Authentication Service;
• SQL Server Connectivity (UpdateServices-DB) je instalace součásti, která umožňuje službě WSUS připojit se k databázi Microsoft SQL Server. Tato možnost zahrnuje ukládání dat služeb do databáze Microsoft SQL Server. V tomto případě již musíte mít nainstalovanou alespoň jednu instanci SQL Server.

Služby aktivace objemu

Tato role serveru automatizuje a zjednodušuje vydávání multilicence pro software společnosti Microsoft a umožňuje vám tyto licence spravovat.

Název pro PowerShell je VolumeActivation.

Tiskové a dokumentové služby

Tato role serveru je navržena pro sdílení tiskáren a skenerů v síti, centrální konfiguraci a správu tiskových a skenovacích serverů a správu síťové tiskárny a skenery. Služby tisku a dokumentů také umožňují odesílat naskenované dokumenty prostřednictvím e-mailu, síťových sdílených položek nebo webů služby Windows SharePoint Services.

Název pro PowerShell je Print-Services.

• Tiskový server – Tato služba role zahrnuje „ Správa tisku", který se používá ke správě tiskáren nebo tiskových serverů a také k migraci tiskáren a dalších tiskových serverů;
• Tisk přes internet (Print-Internet) – pro implementaci tisku přes internet je vytvořena webová stránka, pomocí které mohou uživatelé spravovat tiskové úlohy na serveru. Aby tato služba fungovala, jak víte, musíte nainstalovat „ webový server (IIS)" Všechny požadované součásti budou vybrány automaticky, když zaškrtnete toto políčko během procesu instalace pro službu role " Online tisk»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, která umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat je na místo určení. Tato služba také obsahuje „ Ovládání skenování", který se používá ke správě síťových skenerů a ke konfiguraci skenování;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon řádkové tiskárny) umožňuje počítačům se systémem UNIX a dalším počítačům, které používají službu Line Printer Remote (LPR), tisknout na sdílené serverové tiskárny.

Síťová politika a přístupové služby

Role" » (NPAS) umožňuje používat server NPS (Network Policy Server) k nastavení a vynucování zásad pro síťový přístup, ověřování a autorizaci a zdraví klienta, jinými slovy, k zajištění bezpečnosti sítě.

Název prostředí Windows PowerShell je NPAS.

Windows Deployment Services

Pomocí této role můžete instalovat operační systém Windows vzdáleně přes síť.

Název role pro PowerShell je WDS.

• Deployment Server (WDS-Deployment) – tato služba role je určena pro vzdálené nasazení a konfiguraci operačních systémů Windows. Umožňuje také vytvářet a upravovat obrázky pro opětovné použití;
• Transport Server (WDS-Transport) – tato služba obsahuje hlavní síťové komponenty, pomocí kterých můžete přenášet data multicastem na samostatném serveru.

Certifikační služba Active Directory

Tato role je navržena k vytváření certifikačních autorit a přidružených služeb rolí, které vám umožňují vydávat certifikáty různé aplikace a spravovat takové certifikáty.

Název pro Windows PowerShell je AD-Certificate.

Zahrnuje následující služby rolí:

• Certifikační autorita (ADCS-Cert-Authority) – pomocí této služby role můžete vydávat certifikáty uživatelům, počítačům a službám a také spravovat platnost certifikátu;
• Webová služba Zásady zápisu certifikátu (ADCS-Enroll-Web-Pol) – Tato služba umožňuje uživatelům a počítačům získat informace o zásadách zápisu certifikátů pomocí webového prohlížeče, i když počítač není součástí domény. Pro jeho fungování je nutné " webový server (IIS)»;
• Certifikát Enrollment Web Service (ADCS-Enroll-Web-Svc) – Tato služba umožňuje uživatelům a počítačům registrovat a obnovovat certifikáty pomocí webového prohlížeče přes HTTPS, i když počítač není členem domény. Pro jeho fungování je také nutné „ webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) – Služba určená ke kontrole zrušení certifikátu pro klienty. Jinými slovy, přijme žádost o stav odvolání pro konkrétní certifikáty, vyhodnotí stav těchto certifikátů a odešle zpět podepsanou odpověď s informacemi o stavu. Aby služba fungovala, potřebujete " webový server (IIS)»;
• Internetová služba zápisu certifikační autority (ADCS-Web-Enrollment) – Tato služba poskytuje uživatelům webové rozhraní k provádění úkolů, jako je vyžadování a obnova certifikátů, získávání seznamů zneplatněných certifikátů a registrace certifikátů čipových karet. Aby služba fungovala, potřebujete " webový server (IIS)»;
• Služba Network Device Enrollment (ADCS-Device-Enrollment) – Pomocí této služby můžete vydávat a spravovat certifikáty pro směrovače a další síťová zařízení, která nemají síťové účty. Aby služba fungovala, potřebujete " webový server (IIS)».

Služby vzdálené plochy

Role serveru, kterou lze použít k poskytování přístupu k virtuálním desktopům, desktopům založeným na relacích a vzdálené aplikace RemoteApp.

Název role pro Windows PowerShell je Remote-Desktop-Services.

Skládá se z následujících služeb:

• Webový přístup ke vzdálené ploše (RDS-Web-Access) – Tato služba role umožňuje uživatelům přistupovat ke vzdáleným plochám a aplikacím RemoteApp prostřednictvím „ Start» nebo pomocí webového prohlížeče;
• Licencování vzdálené plochy (RDS-Licensing) je služba určená ke správě licencí, které jsou nutné pro připojení k serveru Hostitel relací vzdálené plochy nebo virtuální ploše. Lze jej použít k instalaci, vydávání licencí a sledování jejich dostupnosti. Tato služba vyžaduje " webový server (IIS)»;
• Zprostředkovatel připojení ke vzdálené ploše (RDS-Connection-Broker) je služba role, která poskytuje následující možnosti: opětovné připojení uživatele ke stávající virtuální ploše, aplikaci RemoteApp a ploše založené na relaci a vyrovnávání zátěže mezi servery vzdálené relace nebo mezi virtuální desktopy ve fondu. Tato služba vyžaduje „ »;
• Hostitel virtualizace vzdálené plochy (DS-Virtualization) – Služba, která uživatelům umožňuje připojit se k virtuálním plochám pomocí RemoteApp and Desktop Connection. Tato služba funguje ve spojení s Hyper-V, tzn. tato role musí být stanovena;
• Hostitel relací vzdálené plochy (RDS-RD-Server) – Tato služba umožňuje hostovat aplikace RemoteApp a plochy založené na relacích na serveru. Pro přístup použijte klienta Připojení ke vzdálené ploše nebo RemoteApp;
• Brána vzdálené plochy (RDS-Gateway) – Služba umožňuje autorizovaným vzdáleným uživatelům připojit se k virtuálním plochám, aplikacím RemoteApp a plochám založeným na relacích v podnikové síti nebo přes Internet. Aby tato služba fungovala, jsou vyžadovány následující doplňkové služby a komponenty: " webový server (IIS)», « Síťová politika a přístupové služby», « RPC přes HTTP proxy».

Active Directory Rights Management Services

Toto je role serveru, která vám umožní chránit informace před neoprávněným použitím. Ověřuje totožnost uživatelů a uděluje oprávněným uživatelům licence pro přístup k chráněným datům. Aby tato role fungovala, jsou vyžadovány další služby a komponenty: " webový server (IIS)», « Služba aktivace procesů systému Windows», « Funkce rozhraní .NET Framework 4.6».

Název prostředí Windows PowerShell je ADRMS.

• Služba Active Directory Rights Management Server (ADRMS-Server) je službou hlavní role a je vyžadována pro instalaci;
• Podpora federace identit (ADRMS-Identity) je volitelná služba rolí, která umožňuje federovaným identitám využívat chráněný obsah pomocí služby Active Directory Federation Services.

Active Directory Federation Services

Tato role poskytuje zjednodušené a bezpečné možnosti federace identit a také jednotné přihlašování (SSO) na webové stránky pomocí prohlížeče.

Název pro PowerShell je ADFS-Federation.

Vzdálený přístup

Tato role poskytuje konektivitu prostřednictvím DirectAccess, VPN a proxy webové aplikace. Také role " Vzdálený přístup» poskytuje tradiční možnosti směrování, včetně překladu síťových adres (NAT) a dalších možností připojení. Tato role vyžaduje další služby a komponenty: " webový server (IIS)», « Interní databáze Windows».

Název role pro Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje uživatelům kdykoli se připojit k podnikové síti, pokud mají přístup k internetu přes DirectAccess, a také organizovat VPN připojení v kombinaci s technologiemi tunelování a šifrování dat;
• Směrování - služba poskytuje podporu pro NAT routery, routery lokální síť s BGP, RIP a routery s podporou multicast (IGMP proxy);
• Web Application Proxy Server (Web-Application-Proxy) - služba umožňuje publikovat aplikace založené na protokolech HTTP a HTTPS z podnikové sítě na klientská zařízení, která jsou umístěna mimo podnikovou síť.

Souborové a úložné služby

Toto je role serveru, kterou lze použít k poskytování obecný přístup přistupovat k souborům a složkám, spravovat a řídit sdílené složky, replikovat soubory, poskytovat rychlé vyhledávání souborů a poskytovat přístup ke klientským počítačům UNIX. Na souborové služby a zejména souborový server jsme se podrobněji podívali v materiálu „Instalace souborového serveru na Windows Server 2016“.

Název prostředí Windows PowerShell je FileAndStorage-Services.

Skladovací služby– Tato služba poskytuje funkci správy úložiště, která je vždy nainstalována a nelze ji odebrat.

Souborové služby a služby iSCSI (souborové služby)– jedná se o technologie, které zjednodušují správu souborových serverů a úložiště, šetří místo na disku, zajišťují replikaci a cachování souborů v pobočkách a také umožňují sdílení souborů pomocí protokolu NFS. Zahrnuje následující služby rolí:

• Souborový server (FS-FileServer) je služba role, která spravuje sdílené složky a poskytuje uživatelům přístup k souborům na tomto počítači přes síť;
• Deduplikace dat (FS-Data-Deduplication) – tato služba šetří místo na disku tím, že na svazek ukládá pouze jednu kopii identických dat;
• Správce prostředků souborového serveru (FS-Resource-Manager) – Pomocí této služby můžete spravovat soubory a složky na souborovém serveru, vytvářet sestavy úložiště, kategorizovat soubory a složky, konfigurovat kvóty složek a definovat zásady blokování souborů;
• Poskytovatel úložiště iSCSI Target (poskytovatelé hardwaru VDS a VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje aplikacím na serveru připojeném k cíli iSCSI využívat svazky stínových kopií na virtuálních discích iSCSI;
• Jmenné prostory DFS (FS-DFS-Namespace) - pomocí této služby můžete seskupit sdílené složky umístěné na různých serverech do jednoho nebo více logicky strukturovaných jmenných prostorů;
• Pracovní složky (FS-SyncShareService) – služba umožňuje používat pracovní soubory na různé počítače včetně pracovních a osobních. Soubory můžete ukládat do pracovních složek, synchronizovat je a přistupovat k nim z místní sítě nebo internetu. Aby služba fungovala, komponenta " IIS In-Process Web Engine»;
• Replikace distribuovaného systému souborů (FS-DFS-Replication) je modul replikace dat mezi více servery, který umožňuje synchronizovat složky přes místní nebo globální síťové připojení. Tato technologie používá protokol Remote Differential Compression (RDC) k aktualizaci pouze těch částí souborů, které se od poslední replikace změnily. Replikaci DFS lze použít ve spojení s obory názvů DFS nebo samostatně;
• Server pro NFS (FS-NFS-Service) – služba, která umožňuje tomuto počítači sdílet soubory s počítači se systémem UNIX a dalšími počítači, které používají síťový protokol souborový systém(NFS);
• iSCSI Target Server (FS-iSCSITarget-Server) – Poskytuje služby a nástroje pro správu cílů iSCSI;
• Služba BranchCache pro síťové soubory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto souborovém serveru;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba umožňuje stínové kopírování svazku pro aplikace, které ukládají datové soubory na tento souborový server.

Faxový server

Role odesílá a přijímá faxy a umožňuje vám spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení, v tomto počítači nebo síti. K práci potřebuješ" Tiskový server».

Název role pro Windows PowerShell je Fax.

Tímto končí přehled rolí serveru Windows Server 2016, doufám, že vám byl materiál užitečný, nashledanou!

Před vývojem soketového serveru musíte vytvořit server politik, který sdělí Silverlightu, kteří klienti se mohou k soketovému serveru připojit.

Jak je uvedeno výše, Silverlight neumožňuje načítání obsahu nebo volání webové služby, pokud doména nemá soubor clientaccesspolicy .xml nebo crossdomain file. xml, který tyto operace výslovně umožňuje. Podobné omezení je uvaleno na soketový server. Pokud neposkytnete klientskému zařízení možnost načíst soubor .xml clientaccesspolicy, který umožňuje vzdálený přístup, Silverlight odmítne navázat spojení.

Bohužel poskytování zásad klientského přístupu. cml do aplikace soketu je obtížnější úkol než poskytování prostřednictvím webové stránky. Při používání webové stránky může software webového serveru poskytovat soubor .xml clientaccesspolicy, jen si jej musíte zapamatovat. Při použití aplikace soketu však musíte otevřít soket, do kterého mohou klientské aplikace zadávat požadavky na zásady. Kromě toho musíte ručně vytvořit kód, který obsluhuje soket. Chcete-li tyto problémy vyřešit, musíte vytvořit server politik.

Jak uvidíme dále, server politik funguje stejným způsobem jako server zpráv, pouze zpracovává o něco jednodušší interakce. Servery zpráv a politik lze vytvářet samostatně nebo je kombinovat v jedné aplikaci. Ve druhém případě musí naslouchat požadavkům v různých vláknech. V tomto příkladu vytvoříme server politik a poté jej zkombinujeme se serverem zpráv.

Chcete-li vytvořit server zásad, musíte nejprve vytvořit aplikaci .NET. Jakýkoli typ aplikace .NET může sloužit jako server politik. Nejjednodušší způsob je použít konzolovou aplikaci. Po odladění konzolové aplikace můžete přesunout kód do služby Windows, aby běžela nepřetržitě na pozadí.

Soubor zásad

Níže je soubor zásad poskytovaný serverem zásad.

Soubor zásad definuje tři pravidla.

Umožňuje přístup ke všem portům od 4502 do 4532 (toto je celá řada portů podporovaných doplňkem Silverlight). Chcete-li změnit rozsah dostupných portů, musíte změnit hodnotu atributu port prvku.

Umožňuje TCP přístup (oprávnění je definováno v atributu protokolu prvku).

Umožňuje volání z libovolné domény. Proto může být aplikace Silverlight, která vytváří připojení, hostována na libovolné webové stránce. Chcete-li toto pravidlo změnit, musíte upravit atribut uri prvku.

Pro usnadnění úkolu jsou pravidla zásad umístěna v souboru clientaccess-ploi.cy.xml, který je přidán do projektu. V Vizuální studio Nastavení Kopírovat do výstupního adresáře souboru zásad by mělo být nastaveno na Kopírovat vždy. Jediné, co musíte udělat, je najít soubor na vašem pevném disku, otevřít jej a vrátit obsah do klientského zařízení.

Třída PolicyServer

Funkčnost serveru Policy Server je založena na dvou klíčových třídách: PolicyServer a PolicyConnection. Třída PolicyServer zpracovává čekání na připojení. Jakmile obdrží připojení, předá řízení nové instanci třídy PoicyConnection, která předá soubor zásad klientovi. Tento dvoudílný postup je běžný v síťovém programování. Při práci se servery zpráv to uvidíte více než jednou.

Třída PolicyServer načte soubor zásad z pevný disk a uloží jej do pole jako bajtové pole.

veřejná třída PolicyServer

politika soukromých bajtů;

public PolicyServer(string policyFile) (

Chcete-li začít naslouchat, musí serverová aplikace zavolat PolicyServer. Start(). Vytvoří objekt TcpListener, který naslouchá požadavkům. Objekt TcpListener je nakonfigurován tak, aby naslouchal na portu 943. V Silverlight je tento port vyhrazen pro servery politik. Když jsou vzneseny požadavky na soubory zásad, Silverlight je automaticky předá na port 943.

soukromý posluchač TcpListener;

public void Start()

// Vytvoří objekt naslouchání

posluchač = new TcpListener(IPAddress.Any, 943);

// Začněte poslouchat; metoda Start() se vrátí ihned po zavolání listener.Start();

// Čekání na připojení; metoda se okamžitě vrátí;

II čekání se provádí v samostatném vlákně

Aby přijal nabízené připojení, server politik zavolá metodu BeginAcceptTcpClient(). Stejně jako všechny metody Beginxxx() frameworku .NET se vrací ihned po zavolání a provádí potřebné operace v samostatném vláknu. Pro síťové aplikace To je velmi významný faktor, protože umožňuje souběžné zpracování mnoha požadavků na soubory zásad.

Poznámka. Začínající síťoví programátoři se často diví, jak je možné zpracovat více než jeden požadavek najednou, a myslí si, že to vyžaduje více serverů. Nicméně není. S tímto přístupem by klientské aplikace rychle vyčerpaly dostupné porty. V praxi serverové aplikace zpracovávají mnoho požadavků prostřednictvím jediného portu. Tento proces je pro aplikace neviditelný, protože vestavěný podsystém TCP ve Windows automaticky identifikuje zprávy a směruje je do příslušných objektů v kódu aplikace. Každé připojení je jednoznačně identifikováno na základě čtyř parametrů: adresa IP klienta, číslo portu klienta, adresa IP serveru a číslo portu serveru.

Při každém požadavku je aktivována metoda zpětného volání OnAcceptTcpClient(). Znovu zavolá metodu BeginAcceptTcpClient O's, aby se začalo čekat na další požadavek v jiném vláknu, a poté začne zpracovávat aktuální požadavek.

public void OnAcceptTcpClient(IAsyncResult ag) (

if (isStopped) return;

Console.WriteLine("Požadavek zásad přijat."); // Čekání na další připojení.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Zpracování aktuálního připojení.

Klient TcpClient = posluchač.EndAcceptTcpClient(ag); PolicyConnection policyConnection = nové PolicyConnection(klient, politika); policyConnection.HandleRequest() ;

chytit (chyba výjimky) (

Pokaždé, když je přijato nové připojení, je vytvořen nový objekt PolicyConnection, který jej zpracovává. Kromě toho objekt PolicyConnection udržuje soubor zásad.

Poslední komponentou třídy PolicyServer je metoda Stop(), která zastavuje čekání na požadavky. Aplikace jej zavolá, když se ukončí.

private bool isStopped;

public void StopO (

isStopped = true;

posluchač. Stop();

chytit (chyba výjimky) (

Console.WriteLine(err.Message);

Ke spuštění serveru politik se v metodě Main() aplikačního serveru použije následující kód.

static void Main(string args) (

PolicyServer policyServer = nový PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Server politik běží."); Console.WriteLine("Stiskněte Enter pro ukončení.");

// Čekání na stisk klávesy; pomocí metody // Console.ReadKey() můžete nastavit očekávání pro konkrétní // řádek (například quit) nebo stisknutím libovolné klávesy Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Ukončit server zásad.");

Třída PolicyConnection

Třída PolicyConnection dělá jednodušší práci. Objekt PolicyConnection ukládá odkaz na data souboru zásad. Poté po zavolání metody HandleRequest() objekt PolicyConnection načte nové připojení ze síťového proudu a pokusí se jej přečíst. Klientské zařízení musí předat řetězec obsahující text. Po přečtení tohoto textu klientské zařízení zapíše data zásad do streamu a uzavře spojení. Níže je uveden kód pro třídu PolicyConnection.

veřejná třída PolicyConnection(

soukromý klient TcpClient; politika soukromých bajtů;

public PolicyConnection(klient TcpClient, bajtová politika) (

this.client = klient; this.policy = politika;

// Vytvoření soukromého statického řetězce požadavku klienta policyRequestString = "

public void HandleRequest() (

Stream s = client.GetStream(); // Přečtěte si řetězec dotazu na zásady

byte buffer = nový byte;

// Počkejte pouze 5 sekund client.ReceiveTimeout = 5000;’

s.Read(buffer, 0, buffer.Length);

// Předání zásady (můžete také zkontrolovat, zda má požadavek // zásady požadovaný obsah) s.Write(policy, 0, policy.Length);

//Uzavření připojení client.Close();

Console.WriteLine("Soubor zásad poskytován.");

Máme tedy plně funkční server zásad. Bohužel jej zatím nelze otestovat, protože doplněk Silverlight neumožňuje explicitně požadovat soubory zásad. Místo toho je automaticky požaduje, když se pokusíte použít aplikaci soketu. Než budete moci vytvořit klientskou aplikaci pro danou aplikaci soketu, musíte vytvořit server.

V předchozích článcích této série jste se naučili, jak efektivně využívat funkcionalitu místních bezpečnostních zásad, které vám umožňují maximálně chránit infrastrukturu vaší organizace před útoky zvenčí, stejně jako před většinou akcí nekompetentních zaměstnanců. Již víte, jak efektivně nastavit zásady účtů, které vám umožní spravovat složitost hesel vašich uživatelů, nastavit zásady auditu pro následnou analýzu autentizace vašich uživatelů v protokolu zabezpečení. Kromě toho jste se naučili, jak přiřadit práva svým uživatelům, aby nedošlo k poškození vašeho systému a dokonce i počítačů ve vašem intranetu, a také víte, jak efektivně konfigurovat protokoly událostí, skupiny s omezený přístup, systémové služby, registr a souborový systém. V tomto článku budeme pokračovat v prozkoumávání místních zásad zabezpečení a dozvíte se o nastavení zabezpečení kabelového připojení pro vaši firmu.

Serverové operační systémy Microsoft, počínaje Windows Server 2008, zavedly komponentu zásad kabelové sítě (IEEE 802.3), která poskytuje automatickou konfiguraci pro nasazení služeb drátového přístupu ověřeného IEEE 802.1X do klientů sítě Ethernet 802.3. K implementaci nastavení zabezpečení pro kabelové sítě pomocí zásad skupiny používají operační systémy službu Wired AutoConfig (DOT3SVC). Aktuální služba je zodpovědná za ověřování IEEE 802.1X při připojení k Ethernetové sítě pomocí přepínačů kompatibilních s 802.1X a také spravuje profil používaný ke konfiguraci síťového klienta pro ověřený přístup. Za zmínku také stojí, že pokud používáte tyto zásady, je vhodné zakázat uživatelům vaší domény měnit režim spouštění této služby.

Konfigurace zásad kabelové sítě

Nastavení zásad kabelové sítě můžete nastavit přímo z modulu snap-in. Chcete-li nakonfigurovat tato nastavení, postupujte takto:

1. Otevřete modul snap-in a vyberte uzel ve stromu konzoly, klikněte na něj pravým tlačítkem a vyberte příkaz z místní nabídky "Vytvořit nové zásady kabelové sítě pro Windows Vista a novější", jak je znázorněno na následujícím obrázku:

   Rýže. 1. Vytvořte zásady kabelové sítě

2. V dialogovém okně, které se otevře "Nové zásady pro vlastnosti kabelové sítě", na kartě "Jsou běžné", můžete nastavit službu Wired Network AutoConfig, která se použije ke konfiguraci adaptérů LAN pro připojení ke kabelové síti. Kromě nastavení zásad, které platí pro Windows Vista a novější operační systémy, existují některé možnosti, které budou platit pouze pro operační systémy Windows 7 a Windows Server 2008 R2. Na této kartě můžete provádět následující akce:
   • Název zásady. V tomto textovém poli můžete zadat název zásady kabelové sítě. Název zásady můžete vidět v podokně podrobností uzlu "Zásady kabelové sítě (IEEE 802.3)" lanoví "Editor správy zásad skupiny";
   • Popis. Toto textové pole je určeno k vyplnění podrobného popisu účelu zásad pevné sítě;
   • Použijte kabelovou službu automatické konfigurace Sítě Windows pro klienty. Tato možnost provede skutečné nastavení a připojí klienty ke kabelové síti 802.3. Pokud tuto možnost zakážete, operační systém Windows nebude sledovat kabelové síťové připojení a nastavení zásad se neprojeví;
   • Zabraňte použití obecných uživatelských pověření pro síťové ověřování. Toto nastavení určuje, zda má být uživateli zabráněno v ukládání obecných uživatelských pověření pro síťové ověřování. Lokálně můžete tento parametr změnit pomocí příkazu netsh lan nastavit allowexplicitcreds;
   • Povolit období uzamčení. Toto nastavení určuje, zda chcete zabránit počítači v automatickém připojení ke kabelové síti po zadaný počet minut. Výchozí hodnota je 20 minut. Doba blokování je nastavitelná od 1 do 60 minut.

"Jsou běžné" Zásady kabelové sítě:

Rýže. 2. Karta Obecné v dialogovém okně nastavení zásad kabelové sítě

3. Na kartě "Bezpečnost" Poskytuje možnosti konfigurace pro metodu ověřování a režim kabelového připojení. Můžete nakonfigurovat následující nastavení zabezpečení:
   • Povolte ověřování IEEE 802.1X pro přístup k síti. Tato možnost se používá přímo k povolení nebo zakázání ověřování přístupu k síti 802.1X. Ve výchozím nastavení je tato možnost povolena;
   • Vyberte metodu ověření sítě. Pomocí tohoto rozevíracího seznamu můžete určit jednu z metod ověřování síťového klienta, která se má použít na zásadu vaší kabelové sítě. Na výběr jsou následující dvě možnosti:
     • Microsoft: chráněný EAP (PEAP). U této metody ověřování je okno "Vlastnosti" obsahuje konfigurační parametry pro metodu ověřování, která se má použít;
     • Microsoft: čipové karty nebo jiný certifikát. U této metody ověřování v okně "Vlastnosti" Poskytuje možnosti konfigurace, které vám umožní zadat čipovou kartu nebo certifikát, ke kterému se chcete připojit, a také seznam důvěryhodných kořenových certifikačních autorit.

   Výchozí metoda je Microsoft: chráněný EAP (PEAP);

4. Režim ověřování. Tento rozevírací seznam se používá k ověření sítě. Na výběr jsou následující čtyři možnosti:
   • Ověření uživatele nebo počítače. Pokud je vybrána tato možnost, budou použity bezpečnostní pověření na základě aktuálního stavu počítače. I když není přihlášen žádný uživatel, ověření bude provedeno pomocí přihlašovacích údajů počítače. Když se uživatel přihlásí, použijí se přihlašovací údaje přihlášeného uživatele. Společnost Microsoft doporučuje používat toto nastavení režimu ověřování ve většině případů.
   • Pouze PC. V tomto případě se autentizace provádí pouze proti přihlašovacím údajům počítače;
   • Ověření uživatele. Výběrem této možnosti vynutíte ověření uživatele pouze při připojení k novému zařízení 802.1X. Ve všech ostatních případech se ověřování provádí pouze na počítači;
   • Autentizace hosta. Tato možnost vám umožňuje připojit se k síti pomocí účtu hosta.
5. Maximální počet chyb ověření. Toto nastavení umožňuje zadat maximální počet selhání ověřování. Výchozí hodnota je 1;
6. Ukládat uživatelská data do mezipaměti pro následná připojení k této síti. Když je tato možnost povolena, přihlašovací údaje uživatele budou uloženy systémový registr, uživatel nebude při odhlašování a opětovném přihlášení vyzván k zadání přihlašovacích údajů.

Následující obrázek ukazuje záložku "Bezpečnost" tohoto dialogového okna:

Rýže. 3. Karta Zabezpečení v dialogovém okně nastavení zásad kabelové sítě

Vlastnosti režimu ověřování

Jak bylo uvedeno v předchozí části, obě metody ověřování mají další nastavení, které se volají po stisku tlačítka "Vlastnosti". V této části se podíváme na vše možná nastavení pro autentizační metody.

Microsoft: Nastavení metody ověřování Protected EAP (PEAP).

EAP (Extensible Authentication Protocol) je rozšiřitelná ověřovací infrastruktura, která definuje formát odesílání. Pro konfiguraci této metody ověřování jsou k dispozici následující možnosti:

Povolit rychlé opětovné připojení. Tato možnost umožňuje uživatelům s bezdrátovými počítači rychle se pohybovat mezi přístupovými body bez opětovného ověřování nová síť. Toto přepínání může fungovat pouze pro přístupové body, které jsou nakonfigurovány jako klienti RADIUS. Ve výchozím nastavení je tato možnost povolena;

Povolit ochranu přístupu k síti. Když je vybrána tato možnost, provedou se příslušné kontroly, aby se určily kontroly zdravotního stavu, než se žadatelům EAP povolí připojení k síti;

Zakázat, pokud server nepodporuje šifrovanou vazbu prostřednictvím mechanismu TLV. Tato možnost je zodpovědná za to, že připojující se klienti přeruší proces ověřování, pokud server RADIUS neposkytuje kryptografickou hodnotu vazby TLV, což zvyšuje bezpečnost tunelu TLS v PEAP kombinací interních a externích metod ověřování, aby se zabránilo útočníkům v provádění útoků zfalšováním. . třetí strana;

Povolit certifikát ochrany osobních údajů. Toto nastavení zajišťuje, že klienti nemohou odeslat svou identitu, dokud klient neověří server RADIUS, a volitelně poskytuje prostor pro zadání hodnoty anonymní identity.

Dialogové okno Vlastnosti zabezpečeného protokolu EAP je znázorněno na následujícím obrázku:

Rýže. 5. Dialogové okno Secure EAP Properties

Nastavení metody ověřování „Smart Card nebo jiný certifikát – Nastavení EAP-TLS“

Pro konfiguraci této metody ověřování jsou k dispozici následující možnosti:

• Při připojování použijte mou čipovou kartu. Pokud vyberete tuto možnost, klienti požadující ověření předloží certifikát čipové karty pro síťové ověření;
• Při připojování použijte certifikát na tomto počítači. Když vyberete tuto možnost, bude při kontrole klientských připojení použit certifikát umístěný v aktuálním úložišti uživatele nebo místního počítače;
• Použijte jednoduchý výběr certifikátu. Tato možnost umožňuje operačnímu systému Windows odfiltrovat certifikáty, které nesplňují požadavky na ověření;
• Zkontrolujte certifikát serveru. Tato možnost umožňuje určit kontrolu certifikátu serveru, který je poskytnut klientským počítačům, na přítomnost platného podpisu, jehož platnost nevypršela, a také na přítomnost důvěryhodné kořenové certifikační autority, která certifikát vydala tomuto serveru.
• Připojte se k serverům. Tato možnost je totožná se stejnojmennou možností popsanou v předchozí části;
• Důvěryhodné kořenové certifikační úřady. Stejně jako v dialogovém okně Vlastnosti zabezpečeného EAP můžete v tomto seznamu najít všechny důvěryhodné kořenové certifikační autority, které jsou nainstalovány v úložištích certifikátů uživatelů a počítačů;
• Nevyzývejte uživatele, aby autorizoval nové servery nebo důvěryhodné certifikační autority. Zaškrtnutím této možnosti se v případě, že existuje certifikát serveru, který není správně nakonfigurován nebo je uveden pro uživatele, nezobrazí dialogové okno s výzvou k autorizaci tohoto certifikátu. Ve výchozím nastavení je tato možnost zakázána;
• Pro připojení použijte jiné uživatelské jméno. Toto nastavení určuje, zda má být pro ověřování použito jiné uživatelské jméno než uživatelské jméno v certifikátu. Pokud povolíte možnost Použít jiné uživatelské jméno, musíte vybrat alespoň jeden certifikát ze seznamu důvěryhodných kořenových certifikačních autorit.

Dialogové okno pro nastavení čipových karet nebo jiných certifikátů je znázorněno na následujícím obrázku:

Rýže. 6. Dialogové okno nastavení čipových karet nebo jiných certifikátů

Pokud si nejste jisti vybraným certifikátem, klikněte na tlačítko "Zobrazit certifikát" Budete moci zobrazit všechny podrobnosti o vybraném certifikátu, jak je uvedeno níže:

Rýže. 7. Zobrazte certifikát ze seznamu důvěryhodných kořenových certifikačních autorit

Zásady kabelové sítě Pokročilá nastavení zabezpečení

Pravděpodobně jste si toho všimli na kartě "Bezpečnost" V dialogovém okně Nastavení zásad kabelové sítě jsou k dispozici další nastavení zabezpečení, která jsou navržena tak, aby změnila chování síťových klientů požadujících přístup pomocí ověřování 802.1X. Další nastavení zásad kabelové sítě lze rozdělit do dvou skupin – nastavení IEEE 802.1X a nastavení jednotného přihlášení. Podívejme se na každou z těchto skupin:

Ve skupině nastavení IEEE 802.1X můžete určit vlastnosti požadavků kabelové sítě s ověřováním 802.1X. Následující parametry je možné změnit:

• Použijte pokročilá nastavení 802.1X. Tato možnost umožňuje aktivovat následující čtyři nastavení;
• Max. zprávy EAPOL. EAPOL je protokol EAP, který se používá dříve, než se počítač stihne ověřit, a teprve po úspěšném „přihlášení“ může veškerý další provoz procházet portem přepínače, ke kterému je připojen. tento počítač. Tento parametr řídí maximální počet zpráv EAPOL-Start k odeslání;
• Doba zpoždění (s). Toto nastavení řídí prodlevu v sekundách před provedením dalšího požadavku na ověření 802.1X po obdržení oznámení o selhání ověření;
• Počáteční období. Tento parametr řídí dobu čekání před opětovným odesláním po sobě jdoucích zpráv EAPOL-Start;
• Kontrolní období (s). Tento parametr určuje počet sekund mezi opakovaným přenosem po sobě jdoucích počátečních zpráv EAPOL poté, co byla zahájena kontrola end-to-end přístupu 802.1X;
• Zpráva EAPOL-Start. Pomocí tohoto parametru můžete určit následující charakteristiky pro přenos počátečních zpráv EAPOL:
  • Nepřenášejte. Když je vybrána tato možnost, zprávy EAPOL nebudou přenášeny;
  • Přestoupil. Pokud vyberete tuto možnost, klient bude muset ručně odeslat počáteční zprávy EAPOL;
  • Převod podle protokol IEEE 802.1X. Když je vybrána tato možnost (je výchozí), zprávy EAPOL se budou odesílat na automatický režim při čekání na spuštění ověřování 802.1X.

Při použití jednotného přihlašování musí být autentizace provedena na základě konfigurace zabezpečení sítě, když se uživatel přihlásí do operačního systému. Pro úplné přizpůsobení profilů jednotného přihlášení jsou k dispozici následující možnosti:

• Povolit jednotné přihlašování pro síť. Když je tato možnost povolena, aktivují se nastavení jednotného přihlášení;
• Povolit bezprostředně před přihlášením uživatele. Pokud zaškrtnete tuto volbu, bude před dokončením přihlášení uživatele provedena autentizace 802.1X;
• Povolit ihned po přihlášení uživatele. Pokud zaškrtnete tuto možnost, ověření 802.1X bude provedeno poté, co uživatel dokončí přihlášení;
• Max. zpoždění připojení. Toto nastavení určuje maximální dobu, za kterou musí být autentizace dokončena, a tedy jak dlouho musí uživatel čekat, než se objeví přihlašovací okno uživatele;
• Povolit zobrazení dalších dialogů během jednotného přihlášení. Tato možnost je zodpovědná za zobrazení dialogového okna pro přihlášení uživatele;
• Tato síť používá různé sítě VLAN k ověření pomocí pověření počítače a uživatele. Když zadáte toto nastavení, při spuštění budou všechny počítače umístěny do jedné virtuální sítě a po úspěšném přihlášení uživatele budou v závislosti na oprávněních přeneseny do různých virtuální sítě. Tuto možnost má smysl aktivovat pouze v případě, že váš podnik používá několik sítí VLAN.

Dialogové okno Pokročilá nastavení zabezpečení zásad drátové sítě je znázorněno na následujícím obrázku:

Rýže. 8. Dialogové okno Zásady kabelové sítě Pokročilé nastavení zabezpečení

Závěr

Tento článek vám představil všechna nastavení zásad kabelové sítě IEE 802.1X. Naučili jste se vytvořit takovou politiku a také jste se dozvěděli o metodách ověřování EAP a ověřování pomocí čipových karet nebo jiných certifikátů. V následujícím článku se dozvíte o místních zásadách zabezpečení Network List Manager.

Zásady v Exchange Server 2003 jsou navrženy tak, aby zvýšily flexibilitu správy a zároveň snížily zátěž správců. Zásada je sada konfiguračních nastavení, která se vztahují na jeden nebo více objektů stejné třídy na serveru Exchange. Můžete například vytvořit zásadu, která ovlivní konkrétní nastavení na některých nebo všech serverech Exchange. Pokud potřebujete změnit tato nastavení, můžete jednoduše upravit tuto zásadu a bude aplikována na příslušnou serverovou organizaci.

Existují dva typy zásad: systémové zásady a zásady pro příjemce. Zásady příjemců se vztahují na objekty přístupné k poště a určují způsob generování e-mailových adres. Zásady pro příjemce jsou popsány v části „Vytváření a správa příjemců“. Systémové zásady jsou aplikovány na servery, úložiště poštovní schránky a úložiště veřejných složek. Tyto zásady se zobrazí v kontejneru Zásady v rámci skupiny odpovědné za správa tuto politiku (obrázek 12.10).

Rýže. 12.10. Objekt systémových zásad

Poznámka. Při instalaci Exchange Server 2003 se nevytvoří výchozí kontejner pro systémové zásady. Musí být vytvořen před vytvořením systémových zásad. Klepněte pravým tlačítkem myši na skupinu pro správu, ve které chcete vytvořit složku zásad, přejděte na příkaz Nový a vyberte Kontejner systémových zásad.

Vytvoření systémové politiky

Chcete-li vytvořit systémovou zásadu, musíte přejít do příslušného kontejneru Systémové zásady, kliknout pravým tlačítkem na kontejner a vybrat typ zásady, kterou chcete vytvořit: zásady serveru, zásady úložiště poštovních schránek nebo zásady úložiště veřejných složek.

Při práci se systémovými zásadami nezapomeňte vytvořit objekt zásad ve skupině, která je odpovědná za správu zásad. V opačném případě může dojít k chybám při výběru osob, které vykonávají administrativní kontrolu nad kritickými zásadami. Podívejme se, jak se vytváří každý ze tří typů politik, počínaje serverovými politikami.

Vytvořte zásady serveru

Zásady serveru definují nastavení pro sledování zpráv a údržbu souborů protokolu. Nevztahuje se na nastavení zabezpečení nebo jiná nastavení serverů v této administrativní skupině. Chcete-li vytvořit zásady serveru, klepněte pravým tlačítkem myši na kontejner Systémové zásady, přejděte na příkaz Nový a vyberte Zásady serveru. Zobrazí se dialogové okno Nová zásada, jak je znázorněno na obrázku 1. 12.11, který určuje karty, které se pro tuto zásadu zobrazí na stránce vlastností. Pro zásady serveru existuje pouze jedna možnost: karta Obecné. Zaškrtněte volbu pro tuto kartu a poté klepněte na OK. Zobrazí se konfigurační okno, ve kterém bude tato zásada vytvořena.

Rýže. 12.11.

Poté musíte zadat název zásady v okně karty Obecné na stránce vlastností této zásady. Jak ukazuje obrázek 12.12, ve skutečnosti existují dvě karty Obecné. První záložka slouží k zadání názvu zásady. Vyberte název popisující úlohu, kterou má zásada provádět, například Zásady sledování zpráv nebo Povolit zásady protokolování předmětů. Vhodný název zvolený v této fázi ušetří čas, protože nebudete muset otevírat stránku vlastností zásady, abyste určovali její účel.

Záložka Obecné (Zásady), znázorněná na Obr. 12.13 obsahuje aktuální nastavení zásad, které platí pro servery Exchange organizace. Karta se nazývá Obecné (Zásady), protože potenciálně konfiguruje kartu Obecné na stránkách vlastností pro všechny existující servery. (Jak aplikovat tuto zásadu na všechny servery ve vaší organizaci se podíváme později v této přednášce.) Pokud porovnáte tuto kartu s kartou Obecné na stránce vlastností serveru, uvidíte, že karty jsou stejné, s výjimkou pro identifikační údaje v horní části karty.

Záložka Obecné (Zásady) umožňuje protokolování a zobrazení předmětu pro všechny existující servery Exchange 2003. Toto nastavení funguje ve spojení s možností Povolit sledování zpráv, která umožňuje sledovat zprávy odeslané v organizaci. Tyto možnosti jsou užitečné pro hledání a odstraňování zdrojů problémů, ke kterým dochází, když někteří uživatelé nedostávají zprávy od jiných uživatelů. Je možné sledovat zprávu prostřednictvím organizace a určit, kde jsou problémy s komunikací. Další informace o sledování zpráv a protokolování předmětu zprávy najdete v Přednášce 6, Funkce, zabezpečení a podpora Exchange Server 2003.

Rýže. 12.12.

Rýže. 12.13.

Jakmile je politika v platnosti, nelze ji změnit na lokální servery. Politika sledování zpráv, kterou jsme použili jako příklad, byla vytvořena na serveru EX-SRV1 v administrační skupině Arizona. Na

Funkčnost v operačním systému Windows Server je počítána a vylepšována od verze k verzi, rolí a komponent je stále více, takže v dnešním materiálu se pokusím stručně popsat popis a účel každé role v systému Windows Server 2016.

Než přejdeme k popisu rolí serveru Windows Server, pojďme zjistit, co " Role serveru» v operačním systému Windows Server.

Co je to „role serveru“ v systému Windows Server?

Role serveru je softwarový balík, který zajišťuje, že server vykonává určitou funkci, a tato funkce je hlavní. Jinými slovy, " Role serveru“ je účelem serveru, tzn. k čemu to je? Aby server mohl plnit svou hlavní funkci, tzn. určitou roli v " Role serveru» veškerý potřebný software je součástí dodávky ( programy, služby).

Server může mít jednu roli, pokud je aktivně používán, nebo několik, pokud každá z nich příliš nezatěžuje server a používá se zřídka.

Role serveru může zahrnovat více služeb rolí, které poskytují funkce role. Například v roli serveru " webový server (IIS)"je zahrnuto poměrně velké množství služeb a role" DNS server» služby rolí nejsou zahrnuty, protože tato role plní pouze jednu funkci.

Služby rolí lze nainstalovat společně nebo jednotlivě v závislosti na vašich potřebách. Instalace role v jádru znamená instalaci jedné nebo více jejích služeb.

Ve Windows Server jsou také " Komponenty» servery.

Komponenty serveru (Funkce)- Jedná se o softwarové nástroje, které nejsou rolí serveru, ale rozšiřují možnosti jedné nebo více rolí nebo spravují jednu nebo více rolí.

Některé role nelze nainstalovat, pokud na serveru nejsou nainstalovány požadované služby nebo součásti, které jsou vyžadovány pro fungování těchto rolí. Proto v době instalace takových rolí „ Průvodce přidáním rolí a funkcí", automaticky vás vyzve k instalaci nezbytných dalších služeb rolí nebo komponent.

Popis rolí serveru Windows Server 2016

Pravděpodobně již znáte mnoho rolí, které jsou v systému Windows Server 2016, protože existují již poměrně dlouho, ale jak jsem řekl, s každou novou verzí systému Windows Server se přidávají nové role, které možná nemáte. s nimiž jsme ještě pracovali, ale rádi bychom věděli, k čemu slouží, tak se na ně pojďme podívat.

Poznámka! O nových funkcích operačního systému Windows Server 2016 si můžete přečíst v materiálu “ Instalace Windows Server 2016 a přehled nových funkcí ».

Protože velmi často dochází k instalaci a správě rolí, služeb a komponent pomocí Windows PowerShell, pro každou roli a její službu uvedu název, který lze v PowerShellu použít k její instalaci nebo správě.

DHCP server

Tato role vám umožňuje centrálně konfigurovat dynamické IP adresy a související nastavení pro počítače a zařízení ve vaší síti. Role DHCP Server nemá služby rolí.

Název prostředí Windows PowerShell je DHCP.

DNS server

Tato role je určena pro překlad názvů v sítích TCP/IP. Role DNS Server poskytuje a udržuje DNS. Aby byla správa serveru DNS snazší, je obvykle nainstalován na stejném serveru jako služba Active Directory Domain Services. Role DNS Server nemá služby rolí.

Název role pro PowerShell je DNS.

Hyper-V

Pomocí role Hyper-V můžete vytvářet a spravovat virtualizované prostředí. Jinými slovy, je to nástroj pro vytváření a správu virtuálních strojů.

Název role pro Windows PowerShell je Hyper-V.

Certifikace výkonu zařízení

Role" » umožňuje vyhodnotit stav zařízení na základě naměřených bezpečnostních parametrů, jako je bezpečný stav spouštění a Bitlocker na klientovi.

Aby tato role fungovala, je potřeba poměrně hodně služeb a komponent rolí, například: několik služeb z role " webový server (IIS)", komponent " ", komponent " Funkce rozhraní .NET Framework 4.6».

Během instalace budou automaticky vybrány všechny požadované služby rolí a komponenty. Role " Certifikace výkonu zařízení» neexistují žádné vlastní služby.

Název pro PowerShell je DeviceHealthAttestationService.

webový server (IIS)

Poskytuje spolehlivou, spravovatelnou a škálovatelnou infrastrukturu webových aplikací. Skládá se z poměrně velkého počtu služeb (43).

Název prostředí Windows PowerShell je Web-Server.

Zahrnuje následující služby rolí ( v závorkách uvedu název prostředí Windows PowerShell):

Webový server (Web-WebServer)– Skupina služeb rolí, která poskytuje podporu pro webové stránky HTML, rozšíření ASP.NET, ASP a webový server. Skládá se z následujících služeb:

• Zabezpečení (Web Security)- soubor služeb pro zajištění bezpečnosti webového serveru.
  • Filtrování požadavků (Web-Filtering) - pomocí těchto nástrojů můžete zpracovávat všechny požadavky přicházející na server a filtrovat tyto požadavky na základě speciálních pravidel nastavených správcem webového serveru;
  • Omezení IP adresy a domény (Web-IP-Security) – tyto nástroje umožňují povolit nebo zakázat přístup k obsahu na webovém serveru na základě IP adresy nebo názvu domény zdroje v požadavku;
  • URL Authorization (Web-Url-Auth) – Nástroje vám umožňují vyvinout pravidla pro omezení přístupu k webovému obsahu a přidružit je k uživatelům, skupinám nebo příkazům HTTP hlaviček;
  • Digest Authentication (Web-Digest-Auth) – Tato autentizace poskytuje vyšší úroveň zabezpečení než základní autentizace. Ověření digestu funguje tak, že předá hash hesla řadiči domény Windows k ověření uživatelů;
  • Basic Authentication (Web-Basic-Auth) – Tato metoda ověřování poskytuje silnou kompatibilitu webového prohlížeče. Doporučeno pro použití v malých vnitřních sítích. Hlavní nevýhodou této metody je, že hesla přenášená po síti lze poměrně snadno zachytit a dešifrovat, proto tuto metodu používejte v kombinaci s SSL;
  • Ověřování Windows (Web-Windows-Auth) je ověřování založené na ověřování domény Windows. Jinými slovy, účty služby Active Directory můžete používat k ověřování uživatelů svých webových stránek;
  • Autentizace s párováním klientského certifikátu (Web-Client-Auth) – Tato autentizační metoda zahrnuje použití klientského certifikátu. Tento typ používá Active Directory k poskytování mapování certifikátů;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) – Tato metoda také používá klientské certifikáty pro ověřování, ale pro mapování certifikátů používá IIS. Tento typ poskytuje vyšší výkon;
  • Centralizovaná podpora SSL certifikátů (Web-CertProvider) – tyto nástroje umožňují centrálně spravovat certifikáty SSL serveru, což značně zjednodušuje proces správy těchto certifikátů;
• Zdraví a diagnostika (Web-Health)– sada služeb pro zajištění kontroly, správy a odstraňování problémů webových serverů, stránek a aplikací:
  • http logging (Web-Http-Logging) - nástroje zajišťují logování aktivity webu na daném serveru, tzn. záznam protokolu;
  • Protokolování ODBC (Web-ODBC-Logging) – Tyto nástroje také poskytují protokolování aktivity webu, ale podporují protokolování této aktivity do databáze vyhovující ODBC;
  • Monitor požadavků (Web-Request-Monitor) je nástroj, který umožňuje sledovat stav webové aplikace zachycováním informací o požadavcích HTTP v pracovním procesu služby IIS;
  • Web-Custom-Logging – Tyto nástroje umožňují konfigurovat aktivitu webového serveru tak, aby byla protokolována ve formátu, který se výrazně liší od standardního formátu IIS. Jinými slovy, můžete si vytvořit svůj vlastní logovací modul;
  • Nástroje pro protokolování (Web-Log-Libraries) jsou nástroje pro správu protokolů webového serveru a automatizaci úloh protokolování;
  • Tracing (Web-Http-Tracing) je nástroj pro diagnostiku a odstraňování problémů při provozu webových aplikací.
• Společné http funkce (Web-Common-Http)– sada služeb, které poskytují základní funkčnost HTTP:
  • Výchozí dokument (Web-Default-Doc) – Tato funkce umožňuje nakonfigurovat webový server tak, aby vracel výchozí dokument, když uživatelé neurčí konkrétní dokument v adrese URL požadavku, což uživatelům usnadňuje přístup k webu, například doména, bez určení souboru;
  • Procházení adresářů (Web-Dir-Browsing) – Tento nástroj lze použít ke konfiguraci webového serveru tak, aby uživatelé mohli zobrazit seznam všech adresářů a souborů na webu. Například pro případy, kdy uživatelé neurčí soubor v URL požadavku a dokumenty jsou buď zakázány, nebo nejsou ve výchozím nastavení nakonfigurovány;
  • Chyby http (Web-Http-Errors) – tato funkce umožňuje konfigurovat chybové zprávy, které se vrátí do webových prohlížečů uživatelů, když webový server detekuje chybu. Tato funkce se používá k lepší prezentaci chybových zpráv uživatelům;
  • Statický obsah (Web-Static-Content) - tento nástroj umožňuje používat obsah ve formě statických formátů souborů, například soubory HTML nebo soubory obrázků, na webovém serveru;
  • přesměrování http (Web-Http-Redirect) – pomocí této funkce můžete přesměrovat požadavek uživatele na konkrétní cíl, tzn. toto je přesměrování;
  • WebDAV Publishing (Web-DAV-Publishing) – umožňuje používat technologii WebDAV na webovém serveru IIS. WebDAV ( Webové distribuované vytváření a verzování) je technologie, která uživatelům umožňuje spolupracovat ( číst, upravovat, číst vlastnosti, kopírovat, přesouvat) přes soubory na vzdálených webových serverech pomocí protokolu HTTP.
• Výkon (Web-Performance)– sada služeb pro dosažení vyššího výkonu webového serveru prostřednictvím mezipaměti výstupu a běžných kompresních mechanismů, jako jsou Gzip a Deflate:
  • Web-Stat-Compression je nástroj pro přizpůsobení komprese statického http obsahu, umožňuje efektivnější využití šířky pásma bez zbytečné zátěže CPU;
  • Dynamická komprese obsahu (Web-Dyn-Compression) je nástroj pro konfiguraci komprese dynamického obsahu HTTP. Tato funkce poskytuje efektivnější využití šířky pásma, ale zatížení procesoru na serveru spojené s dynamickou kompresí může způsobit zpomalení webu, pokud je zatížení procesoru bez komprese vysoké.
• Vývoj aplikací (Web-App-Dev)– soubor služeb a nástrojů pro vývoj a hostování webových aplikací, jinými slovy technologie pro vývoj webových stránek:
  • ASP (Web-ASP) je prostředí pro podporu a vývoj webových stránek a webových aplikací využívajících technologii ASP. V současné době existuje novější a pokročilejší technologie pro vývoj webových stránek - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající technologii ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) je také objektově orientované vývojové prostředí pro webové stránky a webové aplikace využívající novou verzi ASP.NET;
  • CGI (Web-CGI) je schopnost používat CGI k přenosu informací z webového serveru do externího programu. CGI je určitý standard rozhraní pro propojení externího programu s webovým serverem. Nevýhodou je, že používání CGI ovlivňuje výkon;
  • Server-side inclusions (SSI) (Web-Includes) jsou podporou pro skriptovací jazyk SSI ( aktivátory na straně serveru), který se používá k dynamickému generování HTML stránek;
  • Inicializace aplikace (Web-AppInit) – tento nástroj provádí úlohu inicializace webových aplikací před předáním webové stránky;
  • Protokol WebSocket (Web-WebSockets) – přidává možnost vytvářet serverové aplikace, které interagují pomocí protokolu WebSocket. WebSocket je protokol, který dokáže odesílat a přijímat data současně mezi prohlížečem a webovým serverem přes TCP spojení, jakési rozšíření protokolu HTTP;
  • ISAPI Extensions (Web-ISAPI-Ext) – podpora dynamického rozvoje webového obsahu pomocí aplikačního programovacího rozhraní ISAPI. ISAPI je rozhraní API pro webový server IIS. Aplikace ISAPI jsou mnohem rychlejší než soubory ASP nebo soubory, které volají součásti COM+;
  • Rozšiřitelnost .NET 3.5 (Web-Net-Ext) je funkce rozšiřitelnosti .NET 3.5, která vám umožňuje měnit, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Rozšiřitelnost .NET 4.6 (Web-Net-Ext45) je funkce rozšiřitelnosti .NET 4.6, která také umožňuje měnit, přidávat a rozšiřovat funkčnost webového serveru v rámci procesu zpracování požadavků, konfigurace a uživatelského rozhraní;
  • Filtry ISAPI (Web-ISAPI-Filter) – přidání podpory pro filtry ISAPI. Filtry ISAPI jsou programy, které jsou volány, když webový server obdrží konkrétní požadavek HTTP, který musí být filtrem zpracován.

FTP server (Web-Ftp-Server)– služby, které poskytují podporu protokolu FTP. O FTP serveru jsme mluvili podrobněji v materiálu – „Instalace a konfigurace FTP serveru na Windows Server 2016“. Obsahuje následující služby:

• Služba FTP (Web-Ftp-Service) – přidává podporu protokolu FTP na webovém serveru;
• Rozšiřitelnost FTP (Web-Ftp-Ext) – Rozšiřuje standardní možnosti FTP, jako je přidání podpory pro funkce, jako jsou vlastní poskytovatelé, uživatelé ASP.NET nebo uživatelé IIS Manager.

Nástroje pro správu (Web-Mgmt-Tools)- Jedná se o nástroje pro správu webového serveru IIS 10. Patří sem: uživatelské rozhraní IIS, nástroje příkazového řádku a skripty.

• IIS Management Console (Web-Mgmt-Console) je uživatelské rozhraní pro správu IIS;
• Znakové sady a nástroje IIS (Web-Scripting-Tools) jsou nástroje a skripty pro správu IIS pomocí příkazového řádku nebo skriptů. Lze je použít například k automatizaci řízení;
• Služba správy (Web-Mgmt-Service) – tato služba přidává možnost vzdálené správy webového serveru z jiného počítače pomocí správce IIS;
• Správa kompatibility služby IIS 6 (Web-Mgmt-Compat) – zajišťuje kompatibilitu mezi aplikacemi a skripty, které používají dvě rozhraní API služby IIS. Stávající skripty IIS 6 lze použít k ovládání webového serveru IIS 10:
  • Metabáze kompatibility IIS 6 (Web-Metabase) je nástroj pro zajištění kompatibility, který umožňuje spouštět aplikace a znakové sady přenesené z dřívějších verzí IIS;
  • Skriptovací nástroje IIS 6 (Web-Lgcy-Scripting) – Tyto nástroje umožňují používat stejné skriptovací služby IIS 6, které byly vytvořeny pro správu IIS 6 ve službě IIS 10;
  • Konzola pro správu služeb IIS 6 (Web-Lgcy-Mgmt-Console) – nástroj pro správu vzdálených serverů IIS 6.0;
  • WMI Compatible IIS 6 (Web-WMI) jsou skriptovací rozhraní Windows Management Instrumentation (WMI) pro programové řízení a automatizaci úloh webového serveru IIS 10.0 pomocí sady skriptů vytvořených u poskytovatele WMI.

Active Directory Domain Services

Role" Active Directory Domain Services» (AD DS) poskytuje distribuovanou databázi, která ukládá a zpracovává informace o síťových zdrojích. Tato role se používá k uspořádání síťových prvků, jako jsou uživatelé, počítače a další zařízení, do hierarchické zabezpečené struktury shellu. Hierarchická struktura zahrnuje doménové struktury, domény v rámci doménové struktury a organizační jednotky (OU) v rámci každé domény. Server se službou AD DS se nazývá řadič domény.

Název role pro Windows PowerShell je AD-Domain-Services.

Režim Windows Server Essentials

Tato role představuje počítačovou infrastrukturu a poskytuje pohodlné a efektivní funkce, například: ukládání klientských dat na centralizovaném místě a ochranu těchto dat zálohováním serverových a klientských počítačů, vzdálený webový přístup, umožňující přístup k datům téměř z jakéhokoli zařízení. Tato role vyžaduje ke svému fungování několik služeb rolí a komponent, například: komponenty BranchCache, Windows Server Backup, Správa zásad skupiny, služba rolí " Jmenné prostory DFS».

Název pro PowerShell je ServerEssentialsRole.

Síťový ovladač

Tato role byla představena v systému Windows Server 2016 a poskytuje jediný bod automatizace pro správu, monitorování a diagnostiku fyzické a virtuální síťové infrastruktury v datovém centru. Pomocí této role můžete konfigurovat podsítě IP, sítě VLAN, fyzické síťové adaptéry hostitelů Hyper-V, spravovat virtuální přepínače, fyzické směrovače, nastavení brány firewall a brány VPN z jednoho bodu.

Název prostředí Windows PowerShell je NetworkController.

Služba Node Guardian

Toto je role serveru Hosted Guardian Service (HGS) a poskytuje služby atestace a ochrany klíčů, které umožňují chráněným hostitelům provozovat stíněné virtuální stroje. Aby tato role fungovala, je zapotřebí několik dalších rolí a komponent, například: Active Directory Domain Services, Web Server (IIS), komponenta " Clusterování při selhání" a další.

Název pro PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Role" Active Directory Lightweight Directory Services“ (AD LDS) – je odlehčená verze služby AD DS, která má méně funkcí, ale nevyžaduje nasazení domén nebo doménových řadičů a nemá závislosti a omezení domény, které služby AD DS vyžadují. Služba AD LDS funguje přes protokol LDAP ( Lightweight Directory Access Protocol). Na jednom serveru můžete nasadit více instancí služby AD LDS s nezávisle spravovanými schématy.

Název pro PowerShell je ADLDS.

Služby MultiPoint

Toto je také nová role, která byla představena v systému Windows Server 2016. Služby MultiPoint Services (MPS) poskytují základní funkce vzdálené plochy, která umožňuje více uživatelům pracovat současně a nezávisle na stejném počítači. Chcete-li nainstalovat a provozovat tuto roli, musíte nainstalovat několik dalších služeb a součástí, například: tiskový server, službu Windows Search, prohlížeč XPS a další, z nichž všechny budou vybrány automaticky při instalaci MPS.

Název role pro PowerShell je MultiPointServerRole.

Windows Server Update Services

S touto rolí (WSUS) mohou správci systému spravovat aktualizace společnosti Microsoft. Můžete například vytvořit samostatné skupiny počítačů pro různé sady aktualizací a také přijímat zprávy o souladu počítače a aktualizacích, které je třeba nainstalovat. Fungovat" Windows Server Update Services„Potřebujeme takové služby rolí a komponenty, jako jsou: webový server (IIS), interní databáze Windows, služba aktivace procesů Windows.

Název prostředí Windows PowerShell je UpdateServices.

• Připojení WID (UpdateServices-WidDB) – nastavte na WID ( Interní databáze Windows) databáze používaná službou WSUS. Jinými slovy, WSUS bude ukládat svá servisní data do WID;
• Služby WSUS (UpdateServices-Services) jsou služby role WSUS, jako je aktualizační služba, webová služba pro vytváření sestav, webová služba API Remoting, webová služba klienta, webová služba Simple Internet Authentication, služba synchronizace serveru a služba DSS Web Authentication Service;
• SQL Server Connectivity (UpdateServices-DB) je instalace součásti, která umožňuje službě WSUS připojit se k databázi Microsoft SQL Server. Tato možnost zahrnuje ukládání dat služeb do databáze Microsoft SQL Server. V tomto případě již musíte mít nainstalovanou alespoň jednu instanci SQL Server.

Služby aktivace objemu

Tato role serveru automatizuje a zjednodušuje vydávání multilicence pro software společnosti Microsoft a umožňuje vám tyto licence spravovat.

Název pro PowerShell je VolumeActivation.

Tiskové a dokumentové služby

Tato role serveru je navržena pro sdílení tiskáren a skenerů v síti, centrální konfiguraci a správu tiskových a skenovacích serverů a správu síťových tiskáren a skenerů. Služby tisku a dokumentů také umožňují odesílat naskenované dokumenty prostřednictvím e-mailu, síťových sdílených položek nebo webů služby Windows SharePoint Services.

Název pro PowerShell je Print-Services.

• Tiskový server – Tato služba role zahrnuje „ Správa tisku", který se používá ke správě tiskáren nebo tiskových serverů a také k migraci tiskáren a dalších tiskových serverů;
• Tisk přes internet (Print-Internet) – pro implementaci tisku přes internet je vytvořena webová stránka, pomocí které mohou uživatelé spravovat tiskové úlohy na serveru. Aby tato služba fungovala, jak víte, musíte nainstalovat „ webový server (IIS)" Všechny požadované součásti budou vybrány automaticky, když zaškrtnete toto políčko během procesu instalace pro službu role " Online tisk»;
• Distribuovaný skenovací server (Print-Scan-Server) je služba, která umožňuje přijímat naskenované dokumenty ze síťových skenerů a odesílat je na místo určení. Tato služba také obsahuje „ Ovládání skenování", který se používá ke správě síťových skenerů a ke konfiguraci skenování;
• Služba LPD (Print-LPD-Service) – služba LPD ( Démon řádkové tiskárny) umožňuje počítačům se systémem UNIX a dalším počítačům, které používají službu Line Printer Remote (LPR), tisknout na sdílené serverové tiskárny.

Síťová politika a přístupové služby

Role" » (NPAS) umožňuje používat server NPS (Network Policy Server) k nastavení a vynucování zásad pro síťový přístup, ověřování a autorizaci a zdraví klienta, jinými slovy, k zajištění bezpečnosti sítě.

Název prostředí Windows PowerShell je NPAS.

Windows Deployment Services

Pomocí této role můžete instalovat operační systém Windows vzdáleně přes síť.

Název role pro PowerShell je WDS.

• Deployment Server (WDS-Deployment) – tato služba role je určena pro vzdálené nasazení a konfiguraci operačních systémů Windows. Umožňuje také vytvářet a upravovat obrázky pro opětovné použití;
• Transport Server (WDS-Transport) – tato služba obsahuje hlavní síťové komponenty, pomocí kterých můžete přenášet data multicastem na samostatném serveru.

Certifikační služba Active Directory

Tato role je navržena k vytváření certifikačních autorit a souvisejících služeb rolí, které vám umožňují vydávat a spravovat certifikáty pro různé aplikace.

Název pro Windows PowerShell je AD-Certificate.

Zahrnuje následující služby rolí:

• Certifikační autorita (ADCS-Cert-Authority) – pomocí této služby role můžete vydávat certifikáty uživatelům, počítačům a službám a také spravovat platnost certifikátu;
• Webová služba Zásady zápisu certifikátu (ADCS-Enroll-Web-Pol) – Tato služba umožňuje uživatelům a počítačům získat informace o zásadách zápisu certifikátů pomocí webového prohlížeče, i když počítač není součástí domény. Pro jeho fungování je nutné " webový server (IIS)»;
• Certifikát Enrollment Web Service (ADCS-Enroll-Web-Svc) – Tato služba umožňuje uživatelům a počítačům registrovat a obnovovat certifikáty pomocí webového prohlížeče přes HTTPS, i když počítač není členem domény. Pro jeho fungování je také nutné „ webový server (IIS)»;
• Online respondér (ADCS-Online-Cert) – Služba určená ke kontrole zrušení certifikátu pro klienty. Jinými slovy, přijme žádost o stav odvolání pro konkrétní certifikáty, vyhodnotí stav těchto certifikátů a odešle zpět podepsanou odpověď s informacemi o stavu. Aby služba fungovala, potřebujete " webový server (IIS)»;
• Internetová služba zápisu certifikační autority (ADCS-Web-Enrollment) – Tato služba poskytuje uživatelům webové rozhraní k provádění úkolů, jako je vyžadování a obnova certifikátů, získávání seznamů zneplatněných certifikátů a registrace certifikátů čipových karet. Aby služba fungovala, potřebujete " webový server (IIS)»;
• Služba Network Device Enrollment (ADCS-Device-Enrollment) – Pomocí této služby můžete vydávat a spravovat certifikáty pro směrovače a další síťová zařízení, která nemají síťové účty. Aby služba fungovala, potřebujete " webový server (IIS)».

Služby vzdálené plochy

Role serveru, která vám umožňuje poskytovat přístup k virtuálním plochám, plochám založeným na relacích a aplikacím RemoteApp.

Název role pro Windows PowerShell je Remote-Desktop-Services.

Skládá se z následujících služeb:

• Webový přístup ke vzdálené ploše (RDS-Web-Access) – Tato služba role umožňuje uživatelům přistupovat ke vzdáleným plochám a aplikacím RemoteApp prostřednictvím „ Start» nebo pomocí webového prohlížeče;
• Licencování vzdálené plochy (RDS-Licensing) – služba určená ke správě licencí, které jsou nutné pro připojení k serveru Hostitel relací vzdálené plochy nebo virtuální ploše. Lze jej použít k instalaci, vydávání licencí a sledování jejich dostupnosti. Tato služba vyžaduje " webový server (IIS)»;
• Zprostředkovatel připojení ke vzdálené ploše (RDS-Connection-Broker) je služba role, která poskytuje následující možnosti: opětovné připojení uživatele ke stávající virtuální ploše, aplikaci RemoteApp a ploše založené na relaci a vyrovnávání zátěže mezi servery vzdálené relace nebo mezi virtuální desktopy ve fondu. Tato služba vyžaduje „ »;
• Hostitel virtualizace vzdálené plochy (DS-Virtualization) je služba, která uživatelům umožňuje připojit se k virtuálním plochám pomocí RemoteApp and Desktop Connection. Tato služba funguje ve spojení s Hyper-V, tzn. tato role musí být stanovena;
• Hostitel relací vzdálené plochy (RDS-RD-Server) – Tato služba umožňuje hostovat aplikace RemoteApp a plochy založené na relacích na serveru. Pro přístup použijte klienta Připojení ke vzdálené ploše nebo RemoteApp;
• Brána vzdálené plochy (RDS-Gateway) – Služba umožňuje autorizovaným vzdáleným uživatelům připojit se k virtuálním plochám, aplikacím RemoteApp a plochám založeným na relacích v podnikové síti nebo přes Internet. Aby tato služba fungovala, jsou vyžadovány následující doplňkové služby a komponenty: " webový server (IIS)», « Síťová politika a přístupové služby», « RPC přes HTTP proxy».

Active Directory Rights Management Services

Toto je role serveru, která vám umožní chránit informace před neoprávněným použitím. Ověřuje totožnost uživatelů a uděluje oprávněným uživatelům licence pro přístup k chráněným datům. Aby tato role fungovala, jsou vyžadovány další služby a komponenty: " webový server (IIS)», « Služba aktivace procesů systému Windows», « Funkce rozhraní .NET Framework 4.6».

Název prostředí Windows PowerShell je ADRMS.

• Služba Active Directory Rights Management Server (ADRMS-Server) je službou hlavní role a je vyžadována pro instalaci;
• Podpora federace identit (ADRMS-Identity) je volitelná služba rolí, která umožňuje federovaným identitám využívat chráněný obsah pomocí služby Active Directory Federation Services.

Active Directory Federation Services

Tato role poskytuje zjednodušené a bezpečné možnosti federace identit a také jednotné přihlašování (SSO) na webové stránky pomocí prohlížeče.

Název pro PowerShell je ADFS-Federation.

Vzdálený přístup

Tato role poskytuje konektivitu prostřednictvím DirectAccess, VPN a proxy webové aplikace. Také role " Vzdálený přístup» poskytuje tradiční možnosti směrování, včetně překladu síťových adres (NAT) a dalších možností připojení. Tato role vyžaduje další služby a komponenty: " webový server (IIS)», « Interní databáze Windows».

Název role pro Windows PowerShell je RemoteAccess.

• DirectAccess a VPN (RAS) (DirectAccess-VPN) - služba umožňuje uživatelům kdykoli se připojit k podnikové síti, pokud mají přístup k internetu prostřednictvím DirectAccess, a také organizovat připojení VPN v kombinaci s technologiemi tunelování a šifrování dat;
• Směrování - služba poskytuje podporu pro NAT routery, LAN routery s BGP, RIP protokoly a routery s podporou multicastu (IGMP proxy);
• Web Application Proxy Server (Web-Application-Proxy) - služba umožňuje publikovat aplikace založené na protokolech HTTP a HTTPS z podnikové sítě na klientská zařízení, která jsou umístěna mimo podnikovou síť.

Souborové a úložné služby

Toto je role serveru, kterou lze použít ke sdílení souborů a složek, správě a řízení sdílených složek, replikaci souborů, poskytování rychlého vyhledávání souborů a poskytování přístupu ke klientským počítačům UNIX. Na souborové služby a zejména souborový server jsme se podrobněji podívali v materiálu „Instalace souborového serveru na Windows Server 2016“.

Název prostředí Windows PowerShell je FileAndStorage-Services.

Skladovací služby– Tato služba poskytuje funkci správy úložiště, která je vždy nainstalována a nelze ji odebrat.

Souborové služby a služby iSCSI (souborové služby)– jedná se o technologie, které zjednodušují správu souborových serverů a úložiště, šetří místo na disku, zajišťují replikaci a cachování souborů v pobočkách a také umožňují sdílení souborů pomocí protokolu NFS. Zahrnuje následující služby rolí:

• Souborový server (FS-FileServer) je služba role, která spravuje sdílené složky a poskytuje uživatelům přístup k souborům na tomto počítači přes síť;
• Deduplikace dat (FS-Data-Deduplication) – tato služba šetří místo na disku tím, že na svazek ukládá pouze jednu kopii identických dat;
• Správce prostředků souborového serveru (FS-Resource-Manager) – Pomocí této služby můžete spravovat soubory a složky na souborovém serveru, vytvářet sestavy úložiště, kategorizovat soubory a složky, konfigurovat kvóty složek a definovat zásady blokování souborů;
• Poskytovatel úložiště iSCSI Target (poskytovatelé hardwaru VDS a VSS) (iSCSITarget-VSS-VDS) – Služba umožňuje aplikacím na serveru připojeném k cíli iSCSI využívat svazky stínových kopií na virtuálních discích iSCSI;
• Jmenné prostory DFS (FS-DFS-Namespace) - pomocí této služby můžete seskupit sdílené složky umístěné na různých serverech do jednoho nebo více logicky strukturovaných jmenných prostorů;
• Pracovní složky (FS-SyncShareService) – služba umožňuje používat pracovní soubory na různých počítačích, včetně pracovních a osobních. Soubory můžete ukládat do pracovních složek, synchronizovat je a přistupovat k nim z místní sítě nebo internetu. Aby služba fungovala, komponenta " IIS In-Process Web Engine»;
• Replikace distribuovaného systému souborů (FS-DFS-Replication) je modul replikace dat mezi více servery, který umožňuje synchronizovat složky přes místní nebo globální síťové připojení. Tato technologie používá protokol Remote Differential Compression (RDC) k aktualizaci pouze těch částí souborů, které se od poslední replikace změnily. Replikaci DFS lze použít ve spojení s obory názvů DFS nebo samostatně;
• Server pro NFS (FS-NFS-Service) – služba, která umožňuje tomuto počítači sdílet soubory s počítači se systémem UNIX a dalšími počítači, které používají protokol NFS (Network File System);
• iSCSI Target Server (FS-iSCSITarget-Server) – Poskytuje služby a nástroje pro správu cílů iSCSI;
• Služba BranchCache pro síťové soubory (FS-BranchCache) – Služba poskytuje podporu BranchCache na tomto souborovém serveru;
• Služba File Server VSS Agent (FS-VSS-Agent) – Služba vám umožňuje provádět stínové kopie svazku pro aplikace, které ukládají datové soubory na tento souborový server.

Faxový server

Role odesílá a přijímá faxy a umožňuje vám spravovat faxové zdroje, jako jsou úlohy, nastavení, sestavy a faxová zařízení, v tomto počítači nebo síti. K práci potřebuješ" Tiskový server».

Název role pro Windows PowerShell je Fax.

Tímto končí přehled rolí serveru Windows Server 2016, doufám, že vám byl materiál užitečný, nashledanou!

Použití skupinových zásad (část 3)

GPO jsou obvykle přiřazeny ke kontejneru (doméně, webu nebo organizační jednotce) a vztahují se na všechny objekty v tomto kontejneru. Při dobře organizované doménové struktuře je to docela dost, ale někdy je nutné aplikaci politik dále omezit na určitou skupinu objektů. K tomu můžete použít dva typy filtrů.

Bezpečnostní filtry

Filtry zabezpečení umožňují omezit aplikaci zásad na určitou skupinu zabezpečení. Vezměme si například GPO2, který se používá k centrální konfiguraci nabídky Start na pracovních stanicích s Windows 8.1\Windows 10. GPO2 je přiřazen k OU zaměstnanců a vztahuje se na všechny uživatele bez výjimky.

Nyní přejděte na kartu „Rozsah“, kde jsou v části „Filtrování zabezpečení“ uvedeny skupiny, na které lze tento GPO použít. Ve výchozím nastavení je zde uvedena skupina Authenticated Users. To znamená, že zásady lze použít kdokoliv uživatel nebo počítač, který se úspěšně ověřil v doméně.

Ve skutečnosti má každý GPO svůj vlastní přístupový seznam, který lze vidět na kartě Delegace.

Chcete-li použít zásadu, musí mít objekt práva ji číst (Číst) a aplikovat (Použít zásadu skupiny), která má skupina Authenticated Users. V souladu s tím, aby se zásady nevztahovaly na všechny, ale pouze na určitou skupinu, musíte ze seznamu odebrat Authenticated Users, poté přidat požadovanou skupinu a dát jí příslušná práva.

V našem příkladu lze tedy zásadu použít pouze na skupinu Účetnictví.

WMI filtry

Windows Management Instrumentation (WMI) je jedním z nejvýkonnějších nástrojů pro správu operačních sálů systém Windows. WMI obsahuje velké množství třídy, pomocí kterých můžete popsat téměř jakékoli uživatelské a počítačové parametry. Všechny dostupné třídy WMI můžete zobrazit v seznamu pomocí prostředí PowerShell spuštěním příkazu:

Get-WmiObject -List

Vezměme si například třídu Win32_OperatingSystem, který je zodpovědný za vlastnosti operačního systému. Předpokládejme, že chcete odfiltrovat všechny operační systémy kromě Windows 10. Přejdeme k počítači s nainstalovaným Windows 10, otevřeme konzolu PowerShell a zobrazíme název, verzi a typ operačního systému pomocí příkazu:

Get-WmiObject -třída Win32_OperatingSystem | fl Název, Verze, Typ produktu

Pro filtr používáme verzi a typ OS. Verze je stejná pro klientské i serverové operační systémy a je definována takto:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 – 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Typ produktu je zodpovědný za účel počítače a může mít 3 hodnoty:

1 - pracovní stanice;
2 - řadič domény;
3 - server.

Nyní přejdeme k vytvoření filtru. Chcete-li to provést, otevřete modul snap-in „Správa zásad skupiny“ a přejděte do části Filtry WMI. Klikněte na něj pravým tlačítkem myši a z kontextové nabídky vyberte „Nový“.

V okně, které se otevře, zadejte název a popis filtru. Poté klikněte na tlačítko „Přidat“ a do pole „Dotaz“ zadejte dotaz WQL, který je základem filtru WMI. Musíme vybrat OS verze 10.0 s typem 1, takže požadavek bude vypadat takto:

SELECT * FROM Win32_OperatingSystem WHERE Verze LIKE ″10,0 %″ A ProductType = ″1″

Poznámka. Windows Query Language (WQL) je dotazovací jazyk WMI. Více se o tom můžete dozvědět na MSDN.

Uložte výsledný filtr.

Nyní zbývá pouze přiřadit WMI filtr k objektu skupinové politiky, například k GPO3. Přejděte do vlastností GPO, otevřete kartu „Rozsah“ a v poli „Filtrování WMI“ vyberte požadovaný filtr ze seznamu.

Analýza aplikací zásad skupiny

S tolika způsoby, jak filtrovat GPO, musíte být schopni diagnostikovat a analyzovat jejich použití. Nejjednodušší způsob, jak zkontrolovat účinek skupinových zásad na počítači, je použít nástroj příkazového řádku gpresult.

Pojďme například k počítači wks2, na kterém je nainstalován systém Windows 7, a zkontrolujte, zda filtr WMI fungoval. Chcete-li to provést, otevřete konzolu cmd s právy správce a spusťte příkaz gpresult /r, která zobrazuje souhrnné informace o zásadách skupiny aplikovaných na uživatele a počítač.

Poznámka. Nástroj gpresult má mnoho nastavení, která můžete zobrazit pomocí příkazu gpresult /?.

Jak je ze získaných dat vidět, na počítač nebyla aplikována zásada GPO3, protože byla filtrována pomocí filtru WMI.

Účinek GPO můžete také zkontrolovat z modulu snap-in „Správa zásad skupiny“ pomocí speciálního průvodce. Chcete-li spustit průvodce, klikněte pravým tlačítkem myši na sekci „Výsledky zásad skupiny“ a z nabídky, která se otevře, vyberte „Průvodce výsledky zásad skupiny“.

Zadejte název počítače, pro který bude sestava generována. Pokud chcete pouze zobrazit uživatelská nastavení zásad skupiny, nemusíte shromažďovat nastavení pro váš počítač. Chcete-li to provést, musíte zaškrtnout políčko níže (zobrazit pouze nastavení zásad uživatele).

Poté vybereme uživatelské jméno, pro které budou shromažďována data, nebo můžete určit, že do sestavy nebude zahrnuto nastavení zásad skupiny pro daného uživatele (zobrazit pouze nastavení zásad počítače).

Zkontrolujeme zvolená nastavení, klikneme na „Další“ a počkáme, než se shromáždí data a vygeneruje se zpráva.

Zpráva obsahuje komplexní informace o objektech GPO použitých (nebo nepoužitých) na uživatele a počítač a také o použitých filtrech.

Vytvořme například sestavy pro dva různé uživatele a porovnejme je. Nejprve otevřeme sestavu pro uživatele Kirill a přejdeme do sekce uživatelských nastavení. Jak vidíte, zásada GPO2 nebyla na tohoto uživatele použita, protože nemá práva ji použít (Důvod odepřen - Nepřístupný).

Nyní otevřeme zprávu pro uživatele Olega. Tento uživatel je členem skupiny Účetnictví, takže na něj byla zásada úspěšně aplikována. To znamená, že bezpečnostní filtr úspěšně fungoval.

Zde pravděpodobně ukončím „fascinující“ příběh o používání skupinových zásad. Doufám, že tyto informace budou užitečné a pomohou vám v obtížném úkolu správy systému :)