Fornire una descrizione dettagliata della politica del server in merito. Comando GPResult: diagnostica dei criteri di gruppo risultanti

Lezione 4 Server delle politiche di rete: server RADIUS, proxy RADIUS e server delle politiche di sicurezza

Lezione 4

Argomento: Server dei criteri di rete: server RADIUS, proxy RADIUS e server dei criteri di protezione dell'accesso alla rete

introduzione

WindowsServer 2008 e Windows Server 2008 R2 sono sistemi operativi Windows Server avanzati progettati per abilitare una nuova generazione di reti, applicazioni e servizi Web. Con questi sistemi operativi puoi sviluppare, fornire e gestire esperienze flessibili e complete per utenti e applicazioni, creare infrastrutture di rete altamente sicure e aumentare l'efficienza tecnologica e l'organizzazione della tua organizzazione.

Server dei criteri di rete

Network Policy Server consente di creare e applicare policy di accesso alla rete a livello di organizzazione per garantire l'integrità del client, l'autenticazione e l'autorizzazione delle richieste di connessione. Inoltre, NPS può essere utilizzato come proxy RADIUS per inoltrare richieste di connessione a NPS o ad altri server RADIUS configurati in gruppi di server RADIUS remoti.

Network Policy Server consente di configurare e gestire centralmente l'autenticazione, l'autorizzazione e i criteri di integrità del client quando si concede l'accesso alla rete, utilizzando le tre funzionalità seguenti:

server RADIO. Network Policy Server gestisce centralmente l'autenticazione, l'autorizzazione e l'accounting per le connessioni wireless, le connessioni switch autenticate, le connessioni remote e le connessioni VPN (Virtual Private Network). Quando si utilizza NPS come server RADIUS, i server di accesso alla rete, ad esempio punti di accesso wireless e server VPN, vengono configurati come client RADIUS su NPS. Inoltre, si configurano i criteri di rete utilizzati da NPS per autorizzare le richieste di connessione. Inoltre, è possibile configurare l'accounting RADIUS in modo che i dati vengano registrati dal server NPS in file di log archiviati sul disco rigido locale o nel database Dati Microsoft Server SQL.

Proxy RAGGIO. Se NPS viene utilizzato come proxy RADIUS, è necessario configurare criteri di richiesta di connessione che determinano quali richieste di connessione NPS inoltrerà ad altri server RADIUS e a quali server RADIUS specifici verranno inoltrate queste richieste. È inoltre possibile configurare il Server dei criteri di rete per reindirizzare le credenziali per archiviarle su uno o più computer in un gruppo di server RADIUS remoti.

Server dei criteri di protezione dell'accesso alla rete (NAP). Quando NPS è configurato come server dei criteri di Protezione accesso alla rete, NPS valuta gli stati di integrità inviati dai computer client abilitati per Protezione accesso alla rete che tentano di connettersi alla rete. Il Network Policy Server, configurato con Protezione accesso alla rete, funge da server RADIUS per autenticare e autorizzare le richieste di connessione. Sul Server dei criteri di rete è possibile configurare criteri e impostazioni di protezione dell'accesso alla rete, inclusi controlli di integrità del sistema, criteri di integrità e gruppi di server di aggiornamento che garantiscono che la configurazione dei computer client venga aggiornata in base ai criteri di rete dell'organizzazione.

Il Network Policy Server può essere configurato con qualsiasi combinazione delle opzioni precedenti. Ad esempio, un server dei criteri di rete può agire come server dei criteri di protezione dell'accesso alla rete utilizzando uno o più metodi di imposizione e fungendo contemporaneamente da server RADIUS per connessioni di accesso remoto e da proxy RADIUS per inoltrare alcune richieste di connessione a un gruppo di server RADIUS remoti. server che consente di eseguire l'autenticazione e l'autorizzazione su un dominio diverso.

Server RADIUS e proxy RADIUS

Il Network Policy Server può essere utilizzato come server RADIUS, proxy RADIUS o entrambi contemporaneamente.

server RADIO

Microsoft Network Policy Server è implementato in conformità con lo standard RADIUS, come descritto in IETF RFC 2865 e RFC 2866. In quanto server RADIUS, Network Policy Server esegue centralmente l'autenticazione, l'autorizzazione e l'accounting delle connessioni per vari tipi di accesso alla rete, incluso wireless accesso, commutazione autenticata, accesso remoto e VPN e connessioni tra router.

Network Policy Server consente un insieme diversificato di apparecchiature wireless, remote, VPN e di commutazione. Il Server dei criteri di rete può essere utilizzato con il servizio Routing e Accesso remoto disponibile nei sistemi operativi Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition e Windows Server 2003, Datacenter Edition.

Se il computer che esegue NPS è membro di un dominio Active Directory®, NPS utilizza questo servizio directory come database degli account utente e fa parte della soluzione Single Sign-On. Lo stesso insieme di credenziali viene utilizzato per controllare l'accesso alla rete (autenticazione e autorizzazione dell'accesso alla rete) e per accedere al dominio Active Directory.

I fornitori di servizi Internet e le organizzazioni che forniscono l'accesso alla rete devono affrontare sfide maggiori nella gestione di tutti i tipi di reti da un unico punto di amministrazione, indipendentemente dalle apparecchiature di accesso alla rete utilizzate. Lo standard RADIUS supporta questa funzionalità sia in ambienti omogenei che eterogenei. Il protocollo RADIUS è un protocollo client-server che consente alle apparecchiature di accesso alla rete (che agiscono come client RADIUS) di effettuare richieste di autenticazione e accounting a un server RADIUS.

Il server RADIUS ha accesso alle informazioni sull'account dell'utente e può convalidare le credenziali durante l'autenticazione per garantire l'accesso alla rete. Se le credenziali dell'utente sono valide e il tentativo di connessione è autorizzato, il server RADIUS autorizza l'accesso dell'utente in base alle condizioni specificate e registra le informazioni di connessione nel registro. L'utilizzo del protocollo RADIUS consente di raccogliere e conservare informazioni di autenticazione, autorizzazione e contabilità in un'unica posizione invece di dover eseguire questa operazione su ciascun server di accesso.

Proxy RAGGIO

In qualità di proxy RADIUS, NPS inoltra messaggi di autenticazione e accounting ad altri server RADIUS.

Con Network Policy Server, le organizzazioni possono esternalizzare la propria infrastruttura di accesso remoto a un fornitore di servizi mantenendo il controllo sull'autenticazione, sull'autorizzazione e sulla contabilità degli utenti.

È possibile creare configurazioni del Server dei criteri di rete per i seguenti scenari:

Accesso senza fili

Connessione ad un accesso remoto o ad una rete privata virtuale in un'organizzazione.

Accesso remoto o accesso wireless fornito da un'organizzazione esterna

accesso ad Internet

Accesso autenticato alle risorse di rete esterne per i partner commerciali

Esempi di configurazioni di server RADIUS e proxy RADIUS

Negli esempi di configurazione seguenti viene illustrato come configurare NPS come server RADIUS e proxy RADIUS.

NPS come server RADIUS. In questo esempio il server NPS è configurato come server RADIUS, l'unico criterio configurato è il criterio di richiesta di connessione predefinito e tutte le richieste di connessione vengono elaborate dal server NPS locale. Il Network Policy Server può autenticare e autorizzare gli utenti i cui account si trovano nel dominio del server o in domini attendibili.

NPS come proxy RADIUS. In questo esempio, NPS è configurato come proxy RADIUS che inoltra le richieste di connessione a gruppi di server RADIUS remoti in due diversi domini non attendibili. La policy di richiesta di connessione predefinita viene rimossa e sostituita da due nuove policy di richiesta di connessione che inoltrano le richieste a ciascuno dei due domini non attendibili. In questo esempio NPS non elabora le richieste di connessione sul server locale.

NPS sia come server RADIUS che come proxy RADIUS. Oltre ai criteri di richiesta di connessione predefiniti che elaborano le richieste localmente, viene creato un nuovo criterio di richiesta di connessione che le inoltra a NPS o a un altro server RADIUS in un dominio non attendibile. La seconda policy è denominata Proxy. In questo esempio, la policy proxy viene visualizzata per prima nell'elenco ordinato delle policy. Se una richiesta di connessione corrisponde alla policy proxy, la richiesta di connessione viene inoltrata a un server RADIUS nel gruppo di server RADIUS remoto. Se una richiesta di connessione non corrisponde al criterio proxy, ma corrisponde al criterio di richiesta di connessione predefinito, il Server dei criteri di rete elabora la richiesta di connessione sul server locale. Se una richiesta di connessione non soddisfa nessuno di questi criteri, viene rifiutata.

NPS come server RADIUS con server di contabilità remoti. In questo esempio il server dei criteri di rete locale non è configurato per l'accounting e i criteri di richiesta di connessione predefiniti vengono modificati in modo che i messaggi di accounting RADIUS vengano inoltrati al server dei criteri di rete o a un altro server RADIUS nel gruppo di server RADIUS remoti. Sebbene i messaggi di accounting vengano inoltrati, i messaggi di autenticazione e autorizzazione non vengono inoltrati e le funzioni correlate per il dominio locale e tutti i domini attendibili vengono eseguite dal server NPS locale.

NPS con mappatura degli utenti da RADIUS remoto a Windows. In questo esempio, NPS funge sia da server RADIUS che da proxy RADIUS per ogni singola richiesta di connessione, inoltrando la richiesta di autenticazione a un server RADIUS remoto eseguendo contemporaneamente l'autorizzazione utilizzando l'account utente Windows locale. Questa configurazione viene implementata impostando l'attributo Mapping del server RADIUS remoto all'utente Windows come condizione del criterio di richiesta di connessione. (Inoltre, è necessario creare un account utente locale sul server RADIUS con lo stesso nome dell'account remoto che verrà autenticato dal server RADIUS remoto.)

Server dei criteri di protezione dell'accesso alla rete

La protezione dell'accesso alla rete è inclusa in Windows Vista®, Windows® 7, Windows Server® 2008 e Windows Server® 2008 R2. Aiuta a proteggere l'accesso alle reti private garantendo che i computer client siano conformi ai criteri di integrità in vigore sulla rete dell'organizzazione quando consentono a tali client di accedere alle risorse di rete. Inoltre, la conformità del computer client ai criteri di integrità definiti dall'amministratore viene monitorata da Protezione accesso alla rete mentre il computer client è connesso alla rete. Con la funzionalità di aggiornamento automatico di Protezione accesso alla rete, i computer non conformi possono essere aggiornati automaticamente ai criteri di integrità, consentendo loro di ottenere successivamente l'accesso alla rete.

Gli amministratori di sistema definiscono i criteri di integrità della rete e creano tali criteri utilizzando i componenti di Protezione accesso alla rete disponibili da Server dei criteri di rete o forniti da altre società (a seconda dell'implementazione di Protezione accesso alla rete).

I criteri di integrità possono avere caratteristiche quali requisiti software, requisiti di aggiornamento della sicurezza e requisiti di parametri di configurazione. La protezione dell'accesso alla rete applica i criteri di integrità controllando e valutando l'integrità dei computer client, limitando l'accesso alla rete ai computer che non soddisfano questi requisiti e correggendo la non conformità per fornire un accesso alla rete senza restrizioni.

Utilità GPResult.exe– è un'applicazione console progettata per analizzare le impostazioni e diagnosticare i criteri di gruppo che si applicano a un computer e/o utente in un dominio Active Directory. In particolare, GPResult consente di ottenere dati dal set di policy risultante (Resultant Set of Policy, RSOP), un elenco di policy di dominio applicate (GPO), le loro impostazioni e informazioni dettagliate sugli errori nella loro elaborazione. L'utilità fa parte del sistema operativo Windows a partire da Windows XP. L'utilità GPResult consente di rispondere alle seguenti domande: se al computer si applica una policy specifica, quale GPO ha modificato questo o quello Configurazione di Windows, capirne le ragioni.

In questo articolo esamineremo le funzionalità dell'utilizzo del comando GPResult per diagnosticare ed eseguire il debug dell'applicazione dei criteri di gruppo in un dominio Active Directory.

Inizialmente, per diagnosticare l'applicazione dei criteri di gruppo in Windows, è stata utilizzata la console grafica RSOP.msc, che ha permesso di ottenere le impostazioni dei criteri risultanti (dominio + locale) applicati al computer e all'utente in una forma grafica simile alla console dell'editor GPO (di seguito è possibile vedere nell'esempio della visualizzazione della console RSOP.msc che le impostazioni di aggiornamento sono impostate).

Tuttavia, non è consigliabile utilizzare la console RSOP.msc nelle versioni moderne di Windows, perché non riflette le impostazioni applicate dalle varie estensioni lato client (CSE), come GPP (Preferenze Criteri di gruppo), non consente la ricerca e fornisce poche informazioni diagnostiche. Pertanto, al momento, il comando GPResult è lo strumento principale per diagnosticare l'utilizzo dell'oggetto Criteri di gruppo in Windows (in Windows 10 appare anche un avviso che RSOP non fornisce un report completo, a differenza di GPResult).

Utilizzando l'utilità GPResult.exe

Il comando GPResult viene eseguito sul computer su cui si desidera verificare l'applicazione dei criteri di gruppo. Il comando GPResult ha la seguente sintassi:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Per ottenere informazioni dettagliate sui criteri di gruppo che si applicano a un determinato oggetto AD (utente e computer) e altre impostazioni relative all'infrastruttura dell'oggetto Criteri di gruppo (ovvero, le impostazioni dei criteri dell'oggetto Criteri di gruppo risultanti - RsoP), eseguire il comando:

I risultati del comando sono divisi in 2 sezioni:

• COMPUTER IMPOSTAZIONI (Configurazione del computer) – la sezione contiene informazioni sugli oggetti GPO che agiscono sul computer (come oggetto Active Directory);
• UTENTE IMPOSTAZIONI – sezione delle politiche utente (politiche che si applicano a un account utente in AD).

Ripercorriamo brevemente i principali parametri/sezioni che potrebbero interessarci nell'output GPResult:

• LuogoNome(Nome sito:) – nome del sito AD in cui si trova il computer;
• CN– utente/computer canonico completo per il quale sono stati generati i dati RSoP;
• ScorsotempoGruppoPoliticaeraapplicato(Ultimo criterio di gruppo applicato): ora dell'ultima applicazione dei criteri di gruppo;
• GruppoPoliticaeraapplicatoda(Criteri di gruppo applicati da): il controller di dominio da cui è stato caricato ultima versione oggetto Criteri di gruppo;
• DominioNomee DominioTipo(Nome di dominio, tipo di dominio) – nome e versione dello schema del dominio Active Directory;
• ApplicatoGruppoPoliticaOggetti(Oggetti Criteri di gruppo applicati)– elenchi di oggetti policy di gruppo attivi;
• ILseguenteOggetti Criteri di gruppoeranononapplicatoPerchéEssieranofiltratofuori(I seguenti criteri GPO non sono stati applicati perché filtrati) - GPO non applicati (filtrati);
• ILutente/computerÈUNparteDiILseguentesicurezzagruppi(L'utente/computer è membro dei seguenti gruppi di sicurezza) – gruppi di dominio di cui l'utente è membro.

Nel nostro esempio, puoi vedere che l'oggetto utente è soggetto a 4 criteri di gruppo.

• Politica di dominio predefinita;
• Abilita Windows Firewall;
• Elenco di ricerca dei suffissi DNS;

Se non desideri che le informazioni sui criteri utente e computer vengano visualizzate contemporaneamente nella console, puoi utilizzare l'opzione /scope per visualizzare solo la sezione che ti interessa. Solo i criteri utente risultanti:

gpresult /r /ambito:utente

o solo criteri informatici applicati:

gpresult /r /ambito:computer

Perché L'utilità Gpresult invia i suoi dati direttamente alla console riga di comando, cosa non sempre conveniente per l'analisi successiva, il suo output può essere reindirizzato negli appunti:

Gpresult /r |clip

o file di testo:

Gpresult /r > c:\gpresult.txt

Per visualizzare informazioni RSOP estremamente dettagliate, è necessario aggiungere l'opzione /z.

Report RSOP HTML utilizzando GPResult

Inoltre, l'utilità GPResult può generare un report HTML delle politiche risultanti applicate (disponibile su Windows 7 e versioni successive). Questo report conterrà informazioni dettagliate su tutti i parametri di sistema impostati dai criteri di gruppo e sui nomi degli oggetti Criteri di gruppo specifici che li impostano (la struttura del report risultante assomiglia alla scheda Impostazioni nella Console di gestione dei criteri di gruppo del dominio - GPMC). È possibile generare un report GPResult HTML utilizzando il comando:

GPResult /h c:\gp-report\report.html /f

Per generare un report e aprirlo automaticamente in un browser, esegui il comando:

GPResult /h GPResult.html & GPResult.html

Il report HTML gpresult contiene parecchio informazioni utili: sono visibili gli errori nell'applicazione dell'oggetto Criteri di gruppo, nel tempo di elaborazione (in ms) e nell'applicazione di policy specifiche e CSE (nella sezione Dettagli computer -> Stato componente). Ad esempio, nello screenshot qui sopra puoi vedere che il criterio con le 24 impostazioni di memorizzazione delle password viene applicato dal criterio di dominio predefinito (colonna GPO vincente). Come puoi vedere, questo report HTML è molto più comodo per analizzare le policy applicate rispetto alla console rsop.msc.

Ricezione dei dati GPResult da un computer remoto

GPResult può anche raccogliere dati da un computer remoto, eliminando la necessità per l'amministratore di accedere localmente o tramite RDP al computer remoto. Il formato del comando per raccogliere dati RSOP da un computer remoto è il seguente:

GPResult /s server-ts1 /r

Allo stesso modo, è possibile raccogliere in remoto dati sia dai criteri utente che dai criteri computer.

Il nome utente dell'utente non dispone di dati RSOP

Quando l'UAC è abilitato, l'esecuzione di GPResult senza privilegi elevati visualizza le impostazioni solo della sezione dei criteri di gruppo utente. Se è necessario visualizzare entrambe le sezioni (IMPOSTAZIONI UTENTE e IMPOSTAZIONI COMPUTER) contemporaneamente è necessario eseguire il comando. Se la riga di comando è elevata a un sistema diverso rispetto all'utente corrente, l'utilità emetterà un avviso INFORMAZIONI:ILutente"dominio\utente"fanonAvereRSOPdati ( L'utente "dominio\utente" non dispone di dati RSOP). Ciò accade perché GPResult tenta di raccogliere informazioni per l'utente che lo ha avviato, ma perché... Questo utente non ha effettuato l'accesso e non sono disponibili informazioni RSOP per lui. Per raccogliere informazioni RSOP per un utente con una sessione attiva, è necessario specificare il suo account:

gpresult /r /utente:tn\edward

Se non conosci il nome dell'account a cui hai effettuato l'accesso sul computer remoto, puoi ottenere l'account in questo modo:

qwinsta /SERVER:remotePC1

Controllare anche l'ora/e sul client. L'ora deve corrispondere all'ora del PDC (controller di dominio primario).

I seguenti criteri oggetto Criteri di gruppo non sono stati applicati perché filtrati

Durante la risoluzione dei problemi relativi ai criteri di gruppo, prestare attenzione anche alla sezione: I seguenti oggetti Criteri di gruppo non sono stati applicati perché filtrati. In questa sezione viene visualizzato un elenco di oggetti Criteri di gruppo che, per un motivo o per l'altro, non si applicano a questo oggetto. Possibili modalità in cui la policy potrebbe non applicarsi:

Puoi anche capire se la policy deve essere applicata a uno specifico oggetto AD nella scheda dei permessi effettivi (Avanzate -> Accesso effettivo).

Pertanto, in questo articolo abbiamo esaminato le funzionalità di diagnosi dell'applicazione dei criteri di gruppo utilizzando l'utilità GPResult e abbiamo esaminato gli scenari tipici per il suo utilizzo.

Durante l'installazione di Windows, la maggior parte dei sottosistemi minori non vengono attivati ​​o installati. Questo viene fatto per motivi di sicurezza. Poiché il sistema è sicuro per impostazione predefinita, gli amministratori di sistema possono concentrarsi sulla progettazione di un sistema che esegua esattamente le funzioni previste e nient'altro. Per aiutarti ad abilitare le funzionalità di cui hai bisogno, Windows ti chiede di selezionare un ruolo server.

Ruoli

Un ruolo server è un insieme di programmi che, se installati e configurati correttamente, consentono a un computer di eseguire una funzione specifica per più utenti o altri computer su una rete. In generale, tutti i ruoli hanno le seguenti caratteristiche.

• Definiscono la funzione principale, lo scopo o lo scopo dell'utilizzo di un computer. È possibile designare un computer per eseguire un singolo ruolo molto utilizzato nell'azienda oppure per eseguire più ruoli se ciascuno viene utilizzato solo occasionalmente.
• I ruoli consentono agli utenti di tutta l'organizzazione di accedere alle risorse gestite da altri computer, come siti Web, stampanti o file archiviati su computer diversi.
• In genere dispongono di database propri che accodano le richieste degli utenti o dei computer o registrano informazioni sugli utenti e sui computer della rete rilevanti per il ruolo. Ad esempio, Servizi di dominio Active Directory contiene un database per archiviare i nomi e le relazioni gerarchiche di tutti i computer su una rete.
• Una volta installati e configurati correttamente, i ruoli funzionano automaticamente. Ciò consente ai computer su cui sono installati di eseguire attività assegnate con interazione limitata da parte dell'utente.

Servizi di ruolo

I servizi di ruolo sono programmi che forniscono funzionalità ruoli. Quando installi un ruolo, puoi scegliere quali servizi fornire ad altri utenti e computer nell'azienda. Alcuni ruoli, ad esempio il server DNS, eseguono solo una funzione, quindi non esistono servizi ruolo per essi. Altri ruoli, come Servizi Desktop remoto, dispongono di più servizi che possono essere installati in base alle esigenze di accesso remoto della tua azienda. Un ruolo può essere visto come una raccolta di servizi di ruolo strettamente correlati e complementari. Nella maggior parte dei casi, installare un ruolo significa installare uno o più dei suoi servizi.

Componenti

I componenti sono programmi che non fanno parte direttamente dei ruoli, ma supportano o estendono la funzionalità di uno o più ruoli o di un intero server, indipendentemente da quali ruoli siano installati. Ad esempio, la funzionalità Failover Cluster estende la funzionalità di altri ruoli, come Servizi file e Server DHCP, consentendo loro di unirsi a cluster di server, fornendo maggiore ridondanza e prestazioni. Un altro componente - "Telnet Client" - fornisce la comunicazione remota con il server Telnet tramite connessione di rete. Questa funzionalità migliora le capacità di comunicazione del server.

Quando Windows Server è in esecuzione in modalità Server Core, sono supportati i seguenti ruoli del server:

• Servizi certificati Active Directory;
• Servizi di dominio Active Directory;
• server DHCP;
• server DNS;
• servizi file (incluso il gestore delle risorse del file server);
• Servizi di directory leggeri di Active Directory;
• Hyper-V;
• servizi di stampa e documenti;
• Servizi multimediali in streaming;
• server web (incluso un sottoinsieme di ASP.NET);
• server Aggiornamenti di Windows Server;
• Server di gestione dei diritti di Active Directory;
• Server di Routing e Accesso remoto e i seguenti ruoli subordinati:
  • Broker di connessione Servizi Desktop remoto;
  • licenza;
  • virtualizzazione.

Quando Windows Server è in esecuzione in modalità Server Core, sono supportati i seguenti componenti server:

• Microsoft.NET Framework 3.5;
• Microsoft.NET Framework 4.5;
• Windows PowerShell;
• servizio di trasferimento intelligente in background (BITS);
• Crittografia del disco BitLocker;
• Sblocco della rete BitLocker;
• BranchCache
• ponte del centro dati;
• Archiviazione migliorata;
• clustering di failover;
• I/O multipercorso;
• bilanciamento del carico di rete;
• protocollo PNRP;
• qOnda;
• compressione differenziale remota;
• servizi TCP/IP semplici;
• RPC tramite proxy HTTP;
• server SMTP;
• servizio SNMP;
• Cliente Telnet;
• server Telnet;
• Cliente TFTP;
• fondo interno Dati di Windows;
• Accesso Web a Windows PowerShell;
• Servizio di attivazione di Windows;
• gestione standardizzata dell'archiviazione Windows;
• Estensione WinRM IIS;
• server WINS;
• Supporto per WoW64.

Installazione dei ruoli del server utilizzando Server Manager

Per aggiungere, aprire Server Manager e nel menu Gestisci fare clic su Aggiungi ruoli e funzionalità:

Si apre l'Aggiunta guidata ruoli e funzionalità. Fare clic su Avanti

Tipo di installazione: seleziona Installazione basata su ruoli o basata su funzionalità. Prossimo:

Selezione server: seleziona il nostro server. Fare clic su Ruoli server successivi: selezionare i ruoli, se necessario, selezionare i servizi ruolo e fare clic su Avanti per selezionare i componenti. Durante questa procedura, l'Aggiunta guidata ruoli e funzionalità informa automaticamente se sono presenti conflitti sul server di destinazione che potrebbero impedire l'installazione o il corretto funzionamento dei ruoli o delle funzionalità selezionati. Viene inoltre richiesto di aggiungere i ruoli, i servizi ruolo e le funzionalità richiesti per i ruoli o le funzionalità selezionati.

Installazione di ruoli utilizzando PowerShell

Apri Windows PowerShell Inserisci il comando Get-WindowsFeature per visualizzare un elenco di ruoli e funzionalità disponibili e installati nel server locale. I risultati di questo cmdlet contengono i nomi dei comandi per i ruoli e le funzionalità installati e disponibili per l'installazione.

Digitare Get-Help Install-WindowsFeature per visualizzare la sintassi e i parametri validi per il cmdlet Install-WindowsFeature (MAN).

Immettere il comando seguente (-Restart riavvierà il server se è necessario un riavvio durante l'installazione del ruolo).

Installa-Funzionalità Windows –Nome -Ricomincia

Descrizione dei ruoli e dei servizi di ruolo

Tutti i ruoli e i servizi ruolo sono descritti di seguito. Diamo un'occhiata alla configurazione avanzata per quelli più comuni nella nostra pratica: ruolo server Web e servizi desktop remoto

Descrizione dettagliata di IIS

• Funzionalità HTTP comuni: componenti HTTP di base
  • Documento predefinito: consente di impostare una pagina indice per il sito.
  • Navigazione nella directory: consente agli utenti di visualizzare il contenuto di una directory su un server Web. Utilizza la navigazione nelle directory per generare automaticamente un elenco di tutte le directory e i file presenti in una directory quando gli utenti non specificano un file nell'URL e la pagina dell'indice è disabilitata o non configurata
  • Errori HTTP: consente di configurare i messaggi di errore restituiti ai client nel browser.
  • Contenuto statico: consente di pubblicare contenuto statico, ad esempio immagini o file html.
  • Reindirizzamento HTTP: fornisce supporto per reindirizzare le richieste degli utenti.
  • La pubblicazione WebDAV consente di pubblicare file da un server Web utilizzando il protocollo HTTP.
• Funzionalità di integrità e diagnostica: componenti diagnostici
  • La registrazione HTTP fornisce la registrazione dell'attività del sito Web per un determinato server.
  • La registrazione personalizzata fornisce supporto per la creazione di registri personalizzati diversi dai registri “tradizionali”.
  • Gli strumenti di registrazione forniscono un'infrastruttura per la gestione dei registri del server Web e l'automazione delle attività di registrazione comuni.
  • La registrazione ODBC fornisce un'infrastruttura che supporta la registrazione dell'attività del server Web in un database compatibile con ODBC.
  • Request Monitor fornisce un'infrastruttura per monitorare l'integrità delle applicazioni Web raccogliendo informazioni sulle richieste HTTP nel processo di lavoro IIS.
  • La traccia fornisce un framework per la diagnosi e la risoluzione dei problemi delle applicazioni Web. Utilizzando la traccia delle richieste non riuscite, puoi tenere traccia di eventi difficili da acquisire come scarse prestazioni o errori di autenticazione.
• I componenti prestazionali aumentano le prestazioni del server web.
  • La compressione del contenuto statico fornisce l'infrastruttura per impostare la compressione HTTP del contenuto statico
  • La compressione dinamica del contenuto fornisce l'infrastruttura per impostare la compressione HTTP del contenuto dinamico.
• Componenti di sicurezza di sicurezza
  • Il filtraggio delle richieste consente di registrare tutte le richieste in arrivo e filtrarle in base alle regole impostate dall'amministratore.
  • L'autenticazione di base consente di impostare un'autorizzazione aggiuntiva
  • Il supporto centralizzato dei certificati SSL è una funzionalità che consente di archiviare i certificati in una posizione centralizzata, come una condivisione di file.
  • Mapping certificati client L'autenticazione utilizza i certificati client per autenticare gli utenti.
  • L'autenticazione del digest funziona inviando un hash della password a un controller di dominio Windows per autenticare gli utenti. Se ne hai bisogno di più alto livello sicurezza rispetto all'autenticazione di base, prendere in considerazione l'utilizzo dell'autenticazione Digest
  • L'autenticazione del mapping dei certificati client IIS utilizza i certificati client per autenticare gli utenti. Un certificato client è un ID digitale ottenuto da una fonte attendibile.
  • Restrizioni IP e dominio consente di consentire/negare l'accesso in base all'indirizzo IP o al nome di dominio richiesto.
  • L'autorizzazione URL consente di creare regole che limitano l'accesso ai contenuti web.
  • Autenticazione di Windows Questo schema di autenticazione consente agli amministratori di dominio Windows di sfruttare l'infrastruttura del dominio per autenticare gli utenti.
• Sviluppo di applicazioni Presenta componenti di sviluppo di applicazioni
• Server FTP
  • Servizio FTP Abilita la pubblicazione FTP sul server web.
  • Estensibilità FTP Include il supporto per le funzioni FTP che estendono le capacità di
• Strumenti di gestione
  • La Console di gestione IIS installa Gestione IIS, che consente di gestire il server Web tramite un'interfaccia grafica
  • La compatibilità di gestione di IIS 6.0 fornisce compatibilità futura per applicazioni e script che utilizzano le API Admin Base Object (ABO) e Active Directory Directory Service Interface (ADSI). Ciò consente agli script IIS 6.0 esistenti di essere utilizzati da un server Web IIS 8.0
  • Gli script e gli strumenti di gestione IIS forniscono l'infrastruttura per la gestione del server Web IIS a livello di codice, utilizzando i comandi in una finestra del prompt dei comandi o eseguendo script.
  • Il servizio di gestione fornisce l'infrastruttura per la configurazione dell'interfaccia utente di Gestione IIS.

Descrizione dettagliata di RDS

• Broker di connessione desktop remoto: fornisce la riconnessione del dispositivo client ai programmi basati su sessioni di computer desktop e desktop virtuali.
• Gateway Desktop remoto: consente agli utenti autorizzati di connettersi a desktop virtuali, programmi RemoteApp e desktop basati su sessioni su una rete aziendale o su Internet.
• Licenze Desktop remoto: strumento di gestione delle licenze RDP
• Host sessione desktop remoto: consente a un server di ospitare programmi RemoteApp o una sessione basata su desktop.
• Host di virtualizzazione desktop remoto: consente di configurare RDP su macchine virtuali
• Accesso Web desktop remoto: consente agli utenti di connettersi alle risorse desktop utilizzando il menu Start o un browser Web.

Diamo un'occhiata all'installazione e alla configurazione di un server delle licenze del terminale. Quanto sopra descrive come installare i ruoli, l'installazione di RDS non è diversa dall'installazione di altri ruoli; in Servizi ruolo dovremo selezionare Licenza Desktop remoto e Host sessione Desktop remoto. Dopo l'installazione, la voce Servizi terminal verrà visualizzata in Server Manager-Strumenti. Servizi terminal dispone di due elementi: Diagnostica licenze Desktop remoto, uno strumento diagnostico per le licenze di desktop remoto, e Gestione licenze Desktop remoto, uno strumento di gestione delle licenze.

Lanciamo Diagnostica licenze Desktop remoto

Qui vediamo che non ci sono ancora licenze disponibili perché la modalità di licenza per il server Host sessione Desktop remoto non è impostata. Il server delle licenze è specificato nei criteri di gruppo locali. Per avviare l'editor, esegui il comando gpedit.msc. Si aprirà l'Editor Criteri di gruppo locali. Nell'albero a sinistra, apriamo le schede:

• Configurazione del computer
• Modelli amministrativi
• Componenti di Windows
• "Servizi Desktop remoto"
• "Host sessione desktop remoto"
• "Licenza"

Apri i parametri Utilizza i server di licenza Desktop remoto specificati

Nella finestra di modifica delle impostazioni dei criteri, abilitare il server delle licenze (Abilitato). Successivamente, è necessario determinare il server delle licenze per Servizi Desktop remoto. Nel mio esempio, il server delle licenze si trova sullo stesso server fisico. Specificare il nome di rete o l'indirizzo IP del server delle licenze e fare clic su OK. Se in futuro cambi il nome del server, il server delle licenze dovrà essere modificato nella stessa sezione.

Successivamente, in Diagnostica licenze Desktop remoto è possibile vedere che il server licenze terminale è configurato, ma non abilitato. Per abilitare, avviare Gestione licenze Desktop remoto

Seleziona un server di licenza con lo stato Non attivato. Per attivarlo, fai clic destro su di esso e seleziona Attiva server. Verrà avviata la procedura guidata di attivazione del server. Nella scheda Metodo di connessione selezionare Connessione automatica. Successivamente, inserisci le informazioni sull'organizzazione, dopodiché viene attivato il server delle licenze.

Servizi certificati Active Directory

Servizi certificati Active Directory fornisce servizi di certificati digitali personalizzabili utilizzati nei sistemi di sicurezza software che sfruttano la tecnologia chiavi pubbliche e la gestione di tali certificati. I certificati digitali forniti da Servizi certificati Active Directory possono essere usati per la crittografia e la firma digitale documenti elettronici e messaggi. Questi certificati digitali possono essere utilizzati per verificare l'autenticità degli account di computer, utenti e dispositivi online. I certificati digitali vengono utilizzati per garantire:

• privacy attraverso la crittografia;
• integrità mediante firme digitali;
• autenticazione associando le chiavi del certificato agli account del computer, dell'utente e del dispositivo sulla rete.

È possibile usare Servizi certificati Active Directory per migliorare la sicurezza associando l'identità di un utente, di un dispositivo o di un servizio all'identità appropriata chiave privata. Gli usi supportati da Servizi certificati Active Directory includono le estensioni di posta Internet multiuso sicure (S/MIME), protette rete senza fili, reti private virtuali (VPN), IPsec, crittografia file system (EFS), accesso con smart card, protocollo sicuro e Transport Layer Security (SSL/TLS) e firme digitali.

Servizi di dominio Active Directory

Utilizzando il ruolo server Active Directory Domain Services (AD DS), è possibile creare un'infrastruttura scalabile, sicura e gestita per la gestione di utenti e risorse; È inoltre possibile supportare applicazioni che riconoscono le directory, come Microsoft Exchange Server. Servizi di dominio Active Directory fornisce un database distribuito che archivia e gestisce le informazioni sulle risorse di rete e sui dati delle applicazioni abilitate per le directory. Il server che esegue Servizi di dominio Active Directory è denominato controller di dominio. Gli amministratori possono utilizzare Servizi di dominio Active Directory per organizzare elementi di rete come utenti, computer e altri dispositivi in ​​una struttura gerarchica nidificata. La struttura gerarchica nidificata include la foresta di Active Directory, i domini all'interno della foresta e le unità organizzative all'interno di ciascun dominio. Le funzionalità di sicurezza sono integrate in Servizi di dominio Active Directory sotto forma di autenticazione e controllo dell'accesso alle risorse nella directory. Con il Single Sign-On di rete, gli amministratori possono gestire i dati e l'organizzazione della directory attraverso la rete. Gli utenti di rete autorizzati possono anche utilizzare il Single Sign-On di rete per accedere alle risorse situate ovunque sulla rete. Servizi di dominio Active Directory fornisce le seguenti funzionalità aggiuntive.

• Un set di regole è uno schema che definisce le classi di oggetti e gli attributi contenuti in una directory, i vincoli e i limiti sulle istanze di tali oggetti e il formato dei loro nomi.
• Un catalogo globale che contiene informazioni su ciascun oggetto nel catalogo. Gli utenti e gli amministratori possono utilizzare il catalogo globale per cercare i dati della directory, indipendentemente da quale dominio della directory contenga effettivamente i dati che stanno cercando.
• Un motore di query e indicizzazione attraverso il quale gli oggetti e le relative proprietà possono essere pubblicati e individuati dagli utenti e dalle applicazioni della rete.
• Un servizio di replica che distribuisce i dati della directory su una rete. Tutti i controller di dominio scrivibili nel dominio partecipano alla replica e mantengono una copia completa di tutti i dati della directory per il proprio dominio. Eventuali modifiche ai dati della directory vengono replicate nel dominio su tutti i controller di dominio.
• Ruoli di master operazioni (noti anche come operazioni flessibili a master singolo o FSMO). I controller di dominio, che fungono da master delle operazioni, sono progettati per eseguire attività specifiche per garantire la coerenza dei dati ed eliminare voci di directory in conflitto.

Servizi federativi di Active Directory

AD FS fornisce funzionalità di federazione delle identità semplificate e sicure e funzionalità Single Sign-On (SSO) basate sul Web agli utenti finali che devono accedere alle applicazioni in un'azienda, un partner federativo o un cloud protetto da AD FS. In Windows Server, AD FS include servizio ruolo Federation Services che agisce come provider di identità (autentica gli utenti per fornire token di sicurezza alle applicazioni che considerano attendibile AD FS) o come provider federativo (applica token di altri provider di identità e quindi fornisce token di sicurezza alle applicazioni che considerano attendibile AD FS).

Servizi di directory leggeri di Active Directory

Active Directory Lightweight Directory Services (AD LDS) è un protocollo LDAP che fornisce supporto flessibile per le applicazioni di directory senza le dipendenze e le limitazioni di dominio di Active Directory Domain Services. AD LDS può essere eseguito su server membri o autonomi. È possibile eseguire più istanze di AD LDS su un singolo server con schemi gestiti in modo indipendente. Utilizzando il ruolo del servizio AD LDS, è possibile fornire servizi di directory ad applicazioni che riconoscono la directory senza il sovraccarico di domini e foreste e senza richiedere un unico schema a livello di foresta.

Servizi di gestione dei diritti di Active Directory

AD RMS può essere utilizzato per migliorare la strategia di sicurezza di un'organizzazione proteggendo i documenti utilizzando la gestione dei diritti delle informazioni (IRM). AD RMS consente agli utenti e agli amministratori di assegnare autorizzazioni di accesso a documenti, cartelle di lavoro e presentazioni utilizzando i criteri IRM. Ciò aiuta a proteggere le informazioni riservate dalla stampa, dall'inoltro o dalla copia da parte di utenti non autorizzati. Una volta limitate le autorizzazioni sui file utilizzando IRM, le restrizioni di accesso e utilizzo vengono applicate indipendentemente dalla posizione delle informazioni poiché l'autorizzazione del file viene archiviata nel file del documento stesso. Con AD RMS e IRM, i singoli utenti possono applicare le proprie preferenze personali riguardo alla condivisione di informazioni personali e sensibili. Aiuteranno inoltre l'organizzazione ad applicare le politiche aziendali per disciplinare l'uso e la diffusione di informazioni riservate e personali. Le soluzioni IRM supportate dai servizi AD RMS vengono utilizzate per fornire le funzionalità seguenti.

• Criteri di utilizzo persistenti che rimangono associati alle informazioni indipendentemente dal fatto che vengano spostate, inviate o inoltrate.
• Un ulteriore livello di privacy per proteggere i dati sensibili, come report, specifiche di prodotto, informazioni sui clienti e messaggi e-mail, affinché non cadano nelle mani sbagliate, intenzionalmente o accidentalmente.
• Impedire ai destinatari autorizzati di inoltrare, copiare, modificare, stampare, inviare fax o incollare contenuti riservati senza autorizzazione.
• Impedisci la copia di contenuto limitato utilizzando la funzionalità STAMPA in Microsoft Windows.
• Supporto per la scadenza dei file, che impedisce la visualizzazione del contenuto dei documenti dopo un periodo di tempo specificato.
• Implementare policy aziendali che regolano l'uso e la distribuzione dei contenuti all'interno dell'organizzazione

Server delle applicazioni

Application Server fornisce un ambiente integrato per la distribuzione e l'esecuzione di applicazioni aziendali personalizzate basate su server.

Server DHCP

DHCP è una tecnologia client-server in cui i server DHCP possono assegnare o affittare indirizzi IP a computer e altri dispositivi che sono client DHCP. La distribuzione di server DHCP su una rete fornisce automaticamente computer client e altri dispositivi di rete basati su indirizzi IP validi IPv4 e IPv6 e parametri di configurazione aggiuntivi richiesti da questi client e dispositivi.Il servizio Server DHCP in Windows Server include il supporto per le assegnazioni basate su criteri e la gestione degli errori DHCP.

Server DNS

Il servizio DNS è un database gerarchico e distribuito contenente mappature dei nomi di dominio DNS su vari tipi di dati, come gli indirizzi IP. DNS consente di utilizzare nomi descrittivi, ad esempio www.microsoft.com, per facilitare l'individuazione di computer e altre risorse su reti basate su TCP/IP. Windows Server DNS fornisce supporto aggiuntivo e migliorato per DNS Security Extensions (DNSSEC), inclusa la registrazione online e la gestione automatizzata delle impostazioni.

Server FAX

Il server fax invia e riceve fax e offre inoltre la possibilità di gestire risorse fax quali lavori, impostazioni, rapporti e dispositivi fax sul server fax.

Servizi di file e archiviazione

Gli amministratori possono utilizzare il ruolo Servizi file e archiviazione per configurare più file server e il relativo spazio di archiviazione e per gestire tali server utilizzando Server Manager o Windows PowerShell. Alcune app specifiche includono le seguenti funzionalità.

• Cartelle di lavoro. Utilizzare per consentire agli utenti di archiviare e accedere a file di lavoro su personal computer e dispositivi diversi dai PC aziendali. Gli utenti ottengono un posto conveniente in cui archiviare i file di lavoro e accedervi da qualsiasi luogo. Le organizzazioni controllano i dati aziendali archiviando i file su file server gestiti centralmente e, facoltativamente, impostando policy sui dispositivi utente (come crittografia e password di blocco dello schermo).
• Deduplicazione dei dati. Utilizzare per ridurre i requisiti di spazio su disco per l'archiviazione dei file, risparmiando sui costi di archiviazione.
• server di destinazione iSCSI. Utilizzare per creare sottosistemi di dischi iSCSI centralizzati, indipendenti dal software e dall'hardware nelle reti SAN (Storage Area Network).
• Spazi su disco. Utilizzalo per distribuire storage a disponibilità elevata, resiliente e scalabile utilizzando dischi standard di settore convenienti.
• Gestore del server. Utilizzare per telecomando più file server da una finestra.
• Windows PowerShell. Utilizzare per automatizzare la gestione della maggior parte delle attività di amministrazione dei file server.

Hyper-V

Il ruolo Hyper-V consente di creare e gestire un ambiente informatico virtualizzato utilizzando la tecnologia di virtualizzazione integrata in Windows Server. L'installazione del ruolo Hyper-V installa i prerequisiti e strumenti di gestione facoltativi. I componenti richiesti includono ipervisore Servizio di gestione di Windows macchine virtuali Hyper-V, provider di virtualizzazione WMI e componenti di virtualizzazione come VMbus, provider di servizi di virtualizzazione (VSP) e driver dell'infrastruttura virtuale (VID).

Politica di rete e servizi di accesso

I criteri di rete e i servizi di accesso forniscono le seguenti soluzioni per le connessioni di rete:

• Network Access Protection è una tecnologia per creare, applicare e riparare le policy sanitarie dei clienti. Con la protezione dell'accesso alla rete, gli amministratori di sistema possono impostare e applicare automaticamente criteri di integrità che includono requisiti software, aggiornamenti di sicurezza e altre impostazioni. Ai computer client che non soddisfano i requisiti della politica sanitaria può essere impedito l'accesso alla rete finché la relativa configurazione non viene aggiornata per soddisfare i requisiti della politica sanitaria.
• Se sono stati distribuiti punti di accesso wireless abilitati per 802.1X, è possibile utilizzare Network Policy Server (NPS) per distribuire metodi di autenticazione basati su certificato, che sono più sicuri dell'autenticazione basata su password. La distribuzione di hardware abilitato per 802.1X con un server NPS consente agli utenti Intranet di essere autenticati prima di potersi connettere alla rete o ottenere un indirizzo IP da un server DHCP.
• Invece di configurare una policy di accesso alla rete su ciascun server di accesso alla rete, è possibile creare centralmente tutte le policy che definiscono tutti gli aspetti delle richieste di connessione di rete (chi può connettersi, quando la connessione è consentita, il livello di sicurezza che deve essere utilizzato per connettersi alla rete) rete ).

Servizi di stampa e documenti

Servizi di stampa e documenti consente di centralizzare le attività del server di stampa e della stampante di rete. Questo ruolo consente inoltre di ricevere documenti scansionati da scanner di rete e caricare documenti su condivisioni di rete come un sito di Windows SharePoint Services o e-mail.

Accesso remoto

Il ruolo Server di accesso remoto è un raggruppamento logico delle seguenti tecnologie accesso alla rete.

• Accesso diretto
• Routing e accesso remoto
• Proxy dell'applicazione Web

Queste tecnologie lo sono servizi di ruolo Ruoli del server di accesso remoto. Quando si installa il ruolo Server di accesso remoto, è possibile installare uno o più servizi ruolo eseguendo l'Aggiunta guidata ruoli e funzionalità.

In Windows Server, il ruolo Server di accesso remoto offre la possibilità di amministrare, configurare e monitorare a livello centrale i servizi di accesso remoto DirectAccess e la VPN con il servizio Routing e Accesso remoto (RRAS). DirectAccess e RRAS possono essere distribuiti sullo stesso server periferico e gestiti utilizzando i comandi di Windows PowerShell e la console di gestione dell'accesso remoto (MMC).

Servizi di desktop remoto

I Servizi Desktop remoto accelerano ed espandono l'implementazione di desktop e applicazioni su qualsiasi dispositivo, aumentando la produttività dei lavoratori remoti e proteggendo al tempo stesso la proprietà intellettuale critica e semplificando la conformità normativa. I Servizi Desktop remoto includono l'infrastruttura desktop virtuale (VDI), desktop basati su sessioni e applicazioni, offrendo agli utenti la possibilità di lavorare ovunque.

Servizi di attivazione dei contratti multilicenza

Volume Activation Services è un ruolo server in Windows Server a partire da Windows Server 2012 che automatizza e semplifica il rilascio di contratti multilicenza per Software Microsoft, oltre a gestire tali licenze in vari scenari e ambienti. Insieme ai servizi di attivazione dei contratti multilicenza, è possibile installare e configurare il servizio di gestione delle chiavi (KMS) e l'attivazione di Active Directory.

Server Web (IIS)

Il ruolo Server Web (IIS) in Windows Server fornisce una piattaforma per l'hosting di siti Web, servizi e applicazioni. L'utilizzo di un server Web rende le informazioni disponibili agli utenti su Internet, Intranet ed Extranet. Gli amministratori possono utilizzare il ruolo Server Web (IIS) per configurare e gestire più siti Web, applicazioni Web e siti FTP. Le funzionalità di accessibilità includono quanto segue.

• Utilizzare Gestione Internet Information Services per configurare i componenti IIS e amministrare i siti Web.
• Utilizza FTP per consentire ai proprietari di siti Web di inviare e scaricare file.
• Utilizza l'isolamento dei siti Web per impedire che un sito Web su un server influisca sugli altri.
• Personalizzazione di applicazioni web sviluppate utilizzando varie tecnologie come ASP Classic, ASP.NET e PHP.
• Utilizza Windows PowerShell per gestire automaticamente la maggior parte delle attività di amministrazione del server Web.
• Combina più server Web in una server farm che può essere gestita utilizzando IIS.

Servizi di distribuzione Windows

Servizi di distribuzione Windows ti consente di distribuire i sistemi operativi Windows su una rete, il che significa che non devi installare ciascun sistema operativo direttamente da un CD o DVD.

Esperienza con Windows Server Essentials

Questo ruolo ti consente di risolvere le seguenti attività:

• proteggere i dati del server e del client creando backup server e tutti i computer client sulla rete;
• gestire utenti e gruppi di utenti tramite una dashboard del server semplificata. Inoltre, l'integrazione con Windows Azure Active Directory *fornisce agli utenti un facile accesso ai Microsoft Online Services online (come Office 365, Exchange Online e SharePoint Online) utilizzando le credenziali del proprio dominio;
• archiviare i dati aziendali in una posizione centralizzata;
• integrare il server con i Microsoft Online Services (come Office 365, Exchange Online, SharePoint Online e Windows Intune):
• Utilizzare funzionalità di accesso ubiquo sul server (ad esempio, accesso Web remoto e reti private virtuali) per accedere al server, ai computer di rete e ai dati da posizioni remote con un elevato grado di sicurezza;
• accedere ai dati da qualsiasi luogo e da qualsiasi dispositivo utilizzando il portale web dell'organizzazione (tramite accesso web remoto);
• Gestisci i dispositivi mobili che accedono alla posta elettronica della tua organizzazione utilizzando Office 365 tramite il protocollo Active Sync dalla dashboard;
• Monitorare lo stato della rete e ricevere report sullo stato personalizzati; i report possono essere generati su richiesta, personalizzati e inviati via email a destinatari specifici.

Servizi di aggiornamento di Windows Server

Il server WSUS fornisce i componenti necessari agli amministratori per gestire e distribuire gli aggiornamenti tramite la console di gestione. Inoltre, il server WSUS può essere l'origine degli aggiornamenti per altri server WSUS nell'organizzazione. Quando implementi WSUS, almeno un server WSUS sulla rete deve essere connesso a Microsoft Update per ricevere informazioni sugli aggiornamenti disponibili. A seconda della sicurezza e della configurazione della rete, l'amministratore può determinare quanti altri server sono direttamente connessi a Microsoft Update.

La funzionalità nel sistema operativo Windows Server viene calcolata e migliorata di versione in versione, ci sono sempre più ruoli e componenti, quindi nel materiale di oggi cercherò di descrivere brevemente descrizione e scopo di ciascun ruolo in Windows Server 2016.

Prima di passare a descrivere i ruoli del server Windows Server, scopriamo cosa" Ruolo del server» nel sistema operativo Windows Server.

Che cos'è un "ruolo server" in Windows Server?

Ruolo del serverè un pacchetto software che garantisce che il server esegua una determinata funzione e questa funzione è quella principale. In altre parole, " Ruolo del server" è lo scopo del server, ad es. cosa serve? In modo che il server possa svolgere la sua funzione principale, ad es. un certo ruolo in " Ruolo del server» tutto il software necessario a questo scopo è incluso ( programmi, servizi).

Il server può avere un ruolo se viene utilizzato attivamente, o più ruoli se ciascuno di essi non carica pesantemente il server e viene utilizzato raramente.

Un ruolo del server può includere più servizi ruolo che forniscono la funzionalità del ruolo. Ad esempio, nel ruolo server " Server Web (IIS)"sono inclusi un numero abbastanza elevato di servizi e il ruolo" Server DNS» i servizi di ruolo non sono inclusi perché questo ruolo esegue solo una funzione.

I servizi ruolo possono essere installati insieme o singolarmente a seconda delle esigenze. Fondamentalmente, installare un ruolo significa installare uno o più dei suoi servizi.

In Windows Server ci sono anche " Componenti» server.

Componenti del server (funzionalità)- Questo Software, che non sono un ruolo del server ma estendono le capacità di uno o più ruoli o gestiscono uno o più ruoli.

Alcuni ruoli non possono essere installati se i servizi o i componenti richiesti per il funzionamento di questi ruoli non sono installati sul server. Pertanto, al momento dell'installazione di tali ruoli " Aggiunta guidata ruoli e funzionalità" stesso, ti chiederà automaticamente di installare i servizi ruolo o i componenti aggiuntivi necessari.

Descrizione dei ruoli del server Windows Server 2016

Probabilmente hai già familiarità con molti dei ruoli presenti in Windows Server 2016, poiché esistono da molto tempo, ma come ho già detto, con ogni nuovo Versione di Windows Server, vengono aggiunti nuovi ruoli con cui potresti non aver ancora lavorato, ma vorresti sapere a cosa servono, quindi iniziamo a esaminarli.

Nota! Informazioni sulle nuove funzionalità sistema operativo Puoi leggere Windows Server 2016 nel materiale "Installazione di Windows Server 2016 e una panoramica delle nuove funzionalità".

Poiché molto spesso l'installazione e l'amministrazione di ruoli, servizi e componenti avviene utilizzando Windows PowerShell, per ogni ruolo e relativo servizio indicherò un nome che potrà essere utilizzato in PowerShell, rispettivamente, per installarlo o gestirlo.

server DHCP

Questo ruolo consente di configurare centralmente gli indirizzi IP dinamici e le impostazioni associate per computer e dispositivi sulla rete. Il ruolo Server DHCP non dispone di servizi ruolo.

Il nome di Windows PowerShell è DHCP.

Server DNS

Questo ruolo è destinato alla risoluzione dei nomi sulle reti TCP/IP. Il ruolo Server DNS fornisce e gestisce il DNS. Per semplificare la gestione del server DNS, in genere viene installato sullo stesso server di Servizi di dominio Active Directory. Il ruolo Server DNS non dispone di servizi ruolo.

Il nome del ruolo per PowerShell è DNS.

Hyper-V

Utilizzando il ruolo Hyper-V è possibile creare e gestire un ambiente virtualizzato. In altre parole, è uno strumento per creare e gestire macchine virtuali.

Il nome del ruolo per Windows PowerShell è Hyper-V.

Certificazione delle prestazioni del dispositivo

Ruolo " » consente di valutare l'integrità del dispositivo in base ai parametri di sicurezza misurati, come lo stato di avvio sicuro e Bitlocker sul client.

Affinché questo ruolo funzioni, sono necessari numerosi servizi e componenti del ruolo, ad esempio: diversi servizi del ruolo " Server Web (IIS)", componente " ", componente " Funzionalità di .NET Framework 4.6».

Durante l'installazione, tutti i servizi ruolo e i componenti richiesti verranno selezionati automaticamente. Il ruolo " Certificazione delle prestazioni del dispositivo»non ci sono servizi propri.

Il nome di PowerShell è DeviceHealthAttestationService.

Server Web (IIS)

Fornisce un'infrastruttura di applicazioni Web affidabile, gestibile e scalabile. È costituito da un numero abbastanza elevato di servizi (43).

Il nome di Windows PowerShell è Web-Server.

Include i seguenti servizi ruolo ( tra parentesi indicherò il nome per Windows PowerShell):

Webserver (Web-WebServer)– Un gruppo di servizi ruolo che fornisce supporto per siti Web HTML, estensioni ASP.NET, ASP e server Web. Consiste nei seguenti servizi:

• Sicurezza (Sicurezza Web)— un insieme di servizi per garantire la sicurezza del server web.
  • Filtraggio delle richieste (Web-Filtering) - utilizzando questi strumenti è possibile elaborare tutte le richieste che arrivano sul server e filtrare queste richieste in base a regole speciali impostate dall'amministratore del server web;
  • Restrizioni su indirizzo IP e dominio (Web-IP-Security) - questi strumenti consentono di consentire o negare l'accesso ai contenuti sul server web in base all'indirizzo IP o al nome di dominio della fonte nella richiesta;
  • Autorizzazione URL (Web-Url-Auth): gli strumenti consentono di sviluppare regole per limitare l'accesso ai contenuti Web e associarli a utenti, gruppi o comandi di intestazione HTTP;
  • Autenticazione del digest (Web-Digest-Auth): questa autenticazione fornisce un livello di sicurezza più elevato rispetto all'autenticazione di base. La verifica del digest funziona passando un hash della password a un controller di dominio Windows per autenticare gli utenti;
  • Autenticazione di base (Web-Basic-Auth): questo metodo di autenticazione fornisce una forte compatibilità con il browser Web. Consigliato per l'uso in piccole reti interne. Lo svantaggio principale di questo metodo è che le password trasmesse sulla rete possono essere intercettate e decrittografate abbastanza facilmente, quindi utilizza questo metodo in combinazione con SSL;
  • Autenticazione Windows (Web-Windows-Auth) – è un'autenticazione basata sull'autenticazione in Dominio Windows. In altre parole, puoi usare Conti Active Directory per autenticare gli utenti dei tuoi siti Web;
  • Autenticazione con corrispondenza del certificato client (Web-Client-Auth) – Questo metodo di autenticazione prevede l'utilizzo di un certificato client. Questo tipo utilizza Active Directory per fornire la mappatura dei certificati;
  • Autenticazione della mappatura dei certificati client IIS (Web-Cert-Auth): anche questo metodo utilizza i certificati client per l'autenticazione, ma utilizza IIS per fornire la mappatura dei certificati. Questa tipologia fornisce prestazioni più elevate;
  • Supporto certificato SSL centralizzato (Web-CertProvider): questi strumenti consentono di gestire centralmente i certificati del server SSL, il che semplifica notevolmente il processo di gestione di questi certificati;
• Salute e diagnostica (Web-Health)– un insieme di servizi per fornire controllo, gestione e risoluzione dei problemi di server web, siti e applicazioni:
  • Registrazione http (Web-Http-Logging): gli strumenti forniscono la registrazione dell'attività del sito Web su questo server, cioè. voce di registro;
  • Registrazione ODBC (Web-ODBC-Logging): questi strumenti forniscono anche la registrazione dell'attività del sito Web, ma supportano la registrazione di tale attività su un database compatibile con ODBC;
  • Request Monitor (Web-Request-Monitor) è uno strumento che consente di monitorare lo stato di salute di un'applicazione web intercettando informazioni sulle richieste HTTP nel processo di lavoro IIS;
  • Registrazione personalizzata Web: questi strumenti consentono di configurare l'attività del server Web in modo che venga registrata in un formato che differisce notevolmente dal formato IIS standard. In altre parole, puoi creare il tuo modulo di registrazione;
  • Gli strumenti di registrazione (Web-Log-Libraries) sono strumenti per la gestione dei log del server Web e l'automazione delle attività di registrazione;
  • Il tracciamento (Web-Http-Tracing) è uno strumento per diagnosticare ed eliminare problemi nel funzionamento delle applicazioni web.
• Funzioni http comuni (Web-Common-Http)– un insieme di servizi che forniscono funzionalità HTTP di base:
  • Documento predefinito (Web-Default-Doc): questa funzionalità consente di configurare il server Web per restituire un documento predefinito quando gli utenti non specificano un documento specifico nell'URL della richiesta, rendendo più semplice per gli utenti l'accesso al sito Web, ad esempio, tramite dominio, senza specificare il file;
  • Navigazione nelle directory (Web-Dir-Browsing): questo strumento può essere utilizzato per configurare un server Web in modo che gli utenti possano visualizzare un elenco di tutte le directory e i file su un sito Web. Ad esempio, nei casi in cui gli utenti non specificano un file nell'URL della richiesta e i documenti sono disabilitati o non configurati per impostazione predefinita;
  • Errori http (Web-Http-Errors): questa funzione consente di configurare i messaggi di errore che verranno restituiti ai browser Web degli utenti quando il server Web rileva un errore. Questa funzionalità viene utilizzata per presentare meglio i messaggi di errore agli utenti;
  • Contenuto statico (Web-Static-Content) – questo rimedio consente l'utilizzo di contenuti sotto forma di formati di file statici su un server web, ad es. File HTML o file di immagini;
  • Reindirizzamento http (Web-Http-Redirect) – utilizzando questa funzione, è possibile reindirizzare la richiesta dell'utente a una destinazione specifica, ad es. questo è Reindirizzamento;
  • Pubblicazione WebDAV (Web-DAV-Publishing): consente di utilizzare la tecnologia WebDAV sul server WEB IIS. WebDAV ( Authoring e controllo delle versioni distribuiti sul Web) è una tecnologia che consente agli utenti di lavorare insieme ( leggere, modificare, leggere proprietà, copiare, spostare) sopra i file su rete remota server che utilizzano il protocollo HTTP.
• Prestazioni (prestazioni Web)– un insieme di servizi per ottenere prestazioni più elevate del server web attraverso il caching dell’output e meccanismi di compressione comuni come Gzip e Deflate:
  • Web-Stat-Compression è uno strumento per personalizzare la compressione del contenuto http statico, consente un utilizzo più efficiente della larghezza di banda senza carico inutile della CPU;
  • Dynamic Content Compression (Web-Dyn-Compression) è uno strumento per configurare la compressione del contenuto dinamico HTTP. Questa funzionalità consente un utilizzo più efficiente della larghezza di banda, ma il carico della CPU del server associato alla compressione dinamica può causare un rallentamento del sito se il carico della CPU è elevato senza compressione.
• Sviluppo di applicazioni (Web-App-Dev)– un insieme di servizi e strumenti per lo sviluppo e l'hosting di applicazioni web, in altre parole, tecnologie di sviluppo di siti web:
  • ASP (Web-ASP) è un ambiente per il supporto e lo sviluppo di siti Web e applicazioni Web utilizzando la tecnologia ASP. Attualmente esiste una tecnologia di sviluppo di siti Web più nuova e avanzata: ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) è un ambiente di sviluppo orientato agli oggetti per siti Web e applicazioni Web che utilizza la tecnologia ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) è anche un ambiente orientato agli oggetti per lo sviluppo di siti Web e applicazioni Web utilizzando nuova versione ASP.NET;
  • CGI (Web-CGI) è la capacità di utilizzare CGI per trasmettere informazioni da un server web a un programma esterno. CGI è un determinato standard di interfaccia per il collegamento di un programma esterno con un server web. Lo svantaggio è che l'uso della CGI influisce sulle prestazioni;
  • Le inclusioni lato server (SSI) (Web-Include) supportano il linguaggio di scripting SSI ( abilitatori lato server), che viene utilizzato per generare dinamicamente pagine HTML;
  • Inizializzazione dell'applicazione (Web-AppInit) – questo strumento svolge il compito di inizializzare le applicazioni web prima dell'inoltro della pagina web;
  • Protocollo WebSocket (Web-WebSockets): aggiunge la possibilità di creare applicazioni server che comunicano utilizzando il protocollo WebSocket. WebSocket è un protocollo in grado di inviare e ricevere dati contemporaneamente tra un browser e un server web tramite una connessione TCP, una sorta di estensione del protocollo HTTP;
  • Estensioni ISAPI (Web-ISAPI-Ext) – supporto per lo sviluppo dinamico di contenuti Web utilizzando l'interfaccia di programmazione dell'applicazione ISAPI. ISAPI è un'API per il server Web IIS. Le applicazioni ISAPI sono molto più veloci dei file ASP o dei file che chiamano componenti COM+;
  • .NET 3.5 Extensibility (Web-Net-Ext) è una funzionalità di estendibilità di .NET 3.5 che consente di modificare, aggiungere ed estendere la funzionalità del server Web attraverso la pipeline di elaborazione delle richieste, la configurazione e l'interfaccia utente;
  • .NET 4.6 Extensibility (Web-Net-Ext45) è la funzionalità di estendibilità di .NET 4.6 che consente inoltre di modificare, aggiungere ed estendere la funzionalità del server Web attraverso la pipeline di elaborazione delle richieste, la configurazione e l'interfaccia utente;
  • Filtri ISAPI (Web-ISAPI-Filter): aggiunta del supporto per i filtri ISAPI. I filtri ISAPI sono programmi che vengono richiamati quando il server Web riceve una specifica richiesta HTTP che deve essere elaborata dal filtro.

FTP - server (Web-Ftp-Server)– servizi che forniscono supporto per il protocollo FTP. Abbiamo parlato del server FTP in modo più dettagliato nel materiale – "Installazione e configurazione di un server FTP su Windows Server 2016". Contiene i seguenti servizi:

• Servizio FTP (Web-Ftp-Service) – aggiunge il supporto per il protocollo FTP sul server web;
• Estendibilità FTP (Web-Ftp-Ext): estende le funzionalità FTP standard, ad esempio aggiungendo il supporto per funzionalità quali provider personalizzati, utenti ASP.NET o utenti di Gestione IIS.

Strumenti di gestione (strumenti di gestione Web)- Si tratta di strumenti per la gestione del server Web IIS 10. Questi includono: l'interfaccia utente IIS, strumenti da riga di comando e script.

• La console di gestione IIS (Web-Mgmt-Console) è l'interfaccia utente per la gestione di IIS;
• I set di caratteri e gli strumenti IIS (Web-Scripting-Tools) sono strumenti e script per la gestione di IIS utilizzando la riga di comando o gli script. Possono essere utilizzati, ad esempio, per automatizzare il controllo;
• Servizio di gestione (Web-Mgmt-Service) – questo servizio aggiunge la possibilità di gestire il server web in remoto da un altro computer utilizzando il gestore IIS;
• Gestione della compatibilità IIS 6 (Web-Mgmt-Compat): garantisce la compatibilità tra applicazioni e script che utilizzano le due API IIS. Gli script IIS 6 esistenti possono essere utilizzati per controllare il server Web IIS 10:
  • IIS 6 Compatibility Metabase (Web-Metabase) è uno strumento di compatibilità che consente di eseguire applicazioni e set di caratteri trasferiti da versioni precedenti di IIS;
  • Strumenti di scripting IIS 6 (Web-Lgcy-Scripting): questi strumenti consentono di utilizzare gli stessi servizi di scripting IIS 6 creati per gestire IIS 6 in IIS 10;
  • Console di gestione dei servizi IIS 6 (Web-Lgcy-Mgmt-Console): uno strumento per amministrare server IIS 6.0 remoti;
  • Compatibile con IIS 6 WMI (Web-WMI) - Interfacce script Toolkit Gestione delle finestre(WMI) per controllare e automatizzare a livello di codice le attività del server Web IIS 10.0 utilizzando un set di script creati nel provider WMI.

Servizi di dominio Active Directory

Ruolo " Servizi di dominio Active Directory» (AD DS) fornisce un database distribuito che archivia ed elabora le informazioni sulle risorse di rete. Questo ruolo viene utilizzato per organizzare gli elementi di rete, come utenti, computer e altri dispositivi, in una struttura gerarchica di shell sicura. La struttura gerarchica include foreste, domini all'interno della foresta e unità organizzative (UO) all'interno di ciascun dominio. Un server che esegue Servizi di dominio Active Directory è denominato controller di dominio.

Il nome del ruolo per Windows PowerShell è AD-Domain-Services.

Modalità Windows Server Essentials

Questo ruolo rappresenta l'infrastruttura informatica e fornisce funzioni comode ed efficienti, ad esempio: archiviare i dati del cliente in una posizione centralizzata e proteggere questi dati mediante Prenota copia computer server e client, accesso Web remoto, che consente di accedere ai dati da quasi tutti i dispositivi. Questo ruolo richiede diversi servizi ruolo e componenti, tra cui: componenti BranchCache, Windows Server Backup, gestione politica di gruppo, servizio di ruolo " Spazi dei nomi DFS».

Il nome di PowerShell è ServerEssentialsRole.

Controllore di rete

Questo ruolo è stato introdotto in Windows Server 2016 e fornisce un unico punto di automazione per la gestione, il monitoraggio e la diagnosi dell'infrastruttura di rete fisica e virtuale nel data center. Utilizzando questo ruolo è possibile configurare sottoreti IP, VLAN, fisiche adattatori di rete Ospita Hyper-V, gestisce switch virtuali, router fisici, impostazioni firewall e gateway VPN.

Il nome di Windows PowerShell è NetworkController.

Servizio Guardiano del nodo

Questo è il ruolo del server Hosted Guardian Service (HGS) e fornisce servizi di attestazione e protezione delle chiavi che consentono agli host protetti di eseguire macchine virtuali schermate. Affinché questo ruolo funzioni, sono necessari diversi ruoli e componenti aggiuntivi, ad esempio: Servizi di dominio Active Directory, Server Web (IIS), componente " Clustering di failover" e altri.

Il nome di PowerShell è HostGuardianServiceRole.

Servizi di directory leggeri di Active Directory

Ruolo " Servizi di directory leggeri di Active Directory" (AD LDS): è una versione leggera di Servizi di dominio Active Directory che presenta meno funzionalità, ma non richiede la distribuzione di domini o controller di dominio e non presenta le dipendenze e le restrizioni di dominio richieste dai servizi di Servizi di dominio Active Directory. AD LDS funziona tramite il protocollo LDAP ( Protocollo di accesso alle directory leggero). È possibile distribuire più istanze di AD LDS con schemi gestiti in modo indipendente su un singolo server.

Il nome di PowerShell è ADLDS.

Servizi multipunto

Anche questo è un nuovo ruolo introdotto in Windows Server 2016. MultiPoint Services (MPS) fornisce funzionalità di desktop remoto di base che consentono a più utenti di lavorare contemporaneamente e in modo indipendente sullo stesso computer. Per installare e utilizzare questo ruolo, è necessario installare diversi servizi e componenti aggiuntivi, ad esempio: server di stampa, servizio di ricerca di Windows, visualizzatore XPS e altri, che verranno tutti selezionati automaticamente durante l'installazione di MPS.

Il nome del ruolo per PowerShell è MultiPointServerRole.

Servizi di aggiornamento di Windows Server

Con questo ruolo (WSUS), gli amministratori di sistema possono gestire Aggiornamenti Microsoft. Ad esempio, crea gruppi separati di computer per diversi set di aggiornamenti e ricevi anche report sulla conformità dei computer e sugli aggiornamenti che devono essere installati. Funzionare " Servizi di aggiornamento di Windows Server» abbiamo bisogno di servizi e componenti di ruolo come: server Web (IIS), database interno di Windows, servizio di attivazione Processi di Windows.

Il nome di Windows PowerShell è UpdateServices.

• Connettività WID (UpdateServices-WidDB): impostato su WID ( Database interno di Windows) database utilizzato da WSUS. In altre parole, WSUS memorizzerà i dati del proprio servizio in WID;
• I servizi WSUS (UpdateServices-Services) sono i servizi ruolo WSUS, come Servizio aggiornamenti, Servizio Web di reporting, Servizio Web API Remoting, Servizio Web client, Servizio Web di autenticazione Internet semplice, Servizio di sincronizzazione del server e Servizio di autenticazione Web DSS;
• La connettività SQL Server (UpdateServices-DB) è l'installazione di un componente che consente al servizio WSUS di connettersi a un database Microsoft SQL Server. Questa opzione prevede la memorizzazione dei dati del servizio in un database Microsoft SQL Server. In questo caso è necessario che sia già installata almeno un'istanza di SQL Server.

Servizi di attivazione dei contratti multilicenza

Questo ruolo server automatizza e semplifica l'emissione di contratti multilicenza per il software Microsoft e consente di gestire tali licenze.

Il nome di PowerShell è VolumeActivation.

Servizi di stampa e documenti

Questo ruolo server è progettato per condividere stampanti e scanner su una rete, configurare e gestire centralmente i server di stampa e scansione e gestire stampanti di rete e scanner. Servizi di stampa e documenti consente inoltre di inviare documenti scansionati tramite e-mail, condivisioni di rete o siti di Windows SharePoint Services.

Il nome di PowerShell è Servizi di stampa.

• Server di stampa: questo servizio ruolo include " Gestione della stampa", che viene utilizzato per gestire stampanti o server di stampa, nonché per migrare stampanti e altri server di stampa;
• Stampa su Internet (Print-Internet): per implementare la stampa su Internet, viene creato un sito Web attraverso il quale gli utenti possono gestire i lavori di stampa sul server. Affinché questo servizio funzioni, come hai capito, devi installare “ Server Web (IIS)" Tutti i componenti richiesti verranno selezionati automaticamente quando si seleziona questa casella durante il processo di installazione per il servizio ruolo " Stampa in linea»;
• Distributed Scan Server (Print-Scan-Server) è un servizio che consente di ricevere documenti scansionati da scanner di rete e inviarli alla loro destinazione. Questo servizio contiene anche il " Controllo della scansione", utilizzato per gestire gli scanner di rete e configurare la scansione;
• Servizio LPD (Servizio Print-LPD) - Servizio LPD ( Demone della stampante di linea) consente ai computer basati su UNIX e ad altri computer che utilizzano il servizio Line Printer Remote (LPR) di stampare su stampanti server condivise.

Politica di rete e servizi di accesso

Ruolo " » (NPAS) consente di utilizzare Network Policy Server (NPS) per impostare e applicare policy per l'accesso alla rete, l'autenticazione e l'autorizzazione e l'integrità del client, in altre parole, per garantire la sicurezza della rete.

Il nome di Windows PowerShell è NPAS.

Servizi di distribuzione Windows

Utilizzando questo ruolo è possibile installare il sistema operativo Windows in remoto su una rete.

Il nome del ruolo per PowerShell è WDS.

• Deployment Server (WDS-Deployment): questo servizio ruolo è progettato per la distribuzione e la configurazione remote dei sistemi operativi Windows. Consente inoltre di creare e personalizzare immagini per il riutilizzo;
• Transport Server (WDS-Transport): questo servizio contiene i principali componenti di rete con i quali è possibile trasferire dati tramite multicast su un server autonomo.

Servizi certificati Active Directory

Questo ruolo è progettato per creare autorità di certificazione e servizi ruolo associati che consentono di emettere certificati varie applicazioni e gestire tali certificati.

Il nome di Windows PowerShell è Certificato AD.

Include i seguenti servizi ruolo:

• Autorità di certificazione (ADCS-Cert-Authority): utilizzando questo servizio ruolo, è possibile emettere certificati a utenti, computer e servizi e anche gestire la validità del certificato;
• Servizio Web criteri di registrazione certificati (ADCS-Enroll-Web-Pol): questo servizio consente agli utenti e ai computer di ottenere informazioni sui criteri di registrazione dei certificati utilizzando un browser Web, anche se il computer non fa parte di un dominio. Per il suo funzionamento è necessario" Server Web (IIS)»;
• Servizio Web di registrazione certificati (ADCS-Enroll-Web-Svc): questo servizio consente agli utenti e ai computer di registrare e rinnovare i certificati utilizzando un browser Web su HTTPS, anche se il computer non è un membro del dominio. Per il suo funzionamento è inoltre necessario” Server Web (IIS)»;
• Risponditore online (ADCS-Online-Cert): un servizio progettato per verificare la revoca del certificato per i client. In altre parole, accetta una richiesta di stato di revoca per certificati specifici, valuta lo stato di tali certificati e invia una risposta firmata con le informazioni sullo stato. Perché il servizio funzioni è necessario" Server Web (IIS)»;
• Servizio di registrazione dell'autorità di certificazione Internet (ADCS-Web-Enrollment): questo servizio fornisce un'interfaccia basata sul Web che consente agli utenti di eseguire attività quali la richiesta e il rinnovo di certificati, l'ottenimento di elenchi di revoche di certificati e la registrazione di certificati di smart card. Perché il servizio funzioni è necessario" Server Web (IIS)»;
• Servizio di registrazione dei dispositivi di rete (ADCS-Device-Enrollment): utilizzando questo servizio è possibile emettere e gestire certificati per router e altri dispositivi di rete che non dispongono di account di rete. Perché il servizio funzioni è necessario" Server Web (IIS)».

Servizi di desktop remoto

Un ruolo del server che può essere utilizzato per fornire l'accesso a desktop virtuali, desktop basati su sessioni e applicazioni remote RemoteApp.

Il nome del ruolo per Windows PowerShell è Remote-Desktop-Services.

Consiste nei seguenti servizi:

• Accesso Web desktop remoto (RDS-Web-Access): questo servizio ruolo consente agli utenti di accedere ai desktop remoti e alle applicazioni RemoteApp tramite " Inizio» o utilizzando un browser web;
• Licensing Desktop remoto (Licensing RDS) è un servizio progettato per gestire le licenze necessarie per connettersi a un server Host sessione Desktop remoto o desktop virtuale. Può essere utilizzato per installare, rilasciare licenze e monitorarne la disponibilità. Questo servizio richiede " Server Web (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) è un servizio ruolo che fornisce le seguenti funzionalità: riconnessione di un utente a un desktop virtuale esistente, all'applicazione RemoteApp e a un desktop basato su sessioni e bilanciamento del carico tra desktop di server host di sessioni remote o tra desktop virtuali in un pool. Questo servizio richiede il " »;
• Host di virtualizzazione desktop remoto (DS-Virtualization): un servizio che consente agli utenti di connettersi ai desktop virtuali utilizzando RemoteApp e Connessione desktop. Questo servizio funziona insieme a Hyper-V, ad es. questo ruolo deve essere stabilito;
• Host sessione desktop remoto (RDS-RD-Server): questo servizio consente di ospitare applicazioni RemoteApp e desktop basati su sessioni su un server. Per l'accesso utilizzare il client Connessione Desktop Remoto o RemoteApp;
• Remote Desktop Gateway (RDS-Gateway): il servizio consente agli utenti remoti autorizzati di connettersi a desktop virtuali, RemoteApp e desktop basati su sessioni su una rete aziendale o su Internet. Per il funzionamento di questo servizio sono necessari i seguenti servizi e componenti aggiuntivi: " Server Web (IIS)», « Politica di rete e servizi di accesso», « RPC su proxy HTTP».

Servizi di gestione dei diritti di Active Directory

Questo è un ruolo del server che ti consentirà di proteggere le informazioni dall'uso non autorizzato. Verifica le identità degli utenti e concede agli utenti autorizzati licenze per accedere ai dati protetti. Per il funzionamento di questo ruolo sono necessari servizi e componenti aggiuntivi: " Server Web (IIS)», « Servizio di attivazione del processo Windows», « Funzionalità di .NET Framework 4.6».

Il nome di Windows PowerShell è ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) è il servizio ruolo principale ed è richiesto per l'installazione;
• Identity Federation Support (ADRMS-Identity) è un servizio ruolo facoltativo che consente alle identità federate di utilizzare contenuto protetto utilizzando Active Directory Federation Services.

Servizi federativi di Active Directory

Questo ruolo fornisce funzionalità di federazione delle identità semplificate e sicure, nonché Single Sign-On (SSO) basato su browser ai siti Web.

Il nome di PowerShell è ADFS-Federation.

Accesso remoto

Questo ruolo fornisce connettività tramite DirectAccess, VPN e proxy applicazione Web. Anche il ruolo di" Accesso remoto» fornisce funzionalità di routing tradizionali, tra cui Network Address Translation (NAT) e altre opzioni di connessione. Questo ruolo richiede servizi e componenti aggiuntivi: " Server Web (IIS)», « Database interno di Windows».

Il nome del ruolo per Windows PowerShell è Accesso remoto.

• DirectAccess e VPN (RAS) (DirectAccess-VPN): il servizio consente agli utenti di connettersi in qualsiasi momento alla rete aziendale se hanno accesso a Internet tramite DirectAccess e anche di organizzare Connessioni VPN in combinazione con tecnologie di tunneling e crittografia dei dati;
• Routing: il servizio fornisce supporto per router NAT, router rete locale con BGP, RIP e router con supporto multicast (proxy IGMP);
• Server proxy applicazione Web (Proxy applicazione Web): il servizio consente di pubblicare applicazioni basate sui protocolli HTTP e HTTPS dalla rete aziendale ai dispositivi client che si trovano all'esterno della rete aziendale.

Servizi di file e archiviazione

Questo è un ruolo del server che può essere utilizzato per fornire accesso generale accedere a file e cartelle, gestire e controllare le condivisioni, replicare file, fornire ricerche rapide di file e fornire accesso ai computer client UNIX. Abbiamo esaminato più dettagliatamente i servizi file e in particolare il file server nel materiale "Installazione di un file server su Windows Server 2016".

Il nome di Windows PowerShell è FileAndStorage-Services.

Servizi di archiviazione– Questo servizio fornisce funzionalità di gestione dell'archiviazione che sono sempre installate e non possono essere rimosse.

Servizi file e servizi iSCSI (servizi file)– si tratta di tecnologie che semplificano la gestione dei file server e dell'archiviazione, risparmiano spazio su disco, forniscono la replica e la memorizzazione nella cache dei file nelle filiali e forniscono anche la condivisione di file utilizzando il protocollo NFS. Include i seguenti servizi ruolo:

• File Server (FS-FileServer) è un servizio ruolo che gestisce le cartelle condivise e fornisce agli utenti l'accesso ai file su questo computer tramite la rete;
• Deduplicazione dei dati (FS-Data-Deduplication) – questo servizio consente di risparmiare spazio su disco archiviando solo una copia di dati identici su un volume;
• Gestione risorse file server (FS-Resource-Manager): utilizzando questo servizio, è possibile gestire file e cartelle su un file server, creare report di archiviazione, classificare file e cartelle, configurare quote di cartelle e definire policy di blocco dei file;
• Provider di archiviazione di destinazione iSCSI (provider VDS e VSS hardware) (iSCSITarget-VSS-VDS) – Il servizio consente alle applicazioni su un server connesso a una destinazione iSCSI di eseguire copie shadow di volumi su dischi virtuali iSCSI;
• Spazi dei nomi DFS (FS-DFS-Namespace): utilizzando questo servizio, è possibile raggruppare cartelle condivise situate su server diversi in uno o più spazi dei nomi strutturati logicamente;
• Cartelle di lavoro (FS-SyncShareService): il servizio consente di utilizzare file di lavoro su vari computer, compreso lavoro e personale. È possibile archiviare i file in cartelle di lavoro, sincronizzarli e accedervi da una rete locale o da Internet. Affinché il servizio funzioni, la componente " Motore Web in-process IIS»;
• Replica DFS (FS-DFS-Replication) è un modulo di replica dei dati tra più server che consente di sincronizzare le cartelle su una connessione di rete locale o globale. Questa tecnologia utilizza il protocollo RDC (Remote Differential Compression) per aggiornare solo le parti di file che sono state modificate dall'ultima replica. Replica DFS può essere utilizzata insieme agli spazi dei nomi DFS o separatamente;
• Server per NFS (FS-NFS-Service) - un servizio che consente a questo computer di condividere file con computer basati su UNIX e altri computer che utilizzano il protocollo di rete file system(NFS);
• Server di destinazione iSCSI (FS-iSCSITarget-Server): fornisce servizi e strumenti di gestione per destinazioni iSCSI;
• Servizio BranchCache per file di rete (FS-BranchCache): il servizio fornisce il supporto BranchCache su questo file server;
• Servizio agente VSS file server (FS-VSS-Agent): il servizio abilita la copia shadow del volume per le applicazioni che archiviano file di dati su questo file server.

Server fax

Il ruolo invia e riceve fax e consente di gestire le risorse fax, come lavori, impostazioni, rapporti e dispositivi fax, su questo computer o rete. Per lavorare serve" Server di stampa».

Il nome del ruolo per Windows PowerShell è Fax.

Questo conclude la revisione dei ruoli server di Windows Server 2016, spero che il materiale ti sia stato utile, ciao!

Prima di sviluppare un server socket, è necessario creare un server delle policy che indichi a Silverlight quali client possono connettersi al server socket.

Come mostrato sopra, Silverlight non consente il caricamento di contenuti o la chiamata a un servizio Web a meno che il dominio non disponga di un file clientaccesspolicy .xml o crossdomain. xml, che consente esplicitamente queste operazioni. Una restrizione simile viene imposta al server socket. Se non si fornisce al dispositivo client la possibilità di caricare il file clientaccesspolicy .xml che consente l'accesso remoto, Silverlight rifiuterà di stabilire una connessione.

Sfortunatamente, fornendo la clientaccesspolicy. cml a un'applicazione socket è un compito più difficile che fornirlo tramite un sito Web. Quando si utilizza un sito Web, il software del server Web può fornire un file .xml clientaccesspolicy, è sufficiente ricordarsi di aggiungerlo. Tuttavia, quando si utilizza un'applicazione socket, è necessario aprire un socket al quale le applicazioni client possono effettuare richieste di policy. Inoltre, è necessario creare manualmente il codice che serve il socket. Per risolvere questi problemi, è necessario creare un server delle politiche.

Come vedremo in seguito, il server dei criteri funziona allo stesso modo del server dei messaggi, gestisce solo interazioni leggermente più semplici. I server dei messaggi e dei criteri possono essere creati separatamente o combinati in un'unica applicazione. Nel secondo caso, devono ascoltare le richieste in thread diversi. In questo esempio creeremo un server delle politiche e quindi lo combineremo con un server di messaggistica.

Per creare un server delle politiche, è necessario prima creare un'applicazione .NET. Qualsiasi tipo di applicazione .NET può fungere da server delle politiche. Il modo più semplice è utilizzare un'applicazione console. Dopo aver eseguito il debug dell'applicazione console, puoi spostare il codice in un servizio Windows in modo che venga eseguito continuamente in background.

Fascicolo politico

Di seguito è riportato il file dei criteri fornito dal server dei criteri.

Il file policy definisce tre regole.

Consente l'accesso a tutte le porte da 4502 a 4532 (questa è la gamma completa di porte supportate dal componente aggiuntivo Silverlight). Per modificare l'intervallo di porte disponibili, è necessario modificare il valore dell'attributo port dell'elemento.

Consente l'accesso TCP (l'autorizzazione è definita nell'attributo protocollo dell'elemento).

Permette di chiamare da qualsiasi dominio. Pertanto, l'applicazione Silverlight che effettua la connessione può essere ospitata da qualsiasi sito Web. Per modificare questa regola, devi modificare l'attributo uri dell'elemento.

Per semplificare l'attività, le regole della politica vengono inserite nel file clientaccess-ploi.cy.xml, che viene aggiunto al progetto. IN Studio visivo L'impostazione Copia nella directory di output del file dei criteri deve essere impostata su Copia sempre. Tutto quello che devi fare è trovare il file sul tuo disco rigido, aprirlo e restituire il contenuto al dispositivo client.

Classe PolicyServer

La funzionalità di Policy Server si basa su due classi chiave: PolicyServer e PolicyConnection. La classe PolicyServer gestisce l'attesa delle connessioni. Una volta ricevuta una connessione, passa il controllo a una nuova istanza della classe PoicyConnection, che passa il file delle politiche al client. Questa procedura in due parti è comune nella programmazione di rete. Lo vedrai più di una volta quando lavori con i server di messaggistica.

La classe PolicyServer carica il file dei criteri da disco rigido e lo memorizza nel campo come un array di byte.

PolicyServer della classe pubblica

politica dei byte privati;

public PolicyServer(string policyFile) (

Per iniziare l'ascolto, l'applicazione server deve chiamare PolicyServer. Inizio(). Crea un oggetto TcpListener che ascolta le richieste. L'oggetto TcpListener è configurato per l'ascolto sulla porta 943. In Silverlight, questa porta è riservata ai server dei criteri. Quando vengono effettuate richieste di file di criteri, Silverlight le inoltra automaticamente alla porta 943.

ascoltatore TcpListener privato;

pubblico vuoto Inizio()

// Crea un oggetto in ascolto

ascoltatore = nuovo TcpListener(IPAddress.Any, 943);

// Inizia ad ascoltare; il metodo Start() restituisce immediatamente il risultato dopo la chiamata a listener.Start();

// In attesa della connessione; il metodo ritorna immediatamente;

II l'attesa viene eseguita in un thread separato

Per accettare la connessione offerta, il server delle politiche chiama il metodo BeginAcceptTcpClient(). Come tutti i metodi Beginxxx() del .NET framework, ritorna immediatamente dopo essere stato chiamato, eseguendo le operazioni necessarie su un thread separato. Per applicazioni di rete Questo è un fattore molto significativo perché consente l'elaborazione simultanea di molte richieste di file di policy.

Nota. I programmatori di rete alle prime armi spesso si chiedono come sia possibile gestire più di una richiesta alla volta e pensano che ciò richieda più server. Tuttavia non lo è. Con questo approccio, le applicazioni client esaurirebbero rapidamente le porte disponibili. In pratica, le applicazioni server elaborano molte richieste attraverso un'unica porta. Questo processo è invisibile alle applicazioni poiché il sottosistema TCP integrato di Windows identifica automaticamente i messaggi e li instrada agli oggetti appropriati nel codice dell'applicazione. Ogni connessione viene identificata in modo univoco in base a quattro parametri: indirizzo IP del client, numero di porta del client, indirizzo IP del server e numero di porta del server.

Ad ogni richiesta, viene attivato il metodo di callback OnAcceptTcpClient(). Chiama nuovamente il metodo BeginAcceptTcpClient di O per iniziare ad attendere la richiesta successiva su un thread diverso, quindi inizia a elaborare la richiesta corrente.

public void OnAcceptTcpClient(IAsyncResult ag) (

if (isStopped) ritorno;

Console.WriteLine("Richiesta di policy ricevuta."); // In attesa della prossima connessione.

ascoltatore.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Elabora la connessione corrente.

Client TcpClient = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = nuova PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Errore eccezione) (

Ogni volta che viene ricevuta una nuova connessione, viene creato un nuovo oggetto PolicyConnection per gestirla. Inoltre, l'oggetto PolicyConnection mantiene il file dei criteri.

L'ultimo componente della classe PolicyServer è il metodo Stop(), che interrompe l'attesa delle richieste. L'applicazione lo chiama quando esce.

private bool isStopped;

public void StopO (

isStopped = vero;

ascoltatore. Fermare();

catch (Errore eccezione) (

Console.WriteLine(err.Message);

Per avviare il server delle politiche, viene utilizzato il seguente codice nel metodo Main() del server delle applicazioni.

static void Main(argomenti stringa) (

PolicyServer policyServer = nuovo PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Il server delle politiche è in esecuzione."); Console.WriteLine("Premi Invio per uscire.");

// In attesa della pressione di un tasto; utilizzando il // metodo Console.ReadKey(), è possibile impostare l'attesa per una riga // specifica (ad esempio, uscire) o premere un tasto qualsiasi Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Termina server dei criteri.");

Classe PolicyConnection

La classe PolicyConnection svolge un lavoro più semplice. L'oggetto PolicyConnection memorizza un riferimento ai dati del file di policy. Quindi, dopo aver chiamato il metodo HandleRequest(), l'oggetto PolicyConnection recupera una nuova connessione dal flusso di rete e tenta di leggerla. Il dispositivo client deve passare una stringa contenente il testo. Dopo aver letto questo testo, il dispositivo client scrive i dati della policy nel flusso e chiude la connessione. Di seguito è riportato il codice per la classe PolicyConnection.

classe pubblica PolicyConnection(

client TcpClient privato; politica dei byte privati;

public PolicyConnection(client TcpClient, policy byte) (

this.cliente = cliente; this.policy = politica;

// Crea una stringa statica privata per la richiesta del client policyRequestString = "

public void HandleRequest() (

Flusso s = client.GetStream(); // Legge la stringa della query della policy

buffer di byte = nuovo byte;

// Attendi solo 5 secondi client.ReceiveTimeout = 5000;'

s.Read(buffer, 0, buffer.Length);

// Passando la policy (puoi anche verificare se la policy // request ha il contenuto richiesto) s.Write(policy, 0, policy.Length);

//Chiude la connessione client.Close();

Console.WriteLine("File di policy servito.");

Quindi abbiamo un server delle politiche completamente funzionale. Sfortunatamente, non può ancora essere testato perché il componente aggiuntivo Silverlight non ti consente di richiedere esplicitamente i file dei criteri. Li richiede invece automaticamente quando si tenta di utilizzare un'applicazione socket. Prima di poter creare un'applicazione client per una determinata applicazione socket, è necessario creare un server.

Negli articoli precedenti di questa serie, hai imparato come utilizzare in modo efficace la funzionalità delle politiche di sicurezza locali, che ti consentono di proteggere al massimo l'infrastruttura della tua organizzazione dagli attacchi di malvagi esterni, nonché dalla maggior parte delle azioni di dipendenti incompetenti. Sai già come impostare in modo efficace criteri di account che ti consentano di gestire la complessità delle password dei tuoi utenti, impostare criteri di controllo per la successiva analisi dell'autenticazione dei tuoi utenti nel registro di sicurezza. Inoltre, hai imparato come assegnare diritti ai tuoi utenti per evitare di causare danni al tuo sistema e persino ai computer della tua Intranet, e sai anche come configurare in modo efficace registri eventi, gruppi con accesso limitato, servizi di sistema, registro e file system. In questo articolo continueremo a esplorare le policy di sicurezza locali e imparerai le impostazioni di sicurezza cablate per la tua azienda.

I sistemi operativi server Microsoft, a partire da Windows Server 2008, hanno introdotto un componente di criteri di rete cablata (IEEE 802.3) che fornisce la configurazione automatica per la distribuzione di servizi di accesso cablato autenticati IEEE 802.1X ai client di rete Ethernet 802.3. Per implementare le impostazioni di sicurezza per le reti cablate utilizzando criteri di gruppo, i sistemi operativi utilizzano il servizio Wired AutoConfig (DOT3SVC). Il servizio attuale è responsabile dell'autenticazione IEEE 802.1X durante la connessione a Reti Ethernet utilizzando switch compatibili 802.1X e gestisce anche il profilo utilizzato per configurare il client di rete per l'accesso autenticato. Vale anche la pena notare che se utilizzi queste politiche, è consigliabile vietare agli utenti del tuo dominio di modificare la modalità di avvio di questo servizio.

Configurazione dei criteri di rete cablata

È possibile configurare le impostazioni dei criteri di rete cablata direttamente dallo snap-in. Per configurare queste impostazioni, attenersi alla seguente procedura:

1. Aprire lo snap-in e selezionare un nodo nell'albero della console, fare clic con il tasto destro su di esso e selezionare il comando dal menu contestuale "Crea un nuovo criterio di rete cablata per Windows Vista e versioni successive", come mostrato nella seguente illustrazione:

   Riso. 1. Creare una policy di rete cablata

2. Nella finestra di dialogo che si apre "Nuova politica per le proprietà della rete cablata", nella scheda "Sono comuni", è possibile impostare il servizio Configurazione automatica rete cablata da utilizzare per configurare gli adattatori LAN per la connessione a una rete cablata. Oltre alle impostazioni dei criteri applicabili a Windows Vista e ai sistemi operativi successivi, sono presenti alcune opzioni applicabili solo ai sistemi operativi Windows 7 e Windows Server 2008 R2. Da questa scheda puoi effettuare le seguenti operazioni:
   • Nome della politica. In questo campo di testo puoi specificare un nome per la policy della tua rete cablata. Puoi vedere il nome della policy nel riquadro dei dettagli del nodo "Politiche di rete cablata (IEEE 802.3)" sartiame "Editor gestione criteri di gruppo";
   • Descrizione. Questo campo di testo ha lo scopo di compilare una descrizione dettagliata dello scopo della politica della rete cablata;
   • Utilizza il servizio di configurazione automatica via cavo Reti Windows per i clienti. Questa opzione esegue la configurazione effettiva e connette i client alla rete cablata 802.3. Se disabiliti questa opzione, il sistema operativo Windows non monitorerà la connessione di rete cablata e le impostazioni dei criteri non avranno effetto;
   • Impedire l'uso di credenziali utente generiche per l'autenticazione di rete. Questa impostazione determina se all'utente deve essere impedito di archiviare le credenziali utente generali per l'autenticazione di rete. Localmente è possibile modificare questo parametro utilizzando il comando netsh lan imposta i credenziali espliciti;
   • Abilita il periodo di blocco. Questa impostazione determina se impedire al computer di connettersi automaticamente a una rete cablata per il numero di minuti specificato. Il valore predefinito è 20 minuti. Il periodo di blocco è regolabile da 1 a 60 minuti.

"Sono comuni" Politiche di rete cablata:

Riso. 2. Scheda Generale della finestra di dialogo delle impostazioni dei criteri della rete cablata

3. Sulla scheda "Sicurezza" Fornisce opzioni di configurazione per il metodo di autenticazione e la modalità di connessione cablata. È possibile configurare le seguenti impostazioni di sicurezza:
   • Abilita l'autenticazione IEEE 802.1X per l'accesso alla rete. Questa opzione viene utilizzata direttamente per abilitare o disabilitare l'autenticazione dell'accesso alla rete 802.1X. Per impostazione predefinita questa opzione è abilitata;
   • Seleziona un metodo di autenticazione di rete. Utilizzando questo elenco a discesa è possibile specificare uno dei metodi di autenticazione del client di rete da applicare alla policy della rete cablata. È possibile selezionare le due opzioni seguenti:
     • Microsoft: EAP protetto (PEAP). Per questo metodo di autenticazione, il file window "Proprietà" contiene parametri di configurazione per il metodo di autenticazione da utilizzare;
     • Microsoft: smart card o altro certificato. Per questo metodo di autenticazione, nella finestra "Proprietà" Fornisce opzioni di configurazione che consentono di specificare la smart card o il certificato a cui connettersi, nonché un elenco di autorità di certificazione radice attendibili.

   Il metodo predefinito è Microsoft: EAP protetto (PEAP);

4. Modalità di autenticazione. Questo elenco a discesa viene utilizzato per eseguire l'autenticazione di rete. È possibile selezionare le seguenti quattro opzioni:
   • Autenticazione dell'utente o del computer. Se questa opzione è selezionata, le credenziali di sicurezza verranno utilizzate in base allo stato corrente del computer. Anche se nessun utente ha effettuato l'accesso, l'autenticazione verrà eseguita utilizzando le credenziali del computer. Quando un utente accede, verranno utilizzate le credenziali dell'utente che ha effettuato l'accesso. Microsoft consiglia di utilizzare questa impostazione della modalità di autenticazione nella maggior parte dei casi.
   • Solo computer. In questo caso l'autenticazione viene eseguita solo rispetto alle credenziali del computer;
   • Autenticazione utente. La selezione di questa opzione impone l'autenticazione dell'utente solo quando ci si connette a un nuovo dispositivo 802.1X. In tutti gli altri casi l'autenticazione viene eseguita solo sul computer;
   • Autenticazione ospite. Questa opzione ti consente di connetterti alla rete utilizzando un account ospite.
5. Numero massimo di errori di autenticazione. Questa impostazione consente di specificare il numero massimo di errori di autenticazione. Il valore predefinito è 1;
6. Memorizza nella cache i dati utente per le connessioni successive a questa rete. Quando questa opzione è abilitata, le credenziali dell'utente verranno archiviate in registro di sistema, all'utente non verranno richieste le credenziali quando si disconnette e accede nuovamente.

L'illustrazione seguente mostra la scheda "Sicurezza" di questa finestra di dialogo:

Riso. 3. Scheda Sicurezza della finestra di dialogo delle impostazioni dei criteri di rete cablata

Proprietà della modalità di autenticazione

Come discusso nella sezione precedente, entrambi i metodi di autenticazione hanno altre impostazioni, che vengono chiamati quando viene premuto un pulsante "Proprietà". In questa sezione vedremo tutto impostazioni possibili per i metodi di autenticazione.

Microsoft: impostazioni del metodo di autenticazione EAP protetto (PEAP).

EAP (Extensible Authentication Protocol) è un'infrastruttura di autenticazione estensibile che definisce il formato di invio. Sono disponibili le seguenti opzioni per configurare questo metodo di autenticazione:

Abilita la riconnessione rapida. Questa opzione consente agli utenti con computer wireless di spostarsi rapidamente tra i punti di accesso senza doversi nuovamente autenticare nuova rete. Questa commutazione può funzionare solo per i punti di accesso configurati come client RADIUS. Per impostazione predefinita questa opzione è abilitata;

Abilita la protezione dell'accesso alla rete. Quando questa opzione è selezionata, verranno eseguiti controlli appropriati per determinare i controlli dei requisiti sanitari prima di consentire ai richiedenti EAP di connettersi alla rete;

Disabilitare se il server non supporta l'associazione crittografata tramite il meccanismo TLV. Questa opzione è responsabile di far sì che i client di connessione interrompano il processo di autenticazione se il server RADIUS non fornisce un valore di associazione TLV crittografico, che migliora la sicurezza del tunnel TLS in PEAP combinando metodi di autenticazione interni ed esterni per impedire agli aggressori di eseguire attacchi di manomissione . terzo;

Abilita certificato privacy. Questa impostazione garantisce che i client non possano inviare la propria identità prima di aver autenticato il server RADIUS e facoltativamente fornisce spazio per immettere un valore di identità anonimo.

La finestra di dialogo Proprietà EAP sicuro è mostrata nella figura seguente:

Riso. 5. Finestra di dialogo Proprietà EAP protette

Impostazioni del metodo di autenticazione "Smart Card o altro certificato - Impostazioni EAP-TLS"

Sono disponibili le seguenti opzioni per configurare questo metodo di autenticazione:

• Quando ti connetti, usa la mia smart card. Se si seleziona questa opzione, i client che effettuano richieste di autenticazione presenteranno il certificato della smart card per l'autenticazione di rete;
• Durante la connessione, utilizzare il certificato su questo computer. Quando si seleziona questa opzione, il certificato situato nell'utente corrente o nell'archivio del computer locale verrà utilizzato durante il controllo delle connessioni client;
• Utilizza la selezione semplice del certificato. Questa opzione consente al sistema operativo Windows di filtrare i certificati che non soddisfano i requisiti di autenticazione;
• Controlla il certificato del server. Questa opzione consente di verificare la firma valida e non scaduta del certificato server fornito ai computer client, nonché la presenza di un'autorità di certificazione radice attendibile che ha emesso il certificato su questo server
• Connettiti ai server. Questa opzione è identica all'opzione con lo stesso nome descritta nella sezione precedente;
• Autorità di certificazione Fidata. Proprio come nella finestra di dialogo Proprietà EAP sicuro, in questo elenco puoi trovare tutte le autorità di certificazione radice attendibili installate negli archivi certificati utente e computer;
• Non chiedere all'utente di autorizzare nuovi server o autorità di certificazione attendibili. Selezionando questa opzione, se è presente un certificato server non configurato correttamente o elencato per l'utente, la finestra di dialogo che richiede di autorizzare tale certificato non verrà visualizzata. Per impostazione predefinita questa opzione è disabilitata;
• Utilizza un nome utente diverso per connetterti. Questa impostazione determina se per l'autenticazione deve essere utilizzato un nome utente diverso da quello nel certificato. Se abiliti l'opzione Usa un nome utente diverso, devi selezionare almeno un certificato dall'elenco delle Autorità di certificazione radice attendibili.

La finestra di dialogo per la configurazione di smart card o altri certificati è mostrata nella seguente illustrazione:

Riso. 6. Finestra di dialogo delle impostazioni delle smart card o di altri certificati

Se non sei sicuro del certificato scelto, fai clic sul pulsante "Visualizza certificato" Potrai visualizzare tutti i dettagli del certificato selezionato come mostrato di seguito:

Riso. 7. Visualizza il certificato dall'elenco delle autorità di certificazione radice attendibili

Criterio di rete cablata Impostazioni di sicurezza avanzate

Probabilmente l'hai notato sulla scheda "Sicurezza" Nella finestra di dialogo Impostazioni criteri rete cablata sono presenti impostazioni di sicurezza aggiuntive progettate per modificare il comportamento dei client di rete che richiedono l'accesso con l'autenticazione 802.1X. Ulteriori impostazioni dei criteri di rete cablata possono essere divise in due gruppi: impostazioni IEEE 802.1X e impostazioni Single Sign-On. Diamo un'occhiata a ciascuno di questi gruppi:

Nel gruppo Impostazioni IEEE 802.1X è possibile specificare le caratteristiche delle richieste di rete cablata con autenticazione 802.1X. È possibile modificare i seguenti parametri:

• Applica le impostazioni 802.1X avanzate. Questa opzione consente di attivare le seguenti quattro impostazioni;
• Massimo. Messaggi dell'EAPOL. EAPOL è il protocollo EAP, che viene utilizzato prima che il computer abbia il tempo di autenticarsi e solo dopo aver effettuato con successo il "login" tutto il resto del traffico può passare attraverso la porta dello switch a cui è connesso questo computer. Questo parametro controlla il numero massimo di messaggi EAPOL-Start da inviare;
• Periodo di ritardo (sec). Questa impostazione controlla il ritardo in secondi prima di effettuare la successiva richiesta di autenticazione 802.1X dopo aver ricevuto una notifica di errore di autenticazione;
• Periodo di inizio. Questo parametro controlla il tempo di attesa prima di inviare nuovamente i messaggi EAPOL-Start successivi;
• Periodo di controllo (sec). Questo parametro specifica il numero di secondi tra la ritrasmissione dei successivi messaggi EAPOL iniziali dopo l'avvio dell'ispezione dell'accesso end-to-end 802.1X;
• EAPOL-Messaggio di avvio. Con questo parametro è possibile specificare le seguenti caratteristiche per la trasmissione dei messaggi EAPOL iniziali:
  • Non trasmettere. Quando questa opzione è selezionata, i messaggi EAPOL non verranno trasmessi;
  • Trasferito. Se selezioni questa opzione, il client dovrà inviare manualmente i messaggi EAPOL iniziali;
  • Trasferimento entro Protocollo IEEE 802.1X. Quando questa opzione è selezionata (è l'impostazione predefinita), i messaggi EAPOL verranno inviati a Modalità automatica in attesa dell'avvio dell'autenticazione 802.1X.

Quando si utilizza il Single Sign-On, l'autenticazione deve essere eseguita in base alla configurazione della sicurezza di rete quando l'utente accede al sistema operativo. Sono disponibili le seguenti opzioni per personalizzare completamente i profili Single Sign-On:

• Abilita il Single Sign-On per la rete. Quando questa opzione è abilitata, vengono attivate le impostazioni di accesso singolo;
• Abilita immediatamente prima dell'accesso dell'utente. Se selezioni questa opzione, l'autenticazione 802.1X verrà eseguita prima che l'utente completi l'accesso;
• Abilita immediatamente dopo l'accesso dell'utente. Se selezioni questa opzione, l'autenticazione 802.1X verrà eseguita dopo che l'utente avrà completato l'accesso;
• Massimo. ritardo di connessione. Questa impostazione specifica il tempo massimo in cui deve essere completata l'autenticazione e quindi quanto tempo l'utente deve attendere prima che venga visualizzata la finestra di login dell'utente;
• Consenti la visualizzazione di finestre di dialogo aggiuntive durante il Single Sign-On. Questa opzione è responsabile della visualizzazione della finestra di dialogo di accesso dell'utente;
• Questa rete utilizza diverse VLAN per l'autenticazione rispetto alle credenziali del computer e dell'utente. Quando specifichi questa impostazione, all'avvio, tutti i computer verranno inseriti in una rete virtuale e, dopo che l'utente avrà effettuato correttamente l'accesso, a seconda delle autorizzazioni, verranno trasferiti a diversi reti virtuali. È opportuno attivare questa opzione solo se la tua azienda utilizza più VLAN.

La finestra di dialogo Impostazioni di sicurezza avanzate dei criteri di rete cablata è mostrata nella figura seguente:

Riso. 8. Finestra di dialogo Impostazioni di sicurezza avanzate dei criteri di rete cablata

Conclusione

In questo articolo sono state presentate tutte le impostazioni dei criteri di rete cablata IEE 802.1X. Hai imparato come creare tale policy e anche i metodi di autenticazione EAP e la verifica utilizzando smart card o altri certificati. Nel seguente articolo verranno illustrate le politiche di sicurezza locali di Network List Manager.

Le policy di Exchange Server 2003 sono progettate per aumentare la flessibilità amministrativa riducendo al tempo stesso il carico sugli amministratori. Una policy è un insieme di impostazioni di configurazione che si applicano a uno o più oggetti della stessa classe in Exchange. Ad esempio, puoi creare una policy che influisca su impostazioni specifiche su alcuni o tutti i server Exchange. Se è necessario modificare queste impostazioni, è sufficiente modificare questa policy e verrà applicata all'organizzazione del server appropriata.

Esistono due tipi di policy: policy di sistema e policy di destinatario. I criteri del destinatario si applicano agli oggetti accessibili alla posta e specificano come vengono generati gli indirizzi di posta elettronica. Le politiche dei destinatari sono discusse in "Creazione e gestione dei destinatari". Le policy di sistema vengono applicate a server e storage cassette postali e archivi di cartelle pubbliche. Queste politiche vengono visualizzate nel contenitore Politiche all'interno del gruppo responsabile amministrazione questa politica (Figura 12.10).

Riso. 12.10. Oggetto della politica di sistema

Nota. Quando si installa Exchange Server 2003, non viene creato un contenitore predefinito per i criteri di sistema. Deve essere creato prima di creare le policy di sistema. Fare clic con il pulsante destro del mouse sul gruppo di amministrazione in cui si desidera creare la cartella dei criteri, scegliere Nuovo e selezionare Contenitore criteri di sistema.

Creazione di una politica di sistema

Per creare un criterio di sistema, è necessario accedere al contenitore Criteri di sistema appropriato, fare clic con il pulsante destro del mouse sul contenitore, quindi selezionare il tipo di criterio da creare: criterio server, criterio archivio di cassette postali o criterio archivio di cartelle pubbliche.

Quando si lavora con le politiche di sistema, assicurarsi di creare un oggetto politica nel gruppo responsabile dell'amministrazione della politica. In caso contrario, potrebbero verificarsi errori nella selezione delle persone che esercitano il controllo amministrativo sulle politiche critiche. Diamo un'occhiata a come viene creato ciascuno dei tre tipi di policy, a partire dalle policy del server.

Creare una politica del server

La policy del server definisce le impostazioni per la verifica dei messaggi e la manutenzione dei file di registro. Non si applica alle impostazioni di sicurezza o ad altre impostazioni dei server in questo gruppo di amministrazione. Per creare un criterio server, fare clic con il pulsante destro del mouse sul contenitore Criteri di sistema, scegliere Nuovo, quindi selezionare Criterio server. Viene visualizzata la finestra di dialogo Nuova policy, illustrata nella Figura 1. 12.11, che specifica le schede visualizzate nella pagina delle proprietà per questa policy. Esiste una sola opzione per Criteri server: la scheda Generale. Selezionare l'opzione per questa scheda e quindi fare clic su OK. Apparirà una finestra di configurazione in cui verrà creata questa policy.

Riso. 12.11.

Successivamente, è necessario inserire il nome della policy nella finestra della scheda Generale della pagina delle proprietà di questa policy. Come mostrato nella Figura 12.12, in realtà ci sono due schede Generali. La prima scheda viene utilizzata per immettere il nome della policy. Selezionare un nome per descrivere l'attività che il criterio deve eseguire, ad esempio Criterio di tracciamento dei messaggi o Abilita criterio di registrazione degli oggetti. Un nome appropriato scelto in questa fase farà risparmiare tempo poiché non sarà necessario aprire la pagina delle proprietà della policy per determinarne lo scopo.

La scheda Generale (Politica), mostrata in Fig. 12.13 contiene le impostazioni dei criteri effettivi che si applicano ai server Exchange dell'organizzazione. La scheda è denominata Generale (Politica) perché potenzialmente configura la scheda Generale delle pagine delle proprietà per tutti i server esistenti. (Vedremo come applicare questo criterio a tutti i server della tua organizzazione più avanti in questa lezione.) Se confronti questa scheda con la scheda Generale nella pagina delle proprietà di un server, vedrai che le schede sono le stesse, tranne per le informazioni identificative nella parte superiore della scheda.

La scheda Generale (Politica) abilita la registrazione e la visualizzazione dell'oggetto per tutti i server Exchange 2003 esistenti. Questa impostazione funziona insieme all'opzione Abilita verifica messaggi, che consente di tenere traccia dei messaggi inviati all'interno dell'organizzazione. Queste opzioni sono utili per individuare e risolvere l'origine dei problemi che si verificano quando alcuni utenti non ricevono messaggi da altri utenti. È possibile tenere traccia di un messaggio attraverso un'organizzazione per determinare dove ci sono problemi di comunicazione. Per ulteriori informazioni sulla verifica dei messaggi e sulla registrazione dell'oggetto dei messaggi, vedere la Lezione 6, Funzionalità, sicurezza e supporto di Exchange Server 2003.

Riso. 12.12.

Riso. 12.13.

Una volta che una politica è in vigore, non può essere modificata al momento server locali. La policy di tracciamento dei messaggi utilizzata come esempio è stata creata sul server EX-SRV1 nel gruppo di amministrazione dell'Arizona. SU

La funzionalità nel sistema operativo Windows Server viene calcolata e migliorata di versione in versione, ci sono sempre più ruoli e componenti, quindi nel materiale di oggi cercherò di descrivere brevemente descrizione e scopo di ciascun ruolo in Windows Server 2016.

Prima di passare a descrivere i ruoli del server Windows Server, scopriamo cosa" Ruolo del server» nel sistema operativo Windows Server.

Che cos'è un "ruolo server" in Windows Server?

Ruolo del serverè un pacchetto software che garantisce che il server esegua una determinata funzione e questa funzione è quella principale. In altre parole, " Ruolo del server" è lo scopo del server, ad es. cosa serve? In modo che il server possa svolgere la sua funzione principale, ad es. un certo ruolo in " Ruolo del server» tutto il software necessario a questo scopo è incluso ( programmi, servizi).

Il server può avere un ruolo se viene utilizzato attivamente, o più ruoli se ciascuno di essi non carica pesantemente il server e viene utilizzato raramente.

Un ruolo del server può includere più servizi ruolo che forniscono la funzionalità del ruolo. Ad esempio, nel ruolo server " Server Web (IIS)"sono inclusi un numero abbastanza elevato di servizi e il ruolo" Server DNS» i servizi di ruolo non sono inclusi perché questo ruolo esegue solo una funzione.

I servizi ruolo possono essere installati insieme o singolarmente a seconda delle esigenze. Fondamentalmente, installare un ruolo significa installare uno o più dei suoi servizi.

In Windows Server ci sono anche " Componenti» server.

Componenti del server (funzionalità)- Si tratta di strumenti software che non rappresentano un ruolo server, ma estendono le capacità di uno o più ruoli o gestiscono uno o più ruoli.

Alcuni ruoli non possono essere installati se i servizi o i componenti richiesti per il funzionamento di questi ruoli non sono installati sul server. Pertanto, al momento dell'installazione di tali ruoli " Aggiunta guidata ruoli e funzionalità" stesso, ti chiederà automaticamente di installare i servizi ruolo o i componenti aggiuntivi necessari.

Descrizione dei ruoli del server Windows Server 2016

Probabilmente hai già familiarità con molti dei ruoli presenti in Windows Server 2016, poiché sono in circolazione da molto tempo, ma come ho detto, con ogni nuova versione di Windows Server vengono aggiunti nuovi ruoli che potresti non avere abbiamo ancora lavorato, ma vorremmo sapere a cosa servono, quindi iniziamo a guardarli.

Nota! Puoi leggere le nuove funzionalità del sistema operativo Windows Server 2016 nel materiale “ Installazione di Windows Server 2016 e una panoramica delle nuove funzionalità ».

Poiché molto spesso l'installazione e l'amministrazione di ruoli, servizi e componenti avviene con utilizzando Windows PowerShell, per ogni ruolo e relativo servizio indicherò un nome che potrà essere utilizzato in PowerShell, rispettivamente, per installarlo o gestirlo.

server DHCP

Questo ruolo consente di configurare centralmente gli indirizzi IP dinamici e le impostazioni associate per computer e dispositivi sulla rete. Il ruolo Server DHCP non dispone di servizi ruolo.

Il nome di Windows PowerShell è DHCP.

Server DNS

Questo ruolo è destinato alla risoluzione dei nomi sulle reti TCP/IP. Il ruolo Server DNS fornisce e gestisce il DNS. Per semplificare la gestione del server DNS, in genere viene installato sullo stesso server di Servizi di dominio Active Directory. Il ruolo Server DNS non dispone di servizi ruolo.

Il nome del ruolo per PowerShell è DNS.

Hyper-V

Utilizzando il ruolo Hyper-V è possibile creare e gestire un ambiente virtualizzato. In altre parole, è uno strumento per creare e gestire macchine virtuali.

Il nome del ruolo per Windows PowerShell è Hyper-V.

Certificazione delle prestazioni del dispositivo

Ruolo " » consente di valutare l'integrità del dispositivo in base ai parametri di sicurezza misurati, come lo stato di avvio sicuro e Bitlocker sul client.

Affinché questo ruolo funzioni, sono necessari numerosi servizi e componenti del ruolo, ad esempio: diversi servizi del ruolo " Server Web (IIS)", componente " ", componente " Funzionalità di .NET Framework 4.6».

Durante l'installazione, tutti i servizi ruolo e i componenti richiesti verranno selezionati automaticamente. Il ruolo " Certificazione delle prestazioni del dispositivo»non ci sono servizi propri.

Il nome di PowerShell è DeviceHealthAttestationService.

Server Web (IIS)

Fornisce un'infrastruttura di applicazioni Web affidabile, gestibile e scalabile. È costituito da un numero abbastanza elevato di servizi (43).

Il nome di Windows PowerShell è Web-Server.

Include i seguenti servizi ruolo ( tra parentesi indicherò il nome per Windows PowerShell):

Webserver (Web-WebServer)– Un gruppo di servizi ruolo che fornisce supporto per siti Web HTML, estensioni ASP.NET, ASP e server Web. Consiste nei seguenti servizi:

• Sicurezza (Sicurezza Web)- un insieme di servizi per garantire la sicurezza del server web.
  • Filtraggio delle richieste (Web-Filtering) - utilizzando questi strumenti è possibile elaborare tutte le richieste che arrivano sul server e filtrare queste richieste in base a regole speciali impostate dall'amministratore del server web;
  • Restrizioni su indirizzo IP e dominio (Web-IP-Security) - questi strumenti consentono di consentire o negare l'accesso ai contenuti sul server web in base all'indirizzo IP o al nome di dominio della fonte nella richiesta;
  • Autorizzazione URL (Web-Url-Auth): gli strumenti consentono di sviluppare regole per limitare l'accesso ai contenuti Web e associarli a utenti, gruppi o comandi di intestazione HTTP;
  • Autenticazione del digest (Web-Digest-Auth): questa autenticazione fornisce un livello di sicurezza più elevato rispetto all'autenticazione di base. La verifica del digest funziona passando un hash della password a un controller di dominio Windows per autenticare gli utenti;
  • Autenticazione di base (Web-Basic-Auth): questo metodo di autenticazione fornisce una forte compatibilità con il browser Web. Consigliato per l'uso in piccole reti interne. Lo svantaggio principale di questo metodo è che le password trasmesse sulla rete possono essere intercettate e decrittografate abbastanza facilmente, quindi utilizza questo metodo in combinazione con SSL;
  • L'autenticazione di Windows (Web-Windows-Auth) è un'autenticazione basata sull'autenticazione del dominio Windows. In altre parole, puoi utilizzare gli account Active Directory per autenticare gli utenti dei tuoi siti Web;
  • Autenticazione con corrispondenza del certificato client (Web-Client-Auth) – Questo metodo di autenticazione prevede l'utilizzo di un certificato client. Questo tipo utilizza Active Directory per fornire la mappatura dei certificati;
  • Autenticazione della mappatura dei certificati client IIS (Web-Cert-Auth): anche questo metodo utilizza i certificati client per l'autenticazione, ma utilizza IIS per fornire la mappatura dei certificati. Questa tipologia fornisce prestazioni più elevate;
  • Supporto certificato SSL centralizzato (Web-CertProvider): questi strumenti consentono di gestire centralmente i certificati del server SSL, il che semplifica notevolmente il processo di gestione di questi certificati;
• Salute e diagnostica (Web-Health)– un insieme di servizi per fornire controllo, gestione e risoluzione dei problemi di server web, siti e applicazioni:
  • Registrazione http (Web-Http-Logging): gli strumenti forniscono la registrazione dell'attività del sito Web su un determinato server, ad es. voce di registro;
  • Registrazione ODBC (Web-ODBC-Logging): questi strumenti forniscono anche la registrazione dell'attività del sito Web, ma supportano la registrazione di tale attività su un database compatibile con ODBC;
  • Request Monitor (Web-Request-Monitor) è uno strumento che consente di monitorare lo stato di salute di un'applicazione web intercettando informazioni sulle richieste HTTP nel processo di lavoro IIS;
  • Registrazione personalizzata Web: questi strumenti consentono di configurare l'attività del server Web in modo che venga registrata in un formato che differisce notevolmente dal formato IIS standard. In altre parole, puoi creare il tuo modulo di registrazione;
  • Gli strumenti di registrazione (Web-Log-Libraries) sono strumenti per la gestione dei log del server Web e l'automazione delle attività di registrazione;
  • Il tracciamento (Web-Http-Tracing) è uno strumento per diagnosticare ed eliminare problemi nel funzionamento delle applicazioni web.
• Funzioni http comuni (Web-Common-Http)– un insieme di servizi che forniscono funzionalità HTTP di base:
  • Documento predefinito (Web-Default-Doc): questa funzionalità consente di configurare il server Web per restituire un documento predefinito quando gli utenti non specificano un documento specifico nell'URL della richiesta, rendendo più semplice per gli utenti l'accesso al sito Web, ad esempio, tramite dominio, senza specificare il file;
  • Navigazione nelle directory (Web-Dir-Browsing): questo strumento può essere utilizzato per configurare un server Web in modo che gli utenti possano visualizzare un elenco di tutte le directory e i file su un sito Web. Ad esempio, nei casi in cui gli utenti non specificano un file nell'URL della richiesta e i documenti sono disabilitati o non configurati per impostazione predefinita;
  • Errori http (Web-Http-Errors): questa funzione consente di configurare i messaggi di errore che verranno restituiti ai browser Web degli utenti quando il server Web rileva un errore. Questa funzionalità viene utilizzata per presentare meglio i messaggi di errore agli utenti;
  • Contenuto statico (Web-Static-Content): questo strumento consente di utilizzare il contenuto sotto forma di formati di file statici, ad esempio file HTML o file di immagine, su un server web;
  • Reindirizzamento http (Web-Http-Redirect) – utilizzando questa funzione, è possibile reindirizzare la richiesta dell'utente a una destinazione specifica, ad es. questo è Reindirizzamento;
  • Pubblicazione WebDAV (Web-DAV-Publishing): consente di utilizzare la tecnologia WebDAV sul server WEB IIS. WebDAV ( Authoring e controllo delle versioni distribuiti sul Web) è una tecnologia che consente agli utenti di lavorare insieme ( leggere, modificare, leggere proprietà, copiare, spostare) su file su server Web remoti utilizzando il protocollo HTTP.
• Prestazioni (prestazioni Web)– un insieme di servizi per ottenere prestazioni più elevate del server web attraverso il caching dell’output e meccanismi di compressione comuni come Gzip e Deflate:
  • Web-Stat-Compression è uno strumento per personalizzare la compressione del contenuto http statico, consente un utilizzo più efficiente della larghezza di banda senza carico inutile della CPU;
  • Dynamic Content Compression (Web-Dyn-Compression) è uno strumento per configurare la compressione del contenuto dinamico HTTP. Questa funzionalità consente un utilizzo più efficiente della larghezza di banda, ma il carico della CPU del server associato alla compressione dinamica può causare un rallentamento del sito se il carico della CPU è elevato senza compressione.
• Sviluppo di applicazioni (Web-App-Dev)– un insieme di servizi e strumenti per lo sviluppo e l'hosting di applicazioni web, in altre parole, tecnologie di sviluppo di siti web:
  • ASP (Web-ASP) è un ambiente per il supporto e lo sviluppo di siti Web e applicazioni Web utilizzando la tecnologia ASP. Attualmente esiste una tecnologia di sviluppo di siti Web più nuova e avanzata: ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) è un ambiente di sviluppo orientato agli oggetti per siti Web e applicazioni Web che utilizza la tecnologia ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) è anche un ambiente di sviluppo orientato agli oggetti per siti web e applicazioni web che utilizza la nuova versione di ASP.NET;
  • CGI (Web-CGI) è la capacità di utilizzare CGI per trasmettere informazioni da un server web a un programma esterno. CGI è un determinato standard di interfaccia per il collegamento di un programma esterno con un server web. Lo svantaggio è che l'uso della CGI influisce sulle prestazioni;
  • Le inclusioni lato server (SSI) (Web-Include) supportano il linguaggio di scripting SSI ( abilitatori lato server), che viene utilizzato per generare dinamicamente pagine HTML;
  • Inizializzazione dell'applicazione (Web-AppInit) – questo strumento svolge il compito di inizializzare le applicazioni web prima dell'inoltro della pagina web;
  • Protocollo WebSocket (Web-WebSockets): aggiunge la possibilità di creare applicazioni server che interagiscono utilizzando il protocollo WebSocket. WebSocket è un protocollo in grado di inviare e ricevere dati contemporaneamente tra un browser e un server web tramite una connessione TCP, una sorta di estensione del protocollo HTTP;
  • Estensioni ISAPI (Web-ISAPI-Ext) – supporto per lo sviluppo dinamico di contenuti Web utilizzando l'interfaccia di programmazione dell'applicazione ISAPI. ISAPI è un'API per il server Web IIS. Le applicazioni ISAPI sono molto più veloci dei file ASP o dei file che chiamano componenti COM+;
  • .NET 3.5 Extensibility (Web-Net-Ext) è una funzionalità di estendibilità di .NET 3.5 che consente di modificare, aggiungere ed estendere la funzionalità del server Web attraverso la pipeline di elaborazione delle richieste, la configurazione e l'interfaccia utente;
  • .NET 4.6 Extensibility (Web-Net-Ext45) è la funzionalità di estendibilità di .NET 4.6 che consente inoltre di modificare, aggiungere ed estendere la funzionalità del server Web attraverso la pipeline di elaborazione delle richieste, la configurazione e l'interfaccia utente;
  • Filtri ISAPI (Web-ISAPI-Filter): aggiunta del supporto per i filtri ISAPI. I filtri ISAPI sono programmi che vengono richiamati quando il server Web riceve una specifica richiesta HTTP che deve essere elaborata dal filtro.

Server FTP (Server Web FTP)– servizi che forniscono supporto per il protocollo FTP. Abbiamo parlato del server FTP in modo più dettagliato nel materiale – "Installazione e configurazione di un server FTP su Windows Server 2016". Contiene i seguenti servizi:

• Servizio FTP (Web-Ftp-Service) – aggiunge il supporto per il protocollo FTP sul server web;
• Estendibilità FTP (Web-Ftp-Ext): estende le funzionalità FTP standard, ad esempio aggiungendo il supporto per funzionalità quali provider personalizzati, utenti ASP.NET o utenti di Gestione IIS.

Strumenti di gestione (strumenti di gestione Web)- Si tratta di strumenti per la gestione del server Web IIS 10. Questi includono: l'interfaccia utente IIS, strumenti da riga di comando e script.

• La console di gestione IIS (Web-Mgmt-Console) è l'interfaccia utente per la gestione di IIS;
• I set di caratteri e gli strumenti IIS (Web-Scripting-Tools) sono strumenti e script per la gestione di IIS utilizzando la riga di comando o gli script. Possono essere utilizzati, ad esempio, per automatizzare il controllo;
• Servizio di gestione (Web-Mgmt-Service) – questo servizio aggiunge la possibilità di gestire il server web in remoto da un altro computer utilizzando il gestore IIS;
• Gestione della compatibilità IIS 6 (Web-Mgmt-Compat): garantisce la compatibilità tra applicazioni e script che utilizzano le due API IIS. Gli script IIS 6 esistenti possono essere utilizzati per controllare il server Web IIS 10:
  • Metabase di compatibilità con IIS 6 Metabase (Web-Metabase) è uno strumento di compatibilità che consente di eseguire applicazioni e set di caratteri trasferiti da versioni precedenti di IIS;
  • Strumenti di scripting IIS 6 (Web-Lgcy-Scripting): questi strumenti consentono di utilizzare gli stessi servizi di scripting IIS 6 creati per gestire IIS 6 in IIS 10;
  • Console di gestione dei servizi IIS 6 (Web-Lgcy-Mgmt-Console): uno strumento per amministrare server IIS 6.0 remoti;
  • WMI compatibile IIS 6 (Web-WMI) sono interfacce di scripting di Strumentazione gestione Windows (WMI) per il controllo e l'automazione a livello di codice delle attività del server Web IIS 10.0 utilizzando un set di script creati nel provider WMI.

Servizi di dominio Active Directory

Ruolo " Servizi di dominio Active Directory» (AD DS) fornisce un database distribuito che archivia ed elabora le informazioni sulle risorse di rete. Questo ruolo viene utilizzato per organizzare gli elementi di rete, come utenti, computer e altri dispositivi, in una struttura gerarchica di shell sicura. La struttura gerarchica include foreste, domini all'interno della foresta e unità organizzative (UO) all'interno di ciascun dominio. Un server che esegue Servizi di dominio Active Directory è denominato controller di dominio.

Il nome del ruolo per Windows PowerShell è AD-Domain-Services.

Modalità Windows Server Essentials

Questo ruolo rappresenta l'infrastruttura informatica e fornisce funzioni comode ed efficienti, ad esempio: archiviazione dei dati del cliente in una posizione centralizzata e protezione di questi dati eseguendo il backup del server e dei computer client, accesso Web remoto, consentendo di accedere ai dati da quasi tutti i dispositivi. Questo ruolo richiede diversi servizi ruolo e componenti per funzionare, ad esempio: componenti BranchCache, Windows Server Backup, gestione criteri di gruppo, servizio ruolo " Spazi dei nomi DFS».

Il nome di PowerShell è ServerEssentialsRole.

Controllore di rete

Questo ruolo è stato introdotto in Windows Server 2016 e fornisce un unico punto di automazione per la gestione, il monitoraggio e la diagnosi dell'infrastruttura di rete fisica e virtuale nel data center. Utilizzando questo ruolo, puoi configurare sottoreti IP, VLAN, adattatori di rete fisici di host Hyper-V, gestire switch virtuali, router fisici, impostazioni del firewall e gateway VPN da un unico punto.

Il nome di Windows PowerShell è NetworkController.

Servizio Guardiano del nodo

Questo è il ruolo del server Hosted Guardian Service (HGS) e fornisce servizi di attestazione e protezione delle chiavi che consentono agli host protetti di eseguire macchine virtuali schermate. Affinché questo ruolo funzioni, sono necessari diversi ruoli e componenti aggiuntivi, ad esempio: Servizi di dominio Active Directory, Server Web (IIS), componente " Clustering di failover" e altri.

Il nome di PowerShell è HostGuardianServiceRole.

Servizi di directory leggeri di Active Directory

Ruolo " Servizi di directory leggeri di Active Directory" (AD LDS): è una versione leggera di Servizi di dominio Active Directory che presenta meno funzionalità, ma non richiede la distribuzione di domini o controller di dominio e non presenta le dipendenze e le restrizioni di dominio richieste dai servizi di Servizi di dominio Active Directory. AD LDS funziona tramite il protocollo LDAP ( Protocollo di accesso alle directory leggero). È possibile distribuire più istanze di AD LDS con schemi gestiti in modo indipendente su un singolo server.

Il nome di PowerShell è ADLDS.

Servizi multipunto

Anche questo è un nuovo ruolo introdotto in Windows Server 2016. MultiPoint Services (MPS) fornisce funzionalità di desktop remoto di base che consentono a più utenti di lavorare contemporaneamente e in modo indipendente sullo stesso computer. Per installare e utilizzare questo ruolo, è necessario installare diversi servizi e componenti aggiuntivi, ad esempio: server di stampa, servizio di ricerca di Windows, visualizzatore XPS e altri, che verranno tutti selezionati automaticamente durante l'installazione di MPS.

Il nome del ruolo per PowerShell è MultiPointServerRole.

Servizi di aggiornamento di Windows Server

Con questo ruolo (WSUS), gli amministratori di sistema possono gestire gli aggiornamenti Microsoft. Ad esempio, crea gruppi separati di computer per diversi set di aggiornamenti e ricevi anche report sulla conformità dei computer e sugli aggiornamenti che devono essere installati. Funzionare " Servizi di aggiornamento di Windows Server"Abbiamo bisogno di servizi e componenti di ruolo come: server Web (IIS), database interno di Windows, servizio di attivazione dei processi di Windows.

Il nome di Windows PowerShell è UpdateServices.

• Connettività WID (UpdateServices-WidDB): impostato su WID ( Database interno di Windows) database utilizzato da WSUS. In altre parole, WSUS memorizzerà i dati del proprio servizio in WID;
• I servizi WSUS (UpdateServices-Services) sono i servizi ruolo WSUS, come Servizio aggiornamenti, Servizio Web di reporting, Servizio Web API Remoting, Servizio Web client, Servizio Web di autenticazione Internet semplice, Servizio di sincronizzazione del server e Servizio di autenticazione Web DSS;
• La connettività SQL Server (UpdateServices-DB) è l'installazione di un componente che consente al servizio WSUS di connettersi a un database Microsoft SQL Server. Questa opzione prevede la memorizzazione dei dati del servizio in un database Microsoft SQL Server. In questo caso è necessario che sia già installata almeno un'istanza di SQL Server.

Servizi di attivazione dei contratti multilicenza

Questo ruolo server automatizza e semplifica l'emissione di contratti multilicenza per il software Microsoft e consente di gestire tali licenze.

Il nome di PowerShell è VolumeActivation.

Servizi di stampa e documenti

Questo ruolo server è progettato per condividere stampanti e scanner su una rete, configurare e gestire centralmente i server di stampa e scansione e gestire stampanti e scanner di rete. Servizi di stampa e documenti consente inoltre di inviare documenti scansionati tramite e-mail, condivisioni di rete o siti di Windows SharePoint Services.

Il nome di PowerShell è Servizi di stampa.

• Server di stampa: questo servizio ruolo include " Gestione della stampa", che viene utilizzato per gestire stampanti o server di stampa, nonché per migrare stampanti e altri server di stampa;
• Stampa su Internet (Print-Internet): per implementare la stampa su Internet, viene creato un sito Web attraverso il quale gli utenti possono gestire i lavori di stampa sul server. Affinché questo servizio funzioni, come hai capito, devi installare “ Server Web (IIS)" Tutti i componenti richiesti verranno selezionati automaticamente quando si seleziona questa casella durante il processo di installazione per il servizio ruolo " Stampa in linea»;
• Distributed Scan Server (Print-Scan-Server) è un servizio che consente di ricevere documenti scansionati da scanner di rete e inviarli alla loro destinazione. Questo servizio contiene anche il " Controllo della scansione", utilizzato per gestire gli scanner di rete e configurare la scansione;
• Servizio LPD (Servizio Print-LPD) - Servizio LPD ( Demone della stampante di linea) consente ai computer basati su UNIX e ad altri computer che utilizzano il servizio Line Printer Remote (LPR) di stampare su stampanti server condivise.

Politica di rete e servizi di accesso

Ruolo " » (NPAS) consente di utilizzare Network Policy Server (NPS) per impostare e applicare policy per l'accesso alla rete, l'autenticazione e l'autorizzazione e l'integrità del client, in altre parole, per garantire la sicurezza della rete.

Il nome di Windows PowerShell è NPAS.

Servizi di distribuzione Windows

Utilizzando questo ruolo è possibile installare il sistema operativo Windows in remoto su una rete.

Il nome del ruolo per PowerShell è WDS.

• Deployment Server (WDS-Deployment): questo servizio ruolo è progettato per la distribuzione e la configurazione remote dei sistemi operativi Windows. Consente inoltre di creare e personalizzare immagini per il riutilizzo;
• Transport Server (WDS-Transport): questo servizio contiene i principali componenti di rete con i quali è possibile trasferire dati tramite multicast su un server autonomo.

Servizi certificati Active Directory

Questo ruolo è progettato per creare autorità di certificazione e servizi ruolo associati che consentono di emettere e gestire certificati per varie applicazioni.

Il nome di Windows PowerShell è Certificato AD.

Include i seguenti servizi ruolo:

• Autorità di certificazione (ADCS-Cert-Authority): utilizzando questo servizio ruolo, è possibile emettere certificati a utenti, computer e servizi e anche gestire la validità del certificato;
• Servizio Web criteri di registrazione certificati (ADCS-Enroll-Web-Pol): questo servizio consente agli utenti e ai computer di ottenere informazioni sui criteri di registrazione dei certificati utilizzando un browser Web, anche se il computer non fa parte di un dominio. Per il suo funzionamento è necessario" Server Web (IIS)»;
• Servizio Web di registrazione certificati (ADCS-Enroll-Web-Svc): questo servizio consente agli utenti e ai computer di registrare e rinnovare i certificati utilizzando un browser Web su HTTPS, anche se il computer non è un membro del dominio. Per il suo funzionamento è inoltre necessario” Server Web (IIS)»;
• Risponditore online (ADCS-Online-Cert): un servizio progettato per verificare la revoca del certificato per i client. In altre parole, accetta una richiesta di stato di revoca per certificati specifici, valuta lo stato di tali certificati e invia una risposta firmata con le informazioni sullo stato. Perché il servizio funzioni è necessario" Server Web (IIS)»;
• Servizio di registrazione dell'autorità di certificazione Internet (ADCS-Web-Enrollment): questo servizio fornisce un'interfaccia basata sul Web che consente agli utenti di eseguire attività quali la richiesta e il rinnovo di certificati, l'ottenimento di elenchi di revoche di certificati e la registrazione di certificati di smart card. Perché il servizio funzioni è necessario" Server Web (IIS)»;
• Servizio di registrazione dei dispositivi di rete (ADCS-Device-Enrollment): utilizzando questo servizio è possibile emettere e gestire certificati per router e altri dispositivi di rete che non dispongono di account di rete. Perché il servizio funzioni è necessario" Server Web (IIS)».

Servizi di desktop remoto

Un ruolo del server che consente di fornire l'accesso a desktop virtuali, desktop basati su sessioni e RemoteApp.

Il nome del ruolo per Windows PowerShell è Remote-Desktop-Services.

Consiste nei seguenti servizi:

• Accesso Web desktop remoto (RDS-Web-Access): questo servizio ruolo consente agli utenti di accedere ai desktop remoti e alle applicazioni RemoteApp tramite " Inizio» o utilizzando un browser web;
• Licenza Desktop remoto (Licensing RDS): un servizio progettato per gestire le licenze necessarie per connettersi a un server Host sessione Desktop remoto o desktop virtuale. Può essere utilizzato per installare, rilasciare licenze e monitorarne la disponibilità. Questo servizio richiede " Server Web (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) è un servizio ruolo che fornisce le seguenti funzionalità: riconnessione di un utente a un desktop virtuale esistente, all'applicazione RemoteApp e a un desktop basato su sessioni e bilanciamento del carico tra desktop di server host di sessioni remote o tra desktop virtuali in un pool. Questo servizio richiede il " »;
• Remote Desktop Virtualization Host (DS-Virtualization) è un servizio che consente agli utenti di connettersi ai desktop virtuali utilizzando RemoteApp e Connessione desktop. Questo servizio funziona insieme a Hyper-V, ad es. questo ruolo deve essere stabilito;
• Host sessione desktop remoto (RDS-RD-Server): questo servizio consente di ospitare applicazioni RemoteApp e desktop basati su sessioni su un server. Per l'accesso utilizzare il client Connessione Desktop Remoto o RemoteApp;
• Remote Desktop Gateway (RDS-Gateway): il servizio consente agli utenti remoti autorizzati di connettersi a desktop virtuali, RemoteApp e desktop basati su sessioni su una rete aziendale o su Internet. Per il funzionamento di questo servizio sono necessari i seguenti servizi e componenti aggiuntivi: " Server Web (IIS)», « Politica di rete e servizi di accesso», « RPC su proxy HTTP».

Servizi di gestione dei diritti di Active Directory

Questo è un ruolo del server che ti consentirà di proteggere le informazioni dall'uso non autorizzato. Verifica le identità degli utenti e concede agli utenti autorizzati licenze per accedere ai dati protetti. Per il funzionamento di questo ruolo sono necessari servizi e componenti aggiuntivi: " Server Web (IIS)», « Servizio di attivazione del processo Windows», « Funzionalità di .NET Framework 4.6».

Il nome di Windows PowerShell è ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) è il servizio ruolo principale ed è richiesto per l'installazione;
• Identity Federation Support (ADRMS-Identity) è un servizio ruolo facoltativo che consente alle identità federate di utilizzare contenuto protetto utilizzando Active Directory Federation Services.

Servizi federativi di Active Directory

Questo ruolo fornisce funzionalità di federazione delle identità semplificate e sicure, nonché Single Sign-On (SSO) basato su browser ai siti Web.

Il nome di PowerShell è ADFS-Federation.

Accesso remoto

Questo ruolo fornisce connettività tramite DirectAccess, VPN e proxy applicazione Web. Anche il ruolo di" Accesso remoto» fornisce funzionalità di routing tradizionali, tra cui Network Address Translation (NAT) e altre opzioni di connessione. Questo ruolo richiede servizi e componenti aggiuntivi: " Server Web (IIS)», « Database interno di Windows».

Il nome del ruolo per Windows PowerShell è Accesso remoto.

• DirectAccess e VPN (RAS) (DirectAccess-VPN): il servizio consente agli utenti di connettersi alla rete aziendale in qualsiasi momento se hanno accesso a Internet tramite DirectAccess, nonché di organizzare connessioni VPN in combinazione con tecnologie di tunneling e crittografia dei dati;
• Routing - il servizio fornisce supporto per router NAT, router LAN con protocolli BGP, RIP e router con supporto multicast (proxy IGMP);
• Web Application Proxy Server (Web-Application-Proxy): il servizio consente di pubblicare applicazioni basate sui protocolli HTTP e HTTPS dalla rete aziendale su dispositivi client che si trovano all'esterno della rete aziendale.

Servizi di file e archiviazione

Si tratta di un ruolo del server che può essere utilizzato per condividere file e cartelle, gestire e controllare le condivisioni, replicare i file, fornire ricerche rapide di file e fornire l'accesso ai computer client UNIX. Abbiamo esaminato più dettagliatamente i servizi file e in particolare il file server nel materiale "Installazione di un file server su Windows Server 2016".

Il nome di Windows PowerShell è FileAndStorage-Services.

Servizi di archiviazione– Questo servizio fornisce funzionalità di gestione dell'archiviazione che sono sempre installate e non possono essere rimosse.

Servizi file e servizi iSCSI (servizi file)– si tratta di tecnologie che semplificano la gestione dei file server e dell'archiviazione, risparmiano spazio su disco, forniscono la replica e la memorizzazione nella cache dei file nelle filiali e forniscono anche la condivisione di file utilizzando il protocollo NFS. Include i seguenti servizi ruolo:

• File Server (FS-FileServer) è un servizio ruolo che gestisce le cartelle condivise e fornisce agli utenti l'accesso ai file su questo computer tramite la rete;
• Deduplicazione dei dati (FS-Data-Deduplication) – questo servizio consente di risparmiare spazio su disco archiviando solo una copia di dati identici su un volume;
• Gestione risorse file server (FS-Resource-Manager): utilizzando questo servizio, è possibile gestire file e cartelle su un file server, creare report di archiviazione, classificare file e cartelle, configurare quote di cartelle e definire policy di blocco dei file;
• Provider di archiviazione di destinazione iSCSI (provider VDS e VSS hardware) (iSCSITarget-VSS-VDS) – Il servizio consente alle applicazioni su un server connesso a una destinazione iSCSI di eseguire copie shadow di volumi su dischi virtuali iSCSI;
• Spazi dei nomi DFS (FS-DFS-Namespace): utilizzando questo servizio, è possibile raggruppare cartelle condivise situate su server diversi in uno o più spazi dei nomi strutturati logicamente;
• Cartelle di lavoro (FS-SyncShareService) – il servizio consente di utilizzare file di lavoro su vari computer, inclusi quelli di lavoro e personali. È possibile archiviare i file in cartelle di lavoro, sincronizzarli e accedervi da una rete locale o da Internet. Affinché il servizio funzioni, la componente " Motore Web in-process IIS»;
• Replica DFS (FS-DFS-Replication) è un modulo di replica dei dati tra più server che consente di sincronizzare le cartelle su una connessione di rete locale o globale. Questa tecnologia utilizza il protocollo RDC (Remote Differential Compression) per aggiornare solo le parti di file che sono state modificate dall'ultima replica. Replica DFS può essere utilizzata insieme agli spazi dei nomi DFS o separatamente;
• Server per NFS (FS-NFS-Service) - un servizio che consente a questo computer di condividere file con computer basati su UNIX e altri computer che utilizzano il protocollo Network File System (NFS);
• Server di destinazione iSCSI (FS-iSCSITarget-Server): fornisce servizi e strumenti di gestione per destinazioni iSCSI;
• Servizio BranchCache per file di rete (FS-BranchCache): il servizio fornisce il supporto BranchCache su questo file server;
• Servizio agente VSS file server (FS-VSS-Agent): il servizio consente di eseguire copie shadow del volume per le applicazioni che archiviano file di dati su questo file server.

Server fax

Il ruolo invia e riceve fax e consente di gestire le risorse fax, come lavori, impostazioni, rapporti e dispositivi fax, su questo computer o rete. Per lavorare serve" Server di stampa».

Il nome del ruolo per Windows PowerShell è Fax.

Questo conclude la revisione dei ruoli server di Windows Server 2016, spero che il materiale ti sia stato utile, ciao!

Applicazione dei criteri di gruppo (parte 3)

In genere, gli oggetti Criteri di gruppo vengono assegnati a un contenitore (dominio, sito o unità organizzativa) e si applicano a tutti gli oggetti in quel contenitore. Con una struttura di dominio ben organizzata, questo è abbastanza, ma a volte è necessario limitare ulteriormente l'applicazione delle policy a un determinato gruppo di oggetti. Per fare ciò, puoi utilizzare due tipi di filtri.

Filtri di sicurezza

I filtri di sicurezza consentono di limitare l'applicazione delle policy a un gruppo di sicurezza specifico. Prendiamo ad esempio l'oggetto Criteri di gruppo 2, che viene utilizzato per configurare centralmente il menu Start sulle workstation con Windows 8.1\Windows 10. L'oggetto Criteri di gruppo 2 viene assegnato all'unità organizzativa Dipendenti e si applica a tutti gli utenti senza eccezioni.

Andiamo ora nella scheda “Scope”, dove nella sezione “Security Filtering” sono indicati i gruppi a cui può essere applicato questo GPO. Per impostazione predefinita, qui viene specificato il gruppo Utenti autenticati. Ciò significa che la policy può essere applicata chiunque un utente o un computer che si è autenticato con successo nel dominio.

Ogni oggetto Criteri di gruppo, infatti, ha il proprio elenco di accesso, visibile nella scheda Delega.

Per applicare una policy, un oggetto deve avere i diritti per leggerla (Lettura) e applicarla (Applica policy di gruppo), di cui dispone il gruppo Authenticated Users. Di conseguenza, affinché la politica non si applichi a tutti, ma solo a un gruppo specifico, è necessario rimuovere gli utenti autenticati dall'elenco, quindi aggiungere il gruppo desiderato e concedergli i diritti appropriati.

Pertanto, nel nostro esempio, la policy può essere applicata solo al gruppo Contabilità.

Filtri WMI

Strumentazione gestione Windows (WMI) è uno degli strumenti più potenti per la gestione della sala operatoria Sistema Windows. WMI contiene grande quantità classi con le quali puoi descrivere quasi tutti i parametri utente e computer. Puoi visualizzare tutte le classi WMI disponibili in un elenco utilizzando PowerShell eseguendo il comando:

Get-WmiObject-List

Ad esempio, prendiamo la lezione Win32_SistemaOperativo, che è responsabile delle proprietà del sistema operativo. Supponiamo che tu voglia filtrare tutti i sistemi operativi tranne Windows 10. Andiamo su un computer con Windows 10 installato, apriamo la console di PowerShell e visualizziamo il nome, la versione e il tipo del sistema operativo utilizzando il comando:

Get-WmiObject -Class Win32_OperatingSystem | fl Nome, Versione, Tipo Prodotto

Per il filtro utilizziamo la versione e il tipo del sistema operativo. La versione è la stessa per i sistemi operativi client e server ed è definita come segue:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Il tipo di prodotto è responsabile dello scopo del computer e può avere 3 valori:

1 - postazione di lavoro;
2 - controller di dominio;
3 - servitore.

Passiamo ora alla creazione del filtro. Per fare ciò, apri lo snap-in “Gestione criteri di gruppo” e vai alla sezione “Filtri WMI”. Fare clic destro su di esso e selezionare "Nuovo" dal menu contestuale.

Nella finestra che si apre, dai al filtro un nome e una descrizione. Quindi fare clic sul pulsante “Aggiungi” e inserire la query WQL nel campo “Query”, che è la base del filtro WMI. Dobbiamo selezionare la versione del sistema operativo 10.0 con il tipo 1, quindi la richiesta sarà simile a questa:

SELEZIONA * FROM Win32_OperatingSystem WHERE Versione COME ″10.0%″ AND ProductType = ″1″

Nota. Windows Query Language (WQL) è il linguaggio di query WMI. Puoi saperne di più su MSDN.

Salva il filtro risultante.

Ora non resta che assegnare il filtro WMI a un oggetto Criteri di gruppo, ad esempio a GPO3. Vai alle proprietà dell'oggetto Criteri di gruppo, apri la scheda "Ambito" e nel campo "Filtro WMI", seleziona il filtro desiderato dall'elenco.

Analisi delle applicazioni di criteri di gruppo

Con così tanti modi per filtrare gli oggetti Criteri di gruppo, è necessario essere in grado di diagnosticare e analizzare il loro utilizzo. Il modo più semplice per verificare l'effetto dei criteri di gruppo su un computer è utilizzare un'utilità della riga di comando gpresult.

Andiamo, ad esempio, sul computer wks2 su cui è installato Windows 7 e controlliamo se il filtro WMI ha funzionato. Per fare ciò, apri la console cmd con diritti di amministratore ed esegui il comando gpresulto/r, che visualizza informazioni di riepilogo sui criteri di gruppo applicati all'utente e al computer.

Nota. L'utilità gpresult ha molte impostazioni, che puoi visualizzare con il comando gpresult /?.

Come puoi vedere dai dati ottenuti, il criterio GPO3 non è stato applicato al computer perché è stato filtrato utilizzando il filtro WMI.

Puoi anche verificare l'effetto dell'oggetto Criteri di gruppo dallo snap-in "Gestione criteri di gruppo", utilizzando una procedura guidata speciale. Per avviare la procedura guidata, fare clic con il pulsante destro del mouse sulla sezione "Risultati criteri di gruppo" e selezionare "Procedura guidata risultati criteri di gruppo" dal menu che si apre.

Specificare il nome del computer per il quale verrà generato il report. Se desideri solo visualizzare le impostazioni dei Criteri di gruppo dell'utente, non è necessario raccogliere le impostazioni per il tuo computer. Per fare ciò, è necessario selezionare la casella sottostante (visualizzare solo le impostazioni dei criteri utente).

Successivamente selezioniamo il nome utente per il quale verranno raccolti i dati oppure è possibile specificare di non includere le impostazioni dei criteri di gruppo per l'utente nel report (visualizza solo le impostazioni dei criteri del computer).

Controlliamo le impostazioni selezionate, facciamo clic su "Avanti" e attendiamo che i dati vengano raccolti e il report venga generato.

Il report contiene informazioni complete sugli oggetti Criteri di gruppo applicati (o non applicati) all'utente e al computer, nonché sui filtri utilizzati.

Ad esempio, creiamo report per due utenti diversi e confrontiamoli. Apriamo prima il report per l'utente Kirill e andiamo alla sezione delle impostazioni utente. Come puoi vedere, il criterio GPO2 non è stato applicato a questo utente perché non dispone dei diritti per applicarlo (Motivo negato - Inaccessibile).

Ora apriamo il report per l'utente Oleg. Questo utente è un membro del gruppo Contabilità, quindi il criterio gli è stato applicato correttamente. Ciò significa che il filtro di sicurezza ha funzionato correttamente.

Probabilmente finirò qui la storia “affascinante” sull’utilizzo dei criteri di gruppo. Spero che queste informazioni ti siano utili e ti aiutino nel difficile compito di amministrazione del sistema :)