Werken met administratie- en routeringsgroepen. Active Directory-domeinservices. GPResult-gegevens ontvangen van een externe computer

Bij het installeren van Windows worden de meeste niet-essentiële subsystemen niet geactiveerd of geïnstalleerd. Dit is om veiligheidsredenen. Omdat het systeem standaard beveiligd is, kunnen systeembeheerders zich concentreren op het ontwerpen van een systeem dat uitsluitend de functies uitvoert die eraan zijn toegewezen en niets meer. Om de gewenste functionaliteit in te schakelen, vraagt ​​Windows u om een ​​serverrol te selecteren.

Rollen

Een serverrol is een verzameling programma's die, indien correct geïnstalleerd en geconfigureerd, een computer in staat stellen een specifieke functie uit te voeren voor meerdere gebruikers of andere computers in een netwerk. Over het algemeen hebben alle rollen de volgende kenmerken.

• Ze definiëren de hoofdfunctie, het doel of het doel van het gebruik van de computer. U kunt een computer toewijzen om één rol uit te voeren die veel wordt gebruikt in de onderneming, of om meerdere rollen uit te voeren als elk ervan slechts zelden wordt gebruikt.
• Rollen bieden gebruikers in de hele organisatie toegang tot bronnen die worden beheerd door andere computers, zoals websites, printers of bestanden die op verschillende computers zijn opgeslagen.
• Ze hebben meestal hun eigen databases die wachtrijen voor gebruikers- of computerverzoeken maken of informatie vastleggen over netwerkgebruikers en computers die aan een rol zijn gekoppeld. Bijvoorbeeld Domeinservices Active Directory bevatten een database voor het opslaan van de namen en hiërarchische relaties van alle computers in het netwerk.
• Eenmaal correct geïnstalleerd en geconfigureerd, functioneren de rollen automatisch. Hierdoor kunnen de computers waarop ze zijn geïnstalleerd, toegewezen taken uitvoeren met beperkte gebruikersinvoer.

Roldiensten

Rolservices zijn programma's die de functionaliteit van een rol bieden. Wanneer u een rol installeert, kunt u kiezen welke services deze aan andere gebruikers en computers in de onderneming levert. Sommige rollen, zoals de DNS-server, hebben maar één functie, dus er zijn geen rolservices voor. Andere rollen, zoals Remote Desktop Services, hebben meerdere services die u kunt installeren, afhankelijk van de externe toegangsbehoeften van uw onderneming. Een rol kan worden gezien als een verzameling nauw verwante, complementaire roldiensten. In de meeste gevallen betekent het installeren van een rol het installeren van een of meer van zijn services.

Componenten

Componenten zijn programma's die niet direct onderdeel zijn van rollen, maar de functionaliteit van een of meer rollen of een hele server ondersteunen of uitbreiden, ongeacht welke rollen zijn geïnstalleerd. Failover Clustering breidt bijvoorbeeld de functionaliteit uit van andere rollen, zoals bestandsservices en DHCP-server, door ze toe te staan ​​deel te nemen aan serverclusters voor meer redundantie en prestaties. Een ander onderdeel, de Telnet-client, zorgt voor communicatie op afstand met de Telnet-server via een netwerkverbinding. Deze functie verbetert de communicatiemogelijkheden van de server.

Wanneer Windows Server in Server Core-modus wordt uitgevoerd, worden de volgende serverrollen ondersteund:

• Active Directory-certificaatservices
• Active Directory-domeinservices;
• DHCP server;
• DNS server;
• bestandsservices (inclusief de resourcemanager van de bestandsserver);
• Active Directory Lichtgewicht directoryservices;
• Hyper-V;
• print- en documentdiensten;
• streaming mediadiensten;
• webserver (inclusief een subset van ASP.NET);
• Windows Server-updateserver;
• Active Directory Rights Management-server
• Routing and Remote Access Server en de volgende ondergeschikte rollen:
  • Verbindingsmakelaar voor extern bureaublad-services;
  • licenties;
  • virtualisatie.

Wanneer Windows Server in Server Core-modus wordt uitgevoerd, worden de volgende servercomponenten ondersteund:

• Microsoft .NET Framework 3.5
• Microsoft .NET Framework 4.5
• Windows PowerShell
• Achtergrond Intelligente Transfer Service (BITS);
• BitLocker-stationsversleuteling
• BitLocker-netwerk ontgrendelen
• BranchCache
• datacenter brug;
• Verbeterde opslag;
• Failoverclustering
• Multipad I/O;
• netwerktaakverdeling;
• PNRP-protocol;
• qGolf;
• differentiële compressie op afstand;
• eenvoudige TCP/IP-diensten;
• RPC via HTTP-proxy;
• SMTP-server
• SNMP-service;
• Telnet-client
• Telnet-server
• TFTP-client;
• interne Windows-database;
• Windows PowerShell-webtoegang
• Windows-activeringsservice;
• gestandaardiseerd opslagbeheer voor Windows;
• IIS WinRM-extensie;
• WINS-server;
• ondersteuning voor WoW64.

Serverrollen installeren met Serverbeheer

Om toe te voegen, opent u Serverbeheer en klikt u in het menu Beheren op Rollen en functies toevoegen:

De wizard Rollen en functies toevoegen wordt geopend. Klik volgende

Installatietype, selecteer op rollen gebaseerde of functiegebaseerde installatie. Volgende:

Serverselectie - selecteer onze server. Klik op Volgende serverrollen - Selecteer rollen, selecteer indien nodig rolservices en klik op Volgende om de componenten te selecteren. Tijdens deze procedure informeert de wizard Rollen en functies toevoegen u automatisch over conflicten die zijn ontstaan ​​op de doelserver die de installatie of normale werking van de geselecteerde rollen of functies kunnen verstoren. U wordt ook gevraagd om rollen, rolservices en functies toe te voegen die vereist zijn voor de geselecteerde rollen of functies.

Rollen installeren met PowerShell

Windows PowerShell openen Voer de opdracht Get-WindowsFeature in om de lijst met beschikbare en geïnstalleerde rollen en functies op de lokale server te bekijken. De uitvoer van deze cmdlet bevat de opdrachtnamen voor de rollen en functies die zijn geïnstalleerd en beschikbaar zijn voor installatie.

Voer Get-Help Install-WindowsFeature in om de syntaxis en geldige parameters voor de cmdlet Install-WindowsFeature (MAN) weer te geven.

We voeren de volgende opdracht in (-Restart zal de server opnieuw opstarten als opnieuw opstarten vereist is tijdens de installatie van de rol).

Installeren-Windows-functie –Naam -Herstarten

Beschrijving van rollen en rolservices

Hieronder worden alle rollen en rolservices beschreven. Laten we eens kijken naar de geavanceerde instelling voor de meest voorkomende in onze praktijk Webserverrol en Extern bureaublad-services

Gedetailleerde beschrijving van IIS

• Algemene HTTP-functies - Basis HTTP-componenten
  • Standaarddocument - hiermee kunt u de indexpagina voor de site instellen.
  • Directory Browsing - Hiermee kunnen gebruikers de inhoud van een directory op een webserver zien. Gebruik Directory Browsing om automatisch een lijst met alle mappen en bestanden in een map te genereren wanneer gebruikers geen bestand in de URL specificeren en de indexpagina is uitgeschakeld of niet geconfigureerd
  • HTTP-fouten - hiermee kunt u de foutberichten aanpassen die in de browser aan clients worden geretourneerd.
  • Statische inhoud - hiermee kunt u statische inhoud plaatsen, zoals afbeeldingen of html-bestanden.
  • HTTP-omleiding - Biedt ondersteuning voor het omleiden van gebruikersverzoeken.
  • Met WebDAV Publishing kunt u bestanden van een webserver publiceren met behulp van het HTTP-protocol.
• Gezondheids- en diagnosefuncties - Diagnostische componenten
  • HTTP Logging biedt logboekregistratie van website-activiteit voor een bepaalde server.
  • Aangepaste logboekregistratie biedt ondersteuning voor het maken van aangepaste logboeken die verschillen van "traditionele" logboeken.
  • Logging Tools biedt de infrastructuur voor het beheren van webserverlogboeken en het automatiseren van algemene logboektaken.
  • ODBC Logging biedt een infrastructuur die het loggen van webserveractiviteit naar een ODBC-compatibele database ondersteunt.
  • Request Monitor biedt de infrastructuur voor het bewaken van de status van webapplicaties door informatie over HTTP-verzoeken te verzamelen in een IIS-werkproces.
  • Tracing biedt de infrastructuur voor het diagnosticeren en oplossen van problemen met webapplicaties. Door het traceren van mislukte verzoeken te gebruiken, kunt u moeilijk te registreren gebeurtenissen volgen, zoals slechte prestaties of verificatiefouten.
• Prestatiecomponenten verhogen de prestaties van de webserver.
  • Statische inhoudscompressie biedt de infrastructuur voor het configureren van HTTP-compressie van statische inhoud
  • Dynamic Content Compression biedt de infrastructuur voor het configureren van HTTP-compressie voor dynamische inhoud.
• Beveiliging beveiligingscomponenten
  • Met Request Filtering kunt u alle inkomende verzoeken vastleggen en filteren op basis van de regels die door de beheerder zijn ingesteld.
  • Met basisverificatie kunt u extra autorisatie instellen
  • Gecentraliseerde SSL-certificaatondersteuning is een functie waarmee u certificaten op een gecentraliseerde locatie kunt opslaan als bestandsshare.
  • Clientcmaakt gebruik van clientcertificaten om gebruikers te verifiëren.
  • Digest-verificatie werkt door een wachtwoord-hash naar een Windows-domeincontroller te sturen om gebruikers te verifiëren. Als je meer beveiliging nodig hebt dan basisverificatie, overweeg dan om Digest-verificatie te gebruiken
  • IIS Client Certificate Mapping Authentication maakt gebruik van clientcertificaten om gebruikers te verifiëren. Een clientcertificaat is een digitale id die is verkregen van een vertrouwde bron.
  • Met IP- en domeinbeperkingen kunt u toegang toestaan ​​/ weigeren op basis van het gevraagde IP-adres of domeinnaam.
  • Met URL-autorisatie kunt u regels maken die de toegang tot webinhoud beperken.
  • Windows-verificatie Met dit verificatieschema kunnen Windows-domeinbeheerders profiteren van de domeininfrastructuur voor gebruikersverificatie.
• Applicatieontwikkeling Functiesen
• FTP-server
  • FTP-service Schakelt FTP-publicatie naar een webserver in.
  • FTP-uitbreidbaarheid Bevat ondersteuning voor FTP-functies die de mogelijkheden uitbreiden
• Beheertools beheertools
  • IIS Management Console installeert IIS Manager, waarmee u de webserver kunt beheren via een grafische interface
  • IIS 6.0-beheercompatibiliteit biedt voorwaartse compatibiliteit voor toepassingen en scripts die gebruikmaken van de Active Directory Admin Base Object (ABO) en Directory Service Interface (ADSI) API's. Hierdoor kunnen bestaande IIS 6.0-scripts worden gebruikt door de IIS 8.0-webserver
  • IIS-beheerscripts en -hulpprogramma's bieden de infrastructuur voor het programmatisch beheren van een IIS-webserver, met behulp van opdrachten in een opdrachtpromptvenster of door scripts uit te voeren.
  • De Management Service biedt de infrastructuur voor het aanpassen van de gebruikersinterface, IIS Manager.

Gedetailleerde beschrijving van RDS

• Remote Desktop Connection Broker - Biedt opnieuw verbinden clientapparaat naar programma's op basis van sessies desktop computers en virtuele desktops.
• Remote Desktop Gateway - Hiermee kunnen geautoriseerde gebruikers verbinding maken met virtuele desktops, RemoteApp-programma's en op sessies gebaseerde desktops in bedrijfsnetwerk of via internet.
• Extern bureaublad-licentieverlening - RDP-hulpprogramma voor licentiebeheer
• Extern bureaublad-sessiehost - Hiermee kan een server RemoteApp-programma's of een desktopgebaseerde sessie hosten.
• Remote Desktop Virtualization Host - hiermee kunt u RDP configureren op virtuele machines
• Remote Desktop WebAccess - Hiermee kunnen gebruikers verbinding maken met desktopbronnen via het menu Start of de webbrowser.

Laten we eens kijken naar de installatie en configuratie van de terminallicentieserver. Het hierboven beschreven hoe rollen te installeren, de installatie van RDS verschilt niet van de installatie van andere rollen, in Role Services moeten we Remote Desktop Licensing en Remote Desktop Session Host selecteren. Na installatie verschijnt het item Terminal Services in Server Manager-Tools. Terminal Services heeft twee items: RD Licensing Diagnoser, een diagnostisch hulpprogramma voor licenties voor extern bureaublad, en Remote Desktop Licensing Manager, een hulpprogramma voor licentiebeheer.

Start RD Licensing Diagnoser

Hier zien we dat er nog geen licenties beschikbaar zijn omdat de licentiemodus voor de RD Session Host-server niet is ingesteld. De licentieserver wordt gespecificeerd in het lokale groepsbeleid. Voer de opdracht gpedit.msc uit om de editor te starten. De Editor voor lokaal groepsbeleid wordt geopend. Open in de boomstructuur aan de linkerkant de tabbladen:

• computer configuratie
• administratieve sjablonen
• Windows-componenten
• Extern bureaublad-services
• Extern bureaublad-sessiehost
• Licenties

Open de parameters Gebruik de opgegeven Extern bureaublad-licentieservers

Schakel in het venster voor het bewerken van beleidsinstellingen de licentieserver in (Ingeschakeld). Vervolgens moet u een licentieserver voor Remote Desktop Services definiëren. In mijn voorbeeld bevindt de licentieserver zich op dezelfde fysieke server. Wij geven aan: netwerknaam of het IP-adres van de licentieserver en klik op OK. Als in de toekomst de naam van de server, de licentieserver, wordt gewijzigd, moet u deze in dezelfde sectie wijzigen.

Daarna kunt u in RD Licensing Diagnoser zien dat de terminallicentieserver is geconfigureerd, maar niet is ingeschakeld. Voer Extern bureaublad-licentiebeheer uit om dit in te schakelen

Selecteer de licentieserver met de status Niet geactiveerd. Om te activeren, klik er met de rechtermuisknop op en selecteer Server activeren. De wizard Serveractivering wordt gestart. Selecteer op het tabblad Verbindingsmethode de optie Automatische verbinding. Vul vervolgens de gegevens van de organisatie in, daarna wordt de licentieserver geactiveerd.

Active Directory-certificaatservices

AD CS biedt een aanpasbare service voor digitale certificaten voor de beveiliging en het beheer van software met openbare sleutels. Digitale certificaten geleverd door AD CS kunnen worden gebruikt voor codering en digitale ondertekening elektronische documenten en berichten. Deze digitale certificaten kunnen worden gebruikt om computer-, gebruikers- en apparaataccounts op het netwerk te verifiëren. Digitale certificaten worden gebruikt om:

• privacy met behulp van codering;
• integriteit met behulp van digitale handtekeningen;
• authenticatie door certificaatsleutels te binden aan computer-, gebruikers- en apparaataccounts op het netwerk.

AD CS kan worden gebruikt om de beveiliging te verbeteren door de identiteit van een gebruiker, apparaat of service te koppelen aan een geschikt prive sleutel... Toepassingen die door AD CS worden ondersteund, zijn onder meer Secure Multipurpose Internet Mail Standard Extensions (S / MIME), beveiligd draadloze netwerken, virtual private networks (VPN), IPsec, versleuteld bestandssysteem (EFS), smartcard-aanmelding, beveiliging van gegevensoverdracht en transportlaagbeveiliging (SSL/TLS) en digitale handtekeningen.

Active Directory-domeinservices

Door de serverrol Active Directory Domain Services (AD DS) te gebruiken, kunt u een schaalbare, veilige en beheerbare infrastructuur creëren voor gebruikers- en resourcebeheer; daarnaast kunt u directory-aware toepassingen leveren, zoals Microsoft Exchange Server. Domeinservices Active Directory biedt een gedistribueerde database waarin informatie over netwerkbronnen en gegevens van directory-enabled applicaties wordt opgeslagen en beheerd. De server waarop AD DS wordt uitgevoerd, wordt een domeincontroller genoemd. Beheerders kunnen AD DS gebruiken om netwerkelementen zoals gebruikers, computers en andere apparaten te ordenen in een hiërarchische, geneste structuur. De hiërarchische geneste structuur omvat het Active Directory-forest, domeinen in het forest en organisatie-eenheden in elk domein. Beveiliging is geïntegreerd in AD DS in de vorm van authenticatie en toegangscontrole tot bronnen in de directory. Met eenmalige aanmelding kunnen beheerders directory- en organisatie-informatie via het netwerk beheren. Geautoriseerde netwerkgebruikers kunnen ook eenmalige aanmelding gebruiken om overal op het netwerk toegang te krijgen tot bronnen. Active Directory Domain Services biedt de volgende extra mogelijkheden.

• Een set regels is een schema dat de klassen van objecten en attributen definieert die in de catalogus zijn opgenomen, beperkingen en limieten voor instanties van deze objecten en het formaat van hun namen.
• Een globale catalogus die informatie bevat over elk object in de catalogus. Gebruikers en beheerders kunnen de globale catalogus gebruiken om directorygegevens te doorzoeken, ongeacht het domein in de directory dat de gegevens bevat waarnaar ze op zoek zijn.
• Een query- en indexeringsmechanisme waarmee objecten en hun eigenschappen kunnen worden gepubliceerd en geopend door netwerkgebruikers en applicaties.
• Een replicatieservice die directorygegevens over het netwerk distribueert. Alle beschrijfbare domeincontrollers in het domein nemen deel aan replicatie en bevatten een volledige kopie van alle directorygegevens voor hun domein. Alle wijzigingen in directorygegevens worden in het hele domein gerepliceerd naar alle domeincontrollers.
• Operations master-rollen (ook bekend als flexibele single master operations of FSMO's). Domeincontrollers die fungeren als operations-masters zijn ontworpen om speciale taken uit te voeren om gegevensconsistentie te waarborgen en conflicterende directory-items te voorkomen.

Active Directory Federation-services

AD FS bieden eindgebruikers die toegang nodig hebben tot toepassingen in een door AD FS beveiligde onderneming, federatiepartner of de cloud, Lightweight and Secure Identity Federation en Web Single Sign-On (SSO)-mogelijkheden In Windows Server bevat AD FS de Federation Service-rolservice die wordt uitgevoerd in als identiteitsprovider (authenticeert gebruikers om beveiligingstokens te leveren voor toepassingen die AD FS vertrouwen) of als federatieprovider (gebruikt tokens van andere identiteitsproviders en levert vervolgens beveiligingstokens voor toepassingen die AD FS vertrouwen).

Active Directory Lichtgewicht Directory Services

Active Directory Lightweight Directory Services (AD LDS) is een LDAP-protocol dat flexibele ondersteuning biedt voor directorytoepassingen zonder de afhankelijkheden en domeingerelateerde beperkingen van Active Directory Domain Services. AD LDS kan worden uitgevoerd op lidservers of op zelfstandige servers. Meerdere exemplaren van AD LDS met onafhankelijk beheerde schema's kunnen op één server worden uitgevoerd. Met behulp van de AD LDS-rol kunt u directoryservices leveren voor directory-enabled applicaties zonder afhankelijk te zijn van domein- en forest-overhead of een enkel schema voor het hele forest.

Services voor Active Directory-rechtenbeheer

U kunt AD RMS gebruiken om de beveiligingsstrategie van uw organisatie uit te breiden door documenten te beschermen met Information Rights Management (IRM). Met AD RMS kunnen gebruikers en beheerders toegangsrechten toewijzen aan documenten, werkmappen en presentaties met behulp van IRM-beleid. Dit helpt vertrouwelijke informatie te beschermen tegen afdrukken, verzenden of kopiëren door onbevoegde gebruikers. Zodra de machtigingen voor een bestand door IRM zijn beperkt, worden toegangs- en gebruiksbeperkingen toegepast, ongeacht waar de informatie zich bevindt, aangezien de machtiging van het bestand is opgeslagen in het documentbestand zelf. Met AD RMS en IRM kunnen individuele gebruikers hun eigen persoonlijke voorkeuren toepassen voor de overdracht van persoonlijke en vertrouwelijke informatie. Ze zullen de organisatie ook helpen bij het afdwingen van het bedrijfsbeleid om het gebruik en de verspreiding van vertrouwelijke en persoonlijke informatie te beheren. IRM-oplossingen die door AD RMS worden ondersteund, worden gebruikt om de volgende mogelijkheden te bieden.

• Permanent gebruiksbeleid dat bij informatie blijft, ongeacht beweging, indiening of verzending.
• Een extra privacylaag om gevoelige gegevens, zoals rapporten, productspecificaties, klantinformatie en e-mail, te beschermen tegen opzettelijk of per ongeluk in verkeerde handen vallen.
• Voorkom dat geautoriseerde ontvangers ongeoorloofde inhoud doorsturen, kopiëren, wijzigen, afdrukken, faxen of plakken.
• Voorkom kopiëren van beperkte inhoud met behulp van PRINT-functies SCHERM op Microsoft Windows.
• Ondersteuning voor het verlopen van bestanden, waardoor het bekijken van documentinhoud na een bepaalde tijdsperiode wordt voorkomen.
• Bedrijfsbeleid implementeren dat het gebruik en de distributie van inhoud in een organisatie regelt

Applicatie server

Application Server biedt een geïntegreerde omgeving voor het implementeren en uitvoeren van aangepaste servergebaseerde bedrijfsapplicaties.

DHCP server

DHCP is een client-/servertechnologie waarmee DHCP-servers IP-adressen kunnen toewijzen of leasen aan computers en andere apparaten die DHCP-clients zijn. Het implementeren van DHCP-servers in een netwerk voorziet automatisch clientcomputers en andere netwerkapparaten in op basis van IPv4- en IPv6-geldige IP-adressen en aanvullende configuratieparameters die vereist zijn voor deze clients en apparaten.De DHCP Server-service in Windows Server biedt ondersteuning voor op beleid gebaseerde toewijzingen en DHCP-failover.

DNS server

DNS Service is een hiërarchische gedistribueerde database die toewijzingen van DNS-domeinnamen bevat naar: verschillende soorten gegevens zoals IP-adressen. Met DNS kunt u gebruiksvriendelijke namen zoals www.microsoft.com gebruiken om u te helpen computers en andere bronnen op TCP/IP-netwerken te vinden. DNS in Windows Server biedt aanvullende en verbeterde ondersteuning voor DNS Security Modules (DNSSEC), inclusief netwerkregistratie en geautomatiseerd parameterbeheer.

FAX-server

Serverfax verzendt en ontvangt faxen en biedt u de mogelijkheid om faxbronnen zoals taken, instellingen, rapporten en faxapparaten op uw faxserver te beheren.

Bestands- en opslagservices

Beheerders kunnen de rol Bestands- en opslagservices gebruiken om meerdere bestandsservers en hun opslagplaatsen te configureren en te beheren met Serverbeheer of Windows PowerShell. Sommige specifieke toepassingen bevatten de volgende functies.

• Werkmappen. Gebruik dit om gebruikers in staat te stellen werkbestanden op te slaan en te openen op andere personal computers en apparaten dan bedrijfs-pc's. Gebruikers krijgen een handige plek om werkbestanden op te slaan en ze overal te openen. Organisaties beheren bedrijfsgegevens door bestanden op centraal beheerde bestandsservers op te slaan en zo nodig gebruikersapparaatbeleid (zoals codering en) in te stellen.
• Ontdubbeling van gegevens. Gebruik dit om de vereiste schijfruimte voor het opslaan van bestanden te verminderen en tegelijkertijd te besparen op opslagkosten.
• ISCSI-doelserver. Gebruik om gecentraliseerde, software- en hardware-onafhankelijke iSCSI-schijfsubsystemen in Storage Area Networks (SAN's) te creëren.
• Schijfruimten. Gebruik voor storage-implementaties met hoge beschikbaarheid die veerkrachtig en schaalbaar zijn met kosteneffectieve industriestandaard schijven.
• Serverbeheerder. Gebruik om op afstand meerdere bestandsservers vanuit één venster te beheren.
• Windows Power shell. Gebruiken om het beheer van de meeste bestandsserverbeheertaken te automatiseren.

Hyper-V

Met de Hyper-V-rol kunt u een gevirtualiseerde computeromgeving creëren en beheren met behulp van virtualisatietechnologie die is ingebouwd in Windows Server. Als u de Hyper-V-rol installeert, worden zowel vereisten als optionele beheerhulpprogramma's geïnstalleerd. Vereisten zijn onder meer Windows Low-Level Shell, Hyper-V Virtual Machine Management Service, WMI Virtualization Provider en virtualisatiecomponenten zoals VMbus, Virtualization Service Provider (VSP) en Virtual Infrastructure Driver (VID).

Netwerkbeleid en toegangsservices

Network Policy and Access Services biedt de volgende oplossingen voor netwerkconnectiviteit:

• Network Access Protection is een technologie voor het maken, afdwingen en herstellen van gezondheidsbeleid voor klanten. Met Network Access Protection kunnen systeembeheerders gezondheidsbeleid instellen en automatisch afdwingen, inclusief softwarevereisten, beveiligingsupdates en andere instellingen. Voor clientcomputers die niet voldoen aan de vereisten voor het gezondheidsbeleid, kunt u de netwerktoegang beperken totdat hun configuratie is bijgewerkt om te voldoen aan de beleidsvereisten.
• Als u draadloze 802.1X-toegangspunten hebt geïmplementeerd, kunt u Network Policy Server (NPS) gebruiken om op certificaten gebaseerde verificatiemethoden te implementeren die veiliger zijn dan op wachtwoord gebaseerde verificatie. Door 802.1X-compatibele hardware te implementeren met een NPS-server, kunnen intranetgebruikers worden geverifieerd voordat ze verbinding kunnen maken met het netwerk of een IP-adres kunnen verkrijgen van een DHCP-server.
• In plaats van het netwerktoegangsbeleid op elke netwerktoegangsserver te moeten configureren, kunt u centraal alle beleidsregels maken die alle aspecten van netwerkverbindingsverzoeken definiëren (wie kan verbinding maken wanneer de verbinding is toegestaan, het beveiligingsniveau dat u moet gebruiken om verbinding te maken met het netwerk).

Print- en documentservices

Met Print and Document Services kunt u de taken van de printserver en netwerkprinter centraliseren. Met deze rol kunt u ook gescande documenten van netwerkscanners ontvangen en documenten uploaden naar netwerkshares - naar een Windows SharePoint Services-site of via e-mail.

Toegang op afstand

De RAS-serverrol is een logische groep volgende technologieën netwerktoegang.

• Directe toegang
• Routering en toegang op afstand
• Webtoepassingsproxy

Deze technologieën zijn: roldiensten Serverrollen voor externe toegang. Wanneer u de RAS-serverrol installeert, kunt u een of meer rolservices installeren door de wizard Rollen en onderdelen toevoegen uit te voeren.

In Windows Server biedt de functie Remote Access Server de mogelijkheid om DirectAccess en VPN centraal te beheren, configureren en bewaken met RAS-services voor externe toegang (Routing and Remote Access). DirectAccess en RRAS kunnen op dezelfde Edge Server worden geïmplementeerd en worden beheerd met behulp van Windows PowerShell-opdrachten en Remote Access Management Console (MMC).

Extern bureaublad-services

Remote Desktop Services versnelt en breidt de implementatie van desktops en applicaties uit naar elk apparaat, waardoor de externe werknemer efficiënter wordt terwijl kritieke intellectuele eigendom wordt beveiligd en de naleving van de regelgeving wordt vereenvoudigd. Remote Desktop Services omvat virtuele desktopinfrastructuur (VDI), op sessies gebaseerde desktops en applicaties, zodat gebruikers overal kunnen werken.

Volume-activeringsservices

Volume Activation Services is een serverrol in Windows Server vanaf Windows Server 2012 die de uitgifte en het beheer van volumelicenties voor Microsoft-software in verschillende scenario's en omgevingen automatiseert en vereenvoudigt. Met Volume Activation Services kunt u Key Management Service (KMS) en activering installeren en configureren vanaf: Actief gebruiken Directory.

Webserver (IIS)

De rol van webserver (IIS) in Windows Server biedt een platform voor het hosten van websites, services en toepassingen. Het gebruik van een webserver verschaft informatie aan gebruikers op internet, intranet en extranet. Beheerders kunnen de rol van webserver (IIS) gebruiken om meerdere websites, webtoepassingen en FTP-sites te configureren en te beheren. Toegankelijkheidsfuncties zijn onder meer:

• Internet Information Services Manager gebruiken om IIS-componenten te configureren en websites te beheren.
• Gebruik FTP-protocol zodat website-eigenaren bestanden kunnen uploaden en downloaden.
• Gebruik website-isolatie om te voorkomen dat een website op de server andere beïnvloedt.
• Configureren van webapplicaties ontwikkeld met behulp van verschillende technologieën zoals Classic ASP, ASP.NET en PHP.
• Windows PowerShell gebruiken om de meeste van uw webserverbeheertaken automatisch te beheren.
• Combineert meerdere webservers tot een serverfarm die kan worden beheerd met IIS.

Windows-implementatieservices

Met Windows Deployment Services kunt u Windows-besturingssystemen via een netwerk implementeren, wat betekent dat u niet elk besturingssysteem rechtstreeks vanaf cd of dvd hoeft te installeren.

Ervaring met Windows Server Essentials

In deze rol kun je de volgende taken oplossen:

• server- en clientgegevens beschermen door een back-up te maken van de server en alle clientcomputers op het netwerk;
• beheer gebruikers en gebruikersgroepen via een vereenvoudigd serverdashboard. Bovendien stelt de integratie met Windows Azure Active Directory * gebruikers in staat om eenvoudig toegang te krijgen tot Microsoft Online Services (zoals Office 365, Exchange Online en SharePoint Online) met behulp van hun domeinreferenties;
• bedrijfsgegevens op een centrale locatie opslaan;
• integreer uw server met Microsoft Online Services (zoals Office 365, Exchange Online, SharePoint Online en Windows Intune):
• gebruik functies op de server alomtegenwoordige toegang(Bijvoorbeeld, externe webtoegang en virtuele privénetwerken) om toegang te krijgen tot de server, netwerkcomputers en gegevens vanaf afgelegen locaties met een hoge mate van beveiliging;
• toegang tot gegevens vanaf elke locatie en vanaf elk apparaat met behulp van de eigen webportal van de organisatie (via externe webtoegang);
• beheer mobiele apparaten die toegang hebben tot de e-mail van uw organisatie met Office 365 door: Actief protocol Synchroniseren, vanaf het dashboard;
• de netwerkstatus bewaken en aangepaste gezondheidsrapporten ontvangen; rapporten kunnen op aanvraag worden gegenereerd, aangepast en naar specifieke ontvangers worden gemaild.

Windows Server-updateservices

WSUS biedt de componenten die beheerders nodig hebben om updates te beheren en te distribueren via de beheerconsole. Daarnaast kan de WSUS-server een bron van updates zijn voor andere WSUS-servers in de organisatie. Bij het implementeren van WSUS moet ten minste één WSUS-server op het netwerk zijn verbonden met Microsoft Update om informatie over beschikbare updates te ontvangen. Afhankelijk van de beveiliging van het netwerk en de configuratie ervan, kan de beheerder bepalen hoeveel andere servers rechtstreeks zijn verbonden met Microsoft Update.

Groepsbeleid toepassen (deel 3)

GPO's worden doorgaans toegewezen aan een container (domein, site of OE) en zijn van toepassing op alle objecten in die container. Met een goed georganiseerde domeinstructuur is dit voldoende, maar soms is het nodig om de toepassing van beleid tot een bepaalde groep objecten extra te beperken. Er zijn twee soorten filters die hiervoor kunnen worden gebruikt.

Beveiligingsfilters

Met beveiligingsfilters kunt u de toepassing van beleidsregels beperken tot een specifieke beveiligingsgroep. Laten we bijvoorbeeld GPO2 nemen, dat wordt gebruikt om het Start-menu centraal te configureren op werkstations met Windows 8.1 \ Windows 10. GPO2 wordt toegewezen aan OU-medewerkers en is zonder uitzondering van toepassing op alle gebruikers.

Laten we nu naar het tabblad "Bereik" gaan, waar in het gedeelte "Beveiligingsfiltering" de groepen worden aangegeven waarop dit GPO kan worden toegepast. Standaard is dit de groep Geverifieerde gebruikers. Dit betekent dat het beleid kan worden toegepast op: ieder een gebruiker of computer die met succes is geverifieerd bij het domein.

In feite heeft elk groepsbeleidsobject zijn eigen toegangslijst, die te zien is op het tabblad "Delegatie".

Om een ​​beleid toe te passen, moet een object het groepsbeleid Lezen en Toepassen hebben, dat de groep Geverifieerde gebruikers heeft. Om ervoor te zorgen dat het beleid niet op iedereen wordt toegepast, maar alleen op een specifieke groep, moet het worden verwijderd uit de lijst met geverifieerde gebruikers, vervolgens de vereiste groep worden toegevoegd en de juiste rechten worden verleend.

In ons voorbeeld kan het beleid dus alleen worden toegepast op de Boekhoudgroep.

WMI-filters

Windows Management Instrumentation (WMI) is een van de krachtigste tools voor het beheren van het Windows-besturingssysteem. WMI bevat een groot aantal klassen die kunnen worden gebruikt om bijna alle parameters van de gebruiker en de computer te beschrijven. U kunt alle beschikbare WMI-klassen als een lijst bekijken met PowerShell door de opdracht uit te voeren:

Get-WmiObject -Lijst

Laten we bijvoorbeeld de klas nemen Win32_OperatingSystem, die verantwoordelijk is voor de eigenschappen van het besturingssysteem. Stel dat u alle besturingssystemen wilt filteren behalve Windows 10. Ga naar de computer met geïnstalleerd venster 10, open een PowerShell-console en geef de naam, versie en het type van het besturingssysteem weer met behulp van de opdracht:

Get-WmiObject -Klasse Win32_OperatingSystem | fl Naam, versie, producttype

Voor het filter gebruiken we de versie en het type besturingssysteem. De versie is hetzelfde voor client- en serverbesturingssystemen en is als volgt gedefinieerd:

Vensterserver 2016 \ Windows 10 - 10.0
Window Server 2012 R2 \ Windows 8.1 - 6.3
Windows Server 2012 \ Windows 8 - 6.2
Windows Server 2008 R2 \ Windows 7 - 6.1
Windows Server 2008 \ Windows Vista - 6.0

Het producttype is verantwoordelijk voor het doel van de computer en kan 3 waarden hebben:

1 - werkstation;
2 - domeincontroller;
3 - server.

Laten we nu direct naar het maken van het filter gaan. Open hiervoor de module Groepsbeleidsbeheer en ga naar het gedeelte WMI-filters. Klik erop met de rechtermuisknop en selecteer het item "Nieuw" in het contextmenu.

Geef het filter in het geopende venster een naam en beschrijving. Vervolgens drukken we op de knop "Toevoegen" en voeren de WQL-query in het veld "Query" in, dat de basis is van het WMI-filter. We moeten OS-versie 10.0 met type 1 selecteren, dus het verzoek ziet er als volgt uit:

SELECTEER * VAN Win32_OperatingSystem WAAR Versie LIKE ″ 10.0% ″ EN ProductType = ″ 1 ″

Opmerking. Windows Query Language (WQL) is een WMI-querytaal. Op MSDN lees je er meer over.

Sla het resulterende filter op.

Nu hoeft u alleen nog een WMI-filter toe te wijzen aan een GPO, bijvoorbeeld aan GPO3. Ga naar de GPO-eigenschappen, open het tabblad "Scope" en selecteer in het veld "WMI-filtering" het gewenste filter uit de lijst.

Analyseren van de toepassing van groepsbeleid

Met zoveel manieren om GPO's te filteren, moet u het gebruik ervan kunnen diagnosticeren en analyseren. De eenvoudigste manier om de werking van groepsbeleid op een computer te controleren, is door het opdrachtregelprogramma te gebruiken gresultaat.

Laten we bijvoorbeeld naar de wks2-computer gaan waarop Windows 7 is geïnstalleerd en controleren of het WMI-filter heeft gewerkt. Open hiervoor de cmd-console met beheerdersrechten en voer de opdracht uit: gpresult / r, dat een samenvatting weergeeft van het groepsbeleid dat is toegepast op de gebruiker en de computer.

Opmerking. Het hulpprogramma gpresult heeft veel instellingen, die kunnen worden bekeken met het commando gresultaat /?.

Zoals u aan de ontvangen gegevens kunt zien, is het GPO3-beleid niet toegepast op de computer omdat het is gefilterd met het WMI-filter.

U kunt de actie van het groepsbeleidsobject ook controleren vanuit de module "Groepsbeleidsbeheer" met behulp van een speciale wizard. Om de wizard te starten, klikt u met de rechtermuisknop op het gedeelte "Resultaten groepsbeleid" en selecteert u het item "Wizard Groepsbeleidsresultaten" in het menu dat wordt geopend.

We geven de naam aan van de computer waarvoor het rapport wordt gegenereerd. Als u alleen wilt bekijken aangepaste instellingen Groepsbeleid, u hoeft de instellingen voor de computer niet te verzamelen. Vink hiervoor het onderstaande vakje aan (alleen instellingen voor gebruikersbeleid weergeven).

Vervolgens selecteren we de naam van de gebruiker voor wie de gegevens worden verzameld, of u kunt aangeven dat u de groepsbeleidsinstellingen voor de gebruiker niet in het rapport wilt opnemen (alleen computerbeleidsinstellingen weergeven).

We controleren de geselecteerde instellingen, klikken op "Volgende" en wachten terwijl de gegevens worden verzameld en het rapport wordt gegenereerd.

Het rapport bevat uitgebreide informatie over de GPO's die al dan niet zijn toegepast op de gebruiker en de computer, evenals de gebruikte filters.

Laten we als voorbeeld rapporten maken voor twee verschillende gebruikers en deze vergelijken. Laten we eerst het rapport voor de Kirill-gebruiker openen en naar het gedeelte met gebruikersinstellingen gaan. Zoals u kunt zien, is het GPO2-beleid niet toegepast op deze gebruiker, omdat hij niet het recht heeft om het toe te passen (Reden geweigerd - Ontoegankelijk).

Laten we nu het rapport voor de gebruiker Oleg openen. Deze gebruiker is lid van de groep Boekhouding, dus het beleid is met succes op hem toegepast. Dit betekent dat het veiligheidsfilter succesvol heeft gewerkt.

Hier sluit ik misschien het "fascinerende" verhaal over de toepassing van groepsbeleid op. Ik hoop dat deze informatie nuttig zal zijn en u zal helpen bij de moeilijke taak van systeembeheer 🙂

Het beleid in Exchange Server 2003 is ontworpen om de administratieve flexibiliteit te vergroten en tegelijkertijd de last voor beheerders te verminderen. Een beleid is een verzameling configuratieparameters die van toepassing zijn op een of meer objecten van dezelfde klasse in Exchange. U kunt bijvoorbeeld een beleid maken dat van invloed is op specifieke instellingen voor sommige of alle Exchange-servers. Als u deze instellingen moet wijzigen, hoeft u alleen dit beleid aan te passen en het wordt toegepast op de bijbehorende serverorganisatie.

Er zijn twee soorten beleid: systeembeleid en beleid voor ontvangers. Beleid voor ontvangers is van toepassing op objecten met toegang tot e-mail en specificeert hoe e-mailadressen worden gegenereerd. Het beleid voor ontvangers wordt besproken in "Ontvangers maken en beheren". Systeembeleid wordt toegepast op servers, mailboxarchieven en openbare mappenarchieven. Deze beleidsregels worden weergegeven in de container Beleid binnen de groep die verantwoordelijk is voor: administratie dit beleid (Figuur 12.10).

Rijst. 12.10. Systeembeleidsobject

Opmerking... Bij de installatie van Exchange Server 2003 wordt geen standaardcontainer voor systeembeleid gemaakt. Het moet worden gemaakt voordat systeembeleid wordt opgesteld. Klik met de rechtermuisknop op de beheergroep waarin u de beleidsmap wilt maken, wijs Nieuw aan en selecteer Systeembeleidscontainer.

Aanmaken van systeembeleid

Als u een systeembeleid wilt maken, navigeert u naar de juiste systeembeleidscontainer, klikt u met de rechtermuisknop op de container en selecteert u het type beleid dat u wilt maken: Serverbeleid, Mailbox Store-beleid of Openbare Folder Store-beleid.

Wanneer u met systeembeleid werkt, moet u ervoor zorgen dat u een beleidsobject maakt in de groep die verantwoordelijk is voor het beheer van dat beleid. Anders kan er een fout ontstaan ​​bij de selectie van mensen die bestuurlijke controle uitoefenen op kritische politici. Laten we eens kijken naar hoe elk van de drie soorten beleid wordt gemaakt, te beginnen met serverbeleid.

Een serverbeleid maken

Serverbeleid definieert de opties voor het volgen van berichten en het onderhoud van logbestanden. Het is niet van toepassing op beveiligingsinstellingen of andere instellingen van servers in deze beheergroep. Als u een serverbeleid wilt maken, klikt u met de rechtermuisknop op de container Systeembeleid, wijst u Nieuw aan en selecteert u de optie Serverbeleid. Het dialoogvenster Nieuw beleid, weergegeven in Afbeelding 4, verschijnt. 12.11, die de tabbladen specificeert die worden weergegeven op de eigenschappenpagina voor dit beleid. Er is maar één optie voor Serverbeleid: het tabblad Algemeen. Vink het vakje voor dit tabblad aan en klik vervolgens op OK. Er verschijnt een configuratievenster waarin dit beleid wordt aangemaakt.

Daarna moet u de naam van de polis invoeren in het tabblad Algemeen van de eigenschappenpagina van deze polis. Zoals weergegeven in figuur 12.12, zijn er eigenlijk twee tabbladen Algemeen. Het eerste tabblad wordt gebruikt om de naam van het beleid in te voeren. Selecteer een naam om de taak te beschrijven die dit beleid moet uitvoeren, zoals Beleid voor het volgen van berichten of Beleid voor logboekregistratie van onderwerpen inschakelen. Het kiezen van een geschikte naam in dit stadium zal u veel werk besparen omdat u het eigendomsblad voor dat beleid niet hoeft te openen om het doel ervan te bepalen.

Het tabblad Algemeen (Beleid), zoals weergegeven in Afbeelding 1-4. 12.13 bevat de feitelijke beleidsinstellingen die van toepassing zijn op de Exchange-servers in de betreffende organisatie. Het tabblad heet Algemeen (Beleid) omdat het mogelijk het tabblad Algemeen van de eigenschappenpagina's voor alle beschikbare servers configureert. (Later in dit hoofdstuk zullen we bekijken hoe u dit beleid kunt toepassen op alle servers in een organisatie.) Als u dit tabblad vergelijkt met het tabblad Algemeen op de eigenschappenpagina van een server, ziet u dat de tabbladen hetzelfde zijn, behalve de identificatiegegevens bovenaan het tabblad.

Het tabblad Algemeen (Beleid) schakelt Logboekregistratie en weergave van onderwerpen inschakelen in voor alle beschikbare Exchange 2003-servers. Deze instelling werkt in combinatie met de optie Bericht volgen inschakelen om berichten die onderweg zijn in de organisatie te volgen. Deze opties zijn handig voor het vinden en oplossen van de oorzaak van problemen die optreden wanneer sommige gebruikers geen berichten van andere gebruikers ontvangen. Het is mogelijk om de passage van een bericht door de organisatie te traceren om de locatie te bepalen waar problemen zijn met de overdracht van gegevens. Zie Hoofdstuk 6, Exchange Server 2003-functionaliteit, beveiliging en ondersteuning voor meer informatie over het volgen van berichten en het loggen van onderwerpen.

Als een beleid eenmaal van kracht is, kan het niet meer worden gewijzigd op de lokale servers... Het beleid voor het volgen van berichten dat we als voorbeeld hebben gebruikt, is gegenereerd op EX-SRV1 in de beheergroep van Arizona. Op de

De functionaliteit in het Windows Server-besturingssysteem wordt berekend en verbetert van versie naar versie, rollen en componenten worden steeds meer, dus in het materiaal van vandaag zal ik u kort proberen te vertellen beschrijving en doel van elke rol in Windows Server 2016.

Voordat we verder gaan met de beschrijving van de serverrollen van Windows Server, laten we eens kijken wat er precies is " Serverrol»In het Windows Server-besturingssysteem.

Wat is de serverrol in Windows Server?

Serverrol Is een softwarepakket dat ervoor zorgt dat de server een bepaalde functie vervult, en deze functie is de belangrijkste. Met andere woorden, " Serverrol"Is het doel van de server, d.w.z. waar is het voor. Zodat de server zijn hoofdfunctie kan vervullen, d.w.z. een bepaalde rol in " Serverrol»Inclusief alle software die hiervoor nodig is ( programma's, diensten).

De server kan één rol hebben, als deze actief wordt gebruikt, of meerdere, als elk van hen de server niet veel belast en zelden wordt gebruikt.

Een serverrol kan verschillende rolservices bevatten die de functionaliteit van de rol bieden. Bijvoorbeeld in de serverrol " Webserver (IIS)"Een vrij groot aantal diensten zijn inbegrepen, en de rol" DNS server»Rolservices zijn niet inbegrepen omdat deze rol maar één functie heeft.

Role Services kunnen allemaal samen of afzonderlijk worden geïnstalleerd, afhankelijk van uw behoeften. In de kern betekent het installeren van een rol het installeren van een of meer van zijn services.

Windows Server heeft ook “ Componenten"Server.

Servercomponenten (functie) Zijn softwaretools die geen serverrol zijn, maar de mogelijkheden van een of meer rollen uitbreiden of een of meer rollen besturen.

Sommige rollen kunnen niet worden geïnstalleerd als de server niet over de vereiste services of componenten beschikt die nodig zijn om deze rollen te laten functioneren. Daarom, op het moment van installatie van dergelijke rollen " Wizard Rollen en functies toevoegen"Zelf vraagt ​​u automatisch om de benodigde, aanvullende diensten rollen of componenten.

Beschrijving van Windows Server 2016-serverrollen

U bent waarschijnlijk al bekend met veel rollen die in Windows Server 2016 zitten, aangezien ze al een behoorlijk lange tijd bestaan, maar zoals ik al zei, met elke nieuwe versie van Windows Server worden nieuwe rollen toegevoegd waar u misschien nog niet mee gewerkt heeft maar we zouden graag willen weten waar ze voor zijn, dus laten we ze gaan bekijken.

Opmerking! Over de nieuwe features van het besturingssysteem Windows Server 2016 leest u in het artikel "Windows Server 2016 installeren en een overzicht van nieuwe features".

Aangezien de installatie en het beheer van rollen, services en componenten heel vaak plaatsvindt met behulp van Windows PowerShell, zal ik voor elke rol en zijn service een naam aangeven die in PowerShell respectievelijk kan worden gebruikt voor de installatie of voor het beheer ervan.

DHCP server

Met deze rol kun je dynamische IP-adressen en bijbehorende instellingen voor computers en apparaten in je netwerk centraal configureren. De rol van DHCP-server heeft geen rolservices.

De naam voor Windows PowerShell is DHCP.

DNS server

Deze rol is voor naamomzetting op TCP/IP-netwerken. De rol van de DNS-server biedt en onderhoudt DNS-bewerking... Om het beheer van een DNS-server te vereenvoudigen, wordt deze meestal op dezelfde server geïnstalleerd als Active Directory Domain Services. De DNS Server-rol heeft geen rolservices.

De rolnaam voor PowerShell is DNS.

Hyper-V

Met de Hyper-V-rol kun je een gevirtualiseerde omgeving creëren en beheren. Met andere woorden, het is een hulpmiddel voor het maken en beheren van virtuele machines.

De rolnaam voor Windows PowerShell is Hyper-V.

Apparaatstatusverklaring

Rol " »Hiermee kunt u de apparaatstatus evalueren op basis van gemeten beveiligingsstatistieken zoals Secure Boot-status en Bitlocker op de client.

Om deze rol te laten functioneren, heb je veel rolservices en componenten nodig, bijvoorbeeld: verschillende services uit de " Webserver (IIS)", Component" ", Component" .NET Framework 4.6 Functies».

Tijdens de installatie worden automatisch alle vereiste rolservices en functies geselecteerd. De rol " Apparaatstatusverklaring»Er zijn geen eigen roldiensten.

De naam voor PowerShell is DeviceHealthAttestationService.

Webserver (IIS)

Biedt een betrouwbare, beheersbare en schaalbare webapplicatie-infrastructuur. Bestaat uit genoeg een groot aantal diensten (43).

De naam voor Windows PowerShell is Webserver.

Bevat de volgende rolservices ( tussen haakjes zal ik de naam voor Windows PowerShell aangeven):

Webserver (web-webserver) Is een rolservicegroep die ondersteuning biedt voor HTML-websites, ASP.NET-extensies, ASP en webserver. Bestaat uit de volgende diensten:

• Beveiliging (webbeveiliging)- een reeks diensten voor het beveiligen van een webserver.
  • Verzoeken filteren (webfiltering) - met deze tools kunt u alle verzoeken die naar de server komen, verwerken en deze verzoeken filteren op basis van speciale regels die zijn ingesteld door de beheerder van de webserver;
  • IP-adres en domeinbeperkingen (Web-IP-Security) - met deze tools kunt u toegang tot inhoud op een webserver toestaan ​​of weigeren op basis van het IP-adres of de domeinnaam van de bron in het verzoek;
  • URL-autorisatie (Web-Url-Auth) - Met hulpprogramma's kunt u regels ontwikkelen om de toegang tot webinhoud te beperken en deze te koppelen aan gebruikers, groepen of HTTP-headeropdrachten;
  • Digest-verificatie (Web-Digest-Auth) - Deze verificatie biedt een hoger beveiligingsniveau dan basisverificatie. Digest-verificatie voor gebruikersverificatie werkt door een wachtwoord-hash door te geven aan een Windows-domeincontroller;
  • Basisverificatie (Web-Basic-Auth) - Deze verificatiemethode zorgt voor een sterke compatibiliteit met webbrowsers. Aanbevolen voor kleine interne netwerken... Het belangrijkste nadeel van deze methode is dat wachtwoorden die via het netwerk worden verzonden gemakkelijk kunnen worden onderschept en ontsleuteld, dus gebruik deze methode in combinatie met SSL;
  • Windows-authenticatie (Web-Windows-Auth) - is een authenticatie gebaseerd op authenticatie in Windows-domein... Met andere woorden, u kunt Active Directory-accounts gebruiken om gebruikers van uw websites te verifiëren;
  • Verificatie van clientcertificaattoewijzing (Web-Client-Auth) — Deze verificatiemethode maakt gebruik van een clientcertificaat. Dit type gebruikt Active Directory om certificaten toe te wijzen;
  • IIS-clientc(Web-Cert-Auth) - in deze methode clientcertificaten worden ook gebruikt voor authenticatie, maar IIS wordt gebruikt om certificaten toe te wijzen. Deze typen leveren betere prestaties;
  • Gecentraliseerde SSL-certificaatondersteuning (Web-CertProvider) - met deze tools kunt u de SSL-servercertificaten centraal beheren, wat het beheer van deze certificaten aanzienlijk vereenvoudigt;
• Onderhoudsgemak en diagnostiek (Web-Health)- een reeks diensten om te zorgen voor controle, beheer en eliminatie van schendingen in de werking van webservers, sites en applicaties:
  • Http-logboekregistratie (Web-Http-logboekregistratie) - Tools bieden logboekregistratie van website-activiteit op een bepaalde server, d.w.z. loggen;
  • ODBC-logboekregistratie (Web-ODBC-logboekregistratie) - Deze tools bieden ook logboekregistratie van website-activiteit, maar ze ondersteunen het registreren van deze activiteit in een ODBC-compatibele database;
  • Request Monitor (Web-Request-Monitor) is een tool waarmee u de status van een webtoepassing kunt controleren door informatie over HTTP-verzoeken in het IIS-werkproces te onderscheppen;
  • Web-Custom-Logging - Met deze tools kunt u het loggen van webserveractiviteit configureren in een formaat dat aanzienlijk verschilt van standaard formaat IIS. Met andere woorden, u kunt creëren eigen module loggen;
  • Logging Tools (Web-Log-Libraries) zijn tools voor het beheren van webserverlogs en het automatiseren van logtaken;
  • Tracing (Web-Http-Tracing) is een tool voor het diagnosticeren en verhelpen van storingen in de werking van webapplicaties.
• Algemene http-functies (Web-Common-Http)- een reeks services die de basisfunctionaliteit van HTTP bieden:
  • Standaarddocument (Web-Default-Doc) - Met deze functie kunt u uw webserver configureren om een ​​standaarddocument te retourneren voor wanneer gebruikers geen specifiek document specificeren in de verzoek-URL, waardoor het voor gebruikers gemakkelijker wordt om bijvoorbeeld toegang te krijgen tot een website , per domein, zonder een bestand op te geven;
  • Directory Browsing (Web-Dir-Browsing) —Dit hulpprogramma kan worden gebruikt om een ​​webserver te configureren zodat gebruikers een lijst met alle mappen en bestanden op een website kunnen bekijken. Bijvoorbeeld voor gevallen waarin gebruikers geen bestand specificeren in de verzoek-URL en documenten standaard worden geweigerd of niet zijn geconfigureerd;
  • Http-fouten (Web-Http-fouten) - met deze functie kunt u foutberichten aanpassen die worden teruggestuurd naar de webbrowsers van gebruikers wanneer de webserver een fout detecteert. Deze tool wordt gebruikt om foutmeldingen beter aan gebruikers te presenteren;
  • Statische inhoud (Web-Static-Content) - met deze tool kunt u inhoud op een webserver gebruiken in de vorm van statische bestandsindelingen, zoals HTML-bestanden of afbeeldingsbestanden;
  • HTTP omleiden (Web-Http-Redirect) - met deze functie kunt u een gebruikersverzoek omleiden naar een specifieke bestemming, d.w.z. dit is omleiden;
  • WebDAV publiceren (Web-DAV-Publishing) - hiermee kunt u WebDAV-technologie op de IIS WEB-server gebruiken. WebDAV ( Webgedistribueerde authoring en versiebeheer) Is een technologie waarmee gebruikers kunnen samenwerken ( lezen, bewerken, eigenschappen lezen, kopiëren, verplaatsen) over bestanden op externe webservers met behulp van het HTTP-protocol.
• Prestaties (webprestaties)- een reeks diensten om meer te bereiken hoge performantie webserver, via outputcaching en algemene compressiemechanismen zoals Gzip en Deflate:
  • Compressie van statische inhoud (Web-Stat-Compression) is een hulpmiddel voor het configureren van compressie van statische http-inhoud, het maakt een efficiënter gebruik van bandbreedte mogelijk, zonder de CPU te overbelasten;
  • Dynamic Content Compression (Web-Dyn-Compression) is een tool voor het configureren van de compressie van dynamische HTTP-inhoud. Deze tool zorgt voor een efficiënter gebruik van bandbreedte, maar in in dit geval De CPU-belasting van de server die wordt geassocieerd met dynamische compressie kan ervoor zorgen dat de site langzamer gaat werken als de CPU-belasting hoog is, zelfs zonder compressie.
• Applicatieontwikkeling (Web-App-Dev)- een reeks diensten en tools voor het ontwikkelen en hosten van webapplicaties, met andere woorden, technologieën voor siteontwikkeling:
  • ASP (Web-ASP) - een omgeving voor ondersteuning en ontwikkeling van websites en web applicaties met behulp van ASP-technologie. Op de dit moment er is een nieuwere en meer geavanceerde technologie voor het ontwikkelen van sites - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) is een objectgeoriënteerde ontwikkelomgeving voor websites en webapplicaties die gebruik maken van ASP.NET-technologie;
  • ASP.NET 4.6 (Web-Asp-Net45) is ook een objectgeoriënteerde omgeving voor het ontwikkelen van websites en webapplicaties met behulp van de nieuwe versie van ASP.NET;
  • CGI (Web-CGI) is een kans met behulp van CGI om informatie door de webserver naar een extern programma over te dragen. CGI is een soort interfacestandaard om een ​​extern programma aan te sluiten op een webserver. Er is een nadeel, het gebruik van CGI beïnvloedt de prestaties;
  • Server Side Inclusief (SSI) (Web-Includes) is de SSI-scripttaalondersteuning ( serverzijde omvat:), die wordt gebruikt om dynamisch HTML-pagina's te genereren;
  • Applicatie-initialisatie (Web-AppInit) - Deze tool voert de taken uit van het initialiseren van webapplicaties voordat een webpagina wordt verzonden;
  • WebSocket Protocol (Web-WebSockets) - Voegt de mogelijkheid toe om server-side applicaties te maken die communiceren met behulp van het WebSocket-protocol. WebSocket is een protocol dat gelijktijdig gegevens kan verzenden en ontvangen tussen een browser en een webserver via een TCP-verbinding, een soort uitbreiding op het HTTP-protocol;
  • ISAPI-extensies (Web-ISAPI-Ext) - Ondersteunt dynamische ontwikkeling van webinhoud met behulp van de ISAPI API. ISAPI is een API voor de IIS-webserver. ISAPI-applicaties zijn veel sneller dan ASP-bestanden of bestanden die COM+-componenten aanroepen;
  • .NET 3.5 Extensibility (Web-Net-Ext) is een .NET 3.5-uitbreidingstool waarmee u functionaliteit kunt wijzigen, toevoegen en uitbreiden webmogelijkheden servers in de gehele aanvraagpijplijn, in configuratie en in de gebruikersinterface;
  • Uitbreidbaarheid .NET 4.6 (Web-Net-Ext45) is een .NET 4.6-uitbreidingstool waarmee u webserverfunctionaliteit kunt wijzigen, toevoegen en uitbreiden in de gehele aanvraagpijplijn, in configuratie en in de gebruikersinterface;
  • ISAPI-filters (Web-ISAPI-Filter) - Ondersteuning voor ISAPI-filters toevoegen. ISAPI-filters zijn programma's die worden aangeroepen wanneer de webserver een specifieke HTTP-verzoek door dit filter te worden verwerkt.

FTP - server (web-ftp-server)- services die ondersteuning bieden voor het FTP-protocol. We hebben meer in detail over de FTP-server gesproken in het artikel - "Een FTP-server installeren en configureren op Windows Server 2016". Bevat de volgende diensten:

• FTP Service (Web-Ftp-Service) - voegt ondersteuning toe voor het FTP-protocol op de webserver;
• FTP-uitbreidbaarheid (Web-Ftp-Ext) - Uitbreidingen standaardfuncties FTP voegt bijvoorbeeld ondersteuning toe voor functies zoals aangepaste providers, ASP.NET-gebruikers of IIS Manager-gebruikers.

Beheertools (Web-Mgmt-Tools) Zijn hulpprogramma's voor het beheren van de webserver van IIS 10. Deze omvatten de IIS-gebruikersinterface, opdrachtregelprogramma's en scripts.

• De Internet Information Services Management Console (Web-Mgmt-Console) is de gebruikersinterface voor het beheer van Internet Information Services (IIS);
• Internet Information Services (IIS)-tekensets en tools (Web-Scripting-Tools) zijn tools en scripts voor het besturen van Internet Information Services (IIS) met behulp van de opdrachtregel of scripts. Ze kunnen bijvoorbeeld worden gebruikt om de besturing te automatiseren;
• Management Service (Web-Mgmt-Service) - deze service voegt de mogelijkheid toe om een ​​webserver op afstand te beheren vanaf een andere computer met behulp van IIS Manager;
• IIS 6 Compatibility Management (Web-Mgmt-Compat) - Maakt compatibiliteit van applicaties en scripts mogelijk die gebruikmaken van twee IIS API's. Bestaande IIS 6-scripts kunnen worden gebruikt om de IIS 10-webserver te beheren:
  • De IIS 6 Compatibility Metabase (Web-Metabase) is een compatibiliteitstool waarmee u toepassingen en tekensets kunt uitvoeren die zijn overgezet uit eerdere versies van IIS;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - Met deze tools kunt u dezelfde IIS 6 Scripting Services gebruiken die zijn gemaakt om IIS 6 in IIS 10 te beheren;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) —Een hulpmiddel voor het beheren van externe IIS 6.0-servers;
  • WMI-compatibiliteit IIS 6 (Web-WMI) is een Windows Management Instrumentation (WMI)-scriptinterface voor het programmatisch besturen en automatiseren van IIS 10.0-webservertaken met behulp van een set scripts die is gegenereerd in een WMI-provider.

Active Directory-domeinservices

Rol " Active Directory-domeinservices»(AD DS) biedt een gedistribueerde database waarin informatie over netwerkbronnen wordt opgeslagen en verwerkt. Deze rol wordt gebruikt om netwerkelementen zoals gebruikers, computers en andere apparaten te organiseren in een hiërarchische structuur van een beschermende schaal. De hiërarchische structuur omvat forests, domeinen in een forest en organisatie-eenheden (OU's) in elk domein. De server waarop AD DS wordt uitgevoerd, wordt een domeincontroller genoemd.

De rolnaam voor Windows PowerShell is AD-Domain-Services.

Windows Server Essentials-modus

Deze rol is een computerinfrastructuur en biedt handige en efficiënte functies, bijvoorbeeld: het opslaan van klantgegevens op een centrale locatie en het beschermen van deze gegevens door Reserveer exemplaar server- en clientcomputers, externe webtoegang, zodat u vanaf bijna elk apparaat toegang hebt tot gegevens. Deze rol vereist verschillende rol- en functieservices, bijvoorbeeld: BranchCache-functies, Windows Server-back-up, beheer Groepsbeleid, dienstverlenende rol " DFS-naamruimten».

De naam voor PowerShell is ServerEssentialsRole.

Netwerk beheerder

Deze rol verscheen in Windows Server 2016, het biedt een enkel punt van automatisering voor beheer, monitoring en diagnostiek, fysiek en virtueel netwerk infrastructuur in het datacenter. Met deze rol kun je vanaf één punt IP-subnetten, VLAN's, fysieke netwerkadapters van Hyper-V-hosts configureren, virtuele switches, fysieke routers, firewall-instellingen en VPN-gateways beheren.

De naam voor Windows PowerShell is NetworkController.

Host Guardian-service

Dit is de Hosted Guardian Server (HGS)-serverrol en biedt attest- en sleutelbeveiligingsservices waarmee beschermde hosts afgeschermde virtuele machines kunnen uitvoeren. Om deze rol te laten functioneren, zijn verschillende aanvullende rollen en componenten vereist, bijvoorbeeld: Active Directory Domain Services, Web Server (IIS), component " Failoverclustering" ander.

De naam voor PowerShell is HostGuardianServiceRole.

Active Directory Lichtgewicht Directory Services

Rol " Active Directory Lichtgewicht Directory Services(AD LDS) - Dit is een lichtgewicht versie van AD DS die minder functionaliteit heeft, maar waarvoor geen implementatie van domeinen of domeincontrollers nodig is, en die niet de afhankelijkheden en domeinbeperkingen heeft die AD DS vereist. AD LDS werkt via LDAP ( Lichtgewicht Directory Access Protocol). Meerdere exemplaren van AD LDS met onafhankelijk beheerde schema's kunnen op één server worden geïmplementeerd.

De naam voor PowerShell is ADLDS.

MultiPoint-services

het is hetzelfde nieuwe rol die werd geïntroduceerd in Windows Server 2016. MultiPoint Services (MPS) biedt basisfunctionaliteit voor extern bureaublad waarmee meerdere gebruikers tegelijkertijd en onafhankelijk op dezelfde computer kunnen werken. Om deze rol te installeren en te gebruiken, moet u verschillende aanvullende services en componenten installeren, bijvoorbeeld: Print Server, Windows Search Service, XPS Viewer en andere, ze worden allemaal automatisch geselecteerd op het moment van MPS-installatie.

De rolnaam voor PowerShell is MultiPointServerRole.

Windows Server-updateservices

Systeembeheerders kunnen deze rol (WSUS) gebruiken om Microsoft-updates te beheren. Maak bijvoorbeeld aparte groepen computers voor: verschillende sets updates, evenals rapporten ontvangen over de conformiteit van computers met de vereisten en updates die moeten worden geïnstalleerd. Voor de werking van " Windows Server-updateservices»U hebt rolservices en componenten nodig zoals: Web Server (IIS), Windows Internal Database, Windows Process Activation Service.

De naam voor Windows PowerShell is UpdateServices.

• WID-connectiviteit (UpdateServices-WidDB) - installatie in WID ( Interne Windows-database) van de database die door WSUS wordt gebruikt. Met andere woorden, WSUS zal zijn servicegegevens opslaan in WID;
• WSUS Services (UpdateServices-Services) - dit zijn services WSUS-rollen zoals Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Internet Simple Authentication Web Service, Server Synchronization Service en DSS Authentication Web Service;
• SQL Server Connectivity (UpdateServices-DB) is een onderdeelinstallatie waarmee WSUS verbinding kan maken met een Microsoft SQL Server-database. Met deze optie kunnen servicegegevens worden opgeslagen in een Microsoft SQL Server-database. In dit geval zou u al software moeten hebben geïnstalleerd minstens, een exemplaar van SQL Server.

Volume-activeringsservices

Met deze serverrol kunt u volumelicenties voor Microsoft-software automatiseren, vereenvoudigen en beheren.

De naam voor PowerShell is VolumeActivation.

Print- en documentservices

Deze serverrol is ontworpen om printers en scanners op het netwerk te delen, voor: gecentraliseerde instelling en beheer van print- en scanservers, en beheer van netwerkprinters en scanners. Met Print and Document Services kunt u gescande documenten ook per e-mail verzenden naar gedeelde netwerkmappen of naar Windows SharePoint Services-sites.

De naam voor PowerShell is Print-Services.

• Print-Server - Deze rolservice bevat de " Afdrukbeheer", die wordt gebruikt om printers of printservers te beheren en om printers en andere printservers te migreren.
• Print-Internet — Om afdrukken via internet te implementeren, wordt een website gemaakt zodat gebruikers afdruktaken op de server kunnen beheren. Om deze service te laten werken, moet u, zoals u begrijpt, installeren " Webserver (IIS)". Alle benodigde componenten worden automatisch geselecteerd wanneer u het aanvinkt dit item tijdens het installatieproces van de rolservice " Internet printen»;
• Distributed Scan Server (Print-Scan-Server) is een service waarmee u gescande documenten van netwerkscanners kunt ontvangen en naar hun bestemming kunt sturen. Deze service bevat ook de module " Scanbesturing"Die wordt gebruikt om netwerkscanners te beheren en scannen te configureren;
• LPD-service (Print-LPD-service) - LPD-service ( Lijnprinter Daemon) kunnen op UNIX gebaseerde computers en andere computers die de Line Printer Remote (LPR)-service gebruiken, afdrukken naar gedeelde printers op de server.

Netwerkbeleid en toegangsservices

Rol " (NPAS) stelt u in staat om Network Policy Server (NPS) te gebruiken om netwerktoegang, authenticatie en autorisatie, en clientgezondheidsbeleid in te stellen en af ​​te dwingen, met andere woorden, om uw netwerk veilig te houden.

De naam voor Windows PowerShell is NPAS.

Windows-implementatieservices

Met deze rol kun je het Windows-besturingssysteem op afstand installeren via het netwerk.

De rolnaam voor PowerShell is WDS.

• Deployment Server (WDS-Deployment) - Deze rolservice is bedoeld voor: implementatie op afstand en instellingen van Windows-besturingssystemen. Het stelt je ook in staat om afbeeldingen te maken en aan te passen voor hergebruik;
• Transport Server (WDS-Transport) - Deze service bevat de basis netwerkcomponenten, waarmee u gegevens kunt verzenden door multicasting op een stand-alone server.

Active Directory-certificaatservices

Deze rol is ontworpen om certificeringsinstanties en bijbehorende rolservices te creëren waarmee u certificaten voor verschillende toepassingen kunt uitgeven en beheren.

De naam voor Windows PowerShell is AD-Certificaat.

Omvat de volgende rolservices:

• Certification Authority (ADCS-Cert-Authority) - Met deze rolservice kunt u certificaten uitgeven aan gebruikers, computers en services en ook de geldigheid van het certificaat beheren;
• Certificaatinschrijvingsbeleid-webservice (ADCS-Enroll-Web-Pol) - Met deze service kunnen gebruikers en computers informatie over het certificaatinschrijvingsbeleid verkrijgen via een webbrowser, zelfs als de computer geen lid is van een domein. Voor zijn werking is het noodzakelijk “ Webserver (IIS)»;
• Ce(ADCS-Enroll-Web-Svc) - Met deze service kunnen gebruikers en computers certificaten inschrijven en vernieuwen met een webbrowser via HTTPS, zelfs als de computer geen domeinlid is. Voor de werking ervan is het ook noodzakelijk “ Webserver (IIS)»;
• Online Responder (ADCS-Online-Cert) - Service die is ontworpen om de intrekking van certificaten voor klanten te controleren. Met andere woorden, het accepteert een intrekkingsstatusverzoek voor specifieke certificaten, evalueert de status van die certificaten en stuurt een ondertekend antwoord terug met statusinformatie. Om de service te laten werken, hebt u " Webserver (IIS)»;
• Internet Certification Authority Enrollment Service (ADCS-Web-Enrollment) - Deze service biedt een webinterface voor gebruikers om taken uit te voeren zoals het aanvragen en vernieuwen van certificaten, het verkrijgen van CRL's en het inschrijven van smartcardcertificaten. Om de service te laten werken, hebt u " Webserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) — Met deze service kunt u certificaten uitgeven en beheren voor routers en andere netwerkapparaten die geen netwerkaccount hebben. Om de service te laten werken, hebt u " Webserver (IIS)».

Extern bureaublad-services

Een serverrol die kan worden gebruikt om toegang te bieden tot virtuele desktops, op sessies gebaseerde desktops en RemoteApps op afstand.

De rolnaam voor Windows PowerShell is Remote-Desktop-Services.

Bestaat uit de volgende diensten:

• Remote Desktop Web Access (RDS-Web-Access) - Met deze rolservice hebben gebruikers toegang tot externe desktops en RemoteApp-toepassingen via de " Begin"Of met behulp van een webbrowser;
• Remote Desktop Licensing (RDS-Licensing) is een service die de licenties beheert die nodig zijn om verbinding te maken met een RD Session Host-server of virtuele desktop. Het kan worden gebruikt om licenties te installeren, uit te geven en hun beschikbaarheid te volgen. Om deze service te laten werken, moet u " Webserver (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) is een rolservice die de volgende mogelijkheden biedt: een gebruiker opnieuw verbinden met een bestaande virtuele desktop, RemoteApp-toepassing en op een sessie gebaseerde desktop, en de belasting verdelen tussen de desktops van de externe sessiehostservers of tussen gepoolde virtuele desktops. Om deze service te laten werken, moet de component " »;
• Remote Desktop Virtualization Host (DS-Virtualisatie) - Met deze service kunnen gebruikers verbinding maken met virtuele desktops met behulp van Remote Desktop- en RemoteApp-verbindingen. Deze service werkt in combinatie met Hyper-V, d.w.z. deze rol moet geïnstalleerd zijn;
• Remote Desktop Session Host (RDS-RD-Server) — Deze service kan externe RemoteApp-toepassingen en op sessies gebaseerde desktops op een server hosten. Voor toegang wordt de Remote Desktop Connection-client of RemoteApps gebruikt;
• Remote Desktop Gateway (RDS-Gateway) - de service staat geautoriseerde externe gebruikers Maak verbinding met virtuele desktops, RemoteApps en sessiegebaseerde desktops op uw bedrijfsnetwerk of via internet. Voor het functioneren van deze dienst zijn de volgende aanvullende diensten en componenten nodig: " Webserver (IIS)», « Netwerkbeleid en toegangsservices», « RPC via HTTP-proxy».

Services voor Active Directory-rechtenbeheer

Het is een serverrol waarmee u uw informatie kunt beschermen tegen ongeoorloofd gebruik. Het verifieert gebruikersidentiteiten en verleent licenties aan geautoriseerde gebruikers om toegang te krijgen tot beschermde gegevens. Om deze rol te laten werken, zijn aanvullende services en componenten vereist: " Webserver (IIS)», « Windows Process Activation-service», « .NET Framework 4.6 Functies».

De naam voor Windows PowerShell is ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - de belangrijkste service die nodig is voor de installatie;
• Identity Federation Support (ADRMS-Identity) is een optionele rolservice waarmee federatieve identiteiten beveiligde inhoud kunnen gebruiken met behulp van AD FS.

Active Directory Federation-services

Deze rol biedt vereenvoudigde en veilige opties identiteitsfederatie en eenmalige aanmelding (SSO) bij websites met een browser.

De naam voor Power shell is ADFS-federatie.

Toegang op afstand

Deze rol biedt connectiviteit via DirectAccess, VPN en Web Application Proxy. Ook de rol van " Toegang op afstand "Biedt traditionele routeringsmogelijkheden, inclusief conversie netwerkadressen(NAT) en andere verbindingsparameters. Aanvullende services en componenten zijn vereist om deze rol te laten werken: " Webserver (IIS)», « Interne Windows-database».

De rolnaam voor Windows PowerShell is RemoteAccess.

• DirectAccess en VPN (RAS) (DirectAccess-VPN) - de service stelt gebruikers in staat om op elk moment verbinding te maken met het bedrijfsnetwerk met toegang tot internet via DirectAccess, evenals VPN-verbindingen te organiseren in combinatie met tunneling- en gegevenscoderingstechnologieën;
• Routing - de service biedt ondersteuning voor NAT-routers, routers lokaal netwerk met BGP, RIP en multicast-routers (IGMP-proxy);
• Web-Application-Proxy (Web-Application-Proxy) - Met de service kunt u toepassingen publiceren op basis van HTTP-protocollen en HTTPS vanaf het bedrijfsnetwerk op clientapparaten die zich buiten het bedrijfsnetwerk bevinden.

Bestands- en opslagdiensten

Het is een serverrol die u kunt gebruiken om bestanden en mappen te delen, gedeelde bronnen te beheren en te controleren, bestanden te repliceren, Snelzoeken bestanden en bieden toegang tot UNIX-clientcomputers. We hebben bestandsservices en in het bijzonder de bestandsserver in meer detail besproken in het artikel "Een bestandsserver installeren op Windows Server 2016".

De naam voor Windows PowerShell is FileAndStorage-Services.

Opslagdiensten- Deze service biedt opslagbeheerfunctionaliteit die altijd is geïnstalleerd en niet kan worden verwijderd.

Bestands- en iSCSI-services (bestandsservices) Zijn technologieën die het beheer van bestandsservers en opslag vereenvoudigen, schijfruimte besparen, replicatie en caching van bestanden in filialen bieden en het delen van bestanden via NFS-protocol... Omvat de volgende rolservices:

• Bestandsserver (FS-FileServer) is een functieservice die gedeelde mappen beheert en gebruikers via het netwerk toegang geeft tot bestanden op deze computer;
• Deduplicatie van gegevens (FS-Data-Deduplication) - deze service bespaart schijfruimte door slechts één kopie van identieke gegevens op een volume op te slaan;
• File Server Resource Manager (FS-Resource-Manager) - Gebruik deze service om bestanden en mappen op een bestandsserver te beheren, opslagrapporten te genereren, bestanden en mappen te classificeren, mapquota te configureren en beleid voor bestandsblokkering te definiëren.
• ISCSI Target Storage Provider (VDS- en VSS-hardwareproviders) (iSCSITarget-VSS-VDS) - Met deze service kunnen toepassingen op een server die is aangesloten op een iSCSI-doel, schaduwkopieën van volumes uitvoeren op virtuele iSCSI-schijven.
• DFS-naamruimten (FS-DFS-naamruimte) - Met deze service kunt u gedeelde mappen die op verschillende servers worden gehost, groeperen in een of meer logisch gestructureerde naamruimten;
• Werkmappen (FS-SyncShareService) - met de service kunt u werkbestanden op verschillende computers gebruiken, inclusief werk en persoonlijk. In Werkmappen kunt u uw bestanden opslaan, synchroniseren en openen vanaf uw lokale netwerk of internet. Om de service te laten functioneren, moet de component " IIS In-Process Web Kernel»;
• DFS-replicatie (FS-DFS-replicatie) is een module voor het repliceren van gegevens tussen meerdere servers waarmee u mappen kunt synchroniseren via een verbinding met een lokale of globaal netwerk... Deze technologie gebruikt het Remote Differential Compression-protocol (RDC) om alleen het gedeelte van de bestanden bij te werken dat sinds de laatste replicatie is gewijzigd. DFS-replicatie kan worden gebruikt in combinatie met DFS-naamruimten of afzonderlijk;
• Server voor NFS (FS-NFS-Service) - Met deze service kan deze computer bestanden delen met UNIX-computers en andere computers die het Network File System (NFS)-protocol gebruiken.
• ISCSI Target Server (FS-iSCSITarget-Server) - Biedt services en beheer voor iSCSI-targets;
• BranchCache voor netwerk bestanden(FS-BranchCache) - Service biedt BranchCache-ondersteuning op deze bestandsserver.
• Bestandsserver VSS Agent-service (FS-VSS-Agent) - Deze service maakt het kopiëren van volumeschaduw mogelijk voor toepassingen die gegevensbestanden op deze bestandsserver opslaan.

Faxserver

De rol verzendt en ontvangt faxen en stelt u in staat om faxbronnen zoals taken, instellingen, rapporten en faxapparaten op deze computer of op het netwerk te beheren. Voor werk heb je nodig " Printserver».

De rolnaam voor Windows PowerShell is Fax.

Dit besluit het overzicht van Windows Server 2016 Server Rollen, ik hoop dat het materiaal tot nu toe nuttig voor je was!

Invoering

Met de toename van het computerpark bij de onderneming, wordt de kwestie van de kosten van het beheer en het onderhoud acuter. Handmatige instelling computers kosten veel tijd van het personeel en de krachten, met de toename van het aantal computers, om het personeelsbestand van hun personeel te vergroten. Bovendien wordt het met een groot aantal machines moeilijker om te zorgen voor naleving van de geaccepteerde afstemmingsnormen in de onderneming. Groepsbeleid is een uitgebreide tool gecentraliseerd beheer computers met Windows 2000 of hoger in Domein actief Directory. Groepsbeleid wordt niet toegepast op computers met Windows NT4 / 9x: ze worden beheerd door Systeembeleid, dat in dit artikel niet wordt besproken.

GPO's

Alle instellingen die u via Groepsbeleid maakt, worden opgeslagen in Groepsbeleidsobjecten (GPO's). GPO's zijn van twee soorten: lokale GPO's en GPO's. Actief beleid Directory. Het lokale groepsbeleidsobject bevindt zich op computers met Windows 2000 en hoger. Er kan er maar één zijn, en dit is het enige groepsbeleidsobject dat op een computer kan staan ​​die geen lid is van het domein.

Een groepsbeleidsobject is de algemene naam voor een set bestanden, mappen en vermeldingen in de Active Directory-database (indien niet een lokaal object) die uw instellingen opslaan en bepalen welke andere instellingen u kunt wijzigen met Groepsbeleid. Door een beleid te maken, maakt en wijzigt u feitelijk een groepsbeleidsobject. Het lokale GPO wordt opgeslagen op% SystemRoot% \ System32 \ GroupPolicy. Active Directory GPO's worden opgeslagen op een domeincontroller en kunnen worden gekoppeld aan een site, domein of OE (organisatie-eenheid of organisatie-eenheid). De binding van een object definieert het bereik. Standaard worden er twee GPO's in het domein gemaakt: Standaard domeinbeleid en Standaard domeincontrollerbeleid. De eerste definieert het standaardbeleid voor wachtwoorden en accounts in het domein. De tweede communiceert met de domeincontrollers OU en verbetert de beveiligingsinstellingen voor domeincontrollers.

Een groepsbeleidsobject maken

Om een ​​beleid te maken (dat wil zeggen, daadwerkelijk een nieuw groepsbeleidsobject maken), opent u Active Directory: gebruikers en computers en selecteert u waar u een nieuw object wilt maken. U kunt een groepsbeleidsobject alleen maken en binden aan een site, domein of OE-object.

Rijst. 1. Een groepsbeleidsobject maken.

Om een ​​GPO aan te maken en deze bijvoorbeeld aan OU-testers te koppelen, klikt u met de rechtermuisknop op deze OU en selecteert u eigenschappen in het contextmenu. Open het tabblad Groepsbeleid in het eigenschappenvenster dat wordt geopend en klik op Nieuw.

Rijst. 2. Een groepsbeleidsobject maken.

We geven het GP-object een naam, waarna het object wordt aangemaakt en u kunt beginnen met het configureren van het beleid. Dubbelklik op het gemaakte object of druk op de knop Bewerken, het venster van de GPO-editor wordt geopend, waar u de specifieke parameters van het object kunt configureren.

Rijst. 3. Beschrijving van de instellingen op het tabblad Uitgebreid.

De meeste basisinstellingen zijn intuïtief (bovendien hebben ze een beschrijving als je het tabblad Uitgebreid opent), en we zullen niet op elk in detail uitweiden. Zoals blijkt uit afb. 3, is het groepsbeleidsobject verdeeld in twee secties: computerconfiguratie en gebruikersconfiguratie. De instellingen van de eerste sectie worden toegepast tijdens het opstarten van Windows op computers in deze container en lager (als de overname niet is geannuleerd), en zijn niet afhankelijk van welke gebruiker is aangemeld. De instellingen in het tweede gedeelte worden toegepast wanneer de gebruiker zich aanmeldt bij het systeem.

Volgorde van het toepassen van GPO's

Bij het opstarten van de computer vinden de volgende acties plaats:

1. Het register wordt uitgelezen en er wordt bepaald tot welke site de computer behoort. Er wordt een verzoek gedaan aan de DNS-server om de IP-adressen van de domeincontrollers op deze site te verkrijgen.
2. Na ontvangst van de adressen maakt de computer verbinding met de domeincontroller.
3. De client vraagt ​​een lijst met GP-objecten op bij de domeincontroller en past deze toe. Deze laatste stuurt een lijst met GP-objecten in de volgorde waarin ze moeten worden toegepast.
4. Wanneer de gebruiker zich aanmeldt, vraagt ​​de computer opnieuw een lijst van huisartsen op die bij de gebruiker moeten worden aangevraagd, extraheert en past deze toe.

Groepsbeleid wordt toegepast bij het opstarten en bij het aanmelden van de gebruiker. Ze worden vervolgens elke 90 minuten toegepast, met een variatie van 30 minuten, om overbelasting van de domeincontroller te voorkomen wanneer een groot aantal clients tegelijkertijd wordt aangevraagd. Voor domeincontrollers is het vernieuwingsinterval 5 minuten. U kunt dit gedrag wijzigen onder Computerconfiguratie \ Beheersjablonen \ Systeem \ Groepsbeleid. Een groepsbeleidsobject kan alleen de objecten Computer en Gebruiker beïnvloeden. Het beleid is alleen van toepassing op objecten die zich bevinden in het directory-object (site, domein, organisatie-eenheid), waarmee het groepsbeleidsobject is gekoppeld en onder de 'boom' (als overerving niet is verboden). Bijvoorbeeld: een GPO wordt gemaakt in OU-testers (zoals we hierboven hebben gedaan).

Rijst. 4. Overerving van instellingen.

Alle instellingen die in dit groepsbeleidsobject worden gemaakt, zijn alleen van invloed op gebruikers en computers in OU-testers en OU InTesters. Laten we eens kijken naar de volgorde van het toepassen van beleid aan de hand van een voorbeeld. De gebruikerstest, die zich in de OU-testers bevindt, logt in op de computercomp, die zich in de OU compOU bevindt (zie afbeelding 5).

Rijst. 5. De volgorde van toepassing van het beleid.

Er zijn vier GPO's in het domein:

1. SitePolicy gekoppeld aan de sitecontainer;
2. Standaarddomeinbeleid dat is gekoppeld aan de domeincontainer;
3. Beleid1 met betrekking tot OU-testers;
4. Beleid2 gekoppeld aan OU compOU.

Wanneer Windows opstart op een comp-werkstation, worden de parameters die zijn gedefinieerd in de secties Computerconfiguratie in deze volgorde toegepast:

1. Lokale GPO-parameters;
2. GPO SitePolicy-parameters;

4. Parameters GPO-beleid2.

Wanneer de testgebruiker zich aanmeldt bij de comp-computer, zijn de parameters die zijn gedefinieerd in de secties Gebruikersconfiguratie:

1. Lokale GPO-parameters;
2. GPO SitePolicy-parameters;
3. Parameters van het GPO-standaarddomeinbeleid;
4. Parameters GPO-beleid1.

Dat wil zeggen dat groepsbeleidsobjecten in deze volgorde worden toegepast: lokaal beleid, beleid op siteniveau, beleid op domeinniveau, beleid op OE-niveau.

Groepsbeleid wordt asynchroon toegepast op Windows XP-clients en synchroon op Windows 2000-clients, wat betekent dat een aangepast aanmeldingsscherm pas wordt weergegeven nadat alle computerbeleid is toegepast en gebruikersbeleid wordt toegepast voordat het bureaublad verschijnt. Asynchrone beleidshandhaving houdt in dat een aangepast aanmeldingsscherm wordt weergegeven voordat alle beleidsregels van de computer worden toegepast, en het bureaublad verschijnt voordat alle aangepaste beleidsregels zijn toegepast, wat resulteert in snellere opstart- en aanmeldingstijden van gebruikers.
Het hierboven beschreven gedrag verandert in twee gevallen. Ten eerste heeft de clientcomputer een trage netwerkverbinding gedetecteerd. Standaard worden in dit geval alleen beveiligingsinstellingen en beheersjablonen toegepast. Een verbinding met een bandbreedte van minder dan 500 Kb/s wordt als traag beschouwd. U kunt deze waarde wijzigen in Computerconfiguratie \ Beheersjablonen \ Systeem \ Groepsbeleid \ Groepsbeleid detectie trage koppeling. In de sectie Computerconfiguratie \ Beheersjablonen \ Systeem \ Groepsbeleid kunt u ook enkele andere beleidsinstellingen configureren zodat ze via een langzame verbinding worden verwerkt. De tweede manier om de volgorde te wijzigen waarin beleid wordt toegepast, is de optie Loopback-verwerking van het gebruikersgroepbeleid. Deze optie wijzigt de standaardvolgorde van de beleidstoepassing, waarin aangepast beleid wordt toegepast na computerbeleid en het laatste wordt overschreven. U kunt de loopback-optie zo instellen dat computerbeleid wordt toegepast na gebruikersbeleid en alle gebruikersbeleidsregels overschrijven die in strijd zijn met computerbeleid. De loopback-parameter heeft 2 modi:

1. Samenvoegen - Computerbeleid wordt eerst toegepast, daarna gebruikersbeleid en computerbeleid. In dit geval vervangt het computerbeleid de conflicterende instellingen voor het gebruikersbeleid door zijn eigen instellingen.
2. Vervangen: het aangepaste beleid wordt niet verwerkt.

Ter illustratie van de toepassing van de Loopback-verwerkingsparameter van het gebruikersgroepbeleid, bijvoorbeeld op een openbare computer, waarop u dezelfde beperkte instellingen moet hebben, ongeacht welke gebruiker deze gebruikt.

Prioriteit, erfenis en conflictoplossing

Zoals u kunt zien, bevatten GPO's op alle niveaus dezelfde instellingen en kan dezelfde instelling op meerdere niveaus anders worden gedefinieerd. In dit geval effectieve waarde zal de laatste zijn die wordt toegepast (zie hierboven voor hoe GPO's worden toegepast). Deze regel is van toepassing op alle parameters behalve die gedefinieerd als niet geconfigureerd. Voor deze Windows-instellingen onderneemt geen actie. Maar er is één uitzondering: alle account- en wachtwoordinstellingen kunnen alleen op domeinniveau worden gedefinieerd, op andere niveaus worden deze instellingen genegeerd.

Rijst. 6. Active Directory-gebruikers en computers.

Als meerdere GPO's zich op hetzelfde niveau bevinden, worden ze van onder naar boven toegepast. Door de positie van het beleidsobject in de lijst te wijzigen (met de knoppen Omhoog en Omlaag), kunt u de gewenste volgorde van toepassing selecteren.

Rijst. 7. De volgorde van toepassing van het beleid.

Soms is het nodig dat een bepaalde OU geen beleidsinstellingen ontvangt van GPO's die zijn gekoppeld aan upstream-containers. In dit geval moet u de overname van beleidsregels uitschakelen door het selectievakje Overname van beleid blokkeren in te schakelen. Alle overgenomen beleidsinstellingen worden geblokkeerd en er is geen manier om individuele instellingen te blokkeren. Instellingen op domeinniveau die wachtwoordbeleid en accountbeleid definiëren, kunnen niet worden uitgesloten.

Rijst. 9. Overnemen van polissen blokkeren.

Als het vereist is dat bepaalde instellingen in dit GPO niet worden overschreven, selecteert u het gewenste GPO, klikt u op de knop Opties en selecteert u No Override. Deze optie geeft instructies om GPO-instellingen toe te passen waar beleidsovername is geblokkeerd. Er wordt geen Override geïnstalleerd waar het groepsbeleidsobject is gekoppeld aan het directoryobject, niet in het groepsbeleidsobject zelf. Als de GPO is gekoppeld aan meerdere containers in het domein, wordt deze instelling niet automatisch geconfigureerd voor de rest van de koppelingen. Als de parameter No Override is geconfigureerd voor meerdere koppelingen op hetzelfde niveau, hebben de GPO-parameters bovenaan de lijst voorrang (en effectief). Als de instellingen voor niet overschrijven zijn geconfigureerd voor meerdere groepsbeleidsobjecten op verschillende niveaus, zijn de instellingen voor het groepsbeleidsobject hoger in de directoryhiërarchie van kracht. Dat wil zeggen, als de parameters Geen opheffing zijn geconfigureerd om het GPO aan het domeinobject te koppelen en om het GPO aan de OE te koppelen, zijn de parameters die op domeinniveau zijn gedefinieerd van kracht. Als u Uitgeschakeld aanvinkt, wordt het effect van dit groepsbeleidsobject op deze container overschreven.

Rijst. 10. Opties Geen opheffing en uitgeschakeld.

Zoals hierboven vermeld, is beleid alleen van invloed op gebruikers en computers. Vaak rijst de vraag: "hoe ervoor te zorgen dat een bepaald beleid wordt toegepast op alle gebruikers die zijn opgenomen in" een specifieke groep veiligheid? " Om dit te doen, is het GPO gebonden aan een domeinobject (of een container die zich boven de containers of OU's bevindt waarin alle gebruikersobjecten van de vereiste groep zich bevinden) en worden toegangsinstellingen geconfigureerd. Klik op Eigenschappen, verwijder op het tabblad Beveiliging de groep Geverifieerde gebruikers en voeg de vereiste groep toe met de rechten Lezen en Groepsbeleid toepassen.

De instellingen bepalen die van invloed zijn op de computer van de gebruiker

Om de uiteindelijke configuratie te bepalen en problemen te identificeren, moet u weten op welke beleidsinstellingen van kracht zijn gegeven gebruiker of de computer op dit moment. Hiervoor is er een tool Resultant Set of Policy (Resultant set of policies, RSoP). RSoP kan zowel in de registratiemodus als in de planningsmodus werken. Om RSoP aan te roepen, klikt u met de rechtermuisknop op het object "gebruiker" of "computer" en selecteert u Alle taken.

Rijst. 11. De tool Resultant Set of Policy aanroepen.

Na het starten (in de registratiemodus, logging) wordt u gevraagd om te kiezen voor welke computer en gebruiker de resultatenset moet worden gedefinieerd, en een venster met de resulterende instellingen verschijnt, waarin wordt aangegeven vanuit welk GPO welke parameter is toegepast.

Rijst. 12. Resulterende reeks beleid.

Andere hulpprogramma's voor groepsbeleidsbeheer

GPResult is een opdrachtregelprogramma dat een deel van de functionaliteit van RSoP biedt. GPResult wordt standaard meegeleverd op alle computers met Windows XP en Windows Server 2003.

GPUpdate dwingt de toepassing van Groepsbeleid af - zowel lokaal als op Active Directory. Vervang in Windows XP / 2003 de parameter / refreshpolicy in de secedit-tool voor Windows 2000.

Een beschrijving van de opdrachtsyntaxis is beschikbaar wanneer u ze uitvoert met de /?-toets.

In plaats van een conclusie

Dit artikel is niet bedoeld om alle aspecten van het werken met Groepsbeleid uit te leggen en is niet bedoeld voor ervaren systeembeheerders. Al het bovenstaande zou naar mijn mening slechts op de een of andere manier moeten helpen om de basisprincipes van het werken met politici te begrijpen voor degenen die nog nooit met hen hebben gewerkt, of die net onder de knie beginnen te krijgen.