Jobber med administrasjon og rutegrupper. Active Directory-domenetjenester. Motta GPResult-data fra en ekstern datamaskin

Når du installerer Windows, er de fleste av de uvesentlige undersystemene ikke aktivert eller installert. Dette er av sikkerhetsmessige årsaker. Siden systemet er sikret som standard, kan systemadministratorer fokusere på å designe et system som utelukkende vil utføre funksjonene som er tildelt det og ikke noe mer. For å hjelpe deg med å aktivere ønsket funksjonalitet, ber Windows deg velge en serverrolle.

Roller

En serverrolle er en samling programmer som, når de er riktig installert og konfigurert, gjør at en datamaskin kan utføre en spesifikk funksjon for flere brukere eller andre datamaskiner i et nettverk. Generelt har alle roller følgende egenskaper.

• De definerer hovedfunksjonen, formålet eller formålet med å bruke datamaskinen. Du kan tilordne en datamaskin til å utføre én rolle som brukes mye i bedriften, eller til å utføre flere roller hvis hver av dem brukes sjelden.
• Roller gir brukere i hele organisasjonen tilgang til ressurser som kontrolleres av andre datamaskiner, for eksempel nettsteder, skrivere eller filer som er lagret på forskjellige datamaskiner.
• De har vanligvis sine egne databaser som lager bruker- eller datamaskinforespørselskøer, eller registrerer informasjon om nettverksbrukere og datamaskiner som er knyttet til en rolle. For eksempel domenetjenester Active Directory inneholder en database for lagring av navn og hierarkiske relasjoner til alle datamaskiner i nettverket.
• Når de er riktig installert og konfigurert, fungerer rollene automatisk. Dette lar datamaskinene de er installert på utføre tildelte oppgaver med begrenset brukerinndata.

Rolletjenester

Rolletjenester er programmer som gir funksjonaliteten til en rolle. Når du installerer en rolle, kan du velge hvilke tjenester den gir til andre brukere og datamaskiner i bedriften. Noen roller, for eksempel DNS-serveren, har bare én funksjon, så det er ingen rolletjenester for dem. Andre roller, for eksempel Remote Desktop Services, har flere tjenester som du kan installere avhengig av bedriftens behov for ekstern tilgang. En rolle kan betraktes som en samling av nært beslektede, komplementære rolletjenester. I de fleste tilfeller betyr å installere en rolle å installere en eller flere av dens tjenester.

Komponenter

Komponenter er programmer som ikke er direkte en del av roller, men som støtter eller utvider funksjonaliteten til en eller flere roller eller en hel server, uavhengig av hvilke roller som er installert. For eksempel utvider Failover Clustering funksjonaliteten til andre roller, som filtjenester og DHCP-server, ved å la dem bli med i serverklynger for økt redundans og ytelse. En annen komponent, Telnet-klienten, gir ekstern kommunikasjon med Telnet-serveren over en nettverkstilkobling. Denne funksjonen forbedrer kommunikasjonsmulighetene til serveren.

Når Windows Server kjører i Server Core-modus, støttes følgende serverroller:

• Active Directory-sertifikattjenester
• Active Directory-domenetjenester;
• DHCP-server;
• DNS-server;
• filtjenester (inkludert filserverressursbehandlingen);
• Active Directory Lightweight Directory Services;
• Hyper-V;
• utskrifts- og dokumenttjenester;
• strømmemedietjenester;
• webserver (inkludert et undersett av ASP.NET);
• Windows Server Update Server;
• Active Directory Rights Management Server
• Ruting og fjerntilgangsserver og følgende underordnede roller:
  • Remote Desktop Services Connection Broker;
  • lisensiering;
  • virtualisering.

Når Windows Server kjører i Server Core-modus, støttes følgende serverkomponenter:

• Microsoft .NET Framework 3.5
• Microsoft .NET Framework 4.5
• Windows PowerShell
• Background Intelligent Transfer Service (BITS);
• BitLocker Drive Encryption
• BitLocker-nettverkslås opp
• BranchCache
• datasenter bro;
• Forbedret lagring;
• Failover Clustering
• Multipath I/O;
• nettverk lastbalansering;
• PNRP-protokollen;
• qWave;
• ekstern differensiell komprimering;
• enkle TCP / IP-tjenester;
• RPC over HTTP proxy;
• SMTP-server
• SNMP-tjeneste;
• Telnet-klient
• Telnet-server
• TFTP-klient;
• intern Windows-database;
• Windows PowerShell Web Access
• Windows Activation Service;
• standardisert lagringsadministrasjon for Windows;
• IIS WinRM utvidelse;
• WINS server;
• støtte for WoW64.

Installere serverroller ved hjelp av Server Manager

For å legge til, åpne Server Manager, og klikk på Legg til roller og funksjoner i Administrer-menyen:

Veiviseren for å legge til roller og funksjoner åpnes. Klikk Neste

Installasjonstype, velg Rollebasert eller funksjonsbasert installasjon. Neste:

Servervalg – velg vår server. Klikk på Neste serverroller - Velg roller, velg om nødvendig rolletjenester og klikk på Neste for å velge komponentene. Under denne prosedyren informerer veiviseren Legg til roller og funksjoner deg automatisk om konflikter som har oppstått på målserveren som kan forstyrre installasjonen eller normal drift av de valgte rollene eller funksjonene. Du blir også bedt om å legge til roller, rolletjenester og funksjoner som kreves for de valgte rollene eller funksjonene.

Installere roller ved hjelp av PowerShell

Åpne Windows PowerShell Skriv inn Get-WindowsFeature-kommandoen for å se listen over tilgjengelige og installerte roller og funksjoner på den lokale serveren. Utdataene fra denne cmdleten inneholder kommandonavnene for rollene og funksjonene som er installert og tilgjengelig for installasjon.

Gå inn på Get-Help Install-WindowsFeature for å se syntaksen og gyldige parametere for Install-WindowsFeature (MAN) cmdlet.

Vi skriver inn følgende kommando (-Restart vil starte serveren på nytt hvis en omstart kreves under installasjonen av rollen).

Installer-WindowsFunksjon –Navn -Omstart

Beskrivelse av roller og rolletjenester

Alle roller og rolletjenester er beskrevet nedenfor. La oss se den avanserte innstillingen for de oftest opptrådte i vår praksis Web Server Rolle og Remote Desktop Services

Detaljert beskrivelse av IIS

• Vanlige HTTP-funksjoner - Grunnleggende HTTP-komponenter
  • Standarddokument – ​​lar deg angi indekssiden for nettstedet.
  • Katalogsurfing - Lar brukere se innholdet i en katalog på en webserver. Bruk Katalogsurfing for automatisk å generere en liste over alle kataloger og filer i en katalog når brukere ikke spesifiserer en fil i URL-en og indekssiden er deaktivert eller ikke konfigurert
  • HTTP-feil – lar deg tilpasse feilmeldingene som returneres til klienter i nettleseren.
  • Statisk innhold – lar deg legge ut statisk innhold som bilder eller html-filer.
  • HTTP-omdirigering - Gir støtte for å omdirigere brukerforespørsler.
  • WebDAV Publishing lar deg publisere filer fra en webserver ved å bruke HTTP-protokollen.
• Helse- og diagnostikkfunksjoner - Diagnostiske komponenter
  • HTTP-logging gir logging av nettstedaktivitet for en gitt server.
  • Custom Logging gir støtte for å lage tilpassede logger som skiller seg fra "tradisjonelle" logger.
  • Logging Tools gir infrastrukturen for administrasjon av webserverlogger og automatisering av vanlige loggingsoppgaver.
  • ODBC Logging gir en infrastruktur som støtter logging av webserveraktivitet til en ODBC-kompatibel database.
  • Request Monitor gir infrastrukturen for å overvåke helsen til webapplikasjoner ved å samle informasjon om HTTP-forespørsler i en IIS-arbeidsprosess.
  • Sporing gir infrastrukturen for diagnostisering og feilsøking av nettapplikasjoner. Ved å bruke sporing for mislykkede forespørsler, kan du spore hendelser som er vanskelige å registrere, for eksempel dårlig ytelse eller autentiseringsfeil.
• Ytelseskomponenter øker nettserverytelsen.
  • Statisk innholdskomprimering gir infrastrukturen for å konfigurere HTTP-komprimering av statisk innhold
  • Dynamisk innholdskomprimering gir infrastrukturen for å konfigurere HTTP-komprimering for dynamisk innhold.
• Sikkerhetssikkerhetskomponenter
  • Forespørselsfiltrering lar deg fange opp alle innkommende forespørsler og filtrere dem basert på reglene satt av administratoren.
  • Grunnleggende autentisering lar deg sette opp ekstra autorisasjon
  • Sentralisert SSL-sertifikatstøtte er en funksjon som lar deg lagre sertifikater på et sentralisert sted som en fildeling.
  • Client Certificate Mapping Authentication bruker klientsertifikater for å autentisere brukere.
  • Digest Authentication fungerer ved å sende en passordhash til en Windows-domenekontroller for å autentisere brukere. Hvis du trenger mer sikkerhet enn grunnleggende autentisering, bør du vurdere å bruke Digest Authentication
  • IIS Client Certificate Mapping Authentication bruker klientsertifikater for å autentisere brukere. Et klientsertifikat er en digital ID hentet fra en pålitelig kilde.
  • IP- og domenerestriksjoner lar deg tillate/nekte tilgang basert på den forespurte IP-adressen eller domenenavnet.
  • URL-autorisasjon lar deg lage regler som begrenser tilgang til nettinnhold.
  • Windows-autentisering Dette autentiseringsskjemaet lar Windows-domeneadministratorer dra nytte av domeneinfrastrukturen for brukerautentisering.
• Applikasjonsutvikling Harr
• FTP-server
  • FTP-tjeneste Aktiverer FTP-publisering til en webserver.
  • FTP-utvidbarhet Inkluderer støtte for FTP-funksjoner som utvider mulighetene
• Administrasjonsverktøy for administrasjonsverktøy
  • IIS Management Console installerer IIS Manager, som lar deg administrere webserveren gjennom et grafisk grensesnitt
  • IIS 6.0 Management Compatibility gir foroverkompatibilitet for applikasjoner og skript som bruker Active Directory Admin Base Object (ABO) og Directory Service Interface (ADSI) APIer. Dette gjør at eksisterende IIS 6.0-skript kan brukes av IIS 8.0-nettserveren
  • IIS Management Scripts and Tools gir infrastrukturen for å administrere en IIS-webserver programmatisk, ved å bruke kommandoer i et ledetekstvindu eller ved å kjøre skript.
  • Administrasjonstjenesten gir infrastrukturen for å tilpasse brukergrensesnittet, IIS Manager.

Detaljert beskrivelse av RDS

• Remote Desktop Connection Broker - Tilbyr koble til på nytt klientenhet til programmer basert på økter stasjonære datamaskiner og virtuelle skrivebord.
• Remote Desktop Gateway - Lar autoriserte brukere koble til virtuelle skrivebord, RemoteApp-programmer og øktbaserte skrivebord i bedriftsnettverk eller via Internett.
• Eksternt skrivebordslisensiering - RDP-lisensadministrasjonsverktøy
• Remote Desktop Session Host – Gjør det mulig for en server å være vert for RemoteApp-programmer eller en skrivebordsbasert sesjon.
• Remote Desktop Virtualization Host - lar deg konfigurere RDP på ​​virtuelle maskiner
• Remote Desktop WebAccess - Lar brukere koble til skrivebordsressurser ved å bruke Start-menyen eller nettleseren.

La oss vurdere installasjonen og konfigurasjonen av terminallisensserveren. Ovenstående beskriver hvordan du installerer roller, installasjonen av RDS skiller seg ikke fra installasjonen av andre roller, i Rolletjenester må vi velge Remote Desktop Licensing og Remote Desktop Session Host. Etter installasjonen vil Terminal Services-elementet vises i Server Manager-Tools. Terminal Services har to elementer, RD Licensing Diagnoser, som er et diagnoseverktøy for eksternt skrivebordslisensiering, og Remote Desktop Licensing Manager, som er et lisensadministrasjonsverktøy.

Start RD Licensing Diagnoser

Her ser vi at det ikke er noen tilgjengelige lisenser ennå fordi lisensieringsmodusen for RD Session Host-serveren ikke er satt. Lisensserveren er spesifisert i lokale gruppepolicyer. For å starte redigeringsprogrammet, kjør kommandoen gpedit.msc. Den lokale gruppepolicyredigereren åpnes. Åpne fanene i treet til venstre:

• Datamaskinkonfigurasjon
• Administrative maler
• Windows-komponenter
• Eksternt skrivebordstjenester
• Eksternt skrivebord-øktvert
• Lisensering

Åpne parametrene Bruk de spesifiserte Remote Desktop-lisensserverne

Aktiver lisensieringsserveren (aktivert) i vinduet for redigering av policyinnstillinger. Deretter må du definere en lisensieringsserver for Remote Desktop Services. I mitt eksempel er lisensieringsserveren på den samme fysiske serveren. Vi indikerer nettverksnavn eller IP-adressen til lisensserveren og klikk OK. Hvis navnet på serveren, lisensserveren, i fremtiden skal endres, må du endre det i samme seksjon.

Etter det, i RD Licensing Diagnoser, kan du se at terminallisensserveren er konfigurert, men ikke aktivert. For å aktivere, kjør Remote Desktop Licensing Manager

Velg lisensieringsserveren med statusen Ikke aktivert. For å aktivere, høyreklikk på den og velg Aktiver server. Veiviseren for serveraktivering starter. I kategorien Tilkoblingsmetode velger du Automatisk tilkobling. Deretter fyller du inn informasjonen om organisasjonen, etter at lisensserveren er aktivert.

Active Directory-sertifikattjenester

AD CS tilbyr en tilpassbar digital sertifikattjeneste for sikkerhet og administrasjon av offentlig nøkkelprogramvare. Digitale sertifikater levert av AD CS kan brukes til kryptering og digital signering elektroniske dokumenter og meldinger. Disse digitale sertifikatene kan brukes til å autentisere datamaskin-, bruker- og enhetskontoer på nettverket. Digitale sertifikater brukes til å gi:

• personvern ved hjelp av kryptering;
• integritet ved hjelp av digitale signaturer;
• autentisering ved å binde sertifikatnøkler til datamaskin-, bruker- og enhetskontoer på nettverket.

AD CS kan brukes til å forbedre sikkerheten ved å binde identiteten til en bruker, enhet eller tjeneste til en passende privat nøkkel... Applikasjoner som støttes av AD CS inkluderer Secure Multipurpose Internet Mail Standard Extensions (S / MIME), sikret trådløse nettverk, virtuelle private nettverk (VPN), IPsec, kryptert filsystem (EFS), smartkortpålogging, dataoverføringssikkerhet og transportlagssikkerhet (SSL / TLS) og digitale signaturer.

Active Directory-domenetjenester

Ved å bruke Active Directory Domain Services (AD DS)-serverrollen, kan du opprette en skalerbar, sikker og håndterbar infrastruktur for bruker- og ressursadministrasjon; i tillegg kan du tilby katalogbevisste applikasjoner som Microsoft Exchange Server. Domenetjenester Active Directory gir en distribuert database som lagrer og administrerer informasjon om nettverksressurser og data fra katalogaktiverte applikasjoner. Serveren som kjører AD DS kalles en domenekontroller. Administratorer kan bruke AD DS til å organisere nettverkselementer som brukere, datamaskiner og andre enheter i en hierarkisk, nestet struktur. Den hierarkiske nestede strukturen inkluderer Active Directory-skogen, domener i skogen og organisasjonsenheter i hvert domene. Sikkerhet er integrert i AD DS i form av autentisering og tilgangskontroll til ressurser i katalogen. Med enkel pålogging kan administratorer administrere katalog- og organisasjonsinformasjon over nettverket. Autoriserte nettverksbrukere kan også bruke enkeltpålogging for å få tilgang til ressurser hvor som helst på nettverket. Active Directory Domain Services gir følgende tilleggsfunksjoner.

• Et sett med regler er et skjema som definerer klassene av objekter og attributter som finnes i katalogen, restriksjoner og begrensninger for forekomster av disse objektene, og formatet på navnene deres.
• En global katalog som inneholder informasjon om hvert objekt i katalogen. Brukere og administratorer kan bruke den globale katalogen til å søke i katalogdata uavhengig av hvilket domene i katalogen som faktisk inneholder dataene de leter etter.
• En spørrings- og indekseringsmekanisme der objekter og deres egenskaper kan publiseres og få tilgang til nettverksbrukere og -applikasjoner.
• En replikeringstjeneste som distribuerer katalogdata over nettverket. Alle skrivbare domenekontrollere i domenet deltar i replikering og inneholder en fullstendig kopi av alle katalogdata for domenet deres. Eventuelle endringer i katalogdata blir replikert over hele domenet til alle domenekontrollere.
• Operations master-roller (også kjent som fleksible single master-operasjoner, eller FSMOs). Domenekontrollere som fungerer som operasjonsmastere, er utformet for å utføre spesielle oppgaver for å sikre datakonsistens og unngå motstridende katalogoppføringer.

Active Directory Federation Services

AD FS gir sluttbrukere som trenger å få tilgang til applikasjoner i en AD FS-beskyttet bedrift, forbundspartner eller skyen, funksjoner for lettvekt og sikker identitetsføderasjon og Web Single Sign-On (SSO) I Windows Server inkluderer AD FS Federation Service-rolletjenesten som kjører i som en identitetsleverandør (autentiserer brukere for å gi sikkerhetstokener for applikasjoner som stoler på AD FS) eller som en føderasjonsleverandør (bruker tokens fra andre identitetsleverandører og gir deretter sikkerhetstokener for applikasjoner som stoler på AD FS).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) er en LDAP-protokoll som gir fleksibel støtte for katalogapplikasjoner uten avhengighetene og domenerelaterte begrensningene til Active Directory Domain Services. AD LDS kan kjøres på medlems- eller frittstående servere. Flere forekomster av AD LDS med uavhengig administrerte skjemaer kan kjøres på én enkelt server. Ved å bruke AD LDS-rollen kan du tilby katalogtjenester for katalogaktiverte applikasjoner uten å stole på domene- og skogoverhead eller kreve et enkelt skjema for hele skogen.

Active Directory Rights Management Services

Du kan bruke AD RMS til å utvide organisasjonens sikkerhetsstrategi ved å beskytte dokumenter med Information Rights Management (IRM). AD RMS lar brukere og administratorer tildele tilgangstillatelser til dokumenter, arbeidsbøker og presentasjoner ved hjelp av IRM-policyer. Dette bidrar til å beskytte konfidensiell informasjon fra å bli skrevet ut, sendt eller kopiert av uautoriserte brukere. Når tillatelser for en fil er begrenset av IRM, brukes tilgangs- og bruksbegrensninger uavhengig av hvor informasjonen befinner seg, siden filens tillatelse er lagret i selve dokumentfilen. Med AD RMS og IRM kan individuelle brukere bruke sine egne personlige preferanser for overføring av personlig og konfidensiell informasjon. De vil også hjelpe organisasjonen med å håndheve bedriftens retningslinjer for å administrere bruk og distribusjon av konfidensiell og personlig informasjon. IRM-løsninger som støttes av AD RMS brukes til å gi følgende funksjoner.

• Retningslinjer for permanent bruk som forblir med informasjon uavhengig av bevegelse, innsending eller overføring.
• Et ekstra lag med personvern for å bidra til å beskytte sensitive data – som rapporter, produktspesifikasjoner, kundeinformasjon og e-post – fra å falle i feil hender med vilje eller ved et uhell.
• Hindre autoriserte mottakere fra uautorisert videresending, kopiering, endring, utskrift, faksing eller liming av begrenset innhold.
• Forhindre kopiering av begrenset innhold PRINT-funksjoner SKJERM på Microsoft Windows.
• Støtte for filutløp, som forhindrer visning av dokumentinnhold etter en spesifisert tidsperiode.
• Implementer bedriftens retningslinjer som styrer bruk og distribusjon av innhold i en organisasjon

Applikasjonsserver

Application Server gir et integrert miljø for å distribuere og kjøre tilpassede serverbaserte forretningsapplikasjoner.

DHCP-server

DHCP er en klient-/serverteknologi som lar DHCP-servere tildele eller lease IP-adresser til datamaskiner og andre enheter som er DHCP-klienter. Distribusjon av DHCP-servere i et nettverk sørger automatisk for klientdatamaskiner og andre nettverksenheter basert på IPv4- og IPv6-gyldige IP-adresser og ekstra konfigurasjonsparametere som kreves av disse klientene og enhetene DHCP Server-tjenesten i Windows Server inkluderer støtte for policybaserte tildelinger og DHCP-failover.

DNS-server

DNS Service er en hierarkisk distribuert database som inneholder tilordninger av DNS-domenenavn til forskjellige typer data som IP-adresser. DNS lar deg bruke vennlige navn som www.microsoft.com for å hjelpe deg med å finne datamaskiner og andre ressurser på TCP/IP-nettverk. DNS i Windows Server gir ekstra og forbedret støtte for DNS Security Modules (DNSSEC), inkludert nettverksregistrering og automatisert parameteradministrasjon.

FAX-server

Serverfaks sender og mottar fakser og gir deg muligheten til å administrere faksressurser som jobber, innstillinger, rapporter og faksenheter på faksserveren.

Fil- og lagringstjenester

Administratorer kan bruke rollen Fil- og lagringstjenester til å konfigurere og administrere flere filservere og deres lagring ved hjelp av Server Manager eller Windows PowerShell. Noen spesifikke applikasjoner inkluderer følgende funksjoner.

• Arbeidsmapper. Brukes til å la brukere lagre og få tilgang til arbeidsfiler på personlige datamaskiner og andre enheter enn bedrifts-PCer. Brukere får et praktisk sted å lagre arbeidsfiler og få tilgang til dem fra hvor som helst. Organisasjoner kontrollerer bedriftsdata ved å lagre filer på sentralstyrte filservere og angi brukerenhetspolicyer (som kryptering og skjermlåspassord) etter behov.
• Datadeduplisering. Brukes for å redusere diskplassbehov for lagring av filer samtidig som du sparer lagringskostnader.
• ISCSI-målserver. Brukes til å lage sentraliserte, programvare- og maskinvareuavhengige iSCSI-diskundersystemer i lagringsområdenettverk (SAN).
• Diskplasser. Bruk for svært tilgjengelige lagringsdistribusjoner som er spenstige og skalerbare med kostnadseffektive industristandardstasjoner.
• Server manager. Brukes til å eksternt administrere flere filservere fra ett vindu.
• Windows PowerShell. Brukes til å automatisere administrasjonen av de fleste.

Hyper-V

Hyper-V-rollen lar deg lage og administrere et virtualisert datamiljø ved å bruke virtualiseringsteknologi innebygd i Windows Server. Installering av Hyper-V-rollen installerer forutsetninger samt valgfrie administrasjonsverktøy. Forutsetninger inkluderer Windows Low-Level Shell, Hyper-V Virtual Machine Management Service, WMI Virtualization Provider og virtualiseringskomponenter som VMbus, Virtualization Service Provider (VSP) og Virtual Infrastructure Driver (VID).

Nettverkspolicy og tilgangstjenester

Nettverkspolicy og tilgangstjenester gir følgende løsninger for nettverkstilkobling:

• Network Access Protection er en teknologi for å lage, håndheve og utbedre klienthelsepolicyer. Med Network Access Protection kan systemadministratorer angi og automatisk håndheve helsepolicyer som inkluderer programvarekrav, sikkerhetsoppdateringer og andre innstillinger. For klientdatamaskiner som ikke oppfyller helsepolicykravene, kan du begrense nettverkstilgang til konfigurasjonen deres er oppdatert for å overholde policykravene.
• Hvis du har distribuert 802.1X trådløse tilgangspunkter, kan du bruke Network Policy Server (NPS) til å distribuere sertifikatbaserte autentiseringsmetoder som er sikrere enn passordbasert autentisering. Ved å distribuere 802.1X-aktivert maskinvare med en NPS-server kan intranettbrukere autentiseres før de kan koble til nettverket eller få en IP-adresse fra en DHCP-server.
• I stedet for å måtte konfigurere policyen for nettverkstilgang på hver nettverkstilgangsserver, kan du sentralt opprette alle policyer som definerer alle aspekter av nettverkstilkoblingsforespørsler (hvem kan koble til når tilkoblingen er tillatt, sikkerhetsnivået som skal brukes til å koble til nettverk).

Trykk- og dokumenttjenester

Utskrifts- og dokumenttjenester lar deg sentralisere oppgavene til utskriftsserveren og nettverksskriveren. Denne rollen lar deg også motta skannede dokumenter fra nettverksskannere og laste opp dokumenter til nettverksressurser – til et Windows SharePoint Services-nettsted eller via e-post.

Fjerntilgang

Serverrollen for ekstern tilgang er en logisk gruppe følgende teknologier nettverkstilgang.

• Direkte adgang
• Ruting og ekstern tilgang
• Nettapplikasjons proxy

Disse teknologiene er rolletjenester Serverroller for ekstern tilgang. Når du installerer Remote Access-serverrollen, kan du installere én eller flere rolletjenester ved å kjøre veiviseren Legg til roller og funksjoner.

I Windows Server gir Remote Access Server-rollen muligheten til sentralt å administrere, konfigurere og overvåke DirectAccess og VPN med fjerntilgangstjenester for ruting og fjerntilgang (RRAS). DirectAccess og RRAS kan distribueres på samme Edge Server og administreres ved hjelp av Windows PowerShell-kommandoer og Remote Access Management Console (MMC).

Eksternt skrivebordstjenester

Remote Desktop Services akselererer og utvider distribusjonen av stasjonære datamaskiner og applikasjoner til enhver enhet, noe som gjør den eksterne arbeideren mer effektiv samtidig som den sikrer kritisk åndsverk og forenkler overholdelse av regelverk. Remote Desktop Services inkluderer virtuell skrivebordsinfrastruktur (VDI), sesjonsbaserte skrivebord og applikasjoner, som gjør det mulig for brukere å jobbe hvor som helst.

Volumaktiveringstjenester

Volume Activation Services er en serverrolle i Windows Server fra Windows Server 2012 som automatiserer og forenkler utstedelse og administrasjon av volumlisenser for Microsoft-programvare i en rekke scenarier og miljøer. Med Volume Activation Services kan du installere og konfigurere Key Management Service (KMS) og aktivering fra ved å bruke Active Katalog.

Webserver (IIS)

Webserver-rollen (IIS) i Windows Server gir en plattform for vertskap for nettsteder, tjenester og applikasjoner. Bruk av en webserver gir informasjon til brukere på Internett, intranett og ekstranett. Administratorer kan bruke Web Server (IIS)-rollen til å konfigurere og administrere flere nettsteder, nettapplikasjoner og FTP-sider. Tilgjengelighetsfunksjoner inkluderer:

• Bruke Internet Information Services Manager til å konfigurere IIS-komponenter og administrere nettsteder.
• Bruk FTP-protokoll for å tillate nettstedeiere å laste opp og laste ned filer.
• Bruk nettstedisolering for å forhindre at ett nettsted på serveren påvirker andre.
• Konfigurere webapplikasjoner utviklet ved hjelp av ulike teknologier som Classic ASP, ASP.NET og PHP.
• Bruke Windows PowerShell til å automatisk administrere de fleste av administrasjonsoppgavene til webserveren.
• Kombinerer flere webservere til en serverfarm som kan administreres ved hjelp av IIS.

Windows Deployment Services

Windows Deployment Services lar deg distribuere Windows-operativsystemer over et nettverk, noe som betyr at du ikke trenger å installere alle operativsystemer direkte fra CD eller DVD.

Windows Server Essentials Experience

Denne rollen lar deg løse følgende oppgaver:

• beskytte server- og klientdata ved å sikkerhetskopiere serveren og alle klientdatamaskiner på nettverket;
• administrere brukere og brukergrupper gjennom et forenklet serverdashbord. I tillegg lar integrasjon med Windows Azure Active Directory * brukere enkelt få tilgang til Microsoft Online Services (som Office 365, Exchange Online og SharePoint Online) ved å bruke domenelegitimasjonen deres;
• lagre bedriftsdata på et sentralisert sted;
• integrer serveren din med Microsoft Online Services (som Office 365, Exchange Online, SharePoint Online og Windows Intune):
• bruke funksjoner på serveren allestedsnærværende tilgang(for eksempel, ekstern nettilgang og virtuelle private nettverk) for å få tilgang til serveren, nettverksdatamaskiner og data fra eksterne steder med høy grad av sikkerhet;
• tilgang til data fra hvor som helst og fra hvilken som helst enhet ved å bruke organisasjonens egen nettportal (via ekstern nettilgang);
• administrere mobile enheter som får tilgang til organisasjonens e-post ved hjelp av Office 365 av Aktiv protokoll Synkroniser fra dashbordet;
• overvåke nettverkshelsen og motta tilpassede helserapporter; rapporter kan genereres på forespørsel, tilpasses og sendes til bestemte mottakere.

Windows Server Update Services

WSUS gir komponentene som administratorer trenger for å administrere og distribuere oppdateringer gjennom administrasjonskonsollen. I tillegg kan WSUS-serveren være en kilde til oppdateringer for andre WSUS-servere i organisasjonen. Når du implementerer WSUS, må minst én WSUS-server på nettverket være koblet til Microsoft Update for å motta informasjon om tilgjengelige oppdateringer. Avhengig av sikkerheten til nettverket og dets konfigurasjon, kan administratoren bestemme hvor mange andre servere som er direkte koblet til Microsoft Update.

Bruk av gruppepolicy (del 3)

Vanligvis tilordnes GPOer til en beholder (domene, nettsted eller OU) og gjelder for alle objekter i den beholderen. Med en godt organisert domenestruktur er dette ganske nok, men noen ganger er det nødvendig å i tillegg begrense bruken av retningslinjer til en viss gruppe objekter. Det er to typer filtre som kan brukes til dette.

Sikkerhetsfiltre

Sikkerhetsfiltre lar deg begrense bruken av policyer til en bestemt sikkerhetsgruppe. La oss for eksempel ta GPO2, som brukes til å sentralt konfigurere Start-menyen på arbeidsstasjoner med Windows 8.1 \ Windows 10. GPO2 er tilordnet OU-ansatte og gjelder for alle brukere uten unntak.

La oss nå gå til fanen "Omfang", der i delen "Sikkerhetsfiltrering" er indikert gruppene som denne GPO kan brukes på. Som standard er dette gruppen Autentiserte brukere. Dette betyr at politikken kan brukes på noen en bruker eller datamaskin som har blitt autentisert til domenet.

Faktisk har hver GPO sin egen tilgangsliste, som kan sees i fanen "Delegering".

For å bruke en policy, må et objekt ha Les og bruk gruppepolicy, som gruppen Autentiserte brukere har. Følgelig, for at policyen ikke skal gjelde for alle, men bare på en bestemt gruppe, er det nødvendig å fjerne den fra Autentiserte brukere-listen, deretter legge til den nødvendige gruppen og gi den de riktige rettighetene.

Så i vårt eksempel kan policyen bare brukes på regnskapsgruppen.

WMI-filtre

Windows Management Instrumentation (WMI) er et av de kraftigste verktøyene for å administrere Windows-operativsystemet. WMI inneholder et stort antall klasser som kan brukes til å beskrive nesten alle parametere for brukeren og datamaskinen. Du kan se alle tilgjengelige WMI-klasser som en liste ved å bruke PowerShell ved å kjøre kommandoen:

Get-WmiObject -Liste

La oss for eksempel ta klassen Win32_OperatingSystem, som er ansvarlig for egenskapene til operativsystemet. Anta at du vil filtrere alle operativsystemer unntatt Windows 10. Gå til datamaskinen med installert vindu 10, åpne en PowerShell-konsoll og vis navnet, versjonen og typen av operativsystemet ved å bruke kommandoen:

Get-WmiObject -Klasse Win32_OperatingSystem | fl Navn, versjon, produkttype

For filteret bruker vi versjonen og typen OS. Versjonen er den samme for klient- og server-OS og er definert som følger:

Window Server 2016 \ Windows 10 - 10.0
Window Server 2012 R2 \ Windows 8.1 - 6.3
Window Server 2012 \ Windows 8 - 6.2
Window Server 2008 R2 \ Windows 7 - 6.1
Window Server 2008 \ Windows Vista - 6.0

Produkttypen er ansvarlig for formålet med datamaskinen og kan ha 3 verdier:

1 - arbeidsstasjon;
2 - domenekontroller;
3 - server.

La oss nå gå direkte til opprettelsen av filteret. For å gjøre dette, åpne snapin-modulen Group Policy Management og gå til delen WMI-filtre. Klikk på den med høyre museknapp og velg "Ny"-elementet i kontekstmenyen.

Gi filteret et navn og en beskrivelse i vinduet som åpnes. Deretter trykker vi på "Legg til"-knappen og skriver inn WQL-spørringen i "Query"-feltet, som er grunnlaget for WMI-filteret. Vi må velge OS versjon 10.0 med type 1, så forespørselen vil se slik ut:

VELG * FRA Win32_OperatingSystem WHERE-versjon LIKE ″ 10,0 % ″ OG produkttype = ″ 1 ″

Merk. Windows Query Language (WQL) er et WMI-spørringsspråk. Du kan lese mer om det på MSDN.

Lagre det resulterende filteret.

Nå gjenstår det bare å tilordne et WMI-filter til en GPO, for eksempel til GPO3. Gå til GPO-egenskapene, åpne fanen "Omfang" og i feltet "WMI-filtrering" velger du ønsket filter fra listen.

Analysere bruken av gruppepolicyer

Med så mange måter å filtrere GPOer på, må du være i stand til å diagnostisere og analysere bruken av dem. Den enkleste måten å kontrollere handlingen til gruppepolicyer på en datamaskin er å bruke kommandolinjeverktøyet gresultat.

La oss for eksempel gå til wks2-datamaskinen som Windows 7 er installert på og sjekke om WMI-filteret har fungert. For å gjøre dette, åpne cmd-konsollen med administratorrettigheter og kjør kommandoen gpresult / r, som viser et sammendrag av gruppepolicyene som er brukt på brukeren og datamaskinen.

Merk. Gpresult-verktøyet har mange innstillinger, som kan vises med kommandoen gpresult /?.

Som du kan se av dataene som ble mottatt, ble ikke GPO3-policyen brukt på datamaskinen fordi den ble filtrert ved hjelp av WMI-filteret.

Du kan også sjekke handlingen til GPO fra snapin-modulen "Group Policy Management" ved å bruke en spesiell veiviser. For å starte veiviseren, høyreklikk på "Gruppepolicyresultater"-delen og velg "Veiviser for gruppepolicyresultater" i menyen som åpnes.

Vi angir navnet på datamaskinen som rapporten skal genereres for. Hvis du bare vil se egendefinerte innstillinger Gruppepolicy, du trenger ikke å samle innstillingene for datamaskinen. For å gjøre dette, merk av i boksen nedenfor (vis kun brukerpolicyinnstillinger).

Deretter velger vi navnet på brukeren som dataene skal samles inn for, eller du kan spesifisere å ikke inkludere gruppepolicyinnstillingene for brukeren i rapporten (vis kun datamaskinpolicyinnstillinger).

Vi sjekker de valgte innstillingene, klikker på "Neste" og venter mens dataene samles inn og rapporten genereres.

Rapporten inneholder omfattende informasjon om GPOene som er brukt (eller ikke brukt) på brukeren og datamaskinen, samt filtrene som brukes.

La oss som et eksempel lage rapporter for to forskjellige brukere og sammenligne dem. Først, la oss åpne rapporten for Kirill-brukeren og gå til brukerinnstillinger-delen. Som du kan se, ble ikke GPO2-policyen brukt på denne brukeren, fordi han ikke har rett til å bruke den (Reason Denied - Inaccessible).

La oss nå åpne rapporten for brukeren Oleg. Denne brukeren er medlem av regnskapsgruppen, så policyen ble brukt på ham. Dette betyr at sikkerhetsfilteret har fungert vellykket.

På dette vil jeg kanskje avslutte den "fascinerende" historien om anvendelsen av gruppepolicyer. Jeg håper denne informasjonen vil være nyttig og vil hjelpe deg i den vanskelige oppgaven med systemadministrasjon 🙂

Retningslinjer i Exchange Server 2003 er utviklet for å øke administrativ fleksibilitet og samtidig redusere byrden for administratorer. En policy er en samling av konfigurasjonsparametere som gjelder for ett eller flere objekter av samme klasse i Exchange. Du kan for eksempel opprette en policy som påvirker spesifikke innstillinger for noen eller alle Exchange-servere. Hvis du trenger å endre disse innstillingene, trenger du bare å endre denne policyen og den vil bli brukt på den tilsvarende serverorganisasjonen.

Det er to typer retningslinjer: systempolicy og mottakerpolicy. Mottakerpolicyer gjelder for objekter med tilgang til post og spesifiserer hvordan e-postadresser genereres. Retningslinjer for mottakere er omtalt i "Opprett og administrer mottakere". Systempolicyer brukes på servere, postboksbutikker og offentlige mappelagre. Disse retningslinjene vises i policybeholderen i gruppen som er ansvarlig for administrasjon denne policyen (Figur 12.10).

Ris. 12.10. Systempolicyobjekt

Merk... Exchange Server 2003-installasjonen oppretter ikke en standardbeholder for systempolicyer. Den må opprettes før du bygger systempolicyer. Høyreklikk administrasjonsgruppen der du vil opprette policymappen, pek på Ny og velg Systempolicybeholder.

Oppretting av systempolicy

For å opprette en systempolicy, naviger til den aktuelle Systempolicy-beholderen, høyreklikk beholderen, og velg deretter typen policy som skal opprettes: Serverpolicy, Postboks-lagringspolicy eller Public Folder Store Policy.

Når du arbeider med systempolicyer, må du sørge for å opprette et policyobjekt i gruppen som er ansvarlig for å administrere den policyen. Ellers kan det oppstå en feil ved utvelgelsen av personer som utøver administrativ kontroll over kritiske politikere. La oss se på hvordan hver av de tre typene policyer er opprettet, og starter med serverpolicyer.

Opprette en serverpolicy

Serverpolicy definerer alternativene for meldingssporing og vedlikehold av loggfiler. Det gjelder ikke sikkerhetsinnstillinger eller andre innstillinger for servere i denne administrasjonsgruppen. For å opprette en serverpolicy, høyreklikk Systempolicy-beholderen, pek på Ny, og velg deretter Serverpolicy-alternativet. Dialogboksen Ny policy, vist i figur 4, vises. 12.11, som spesifiserer fanene som vises på eiendomssiden for denne policyen. Det er bare ett alternativ for Serverpolicy: fanen Generelt. Merk av i boksen for denne kategorien og klikk deretter OK. Et konfigurasjonsvindu vil vises der denne policyen opprettes.

Etter det må du skrive inn navnet på policyen i fanevinduet Generelt på eiendomssiden til denne policyen. Som vist i figur 12.12, er det faktisk to Generelt-faner. Den første fanen brukes til å angi navnet på policyen. Velg et navn for å beskrive oppgaven denne policyen er ment å utføre, for eksempel Message Tracking Policy eller Enable Subject Logging Policy. Å velge et passende navn på dette stadiet vil spare deg for mye arbeid ved at du ikke trenger å åpne eiendomsarket for at policyen skal bestemme formålet.

Kategorien Generelt (Retningslinjer), som vist i figur 1-4. 12.13 inneholder de faktiske policyinnstillingene som gjelder for Exchange-serverne i den aktuelle organisasjonen. Fanen kalles Generelt (Retningslinjer) fordi den potensielt konfigurerer fanen Generelt på egenskapssidene for alle tilgjengelige servere. (Senere i dette kapittelet skal vi se på hvordan du bruker denne policyen på alle servere i en organisasjon.) Hvis du sammenligner denne fanen med Generelt-fanen på en servers egenskapsside, vil du se at fanene er de samme, bortsett fra den identifiserende informasjonen øverst på fanen.

Kategorien Generelt (Retningslinjer) aktiverer Aktiver emnelogging og visning for alle tilgjengelige Exchange 2003-servere. Denne innstillingen fungerer sammen med alternativet Aktiver meldingssporing for å spore meldinger sendt i organisasjonen. Disse alternativene er nyttige for å finne og fikse kilden til problemer som oppstår når noen brukere ikke mottar meldinger fra andre brukere. Det er mulig å spore passasjen av en melding gjennom organisasjonen for å bestemme stedet der det er problemer med overføring av data. For mer informasjon om meldingssporing og emnelogging, se kapittel 6, Exchange Server 2003-funksjonalitet, sikkerhet og støtte.

Når en policy er i kraft, kan den ikke endres på lokale servere... Meldingssporingspolicyen vi brukte som eksempel ble generert på EX-SRV1 i Arizona-administrasjonsgruppen. På

Funksjonaliteten i Windows Server-operativsystemet beregnes og forbedres fra versjon til versjon, roller og komponenter blir flere og flere, så i dagens materiale vil jeg prøve å kort fortelle deg beskrivelse og formål for hver rolle i Windows Server 2016.

Før vi går videre til beskrivelsen av serverrollene til Windows Server, la oss finne ut hva som er " Serverrolle»I Windows Server-operativsystemet.

Hva er serverrolle i Windows Server?

Serverrolle Er en programvarepakke som sikrer at serveren utfører en viss funksjon, og denne funksjonen er den viktigste. Med andre ord, " Serverrolle"Er formålet med serveren, dvs. hva er den til. Slik at serveren kan utføre sin hovedfunksjon, dvs. en viss rolle i " Serverrolle»Inkluderte all programvare som er nødvendig for dette ( programmer, tjenester).

Serveren kan ha én rolle, hvis den brukes aktivt, eller flere, hvis hver av dem ikke belaster serveren mye og sjelden brukes.

En serverrolle kan inkludere flere rolletjenester som gir funksjonaliteten til rollen. For eksempel i serverrollen " Webserver (IIS)"Et ganske stort antall tjenester er inkludert, og rollen" DNS-server»Rolletjenester er ikke inkludert fordi denne rollen kun har én funksjon.

Rolletjenester kan installeres samlet eller separat avhengig av dine behov. I kjernen betyr å installere en rolle å installere en eller flere av tjenestene.

Windows Server har også " Komponenter"Server.

Serverkomponenter (funksjon) Er programvareverktøy som ikke er en serverrolle, men som utvider mulighetene til en eller flere roller, eller kontrollerer en eller flere roller.

Noen roller kan ikke installeres hvis serveren ikke har de nødvendige tjenestene eller komponentene som kreves for at disse rollene skal fungere. Derfor, på tidspunktet for installasjon av slike roller " Veiviser for å legge til roller og funksjoner"Selv ber deg automatisk om å installere de nødvendige, tilleggstjenester roller eller komponenter.

Beskrivelse av Windows Server 2016-serverroller

Du er sikkert allerede kjent med mange roller som er i Windows Server 2016, siden de har eksistert ganske lenge, men som sagt, for hver nye versjon av Windows Server legges det til nye roller som du kanskje ikke har jobbet med ennå men vi vil gjerne vite hva de er til for, så la oss begynne å se på dem.

Merk! Du kan lese om de nye funksjonene til Windows Server 2016-operativsystemet i artikkelen "Installere Windows Server 2016 og en oversikt over nye funksjoner".

Siden installasjonen og administrasjonen av roller, tjenester og komponenter ofte skjer ved bruk av Windows PowerShell, vil jeg for hver rolle og dens tjeneste angi et navn som kan brukes i henholdsvis PowerShell for å installere eller administrere den.

DHCP-server

Denne rollen lar deg konfigurere dynamiske IP-adresser og tilhørende innstillinger sentralt for datamaskiner og enheter på nettverket ditt. DHCP Server-rollen har ikke rolletjenester.

Navnet på Windows PowerShell er DHCP.

DNS-server

Denne rollen er for navneløsning på TCP/IP-nettverk. Rollen til DNS-serveren gir og vedlikeholder DNS-operasjon... For å forenkle administrasjonen av en DNS-server, er den vanligvis installert på samme server som Active Directory Domain Services. DNS-serverrollen har ikke rolletjenester.

Rollenavnet for PowerShell er DNS.

Hyper-V

Med Hyper-V-rollen kan du opprette og administrere et virtualisert miljø. Det er med andre ord et verktøy for å lage og administrere virtuelle maskiner.

Rollenavnet for Windows PowerShell er Hyper-V.

Helseattest for enheten

Rolle" »Lar deg evaluere enhetens helse basert på målte sikkerhetsberegninger som Secure Boot-status og Bitlocker på klienten.

For at denne rollen skal fungere trenger du mange rolletjenester og komponenter, for eksempel: flere tjenester fra " Webserver (IIS)", Komponent" ", Komponent" .NET Framework 4.6-funksjoner».

Under installasjonen velges alle nødvendige rolletjenester og funksjoner automatisk. Rollen " Helseattest for enheten»Det finnes ingen egne rolletjenester.

Navnet på PowerShell er DeviceHealthAttestationService.

Webserver (IIS)

Gir en pålitelig, håndterbar og skalerbar nettapplikasjonsinfrastruktur. Består av nok et stort antall tjenester (43).

Navnet på Windows PowerShell er Web-Server.

Inkluderer følgende rolletjenester ( i parentes vil jeg angi navnet på Windows PowerShell):

Webserver (Web-WebServer) Er en rolletjenestegruppe som gir støtte for HTML-nettsteder, ASP.NET-utvidelser, ASP og webserver. Består av følgende tjenester:

• Sikkerhet (nettsikkerhet)- et sett med tjenester for å sikre en webserver.
  • Filtrering av forespørsler (webfiltrering) - ved å bruke disse verktøyene kan du behandle alle forespørsler som kommer til serveren, og filtrere disse forespørslene basert på spesielle regler satt av administratoren av webserveren;
  • IP-adresse og domenebegrensninger (Web-IP-Security) - disse verktøyene lar deg tillate eller nekte tilgang til innhold på en webserver basert på IP-adressen eller domenenavnet til kilden i forespørselen;
  • URL-autorisasjon (Web-Url-Auth) – Verktøy lar deg utvikle regler for å begrense tilgangen til nettinnhold og knytte dem til brukere, grupper eller HTTP-header-kommandoer;
  • Digest-autentisering (Web-Digest-Auth) – Denne autentiseringen gir et høyere sikkerhetsnivå enn grunnleggende autentisering. Digest-autentisering for brukerautentisering fungerer ved å sende en passordhash til en Windows-domenekontroller;
  • Grunnleggende autentisering (Web-Basic-Auth) - Denne autentiseringsmetoden sikrer sterk nettleserkompatibilitet. Anbefales for små interne nettverk... Den største ulempen med denne metoden er at passord som overføres over nettverket lett kan fanges opp og dekrypteres, så bruk denne metoden sammen med SSL;
  • Windows Authentication (Web-Windows-Auth) - er en autentisering basert på autentisering i Windows-domene... Du kan med andre ord bruke Active Directory-kontoer til å autentisere brukere av nettstedene dine.
  • Client Certificate Mapping Authentication (Web-Client-Auth) – Denne autentiseringsmetoden bruker et klientsertifikat. Denne typen bruker Active Directory for å gi sertifikattilordning;
  • IIS Client Certificate Mapping Authentication (Web-Cert-Auth) - in denne metoden klientsertifikater brukes også for autentisering, men IIS brukes til å gi sertifikattilordning. Disse typene gir bedre ytelse;
  • Sentralisert SSL-sertifikatstøtte (Web-CertProvider) - disse verktøyene lar deg administrere SSL-serversertifikatene sentralt, noe som i stor grad forenkler prosessen med å administrere disse sertifikatene;
• Servicevennlighet og diagnostikk (web-helse)- et sett med tjenester for å sikre kontroll, styring og eliminering av brudd i driften av webservere, nettsteder og applikasjoner:
  • Http-logging (Web-Http-logging) – Verktøy gir logging av nettsideaktivitet på en gitt server, dvs. hogst;
  • ODBC-logging (web-ODBC-logging) – Disse verktøyene gir også logging av nettstedaktivitet, men de støtter logging av denne aktiviteten i en ODBC-kompatibel database;
  • Request Monitor (Web-Request-Monitor) er et verktøy som lar deg overvåke helsen til en nettapplikasjon ved å fange opp informasjon om HTTP-forespørsler i IIS-arbeidsprosessen;
  • Web-Custom-Logging – Ved å bruke disse verktøyene kan du konfigurere logging av nettserveraktivitet i et format som er vesentlig forskjellig fra standard format IIS. Du kan med andre ord lage egen modul hogst;
  • Loggingsverktøy (Web-Log-Libraries) er verktøy for å administrere webserverlogger og automatisere loggingsoppgaver;
  • Sporing (Web-Http-Tracing) er et verktøy for diagnostisering og utbedring av forstyrrelser i driften av nettapplikasjoner.
• Vanlige http-funksjoner (Web-Common-Http)- et sett med tjenester som gir den grunnleggende funksjonaliteten til HTTP:
  • Standarddokument (Web-Default-Doc) - Denne funksjonen lar deg konfigurere nettserveren til å returnere et standarddokument for når brukere ikke spesifiserer et spesifikt dokument i forespørsels-URLen, noe som gjør det enklere for brukere å få tilgang til et nettsted, for eksempel , etter domene, uten å spesifisere en fil;
  • Katalogsurfing (Web-Dir-Browsing) – Dette verktøyet kan brukes til å konfigurere en webserver slik at brukere kan se en liste over alle kataloger og filer på et nettsted. For eksempel, for tilfeller der brukere ikke spesifiserer en fil i forespørsels-URLen, og dokumenter enten avvises som standard eller ikke er konfigurert;
  • Http-feil (Web-Http-feil) - denne funksjonen lar deg tilpasse feilmeldinger som vil bli returnert til brukernes nettlesere når nettserveren oppdager en feil. Dette verktøyet brukes til å bedre presentere feilmeldinger til brukere;
  • Statisk innhold (Web-Static-Content) - dette verktøyet lar deg bruke innhold på en webserver i form av statiske filformater, for eksempel HTML-filer eller bildefiler;
  • Omdiriger http (Web-Http-Redirect) - ved å bruke denne funksjonen kan du omdirigere en brukerforespørsel til en bestemt destinasjon, dvs. dette er omdirigering;
  • Publishing WebDAV (Web-DAV-Publishing) - lar deg bruke WebDAV-teknologi på IIS WEB-serveren. WebDAV ( Nettdistribuert forfatterskap og versjonskontroll) Er en teknologi som lar brukere samarbeide ( les, rediger, les egenskaper, kopier, flytt) over filer på eksterne webservere som bruker HTTP-protokollen.
• Ytelse (nettytelse)- et sett med tjenester for å oppnå mer høy ytelse webserver, gjennom utgangsbufring og vanlige komprimeringsmekanismer som Gzip og Deflate:
  • Komprimering av statisk innhold (Web-Stat-Compression) er et verktøy for å konfigurere komprimering av statisk http-innhold, det tillater mer effektiv bruk av båndbredde, uten å overbelaste CPU-en;
  • Dynamisk innholdskomprimering (Web-Dyn-Compression) er et verktøy for å konfigurere komprimering av dynamisk HTTP-innhold. Dette verktøyet gir en mer effektiv bruk av båndbredde, men i i dette tilfellet Serverens CPU-belastning assosiert med dynamisk komprimering kan føre til at nettstedet reduseres hvis CPU-belastningen er høy selv uten komprimering.
• Applikasjonsutvikling (Web-App-Dev)- et sett med tjenester og verktøy for utvikling og vertskap for nettapplikasjoner, med andre ord nettstedsutviklingsteknologier:
  • ASP (Web-ASP) - et miljø for støtte og utvikling av nettsider og webapplikasjoner bruker ASP-teknologi. På dette øyeblikket det er en nyere og mer avansert teknologi for utvikling av nettsteder - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) er et objektorientert utviklingsmiljø for nettsider og nettapplikasjoner som bruker ASP.NET-teknologi;
  • ASP.NET 4.6 (Web-Asp-Net45) er også et objektorientert miljø for utvikling av nettsider og nettapplikasjoner ved å bruke den nye versjonen av ASP.NET;
  • CGI (Web-CGI) er en mulighet bruker CGIå overføre informasjon fra webserveren til et eksternt program. CGI er en slags grensesnittstandard for å koble et eksternt program til en webserver. Det er en ulempe, bruk av CGI påvirker ytelsen;
  • Server Side Includes (SSI) (Web-Includes) er støtte for SSI-skriptspråk ( serversiden inkluderer), som brukes til å generere HTML-sider dynamisk;
  • Application Initialization (Web-AppInit) - Dette verktøyet utfører oppgavene med å initialisere webapplikasjoner før du sender en nettside;
  • WebSocket Protocol (Web-WebSockets) – Legger til muligheten til å lage applikasjoner på serversiden som kommuniserer ved hjelp av WebSocket-protokollen. WebSocket er en protokoll som samtidig kan overføre og motta data mellom en nettleser og en webserver over en TCP-tilkobling, en slags utvidelse til HTTP-protokollen;
  • ISAPI Extensions (Web-ISAPI-Ext) - Støtter dynamisk utvikling av nettinnhold ved hjelp av ISAPI API. ISAPI er et API for IIS-webserveren. ISAPI-applikasjoner er mye raskere enn ASP-filer eller filer som kaller COM +-komponenter;
  • .NET 3.5 Extensibility (Web-Net-Ext) er et .NET 3.5-utvidelsesverktøy som lar deg endre, legge til og utvide funksjonalitet nettfunksjoner servere i hele forespørselspipeline, i konfigurasjon og i brukergrensesnittet;
  • Extensibility .NET 4.6 (Web-Net-Ext45) er et .NET 4.6-utvidelsesverktøy som også lar deg modifisere, legge til og utvide webserverfunksjonalitet gjennom hele forespørselspipelinen, i konfigurasjon og i brukergrensesnittet;
  • ISAPI-filtre (Web-ISAPI-Filter) - Legg til støtte for ISAPI-filtre. ISAPI-filtre er programmer som kalles opp når webserveren mottar en bestemt HTTP-forespørsel skal behandles av dette filteret.

FTP - server (web-ftp-server)- tjenester som gir støtte for FTP-protokollen. Vi snakket om FTP-serveren mer detaljert i artikkelen - "Installere og konfigurere en FTP-server på Windows Server 2016". Inneholder følgende tjenester:

• FTP Service (Web-Ftp-Service) - legger til støtte for FTP-protokollen på webserveren;
• FTP-utvidbarhet (Web-Ftp-Ext) - Utvider standard funksjoner FTP, for eksempel, legger til støtte for funksjoner som tilpassede leverandører, ASP.NET-brukere eller IIS Manager-brukere.

Administrasjonsverktøy (Web-Mgmt-Tools) Er verktøy for å administrere IIS 10-nettserveren. Disse inkluderer IIS-brukergrensesnittet, kommandolinjeverktøy og skript.

• Internet Information Services Management Console (Web-Mgmt-Console) er brukergrensesnittet for å administrere Internet Information Services (IIS);
• Internet Information Services (IIS) tegnsett og verktøy (Web-Scripting-Tools) er verktøy og skript for å kontrollere Internet Information Services (IIS) ved å bruke kommandolinjen eller skriptene. De kan for eksempel brukes til å automatisere kontroll;
• Management Service (Web-Mgmt-Service) - denne tjenesten legger til muligheten til å administrere en webserver eksternt fra en annen datamaskin ved hjelp av IIS Manager;
• IIS 6-kompatibilitetsadministrasjon (Web-Mgmt-Compat) – Aktiverer applikasjons- og skriptkompatibilitet som bruker to IIS APIer. Eksisterende IIS 6-skript kan brukes til å administrere IIS 10-nettserveren:
  • IIS 6 Compatibility Metabase (Web-Metabase) er et kompatibilitetsverktøy som lar deg kjøre applikasjoner og tegnsett portert fra tidligere versjoner av IIS;
  • IIS 6-skriptverktøy (Web-Lgcy-Scripting) – Disse verktøyene lar deg bruke de samme IIS 6-skripttjenestene som ble opprettet for å administrere IIS 6 i IIS 10;
  • IIS 6 Management Console (Web-Lgcy-Mgmt-Console) – Et verktøy for å administrere eksterne IIS 6.0-servere;
  • WMI-kompatibilitet IIS 6 (Web-WMI) er et skriptgrensesnitt for Windows Management Instrumentation (WMI) for programmatisk kontroll og automatisering av IIS 10.0-nettserveroppgaver ved å bruke et sett med skript generert i en WMI-leverandør.

Active Directory-domenetjenester

Rolle" Active Directory-domenetjenester»(AD DS) gir en distribuert database som lagrer og behandler informasjon om nettverksressurser. Denne rollen brukes til å organisere nettverkselementer som brukere, datamaskiner og andre enheter i en hierarkisk struktur av et beskyttende skall. Den hierarkiske strukturen inkluderer skoger, domener i en skog og organisasjonsenheter (OUer) i hvert domene. Serveren som kjører AD DS kalles en domenekontroller.

Rollenavnet for Windows PowerShell er AD-Domain-Services.

Windows Server Essentials-modus

Denne rollen er en datainfrastruktur og gir praktiske og effektive funksjoner, for eksempel: lagring av kundedata på et sentralisert sted og beskyttelse av disse dataene ved å Reserver eksemplar server- og klientdatamaskiner, ekstern nettilgang, som lar deg få tilgang til data fra nesten hvilken som helst enhet. Denne rollen krever flere rolle- og funksjonstjenester, for eksempel: BranchCache-funksjoner, Windows Server Backup, Management gruppepolitikk, tjenesterolle" DFS navnerom».

Navnet på PowerShell er ServerEssentialsRole.

Nettverkskontroller

Denne rollen dukket opp i Windows Server 2016, den gir et enkelt punkt for automatisering for administrasjon, overvåking og diagnostikk, fysisk og virtuell nettverksinfrastruktur i datasenteret. Ved å bruke denne rollen kan du konfigurere IP-undernett, VLAN, fysiske nettverkskort for Hyper-V-verter, administrere virtuelle svitsjer, fysiske rutere, brannmurinnstillinger og VPN-gatewayer fra ett enkelt punkt.

Navnet på Windows PowerShell er NetworkController.

Host Guardian Service

Dette er serverrollen Hosted Guardian Server (HGS) og gir attestasjon og nøkkelbeskyttelsestjenester som gjør det mulig for beskyttede verter å kjøre skjermede virtuelle maskiner. For at denne rollen skal fungere, kreves det flere tilleggsroller og komponenter, for eksempel: Active Directory Domain Services, Web Server (IIS), komponent " Failover Clustering"annet.

Navnet på PowerShell er HostGuardianServiceRole.

Active Directory Lightweight Directory Services

Rolle" Active Directory Lightweight Directory Services(AD LDS) – Dette er en lett versjon av AD DS som har mindre funksjonalitet, men som ikke krever distribusjon av domener eller domenekontrollere, og som ikke har avhengighetene og domenerestriksjonene som AD DS krever. AD LDS kjører over LDAP ( Lightweight Directory Access Protocol). Flere forekomster av AD LDS med uavhengig administrerte skjemaer kan distribueres på én enkelt server.

Navnet på PowerShell er ADLDS.

MultiPoint-tjenester

det er det samme ny rolle som ble introdusert i Windows Server 2016. MultiPoint Services (MPS) gir grunnleggende ekstern skrivebordsfunksjonalitet som lar flere brukere samtidig og uavhengig arbeide på samme datamaskin. For å installere og betjene denne rollen, må du installere flere tilleggstjenester og komponenter, for eksempel: Print Server, Windows Search Service, XPS Viewer og andre, alle vil bli valgt automatisk på tidspunktet for MPS-installasjonen.

Rollenavnet for PowerShell er MultiPointServerRole.

Windows Server Update Services

Systemadministratorer kan bruke denne rollen (WSUS) til å administrere Microsoft-oppdateringer. Lag for eksempel separate grupper med datamaskiner for forskjellige sett oppdateringer, samt motta rapporter om datamaskiners samsvar med kravene og oppdateringene som må installeres. For funksjonen til " Windows Server Update Services»Du trenger slike rolletjenester og komponenter som: Web Server (IIS), Windows Intern Database, Windows Process Activation Service.

Navnet på Windows PowerShell er UpdateServices.

• WID Connectivity (UpdateServices-WidDB) - installasjon i WID ( Windows intern database) av databasen som brukes av WSUS. Med andre ord vil WSUS lagre sine tjenestedata i WID;
• WSUS Services (UpdateServices-Services) - dette er tjenester WSUS-roller slik som oppdateringstjeneste, rapporteringswebtjeneste, API-remoting-webtjeneste, klientwebtjeneste, enkel Internett-autentiseringstjeneste, serversynkroniseringstjeneste og webtjeneste for DSS-autentisering;
• SQL Server Connectivity (UpdateServices-DB) er en komponentinstallasjon som gjør det mulig for WSUS å koble til en Microsoft SQL Server-database. Dette alternativet sørger for lagring av tjenestedata i en Microsoft SQL Server-database. I dette tilfellet bør du allerede ha installert programvare i det minste, én forekomst av SQL Server.

Volumaktiveringstjenester

Med denne serverrollen kan du automatisere, forenkle og administrere volumlisenser for Microsoft-programvare.

Navnet på PowerShell er VolumeActivation.

Trykk- og dokumenttjenester

Denne serverrollen er utformet for å dele skrivere og skannere på nettverket, for sentralisert setting og administrasjon av utskrifts- og skanneservere, og administrasjon av nettverksskrivere og -skannere. Utskrifts- og dokumenttjenester lar deg også sende skannede dokumenter via e-post til delte nettverksmapper eller til Windows SharePoint Services-nettsteder.

Navnet på PowerShell er Print-Services.

• Print-Server - Denne rolletjenesten inkluderer " Utskriftshåndtering", Som brukes til å administrere skrivere eller utskriftsservere, og til å migrere skrivere og andre utskriftsservere.
• Print-Internet — For å implementere Internett-utskrift opprettes et nettsted slik at brukere kan administrere utskriftsjobber på serveren. For at denne tjenesten skal fungere, som du forstår, må du installere " Webserver (IIS)". Alle nødvendige komponenter vil bli valgt automatisk når du sjekker denne gjenstanden under installasjonsprosessen av rolletjenesten " Internett-utskrift»;
• Distribuert skanneserver (Print-Scan-Server) er en tjeneste som lar deg motta skannede dokumenter fra nettverksskannere og sende dem til destinasjonen. Denne tjenesten inneholder også snap-in " Skannekontroll"Som brukes til å administrere nettverksskannere og til å konfigurere skanning;
• LPD-tjeneste (Print-LPD-Service) - LPD-tjeneste ( Line Printer Daemon) lar UNIX-baserte datamaskiner og andre datamaskiner som bruker Line Printer Remote (LPR)-tjenesten skrive ut til delte skrivere på serveren.

Nettverkspolicy og tilgangstjenester

Rolle" (NPAS) lar deg bruke Network Policy Server (NPS) til å angi og håndheve nettverkstilgang, autentisering og autorisasjon og klienthelsepolicyer – med andre ord for å holde nettverket ditt sikkert.

Navnet på Windows PowerShell er NPAS.

Windows Deployment Services

Ved å bruke denne rollen kan du eksternt installere Windows-operativsystemet over nettverket.

Rollenavnet for PowerShell er WDS.

• Deployment Server (WDS-Deployment) – Denne rolletjenesten er for ekstern distribusjon og innstillinger for Windows-operativsystemer. Den lar deg også lage og tilpasse bilder for gjenbruk;
• Transport Server (WDS-Transport) - Denne tjenesten inneholder det grunnleggende nettverkskomponenter, som du kan overføre data med ved multicasting på en frittstående server.

Active Directory-sertifikattjenester

Denne rollen er utformet for å lage sertifiseringsmyndigheter og tilhørende rolletjenester som lar deg utstede og administrere sertifikater for ulike applikasjoner.

Navnet på Windows PowerShell er AD-Certificate.

Inkluderer følgende rolletjenester:

• Sertifiseringsinstans (ADCS-Cert-Authority) – Ved å bruke denne rolletjenesten kan du utstede sertifikater til brukere, datamaskiner og tjenester, og også administrere sertifikatets gyldighet;
• Netttjeneste for sertifikatregistrering (ADCS-Enroll-Web-Pol) – Denne tjenesten lar brukere og datamaskiner få sertifikved hjelp av en nettleser, selv om datamaskinen ikke er medlem av et domene. For at den skal fungere er det nødvendig " Webserver (IIS)»;
• Certificate Enrollment Web Service (ADCS-Enroll-Web-Svc) - Denne tjenesten lar brukere og datamaskiner registrere og fornye sertifikater ved å bruke en nettleser over HTTPS, selv om datamaskinen ikke er et domenemedlem. For at den skal fungere er det også nødvendig " Webserver (IIS)»;
• Online Responder (ADCS-Online-Cert) - Tjeneste utviklet for å sjekke tilbakekalling av sertifikater for klienter. Med andre ord godtar den en tilbakekallingsstatusforespørsel for spesifikke sertifikater, evaluerer statusen til disse sertifikatene og sender tilbake et signert svar med statusinformasjon. For at tjenesten skal fungere, trenger du " Webserver (IIS)»;
• Internet Certification Authority Enrollment Service (ADCS-Web-Enrollment) - Denne tjenesten gir et nettgrensesnitt for brukere for å utføre oppgaver som å be om og fornye sertifikater, skaffe CRL-er og registrere smartkortsertifikater. For at tjenesten skal fungere, trenger du " Webserver (IIS)»;
• Network Device Enrollment Service (ADCS-Device-Enrollment) – Ved å bruke denne tjenesten kan du utstede og administrere sertifikater for rutere og andre nettverksenheter som ikke har nettverkskontoer. For at tjenesten skal fungere, trenger du " Webserver (IIS)».

Eksternt skrivebordstjenester

En serverrolle som kan brukes til å gi tilgang til virtuelle skrivebord, sesjonsbaserte skrivebord og eksterne RemoteApps.

Rollenavnet for Windows PowerShell er Remote-Desktop-Services.

Består av følgende tjenester:

• Remote Desktop Web Access (RDS-Web-Access) - Denne rolletjenesten lar brukere få tilgang til eksterne skrivebord og RemoteApp-applikasjoner gjennom " Start"Eller ved å bruke en nettleser;
• Remote Desktop Licensing (RDS-Licensing) er en tjeneste som administrerer lisensene som kreves for å koble til en RD Session Host-server eller virtuelt skrivebord. Den kan brukes til å installere, utstede lisenser og spore deres tilgjengelighet. For at denne tjenesten skal fungere, trenger du " Webserver (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) er en rolletjeneste som gir følgende funksjoner: koble en bruker til et eksisterende virtuelt skrivebord, RemoteApp-applikasjon og sesjonsbasert skrivebord, og balansere belastningen mellom de eksterne sesjonsvertsservernes skrivebord. eller mellom samlede virtuelle skrivebord. For at denne tjenesten skal fungere, må komponenten " »;
• Remote Desktop Virtualization Host (DS-Virtualization) - Denne tjenesten lar brukere koble til virtuelle skrivebord ved hjelp av Remote Desktop og RemoteApp-tilkoblinger. Denne tjenesten fungerer sammen med Hyper-V, dvs. denne rollen må være installert;
• Remote Desktop Session Host (RDS-RD-Server) — Denne tjenesten kan være vert for eksterne RemoteApp-applikasjoner og sesjonsbaserte skrivebord på en server. For tilgang brukes Remote Desktop Connection-klienten eller RemoteApps;
• Remote Desktop Gateway (RDS-Gateway) - tjenesten tillater autorisert eksterne brukere Koble til virtuelle skrivebord, RemoteApps og øktbaserte skrivebord på bedriftens nettverk eller over Internett. For at denne tjenesten skal fungere, kreves følgende tilleggstjenester og komponenter: " Webserver (IIS)», « Nettverkspolicy og tilgangstjenester», « RPC over HTTP-proxy».

Active Directory Rights Management Services

Det er en serverrolle som lar deg beskytte informasjonen din mot uautorisert bruk. Den verifiserer brukeridentiteter og gir lisenser til autoriserte brukere for å få tilgang til beskyttede data. For at denne rollen skal fungere, kreves tilleggstjenester og komponenter: " Webserver (IIS)», « Windows prosessaktiveringstjeneste», « .NET Framework 4.6-funksjoner».

Navnet på Windows PowerShell er ADRMS.

• Active Directory Rights Management Server (ADRMS-Server) - hovedrolletjenesten som kreves for installasjon;
• Identity Federation Support (ADRMS-Identity) er en valgfri rolletjeneste som gjør det mulig for forente identiteter å konsumere beskyttet innhold ved hjelp av AD FS.

Active Directory Federation Services

Denne rollen gir forenklet og trygge alternativer identitetsføderasjon og enkeltpålogging (SSO) til nettsteder ved hjelp av en nettleser.

Navnet på PowerShell er ADFS-Federation.

Fjerntilgang

Denne rollen gir tilkobling gjennom DirectAccess, VPN og Web Application Proxy. Også rollen som " Fjerntilgang "Gir tradisjonelle rutingfunksjoner inkludert konvertering nettverksadresser(NAT) og andre tilkoblingsparametere. Ytterligere tjenester og komponenter kreves for at denne rollen skal fungere: " Webserver (IIS)», « Windows intern database».

Rollenavnet for Windows PowerShell er RemoteAccess.

• DirectAccess og VPN (RAS) (DirectAccess-VPN) - tjenesten lar brukere koble seg til bedriftsnettverket når som helst med tilgang til Internett gjennom DirectAccess, samt organisere VPN-tilkoblinger i kombinasjon med tunnel- og datakrypteringsteknologier;
• Ruting - tjenesten gir støtte for NAT-rutere, rutere lokalt nettverk med BGP, RIP og multicast-rutere (IGMP proxy);
• Web-Application-Proxy (Web-Application-Proxy) - Tjenesten lar deg publisere applikasjoner basert på HTTP-protokoller og HTTPS fra bedriftsnettverket på klientenheter som er utenfor bedriftsnettverket.

Fil- og lagringstjenester

Det er en serverrolle som du kan bruke til å dele filer og mapper, administrere og kontrollere delte ressurser, replikere filer, raskt søk filer, og gi tilgang til UNIX-klientdatamaskiner. Vi diskuterte filtjenester og spesielt filserveren mer detaljert i artikkelen "Installere en filserver på Windows Server 2016".

Navnet på Windows PowerShell er FileAndStorage-Services.

Lagring-tjenester– Denne tjenesten gir lagrisom alltid er installert og ikke kan fjernes.

Fil- og iSCSI-tjenester (filtjenester) Er teknologier som forenkler administrasjonen av filservere og lagring, sparer diskplass, gir replikering og hurtigbufring av filer i avdelingskontorer og gir fildeling over NFS-protokoll... Inkluderer følgende rolletjenester:

• Filserver (FS-FileServer) er en rolletjeneste som administrerer delte mapper og gir brukere tilgang til filer på denne datamaskinen over nettverket;
• Deduplisering av data (FS-Data-Deduplication) - denne tjenesten sparer diskplass ved å lagre bare én kopi av identiske data på et volum;
• File Server Resource Manager (FS-Resource-Manager) – Bruk denne tjenesten til å administrere filer og mapper på en filserver, generere lagringsrapporter, klassifisere filer og mapper, konfigurere mappekvoter og definere filblokkeringspolicyer.
• ISCSI Target Storage Provider (VDS- og VSS-maskinvareleverandører) (iSCSITarget-VSS-VDS) – Denne tjenesten lar programmer på en server koblet til et iSCSI-mål utføre volumskyggekopier på virtuelle iSCSI-disker.
• DFS-navnerom (FS-DFS-navnerom) - Ved å bruke denne tjenesten kan du gruppere delte mapper som ligger på forskjellige servere i ett eller flere logisk strukturerte navnerom;
• Arbeidsmapper (FS-SyncShareService) - tjenesten lar deg bruke arbeidsfiler på ulike datamaskiner, inkludert jobb og personlig. I arbeidsmapper kan du lagre filene dine, synkronisere dem og få tilgang til dem fra ditt lokale nettverk eller Internett. For at tjenesten skal fungere, må komponenten " IIS i prosess nettkjerne»;
• DFS-replikering (FS-DFS-replikering) er en multi-server datareplikeringsmodul som lar deg synkronisere mapper over en lokal eller globalt nettverk... Denne teknologien bruker RDC-protokollen (Remote Differential Compression) for å oppdatere bare delen av filene som har endret seg siden siste replikering. DFS-replikering kan brukes sammen med DFS-navneområder eller separat;
• Server for NFS (FS-NFS-Service) - Denne tjenesten lar denne datamaskinen dele filer med UNIX-baserte datamaskiner og andre datamaskiner som bruker NFS-protokollen (Network File System).
• ISCSI Target Server (FS-iSCSITarget-Server) - Tilbyr tjenester og administrasjon for iSCSI-mål;
• BranchCache for nettverksfiler(FS-BranchCache) - Tjenesten gir BranchCache-støtte på denne filserveren.
• File Server VSS Agent Service (FS-VSS-Agent) - Denne tjenesten muliggjør volumskyggekopiering for applikasjoner som lagrer datafiler på denne filserveren.

Faksserver

Rollen sender og mottar fakser og lar deg administrere faksressurser som jobber, innstillinger, rapporter og faksenheter på denne datamaskinen eller på nettverket. For jobb trenger du " Utskriftsserver».

Rollenavnet for Windows PowerShell er Fax.

Dette avslutter oversikten over Windows Server 2016 Server Rolls, jeg håper materialet var nyttig for deg, så langt!

Introduksjon

Med økningen i parken av datamaskiner i bedriften, blir spørsmålet om kostnadene for administrasjon og vedlikehold mer akutt. Manuell innstilling datamaskiner tar mye tid fra personalet og styrker, med økningen i antall datamaskiner, for å øke staben til sine ansatte. I tillegg, med et stort antall maskiner, blir det vanskeligere å sikre samsvar med de aksepterte innstillingsstandardene i bedriften. Gruppepolicy er et omfattende verktøy sentralisert ledelse datamaskiner som kjører Windows 2000 eller nyere Domene aktivt Katalog. Gruppepolicyer brukes ikke på datamaskiner som kjører Windows NT4 / 9x: de styres av systempolicy, som ikke vil bli diskutert i denne artikkelen.

GPOer

Eventuelle innstillinger du oppretter gjennom gruppepolicy vil bli lagret i gruppepolicyobjekter (GPOer). GPOer er av to typer: lokale GPOer og GPOer. Aktive retningslinjer Katalog. Den lokale GPO er på datamaskiner som kjører Windows 2000 og nyere. Det kan bare være én, og dette er den eneste GPO som kan være på en datamaskin som ikke er medlem av domenet.

En GPO er det generelle navnet på et sett med filer, kataloger og oppføringer i Active Directory-databasen (hvis ikke et lokalt objekt) som lagrer innstillingene dine og bestemmer hvilke andre innstillinger du kan endre ved hjelp av gruppepolicy. Ved å opprette en policy oppretter og endrer du faktisk en GPO. Den lokale GPO er lagret på% SystemRoot% \ System32 \ GroupPolicy. Active Directory GPOer lagres på en domenekontroller og kan knyttes til et nettsted, et domene eller en OU (organisasjonsenhet eller organisasjonsenhet). Et objekts binding definerer omfanget. Som standard opprettes to GPOer i domenet: Standard domenepolicy og standard domenekontrollerpolicy. Den første definerer standardpolicyen for passord og kontoer i domenet. Den andre kommuniserer med Domain Controllers OU og forbedrer sikkerhetsinnstillingene for domenekontrollere.

Opprett et gruppepolicyobjekt

For å opprette en policy (det vil si, faktisk opprette en ny GPO), åpne Active Directory-brukere og datamaskiner og velg hvor du vil opprette et nytt objekt. Du kan opprette og binde en GPO bare til et nettsted, domene eller OU-objekt.

Ris. 1. Opprette et gruppepolicyobjekt.

For å opprette en GPO og koble den, for eksempel til OU-testere, høyreklikk på denne OU og velg egenskaper i kontekstmenyen. I egenskapsvinduet som åpnes åpner du kategorien Gruppepolicy og klikker Ny.

Ris. 2. Opprette et gruppepolicyobjekt.

Vi gir et navn til GP-objektet, hvoretter objektet opprettes, og du kan begynne å konfigurere policyen. Dobbeltklikk på det opprettede objektet eller trykk på Rediger-knappen, GPO-redigeringsvinduet åpnes, hvor du kan konfigurere de spesifikke parameterne til objektet.

Ris. 3. Beskrivelse av innstillingene i kategorien Utvidet.

De fleste av de grunnleggende innstillingene er intuitive (dessuten har de en beskrivelse hvis du åpner fanen Utvidet), og vi vil ikke dvele ved hver enkelt i detalj. Som sett fra fig. 3, GPO er delt inn i to seksjoner: Computer Configuration og User Configuration. Innstillingene til den første delen brukes ved oppstart av Windows på datamaskiner som ligger i denne beholderen og nedenfor (hvis arv ikke kanselleres), og avhenger ikke av hvilken bruker som er logget på. Innstillingene i den andre delen brukes når brukeren logger på systemet.

Rekkefølge for bruk av GPOer

Når datamaskinen starter opp, skjer følgende handlinger:

1. Registeret leses og det bestemmes hvilket nettsted datamaskinen tilhører. En forespørsel sendes til DNS-serveren for å få IP-adressene til domenekontrollerne på denne siden.
2. Etter å ha mottatt adressene, kobler datamaskinen seg til domenekontrolleren.
3. Klienten ber om en liste over fastlegeobjekter fra domenekontrolleren og bruker dem. Sistnevnte sender en liste over fastlegeobjekter i den rekkefølgen de skal påføres.
4. Når brukeren logger på, ber datamaskinen igjen om en liste over fastleger som skal søkes brukeren, og trekker ut og bruker dem.

Gruppepolicyer brukes ved oppstart og ved brukerpålogging. De brukes deretter hvert 90. minutt, med en variasjon på 30 minutter, for å unngå overbelastning av domenekontrolleren når et stort antall klienter blir forespurt samtidig. For domenekontrollere er oppdateringsintervallet 5 minutter. Du kan endre denne virkemåten under Datamaskinkonfigurasjon \ Administrative maler \ System \ Gruppepolicy. En GPO kan bare påvirke datamaskin- og brukerobjektene. Retningslinjene gjelder kun for objekter som ligger i katalogobjektet (side, domene, organisasjonsenhet), som GPO er knyttet til og under "treet" (hvis arv ikke er forbudt). For eksempel: En GPO opprettes i OU-testere (som vi gjorde ovenfor).

Ris. 4. Arv av innstillinger.

Alle innstillinger som er gjort i denne GPO vil bare påvirke brukere og datamaskiner som er plassert i OU-testere og OU-intestere. La oss se på rekkefølgen for bruk av retningslinjer ved å bruke et eksempel. Brukertesten, som ligger i OU-testerne, logger seg på datamaskinkompetisjonen, som ligger i OU-kompOUen (se figur 5).

Ris. 5. Rekkefølgen for anvendelse av policyer.

Det er fire GPOer i domenet:

1. SitePolicy knyttet til områdebeholderen;
2. Standard domenepolicy knyttet til domenebeholderen;
3. Retningslinjer1 relatert til OU-testere;
4. Policy2 knyttet til OU compOU.

Når Windows starter opp på en comp-arbeidsstasjon, brukes parametrene som er definert i Computer Configuration-seksjonene i denne rekkefølgen:

1. Lokale GPO-parametere;
2. GPO SitePolicy parametere;

4. Parametere GPO-policy2.

Når testbrukeren logger på comp-datamaskinen, er parametrene som er definert i brukerkonfigurasjonsseksjonene:

1. Lokale GPO-parametere;
2. GPO SitePolicy parametere;
3. Parametre for GPO-standard domenepolicy;
4. Parametere GPO-policy1.

Det vil si at GPOer brukes i denne rekkefølgen: lokale retningslinjer, retningslinjer på nettstedsnivå, retningslinjer på domenenivå, retningslinjer på OU-nivå.

Gruppepolicyer brukes asynkront på Windows XP-klienter og synkront med Windows 2000-klienter, noe som betyr at den tilpassede påloggingsskjermen vises først etter at alle datamaskinpolicyene er brukt, og brukerpolicyer brukes før skrivebordet vises. Asynkron policyhåndhevelse betyr at et tilpasset påloggingsskjermbilde vises før alle datamaskinens retningslinjer blir brukt, og skrivebordet vises før alle egendefinerte retningslinjer blir brukt, noe som resulterer i raskere brukeroppstarts- og påloggingstider.
Atferden beskrevet ovenfor endres i to tilfeller. Først oppdaget klientdatamaskinen en treg nettverkstilkobling. Som standard brukes bare sikkerhetsinnstillinger og administrative maler i dette tilfellet. En tilkobling med en båndbredde på mindre enn 500 Kb/s anses som treg. Du kan endre denne verdien i Datamaskinkonfigurasjon \ Administrative maler \ System \ Gruppepolicy \ Treg koblingsdeteksjon for gruppepolicy. I delen Datakonfigurasjon \ Administrative maler \ System \ Gruppepolicy kan du også konfigurere noen andre policyinnstillinger slik at de behandles over en treg tilkobling. Den andre måten å endre rekkefølgen policyer brukes i, er alternativet for tilbakekobling av brukergruppepolicy. Dette alternativet endrer standard policyapplikasjonsrekkefølge, der egendefinerte policyer brukes etter datamaskinpolicyer og overskriver sistnevnte. Du kan angi tilbakekoblingsalternativet slik at datamaskinpolicyer brukes etter brukerpolicyer og overskrive eventuelle brukerpolicyer som er i konflikt med datamaskinpolicyer. Loopback-parameteren har 2 moduser:

1. Slå sammen - Datapolicy brukes først, deretter brukerpolicy og datapolicy igjen. I dette tilfellet erstatter datamaskinpolicyen de motstridende brukerpolicyinnstillingene med sine egne.
2. Erstatt – Den egendefinerte policyen blir ikke behandlet.

For å illustrere bruken av loopback-behandlingsparameteren for brukergruppepolicy, for eksempel på en offentlig datamaskin, der du må ha de samme begrensede innstillingene, uavhengig av hvilken bruker som bruker den.

Prioritet, arv og konfliktløsning

Som du kan se, inneholder GPOer de samme innstillingene på alle nivåer, og den samme innstillingen kan defineres forskjellig på flere nivåer. I dette tilfellet effektiv verdi vil være den siste som ble brukt (se ovenfor for hvordan GPOer brukes). Denne regelen gjelder for alle parametere bortsett fra de som er definert som ikke konfigurert. For disse Windows-innstillinger tar ingen handling. Men det er ett unntak: alle konto- og passordinnstillinger kan bare defineres på domenenivå, på andre nivåer vil disse innstillingene bli ignorert.

Ris. 6. Active Directory-brukere og datamaskiner.

Hvis flere GPOer er plassert på samme nivå, brukes de fra bunnen og opp. Ved å endre posisjonen til policyobjektet i listen (ved å bruke Opp- og Ned-knappene), kan du velge ønsket rekkefølge for søknaden.

Ris. 7. Rekkefølgen for anvendelse av policyer.

Noen ganger er det nødvendig at en viss OU ikke mottar policyinnstillinger fra GPOer knyttet til oppstrømsbeholdere. I dette tilfellet må du deaktivere arv av policyer ved å merke av for Blokker policyarv. Alle nedarvede policyinnstillinger er blokkert, og det er ingen måte å blokkere individuelle innstillinger. Innstillinger på domenenivå som definerer passordpolicy og kontopolicy kan ikke låses ute.

Ris. 9. Blokkering av arv av poliser.

Hvis det kreves at visse innstillinger i denne GPO ikke overskrives, velg ønsket GPO, klikk på Alternativer-knappen og velg Ingen overstyring. Dette alternativet instruerer å bruke GPO-innstillinger der policyarv er blokkert. Ingen overstyring er installert der GPO er koblet til katalogobjektet, ikke i selve GPO. Hvis GPO er koblet til flere beholdere i domenet, vil ikke denne innstillingen automatisk konfigureres for resten av koblingene. Hvis parameteren Ingen overstyring er konfigurert for flere koblinger på samme nivå, vil GPO-parameterne øverst på listen ha forrang (og effektive). Hvis innstillingene for Ingen overstyring er konfigurert for flere GPOer på forskjellige nivåer, vil innstillingene for GPO høyere i kataloghierarkiet gjelde. Det vil si at hvis No-overstyringsparameterne er konfigurert til å koble GPO til domeneobjektet og til å koble GPO til OU, vil parameterne som er definert på domenenivå være aktive. Ved å merke av for Deaktivert overstyres effekten av denne GPO på denne beholderen.

Ris. 10. Alternativer Ingen overstyring og deaktivert.

Som nevnt ovenfor, påvirker retningslinjer bare brukere og datamaskiner. Spørsmålet dukker ofte opp: "hvordan sikre at en bestemt policy brukes på alle brukere som er inkludert i en bestemt gruppe sikkerhet?" For å gjøre dette, er GPO bundet til et domeneobjekt (eller en hvilken som helst beholder plassert over beholderne eller OU-ene der alle brukerobjektene fra den nødvendige gruppen er plassert) og tilgangsinnstillinger er konfigurert. Klikk på Egenskaper, i kategorien Sikkerhet, slett gruppen Autentiserte brukere og legg til den nødvendige gruppen med rettigheter til å lese og bruke gruppepolicy.

Fastsettelse av innstillingene som påvirker brukerens datamaskin

For å bestemme den endelige konfigurasjonen og identifisere problemer, må du vite hvilke policyinnstillinger som gjelder gitt bruker eller datamaskinen for øyeblikket. For å gjøre dette, er det et verktøy Resultant Set of Policy (Resultant set of policies, RSoP). RSoP kan fungere i både registreringsmodus og planleggingsmodus. For å starte RSoP, høyreklikk på "bruker" eller "datamaskin"-objektet og velg Alle oppgaver.

Ris. 11. Kalle opp verktøyet Resultant Set of Policy.

Etter start (i registreringsmodus, logging) vil du bli bedt om å velge for hvilken datamaskin og bruker som skal definere resultatsettet, og et vindu med de resulterende innstillingene vil vises, som indikerer fra hvilken GPO hvilken parameter ble brukt.

Ris. 12. Resulterende sett med retningslinjer.

Andre verktøy for administrasjon av gruppepolicy

GPResult er et kommandolinjeverktøy som gir noe av funksjonaliteten til RSoP. GPResult er inkludert som standard på alle datamaskiner med Windows XP og Windows Server 2003.

GPUpdate tvinger bruk av gruppepolicy – ​​både lokal og Active Directory-basert. I Windows XP / 2003 erstattet parameteren / refreshpolicy i secedit-verktøyet for Windows 2000.

En beskrivelse av kommandosyntaksen er tilgjengelig når du kjører dem med /?-tasten.

I stedet for en konklusjon

Denne artikkelen er ikke ment å forklare alle aspekter ved arbeid med gruppepolicy, og er ikke ment for erfarne systemadministratorer. Alt det ovennevnte burde etter min mening bare på en eller annen måte bidra til å forstå de grunnleggende prinsippene for å jobbe med politikere for de som aldri har jobbet med dem, eller bare begynner å mestre.