Navedite detaljan opis pravila poslužitelja u vezi. Navedite detaljan opis pravila poslužitelja. GPResult naredba: dijagnostika rezultirajućih grupnih pravila. Dodatne sigurnosne postavke politike žičane mreže. Postavljanje uloga pomoću Pow

Prije nego što razvijete socket poslužitelj, trebate kreirati poslužitelj politike koji govori Silverlightu koji se klijenti smiju spojiti na socket poslužitelj.

Kao što je gore prikazano, Silverlight ne dopušta učitavanje sadržaja ili pozivanje web-usluge osim ako domena ima clientaccesspolicy .xml ili datoteku crossdomain. xml, koji izričito dopušta te operacije. Slično ograničenje nametnuto je i socket poslužitelju. Ako ne dopustite uređaju klijenta da učita datoteku clientaccesspolicy .xml koja omogućuje daljinski pristup, Silverlight će odbiti uspostaviti vezu.

Nažalost, pružanje pravila pristupa klijentu. cml u socket aplikaciju je teži zadatak od pružanja putem web stranice. Kada koristite web mjesto, softver web poslužitelja može dati clientaccesspolicy .xml datoteku, samo je trebate dodati. Međutim, kada koristite socket aplikaciju, morate otvoriti socket prema kojem klijentske aplikacije mogu slati zahtjeve za pravilima. Osim toga, morate ručno kreirati kod koji služi utičnici. Za rješavanje ovih problema morate kreirati poslužitelj pravila.

Kao što ćemo dalje vidjeti, poslužitelj pravila radi na isti način kao i poslužitelj poruka, samo rukuje malo jednostavnijim interakcijama. Poslužitelji poruka i pravila mogu se kreirati odvojeno ili kombinirati u jednoj aplikaciji. U drugom slučaju, moraju slušati zahtjeve u različitim nitima. U ovom primjeru stvorit ćemo poslužitelj pravila i zatim ga kombinirati s poslužiteljem poruka.

Da biste kreirali poslužitelj pravila, prvo morate kreirati .NET aplikaciju. Bilo koja vrsta .NET aplikacije može poslužiti kao poslužitelj pravila. Najlakši način je korištenje konzolne aplikacije. Nakon što otklonite pogreške svoje konzolne aplikacije, možete premjestiti kod na Windows uslugu tako da neprekidno radi u pozadini.

Datoteka pravila

Ispod je datoteka pravila koju osigurava poslužitelj pravila.

Datoteka pravila definira tri pravila.

Omogućuje pristup svim priključcima od 4502 do 4532 (ovo je cijeli raspon priključnica koje podržava dodatak Silverlight). Da biste promijenili raspon dostupnih portova, trebate promijeniti vrijednost atributa porta elementa.

Omogućuje TCP pristup (dopuštenje je definirano u atributu protokola elementa).

Omogućuje pozivanje s bilo koje domene. Stoga aplikaciju Silverlight koja uspostavlja vezu može ugostiti bilo koje web mjesto. Da biste promijenili ovo pravilo, trebate urediti atribut uri elementa.

Kako bi se zadatak olakšao, pravila pravila su smještena u datoteku clientaccess-ploi.cy.xml koja se dodaje projektu. U Visual Studio, postavka Copy to Output Directory datoteke pravila mora biti postavljena na Copy Always. Sve što trebate učiniti je pronaći datoteku na tvrdom disku, otvoriti je i vratiti sadržaj na uređaj klijenta.

Klasa PolicyServer

Funkcionalnost Policy Servera temelji se na dvije ključne klase: PolicyServer i PolicyConnection. Klasa PolicyServer upravlja čekanjem na veze. Nakon što primi vezu, predaje kontrolu novoj instanci klase PoicyConnection, koja prosljeđuje datoteku pravila klijentu. Ovaj dvodijelni postupak je uobičajen u mrežnom programiranju. Vidjet ćete ga više puta kada radite s poslužiteljima poruka.

Klasa PolicyServer učitava datoteku pravila s tvrdog diska i pohranjuje je u polje kao niz bajtova.

javna klasa PolicyServer

politika privatnih bajtova;

public PolicyServer(string policyFile) (

Da bi počela slušati, poslužiteljska aplikacija mora pozvati PolicyServer. Start(). Stvara objekt TcpListener koji osluškuje zahtjeve. Objekt TcpListener konfiguriran je za slušanje na priključku 943. U Silverlightu ovaj je priključak rezerviran za poslužitelje pravila. Kada se podnose zahtjevi za datoteke pravila, Silverlight ih automatski prosljeđuje na priključak 943.

privatni TcpListener slušatelj;

public void Start()

// Kreirajte objekt koji sluša

slušač = novi TcpListener(IPAddress.Any, 943);

// Počnite slušati; metoda Start() vraća se odmah nakon što je slušatelj.Start() pozvan;

// Čekanje na vezu; metoda se odmah vraća;

II čekanje se izvodi u zasebnoj niti

Kako bi prihvatio ponuđenu vezu, poslužitelj pravila poziva metodu BeginAcceptTcpClient(). Kao i sve metode Beginxxx() okvira .NET, vraća se odmah nakon poziva, izvodeći potrebne operacije na zasebnoj niti. Za mrežne aplikacije, ovo je vrlo značajan čimbenik jer dopušta da se mnogi zahtjevi za datoteke pravila obrade istovremeno.

Bilješka. Mrežni programeri početnici često se pitaju kako je moguće obraditi više od jednog zahtjeva odjednom i misle da je za to potrebno više poslužitelja. Međutim, to nije istina. Ovim bi pristupom klijentske aplikacije brzo iscrpile dostupne priključke. U praksi poslužiteljske aplikacije obrađuju mnogo zahtjeva kroz jedan port. Ovaj proces je nevidljiv za aplikacije jer TCP podsustav ugrađen u Windows automatski identificira poruke i usmjerava ih na odgovarajuće objekte u kodu aplikacije. Svaka se veza jedinstveno identificira na temelju četiri parametra: IP adresa klijenta, broj porta klijenta, IP adresa poslužitelja i broj porta poslužitelja.

Na svaki zahtjev pokreće se metoda povratnog poziva OnAcceptTcpClient(). Ponovno poziva O-ovu metodu BeginAcceptTcpClient da počne čekati na sljedeći zahtjev na drugoj niti, a zatim započinje obradu trenutnog zahtjeva.

public void OnAcceptTcpClient(IAsyncResult ag) (

if (isStopped) povratak;

Console.WriteLine("Zahtjev za pravila primljen."); // Čeka se sljedeća veza.

slušatelj.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Obrada trenutne veze.

TcpClient klijent = slušač.EndAcceptTcpClient(ag); PolicyConnection policyConnection = nova PolicyConnection(klijent, politika); policyConnection.HandleRequest() ;

catch (Exception err) (

Svaki put kad se primi nova veza, kreira se novi objekt PolicyConnection za rukovanje njome. Dodatno, objekt PolicyConnection održava datoteku pravila.

Posljednja komponenta klase PolicyServer je Stop() metoda, koja zaustavlja čekanje zahtjeva. Aplikacija ga poziva kada izađe.

privatni bool isStopped;

public void StopO (

isStopped = istina;

slušatelj. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Za pokretanje poslužitelja pravila, sljedeći kod se koristi u Main() metodi poslužitelja aplikacija.

static void Main(string args) (

PolicyServer policyServer = novi PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Poslužitelj pravila radi."); Console.WriteLine("Pritisnite Enter za izlaz.");

// Pričekajte da se pritisne tipka; koristeći // Console.ReadKey() metodu, možete postaviti očekivanje za određeni // red (na primjer, quit) ili pritiskom na bilo koju tipku Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Završi poslužitelj pravila.");

Klasa PolicyConnection

Klasa PolicyConnection radi jednostavniji posao. Objekt PolicyConnection pohranjuje referencu na podatke datoteke pravila. Zatim, nakon pozivanja metode HandleRequest(), objekt PolicyConnection dohvaća novu vezu iz mrežnog toka i pokušava je pročitati. Klijentski uređaj mora proslijediti niz koji sadrži tekst Nakon čitanja ovog teksta, klijentski uređaj upisuje podatke o politici u tok i zatvara vezu. Ispod je kod za klasu PolicyConnection.

javna klasa PolicyConnection(

privatni TcpClient klijent; politika privatnih bajtova;

javna PolicyConnection(TcpClient klijent, pravilo bajtova) (

this.client = klijent; this.policy = politika;

// Kreirajte privatni statički niz zahtjeva klijenta policyRequestString = "

javni void HandleRequest() (

Stream s = client.GetStream(); // Čitanje niza upita pravila

međuspremnik bajtova = novi bajt;

// Pričekajte samo 5 sekundi client.ReceiveTimeout = 5000;’

s.Read(buffer, 0, buffer.Length);

// Prosljeđivanje pravila (također možete provjeriti ima li pravilo // zahtjev potreban sadržaj) s.Write(policy, 0, policy.Length);

//Zatvaranje klijenta veze.Close();

Console.WriteLine("Poslužena datoteka pravila.");

Dakle, imamo potpuno funkcionalan poslužitelj pravila. Nažalost, još se ne može testirati jer dodatak Silverlight ne dopušta izričito zahtijevanje datoteka pravila. Umjesto toga, automatski ih zahtijeva kada pokušate koristiti socket aplikaciju. Prije nego što možete kreirati klijentsku aplikaciju za određenu socket aplikaciju, morate kreirati poslužitelj.

U prethodnim člancima u ovoj seriji naučili ste kako učinkovito koristiti funkcionalnost lokalnih sigurnosnih politika, što vam omogućuje maksimalnu zaštitu infrastrukture vaše organizacije od napada vanjskih zlonamjernika, kao i od većine radnji nekompetentnih zaposlenika. Već znate kako učinkovito postaviti pravila računa koja vam omogućuju upravljanje složenošću korisničkih lozinki, postaviti pravila revizije za naknadnu analizu autentifikacije vaših korisnika u sigurnosnom dnevniku. Osim toga, naučili ste kako dodijeliti prava svojim korisnicima kako biste izbjegli nanošenje štete vašem sustavu, pa čak i računalima na vašem intranetu, a također znate kako učinkovito konfigurirati zapisnike događaja, ograničene grupe, sistemske usluge, registar i datotečni sustav . U ovom ćemo članku nastaviti s istraživanjem lokalnih sigurnosnih pravila, a vi ćete saznati više o ožičenim sigurnosnim postavkama za svoju tvrtku.

Microsoftovi poslužiteljski operacijski sustavi, počevši od Windows Servera 2008, uveli su komponentu pravila o žičnoj mreži (IEEE 802.3) koja pruža automatsku konfiguraciju za postavljanje IEEE 802.1X autentificiranih usluga ožičenog pristupa na 802.3 Ethernet mrežne klijente. Za implementaciju sigurnosnih postavki za žičane mreže pomoću pravila grupe, operativni sustavi koriste Wired AutoConfig uslugu (DOT3SVC). Trenutačna usluga odgovorna je za IEEE 802.1X autentifikaciju prilikom povezivanja na Ethernet mreže pomoću 802.1X-kompatibilnih sklopki, a također upravlja profilom koji se koristi za konfiguraciju mrežnog klijenta za autentificirani pristup. Također je vrijedno napomenuti da ako koristite ova pravila, preporučljivo je zabraniti korisnicima vaše domene promjenu načina pokretanja ove usluge.

Konfiguriranje pravila žične mreže

Postavke pravila žične mreže možete postaviti izravno iz dodatka. Da biste konfigurirali te postavke, slijedite ove korake:

1. Otvorite snap-in i odaberite čvor u stablu konzole, kliknite ga desnom tipkom miša i odaberite naredbu iz kontekstnog izbornika "Stvorite novu politiku žične mreže za Windows Vista i novije", kao što je prikazano na sljedećoj slici:

   Riža. 1. Stvorite politiku žične mreže

2. U dijaloškom okviru koji se otvori "Nova pravila za svojstva žičane mreže", na kartici "General", možete postaviti Wired Network AutoConfig uslugu koja će se koristiti za konfiguriranje LAN adaptera za povezivanje na žičanu mrežu. Uz postavke pravila koje se primjenjuju na Windows Vista i novije operativne sustave, postoje neke opcije koje će se primijeniti samo na Windows 7 i Windows Server 2008 R2 operativne sustave. Na ovoj kartici možete učiniti sljedeće:
   • Naziv pravila. U ovom tekstualnom polju možete navesti naziv za svoju žičanu mrežnu politiku. Možete vidjeti naziv pravila u oknu s detaljima čvora "Pravila žičane mreže (IEEE 802.3)" namještanje "Uređivač upravljanja pravilima grupe";
   • Opis. Ovo tekstualno polje namijenjeno je za popunjavanje detaljnog opisa svrhe pravila žične mreže;
   • Koristite uslugu Windows Wired Network AutoConfig za klijente. Ova opcija obavlja stvarno postavljanje i povezuje klijente na žičanu 802.3 mrežu. Ako onemogućite ovu opciju, operativni sustav Windows neće nadzirati žičanu mrežnu vezu i postavke pravila neće stupiti na snagu;
   • Spriječite korištenje generičkih korisničkih vjerodajnica za mrežnu provjeru autentičnosti. Ova postavka određuje treba li korisniku biti spriječeno pohranjivanje općih korisničkih vjerodajnica za mrežnu provjeru autentičnosti. Lokalno, ovaj parametar možete promijeniti pomoću naredbe netsh lan set allowexplicitcreds;
   • Omogući razdoblje zaključavanja. Ova postavka određuje hoće li se računalo spriječiti da se automatski poveže na žičanu mrežu broj minuta koji navedete. Zadano je 20 minuta. Razdoblje blokade je podesivo od 1 do 60 minuta.

"General" Pravila žičane mreže:

Riža. 2. Kartica Općenito dijaloškog okvira postavki pravila žične mreže

3. Na kartici "sigurnost" Pruža opcije konfiguracije za metodu provjere autentičnosti i način žičane veze. Možete konfigurirati sljedeće sigurnosne postavke:
   • Omogućite IEEE 802.1X provjeru autentičnosti za pristup mreži. Ova se opcija koristi izravno za omogućavanje ili onemogućavanje provjere autentičnosti pristupa mreži 802.1X. Prema zadanim postavkama ova je opcija omogućena;
   • Odaberite metodu mrežne provjere autentičnosti. Pomoću ovog padajućeg popisa možete odrediti jednu od metoda provjere autentičnosti mrežnog klijenta koja će se primijeniti na vašu politiku ožičene mreže. Za odabir su dostupne sljedeće dvije opcije:
     • Microsoft: zaštićeni EAP (PEAP). Za ovu metodu provjere autentičnosti, prozor "Svojstva" sadrži konfiguracijske parametre za metodu provjere autentičnosti koja se koristi;
     • Microsoft: pametne kartice ili drugi certifikat. Za ovu metodu provjere autentičnosti, u prozoru "Svojstva" Pruža opcije konfiguracije koje vam omogućuju da odredite pametnu karticu ili certifikat na koji se želite povezati, kao i popis pouzdanih korijenskih certifikacijskih tijela.

   Zadana metoda je Microsoft: zaštićeni EAP (PEAP);

4. Način provjere autentičnosti. Ovaj padajući popis koristi se za izvođenje mrežne provjere autentičnosti. Za odabir su dostupne sljedeće četiri opcije:
   • Autentikacija korisnika ili računala. Ako je ova opcija odabrana, sigurnosne vjerodajnice koristit će se na temelju trenutnog stanja računala. Čak i ako niti jedan korisnik nije prijavljen, autentifikacija će se izvršiti pomoću vjerodajnica računala. Kada se korisnik prijavi, koristit će se vjerodajnice prijavljenog korisnika. Microsoft preporučuje korištenje ove postavke načina provjere autentičnosti u većini slučajeva.
   • Samo PC. U tom se slučaju provjera autentičnosti provodi samo prema vjerodajnicama računala;
   • Autentifikacija korisnika. Odabirom ove opcije nameće se provjera autentičnosti korisnika samo pri povezivanju s novim 802.1X uređajem. U svim ostalim slučajevima autentifikacija se provodi samo na računalu;
   • Autentifikacija gosta. Ova vam opcija omogućuje povezivanje s mrežom pomoću računa gosta.
5. Maksimalan broj pogrešaka provjere autentičnosti. Ova vam postavka omogućuje određivanje maksimalnog broja neuspješnih provjera autentičnosti. Zadana vrijednost je 1;
6. Predmemorija korisničkih podataka za sljedeće veze s ovom mrežom. Kada je ova opcija omogućena, vjerodajnice korisnika neće biti pohranjene u registru sustava; vjerodajnice se neće tražiti kada se korisnik odjavi i nakon naknadne prijave.

Sljedeća ilustracija prikazuje karticu "sigurnost" ovog dijaloškog okvira:

Riža. 3. Kartica Sigurnost dijaloškog okvira postavki pravila žične mreže

Svojstva načina provjere autentičnosti

Kao što je spomenuto u prethodnom odjeljku, za obje metode provjere autentičnosti postoje dodatne postavke koje se pozivaju klikom na gumb "Svojstva". U ovom odjeljku ćemo pogledati sve moguće postavke za metode provjere autentičnosti.

Microsoft: Postavke metode provjere autentičnosti zaštićenog EAP-a (PEAP).

EAP (Extensible Authentication Protocol) je proširiva infrastruktura za provjeru autentičnosti koja definira format slanja. Za konfiguraciju ove metode provjere autentičnosti dostupne su sljedeće opcije:

Dijaloški okvir Secure EAP Properties prikazan je na sljedećoj ilustraciji:

Riža. 5. Dijaloški okvir Svojstva sigurnog EAP-a

Postavke metode provjere autentičnosti "Pametna kartica ili drugi certifikat - EAP-TLS postavke"

Za konfiguraciju ove metode provjere autentičnosti dostupne su sljedeće opcije:

• Prilikom povezivanja koristi moju pametnu karticu. Ako odaberete ovu opciju, klijenti koji postavljaju zahtjeve za autentifikaciju će prikazati certifikat pametne kartice za mrežnu autentifikaciju;
• Prilikom povezivanja koristite certifikat na ovom računalu. Kada odaberete ovu opciju, certifikat koji se nalazi u trenutnom korisničkom ili lokalnom računalu računala koristit će se prilikom provjere veza klijenta;
• Koristite jednostavan odabir certifikata. Ova opcija omogućuje operacijskom sustavu Windows filtriranje certifikata koji ne ispunjavaju zahtjeve za provjeru autentičnosti;
• Provjerite certifikat poslužitelja. Ova vam opcija omogućuje provjeru certifikata poslužitelja koji se daje klijentskim računalima za važeći potpis koji nije istekao, kao i prisutnost pouzdanog glavnog certifikacijskog tijela koje je izdalo certifikat ovom poslužitelju
• Povežite se s poslužiteljima. Ova je opcija identična opciji istog naziva opisanoj u prethodnom odjeljku;
• Pouzdana certifikacijska tijela. Baš kao u dijaloškom okviru svojstava sigurnog EAP-a, na ovom popisu možete pronaći sva pouzdana korijenska tijela za certificiranje koja su instalirana u spremištima certifikata korisnika i računala;
• Ne tražite od korisnika da autorizira nove poslužitelje ili ovlaštena tijela za izdavanje certifikata. Označavanjem ove opcije, ako postoji certifikat poslužitelja koji nije ispravno konfiguriran ili je naveden za korisnika, neće se prikazati dijaloški okvir koji od vas traži da autorizirate taj certifikat. Prema zadanim postavkama ova opcija je onemogućena;
• Koristite drugo korisničko ime za povezivanje. Ova postavka određuje hoće li se za provjeru autentičnosti koristiti korisničko ime koje nije korisničko ime u certifikatu. Ako omogućite opciju Koristi drugo korisničko ime, morate odabrati barem jedan certifikat s popisa pouzdanih certifikacijskih tijela.

Dijaloški okvir za postavljanje pametnih kartica ili drugih certifikata prikazan je na sljedećoj slici:

Riža. 6. Dijaloški okvir postavki pametnih kartica ili drugih certifikata

Ako niste sigurni koji certifikat odaberete, kliknite na gumb "Pogledaj certifikat" moći će vidjeti sve detalje odabranog certifikata kao što je prikazano u nastavku:

Riža. 7. Pregledajte certifikat s popisa pouzdanih korijenskih certifikacijskih tijela

Napredne sigurnosne postavke pravila žičane mreže

Vjerojatno ste to primijetili na kartici "sigurnost" Dijaloški okvir Wired Network Policy Settings sadrži dodatne sigurnosne postavke dizajnirane za promjenu ponašanja mrežnih klijenata koji zahtijevaju 802.1X autentificirani pristup. Dodatne postavke pravila žične mreže mogu se podijeliti u dvije skupine - postavke IEEE 802.1X i postavke jedinstvene prijave. Pogledajmo svaku od ovih grupa:

U grupi postavki IEEE 802.1X možete odrediti karakteristike zahtjeva žične mreže s 802.1X provjerom autentičnosti. Sljedeći parametri dostupni su za promjenu:

• Primijenite napredne postavke 802.1X. Ova vam opcija omogućuje aktiviranje sljedeće četiri postavke;
• Maks. EAPOL poruke. EAPOL je EAP protokol, koji se koristi prije nego što se računalo ima vremena autentificirati, a tek nakon uspješne “prijave” sav ostali promet može proći kroz switch port na koji je ovo računalo spojeno. Ovaj parametar kontrolira najveći broj EAPOL-Start poruka koje se šalju;
• Razdoblje odgode (sek). Ova postavka kontrolira odgodu u sekundama prije sljedećeg 802.1X zahtjeva za provjeru autentičnosti nakon primanja obavijesti o neuspješnoj provjeri autentičnosti;
• Početak razdoblja. Ovaj parametar kontrolira vrijeme čekanja prije ponovnog slanja uzastopnih EAPOL-Start poruka;
• Razdoblje provjere (sek.). Ovaj parametar specificira broj sekundi između ponovnog slanja uzastopnih početnih EAPOL poruka nakon što je pokrenuta inspekcija pristupa 802.1X s kraja na kraj;
• EAPOL-Start poruka. S ovim parametrom možete odrediti sljedeće karakteristike za prijenos početnih EAPOL poruka:
  • Ne prenositi. Kada je ova opcija odabrana, EAPOL poruke se neće prenositi;
  • Prebačeno. Ako odaberete ovu opciju, klijent će morati ručno poslati početne EAPOL poruke;
  • Prijenos IEEE 802.1X. Kada je ova opcija odabrana (zadano), EAPOL poruke će se automatski slati, čekajući da se pokrene 802.1X provjera autentičnosti.

Kada koristite jedinstvenu prijavu, autentifikacija se mora izvršiti na temelju konfiguracije mrežne sigurnosti kada se korisnik prijavljuje u operativni sustav. Sljedeće su opcije dostupne za potpunu prilagodbu profila s jednom prijavom:

• Omogućite jedinstvenu prijavu za mrežu. Kada je ova opcija omogućena, aktiviraju se postavke jedinstvene prijave;
• Omogućite neposredno prije prijave korisnika. Ako označite ovu opciju, 802.1X provjera autentičnosti bit će izvršena prije nego što korisnik završi prijavu;
• Omogućite odmah nakon prijave korisnika. Ako označite ovu opciju, 802.1X autentifikacija će se izvršiti nakon što korisnik dovrši prijavu;
• Maks. kašnjenje veze. Ova postavka određuje maksimalno vrijeme u kojem autentifikacija mora biti dovršena i stoga koliko dugo korisnik mora čekati prije nego što se pojavi prozor za prijavu korisnika;
• Omogućuje prikaz dodatnih dijaloških okvira tijekom jedinstvene prijave. Ova je opcija odgovorna za prikaz dijaloškog okvira za prijavu korisnika;
• Ova mreža koristi različite VLAN-ove za autentifikaciju računala i korisničkih vjerodajnica. Kada navedete ovu postavku, pri pokretanju će sva računala biti smještena u jednu virtualnu mrežu, a nakon što se korisnik uspješno prijavi, ovisno o dopuštenjima, bit će prebačena u različite virtualne mreže. Ovu opciju ima smisla aktivirati samo ako vaša tvrtka koristi nekoliko VLAN-ova.

Dijaloški okvir Napredne sigurnosne postavke pravila žične mreže prikazan je na sljedećoj ilustraciji:

Riža. 8. Dijaloški okvir Napredne sigurnosne postavke pravila žičane mreže

Zaključak

Ovaj članak vas je upoznao sa svim postavkama pravila žične mreže IEE 802.1X. Naučili ste kako izraditi takvu politiku, a također ste naučili o EAP metodama provjere autentičnosti i provjeri pomoću pametnih kartica ili drugih certifikata. U sljedećem članku naučit ćete o lokalnim sigurnosnim pravilima Network List Manager.

Pravila u sustavu Exchange Server 2003 dizajnirana su za povećanje administrativne fleksibilnosti uz istovremeno smanjenje opterećenja administratora. Politika je skup konfiguracijskih postavki koje se primjenjuju na jedan ili više objekata iste klase u sustavu Exchange. Na primjer, možete stvoriti pravilo koje utječe na određene postavke na nekim ili svim Exchange poslužiteljima. Ako trebate promijeniti ove postavke, možete jednostavno izmijeniti ovo pravilo i ono će se primijeniti na odgovarajuću organizaciju poslužitelja.

Postoje dvije vrste pravila: pravilo sustava i pravilo primatelja. Pravila primatelja primjenjuju se na objekte kojima je dostupna pošta i određuju kako se generiraju adrese e-pošte. Pravila primatelja razmatraju se u odjeljku "Stvaranje i upravljanje primateljima". Pravila sustava primjenjuju se na poslužitelje, spremnike poštanskih sandučića i javne mape. Ova se pravila pojavljuju u spremniku Pravila unutar grupe odgovorne za uprave ovu politiku (Slika 12.10).

Riža. 12.10. Objekt politike sustava

Bilješka. Kada instalirate Exchange Server 2003, ne stvara se zadani spremnik za pravila sustava. Mora se izraditi prije kreiranja pravila sustava. Desnom tipkom miša kliknite administrativnu grupu u kojoj želite stvoriti mapu pravila, pokažite na Novo i odaberite Spremnik pravila sustava.

Izrada politike sustava

Da biste kreirali pravilo sustava, trebate otići do odgovarajućeg spremnika Pravila sustava, desnom tipkom miša kliknuti spremnik, a zatim odabrati vrstu pravila za kreiranje: pravilo poslužitelja, pravilo pohrane poštanskih sandučića ili pravilo pohrane javne mape.

Kada radite s pravilima sustava, svakako kreirajte objekt politike u grupi koja je odgovorna za administriranje politike. U protivnom može doći do pogrešaka u odabiru ljudi koji provode administrativnu kontrolu nad kritičnim politikama. Pogledajmo kako se kreira svaka od tri vrste pravila, počevši od pravila poslužitelja.

Stvorite politiku poslužitelja

Politika poslužitelja definira postavke za praćenje poruka i održavanje datoteke dnevnika. Ne odnosi se na sigurnosne postavke ili druge postavke poslužitelja u ovoj administrativnoj grupi. Za izradu pravila poslužitelja desnom tipkom miša kliknite spremnik Pravila sustava, pokažite na Novo, a zatim odaberite Pravila poslužitelja. Pojavljuje se dijaloški okvir New Policy, prikazan na slici 1.

Nakon toga trebate unijeti naziv pravila u prozoru kartice Općenito na stranici svojstava za ovo pravilo. Kao što je prikazano na slici 12.12, zapravo postoje dvije kartice General. Prva kartica služi za unos naziva pravila. Odaberite naziv za opisivanje zadaće koju pravilo treba izvršiti, kao što je Pravilo praćenja poruka ili Omogući pravilo zapisivanja subjekta. Odgovarajući naziv odabran u ovoj fazi uštedjet će vrijeme jer nećete morati otvarati stranicu svojstava pravila da biste utvrdili njegovu svrhu.

Kartica Općenito (Politika), prikazana na sl.

12.13 sadrži stvarne postavke pravila koje se primjenjuju na Exchange poslužitelje organizacije. Kartica se zove Općenito (Politika) jer potencijalno konfigurira karticu Općenito stranica svojstava za sve postojeće poslužitelje. (Pogledat ćemo kako primijeniti ovo pravilo na sve poslužitelje u vašoj organizaciji kasnije u ovom predavanju.) Ako usporedite ovu karticu s karticom Općenito na stranici svojstava poslužitelja, vidjet ćete da su kartice iste, osim za identifikacijske podatke na vrhu kartice.

Riža. 12.13.

Funkcionalnost u operacijskom sustavu Windows Server izračunava se i poboljšava iz verzije u verziju, ima sve više uloga i komponenti, pa ću u današnjem materijalu pokušati ukratko opisati opis i svrha svake uloge u sustavu Windows Server 2016.

Prije nego što prijeđemo na opisivanje uloga poslužitelja Windows Servera, saznajmo što " Uloga poslužitelja» u operacijskom sustavu Windows Server.

Što je "uloga poslužitelja" u sustavu Windows Server?

Uloga poslužitelja je programski paket koji osigurava da poslužitelj obavlja određenu funkciju, a ta funkcija je glavna. Drugim riječima, " Uloga poslužitelja" je svrha poslužitelja, tj. čemu služi Kako bi poslužitelj mogao obavljati svoju glavnu funkciju, tj. određena uloga u " Uloga poslužitelja» sav potreban softver za ovo je uključen ( programi, usluge).

Poslužitelj može imati jednu ulogu ako se aktivno koristi ili više ako svaka od njih ne opterećuje jako poslužitelj i rijetko se koristi.

Uloga poslužitelja može uključivati ​​više usluga uloga koje pružaju funkcionalnost uloge. Na primjer, u ulozi poslužitelja " Web poslužitelj (IIS)"uključen je prilično velik broj usluga, a uloga " DNS poslužitelj» usluge uloga nisu uključene jer ova uloga obavlja samo jednu funkciju.

Usluge uloga mogu se instalirati zajedno ili pojedinačno, ovisno o vašim potrebama. U svojoj biti, instaliranje uloge znači instaliranje jedne ili više njezinih usluga.

U sustavu Windows Server također postoje " Komponente» poslužitelji.

Komponente poslužitelja (značajka)- Riječ je o programskim alatima koji nisu poslužiteljska uloga, već proširuju mogućnosti jedne ili više uloga, odnosno upravljaju jednom ili više uloga.

Neke se uloge ne mogu instalirati ako potrebne usluge ili komponente koje su potrebne za funkcioniranje ovih uloga nisu instalirane na poslužitelju. Stoga, u vrijeme instaliranja takvih uloga " Čarobnjak za dodavanje uloga i značajki", automatski će vas zatražiti da instalirate potrebne dodatne usluge ili komponente uloga.

Opis uloga poslužitelja Windows Server 2016

Vjerojatno ste već upoznati s mnogim ulogama koje se nalaze u sustavu Windows Server 2016, budući da postoje već dosta dugo, ali kao što sam rekao, sa svakom novom verzijom Windows Servera dodaju se nove uloge koje možda niste radili s još, ali htjeli bismo znati čemu služe, pa počnimo s njima.

Bilješka! O novim značajkama operativnog sustava Windows Server 2016 možete pročitati u materijalu “Instalacija Windows Servera 2016 i pregled novih značajki”.

Budući da se vrlo često instalacija i administracija uloga, usluga i komponenti odvija pomoću Windows PowerShell, za svaku ulogu i njenu uslugu navest ću naziv koji se može koristiti u PowerShell, odnosno, za instalaciju ili upravljanje njome.

DHCP poslužitelj

Ova vam uloga omogućuje središnju konfiguraciju dinamičkih IP adresa i povezanih postavki za računala i uređaje na vašoj mreži. Uloga DHCP poslužitelja nema usluge uloga.

Naziv za Windows PowerShell je DHCP.

DNS poslužitelj

Ova je uloga namijenjena za razlučivanje imena na TCP/IP mrežama. Uloga DNS poslužitelja pruža i održava DNS. Kako bi se olakšalo upravljanje DNS poslužiteljem, obično se instalira na isti poslužitelj kao i Active Directory Domain Services. Uloga DNS poslužitelja nema usluge uloga.

Naziv uloge za PowerShell je DNS.

Hyper-V

Koristeći Hyper-V ulogu, možete stvoriti i upravljati virtualiziranim okruženjem. Drugim riječima, to je alat za kreiranje i upravljanje virtualnim strojevima.

Naziv uloge za Windows PowerShell je Hyper-V.

Certifikacija performansi uređaja

uloga " » omogućuje procjenu ispravnosti uređaja na temelju izmjerenih sigurnosnih parametara, kao što je status sigurnog pokretanja i Bitlocker na klijentu.

Da bi ova uloga funkcionirala, potrebno je dosta usluga i komponenti uloga, na primjer: nekoliko usluga iz uloge " Web poslužitelj (IIS)", komponenta" ", komponenta" Značajke .NET Framework 4.6».

Tijekom instalacije automatski će se odabrati sve potrebne usluge uloga i komponente. uloga" Certifikacija performansi uređaja»nema vlastitih usluga.

Naziv za PowerShell je DeviceHealthAttestationService.

Web poslužitelj (IIS)

Pruža pouzdanu, upravljivu i skalabilnu infrastrukturu web aplikacija. Sastoji se od prilično velikog broja usluga (43).

Naziv za Windows PowerShell je Web-poslužitelj.

Uključuje sljedeće usluge uloga ( u zagradama ću navesti naziv za Windows PowerShell):

Web poslužitelj (Web-WebServer)– Grupa usluga uloga koja pruža podršku za HTML web stranice, ASP.NET proširenja, ASP i web poslužitelj. Sastoji se od sljedećih usluga:

• Sigurnost (web sigurnost)- skup usluga za osiguranje sigurnosti web poslužitelja.
  • Filtriranje zahtjeva (Web-Filtering) – pomoću ovih alata možete obraditi sve zahtjeve koji stignu na poslužitelj i filtrirati te zahtjeve na temelju posebnih pravila koje postavlja administrator web poslužitelja;
  • Ograničenja IP adrese i domene (Web-IP-Security) - ovi alati vam omogućuju da dopustite ili zabranite pristup sadržaju na web poslužitelju na temelju IP adrese ili naziva domene izvora u zahtjevu;
  • Autorizacija URL-a (Web-Url-Auth) - Alati vam omogućuju da razvijete pravila za ograničavanje pristupa web sadržaju i njihovo povezivanje s korisnicima, grupama ili naredbama HTTP zaglavlja;
  • Provjera autentičnosti (Web-Digest-Auth) – Ova provjera autentičnosti pruža višu razinu sigurnosti od osnovne provjere autentičnosti. Sažeta provjera radi prosljeđivanjem hash lozinke Windows kontroleru domene za autentifikaciju korisnika;
  • Osnovna provjera autentičnosti (Web-Basic-Auth) - Ova metoda provjere autentičnosti pruža snažnu kompatibilnost web preglednika. Preporuča se za korištenje u malim internim mrežama. Glavni nedostatak ove metode je da se lozinke koje se prenose preko mreže mogu prilično lako presresti i dešifrirati, stoga koristite ovu metodu u kombinaciji sa SSL-om;
  • Windows autentifikacija (Web-Windows-Auth) – Ovo je autentifikacija temeljena na autentifikaciji Windows domene. Drugim riječima, možete koristiti Active Directory račune za provjeru autentičnosti korisnika vaših web stranica;
  • Provjera autentičnosti s podudaranjem potvrde klijenta (Web-Client-Auth) – Ova metoda provjere autentičnosti uključuje korištenje potvrde klijenta. Ova vrsta koristi Active Directory za pružanje mapiranja certifikata;
  • Autentifikacija mapiranja certifikata klijenta IIS-a (Web-Cert-Auth) – Ova metoda također koristi certifikate klijenta za autentifikaciju, ali koristi IIS za pružanje mapiranja certifikata. Ova vrsta pruža veću izvedbu;
  • Centralizirana podrška za SSL certifikate (Web-CertProvider) – ovi alati vam omogućuju centralizirano upravljanje certifikatima SSL poslužitelja, što uvelike pojednostavljuje proces upravljanja tim certifikatima;
• Zdravlje i dijagnostika (Web-Health)– skup usluga za pružanje kontrole, upravljanja i rješavanja problema web poslužitelja, stranica i aplikacija:
  • http bilježenje (Web-Http-Logging) - alati omogućuju bilježenje aktivnosti web stranice na određenom poslužitelju, tj. unos u dnevnik;
  • ODBC bilježenje (Web-ODBC-Logging) – Ovi alati također omogućuju bilježenje aktivnosti web stranice, ali podržavaju bilježenje te aktivnosti u bazu podataka usklađenu s ODBC-om;
  • Request Monitor (Web-Request-Monitor) je alat koji vam omogućuje praćenje ispravnosti web aplikacije presretanjem informacija o HTTP zahtjevima u IIS radnom procesu;
  • Web-Custom-Logging—Ovi alati vam omogućuju da konfigurirate aktivnosti web poslužitelja tako da se bilježe u formatu koji se značajno razlikuje od standardnog IIS formata. Drugim riječima, možete kreirati vlastiti modul za bilježenje;
  • Alati za bilježenje (Web-Log-Libraries) alati su za upravljanje zapisima web poslužitelja i automatiziranje zadataka bilježenja;
  • Praćenje (Web-Http-Tracing) je alat za dijagnosticiranje i otklanjanje problema u radu web aplikacija.
• Uobičajene http funkcije (Web-Common-Http)– skup usluga koje pružaju osnovnu HTTP funkcionalnost:
  • Zadani dokument (Web-Default-Doc) - Ova značajka vam omogućuje da konfigurirate web poslužitelj da vrati zadani dokument kada korisnici ne navedu određeni dokument u URL-u zahtjeva, olakšavajući korisnicima pristup web stranici, na primjer, domena, bez navođenja datoteke;
  • Pregledavanje direktorija (Web-Dir-Browsing) - Ovaj se alat može koristiti za konfiguriranje web poslužitelja tako da korisnici mogu vidjeti popis svih direktorija i datoteka na web mjestu. Na primjer, za slučajeve kada korisnici ne navedu datoteku u URL-u zahtjeva, a dokumenti su ili onemogućeni ili nisu konfigurirani prema zadanim postavkama;
  • http pogreške (Web-Http-Errors) – ova značajka vam omogućuje da konfigurirate poruke o pogrešci koje će biti vraćene web preglednicima korisnika kada web poslužitelj otkrije pogrešku. Ova se značajka koristi za bolje predstavljanje poruka o pogreškama korisnicima;
  • Statički sadržaj (Web-Static-Content) - ovaj alat omogućuje korištenje sadržaja u obliku statičnih formata datoteka, na primjer, HTML datoteka ili slikovnih datoteka, na web poslužitelju;
  • http preusmjeravanje (Web-Http-Redirect) – pomoću ove značajke možete preusmjeriti zahtjev korisnika na određeno odredište, tj. ovo je Preusmjeravanje;
  • WebDAV objavljivanje (Web-DAV-Publishing) – omogućuje korištenje WebDAV tehnologije na IIS WEB poslužitelju. WebDAV ( Web distribuirano autorstvo i verzija) je tehnologija koja korisnicima omogućuje zajednički rad ( čitanje, uređivanje, čitanje svojstava, kopiranje, premještanje) preko datoteka na udaljenim web poslužiteljima koristeći HTTP protokol.
• Izvedba (web-izvedba)– skup usluga za postizanje većih performansi web poslužitelja putem predmemoriranja izlaza i uobičajenih mehanizama kompresije kao što su Gzip i Deflate:
  • Web-Stat-Compression je alat za prilagodbu kompresije http statičnog sadržaja, omogućavajući učinkovitiju upotrebu propusnosti bez uzaludnog korištenja CPU-a;
  • Dinamičko sažimanje sadržaja (Web-Dyn-Compression) alat je za konfiguriranje HTTP dinamičkog sažimanja sadržaja. Ova značajka omogućuje učinkovitiju upotrebu širine pojasa, ali opterećenje CPU-a na poslužitelju povezano s dinamičkom kompresijom može uzrokovati usporavanje stranice ako je opterećenje CPU-a veliko bez kompresije.
• Razvoj aplikacija (Web-App-Dev)– skup usluga i alata za razvoj i hosting web aplikacija, drugim riječima tehnologija za razvoj web stranica:
  • ASP (Web-ASP) je okruženje za podršku i razvoj web stranica i web aplikacija pomoću ASP tehnologije. Trenutno postoji novija i naprednija tehnologija za razvoj web stranica - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste ASP.NET tehnologiju;
  • ASP.NET 4.6 (Web-Asp-Net45) također je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste novu verziju ASP.NET-a;
  • CGI (Web-CGI) je mogućnost korištenja CGI-ja za prijenos informacija s web poslužitelja na vanjski program. CGI je određeni standard sučelja za povezivanje vanjskog programa s web poslužiteljem. Loša strana je da korištenje CGI-ja utječe na performanse;
  • Uključivanja na strani poslužitelja (SSI) (Web-Includes) su podrška za SSI skriptni jezik ( omogućivači na strani poslužitelja), koji se koristi za dinamičko generiranje HTML stranica;
  • Inicijalizacija aplikacije (Web-AppInit) – ovaj alat obavlja zadatak inicijalizacije web aplikacije prije prosljeđivanja web stranice;
  • WebSocket protokol (Web-WebSockets) - dodavanje mogućnosti stvaranja poslužiteljskih aplikacija koje komuniciraju pomoću WebSocket protokola. WebSocket je protokol koji može slati i primati podatke istovremeno između preglednika i web poslužitelja putem TCP veze, svojevrsnog proširenja HTTP protokola;
  • ISAPI Extensions (Web-ISAPI-Ext) – podrška za dinamički razvoj web sadržaja pomoću ISAPI sučelja za programiranje aplikacija. ISAPI je API za IIS web poslužitelj. ISAPI aplikacije puno su brže od ASP datoteka ili datoteka koje pozivaju COM+ komponente;
  • .NET 3.5 Extensibility (Web-Net-Ext) je značajka proširivosti .NET 3.5 koja vam omogućuje promjenu, dodavanje i proširenje funkcionalnosti web poslužitelja kroz cjevovod za obradu zahtjeva, konfiguraciju i korisničko sučelje;
  • .NET 4.6 Extensibility (Web-Net-Ext45) je značajka proširivosti .NET 4.6 koja također omogućuje promjenu, dodavanje i proširenje funkcionalnosti web poslužitelja kroz cjevovod za obradu zahtjeva, konfiguraciju i korisničko sučelje;
  • ISAPI filteri (Web-ISAPI-Filter) – dodavanje podrške za ISAPI filtere. ISAPI filtri su programi koji se pozivaju kada web poslužitelj primi određeni HTTP zahtjev koji filtar treba obraditi.

FTP poslužitelj (Web-Ftp-poslužitelj)– usluge koje pružaju podršku za FTP protokol. O FTP poslužitelju detaljnije smo govorili u materijalu - "Instaliranje i konfiguriranje FTP poslužitelja na Windows Server 2016". Sadrži sljedeće usluge:

• FTP usluga (Web-Ftp-Service) – dodaje podršku za FTP protokol na web poslužitelju;
• FTP Extensibility (Web-Ftp-Ext) – Proširuje standardne FTP mogućnosti, kao što je dodavanje podrške za značajke kao što su prilagođeni pružatelji usluga, korisnici ASP.NET-a ili korisnici IIS Managera.

Alati za upravljanje (Web-Mgmt-Tools)- Ovo su alati za upravljanje IIS 10 web poslužiteljem. Ovo uključuje: IIS korisničko sučelje, alate naredbenog retka i skripte.

• IIS Management Console (Web-Mgmt-Console) je korisničko sučelje za upravljanje IIS-om;
• IIS skupovi znakova i alati (Web-Scripting-Tools) su alati i skripte za upravljanje IIS-om pomoću naredbenog retka ili skripti. Mogu se koristiti, na primjer, za automatizaciju upravljanja;
• Usluga upravljanja (Web-Mgmt-Service) – ova usluga dodaje mogućnost daljinskog upravljanja web poslužiteljem s drugog računala pomoću IIS upravitelja;
• Upravljanje kompatibilnošću IIS 6 (Web-Mgmt-Compat) - Osigurava kompatibilnost između aplikacija i skripti koje koriste dva IIS API-ja. Postojeće IIS 6 skripte mogu se koristiti za kontrolu IIS 10 web poslužitelja:
  • IIS 6 Compatibility Metabase Metabase (Web-Metabase) je alat za kompatibilnost koji vam omogućuje pokretanje aplikacija i skupova znakova prenesenih iz ranijih verzija IIS-a;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - Ovi alati vam omogućuju korištenje istih IIS 6 skriptnih usluga koje su stvorene za upravljanje IIS 6 u IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – alat za administriranje udaljenih IIS 6.0 poslužitelja;
  • WMI kompatibilni IIS 6 (Web-WMI) su sučelja za skriptiranje Windows Management Instrumentation (WMI) za programsku kontrolu i automatizaciju zadataka IIS 10.0 web poslužitelja pomoću skupa skripti stvorenih u WMI provideru.

Usluge domene Active Directory

uloga " Usluge domene Active Directory» (AD DS) pruža distribuiranu bazu podataka koja pohranjuje i obrađuje informacije o mrežnim resursima. Ova se uloga koristi za organiziranje mrežnih elemenata, kao što su korisnici, računala i drugi uređaji, u hijerarhijsku sigurnu strukturu ljuske. Hijerarhijska struktura uključuje šume, domene unutar šume i organizacijske jedinice (OU) unutar svake domene. Poslužitelj koji pokreće AD DS naziva se kontroler domene.

Naziv uloge za Windows PowerShell je AD-Domain-Services.

Osnove sustava Windows Server

Ova uloga predstavlja računalnu infrastrukturu i pruža prikladne i učinkovite funkcije, na primjer: pohranjivanje podataka klijenta na centralizirano mjesto i zaštita tih podataka izradom sigurnosne kopije poslužitelja i klijentskih računala, daljinski pristup webu, što vam omogućuje pristup podacima s gotovo bilo kojeg uređaja. Ova uloga zahtijeva nekoliko usluga uloga i komponenti za funkcioniranje, na primjer: BranchCache komponente, Windows Server Backup, Group Policy Management, role service " DFS imenski prostori».

Naziv za PowerShell je ServerEssentialsRole.

Mrežni kontroler

Ova je uloga uvedena u sustavu Windows Server 2016 i pruža jedinstvenu točku automatizacije za upravljanje, nadzor i dijagnosticiranje fizičke i virtualne mrežne infrastrukture u podatkovnom centru. Koristeći ovu ulogu, možete konfigurirati IP podmreže, VLAN-ove, fizičke mrežne adaptere Hyper-V hostova, upravljati virtualnim preklopnicima, fizičkim usmjerivačima, postavkama vatrozida i VPN pristupnicima s jedne točke.

Naziv za Windows PowerShell je NetworkController.

Služba čuvara čvora

Ovo je uloga poslužitelja Hosted Guardian Service (HGS) i pruža usluge potvrde i zaštite ključeva koje zaštićenim hostovima omogućuju pokretanje zaštićenih virtualnih strojeva. Da bi ova uloga funkcionirala, potrebno je nekoliko dodatnih uloga i komponenti, na primjer: usluge domene Active Directory, web poslužitelj (IIS), komponenta " Failover Clustering"i drugi.

Naziv za PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

uloga " Active Directory Lightweight Directory Services" (AD LDS) - je lagana verzija AD DS-a koja ima manje funkcionalnosti, ali ne zahtijeva implementaciju domena ili kontrolera domene, te nema ovisnosti i ograničenja domene koje zahtijevaju AD DS usluge. AD LDS radi preko LDAP protokola ( Lagani protokol za pristup direktoriju). Možete implementirati više AD LDS instanci s neovisno upravljanim shemama na jednom poslužitelju.

Naziv za PowerShell je ADLDS.

MultiPoint usluge

Ovo je također nova uloga koja je predstavljena u sustavu Windows Server 2016. MultiPoint Services (MPS) pruža osnovnu funkcionalnost udaljene radne površine koja omogućuje da više korisnika radi istovremeno i neovisno na istom računalu. Da biste instalirali i radili s ovom ulogom, trebate instalirati nekoliko dodatnih usluga i komponenti, na primjer: poslužitelj za ispis, uslugu Windows Search, XPS preglednik i druge, a sve će biti odabrane automatski kada se MPS instalira.

Naziv uloge za PowerShell je MultiPointServerRole.

Usluge ažuriranja sustava Windows Server

Pomoću ove uloge (WSUS) administratori sustava mogu upravljati Microsoftovim ažuriranjima. Na primjer, stvorite zasebne grupe računala za različite skupove ažuriranja, a također primajte izvješća o usklađenosti računala i ažuriranjima koja je potrebno instalirati. funkcionirati" Usluge ažuriranja sustava Windows Server"Potrebne su nam usluge uloga i komponente kao što su: web poslužitelj (IIS), interna baza podataka sustava Windows, usluga aktivacije procesa sustava Windows.

Naziv za Windows PowerShell je UpdateServices.

• WID povezivanje (UpdateServices-WidDB) – postavljeno na WID ( Windows interna baza podataka) baza podataka koju koristi WSUS. Drugim riječima, WSUS će svoje podatke o usluzi pohraniti u WID;
• WSUS usluge (UpdateServices-Services) su usluge WSUS uloga, kao što su usluga ažuriranja, web usluga za izvješćivanje, API udaljena web usluga, web usluga klijenta, web usluga jednostavne internetske provjere autentičnosti, usluga sinkronizacije poslužitelja i DSS usluga web provjere autentičnosti;
• SQL Server Connectivity (UpdateServices-DB) je instalacija komponente koja omogućuje WSUS servisu povezivanje s Microsoft SQL Server bazom podataka. Ova opcija uključuje pohranu servisnih podataka u Microsoft SQL Server bazu podataka. U tom slučaju već morate imati barem jednu instaliranu instancu SQL Servera.

Usluge količinske aktivacije

Ova uloga poslužitelja automatizira i pojednostavljuje izdavanje količinskih licenci za Microsoftov softver i omogućuje vam upravljanje tim licencama.

Naziv za PowerShell je VolumeActivation.

Usluge ispisa i dokumenata

Ova uloga poslužitelja dizajnirana je za dijeljenje pisača i skenera na mreži, središnje konfiguriranje i upravljanje poslužiteljima za ispis i skeniranje te upravljanje mrežnim pisačima i skenerima. Usluge ispisa i dokumenata također vam omogućuju slanje skeniranih dokumenata putem e-pošte, mrežnih dijeljenja ili web-mjesta Windows SharePoint Services.

Naziv za PowerShell je Print-Services.

• Print-Server – Ova usluga uloga uključuje " Upravljanje ispisom", koji se koristi za upravljanje pisačima ili ispisnim poslužiteljima, kao i za migraciju pisača i drugih ispisnih poslužitelja;
• Ispis putem interneta (Print-Internet) - za implementaciju ispisa putem interneta izrađuje se web stranica putem koje korisnici mogu upravljati poslovima ispisa na poslužitelju. Da bi ova usluga radila, kao što razumijete, morate instalirati " Web poslužitelj (IIS)" Sve potrebne komponente bit će odabrane automatski kada označite ovaj okvir tijekom procesa instalacije servisa uloga " Online tisak»;
• Distribuirani poslužitelj za skeniranje (Print-Scan-Server) usluga je koja vam omogućuje primanje skeniranih dokumenata s mrežnih skenera i njihovo slanje na odredište. Ova usluga također sadrži " Kontrola skeniranja", koji se koristi za upravljanje mrežnim skenerima i za konfiguriranje skeniranja;
• LPD usluga (Print-LPD-Service) - LPD usluga ( Line Printer Daemon) omogućuje računalima temeljenim na UNIX-u i drugim računalima koja koriste uslugu Line Printer Remote (LPR) za ispis na pisače dijeljenog poslužitelja.

Mrežna politika i usluge pristupa

uloga " » (NPAS) vam omogućuje korištenje poslužitelja mrežnih pravila (NPS) za postavljanje i provedbu pravila za pristup mreži, autentifikaciju i autorizaciju te zdravlje klijenta, drugim riječima, kako biste osigurali sigurnost mreže.

Naziv za Windows PowerShell je NPAS.

Usluge postavljanja sustava Windows

Pomoću ove uloge možete instalirati operativni sustav Windows daljinski preko mreže.

Naziv uloge za PowerShell je WDS.

• Deployment Server (WDS-Deployment) – ova usluga uloge dizajnirana je za daljinsko postavljanje i konfiguraciju Windows operativnih sustava. Također vam omogućuje stvaranje i prilagodbu slika za ponovnu upotrebu;
• Transportni poslužitelj (WDS-Transport) - ova usluga sadrži glavne mrežne komponente pomoću kojih možete multicastom prenositi podatke na samostalnom poslužitelju.

Usluge certifikata Active Directory

Ova je uloga osmišljena za stvaranje ovlasti za izdavanje certifikata i povezanih usluga uloga koje vam omogućuju izdavanje i upravljanje certifikatima za različite aplikacije.

Naziv za Windows PowerShell je AD-certifikat.

Uključuje sljedeće usluge uloga:

• Izdavač certifikata (ADCS-Cert-Authority) – pomoću ove usluge uloga možete izdavati certifikate korisnicima, računalima i servisima te upravljati valjanošću certifikata;
• Web usluga pravila upisa certifikata (ADCS-Enroll-Web-Pol) – Ova usluga korisnicima i računalima omogućuje dobivanje informacija o politici upisa certifikata pomoću web preglednika, čak i ako računalo nije član domene. Za njegovo funkcioniranje potrebno je " Web poslužitelj (IIS)»;
• Web-usluga upisa certifikata (ADCS-Enroll-Web-Svc) – Ova usluga korisnicima i računalima omogućuje upis i obnovu certifikata pomoću web-preglednika preko HTTPS-a, čak i ako računalo nije član domene. Za njegovo funkcioniranje također je potrebno " Web poslužitelj (IIS)»;
• Online Responder (ADCS-Online-Cert) – Usluga dizajnirana za provjeru opoziva certifikata za klijente. Drugim riječima, prihvaća zahtjev za status opoziva za određene certifikate, procjenjuje status tih certifikata i šalje natrag potpisani odgovor s informacijama o statusu. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)»;
• Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) – Ova usluga pruža web sučelje za korisnike za obavljanje zadataka kao što su traženje i obnavljanje certifikata, dobivanje popisa opozvanih certifikata i upisivanje certifikata pametne kartice. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)»;
• Usluga prijave mrežnog uređaja (ADCS-Device-Enrollment) – pomoću ove usluge možete izdavati i upravljati certifikatima za usmjerivače i druge mrežne uređaje koji nemaju mrežne račune. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)».

Usluge udaljene radne površine

Uloga poslužitelja koja vam omogućuje pružanje pristupa virtualnim radnim površinama, radnim površinama temeljenim na sesiji i RemoteApps.

Naziv uloge za Windows PowerShell je Remote-Desktop-Services.

Sastoji se od sljedećih usluga:

• Web pristup udaljenoj radnoj površini (RDS-Web-Access) - Ova usluga uloga omogućuje korisnicima pristup udaljenim radnim površinama i aplikacijama RemoteApp putem " Start» ili pomoću web preglednika;
• Licenciranje udaljene radne površine (RDS-licenciranje) - usluga dizajnirana za upravljanje licencama koje su potrebne za povezivanje s poslužiteljem sesije udaljene radne površine ili virtualnom radnom površinom. Može se koristiti za instaliranje, izdavanje licenci i praćenje njihove dostupnosti. Ova usluga zahtijeva " Web poslužitelj (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) usluga je uloga koja pruža sljedeće mogućnosti: ponovno povezivanje korisnika s postojećom virtualnom radnom površinom, aplikacijom RemoteApp i radnom površinom temeljenom na sesiji te balansiranje opterećenja između poslužitelja udaljenih sesija i stolnih računala ili između virtualne radne površine u skupu. Ova usluga zahtijeva " »;
• Remote Desktop Virtualization Host (DS-Virtualization) usluga je koja korisnicima omogućuje povezivanje s virtualnim radnim površinama pomoću RemoteApp i Desktop Connection. Ova usluga radi u sprezi s Hyper-V, tj. ta se uloga mora uspostaviti;
• Domaćin sesije udaljene radne površine (RDS-RD-poslužitelj) – Ova usluga vam omogućuje da na poslužitelju postavite aplikacije RemoteApp i radne površine temeljene na sesiji. Za pristup koristite Remote Desktop Connection klijent ili RemoteApp;
• Remote Desktop Gateway (RDS-Gateway) - Usluga omogućuje ovlaštenim udaljenim korisnicima povezivanje s virtualnim radnim površinama, RemoteApps i radnim površinama temeljenim na sesijama na korporativnoj mreži ili preko interneta. Za funkcioniranje ove usluge potrebne su sljedeće dodatne usluge i komponente: " Web poslužitelj (IIS)», « Mrežna politika i usluge pristupa», « RPC preko HTTP proxyja».

Usluge upravljanja pravima Active Directory

Ovo je uloga poslužitelja koja će vam omogućiti zaštitu informacija od neovlaštenog korištenja. Provjerava identitete korisnika i dodjeljuje ovlaštenim korisnicima licence za pristup zaštićenim podacima. Za funkcioniranje ove uloge potrebne su dodatne usluge i komponente: " Web poslužitelj (IIS)», « Usluga aktivacije Windows procesa», « Značajke .NET Framework 4.6».

Naziv za Windows PowerShell je ADRMS.

• Poslužitelj za upravljanje pravima Active Directory (ADRMS-poslužitelj) usluga je glavne uloge i potrebna je za instalaciju;
• Podrška za federaciju identiteta (ADRMS-Identity) je izborna usluga uloga koja omogućuje federalnim identitetima da koriste zaštićeni sadržaj pomoću Active Directory Federation Services.

Active Directory Federation Services

Ova uloga pruža pojednostavljene i sigurne mogućnosti federacije identiteta, kao i jedinstvenu prijavu (SSO) temeljenu na pregledniku na web stranicama.

Naziv za PowerShell je ADFS-Federacija.

Udaljeni pristup

Ova uloga omogućuje povezivanje kroz DirectAccess, VPN i proxy web aplikacije. Također uloga " Udaljeni pristup» pruža tradicionalne mogućnosti usmjeravanja, uključujući prevođenje mrežne adrese (NAT) i druge mogućnosti povezivanja. Ova uloga zahtijeva dodatne usluge i komponente: " Web poslužitelj (IIS)», « Windows interna baza podataka».

Naziv uloge za Windows PowerShell je RemoteAccess.

• DirectAccess i VPN (RAS) (DirectAccess-VPN) - usluga omogućuje korisnicima povezivanje s korporativnom mrežom u bilo kojem trenutku ako imaju pristup internetu putem DirectAccess-a, kao i organiziranje VPN veza u kombinaciji s tehnologijama tuneliranja i šifriranja podataka;
• Routing - usluga pruža podršku za NAT routere, LAN routere s BGP, RIP protokolima i routere s multicast podrškom (IGMP proxy);
• Web Application Proxy Server (Web-Application-Proxy) - usluga vam omogućuje objavljivanje aplikacija temeljenih na HTTP i HTTPS protokolima s korporativne mreže na klijentskim uređajima koji se nalaze izvan korporativne mreže.

Usluge datoteka i pohrane

Ovo je uloga poslužitelja koja se može koristiti za dijeljenje datoteka i mapa, upravljanje i kontrolu dijeljenja, repliciranje datoteka, pružanje brzih pretraga datoteka i omogućavanje pristupa UNIX klijentskim računalima. Pogledali smo datotečne usluge, a posebno datotečni poslužitelj detaljnije u materijalu "Instaliranje datotečnog poslužitelja na Windows Server 2016".

Naziv za Windows PowerShell je FileAndStorage-Services.

Usluge skladištenja– Ova usluga pruža funkcionalnost upravljanja pohranom koja je uvijek instalirana i ne može se ukloniti.

Datotečne usluge i iSCSI usluge (Datotečne usluge)– to su tehnologije koje pojednostavljuju upravljanje datotečnim poslužiteljima i pohranom, štede prostor na disku, omogućuju replikaciju i predmemoriju datoteka u ograncima, a također omogućuju dijeljenje datoteka pomoću NFS protokola. Uključuje sljedeće usluge uloga:

• File Server (FS-FileServer) je servis uloga koji upravlja dijeljenim mapama i korisnicima omogućuje pristup datotekama na ovom računalu preko mreže;
• Deduplikacija podataka (FS-Data-Deduplication) – ova usluga štedi prostor na disku pohranjujući samo jednu kopiju identičnih podataka na volumen;
• Upravitelj resursa poslužitelja datoteka (FS-Resource-Manager) – pomoću ove usluge možete upravljati datotekama i mapama na poslužitelju datoteka, kreirati izvješća o pohrani, klasificirati datoteke i mape, konfigurirati kvote mapa i definirati pravila blokiranja datoteka;
• iSCSI Target Storage Provider (Hardware VDS i VSS Providers) (iSCSITarget-VSS-VDS) – Usluga omogućuje aplikacijama na poslužitelju spojenom na iSCSI cilj da kopiraju volumene u sjeni na iSCSI virtualnim diskovima;
• DFS imenski prostori (FS-DFS-Namespace) - pomoću ove usluge možete grupirati zajedničke mape koje se nalaze na različitim poslužiteljima u jedan ili više logički strukturiranih imenskih prostora;
• Radne mape (FS-SyncShareService) – usluga vam omogućuje korištenje radnih datoteka na različitim računalima, uključujući radna i osobna. Možete pohraniti svoje datoteke u radne mape, sinkronizirati ih i pristupiti im s lokalne mreže ili interneta. Za funkcioniranje usluge potrebna je komponenta " IIS In-Process Web Engine»;
• DFS replikacija (FS-DFS-replikacija) je modul replikacije podataka između više poslužitelja koji vam omogućuje sinkronizaciju mapa putem lokalne ili globalne mrežne veze. Ova tehnologija koristi protokol daljinske diferencijalne kompresije (RDC) za ažuriranje samo onih dijelova datoteka koji su promijenjeni od zadnje replikacije. DFS replikacija može se koristiti s DFS imenskim prostorima ili zasebno;
• Poslužitelj za NFS (FS-NFS-Service) – usluga koja ovom računalu omogućuje dijeljenje datoteka s računalima baziranim na UNIX-u i drugim računalima koja koriste protokol Network File System (NFS);
• iSCSI ciljni poslužitelj (FS-iSCSITarget-Server) – Pruža usluge i alate za upravljanje za iSCSI ciljeve;
• Usluga BranchCache za mrežne datoteke (FS-BranchCache) - Usluga pruža podršku za BranchCache na ovom poslužitelju datoteka;
• File Server VSS Agent Service (FS-VSS-Agent) - Usluga vam omogućuje izvođenje kopija volumena u sjeni za aplikacije koje pohranjuju podatkovne datoteke na ovaj datotečni poslužitelj.

Fax poslužitelj

Uloga šalje i prima faksove i omogućuje vam upravljanje resursima faksa, kao što su poslovi, postavke, izvješća i uređaji za faks, na ovom računalu ili mreži. Za rad trebate " Ispisni poslužitelj».

Naziv uloge za Windows PowerShell je Fax.

Ovime završavamo pregled uloga poslužitelja Windows Server 2016, nadam se da vam je materijal bio koristan, bok!

Primjena grupnih pravila (3. dio)

Tipično, GPO-i se dodjeljuju spremniku (domena, stranica ili OU) i primjenjuju se na sve objekte u tom spremniku. Uz dobro organiziranu domensku strukturu to je sasvim dovoljno, no ponekad je potrebno dodatno ograničiti primjenu politika na određenu skupinu objekata. Da biste to učinili, možete koristiti dvije vrste filtara.

Sigurnosni filtri

Sigurnosni filtri omogućuju vam da ograničite primjenu pravila na određenu sigurnosnu grupu. Na primjer, uzmimo GPO2, koji se koristi za centralnu konfiguraciju izbornika Start na radnim stanicama sa sustavom Windows 8.1\Windows 10. GPO2 je dodijeljen OU-u zaposlenika i primjenjuje se na sve korisnike bez iznimke.

Sada idemo na karticu "Opseg", gdje su u odjeljku "Sigurnosno filtriranje" naznačene grupe na koje se ovaj GPO može primijeniti. Prema zadanim postavkama ovdje je navedena grupa Autentificirani korisnici. To znači da se politika može primijeniti na bilo tko korisnik ili računalo koje se uspješno autentificiralo na domeni.

Zapravo, svaki GPO ima svoju pristupnu listu, koja se može vidjeti na kartici "Delegiranje".

Da biste primijenili pravilo, objekt mora imati prava za njegovo čitanje (Read) i primjenu (Apply group policy), koja ima grupa Authenticated Users. Sukladno tome, kako bi se politika primjenjivala ne na sve, već samo na određenu skupinu, trebate ukloniti Autentificirane korisnike s popisa, zatim dodati željenu grupu i dati joj odgovarajuća prava.

Dakle, u našem primjeru, pravilo se može primijeniti samo na grupu Računovodstvo.

WMI filteri

Windows Management Instrumentation (WMI) jedan je od najmoćnijih alata za upravljanje operacijskim sustavom Windows. WMI sadrži ogroman broj klasa koje se mogu koristiti za opisivanje gotovo svih korisničkih i računalnih parametara. Možete vidjeti sve dostupne WMI klase na popisu koristeći PowerShell tako što ćete pokrenuti naredbu:

Get-WmiObject -List

Na primjer, uzmimo razred Win32_operativni sustav, koji je odgovoran za svojstva operativnog sustava. Pretpostavimo da želite filtrirati sve operativne sustave osim Windows 10. Idemo na računalo s instaliranim Windowsom 10, otvorimo PowerShell konzolu i prikažemo naziv, verziju i vrstu operativnog sustava pomoću naredbe:

Get-WmiObject -Class Win32_OperatingSystem | fl Naziv, Verzija, Vrsta Proizvoda

Za filtar koristimo verziju i vrstu OS-a. Verzija je ista za klijentske i poslužiteljske operativne sustave i definirana je na sljedeći način:

Windows Server 2016\Windows 10 - 10.0
Windows Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Windows Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Vrsta proizvoda je odgovorna za svrhu računala i može imati 3 vrijednosti:

1 - radna stanica;
2 - kontroler domene;
3 - poslužitelj.

Sada prijeđimo na izradu filtra. Da biste to učinili, otvorite dodatak "Group Policy Management" i idite na odjeljak "WMI Filters". Desnom tipkom miša kliknite na njega i odaberite "Novo" iz kontekstnog izbornika.

U prozoru koji se otvori dodijelite filtru naziv i opis. Zatim kliknite gumb "Dodaj" i unesite WQL upit u polje "Upit", koji je osnova WMI filtera. Moramo odabrati OS verziju 10.0 s tipom 1, pa će zahtjev izgledati ovako:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″

Bilješka. Windows Query Language (WQL) je WMI jezik upita. Više o tome možete saznati na MSDN-u.

Spremite dobiveni filtar.

Sada sve što preostaje je dodijeliti WMI filter objektu grupne politike, na primjer GPO3. Idite na svojstva GPO-a, otvorite karticu "Opseg" i u polju "WMI Filtering" odaberite željeni filtar s popisa.

Analiza aplikacija grupnih pravila

S toliko mnogo načina za filtriranje GPO-ova, morate biti u mogućnosti dijagnosticirati i analizirati njihovu upotrebu. Najlakši način da provjerite učinak grupnih pravila na računalu je korištenje uslužnog programa naredbenog retka gpresult.

Na primjer, idemo na wks2 računalo na kojem je instaliran Windows 7 i provjerimo je li WMI filter radio. Da biste to učinili, otvorite cmd konzolu s administratorskim pravima i pokrenite naredbu gpresult /r, koji prikazuje sažetak informacija o pravilima grupe primijenjenim na korisnika i računalo.

Bilješka. Uslužni program gpresult ima mnogo postavki koje možete vidjeti pomoću naredbe gpresult /?.

Kao što možete vidjeti iz dobivenih podataka, GPO3 politika nije primijenjena na računalo jer je filtrirana pomoću WMI filtera.

Također možete provjeriti učinak GPO-a iz snap-ina "Group Policy Management", koristeći poseban čarobnjak. Da biste pokrenuli čarobnjaka, desnom tipkom miša kliknite odjeljak "Rezultati pravila grupe" i odaberite "Čarobnjak za rezultate pravila grupe" iz izbornika koji se otvori.

Navedite naziv računala za koje će se generirati izvještaj. Ako želite vidjeti samo korisničke postavke pravila grupe, ne morate prikupljati postavke za svoje računalo. Da biste to učinili, trebate potvrditi okvir ispod (prikaži samo postavke korisničkih pravila).

Zatim odabiremo korisničko ime za koje će se prikupljati podaci ili možete odrediti da u izvješće ne uključite postavke pravila grupe za korisnika (prikažite samo postavke pravila računala).

Provjeravamo odabrane postavke, kliknemo “Dalje” i pričekamo da se prikupe podaci i generira izvješće.

Izvješće sadrži sveobuhvatne informacije o GPO-ima primijenjenim (ili neprimijenjenim) na korisnika i računalo, kao i korištenim filtrima.

Na primjer, napravimo izvješća za dva različita korisnika i usporedimo ih. Prvo otvorimo izvješće za korisnika Kirill i idimo na odjeljak korisničkih postavki. Kao što vidite, GPO2 pravilo nije primijenjeno na ovog korisnika jer on nema prava za njegovu primjenu (Razlog odbijen - nedostupan).

Sada otvorimo izvješće za korisnika Olega. Ovaj korisnik je član grupe Računovodstvo, pa je politika uspješno primijenjena na njega. To znači da je sigurnosni filtar uspješno radio.

Ovdje ću vjerojatno završiti "fascinantnu" priču o korištenju grupnih pravila. Nadam se da će vam ove informacije biti korisne i pomoći u teškom zadatku administracije sustava :)

Prilikom instaliranja Windowsa, većina manjih podsustava nije aktivirana niti instalirana. To se radi iz sigurnosnih razloga. Budući da je sustav siguran prema zadanim postavkama, administratori sustava mogu se usredotočiti na projektiranje sustava koji će obavljati točno predviđene funkcije i ništa drugo. Kako bi vam pomogao da omogućite značajke koje su vam potrebne, Windows vas pita da odaberete ulogu poslužitelja.

Uloge

Uloga poslužitelja je skup programa koji, kada su pravilno instalirani i konfigurirani, omogućuju računalu da obavlja određenu funkciju za više korisnika ili druga računala na mreži. Općenito, sve uloge imaju sljedeće karakteristike.

• Oni definiraju glavnu funkciju, svrhu ili svrhu korištenja računala. Računalu možete dodijeliti jednu ulogu koja se intenzivno koristi u vašem poduzeću ili više uloga ako se svaka koristi samo povremeno.
• Uloge daju korisnicima u cijeloj organizaciji pristup resursima kojima upravljaju druga računala, kao što su web stranice, pisači ili datoteke pohranjene na različitim računalima.
• Oni obično imaju vlastite baze podataka koje postavljaju zahtjeve korisnika ili računala u red čekanja ili bilježe informacije o mrežnim korisnicima i računalima koji su relevantni za ulogu. Na primjer, Active Directory Domain Services sadrži bazu podataka za pohranjivanje imena i hijerarhijskih odnosa svih računala na mreži.
• Nakon što su pravilno instalirane i konfigurirane, uloge funkcioniraju automatski. To omogućuje računalima na kojima su instalirani da izvršavaju dodijeljene zadatke uz ograničenu interakciju korisnika.

Usluge uloga

Usluge uloga su programi koji pružaju funkcionalnost uloga. Kada instalirate ulogu, možete odabrati koje usluge pruža drugim korisnicima i računalima u tvrtki. Neke uloge, poput DNS poslužitelja, obavljaju samo jednu funkciju, pa za njih ne postoje usluge uloga. Druge uloge, kao što su Remote Desktop Services, imaju više usluga koje se mogu instalirati ovisno o potrebama vaše tvrtke za udaljenim pristupom. Uloga se može promatrati kao zbirka blisko povezanih, komplementarnih usluga uloga. U većini slučajeva instaliranje uloge znači instaliranje jedne ili više njezinih usluga.

Komponente

Komponente su programi koji nisu izravno dio uloga, ali podržavaju ili proširuju funkcionalnost jedne ili više uloga ili cijelog poslužitelja, bez obzira na to koje su uloge instalirane. Na primjer, značajka Failover Clustering proširuje funkcionalnost drugih uloga, kao što su File Services i DHCP Server, dopuštajući im da se pridruže klasterima poslužitelja, pružajući povećanu redundanciju i performanse. Druga komponenta, Telnet klijent, pruža daljinsku komunikaciju s Telnet poslužiteljem preko mrežne veze. Ova značajka poboljšava komunikacijske mogućnosti poslužitelja.

Kada Windows Server radi u načinu Server Core, podržane su sljedeće uloge poslužitelja:

• Usluge certifikata Active Directory;
• Active Directory domenske usluge;
• DHCP poslužitelj;
• DNS poslužitelj;
• usluge datoteka (uključujući upravitelja resursima poslužitelja datoteka);
• Active Directory Lightweight Directory Services;
• Hyper-V;
• usluge ispisa i dokumenata;
• usluge strujanja medija;
• web poslužitelj (uključujući podskup ASP.NET);
• Poslužitelj za ažuriranje Windows Servera;
• Poslužitelj za upravljanje pravima Active Directory;
• Poslužitelj za usmjeravanje i daljinski pristup i sljedeće podređene uloge:
  • Remote Desktop Services Connection Broker;
  • licenciranje;
  • virtualizacija.

Kada Windows Server radi u načinu Server Core, podržane su sljedeće komponente poslužitelja:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• usluga inteligentnog prijenosa u pozadini (BITS);
• BitLocker šifriranje diska;
• BitLocker mrežno otključavanje;
• BranchCache
• most podatkovnog centra;
• Poboljšana pohrana;
• failover clustering;
• višestazni I/O;
• uravnoteženje opterećenja mreže;
• PNRP protokol;
• qWave;
• daljinska diferencijalna kompresija;
• jednostavne TCP/IP usluge;
• RPC putem HTTP proxyja;
• SMTP poslužitelj;
• SNMP usluga;
• Telnet klijent;
• Telnet poslužitelj;
• TFTP klijent;
• Windows interna baza podataka;
• Windows PowerShell Web Access;
• Usluga aktivacije sustava Windows;
• standardizirano upravljanje pohranom u sustavu Windows;
• IIS WinRM proširenje;
• WINS poslužitelj;
• WoW64 podrška.

Instaliranje uloga poslužitelja pomoću upravitelja poslužitelja

Za dodavanje otvorite Upravitelj poslužitelja i u izborniku Upravljanje kliknite Dodaj uloge i značajke:

Otvara se čarobnjak za dodavanje uloga i značajki. Pritisnite Dalje

Vrsta instalacije, odaberite instalaciju na temelju uloga ili značajki. Sljedeći:

Odabir poslužitelja - odaberite naš poslužitelj. Kliknite Sljedeće uloge poslužitelja - Odaberite uloge, ako je potrebno, odaberite usluge uloga i kliknite Dalje za odabir komponenti. Tijekom ovog postupka, čarobnjak za dodavanje uloga i značajki automatski vas obavještava ako postoje sukobi na odredišnom poslužitelju koji bi mogli spriječiti instaliranje ili ispravno funkcioniranje odabranih uloga ili značajki. Od vas se također traži da dodate uloge, usluge uloga i značajke koje su potrebne za odabrane uloge ili značajke.

Instaliranje uloga pomoću PowerShell-a

Otvorite Windows PowerShell Unesite naredbu Get-WindowsFeature za prikaz popisa dostupnih i instaliranih uloga i značajki na lokalnom poslužitelju. Rezultati ovog cmdleta sadrže nazive naredbi za uloge i značajke koje su instalirane i dostupne za instalaciju.

Upišite Get-Help Install-WindowsFeature da biste vidjeli sintaksu i važeće parametre za cmdlet Install-WindowsFeature (MAN).

Unesite sljedeću naredbu (-Restart će ponovno pokrenuti poslužitelj ako je potrebno ponovno pokretanje prilikom instaliranja uloge).

Install-WindowsFeature –Name -Restart

Opis uloga i usluga uloga

Sve uloge i usluge uloga opisane su u nastavku. Pogledajmo naprednu konfiguraciju za one najčešće u našoj praksi: Uloga web poslužitelja i Usluge udaljene radne površine

Detaljan opis IIS-a

• Uobičajene HTTP značajke - Osnovne HTTP komponente
  • Zadani dokument - omogućuje postavljanje indeksne stranice za web mjesto.
  • Pregledavanje imenika - Omogućuje korisnicima da vide sadržaj imenika na web poslužitelju. Koristite Pregledavanje direktorija za automatsko generiranje popisa svih direktorija i datoteka prisutnih u direktoriju kada korisnici ne navedu datoteku u URL-u, a indeksna stranica je onemogućena ili nije konfigurirana
  • HTTP pogreške - omogućuje vam da konfigurirate poruke o pogreškama koje se vraćaju klijentima u pregledniku.
  • Statični sadržaj - omogućuje vam objavljivanje statičnog sadržaja, na primjer, slika ili html datoteka.
  • HTTP Redirection - pruža podršku za preusmjeravanje korisničkih zahtjeva.
  • WebDAV Publishing omogućuje vam objavljivanje datoteka s web poslužitelja pomoću HTTP protokola.
• Zdravstvene i dijagnostičke značajke - Dijagnostičke komponente
  • HTTP Logging omogućuje bilježenje aktivnosti web stranice za određeni poslužitelj.
  • Custom Logging pruža podršku za stvaranje prilagođenih zapisa koji se razlikuju od "tradicionalnih" zapisa.
  • Alati za bilježenje pružaju infrastrukturu za upravljanje zapisima web poslužitelja i automatizaciju uobičajenih zadataka bilježenja.
  • ODBC Logging pruža infrastrukturu koja podržava bilježenje aktivnosti web poslužitelja u bazi podataka usklađenoj s ODBC.
  • Request Monitor pruža infrastrukturu za praćenje ispravnosti web aplikacija prikupljanjem informacija o HTTP zahtjevima u IIS radnom procesu.
  • Praćenje pruža okvir za dijagnosticiranje i rješavanje problema web aplikacija. Korištenjem praćenja neuspjelih zahtjeva možete pratiti događaje koje je teško uhvatiti kao što su loša izvedba ili neuspjehe autentifikacije.
• Komponente performansi povećavaju performanse web poslužitelja.
  • Kompresija statičkog sadržaja pruža infrastrukturu za postavljanje HTTP kompresije statičkog sadržaja
  • Dinamičko sažimanje sadržaja pruža infrastrukturu za postavljanje HTTP sažimanja dinamičkog sadržaja.
• Sigurnosne sigurnosne komponente
  • Filtriranje zahtjeva omogućuje vam snimanje svih dolaznih zahtjeva i njihovo filtriranje na temelju pravila koje postavlja administrator.
  • Osnovna provjera autentičnosti omogućuje postavljanje dodatne autorizacije
  • Centralizirana podrška za SSL certifikat značajka je koja vam omogućuje pohranjivanje certifikata na centralizirano mjesto, poput dijeljenja datoteka.
  • Autentifikacija mapiranja certifikata klijenta koristi certifikate klijenta za autentifikaciju korisnika.
  • Digest Authentication funkcionira slanjem hash lozinke Windows kontroleru domene radi provjere autentičnosti korisnika. Ako vam je potrebna viša razina sigurnosti od obične autentifikacije, razmislite o korištenju Digest autentifikacije
  • IIS Client Certificate Mapping Authentication koristi klijentske certifikate za autentifikaciju korisnika. Certifikat klijenta je digitalni ID dobiven iz pouzdanog izvora.
  • Ograničenja IP-a i domene omogućuju vam dopuštanje/odbijanje pristupa na temelju tražene IP adrese ili naziva domene.
  • Autorizacija URL-a omogućuje vam stvaranje pravila koja ograničavaju pristup web sadržaju.
  • Windows autentifikacija Ova shema provjere autentičnosti omogućuje administratorima Windows domene da iskoriste prednosti infrastrukture domene za autentifikaciju korisnika.
• Razvoj aplikacija Značajke komponenti za razvoj aplikacija
• FTP poslužitelj
  • FTP usluga Omogućuje FTP objavljivanje na web poslužitelju.
  • FTP Extensibility Uključuje podršku za FTP funkcije koje proširuju mogućnosti
• Alati za upravljanje
  • IIS Management Console instalira IIS Manager, koji vam omogućuje upravljanje web poslužiteljem putem grafičkog sučelja
  • Kompatibilnost upravljanja IIS 6.0 pruža kompatibilnost naprijed za aplikacije i skripte koje koriste API-je Admin Base Object (ABO) i Active Directory Directory Service Interface (ADSI). Ovo omogućuje korištenje postojećih IIS 6.0 skripti od strane IIS 8.0 web poslužitelja
  • Skripte i alati za upravljanje IIS-om pružaju infrastrukturu za programsko upravljanje IIS web poslužiteljem, korištenjem naredbi u prozoru naredbenog retka ili pokretanjem skripti.
  • Management Service pruža infrastrukturu za konfiguriranje korisničkog sučelja IIS Manager.

Detaljan opis RDS-a

• Remote Desktop Connection Broker - Omogućuje ponovno povezivanje klijentskog uređaja s programima na temelju sesija stolnog računala i virtualnih radnih površina.
• Remote Desktop Gateway - Omogućuje ovlaštenim korisnicima povezivanje s virtualnim radnim površinama, RemoteApp programima i radnim površinama temeljenim na sesijama na korporativnoj mreži ili preko Interneta.
• Licenciranje udaljene radne površine - RDP alat za upravljanje licencama
• Host sesije udaljene radne površine - Omogućuje poslužitelju da ugosti programe RemoteApp ili sesiju temeljenu na radnoj površini.
• Remote Desktop Virtualization Host - omogućuje vam konfiguriranje RDP-a na virtualnim strojevima
• Remote Desktop WebAccess - Omogućuje korisnicima povezivanje s resursima radne površine pomoću izbornika Start ili web preglednika.

Pogledajmo instaliranje i konfiguriranje terminalskog licencnog poslužitelja. Gore opisano je kako instalirati uloge, instaliranje RDS-a ne razlikuje se od instaliranja drugih uloga; u uslugama uloga trebat ćemo odabrati Licenciranje udaljene radne površine i Domaćin sesije udaljene radne površine. Nakon instalacije, stavka Terminal Services pojavit će se u Server Manager-Tools. Terminal Services ima dvije stavke: RD Licensing Diagnoser, koji je dijagnostički alat za licenciranje udaljene radne površine, i Remote Desktop Licensing Manager, koji je alat za upravljanje licencama.

Pokrenimo RD Licensing Diagnoser

Ovdje vidimo da još nema dostupnih licenci jer način licenciranja za poslužitelj sesije udaljene radne površine nije postavljen. Poslužitelj za licenciranje naveden je u pravilima lokalne grupe. Za pokretanje uređivača pokrenite naredbu gpedit.msc. Otvorit će se uređivač pravila lokalne grupe. U stablu s lijeve strane otvorimo kartice:

• Konfiguracija računala
• Administrativni predlošci
• Windows komponente
• "Usluge udaljene radne površine"
• "Host sesije udaljene radne površine"
• "Licenciranje"

Otvorite parametre Koristite navedene poslužitelje licence za udaljenu radnu površinu

U prozoru za uređivanje postavki pravila omogućite poslužitelj za licenciranje (Omogućeno). Zatim trebate odrediti poslužitelj za licenciranje za usluge udaljene radne površine. U mom primjeru, poslužitelj za licenciranje nalazi se na istom fizičkom poslužitelju. Navedite naziv mreže ili IP adresu licencnog poslužitelja i kliknite OK. Ako u budućnosti promijenite naziv poslužitelja, morat ćete promijeniti licencni poslužitelj u istom odjeljku.

Nakon toga, u RD Licensing Diagnoseru možete vidjeti da je terminalski licencni poslužitelj konfiguriran, ali nije omogućen. Da biste omogućili, pokrenite Remote Desktop Licensing Manager

Odaberite poslužitelj za licenciranje sa statusom Nije aktiviran. Za aktivaciju, desnom tipkom miša kliknite na njega i odaberite Aktiviraj poslužitelj. Pokrenut će se čarobnjak za aktivaciju poslužitelja. Na kartici Način povezivanja odaberite Automatsko povezivanje. Zatim popunite podatke o organizaciji, nakon čega se aktivira licencni poslužitelj.

Usluge certifikata Active Directory

AD CS pruža prilagodljive usluge za izdavanje i upravljanje digitalnim certifikatima koji se koriste u softverskim sigurnosnim sustavima koji koriste tehnologije javnih ključeva. Digitalni certifikati koje pruža AD CS mogu se koristiti za šifriranje i digitalno potpisivanje elektroničkih dokumenata i poruka. Ovi digitalni certifikati mogu se koristiti za provjeru autentičnosti računa korisnika i uređaja u mreži kako bi se osiguralo:

• privatnost putem enkripcije;
• cjelovitost korištenjem digitalnih potpisa;
• provjeru autentičnosti povezivanjem ključeva certifikata s računima računala, korisnika i uređaja na mreži.

AD CS se može koristiti za poboljšanje sigurnosti povezivanjem identiteta korisnika, uređaja ili usluge s odgovarajućim privatnim ključem. Upotreba koju podržava AD CS uključuje sigurne višenamjenske proširenja internetske pošte (S/MIME), sigurne bežične mreže, virtualne privatne mreže (VPN), IPsec, šifrirani datotečni sustav (EFS), prijavu putem pametne kartice, sigurnost prijenosa podataka i sigurnosni protokol prijenosnog sloja ( SSL/TLS) i digitalni potpisi.

Usluge domene Active Directory

Koristeći ulogu poslužitelja Active Directory Domain Services (AD DS), možete stvoriti skalabilnu, sigurnu i upravljanu infrastrukturu za upravljanje korisnicima i resursima; Također možete podržati aplikacije koje su svjesne imenika, kao što je Microsoft Exchange Server. Active Directory Domain Services pruža distribuiranu bazu podataka koja pohranjuje i upravlja informacijama o mrežnim resursima i podacima aplikacija omogućenim za imenik. Poslužitelj koji pokreće AD DS naziva se kontroler domene. Administratori mogu koristiti AD DS za organiziranje mrežnih elemenata kao što su korisnici, računala i drugi uređaji u hijerarhijsku, ugniježđenu strukturu. Hijerarhijska ugniježđena struktura uključuje šumu Active Directory, domene unutar šume i organizacijske jedinice unutar svake domene. Sigurnosne značajke integrirane su u AD DS u obliku provjere autentičnosti i kontrole pristupa resursima u imeniku. Uz mrežnu jedinstvenu prijavu, administratori mogu upravljati podacima imenika i organizacijom diljem mreže. Ovlašteni korisnici mreže također mogu koristiti mrežnu jedinstvenu prijavu za pristup resursima koji se nalaze bilo gdje na mreži. Active Directory Domain Services pruža sljedeće dodatne značajke.

• Skup pravila je shema koja definira klase objekata i atribute koji su sadržani u direktoriju, ograničenja i ograničenja instanci tih objekata i format za njihova imena.
• Globalni katalog koji sadrži informacije o svakom objektu u katalogu. Korisnici i administratori mogu koristiti globalni katalog za traženje podataka imenika, bez obzira na to koja domena u imeniku zapravo sadrži podatke koje traže.
• Mehanizam za upite i indeksiranje putem kojeg korisnici mreže i aplikacije mogu objaviti i locirati objekte i njihova svojstva.
• Usluga replikacije koja distribuira podatke imenika preko mreže. Svi kontroleri domene s mogućnošću pisanja u domeni sudjeluju u replikaciji i održavaju potpunu kopiju svih podataka direktorija za svoju domenu. Sve promjene podataka direktorija repliciraju se preko domene na sve kontrolere domene.
• Uloge nadređenih operacija (poznate i kao fleksibilne operacije s jednim nadređenim ili FSMO). Kontrolori domene, koji djeluju kao glavni za operacije, dizajnirani su za obavljanje specifičnih zadataka kako bi osigurali dosljednost podataka i eliminirali proturječne unose direktorija.

Active Directory Federation Services

AD FS pruža pojednostavljenu i sigurnu federaciju identiteta i mogućnosti jedinstvene prijave (SSO) temeljene na webu krajnjim korisnicima koji trebaju pristupiti aplikacijama u poduzeću zaštićenom AD FS-om, saveznom partneru ili oblaku. Na Windows Serveru, AD FS uključuje usluga uloge Federation Services koja djeluje kao pružatelj identiteta (provjerava autentičnost korisnika za pružanje sigurnosnih tokena aplikacijama koje vjeruju AD FS-u) ili kao pružatelj federacije (primjenjuje tokene drugih pružatelja identiteta i zatim daje sigurnosne tokene aplikacijama koje vjeruju AD FS-u).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) je LDAP protokol koji pruža fleksibilnu podršku za imeničke aplikacije bez ovisnosti i ograničenja domene Active Directory Domain Services. AD LDS se može pokrenuti na članovima ili samostalnim poslužiteljima. Možete pokrenuti više AD LDS instanci na jednom poslužitelju s nezavisno upravljanim shemama. Korištenjem uloge usluge AD LDS možete pružiti usluge imenika aplikacijama koje su svjesne imenika bez opterećenja domena i šuma i bez potrebe za jednom shemom za cijelu šumu.

Usluge upravljanja pravima Active Directory

AD RMS se može koristiti za poboljšanje sigurnosne strategije organizacije zaštitom dokumenata pomoću upravljanja pravima na informacije (IRM). AD RMS omogućuje korisnicima i administratorima dodjeljivanje dopuštenja pristupa dokumentima, radnim knjigama i prezentacijama pomoću IRM pravila. To pomaže u zaštiti povjerljivih informacija od ispisivanja, prosljeđivanja ili kopiranja od strane neovlaštenih korisnika. Nakon što su dopuštenja za datoteke ograničena korištenjem IRM-a, ograničenja pristupa i korištenja se provode bez obzira na lokaciju informacija jer je dopuštenje za datoteku pohranjeno u samoj datoteci dokumenta. Uz AD RMS i IRM, pojedinačni korisnici mogu primijeniti vlastite osobne postavke u vezi s dijeljenjem osobnih i osjetljivih informacija. Oni će također pomoći organizaciji u primjeni korporativnih politika za upravljanje korištenjem i širenjem povjerljivih i osobnih podataka. IRM rješenja podržana AD RMS uslugama koriste se za pružanje sljedećih mogućnosti.

• Stalna pravila korištenja koja ostaju s informacijama bez obzira na to jesu li premještene, poslane ili proslijeđene.
• Dodatni sloj privatnosti za zaštitu osjetljivih podataka - kao što su izvješća, specifikacije proizvoda, informacije o kupcima i poruke e-pošte - od pada u pogrešne ruke, bilo namjerno ili slučajno.
• Spriječite ovlaštene primatelje od neovlaštenog prosljeđivanja, kopiranja, mijenjanja, ispisa, faksiranja ili lijepljenja ograničenog sadržaja.
• Spriječite kopiranje ograničenog sadržaja pomoću značajke PRINT SCREEN u sustavu Microsoft Windows.
• Podrška za istek datoteke, što sprječava pregled sadržaja dokumenata nakon određenog vremenskog razdoblja.
• Implementirajte poslovne politike koje upravljaju korištenjem i distribucijom sadržaja unutar organizacije

Aplikacijski poslužitelj

Aplikacijski poslužitelj pruža integrirano okruženje za postavljanje i pokretanje prilagođenih poslovnih aplikacija temeljenih na poslužitelju.

DHCP poslužitelj

DHCP je tehnologija klijent-poslužitelj u kojoj DHCP poslužitelji mogu dodjeljivati ​​ili iznajmljivati ​​IP adrese računalima i drugim uređajima koji su DHCP klijenti. Uvođenje DHCP poslužitelja na mreži automatski osigurava klijentskim računalima i drugim mrežnim uređajima na temelju IPv4 i IPv6 valjanih IP adresa i. dodatni konfiguracijski parametri potrebni za ove klijente i uređaje u sustavu Windows Server uključuju podršku za dodjele temeljene na politici i rukovanje greškama DHCP-a.

DNS poslužitelj

DNS usluga je hijerarhijska distribuirana baza podataka koja sadrži preslikavanja naziva DNS domena na različite vrste podataka, kao što su IP adrese. DNS vam omogućuje upotrebu prijateljskih naziva, kao što je www.microsoft.com, kako biste lakše locirali računala i druge resurse na mrežama temeljenim na TCP/IP. DNS usluga u sustavu Windows Server pruža dodatnu poboljšanu podršku za DNS sigurnosna proširenja (DNSSEC), uključujući online registraciju i automatizirano upravljanje postavkama.

FAX poslužitelj

Faks poslužitelj šalje i prima faksove i također vam daje mogućnost upravljanja faks resursima kao što su poslovi, postavke, izvješća i uređaji za faks na vašem faks poslužitelju.

Usluge datoteka i pohrane

Administratori mogu koristiti ulogu File and Storage Services za konfiguriranje više poslužitelja datoteka i njihove pohrane te za upravljanje tim poslužiteljima pomoću Server Managera ili Windows PowerShell. Neke posebne aplikacije uključuju sljedeće značajke.

• Radne mape. Koristite kako biste korisnicima omogućili pohranu i pristup radnim datotekama na osobnim računalima i uređajima koji nisu službena računala. Korisnici dobivaju prikladno mjesto za pohranu radnih datoteka i pristup im s bilo kojeg mjesta. Organizacije kontroliraju korporativne podatke pohranjivanjem datoteka na središnje upravljane poslužitelje datoteka i izbornim postavljanjem pravila za korisnički uređaj (kao što su šifriranje i lozinke za zaključavanje zaslona).
• Deduplikacija podataka. Koristite za smanjenje zahtjeva za prostorom na disku za pohranjivanje datoteka, čime se štede troškovi pohrane.
• iSCSI ciljni poslužitelj. Koristite za stvaranje centraliziranih, softverski i hardverski neovisnih iSCSI diskovnih podsustava u mrežama za pohranu podataka (SAN).
• Prostori na disku. Upotrijebite za implementaciju visokodostupne pohrane koja je otporna i skalabilna korištenjem troškovno učinkovitih diskova industrijskih standarda.
• Upravitelj poslužitelja. Koristite za daljinsko upravljanje više poslužitelja datoteka iz jednog prozora.
• Windows PowerShell. Koristite za automatizaciju upravljanja većinom zadataka administracije poslužitelja datoteka.

Hyper-V

Uloga Hyper-V omogućuje vam stvaranje virtualiziranog računalnog okruženja i upravljanje njime pomoću virtualizacijske tehnologije ugrađene u Windows Server. Instaliranje Hyper-V uloge instalira preduvjetne komponente kao i izborne alate za upravljanje. Potrebne komponente uključuju Windows hipervizor, Hyper-V Virtual Machine Management Service, WMI virtualizacijski pružatelj i komponente virtualizacije kao što su VMbus, Virtualization Service Provider (VSP) i Virtual Infrastructure Driver (VID).

Mrežna politika i usluge pristupa

Mrežna politika i usluge pristupa pružaju sljedeća rješenja za mrežne veze:

• Zaštita mrežnog pristupa je tehnologija za stvaranje, provedbu i popravak zdravstvenih pravila klijenta. Uz zaštitu mrežnog pristupa, administratori sustava mogu postaviti i automatski provoditi zdravstvena pravila koja uključuju softverske zahtjeve, sigurnosna ažuriranja i druge postavke. Klijentskim računalima koja ne ispunjavaju zahtjeve zdravstvene politike može se ograničiti pristup mreži dok se njihova konfiguracija ne ažurira kako bi zadovoljila zahtjeve zdravstvene politike.
• Ako ste postavili 802.1X-omogućene bežične pristupne točke, možete koristiti Network Policy Server (NPS) za implementaciju metoda provjere autentičnosti na temelju certifikata, koje su sigurnije od provjere autentičnosti na temelju lozinke. Uvođenje hardvera omogućenog za 802.1X s NPS poslužiteljem omogućuje autentifikaciju korisnika intraneta prije nego što se mogu spojiti na mrežu ili dobiti IP adresu od DHCP poslužitelja.
• Umjesto konfiguriranja pravila pristupa mreži na svakom poslužitelju pristupa mreži, možete centralno kreirati sva pravila koja definiraju sve aspekte zahtjeva za mrežno povezivanje (tko se može povezati, kada je veza dopuštena, razina sigurnosti koja se mora koristiti za povezivanje s mreža).

Usluge ispisa i dokumenata

Usluge ispisa i dokumenata omogućuju centralizaciju zadataka ispisnog poslužitelja i mrežnog pisača. Ova vam uloga također omogućuje primanje skeniranih dokumenata s mrežnih skenera i učitavanje dokumenata na mrežno dijeljenje kao što je web mjesto Windows SharePoint Services ili putem e-pošte.

Udaljeni pristup

Uloga poslužitelja za daljinski pristup logično je grupiranje sljedećih tehnologija pristupa mreži.

• DirectAccess
• Usmjeravanje i udaljeni pristup
• Proxy web aplikacije

Ove tehnologije su usluge uloga Uloge poslužitelja za daljinski pristup. Kada instalirate ulogu poslužitelja udaljenog pristupa, možete instalirati jednu ili više usluga uloga pokretanjem čarobnjaka za dodavanje uloga i značajki.

U Windows Serveru, uloga poslužitelja za daljinski pristup pruža mogućnost središnje administracije, konfiguracije i nadzora DirectAccess usluga daljinskog pristupa i VPN-a s uslugom usmjeravanja i daljinskog pristupa (RRAS). DirectAccess i RRAS mogu se implementirati na istom rubnom poslužitelju i njima se može upravljati pomoću Windows PowerShell naredbi i Remote Access Management Console (MMC).

Usluge udaljene radne površine

Remote Desktop Services ubrzava i proširuje implementaciju stolnih računala i aplikacija na bilo kojem uređaju, povećavajući produktivnost udaljenih radnika dok istovremeno osigurava kritično intelektualno vlasništvo i pojednostavljuje usklađenost s propisima. Usluge udaljene radne površine uključuju infrastrukturu virtualne radne površine (VDI), radne površine temeljene na sesijama i aplikacije, dajući korisnicima mogućnost rada s bilo kojeg mjesta.

Usluge količinske aktivacije

Usluge količinske aktivacije uloga je poslužitelja u Windows Serveru počevši od Windows Servera 2012 koja automatizira i pojednostavljuje izdavanje i upravljanje količinskim licencama za Microsoftov softver u različitim scenarijima i okruženjima. Zajedno s uslugama količinske aktivacije, možete instalirati i konfigurirati uslugu upravljanja ključem (KMS) i aktivaciju aktivnog imenika.

Web poslužitelj (IIS)

Uloga web poslužitelja (IIS) u sustavu Windows Server pruža platformu za hosting web stranica, usluga i aplikacija. Korištenje web poslužitelja čini informacije dostupnima korisnicima na Internetu, intranetu i ekstranetu. Administratori mogu koristiti ulogu web poslužitelja (IIS) za konfiguriranje i upravljanje više web stranica, web aplikacija i FTP stranica. Značajke pristupačnosti uključuju sljedeće.

• Koristite Internet Information Services Manager za konfiguriranje IIS komponenti i administriranje web stranica.
• Koristi FTP kako bi vlasnicima web stranica omogućio slanje i preuzimanje datoteka.
• Koristite izolaciju web stranice kako biste spriječili da jedna web stranica na poslužitelju utječe na druge.
• Prilagodba web aplikacija razvijenih pomoću različitih tehnologija kao što su Classic ASP, ASP.NET i PHP.
• Koristite Windows PowerShell za automatsko upravljanje većinom zadataka administracije web poslužitelja.
• Kombinirajte više web poslužitelja u farmu poslužitelja kojom se može upravljati pomoću IIS-a.

Usluge postavljanja sustava Windows

Windows Deployment Services omogućuje vam postavljanje Windows operativnih sustava preko mreže, što znači da ne morate instalirati svaki operativni sustav izravno s CD-a ili DVD-a.

Windows Server Essentials iskustvo

Ova vam uloga omogućuje rješavanje sljedećih zadataka:

• zaštitite podatke poslužitelja i klijenta stvaranjem sigurnosnih kopija poslužitelja i svih klijentskih računala na mreži;
• upravljati korisnicima i korisničkim grupama putem pojednostavljene nadzorne ploče poslužitelja. Dodatno, integracija s Windows Azure Active Directory *korisnicima pruža jednostavan pristup mrežnim Microsoftovim mrežnim uslugama (kao što su Office 365, Exchange Online i SharePoint Online) pomoću vjerodajnica njihove domene;
• pohraniti podatke tvrtke na centralizirano mjesto;
• integrirajte poslužitelj s Microsoftovim mrežnim uslugama (kao što su Office 365, Exchange Online, SharePoint Online i Windows Intune):
• Koristite sveprisutne značajke pristupa na poslužitelju (na primjer, udaljeni pristup webu i virtualne privatne mreže) za pristup poslužitelju, mrežnim računalima i podacima s udaljenih lokacija uz visok stupanj sigurnosti;
• pristup podacima s bilo kojeg mjesta i s bilo kojeg uređaja koristeći vlastiti web portal organizacije (putem udaljenog web pristupa);
• Upravljajte mobilnim uređajima koji pristupaju e-pošti vaše organizacije koristeći Office 365 putem Active Sync protokola s nadzorne ploče;
• Pratite stanje mreže i primajte prilagođena izvješća o stanju; izvješća se mogu generirati na zahtjev, prilagoditi i poslati e-poštom određenim primateljima.

Usluge ažuriranja sustava Windows Server

WSUS poslužitelj pruža komponente koje su administratorima potrebne za upravljanje i distribuciju ažuriranja putem upravljačke konzole. Osim toga, WSUS poslužitelj može biti izvor ažuriranja za druge WSUS poslužitelje u organizaciji. Kada implementirate WSUS, barem jedan WSUS poslužitelj na vašoj mreži mora biti povezan s Microsoft Updateom kako bi primao informacije o dostupnim ažuriranjima. Ovisno o vašoj mrežnoj sigurnosti i konfiguraciji, vaš administrator može odrediti koliko je drugih poslužitelja izravno povezano na Microsoft Update.

Uvod

S povećanjem broja računala u poduzeću, pitanje troškova upravljanja i održavanja postaje sve akutnije. Ručna konfiguracija računala oduzima puno vremena osoblju i prisiljava, s povećanjem broja računala, da se poveća broj osoblja koje ih servisira. Osim toga, s velikim brojem strojeva postaje sve teže osigurati usklađenost sa standardima prilagođavanja koje je usvojilo poduzeće. Grupna politika je sveobuhvatan alat za centralizirano upravljanje računalima sa sustavom Windows 2000 i novijim u domeni Active Directory. Pravila grupe ne primjenjuju se na računala s operativnim sustavom Windows NT4/9x: njima upravlja Pravila sustava, o kojima se neće raspravljati u ovom članku.

Objekti pravila grupe

Sve postavke koje stvorite unutar pravila grupe bit će pohranjene u objektima pravila grupe (GPO). Postoje dvije vrste GPO-ova: lokalni GPO-ovi i Active Directory GPO-ovi. Lokalni objekt grupne politike dostupan je na računalima sa sustavom Windows 2000 i novijim. Može postojati samo jedan i to je jedini GPO koji može biti na računalu koje nije domena.

Objekt pravila grupe opći je naziv za skup datoteka, direktorija i unosa u bazi podataka aktivnog imenika (ako nije lokalni objekt) koji pohranjuje vaše postavke i određuje koje druge postavke možete promijeniti pomoću pravila grupe. Kada kreirate pravilo, u biti stvarate i mijenjate GPO. Lokalni GPO pohranjen je u %SystemRoot%\System32\GroupPolicy. Active Directory GPO-ovi pohranjeni su na kontroleru domene i mogu se povezati s web-mjestom, domenom ili OU (Organizacijska jedinica). Vezanje objekta određuje njegov opseg. Prema zadanim postavkama u domeni se stvaraju dva GPO-a: Zadana pravila domene i Zadana pravila kontrolera domene. Prvi definira zadanu politiku za lozinke i račune u domeni. Drugi komunicira s OU-om kontrolera domene i poboljšava sigurnosne postavke za kontrolere domene.

Stvorite GPO

Kako biste kreirali pravilo (to jest, zapravo stvorili novi objekt pravila grupe), otvorite Active Directory Users & Computers i odaberite gdje želite stvoriti novi objekt. Možete samo izraditi i povezati GPO sa web mjestom, domenom ili OU objektom.

Riža. 1. Stvorite objekt pravila grupe.

Da biste stvorili GPO i povezali ga, na primjer, s OU-om testera, kliknite desnom tipkom miša na ovu OU i odaberite svojstva u kontekstnom izborniku. U prozoru svojstava koji se otvori, otvorite karticu Group Policy i kliknite New.

Riža. 2. Stvorite objekt pravila grupe.

GP objektu dajemo ime, nakon čega se objekt kreira i možemo početi konfigurirati politiku. Dvaput kliknite na kreirani objekt ili pritisnite gumb Uredi, otvorit će se prozor uređivača GPO u kojem možete konfigurirati određene parametre objekta.

Riža. 3. Opis postavki u kartici Prošireno.

Većina glavnih postavki je intuitivna (imaju i opis ako otvorite karticu Prošireno) i nećemo ulaziti u detalje o svakoj od njih. Kao što se može vidjeti sa Sl. 3, GPO se sastoji od dva odjeljka: Konfiguracija računala i Konfiguracija korisnika. Postavke prve particije primjenjuju se tijekom pokretanja sustava Windows na računala u ovom spremniku i niže (osim ako je nasljeđivanje onemogućeno) i ne ovise o tome koji je korisnik prijavljen. Postavke u drugom odjeljku primjenjuju se tijekom prijave korisnika.

Kako primijeniti objekte pravila grupe

Kada se računalo pokrene, događaju se sljedeće radnje:

1. Čita se registar i utvrđuje kojem mjestu pripada računalo. DNS poslužitelju se postavlja zahtjev za dobivanje IP adresa kontrolera domene koji se nalaze na ovoj stranici.
2. Nakon što primi adrese, računalo se spaja na kontroler domene.
3. Klijent zahtijeva popis GP objekata od kontrolera domene i primjenjuje ih. Potonji šalje popis GP objekata redoslijedom kojim bi se trebali primijeniti.
4. Kada se korisnik prijavi, računalo ponovno traži popis GP objekata za primjenu na korisnika, dohvaća ih i primjenjuje.

Pravila grupe primjenjuju se kada se OS pokrene i kada se korisnik prijavi. Zatim se primjenjuju svakih 90 minuta, s varijacijom od 30 minuta kako bi se osiguralo da kontroler domene nije preopterećen ako postoji mnogo istovremenih zahtjeva klijenata. Za kontrolere domene interval ažuriranja je 5 minuta. Ovo ponašanje možete promijeniti u odjeljku Konfiguracija računala\Administrativni predlošci\Sustav\Grupna pravila. GPO može utjecati samo na računalo i korisničke objekte. Pravila se primjenjuju samo na objekte koji se nalaze u objektu direktorija (mjesto, domena, organizacijska jedinica) s kojim je povezan GPO i niže u "stablu" (osim ako je nasljeđivanje zabranjeno). Na primjer: GPO se stvara u OU testera (kao što smo učinili gore).

Riža. 4. Nasljeđivanje postavki.

Sve postavke napravljene u ovom GPO-u utjecat će samo na korisnike i računala koja se nalaze u OU testera i InTester OU. Pogledajmo postupak primjene pravila na primjeru. Testni korisnik, koji se nalazi u OU testera, prijavljuje se na komp računalo, koje se nalazi u OU compOU (vidi sliku 5).

Riža. 5. Postupak primjene polica.

Postoje četiri GPO-a u domeni:

1. SitePolicy povezan sa spremnikom stranice;
2. Zadana pravila domene povezana sa spremnikom domene;
3. Politika1, povezana s OU testerima;
4. Politika2 povezana s OU compOU.

Kada se Windows podigne na komp radnoj stanici, postavke definirane u odjeljcima Konfiguracija računala primjenjuju se ovim redoslijedom:

1. Lokalne GPO postavke;
2. GPO SitePolicy postavke;

4. GPO Policy2 postavke.

Kada se korisnik test prijavljuje na računalo - parametri definirani u odjeljcima Korisničke konfiguracije:

1. Lokalne GPO postavke;
2. GPO SitePolicy postavke;
3. Parametri zadane politike GPO domene;
4. Postavke GPO Policy1.

To jest, GPO-i se primjenjuju ovim redoslijedom: lokalna pravila, pravila na razini web-mjesta, pravila na razini domene, pravila na razini OU-a.

Grupna pravila primjenjuju se asinkrono na Windows XP klijente, ali sinkrono na Windows 2000 klijente, što znači da se korisnički ekran za prijavu pojavljuje tek nakon što su primijenjena sva pravila računala, a korisnička pravila se primjenjuju prije nego što se pojavi radna površina. Asinkrona provedba pravila znači da se ekran za prijavu korisnika pojavljuje prije nego što se primijene sva pravila računala, a radna površina se pojavljuje prije nego što se primijene sva pravila korisnika, što rezultira bržim pokretanjem i prijavom za korisnika.
Gore opisano ponašanje mijenja se u dva slučaja. Prvi je da je klijentovo računalo otkrilo sporu mrežnu vezu. Prema zadanim postavkama u ovom se slučaju primjenjuju samo sigurnosne postavke i administrativni predlošci. Veza s propusnošću manjom od 500 Kb/s smatra se sporom. Ovu vrijednost možete promijeniti u Computer Configuration\Administrative Templates\System\Group Policy\Group Policy otkrivanje spore veze. Također u odjeljku Konfiguracija računala\Administrativni predlošci\Sustav\Grupna politika možete konfigurirati neke druge postavke pravila tako da se obrađuju preko spore veze. Drugi način za promjenu redoslijeda primjene pravila je opcija povratne obrade pravila korisničke grupe. Ova opcija mijenja zadani redoslijed primjene pravila, u kojem se korisnička pravila primjenjuju nakon računalnih pravila i prepisuju potonja. Možete postaviti opciju povratne petlje tako da se pravila stroja primjenjuju nakon korisničkih pravila i prebrišu sva korisnička pravila koja su u sukobu s pravilima stroja. Parametar povratne petlje ima 2 načina:

1. Spajanje (spajanje) - prvo se primjenjuje pravilo računala, zatim pravilo korisnika i opet pravilo računala. U tom slučaju računalna politika zamjenjuje postavke korisničke politike koje su joj u suprotnosti sa svojima.
2. Zamijeni (zamijeni) - korisnička politika se ne obrađuje.

Primjer korištenja opcije povratne obrade pravila korisničke grupe bio bi na javnom računalu, gdje biste željeli imati iste ograničene postavke bez obzira na to koji ga korisnik koristi.

Prednost, nasljeđivanje i rješavanje sukoba

Kao što ste možda primijetili, GPO-ovi sadrže iste postavke na svim razinama, a iste postavke mogu se definirati različito na više razina. U ovom slučaju, efektivna vrijednost će biti zadnja primijenjena (redoslijed primjene GPO-a je raspravljen gore). Ovo se pravilo primjenjuje na sve parametre osim onih koji su definirani kao nekonfigurirani. Windows ne poduzima ništa za ove postavke. Ali postoji jedna iznimka: sve postavke računa i lozinke mogu se definirati samo na razini domene te će se postavke zanemariti.

Riža. 6. Active Directory korisnici i računala.

Ako postoji više GPO-ova na istoj razini, oni se primjenjuju odozdo prema gore. Promjenom položaja objekta politike na popisu (pomoću gumba Gore i Dolje), možete odabrati željeni redoslijed primjene.

Riža. 7. Postupak primjene polica.

Ponekad želite da određeni OU ne prima postavke pravila od GPO-ova povezanih s uzvodnim spremnicima. U tom slučaju trebate zabraniti nasljeđivanje pravila označavanjem potvrdnog okvira Blokiraj nasljeđivanje pravila. Sve naslijeđene postavke pravila su blokirane i ne postoji način za blokiranje pojedinačnih postavki. Postavke na razini domene koje definiraju politiku lozinki i politiku računa ne mogu se zaključati.

Riža. 9. Blokiranje nasljeđivanja politika.

Ako ne želite da se određene postavke u određenom GPO-u prebrišu, trebali biste odabrati željeni GPO, kliknuti gumb Mogućnosti i odabrati Bez nadjačavanja. Ova opcija prisiljava GPO postavke da se primjenjuju tamo gdje je nasljeđivanje pravila blokirano. Nema nadjačavanja postavljeno na mjestu gdje je GPO povezan s objektom imenika, a ne na samom GPO-u. Ako je GPO povezan s više spremnika u domeni, preostale asocijacije neće imati ovu postavku automatski konfiguriranu. Ako je No Override konfigurirano za više veza na istoj razini, GPO postavke na vrhu popisa imat će prednost (i učinak). Međutim, ako su postavke No Override konfigurirane za više GPO-ova na različitim razinama, postavke za GPO više u hijerarhiji direktorija bit će na snazi. To jest, ako su parametri No override konfigurirani za povezivanje GPO-a s objektom domene i za povezivanje GPO-a s OU-om, postavke definirane na razini domene bit će na snazi. Potvrdni okvir Onemogućeno poništava učinak ovog GPO-a na ovaj spremnik.

Riža. 10. Bez nadjačavanja i onemogućenih opcija.

Kao što je gore spomenuto, pravila utječu samo na korisnike i računala. Često se postavlja pitanje: "Kako mogu postaviti da se određena politika primjenjuje na sve korisnike koji pripadaju određenoj sigurnosnoj grupi?" Da biste to učinili, GPO je vezan na objekt domene (ili bilo koji spremnik koji se nalazi iznad spremnika ili OU-ova koji sadrže sve korisničke objekte iz željene grupe) i konfiguriraju se pristupni parametri. Pritisnite Svojstva, na kartici Sigurnost, izbrišite grupu Autentificiranih korisnika i dodajte potrebnu grupu s pravima za čitanje i primjenu pravila grupe.

Određivanje postavki koje se odnose na računalo korisnika

Da biste odredili konačnu konfiguraciju i identificirali probleme, morat ćete znati koje su postavke politike trenutno na snazi ​​za određenog korisnika ili računalo. U tu svrhu postoji alat pod nazivom Resultant Set of Policy (RSoP). RSoP može raditi iu načinu registracije iu rasporedu. Da biste pozvali RSoP, trebali biste desnom tipkom miša kliknuti na objekt "korisnik" ili "računalo" i odabrati Svi zadaci.

Riža. 11. Pozivanje alata Resultant Set of Policy.

Nakon pokretanja (u načinu zapisivanja), od vas će biti zatraženo da odaberete za koje računalo i korisnika definirati skup rezultata, a pojavit će se rezultirajući prozor postavki koji pokazuje koji je GPO primijenio koju postavku.

Riža. 12. Rezultirajući skup pravila.

Ostali alati za upravljanje pravilima grupe

GPResult je alat naredbenog retka koji pruža neke od funkcionalnosti RSoP-a. GPResult je prema zadanim postavkama dostupan na svim računalima sa sustavom Windows XP i Windows Server 2003.

GPUpdate nameće primjenu grupnih pravila - lokalnih i temeljenih na aktivnom imeniku. U sustavu Windows XP/2003 zamijenio je opciju /refreshpolicy u alatu secedit za Windows 2000.

Opis sintakse naredbe dostupan je kada ih izvodite s tipkom /?.

Umjesto zaključka

Ovaj članak nije namijenjen objašnjavanju svih aspekata rada s pravilima grupe; nije namijenjen iskusnim administratorima sustava. Sve navedeno, po mom mišljenju, trebalo bi samo nekako pomoći u razumijevanju osnovnih principa rada s političarima onima koji s njima nikada nisu radili ili ih tek počinju svladavati.

GPResult uslužni program.exe– je konzolna aplikacija dizajnirana za analizu postavki i dijagnosticiranje grupnih pravila koja se primjenjuju na računalo i/ili korisnika u domeni Active Directory. Konkretno, GPResult vam omogućuje dobivanje podataka iz rezultirajućeg skupa pravila (Resultant Set of Policy, RSOP), popisa primijenjenih domenskih pravila (GPO), njihovih postavki i detaljnih informacija o pogreškama u njihovoj obradi. Uslužni program je dio Windows OS-a od Windows XP-a. Uslužni program GPResult omogućuje vam da odgovorite na sljedeća pitanja: primjenjuje li se određena politika na računalo, koji je GPO promijenio ovu ili onu postavku sustava Windows i razumjeti razloge.

U ovom ćemo članku pogledati značajke korištenja naredbe GPResult za dijagnosticiranje i otklanjanje pogrešaka u primjeni pravila grupe u domeni Active Directory.

U početku je za dijagnosticiranje primjene grupnih pravila u sustavu Windows korištena grafička konzola RSOP.msc, koja je omogućila dobivanje postavki rezultirajućih pravila (domena + lokalno) primijenjenih na računalo i korisnika u grafičkom obliku sličnom na GPO uređivaču konzolu (možete vidjeti dolje u primjeru prikaza konzole RSOP.msc da su postavke ažuriranja postavljene).

Međutim, nije preporučljivo koristiti konzolu RSOP.msc u modernim verzijama Windowsa jer ne odražava postavke koje primjenjuju različita proširenja na strani klijenta (CSE), kao što je GPP (Preference pravila grupe), ne dopušta pretraživanje i pruža malo dijagnostičkih informacija. Stoga je u ovom trenutku naredba GPResult glavni alat za dijagnosticiranje korištenja GPO-a u Windowsima (u Windows 10 se čak pojavljuje upozorenje da RSOP ne daje cjelovito izvješće, za razliku od GPResulta).

Korištenje uslužnog programa GPResult.exe

Naredba GPResult pokreće se na računalu na kojem želite provjeriti primjenu grupnih pravila. Naredba GPResult ima sljedeću sintaksu:

GPRESULT ]] [(/X | /H) ]

Da biste dobili detaljne informacije o grupnim pravilima koja se primjenjuju na određeni AD objekt (korisnik i računalo) i drugim postavkama koje se odnose na GPO infrastrukturu (to jest, rezultirajuće postavke GPO politike - RsoP), pokrenite naredbu:

Rezultati naredbe podijeljeni su u 2 odjeljka:

• RAČUNALO POSTAVKE (Konfiguracija računala) – odjeljak sadrži informacije o GPO objektima koji djeluju na računalu (kao objekt Active Directory);
• KORISNIK POSTAVKE – odjeljak s korisničkim pravilima (pravila koja se odnose na korisnički račun u AD-u).

Idemo ukratko pregledati glavne parametre/odjeljke koji bi nas mogli zanimati u GPResult izlazu:

• stranicaIme(Site name:) – naziv AD stranice u kojoj se nalazi računalo;
• CN– puni kanonski korisnik/računalo za koje su generirani RSoP podaci;
• TrajativrijemeSkupinaPolitikabio jeprimijeniti(Zadnja primijenjena grupna politika) – vrijeme zadnje primjene grupne politike;
• SkupinaPolitikabio jeprimijenitiiz(Grupna politika je primijenjena iz) – kontroler domene s kojeg je učitana najnovija verzija GPO-a;
• DomenaImei DomenaTip(Domain name, domain type) – naziv i verzija Active Directory sheme domene;
• PrimijenjenoSkupinaPolitikaPredmeti(Primijenjeni objekti pravila grupe)– popise aktivnih objekata grupne politike;
• TheslijedećiGPO-ovibilineprimijenitijeronibilifiltriranvan(Sljedeća GPO pravila nisu primijenjena jer su bila filtrirana) - neprimijenjeni (filtrirani) GPO-ovi;
• Thekorisnik/računalojeadioodtheslijedećisigurnostiskupine(Korisnik/računalo je član sljedećih sigurnosnih grupa) – domenske grupe u kojima je korisnik član.

U našem primjeru možete vidjeti da korisnički objekt podliježe 4 grupna pravila.

• Zadana pravila domene;
• Omogućite Windows vatrozid;
• Popis pretraživanja DNS sufiksa;

Ako ne želite da se informacije o korisničkim i računalnim pravilima prikazuju u konzoli u isto vrijeme, možete upotrijebiti opciju /scope za prikaz samo odjeljka koji vas zanima. Samo rezultirajuća korisnička pravila:

gpresult /r /scope:korisnik

ili samo primijenjena računalna pravila:

gpresult /r /scope:računalo

Jer Uslužni program Gpresult šalje svoje podatke izravno u konzolu naredbenog retka, što nije uvijek zgodno za naknadnu analizu; njegov se izlaz može preusmjeriti u međuspremnik:

Gpresult /r |isječak

ili tekstualna datoteka:

Gpresult /r > c:\gpresult.txt

Za prikaz super-detaljnih RSOP informacija, morate dodati /z prekidač.

HTML RSOP izvješće koristeći GPResult

Osim toga, uslužni program GPResult može generirati HTML izvješće o rezultirajućim primijenjenim pravilima (dostupno na Windows 7 i novijim). Ovo će izvješće sadržavati detaljne informacije o svim parametrima sustava koje postavljaju grupna pravila i nazive određenih GPO-ova koji ih postavljaju (rezultirajuća struktura izvješća nalikuje kartici Postavke u konzoli za upravljanje grupnim pravilima domene - GPMC). Možete generirati HTML GPResult izvješće pomoću naredbe:

GPResult /h c:\gp-report\report.html /f

Da biste generirali izvješće i automatski ga otvorili u pregledniku, pokrenite naredbu:

GPResult /h GPResult.html & GPResult.html

HTML izvješće gpresult sadrži dosta korisnih informacija: vidljive su greške u GPO aplikaciji, vremenu obrade (u ms) i primjeni specifičnih pravila i CSE (u odjeljku Detalji računala -> Status komponente). Na primjer, na gornjoj snimci zaslona možete vidjeti da pravilo s postavkama za pamćenje 24 lozinke primjenjuje Zadano pravilo domene (stupac Winning GPO). Kao što možete vidjeti, ovo HTML izvješće mnogo je praktičnije za analizu primijenjenih pravila od konzole rsop.msc.

Primanje GPResult podataka s udaljenog računala

GPResult također može prikupljati podatke s udaljenog računala, eliminirajući potrebu da se administrator lokalno prijavi ili RDP na udaljeno računalo. Format naredbe za prikupljanje RSOP podataka s udaljenog računala je sljedeći:

GPResult /s server-ts1 /r

Slično tome, možete daljinski prikupljati podatke iz korisničkih pravila i pravila računala.

Korisničko ime nema RSOP podatke

Kada je UAC omogućen, pokretanje GPResulta bez povišenih privilegija prikazuje postavke samo odjeljka pravila korisničke grupe. Ako trebate istovremeno prikazati oba odjeljka (KORISNIČKE POSTAVKE i POSTAVKE RAČUNALA), potrebno je pokrenuti naredbu. Ako je naredbeni redak podignut na sustav koji nije trenutnog korisnika, uslužni program će izdati upozorenje INFO:Thekorisnik"domena\korisnik”radineimatiRSOPpodaci ( Korisnik "domena\korisnik" nema RSOP podatke). To se događa zato što GPResult pokušava prikupiti podatke za korisnika koji ga je pokrenuo, ali zato... Ovaj korisnik se nije prijavio i nema RSOP informacija za njega. Za prikupljanje RSOP informacija za korisnika s aktivnom sesijom, trebate navesti njegov račun:

gpresult /r /korisnik:tn\edward

Ako ne znate naziv računa koji je prijavljen na udaljenom računalu, račun možete dobiti ovako:

qwinsta /SERVER:remotePC1

Također provjerite vrijeme(a) na klijentu. Vrijeme mora odgovarati vremenu na PDC (Primarni kontroler domene).

Sljedeća GPO pravila nisu primijenjena jer su filtrirana

Prilikom rješavanja problema grupnih pravila također biste trebali obratiti pozornost na odjeljak: Sljedeći GPO-ovi nisu primijenjeni jer su bili filtrirani. Ovaj odjeljak prikazuje popis GPO-ova koji se, iz jednog ili drugog razloga, ne odnose na ovaj objekt. Mogući načini na koje se pravilo ne može primijeniti:

Također možete saznati treba li se pravilo primijeniti na određeni AD objekt na kartici učinkovitih dopuštenja (Napredno -> Učinkovit pristup).

Dakle, u ovom smo članku pogledali značajke dijagnosticiranja primjene grupnih pravila pomoću uslužnog programa GPResult i pogledali tipične scenarije za njegovu upotrebu.

Funkcionalnost u operacijskom sustavu Windows Server izračunava se i poboljšava iz verzije u verziju, ima sve više uloga i komponenti, pa ću u današnjem materijalu pokušati ukratko opisati opis i svrha svake uloge u sustavu Windows Server 2016.

Prije nego što prijeđemo na opisivanje uloga poslužitelja Windows Servera, saznajmo što " Uloga poslužitelja» u operacijskom sustavu Windows Server.

Što je "uloga poslužitelja" u sustavu Windows Server?

Uloga poslužitelja je programski paket koji osigurava da poslužitelj obavlja određenu funkciju, a ta funkcija je glavna. Drugim riječima, " Uloga poslužitelja" je svrha poslužitelja, tj. čemu služi Kako bi poslužitelj mogao obavljati svoju glavnu funkciju, tj. određena uloga u " Uloga poslužitelja» sav potreban softver za ovo je uključen ( programi, usluge).

Poslužitelj može imati jednu ulogu ako se aktivno koristi ili više ako svaka od njih ne opterećuje jako poslužitelj i rijetko se koristi.

Uloga poslužitelja može uključivati ​​više usluga uloga koje pružaju funkcionalnost uloge. Na primjer, u ulozi poslužitelja " Web poslužitelj (IIS)"uključen je prilično velik broj usluga, a uloga " DNS poslužitelj» usluge uloga nisu uključene jer ova uloga obavlja samo jednu funkciju.

Usluge uloga mogu se instalirati zajedno ili pojedinačno, ovisno o vašim potrebama. U svojoj biti, instaliranje uloge znači instaliranje jedne ili više njezinih usluga.

U sustavu Windows Server također postoje " Komponente» poslužitelji.

Komponente poslužitelja (značajka)- Riječ je o programskim alatima koji nisu poslužiteljska uloga, već proširuju mogućnosti jedne ili više uloga, odnosno upravljaju jednom ili više uloga.

Neke se uloge ne mogu instalirati ako potrebne usluge ili komponente koje su potrebne za funkcioniranje ovih uloga nisu instalirane na poslužitelju. Stoga, u vrijeme instaliranja takvih uloga " Čarobnjak za dodavanje uloga i značajki", automatski će vas zatražiti da instalirate potrebne dodatne usluge ili komponente uloga.

Opis uloga poslužitelja Windows Server 2016

Vjerojatno ste već upoznati s mnogim ulogama koje se nalaze u sustavu Windows Server 2016, budući da postoje već dosta dugo, ali kao što sam rekao, sa svakom novom verzijom Windows Servera dodaju se nove uloge koje možda niste radili s još, ali htjeli bismo znati čemu služe, pa počnimo s njima.

Bilješka! O novim značajkama operativnog sustava Windows Server 2016 možete pročitati u materijalu “Instalacija Windows Servera 2016 i pregled novih značajki”.

Budući da se vrlo često instalacija i administracija uloga, usluga i komponenti odvija pomoću Windows PowerShell, za svaku ulogu i njenu uslugu navest ću naziv koji se može koristiti u PowerShell, odnosno, za instalaciju ili upravljanje njome.

DHCP poslužitelj

Ova vam uloga omogućuje središnju konfiguraciju dinamičkih IP adresa i povezanih postavki za računala i uređaje na vašoj mreži. Uloga DHCP poslužitelja nema usluge uloga.

Naziv za Windows PowerShell je DHCP.

DNS poslužitelj

Ova je uloga namijenjena za razlučivanje imena na TCP/IP mrežama. Uloga DNS poslužitelja pruža i održava DNS. Kako bi se olakšalo upravljanje DNS poslužiteljem, obično se instalira na isti poslužitelj kao i Active Directory Domain Services. Uloga DNS poslužitelja nema usluge uloga.

Naziv uloge za PowerShell je DNS.

Hyper-V

Koristeći Hyper-V ulogu, možete stvoriti i upravljati virtualiziranim okruženjem. Drugim riječima, to je alat za kreiranje i upravljanje virtualnim strojevima.

Naziv uloge za Windows PowerShell je Hyper-V.

Certifikacija performansi uređaja

uloga " » omogućuje procjenu ispravnosti uređaja na temelju izmjerenih sigurnosnih parametara, kao što je status sigurnog pokretanja i Bitlocker na klijentu.

Da bi ova uloga funkcionirala, potrebno je dosta usluga i komponenti uloga, na primjer: nekoliko usluga iz uloge " Web poslužitelj (IIS)", komponenta" ", komponenta" Značajke .NET Framework 4.6».

Tijekom instalacije automatski će se odabrati sve potrebne usluge uloga i komponente. uloga" Certifikacija performansi uređaja»nema vlastitih usluga.

Naziv za PowerShell je DeviceHealthAttestationService.

Web poslužitelj (IIS)

Pruža pouzdanu, upravljivu i skalabilnu infrastrukturu web aplikacija. Sastoji se od prilično velikog broja usluga (43).

Naziv za Windows PowerShell je Web-poslužitelj.

Uključuje sljedeće usluge uloga ( u zagradama ću navesti naziv za Windows PowerShell):

Web poslužitelj (Web-WebServer)– Grupa usluga uloga koja pruža podršku za HTML web stranice, ASP.NET proširenja, ASP i web poslužitelj. Sastoji se od sljedećih usluga:

• Sigurnost (web sigurnost)- skup usluga za osiguranje sigurnosti web poslužitelja.
  • Filtriranje zahtjeva (Web-Filtering) – pomoću ovih alata možete obraditi sve zahtjeve koji stignu na poslužitelj i filtrirati te zahtjeve na temelju posebnih pravila koje postavlja administrator web poslužitelja;
  • Ograničenja IP adrese i domene (Web-IP-Security) - ovi alati vam omogućuju da dopustite ili zabranite pristup sadržaju na web poslužitelju na temelju IP adrese ili naziva domene izvora u zahtjevu;
  • Autorizacija URL-a (Web-Url-Auth) - Alati vam omogućuju da razvijete pravila za ograničavanje pristupa web sadržaju i njihovo povezivanje s korisnicima, grupama ili naredbama HTTP zaglavlja;
  • Provjera autentičnosti (Web-Digest-Auth) – Ova provjera autentičnosti pruža višu razinu sigurnosti od osnovne provjere autentičnosti. Sažeta provjera radi prosljeđivanjem hash lozinke Windows kontroleru domene za autentifikaciju korisnika;
  • Osnovna provjera autentičnosti (Web-Basic-Auth) - Ova metoda provjere autentičnosti pruža snažnu kompatibilnost web preglednika. Preporuča se za korištenje u malim internim mrežama. Glavni nedostatak ove metode je da se lozinke koje se prenose preko mreže mogu prilično lako presresti i dešifrirati, stoga koristite ovu metodu u kombinaciji sa SSL-om;
  • Windows autentifikacija (Web-Windows-Auth) – Ovo je autentifikacija temeljena na autentifikaciji Windows domene. Drugim riječima, možete koristiti Active Directory račune za provjeru autentičnosti korisnika vaših web stranica;
  • Provjera autentičnosti s podudaranjem potvrde klijenta (Web-Client-Auth) – Ova metoda provjere autentičnosti uključuje korištenje potvrde klijenta. Ova vrsta koristi Active Directory za pružanje mapiranja certifikata;
  • Autentifikacija mapiranja certifikata klijenta IIS-a (Web-Cert-Auth) – Ova metoda također koristi certifikate klijenta za autentifikaciju, ali koristi IIS za pružanje mapiranja certifikata. Ova vrsta pruža veću izvedbu;
  • Centralizirana podrška za SSL certifikate (Web-CertProvider) – ovi alati vam omogućuju centralizirano upravljanje certifikatima SSL poslužitelja, što uvelike pojednostavljuje proces upravljanja tim certifikatima;
• Zdravlje i dijagnostika (Web-Health)– skup usluga za pružanje kontrole, upravljanja i rješavanja problema web poslužitelja, stranica i aplikacija:
  • http bilježenje (Web-Http-Logging) - alati omogućuju bilježenje aktivnosti web stranice na određenom poslužitelju, tj. unos u dnevnik;
  • ODBC bilježenje (Web-ODBC-Logging) – Ovi alati također omogućuju bilježenje aktivnosti web stranice, ali podržavaju bilježenje te aktivnosti u bazu podataka usklađenu s ODBC-om;
  • Request Monitor (Web-Request-Monitor) je alat koji vam omogućuje praćenje ispravnosti web aplikacije presretanjem informacija o HTTP zahtjevima u IIS radnom procesu;
  • Web-Custom-Logging—Ovi alati vam omogućuju da konfigurirate aktivnosti web poslužitelja tako da se bilježe u formatu koji se značajno razlikuje od standardnog IIS formata. Drugim riječima, možete kreirati vlastiti modul za bilježenje;
  • Alati za bilježenje (Web-Log-Libraries) alati su za upravljanje zapisima web poslužitelja i automatiziranje zadataka bilježenja;
  • Praćenje (Web-Http-Tracing) je alat za dijagnosticiranje i otklanjanje problema u radu web aplikacija.
• Uobičajene http funkcije (Web-Common-Http)– skup usluga koje pružaju osnovnu HTTP funkcionalnost:
  • Zadani dokument (Web-Default-Doc) - Ova značajka vam omogućuje da konfigurirate web poslužitelj da vrati zadani dokument kada korisnici ne navedu određeni dokument u URL-u zahtjeva, olakšavajući korisnicima pristup web stranici, na primjer, domena, bez navođenja datoteke;
  • Pregledavanje direktorija (Web-Dir-Browsing) - Ovaj se alat može koristiti za konfiguriranje web poslužitelja tako da korisnici mogu vidjeti popis svih direktorija i datoteka na web mjestu. Na primjer, za slučajeve kada korisnici ne navedu datoteku u URL-u zahtjeva, a dokumenti su ili onemogućeni ili nisu konfigurirani prema zadanim postavkama;
  • http pogreške (Web-Http-Errors) – ova značajka vam omogućuje da konfigurirate poruke o pogrešci koje će biti vraćene web preglednicima korisnika kada web poslužitelj otkrije pogrešku. Ova se značajka koristi za bolje predstavljanje poruka o pogreškama korisnicima;
  • Statički sadržaj (Web-Static-Content) - ovaj alat omogućuje korištenje sadržaja u obliku statičnih formata datoteka, na primjer, HTML datoteka ili slikovnih datoteka, na web poslužitelju;
  • http preusmjeravanje (Web-Http-Redirect) – pomoću ove značajke možete preusmjeriti zahtjev korisnika na određeno odredište, tj. ovo je Preusmjeravanje;
  • WebDAV objavljivanje (Web-DAV-Publishing) – omogućuje korištenje WebDAV tehnologije na IIS WEB poslužitelju. WebDAV ( Web distribuirano autorstvo i verzija) je tehnologija koja korisnicima omogućuje zajednički rad ( čitanje, uređivanje, čitanje svojstava, kopiranje, premještanje) preko datoteka na udaljenim web poslužiteljima koristeći HTTP protokol.
• Izvedba (web-izvedba)– skup usluga za postizanje većih performansi web poslužitelja putem predmemoriranja izlaza i uobičajenih mehanizama kompresije kao što su Gzip i Deflate:
  • Web-Stat-Compression je alat za prilagodbu kompresije http statičnog sadržaja, omogućavajući učinkovitiju upotrebu propusnosti bez uzaludnog korištenja CPU-a;
  • Dinamičko sažimanje sadržaja (Web-Dyn-Compression) alat je za konfiguriranje HTTP dinamičkog sažimanja sadržaja. Ova značajka omogućuje učinkovitiju upotrebu širine pojasa, ali opterećenje CPU-a na poslužitelju povezano s dinamičkom kompresijom može uzrokovati usporavanje stranice ako je opterećenje CPU-a veliko bez kompresije.
• Razvoj aplikacija (Web-App-Dev)– skup usluga i alata za razvoj i hosting web aplikacija, drugim riječima tehnologija za razvoj web stranica:
  • ASP (Web-ASP) je okruženje za podršku i razvoj web stranica i web aplikacija pomoću ASP tehnologije. Trenutno postoji novija i naprednija tehnologija za razvoj web stranica - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste ASP.NET tehnologiju;
  • ASP.NET 4.6 (Web-Asp-Net45) također je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste novu verziju ASP.NET-a;
  • CGI (Web-CGI) je mogućnost korištenja CGI-ja za prijenos informacija s web poslužitelja na vanjski program. CGI je određeni standard sučelja za povezivanje vanjskog programa s web poslužiteljem. Loša strana je da korištenje CGI-ja utječe na performanse;
  • Uključivanja na strani poslužitelja (SSI) (Web-Includes) su podrška za SSI skriptni jezik ( omogućivači na strani poslužitelja), koji se koristi za dinamičko generiranje HTML stranica;
  • Inicijalizacija aplikacije (Web-AppInit) – ovaj alat obavlja zadatak inicijalizacije web aplikacije prije prosljeđivanja web stranice;
  • WebSocket protokol (Web-WebSockets) - dodavanje mogućnosti stvaranja poslužiteljskih aplikacija koje komuniciraju pomoću WebSocket protokola. WebSocket je protokol koji može slati i primati podatke istovremeno između preglednika i web poslužitelja putem TCP veze, svojevrsnog proširenja HTTP protokola;
  • ISAPI Extensions (Web-ISAPI-Ext) – podrška za dinamički razvoj web sadržaja pomoću ISAPI sučelja za programiranje aplikacija. ISAPI je API za IIS web poslužitelj. ISAPI aplikacije puno su brže od ASP datoteka ili datoteka koje pozivaju COM+ komponente;
  • .NET 3.5 Extensibility (Web-Net-Ext) je značajka proširivosti .NET 3.5 koja vam omogućuje promjenu, dodavanje i proširenje funkcionalnosti web poslužitelja kroz cjevovod za obradu zahtjeva, konfiguraciju i korisničko sučelje;
  • .NET 4.6 Extensibility (Web-Net-Ext45) je značajka proširivosti .NET 4.6 koja također omogućuje promjenu, dodavanje i proširenje funkcionalnosti web poslužitelja kroz cjevovod za obradu zahtjeva, konfiguraciju i korisničko sučelje;
  • ISAPI filteri (Web-ISAPI-Filter) – dodavanje podrške za ISAPI filtere. ISAPI filtri su programi koji se pozivaju kada web poslužitelj primi određeni HTTP zahtjev koji filtar treba obraditi.

FTP poslužitelj (Web-Ftp-poslužitelj)– usluge koje pružaju podršku za FTP protokol. O FTP poslužitelju detaljnije smo govorili u materijalu - "Instaliranje i konfiguriranje FTP poslužitelja na Windows Server 2016". Sadrži sljedeće usluge:

• FTP usluga (Web-Ftp-Service) – dodaje podršku za FTP protokol na web poslužitelju;
• FTP Extensibility (Web-Ftp-Ext) – Proširuje standardne FTP mogućnosti, kao što je dodavanje podrške za značajke kao što su prilagođeni pružatelji usluga, korisnici ASP.NET-a ili korisnici IIS Managera.

Alati za upravljanje (Web-Mgmt-Tools)- Ovo su alati za upravljanje IIS 10 web poslužiteljem. Ovo uključuje: IIS korisničko sučelje, alate naredbenog retka i skripte.

• IIS Management Console (Web-Mgmt-Console) je korisničko sučelje za upravljanje IIS-om;
• IIS skupovi znakova i alati (Web-Scripting-Tools) su alati i skripte za upravljanje IIS-om pomoću naredbenog retka ili skripti. Mogu se koristiti, na primjer, za automatizaciju upravljanja;
• Usluga upravljanja (Web-Mgmt-Service) – ova usluga dodaje mogućnost daljinskog upravljanja web poslužiteljem s drugog računala pomoću IIS upravitelja;
• Upravljanje kompatibilnošću IIS 6 (Web-Mgmt-Compat) - Osigurava kompatibilnost između aplikacija i skripti koje koriste dva IIS API-ja. Postojeće IIS 6 skripte mogu se koristiti za kontrolu IIS 10 web poslužitelja:
  • IIS 6 Compatibility Metabase Metabase (Web-Metabase) je alat za kompatibilnost koji vam omogućuje pokretanje aplikacija i skupova znakova prenesenih iz ranijih verzija IIS-a;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - Ovi alati vam omogućuju korištenje istih IIS 6 skriptnih usluga koje su stvorene za upravljanje IIS 6 u IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – alat za administriranje udaljenih IIS 6.0 poslužitelja;
  • WMI kompatibilni IIS 6 (Web-WMI) su sučelja za skriptiranje Windows Management Instrumentation (WMI) za programsku kontrolu i automatizaciju zadataka IIS 10.0 web poslužitelja pomoću skupa skripti stvorenih u WMI provideru.

Usluge domene Active Directory

uloga " Usluge domene Active Directory» (AD DS) pruža distribuiranu bazu podataka koja pohranjuje i obrađuje informacije o mrežnim resursima. Ova se uloga koristi za organiziranje mrežnih elemenata, kao što su korisnici, računala i drugi uređaji, u hijerarhijsku sigurnu strukturu ljuske. Hijerarhijska struktura uključuje šume, domene unutar šume i organizacijske jedinice (OU) unutar svake domene. Poslužitelj koji pokreće AD DS naziva se kontroler domene.

Naziv uloge za Windows PowerShell je AD-Domain-Services.

Osnove sustava Windows Server

Ova uloga predstavlja računalnu infrastrukturu i pruža prikladne i učinkovite funkcije, na primjer: pohranjivanje podataka klijenta na centralizirano mjesto i zaštita tih podataka izradom sigurnosne kopije poslužitelja i klijentskih računala, daljinski pristup webu, što vam omogućuje pristup podacima s gotovo bilo kojeg uređaja. Ova uloga zahtijeva nekoliko usluga uloga i komponenti za funkcioniranje, na primjer: BranchCache komponente, Windows Server Backup, Group Policy Management, role service " DFS imenski prostori».

Naziv za PowerShell je ServerEssentialsRole.

Mrežni kontroler

Ova je uloga uvedena u sustavu Windows Server 2016 i pruža jedinstvenu točku automatizacije za upravljanje, nadzor i dijagnosticiranje fizičke i virtualne mrežne infrastrukture u podatkovnom centru. Koristeći ovu ulogu, možete konfigurirati IP podmreže, VLAN-ove, fizičke mrežne adaptere Hyper-V hostova, upravljati virtualnim preklopnicima, fizičkim usmjerivačima, postavkama vatrozida i VPN pristupnicima s jedne točke.

Naziv za Windows PowerShell je NetworkController.

Služba čuvara čvora

Ovo je uloga poslužitelja Hosted Guardian Service (HGS) i pruža usluge potvrde i zaštite ključeva koje zaštićenim hostovima omogućuju pokretanje zaštićenih virtualnih strojeva. Da bi ova uloga funkcionirala, potrebno je nekoliko dodatnih uloga i komponenti, na primjer: usluge domene Active Directory, web poslužitelj (IIS), komponenta " Failover Clustering"i drugi.

Naziv za PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

uloga " Active Directory Lightweight Directory Services" (AD LDS) - je lagana verzija AD DS-a koja ima manje funkcionalnosti, ali ne zahtijeva implementaciju domena ili kontrolera domene, te nema ovisnosti i ograničenja domene koje zahtijevaju AD DS usluge. AD LDS radi preko LDAP protokola ( Lagani protokol za pristup direktoriju). Možete implementirati više AD LDS instanci s neovisno upravljanim shemama na jednom poslužitelju.

Naziv za PowerShell je ADLDS.

MultiPoint usluge

Ovo je također nova uloga koja je predstavljena u sustavu Windows Server 2016. MultiPoint Services (MPS) pruža osnovnu funkcionalnost udaljene radne površine koja omogućuje da više korisnika radi istovremeno i neovisno na istom računalu. Da biste instalirali i radili s ovom ulogom, trebate instalirati nekoliko dodatnih usluga i komponenti, na primjer: poslužitelj za ispis, uslugu Windows Search, XPS preglednik i druge, a sve će biti odabrane automatski kada se MPS instalira.

Naziv uloge za PowerShell je MultiPointServerRole.

Usluge ažuriranja sustava Windows Server

Pomoću ove uloge (WSUS) administratori sustava mogu upravljati Microsoftovim ažuriranjima. Na primjer, stvorite zasebne grupe računala za različite skupove ažuriranja, a također primajte izvješća o usklađenosti računala i ažuriranjima koja je potrebno instalirati. funkcionirati" Usluge ažuriranja sustava Windows Server"Potrebne su nam usluge uloga i komponente kao što su: web poslužitelj (IIS), interna baza podataka sustava Windows, usluga aktivacije procesa sustava Windows.

Naziv za Windows PowerShell je UpdateServices.

• WID povezivanje (UpdateServices-WidDB) – postavljeno na WID ( Windows interna baza podataka) baza podataka koju koristi WSUS. Drugim riječima, WSUS će svoje podatke o usluzi pohraniti u WID;
• WSUS usluge (UpdateServices-Services) su usluge WSUS uloga, kao što su usluga ažuriranja, web usluga za izvješćivanje, API udaljena web usluga, web usluga klijenta, web usluga jednostavne internetske provjere autentičnosti, usluga sinkronizacije poslužitelja i DSS usluga web provjere autentičnosti;
• SQL Server Connectivity (UpdateServices-DB) je instalacija komponente koja omogućuje WSUS servisu povezivanje s Microsoft SQL Server bazom podataka. Ova opcija uključuje pohranu servisnih podataka u Microsoft SQL Server bazu podataka. U tom slučaju već morate imati barem jednu instaliranu instancu SQL Servera.

Usluge količinske aktivacije

Ova uloga poslužitelja automatizira i pojednostavljuje izdavanje količinskih licenci za Microsoftov softver i omogućuje vam upravljanje tim licencama.

Naziv za PowerShell je VolumeActivation.

Usluge ispisa i dokumenata

Ova uloga poslužitelja dizajnirana je za dijeljenje pisača i skenera na mreži, središnje konfiguriranje i upravljanje poslužiteljima za ispis i skeniranje te upravljanje mrežnim pisačima i skenerima. Usluge ispisa i dokumenata također vam omogućuju slanje skeniranih dokumenata putem e-pošte, mrežnih dijeljenja ili web-mjesta Windows SharePoint Services.

Naziv za PowerShell je Print-Services.

• Print-Server – Ova usluga uloga uključuje " Upravljanje ispisom", koji se koristi za upravljanje pisačima ili ispisnim poslužiteljima, kao i za migraciju pisača i drugih ispisnih poslužitelja;
• Ispis putem interneta (Print-Internet) - za implementaciju ispisa putem interneta izrađuje se web stranica putem koje korisnici mogu upravljati poslovima ispisa na poslužitelju. Da bi ova usluga radila, kao što razumijete, morate instalirati " Web poslužitelj (IIS)" Sve potrebne komponente bit će odabrane automatski kada označite ovaj okvir tijekom procesa instalacije servisa uloga " Online tisak»;
• Distribuirani poslužitelj za skeniranje (Print-Scan-Server) usluga je koja vam omogućuje primanje skeniranih dokumenata s mrežnih skenera i njihovo slanje na odredište. Ova usluga također sadrži " Kontrola skeniranja", koji se koristi za upravljanje mrežnim skenerima i za konfiguriranje skeniranja;
• LPD usluga (Print-LPD-Service) - LPD usluga ( Line Printer Daemon) omogućuje računalima temeljenim na UNIX-u i drugim računalima koja koriste uslugu Line Printer Remote (LPR) za ispis na pisače dijeljenog poslužitelja.

Mrežna politika i usluge pristupa

uloga " » (NPAS) vam omogućuje korištenje poslužitelja mrežnih pravila (NPS) za postavljanje i provedbu pravila za pristup mreži, autentifikaciju i autorizaciju te zdravlje klijenta, drugim riječima, kako biste osigurali sigurnost mreže.

Naziv za Windows PowerShell je NPAS.

Usluge postavljanja sustava Windows

Pomoću ove uloge možete instalirati operativni sustav Windows daljinski preko mreže.

Naziv uloge za PowerShell je WDS.

• Deployment Server (WDS-Deployment) – ova usluga uloge dizajnirana je za daljinsko postavljanje i konfiguraciju Windows operativnih sustava. Također vam omogućuje stvaranje i prilagodbu slika za ponovnu upotrebu;
• Transportni poslužitelj (WDS-Transport) - ova usluga sadrži glavne mrežne komponente pomoću kojih možete multicastom prenositi podatke na samostalnom poslužitelju.

Usluge certifikata Active Directory

Ova je uloga osmišljena za stvaranje ovlasti za izdavanje certifikata i povezanih usluga uloga koje vam omogućuju izdavanje i upravljanje certifikatima za različite aplikacije.

Naziv za Windows PowerShell je AD-certifikat.

Uključuje sljedeće usluge uloga:

• Izdavač certifikata (ADCS-Cert-Authority) – pomoću ove usluge uloga možete izdavati certifikate korisnicima, računalima i servisima te upravljati valjanošću certifikata;
• Web usluga pravila upisa certifikata (ADCS-Enroll-Web-Pol) – Ova usluga korisnicima i računalima omogućuje dobivanje informacija o politici upisa certifikata pomoću web preglednika, čak i ako računalo nije član domene. Za njegovo funkcioniranje potrebno je " Web poslužitelj (IIS)»;
• Web-usluga upisa certifikata (ADCS-Enroll-Web-Svc) – Ova usluga korisnicima i računalima omogućuje upis i obnovu certifikata pomoću web-preglednika preko HTTPS-a, čak i ako računalo nije član domene. Za njegovo funkcioniranje također je potrebno " Web poslužitelj (IIS)»;
• Online Responder (ADCS-Online-Cert) – Usluga dizajnirana za provjeru opoziva certifikata za klijente. Drugim riječima, prihvaća zahtjev za status opoziva za određene certifikate, procjenjuje status tih certifikata i šalje natrag potpisani odgovor s informacijama o statusu. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)»;
• Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) – Ova usluga pruža web sučelje za korisnike za obavljanje zadataka kao što su traženje i obnavljanje certifikata, dobivanje popisa opozvanih certifikata i upisivanje certifikata pametne kartice. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)»;
• Usluga prijave mrežnog uređaja (ADCS-Device-Enrollment) – pomoću ove usluge možete izdavati i upravljati certifikatima za usmjerivače i druge mrežne uređaje koji nemaju mrežne račune. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)».

Usluge udaljene radne površine

Uloga poslužitelja koja vam omogućuje pružanje pristupa virtualnim radnim površinama, radnim površinama temeljenim na sesiji i RemoteApps.

Naziv uloge za Windows PowerShell je Remote-Desktop-Services.

Sastoji se od sljedećih usluga:

• Web pristup udaljenoj radnoj površini (RDS-Web-Access) - Ova usluga uloga omogućuje korisnicima pristup udaljenim radnim površinama i aplikacijama RemoteApp putem " Start» ili pomoću web preglednika;
• Licenciranje udaljene radne površine (RDS-licenciranje) - usluga dizajnirana za upravljanje licencama koje su potrebne za povezivanje s poslužiteljem sesije udaljene radne površine ili virtualnom radnom površinom. Može se koristiti za instaliranje, izdavanje licenci i praćenje njihove dostupnosti. Ova usluga zahtijeva " Web poslužitelj (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) usluga je uloga koja pruža sljedeće mogućnosti: ponovno povezivanje korisnika s postojećom virtualnom radnom površinom, aplikacijom RemoteApp i radnom površinom temeljenom na sesiji te balansiranje opterećenja između poslužitelja udaljenih sesija i stolnih računala ili između virtualne radne površine u skupu. Ova usluga zahtijeva " »;
• Remote Desktop Virtualization Host (DS-Virtualization) usluga je koja korisnicima omogućuje povezivanje s virtualnim radnim površinama pomoću RemoteApp i Desktop Connection. Ova usluga radi u sprezi s Hyper-V, tj. ta se uloga mora uspostaviti;
• Domaćin sesije udaljene radne površine (RDS-RD-poslužitelj) – Ova usluga vam omogućuje da na poslužitelju postavite aplikacije RemoteApp i radne površine temeljene na sesiji. Za pristup koristite Remote Desktop Connection klijent ili RemoteApp;
• Remote Desktop Gateway (RDS-Gateway) - Usluga omogućuje ovlaštenim udaljenim korisnicima povezivanje s virtualnim radnim površinama, RemoteApps i radnim površinama temeljenim na sesijama na korporativnoj mreži ili preko interneta. Za funkcioniranje ove usluge potrebne su sljedeće dodatne usluge i komponente: " Web poslužitelj (IIS)», « Mrežna politika i usluge pristupa», « RPC preko HTTP proxyja».

Usluge upravljanja pravima Active Directory

Ovo je uloga poslužitelja koja će vam omogućiti zaštitu informacija od neovlaštenog korištenja. Provjerava identitete korisnika i dodjeljuje ovlaštenim korisnicima licence za pristup zaštićenim podacima. Za funkcioniranje ove uloge potrebne su dodatne usluge i komponente: " Web poslužitelj (IIS)», « Usluga aktivacije Windows procesa», « Značajke .NET Framework 4.6».

Naziv za Windows PowerShell je ADRMS.

• Poslužitelj za upravljanje pravima Active Directory (ADRMS-poslužitelj) usluga je glavne uloge i potrebna je za instalaciju;
• Podrška za federaciju identiteta (ADRMS-Identity) je izborna usluga uloga koja omogućuje federalnim identitetima da koriste zaštićeni sadržaj pomoću Active Directory Federation Services.

Active Directory Federation Services

Ova uloga pruža pojednostavljene i sigurne mogućnosti federacije identiteta, kao i jedinstvenu prijavu (SSO) temeljenu na pregledniku na web stranicama.

Naziv za PowerShell je ADFS-Federacija.

Udaljeni pristup

Ova uloga omogućuje povezivanje kroz DirectAccess, VPN i proxy web aplikacije. Također uloga " Udaljeni pristup» pruža tradicionalne mogućnosti usmjeravanja, uključujući prevođenje mrežne adrese (NAT) i druge mogućnosti povezivanja. Ova uloga zahtijeva dodatne usluge i komponente: " Web poslužitelj (IIS)», « Windows interna baza podataka».

Naziv uloge za Windows PowerShell je RemoteAccess.

• DirectAccess i VPN (RAS) (DirectAccess-VPN) - usluga omogućuje korisnicima povezivanje s korporativnom mrežom u bilo kojem trenutku ako imaju pristup internetu putem DirectAccess-a, kao i organiziranje VPN veza u kombinaciji s tehnologijama tuneliranja i šifriranja podataka;
• Routing - usluga pruža podršku za NAT routere, LAN routere s BGP, RIP protokolima i routere s multicast podrškom (IGMP proxy);
• Web Application Proxy Server (Web-Application-Proxy) - usluga vam omogućuje objavljivanje aplikacija temeljenih na HTTP i HTTPS protokolima s korporativne mreže na klijentskim uređajima koji se nalaze izvan korporativne mreže.

Usluge datoteka i pohrane

Ovo je uloga poslužitelja koja se može koristiti za dijeljenje datoteka i mapa, upravljanje i kontrolu dijeljenja, repliciranje datoteka, pružanje brzih pretraga datoteka i omogućavanje pristupa UNIX klijentskim računalima. Pogledali smo datotečne usluge, a posebno datotečni poslužitelj detaljnije u materijalu "Instaliranje datotečnog poslužitelja na Windows Server 2016".

Naziv za Windows PowerShell je FileAndStorage-Services.

Usluge skladištenja– Ova usluga pruža funkcionalnost upravljanja pohranom koja je uvijek instalirana i ne može se ukloniti.

Datotečne usluge i iSCSI usluge (Datotečne usluge)– to su tehnologije koje pojednostavljuju upravljanje datotečnim poslužiteljima i pohranom, štede prostor na disku, omogućuju replikaciju i predmemoriju datoteka u ograncima, a također omogućuju dijeljenje datoteka pomoću NFS protokola. Uključuje sljedeće usluge uloga:

• File Server (FS-FileServer) je servis uloga koji upravlja dijeljenim mapama i korisnicima omogućuje pristup datotekama na ovom računalu preko mreže;
• Deduplikacija podataka (FS-Data-Deduplication) – ova usluga štedi prostor na disku pohranjujući samo jednu kopiju identičnih podataka na volumen;
• Upravitelj resursa poslužitelja datoteka (FS-Resource-Manager) – pomoću ove usluge možete upravljati datotekama i mapama na poslužitelju datoteka, kreirati izvješća o pohrani, klasificirati datoteke i mape, konfigurirati kvote mapa i definirati pravila blokiranja datoteka;
• iSCSI Target Storage Provider (Hardware VDS i VSS Providers) (iSCSITarget-VSS-VDS) – Usluga omogućuje aplikacijama na poslužitelju spojenom na iSCSI cilj da kopiraju volumene u sjeni na iSCSI virtualnim diskovima;
• DFS imenski prostori (FS-DFS-Namespace) - pomoću ove usluge možete grupirati zajedničke mape koje se nalaze na različitim poslužiteljima u jedan ili više logički strukturiranih imenskih prostora;
• Radne mape (FS-SyncShareService) – usluga vam omogućuje korištenje radnih datoteka na različitim računalima, uključujući radna i osobna. Možete pohraniti svoje datoteke u radne mape, sinkronizirati ih i pristupiti im s lokalne mreže ili interneta. Za funkcioniranje usluge potrebna je komponenta " IIS In-Process Web Engine»;
• DFS replikacija (FS-DFS-replikacija) je modul replikacije podataka između više poslužitelja koji vam omogućuje sinkronizaciju mapa putem lokalne ili globalne mrežne veze. Ova tehnologija koristi protokol daljinske diferencijalne kompresije (RDC) za ažuriranje samo onih dijelova datoteka koji su promijenjeni od zadnje replikacije. DFS replikacija može se koristiti s DFS imenskim prostorima ili zasebno;
• Poslužitelj za NFS (FS-NFS-Service) – usluga koja ovom računalu omogućuje dijeljenje datoteka s računalima baziranim na UNIX-u i drugim računalima koja koriste protokol Network File System (NFS);
• iSCSI ciljni poslužitelj (FS-iSCSITarget-Server) – Pruža usluge i alate za upravljanje za iSCSI ciljeve;
• Usluga BranchCache za mrežne datoteke (FS-BranchCache) - Usluga pruža podršku za BranchCache na ovom poslužitelju datoteka;
• File Server VSS Agent Service (FS-VSS-Agent) - Usluga vam omogućuje izvođenje kopija volumena u sjeni za aplikacije koje pohranjuju podatkovne datoteke na ovaj datotečni poslužitelj.

Fax poslužitelj

Uloga šalje i prima faksove i omogućuje vam upravljanje resursima faksa, kao što su poslovi, postavke, izvješća i uređaji za faks, na ovom računalu ili mreži. Za rad trebate " Ispisni poslužitelj».

Naziv uloge za Windows PowerShell je Fax.

Ovime završavamo pregled uloga poslužitelja Windows Server 2016, nadam se da vam je materijal bio koristan, bok!

Prije nego što razvijete socket poslužitelj, trebate kreirati poslužitelj politike koji govori Silverlightu koji se klijenti smiju spojiti na socket poslužitelj.

Kao što je gore prikazano, Silverlight ne dopušta učitavanje sadržaja ili pozivanje web-usluge osim ako domena ima clientaccesspolicy .xml ili datoteku crossdomain. xml, koji izričito dopušta te operacije. Slično ograničenje nametnuto je i socket poslužitelju. Ako ne dopustite uređaju klijenta da učita datoteku clientaccesspolicy .xml koja omogućuje daljinski pristup, Silverlight će odbiti uspostaviti vezu.

Nažalost, pružanje pravila pristupa klijentu. cml u socket aplikaciju je teži zadatak od pružanja putem web stranice. Kada koristite web mjesto, softver web poslužitelja može dati clientaccesspolicy .xml datoteku, samo je trebate dodati. Međutim, kada koristite socket aplikaciju, morate otvoriti socket prema kojem klijentske aplikacije mogu slati zahtjeve za pravilima. Osim toga, morate ručno kreirati kod koji služi utičnici. Za rješavanje ovih problema morate kreirati poslužitelj pravila.

Kao što ćemo dalje vidjeti, poslužitelj pravila radi na isti način kao i poslužitelj poruka, samo rukuje malo jednostavnijim interakcijama. Poslužitelji poruka i pravila mogu se kreirati odvojeno ili kombinirati u jednoj aplikaciji. U drugom slučaju, moraju slušati zahtjeve u različitim nitima. U ovom primjeru stvorit ćemo poslužitelj pravila i zatim ga kombinirati s poslužiteljem poruka.

Da biste kreirali poslužitelj pravila, prvo morate kreirati .NET aplikaciju. Bilo koja vrsta .NET aplikacije može poslužiti kao poslužitelj pravila. Najlakši način je korištenje konzolne aplikacije. Nakon što otklonite pogreške svoje konzolne aplikacije, možete premjestiti kod na Windows uslugu tako da neprekidno radi u pozadini.

Datoteka pravila

Ispod je datoteka pravila koju osigurava poslužitelj pravila.

Datoteka pravila definira tri pravila.

Omogućuje pristup svim priključcima od 4502 do 4532 (ovo je cijeli raspon priključnica koje podržava dodatak Silverlight). Da biste promijenili raspon dostupnih portova, trebate promijeniti vrijednost atributa porta elementa.

Omogućuje TCP pristup (dopuštenje je definirano u atributu protokola elementa).

Omogućuje pozivanje s bilo koje domene. Stoga aplikaciju Silverlight koja uspostavlja vezu može ugostiti bilo koje web mjesto. Da biste promijenili ovo pravilo, trebate urediti atribut uri elementa.

Kako bi se zadatak olakšao, pravila pravila su smještena u datoteku clientaccess-ploi.cy.xml koja se dodaje projektu. U Visual Studio, postavka Copy to Output Directory datoteke pravila mora biti postavljena na Copy Always. Sve što trebate učiniti je pronaći datoteku na tvrdom disku, otvoriti je i vratiti sadržaj na uređaj klijenta.

Klasa PolicyServer

Funkcionalnost Policy Servera temelji se na dvije ključne klase: PolicyServer i PolicyConnection. Klasa PolicyServer upravlja čekanjem na veze. Nakon što primi vezu, predaje kontrolu novoj instanci klase PoicyConnection, koja prosljeđuje datoteku pravila klijentu. Ovaj dvodijelni postupak je uobičajen u mrežnom programiranju. Vidjet ćete ga više puta kada radite s poslužiteljima poruka.

Klasa PolicyServer učitava datoteku pravila s tvrdog diska i pohranjuje je u polje kao niz bajtova.

javna klasa PolicyServer

politika privatnih bajtova;

public PolicyServer(string policyFile) (

Da bi počela slušati, poslužiteljska aplikacija mora pozvati PolicyServer. Start(). Stvara objekt TcpListener koji osluškuje zahtjeve. Objekt TcpListener konfiguriran je za slušanje na priključku 943. U Silverlightu ovaj je priključak rezerviran za poslužitelje pravila. Kada se podnose zahtjevi za datoteke pravila, Silverlight ih automatski prosljeđuje na priključak 943.

privatni TcpListener slušatelj;

public void Start()

// Kreirajte objekt koji sluša

slušač = novi TcpListener(IPAddress.Any, 943);

// Počnite slušati; metoda Start() vraća se odmah nakon što je slušatelj.Start() pozvan;

// Čekanje na vezu; metoda se odmah vraća;

II čekanje se izvodi u zasebnoj niti

Kako bi prihvatio ponuđenu vezu, poslužitelj pravila poziva metodu BeginAcceptTcpClient(). Kao i sve metode Beginxxx() okvira .NET, vraća se odmah nakon poziva, izvodeći potrebne operacije na zasebnoj niti. Za mrežne aplikacije, ovo je vrlo značajan čimbenik jer dopušta da se mnogi zahtjevi za datoteke pravila obrade istovremeno.

Bilješka. Mrežni programeri početnici često se pitaju kako je moguće obraditi više od jednog zahtjeva odjednom i misle da je za to potrebno više poslužitelja. Međutim, to nije istina. Ovim bi pristupom klijentske aplikacije brzo iscrpile dostupne priključke. U praksi poslužiteljske aplikacije obrađuju mnogo zahtjeva kroz jedan port. Ovaj proces je nevidljiv za aplikacije jer TCP podsustav ugrađen u Windows automatski identificira poruke i usmjerava ih na odgovarajuće objekte u kodu aplikacije. Svaka se veza jedinstveno identificira na temelju četiri parametra: IP adresa klijenta, broj porta klijenta, IP adresa poslužitelja i broj porta poslužitelja.

Na svaki zahtjev pokreće se metoda povratnog poziva OnAcceptTcpClient(). Ponovno poziva O-ovu metodu BeginAcceptTcpClient da počne čekati na sljedeći zahtjev na drugoj niti, a zatim započinje obradu trenutnog zahtjeva.

public void OnAcceptTcpClient(IAsyncResult ag) (

if (isStopped) povratak;

Console.WriteLine("Zahtjev za pravila primljen."); // Čeka se sljedeća veza.

slušatelj.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Obrada trenutne veze.

TcpClient klijent = slušač.EndAcceptTcpClient(ag); PolicyConnection policyConnection = nova PolicyConnection(klijent, politika); policyConnection.HandleRequest() ;

catch (Exception err) (

Svaki put kad se primi nova veza, kreira se novi objekt PolicyConnection za rukovanje njome. Dodatno, objekt PolicyConnection održava datoteku pravila.

Posljednja komponenta klase PolicyServer je Stop() metoda, koja zaustavlja čekanje zahtjeva. Aplikacija ga poziva kada izađe.

privatni bool isStopped;

public void StopO (

isStopped = istina;

slušatelj. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Za pokretanje poslužitelja pravila, sljedeći kod se koristi u Main() metodi poslužitelja aplikacija.

static void Main(string args) (

PolicyServer policyServer = novi PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Poslužitelj pravila radi."); Console.WriteLine("Pritisnite Enter za izlaz.");

// Pričekajte da se pritisne tipka; koristeći // Console.ReadKey() metodu, možete postaviti očekivanje za određeni // red (na primjer, quit) ili pritiskom na bilo koju tipku Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Završi poslužitelj pravila.");

Klasa PolicyConnection

Klasa PolicyConnection radi jednostavniji posao. Objekt PolicyConnection pohranjuje referencu na podatke datoteke pravila. Zatim, nakon pozivanja metode HandleRequest(), objekt PolicyConnection dohvaća novu vezu iz mrežnog toka i pokušava je pročitati. Klijentski uređaj mora proslijediti niz koji sadrži tekst Nakon čitanja ovog teksta, klijentski uređaj upisuje podatke o politici u tok i zatvara vezu. Ispod je kod za klasu PolicyConnection.

javna klasa PolicyConnection(

privatni TcpClient klijent; politika privatnih bajtova;

javna PolicyConnection(TcpClient klijent, pravilo bajtova) (

this.client = klijent; this.policy = politika;

// Kreirajte privatni statički niz zahtjeva klijenta policyRequestString = "

javni void HandleRequest() (

Stream s = client.GetStream(); // Čitanje niza upita pravila

međuspremnik bajtova = novi bajt;

// Pričekajte samo 5 sekundi client.ReceiveTimeout = 5000;’

s.Read(buffer, 0, buffer.Length);

// Prosljeđivanje pravila (također možete provjeriti ima li pravilo // zahtjev potreban sadržaj) s.Write(policy, 0, policy.Length);

//Zatvaranje klijenta veze.Close();

Console.WriteLine("Poslužena datoteka pravila.");

Dakle, imamo potpuno funkcionalan poslužitelj pravila. Nažalost, još se ne može testirati jer dodatak Silverlight ne dopušta izričito zahtijevanje datoteka pravila. Umjesto toga, automatski ih zahtijeva kada pokušate koristiti socket aplikaciju. Prije nego što možete kreirati klijentsku aplikaciju za određenu socket aplikaciju, morate kreirati poslužitelj.

Nastavak teme:

Novi članci

GPResult uslužni program.exe– je konzolna aplikacija dizajnirana za analizu postavki i dijagnosticiranje grupnih pravila koja se primjenjuju na računalo i/ili korisnika u domeni Active Directory. Konkretno, GPResult vam omogućuje dobivanje podataka iz rezultirajućeg skupa pravila (Resultant Set of Policy, RSOP), popisa primijenjenih domenskih pravila (GPO), njihovih postavki i detaljnih informacija o pogreškama u njihovoj obradi. Uslužni program je dio Windows OS-a od Windows XP-a. Uslužni program GPResult omogućuje vam da odgovorite na sljedeća pitanja: primjenjuje li se određena politika na računalo, koji je GPO promijenio ovu ili onu postavku sustava Windows i razumjeti razloge.

U ovom ćemo članku pogledati značajke korištenja naredbe GPResult za dijagnosticiranje i otklanjanje pogrešaka u primjeni pravila grupe u domeni Active Directory.

U početku je za dijagnosticiranje primjene grupnih pravila u sustavu Windows korištena grafička konzola RSOP.msc, koja je omogućila dobivanje postavki rezultirajućih pravila (domena + lokalno) primijenjenih na računalo i korisnika u grafičkom obliku sličnom na GPO uređivaču konzolu (možete vidjeti dolje u primjeru prikaza konzole RSOP.msc da su postavke ažuriranja postavljene).

Međutim, nije preporučljivo koristiti konzolu RSOP.msc u modernim verzijama Windowsa jer ne odražava postavke koje primjenjuju različita proširenja na strani klijenta (CSE), kao što je GPP (Preference pravila grupe), ne dopušta pretraživanje i pruža malo dijagnostičkih informacija. Stoga je u ovom trenutku naredba GPResult glavni alat za dijagnosticiranje korištenja GPO-a u Windowsima (u Windows 10 se čak pojavljuje upozorenje da RSOP ne daje cjelovito izvješće, za razliku od GPResulta).

Korištenje uslužnog programa GPResult.exe

Naredba GPResult pokreće se na računalu na kojem želite provjeriti primjenu grupnih pravila. Naredba GPResult ima sljedeću sintaksu:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Da biste dobili detaljne informacije o grupnim pravilima koja se primjenjuju na određeni AD objekt (korisnik i računalo) i drugim postavkama koje se odnose na GPO infrastrukturu (to jest, rezultirajuće postavke GPO politike - RsoP), pokrenite naredbu:

Rezultati naredbe podijeljeni su u 2 odjeljka:

• RAČUNALO POSTAVKE (Konfiguracija računala) – odjeljak sadrži informacije o GPO objektima koji djeluju na računalu (kao objekt Active Directory);
• KORISNIK POSTAVKE – odjeljak s korisničkim pravilima (pravila koja se odnose na korisnički račun u AD-u).

Idemo ukratko pregledati glavne parametre/odjeljke koji bi nas mogli zanimati u GPResult izlazu:

• stranicaIme(Site name:) – naziv AD stranice u kojoj se nalazi računalo;
• CN– puni kanonski korisnik/računalo za koje su generirani RSoP podaci;
• TrajativrijemeSkupinaPolitikabio jeprimijeniti(Zadnja primijenjena grupna politika) – vrijeme zadnje primjene grupne politike;
• SkupinaPolitikabio jeprimijenitiiz(Grupna politika je primijenjena iz) – kontroler domene s kojeg je učitana najnovija verzija GPO-a;
• DomenaImei DomenaTip(Domain name, domain type) – naziv i verzija Active Directory sheme domene;
• PrimijenjenoSkupinaPolitikaPredmeti(Primijenjeni objekti pravila grupe)– popise aktivnih objekata grupne politike;
• TheslijedećiGPO-ovibilineprimijenitijeronibilifiltriranvan(Sljedeća GPO pravila nisu primijenjena jer su bila filtrirana) - neprimijenjeni (filtrirani) GPO-ovi;
• Thekorisnik/računalojeadioodtheslijedećisigurnostiskupine(Korisnik/računalo je član sljedećih sigurnosnih grupa) – domenske grupe u kojima je korisnik član.

U našem primjeru možete vidjeti da korisnički objekt podliježe 4 grupna pravila.

• Zadana pravila domene;
• Omogućite Windows vatrozid;
• Popis pretraživanja DNS sufiksa;

Ako ne želite da se informacije o korisničkim i računalnim pravilima prikazuju u konzoli u isto vrijeme, možete upotrijebiti opciju /scope za prikaz samo odjeljka koji vas zanima. Samo rezultirajuća korisnička pravila:

gpresult /r /scope:korisnik

ili samo primijenjena računalna pravila:

gpresult /r /scope:računalo

Jer Uslužni program Gpresult šalje svoje podatke izravno u konzolu naredbenog retka, što nije uvijek zgodno za naknadnu analizu; njegov se izlaz može preusmjeriti u međuspremnik:

Gpresult /r |isječak

ili tekstualna datoteka:

Gpresult /r > c:\gpresult.txt

Za prikaz super-detaljnih RSOP informacija, morate dodati /z prekidač.

HTML RSOP izvješće koristeći GPResult

Osim toga, uslužni program GPResult može generirati HTML izvješće o rezultirajućim primijenjenim pravilima (dostupno na Windows 7 i novijim). Ovo će izvješće sadržavati detaljne informacije o svim parametrima sustava koje postavljaju grupna pravila i nazive određenih GPO-ova koji ih postavljaju (rezultirajuća struktura izvješća nalikuje kartici Postavke u konzoli za upravljanje grupnim pravilima domene - GPMC). Možete generirati HTML GPResult izvješće pomoću naredbe:

GPResult /h c:\gp-report\report.html /f

Da biste generirali izvješće i automatski ga otvorili u pregledniku, pokrenite naredbu:

GPResult /h GPResult.html & GPResult.html

HTML izvješće gpresult sadrži dosta korisnih informacija: vidljive su greške u GPO aplikaciji, vremenu obrade (u ms) i primjeni specifičnih pravila i CSE (u odjeljku Detalji računala -> Status komponente). Na primjer, na gornjoj snimci zaslona možete vidjeti da pravilo s postavkama za pamćenje 24 lozinke primjenjuje Zadano pravilo domene (stupac Winning GPO). Kao što možete vidjeti, ovo HTML izvješće mnogo je praktičnije za analizu primijenjenih pravila od konzole rsop.msc.

Primanje GPResult podataka s udaljenog računala

GPResult također može prikupljati podatke s udaljenog računala, eliminirajući potrebu da se administrator lokalno prijavi ili RDP na udaljeno računalo. Format naredbe za prikupljanje RSOP podataka s udaljenog računala je sljedeći:

GPResult /s server-ts1 /r

Slično tome, možete daljinski prikupljati podatke iz korisničkih pravila i pravila računala.

Korisničko ime nema RSOP podatke

Kada je UAC omogućen, pokretanje GPResulta bez povišenih privilegija prikazuje postavke samo odjeljka pravila korisničke grupe. Ako trebate prikazati oba odjeljka (KORISNIČKE POSTAVKE i POSTAVKE RAČUNALA) u isto vrijeme, morate pokrenuti naredbu. Ako je naredbeni redak podignut na sustav koji nije trenutnog korisnika, uslužni program će izdati upozorenje INFO:Thekorisnik"domena\korisnik”radineimatiRSOPpodaci ( Korisnik "domena\korisnik" nema RSOP podatke). To se događa zato što GPResult pokušava prikupiti podatke za korisnika koji ga je pokrenuo, ali zato... Ovaj korisnik se nije prijavio i nema RSOP informacija za njega. Za prikupljanje RSOP informacija za korisnika s aktivnom sesijom, trebate navesti njegov račun:

gpresult /r /korisnik:tn\edward

Ako ne znate naziv računa koji je prijavljen na udaljenom računalu, račun možete dobiti ovako:

qwinsta /SERVER:remotePC1

Također provjerite vrijeme(a) na klijentu. Vrijeme mora odgovarati vremenu na PDC (Primarni kontroler domene).

Sljedeća GPO pravila nisu primijenjena jer su filtrirana

Prilikom rješavanja problema grupnih pravila također biste trebali obratiti pozornost na odjeljak: Sljedeći GPO-ovi nisu primijenjeni jer su bili filtrirani. Ovaj odjeljak prikazuje popis GPO-ova koji se, iz jednog ili drugog razloga, ne odnose na ovaj objekt. Mogući načini na koje se pravilo ne može primijeniti:

Također možete saznati treba li se pravilo primijeniti na određeni AD objekt na kartici učinkovitih dopuštenja (Napredno -> Učinkovit pristup).

Dakle, u ovom smo članku pogledali značajke dijagnosticiranja primjene grupnih pravila pomoću uslužnog programa GPResult i pogledali tipične scenarije za njegovu upotrebu.

Predavanje 4 Poslužitelj mrežne politike: RADIUS poslužitelj, RADIUS proxy i poslužitelj sigurnosne politike

Predavanje 4

Tema: Poslužitelj mrežnih pravila: RADIUS poslužitelj, RADIUS proxy i poslužitelj pravila zaštite pristupa mreži

Uvod

Windows Server 2008 i Windows Server 2008 R2 napredni su operativni sustavi Windows Server dizajnirani da omoguće novu generaciju umrežavanja, aplikacija i web usluga. Pomoću ovih operativnih sustava možete razviti, isporučiti i upravljati fleksibilnim i sveobuhvatnim iskustvima za korisnike i aplikacije, stvoriti visoko sigurne mrežne infrastrukture i povećati tehnološku učinkovitost i organizaciju u svojoj organizaciji.

Poslužitelj mrežnih pravila

Poslužitelj mrežnih pravila omogućuje vam stvaranje i provedbu mrežnih pravila pristupa u cijeloj organizaciji kako bi se osiguralo zdravlje klijenta i autentifikacija i autorizacija zahtjeva za povezivanje. Osim toga, NPS se može koristiti kao RADIUS proxy za prosljeđivanje zahtjeva za povezivanje na NPS ili druge RADIUS poslužitelje konfigurirane u grupama udaljenih RADIUS poslužitelja.

Poslužitelj mrežnih pravila omogućuje vam središnju konfiguraciju i upravljanje autentifikacijom klijenta, autorizacijom i zdravstvenim pravilima prilikom odobravanja pristupa mreži, koristeći sljedeće tri mogućnosti:

RADIUS poslužitelj. Poslužitelj mrežnih pravila centralno upravlja provjerom autentičnosti, autorizacijom i obračunom za bežične veze, autentificirane veze prekidača, dial-up veze i veze virtualne privatne mreže (VPN). Kada koristite NPS kao RADIUS poslužitelj, mrežni pristupni poslužitelji, kao što su bežične pristupne točke i VPN poslužitelji, konfigurirani su kao RADIUS klijenti na NPS-u. Osim toga, konfigurirate mrežna pravila koja NPS koristi za autorizaciju zahtjeva za povezivanje. Osim toga, možete konfigurirati RADIUS računovodstvo tako da NPS bilježi podatke u datoteke dnevnika pohranjene na vašem lokalnom tvrdom disku ili u bazi podataka Microsoft SQL Servera.

RADIUS proxy. Ako se NPS koristi kao RADIUS proxy, morate konfigurirati pravila zahtjeva za povezivanje koja određuju koje će zahtjeve za povezivanje NPS proslijediti drugim RADIUS poslužiteljima i kojim će specifičnim RADIUS poslužiteljima ti zahtjevi biti proslijeđeni. Također možete konfigurirati mrežni poslužitelj za preusmjeravanje vjerodajnica za njihovo pohranjivanje na jedno ili više računala u grupi udaljenih RADIUS poslužitelja.

Poslužitelj pravila za zaštitu pristupa mreži (NAP). Kada je NPS konfiguriran kao NAP poslužitelj pravila, NPS procjenjuje stanja zdravlja koja šalju klijentska računala s omogućenom NAP-om koja se pokušavaju spojiti na mrežu. Poslužitelj mrežnih pravila, koji je konfiguriran sa Zaštitom pristupa mreži, djeluje kao RADIUS poslužitelj za provjeru autentičnosti i autorizaciju zahtjeva za povezivanje. Na poslužitelju mrežnih pravila možete konfigurirati politike i postavke zaštite mrežnog pristupa, uključujući provjeru ispravnosti sustava, politiku zdravlja i grupe poslužitelja za ažuriranje koje osiguravaju ažuriranje konfiguracije klijentskih računala u skladu s mrežnom politikom vaše organizacije.

Poslužitelj mrežnih pravila može se konfigurirati s bilo kojom kombinacijom gore navedenih značajki. Na primjer, poslužitelj mrežnih pravila može djelovati kao poslužitelj pravila zaštite mrežnog pristupa koristeći jednu ili više metoda provedbe, dok istovremeno služi kao RADIUS poslužitelj za veze udaljenog pristupa i kao RADIUS proxy za prosljeđivanje nekih zahtjeva za povezivanje grupi udaljenih RADIUS poslužitelji koji vam omogućuju provođenje provjere autentičnosti i autorizacije na drugoj domeni.

RADIUS poslužitelj i RADIUS proxy

Poslužitelj mrežnih pravila može se koristiti kao RADIUS poslužitelj, RADIUS proxy ili oboje.

RADIUS poslužitelj

Microsoft Network Policy Server implementiran je u skladu sa RADIUS standardom, kao što je opisano u IETF RFC 2865 i RFC 2866. Kao RADIUS poslužitelj, Network Policy Server centralno provodi provjeru autentičnosti, autorizaciju i obračun veze za različite vrste pristupa mreži, uključujući bežični pristup , prebacivanje provjerenog, udaljenog i VPN pristupa te veze između usmjerivača.

Network Policy Server omogućuje raznolik skup bežične, dial-up, VPN i preklopne opreme. Network Policy Server može se koristiti s uslugom usmjeravanja i daljinskog pristupa, koja je dostupna na operativnim sustavima Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition i Windows Server 2003, Datacenter Edition.

Ako je računalo s NPS-om član domene Active Directory®, NPS koristi ovu imeničku uslugu kao bazu podataka korisničkih računa i dio je rješenja jedinstvene prijave. Isti skup vjerodajnica koristi se za kontrolu pristupa mreži (autentifikacija i autorizacija pristupa mreži) i za prijavu u domenu Active Directory.

Pružatelji internetskih usluga i organizacije koje pružaju pristup mreži suočavaju se s većim izazovima u upravljanju svim vrstama mreža s jedne točke administracije, bez obzira na opremu za pristup mreži koja se koristi. RADIUS standard podržava ovu funkcionalnost u homogenim i heterogenim okruženjima. RADIUS protokol je protokol klijent-poslužitelj koji omogućuje mrežnoj pristupnoj opremi (koja djeluje kao RADIUS klijent) da upućuje zahtjeve za autentifikaciju i obračunavanje RADIUS poslužitelju.

RADIUS poslužitelj ima pristup informacijama o korisničkom računu i može potvrditi vjerodajnice tijekom autentifikacije kako bi odobrio pristup mreži. Ako su korisničke vjerodajnice valjane i pokušaj povezivanja je autoriziran, RADIUS poslužitelj autorizira korisnikov pristup na temelju navedenih uvjeta i bilježi detalje veze. Korištenje RADIUS protokola omogućuje vam prikupljanje i održavanje informacija o autentifikaciji, autorizaciji i računovodstvu na jednom mjestu umjesto da ovu operaciju morate izvoditi na svakom pristupnom poslužitelju.

RADIUS proxy

Kao RADIUS proxy, NPS prosljeđuje autentifikacijske i obračunske poruke drugim RADIUS poslužiteljima.

Uz Network Policy Server, organizacije mogu outsourcati svoju infrastrukturu za daljinski pristup davatelju usluga, zadržavajući kontrolu nad autentifikacijom korisnika, autorizacijom i računovodstvom.

Konfiguracije poslužitelja mrežnih pravila mogu se stvoriti za sljedeće scenarije:

Bežični pristup

Povezivanje daljinskog pristupa ili virtualne privatne mreže u organizaciji.

Daljinski ili bežični pristup koji pruža vanjska organizacija

pristup internetu

Autentificirani pristup vanjskim mrežnim resursima za poslovne partnere

Primjeri RADIUS poslužitelja i RADIUS proxy konfiguracija

Sljedeći primjeri konfiguracije pokazuju kako konfigurirati NPS kao RADIUS poslužitelj i RADIUS proxy.

NPS kao RADIUS poslužitelj. U ovom primjeru, NPS poslužitelj konfiguriran je kao RADIUS poslužitelj, jedina konfigurirana politika je zadana politika zahtjeva za povezivanje, a sve zahtjeve za povezivanje obrađuje lokalni NPS poslužitelj. Network Policy Server može autentificirati i autorizirati korisnike čiji su računi u domeni poslužitelja ili u pouzdanim domenama.

NPS kao RADIUS proxy. U ovom primjeru, NPS je konfiguriran kao RADIUS proxy koji prosljeđuje zahtjeve za povezivanje grupama udaljenih RADIUS poslužitelja u dvije različite nepouzdane domene. Zadana politika zahtjeva za povezivanje uklanja se i zamjenjuje s dva nova pravila zahtjeva za povezivanje koja prosljeđuju zahtjeve svakoj od dvije nepouzdane domene. U ovom primjeru NPS ne obrađuje zahtjeve za povezivanje na lokalnom poslužitelju.

NPS kao RADIUS poslužitelj i RADIUS proxy. Uz zadanu politiku zahtjeva za povezivanje koja lokalno obrađuje zahtjeve, stvara se nova politika zahtjeva za povezivanje koja ih prosljeđuje NPS-u ili drugom RADIUS poslužitelju u nepouzdanoj domeni. Druga politika se zove Proxy. U ovom primjeru, proxy pravilo se pojavljuje prvo na uređenom popisu pravila. Ako zahtjev za povezivanje odgovara proxy pravilu, zahtjev za povezivanje prosljeđuje se RADIUS poslužitelju u udaljenoj grupi RADIUS poslužitelja. Ako se zahtjev za povezivanjem ne podudara s pravilom proxy poslužitelja, ali se podudara sa zadanim pravilom zahtjeva za povezivanje, poslužitelj mrežnih pravila obrađuje zahtjev za povezivanje na lokalnom poslužitelju. Ako zahtjev za povezivanje ne zadovoljava nijedno od ovih pravila, bit će odbijen.

NPS kao RADIUS poslužitelj s udaljenim računovodstvenim poslužiteljima. U ovom primjeru, lokalni NPS nije konfiguriran za računovodstvo, a zadana politika zahtjeva za povezivanje je modificirana tako da se RADIUS računovodstvene poruke prosljeđuju NPS-u ili drugom RADIUS poslužitelju u grupi udaljenih RADIUS poslužitelja. Iako se računovodstvene poruke prosljeđuju, poruke o autentifikaciji i autorizaciji se ne prosljeđuju, a povezane funkcije za lokalnu domenu i sve pouzdane domene obavlja lokalni NPS poslužitelj.

NPS s udaljenim mapiranjem korisnika RADIUS-a na Windows. U ovom primjeru, NPS djeluje i kao RADIUS poslužitelj i kao RADIUS proxy za svaki pojedinačni zahtjev za povezivanjem, prosljeđujući zahtjev za autentifikaciju udaljenom RADIUS poslužitelju dok istovremeno izvodi autorizaciju koristeći lokalni Windows korisnički račun. Ova se konfiguracija implementira postavljanjem atributa Remote RADIUS Server Mapping to Windows User kao uvjeta politike zahtjeva za povezivanje. (Osim toga, morate stvoriti lokalni korisnički račun na RADIUS poslužitelju s istim imenom kao i udaljeni račun koji će biti autentificiran od strane udaljenog RADIUS poslužitelja.)

Poslužitelj politike zaštite mrežnog pristupa

Zaštita pristupa mreži uključena je u Windows Vista®, Windows® 7, Windows Server® 2008 i Windows Server® 2008 R2. Pomaže osigurati pristup privatnim mrežama osiguravajući da su klijentska računala u skladu sa zdravstvenim politikama koje su na snazi ​​na mreži organizacije kada se tim klijentima dopušta pristup mrežnim resursima. Dodatno, usklađenost klijentskog računala sa zdravstvenom politikom koju je definirao administrator nadzire Zaštita pristupa mreži dok je klijentsko računalo povezano s mrežom. Sa značajkom automatskog ažuriranja Zaštite mrežnog pristupa, računala koja nisu usklađena mogu se automatski ažurirati na zdravstvenu politiku, omogućujući im da kasnije dobiju pristup mreži.

Administratori sustava definiraju mrežna zdravstvena pravila i stvaraju ta pravila pomoću komponenti zaštite mrežnog pristupa koje su dostupne na poslužitelju mrežnih pravila ili su dostupne od drugih tvrtki (ovisno o njihovoj implementaciji zaštite mrežnog pristupa).

Politike zdravlja mogu imati karakteristike kao što su softverski zahtjevi, zahtjevi za sigurnosno ažuriranje i zahtjevi konfiguracijskih parametara. Zaštita mrežnog pristupa provodi zdravstvena pravila provjerom i procjenom zdravlja klijentskih računala, ograničavanjem pristupa mreži za računala koja ne ispunjavaju te zahtjeve i ispravljanjem neusklađenosti kako bi se omogućio neograničeni pristup mreži.

Funkcionalnost u operacijskom sustavu Windows Server izračunava se i poboljšava iz verzije u verziju, ima sve više uloga i komponenti, pa ću u današnjem materijalu pokušati ukratko opisati opis i svrha svake uloge u sustavu Windows Server 2016.

Prije nego što prijeđemo na opisivanje uloga poslužitelja Windows Servera, saznajmo što " Uloga poslužitelja» u operacijskom sustavu Windows Server.

Što je "uloga poslužitelja" u sustavu Windows Server?

Uloga poslužitelja je programski paket koji osigurava da poslužitelj obavlja određenu funkciju, a ta funkcija je glavna. Drugim riječima, " Uloga poslužitelja" je svrha poslužitelja, tj. čemu služi Kako bi poslužitelj mogao obavljati svoju glavnu funkciju, tj. određena uloga u " Uloga poslužitelja» sav potreban softver za ovo je uključen ( programi, usluge).

Poslužitelj može imati jednu ulogu ako se aktivno koristi ili više ako svaka od njih ne opterećuje jako poslužitelj i rijetko se koristi.

Uloga poslužitelja može uključivati ​​više usluga uloga koje pružaju funkcionalnost uloge. Na primjer, u ulozi poslužitelja " Web poslužitelj (IIS)"uključen je prilično velik broj usluga, a uloga " DNS poslužitelj» usluge uloga nisu uključene jer ova uloga obavlja samo jednu funkciju.

Usluge uloga mogu se instalirati zajedno ili pojedinačno, ovisno o vašim potrebama. U svojoj biti, instaliranje uloge znači instaliranje jedne ili više njezinih usluga.

U sustavu Windows Server također postoje " Komponente» poslužitelji.

Komponente poslužitelja (značajka)- Riječ je o programskim alatima koji nisu poslužiteljska uloga, već proširuju mogućnosti jedne ili više uloga, odnosno upravljaju jednom ili više uloga.

Neke se uloge ne mogu instalirati ako potrebne usluge ili komponente koje su potrebne za funkcioniranje ovih uloga nisu instalirane na poslužitelju. Stoga, u vrijeme instaliranja takvih uloga " Čarobnjak za dodavanje uloga i značajki", automatski će vas zatražiti da instalirate potrebne dodatne usluge ili komponente uloga.

Opis uloga poslužitelja Windows Server 2016

Vjerojatno ste već upoznati s mnogim ulogama koje se nalaze u sustavu Windows Server 2016, budući da postoje već dosta dugo, ali kao što sam rekao, sa svakom novom verzijom Windows Servera dodaju se nove uloge koje možda niste radili s još, ali htjeli bismo znati čemu služe, pa počnimo s njima.

Bilješka! O novim značajkama operativnog sustava Windows Server 2016 možete pročitati u materijalu “Instalacija Windows Servera 2016 i pregled novih značajki”.

Budući da se vrlo često instalacija i administracija uloga, usluga i komponenti odvija pomoću Windows PowerShell, za svaku ulogu i njenu uslugu navest ću naziv koji se može koristiti u PowerShell, odnosno, za instalaciju ili upravljanje njome.

DHCP poslužitelj

Ova vam uloga omogućuje središnju konfiguraciju dinamičkih IP adresa i povezanih postavki za računala i uređaje na vašoj mreži. Uloga DHCP poslužitelja nema usluge uloga.

Naziv za Windows PowerShell je DHCP.

DNS poslužitelj

Ova je uloga namijenjena za razlučivanje imena na TCP/IP mrežama. Uloga DNS poslužitelja pruža i održava DNS. Kako bi se olakšalo upravljanje DNS poslužiteljem, obično se instalira na isti poslužitelj kao i Active Directory Domain Services. Uloga DNS poslužitelja nema usluge uloga.

Naziv uloge za PowerShell je DNS.

Hyper-V

Koristeći Hyper-V ulogu, možete stvoriti i upravljati virtualiziranim okruženjem. Drugim riječima, to je alat za kreiranje i upravljanje virtualnim strojevima.

Naziv uloge za Windows PowerShell je Hyper-V.

Certifikacija performansi uređaja

uloga " » omogućuje procjenu ispravnosti uređaja na temelju izmjerenih sigurnosnih parametara, kao što je status sigurnog pokretanja i Bitlocker na klijentu.

Da bi ova uloga funkcionirala, potrebno je dosta usluga i komponenti uloga, na primjer: nekoliko usluga iz uloge " Web poslužitelj (IIS)", komponenta" ", komponenta" Značajke .NET Framework 4.6».

Tijekom instalacije automatski će se odabrati sve potrebne usluge uloga i komponente. uloga" Certifikacija performansi uređaja»nema vlastitih usluga.

Naziv za PowerShell je DeviceHealthAttestationService.

Web poslužitelj (IIS)

Pruža pouzdanu, upravljivu i skalabilnu infrastrukturu web aplikacija. Sastoji se od prilično velikog broja usluga (43).

Naziv za Windows PowerShell je Web-poslužitelj.

Uključuje sljedeće usluge uloga ( u zagradama ću navesti naziv za Windows PowerShell):

Web poslužitelj (Web-WebServer)– Grupa usluga uloga koja pruža podršku za HTML web stranice, ASP.NET proširenja, ASP i web poslužitelj. Sastoji se od sljedećih usluga:

• Sigurnost (web sigurnost)— skup usluga za osiguranje sigurnosti web poslužitelja.
  • Filtriranje zahtjeva (Web-Filtering) – pomoću ovih alata možete obraditi sve zahtjeve koji stignu na poslužitelj i filtrirati te zahtjeve na temelju posebnih pravila koje postavlja administrator web poslužitelja;
  • Ograničenja IP adrese i domene (Web-IP-Security) - ovi alati vam omogućuju da dopustite ili zabranite pristup sadržaju na web poslužitelju na temelju IP adrese ili naziva domene izvora u zahtjevu;
  • Autorizacija URL-a (Web-Url-Auth) - Alati vam omogućuju da razvijete pravila za ograničavanje pristupa web sadržaju i njihovo povezivanje s korisnicima, grupama ili naredbama HTTP zaglavlja;
  • Provjera autentičnosti (Web-Digest-Auth) – Ova provjera autentičnosti pruža višu razinu sigurnosti od osnovne provjere autentičnosti. Sažeta provjera radi prosljeđivanjem hash lozinke Windows kontroleru domene za autentifikaciju korisnika;
  • Osnovna provjera autentičnosti (Web-Basic-Auth) - Ova metoda provjere autentičnosti pruža snažnu kompatibilnost web preglednika. Preporuča se za korištenje u malim internim mrežama. Glavni nedostatak ove metode je da se lozinke koje se prenose preko mreže mogu prilično lako presresti i dešifrirati, stoga koristite ovu metodu u kombinaciji sa SSL-om;
  • Windows autentifikacija (Web-Windows-Auth) – Ovo je autentifikacija temeljena na autentifikaciji Windows domene. Drugim riječima, možete koristiti Active Directory račune za provjeru autentičnosti korisnika vaših web stranica;
  • Provjera autentičnosti s podudaranjem potvrde klijenta (Web-Client-Auth) – Ova metoda provjere autentičnosti uključuje korištenje potvrde klijenta. Ova vrsta koristi Active Directory za pružanje mapiranja certifikata;
  • Autentifikacija mapiranja certifikata klijenta IIS-a (Web-Cert-Auth) – Ova metoda također koristi certifikate klijenta za autentifikaciju, ali koristi IIS za pružanje mapiranja certifikata. Ova vrsta pruža veću izvedbu;
  • Centralizirana podrška za SSL certifikate (Web-CertProvider) – ovi alati vam omogućuju centralizirano upravljanje certifikatima SSL poslužitelja, što uvelike pojednostavljuje proces upravljanja tim certifikatima;
• Zdravlje i dijagnostika (Web-Health)– skup usluga za pružanje kontrole, upravljanja i rješavanja problema web poslužitelja, stranica i aplikacija:
  • http bilježenje (Web-Http-Logging) - alati omogućuju bilježenje aktivnosti web stranice na određenom poslužitelju, tj. unos u dnevnik;
  • ODBC bilježenje (Web-ODBC-Logging) – Ovi alati također omogućuju bilježenje aktivnosti web stranice, ali podržavaju bilježenje te aktivnosti u bazu podataka usklađenu s ODBC-om;
  • Request Monitor (Web-Request-Monitor) je alat koji vam omogućuje praćenje ispravnosti web aplikacije presretanjem informacija o HTTP zahtjevima u IIS radnom procesu;
  • Web-Custom-Logging—Ovi alati vam omogućuju da konfigurirate aktivnosti web poslužitelja tako da se bilježe u formatu koji se značajno razlikuje od standardnog IIS formata. Drugim riječima, možete kreirati vlastiti modul za bilježenje;
  • Alati za bilježenje (Web-Log-Libraries) alati su za upravljanje zapisima web poslužitelja i automatiziranje zadataka bilježenja;
  • Praćenje (Web-Http-Tracing) je alat za dijagnosticiranje i otklanjanje problema u radu web aplikacija.
• Uobičajene http funkcije (Web-Common-Http)– skup usluga koje pružaju osnovnu HTTP funkcionalnost:
  • Zadani dokument (Web-Default-Doc) - Ova značajka vam omogućuje da konfigurirate web poslužitelj da vrati zadani dokument kada korisnici ne navedu određeni dokument u URL-u zahtjeva, olakšavajući korisnicima pristup web stranici, na primjer, domena, bez navođenja datoteke;
  • Pregledavanje direktorija (Web-Dir-Browsing) - Ovaj se alat može koristiti za konfiguriranje web poslužitelja tako da korisnici mogu vidjeti popis svih direktorija i datoteka na web mjestu. Na primjer, za slučajeve kada korisnici ne navedu datoteku u URL-u zahtjeva, a dokumenti su ili onemogućeni ili nisu konfigurirani prema zadanim postavkama;
  • http pogreške (Web-Http-Errors) – ova značajka vam omogućuje da konfigurirate poruke o pogrešci koje će biti vraćene web preglednicima korisnika kada web poslužitelj otkrije pogrešku. Ova se značajka koristi za bolje predstavljanje poruka o pogreškama korisnicima;
  • Statički sadržaj (Web-Static-Content) - ovaj alat omogućuje korištenje sadržaja u obliku statičnih formata datoteka, na primjer, HTML datoteka ili slikovnih datoteka, na web poslužitelju;
  • http preusmjeravanje (Web-Http-Redirect) – pomoću ove značajke možete preusmjeriti zahtjev korisnika na određeno odredište, tj. ovo je Preusmjeravanje;
  • WebDAV objavljivanje (Web-DAV-Publishing) – omogućuje korištenje WebDAV tehnologije na IIS WEB poslužitelju. WebDAV ( Web distribuirano autorstvo i verzija) je tehnologija koja korisnicima omogućuje zajednički rad ( čitanje, uređivanje, čitanje svojstava, kopiranje, premještanje) preko datoteka na udaljenim web poslužiteljima koristeći HTTP protokol.
• Izvedba (web-izvedba)– skup usluga za postizanje većih performansi web poslužitelja putem predmemoriranja izlaza i uobičajenih mehanizama kompresije kao što su Gzip i Deflate:
  • Web-Stat-Compression je alat za prilagodbu kompresije http statičnog sadržaja, omogućavajući učinkovitiju upotrebu propusnosti bez uzaludnog korištenja CPU-a;
  • Dinamičko sažimanje sadržaja (Web-Dyn-Compression) alat je za konfiguriranje HTTP dinamičkog sažimanja sadržaja. Ova značajka omogućuje učinkovitiju upotrebu širine pojasa, ali opterećenje CPU-a na poslužitelju povezano s dinamičkom kompresijom može uzrokovati usporavanje stranice ako je opterećenje CPU-a veliko bez kompresije.
• Razvoj aplikacija (Web-App-Dev)– skup usluga i alata za razvoj i hosting web aplikacija, drugim riječima tehnologija za razvoj web stranica:
  • ASP (Web-ASP) je okruženje za podršku i razvoj web stranica i web aplikacija pomoću ASP tehnologije. Trenutno postoji novija i naprednija tehnologija za razvoj web stranica - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste ASP.NET tehnologiju;
  • ASP.NET 4.6 (Web-Asp-Net45) također je objektno orijentirano razvojno okruženje za web stranice i web aplikacije koje koriste novu verziju ASP.NET-a;
  • CGI (Web-CGI) je mogućnost korištenja CGI-ja za prijenos informacija s web poslužitelja na vanjski program. CGI je određeni standard sučelja za povezivanje vanjskog programa s web poslužiteljem. Loša strana je da korištenje CGI-ja utječe na performanse;
  • Uključivanja na strani poslužitelja (SSI) (Web-Includes) su podrška za SSI skriptni jezik ( omogućivači na strani poslužitelja), koji se koristi za dinamičko generiranje HTML stranica;
  • Inicijalizacija aplikacije (Web-AppInit) – ovaj alat obavlja zadatak inicijalizacije web aplikacije prije prosljeđivanja web stranice;
  • WebSocket protokol (Web-WebSockets) - dodavanje mogućnosti stvaranja poslužiteljskih aplikacija koje komuniciraju korištenjem WebSocket protokola. WebSocket je protokol koji može slati i primati podatke istovremeno između preglednika i web poslužitelja putem TCP veze, svojevrsnog proširenja HTTP protokola;
  • ISAPI Extensions (Web-ISAPI-Ext) – podrška za dinamički razvoj web sadržaja pomoću ISAPI sučelja za programiranje aplikacija. ISAPI je API za IIS web poslužitelj. ISAPI aplikacije puno su brže od ASP datoteka ili datoteka koje pozivaju COM+ komponente;
  • .NET 3.5 Extensibility (Web-Net-Ext) je značajka proširivosti .NET 3.5 koja vam omogućuje promjenu, dodavanje i proširenje funkcionalnosti web poslužitelja kroz cjevovod za obradu zahtjeva, konfiguraciju i korisničko sučelje;
  • .NET 4.6 Extensibility (Web-Net-Ext45) je značajka proširivosti .NET 4.6 koja također omogućuje promjenu, dodavanje i proširenje funkcionalnosti web poslužitelja kroz cjevovod za obradu zahtjeva, konfiguraciju i korisničko sučelje;
  • ISAPI filteri (Web-ISAPI-Filter) – dodavanje podrške za ISAPI filtere. ISAPI filtri su programi koji se pozivaju kada web poslužitelj primi određeni HTTP zahtjev koji filtar treba obraditi.

FTP - poslužitelj (Web-Ftp-Server)– usluge koje pružaju podršku za FTP protokol. O FTP poslužitelju detaljnije smo govorili u materijalu - "Instaliranje i konfiguriranje FTP poslužitelja na Windows Server 2016". Sadrži sljedeće usluge:

• FTP usluga (Web-Ftp-Service) – dodaje podršku za FTP protokol na web poslužitelju;
• FTP Extensibility (Web-Ftp-Ext) – Proširuje standardne FTP mogućnosti, kao što je dodavanje podrške za značajke kao što su prilagođeni pružatelji usluga, korisnici ASP.NET-a ili korisnici IIS Managera.

Alati za upravljanje (Web-Mgmt-Tools)- Ovo su alati za upravljanje IIS 10 web poslužiteljem. Ovo uključuje: IIS korisničko sučelje, alate naredbenog retka i skripte.

• IIS Management Console (Web-Mgmt-Console) je korisničko sučelje za upravljanje IIS-om;
• IIS skupovi znakova i alati (Web-Scripting-Tools) su alati i skripte za upravljanje IIS-om pomoću naredbenog retka ili skripti. Mogu se koristiti, na primjer, za automatizaciju upravljanja;
• Usluga upravljanja (Web-Mgmt-Service) – ova usluga dodaje mogućnost daljinskog upravljanja web poslužiteljem s drugog računala pomoću IIS upravitelja;
• Upravljanje kompatibilnošću IIS 6 (Web-Mgmt-Compat) - Osigurava kompatibilnost između aplikacija i skripti koje koriste dva IIS API-ja. Postojeće IIS 6 skripte mogu se koristiti za kontrolu IIS 10 web poslužitelja:
  • IIS 6 Compatibility Metabase Metabase (Web-Metabase) je alat za kompatibilnost koji vam omogućuje pokretanje aplikacija i skupova znakova prenesenih iz ranijih verzija IIS-a;
  • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - Ovi alati vam omogućuju korištenje istih IIS 6 skriptnih usluga koje su stvorene za upravljanje IIS 6 u IIS 10;
  • IIS 6 Services Management Console (Web-Lgcy-Mgmt-Console) – alat za administriranje udaljenih IIS 6.0 poslužitelja;
  • IIS 6 WMI kompatibilnost (Web-WMI) su sučelja za skriptiranje Windows Management Instrumentation (WMI) za programsku kontrolu i automatizaciju zadataka IIS 10.0 web poslužitelja pomoću skupa skripti kreiranih u WMI provideru.

Usluge domene Active Directory

uloga " Usluge domene Active Directory» (AD DS) pruža distribuiranu bazu podataka koja pohranjuje i obrađuje informacije o mrežnim resursima. Ova se uloga koristi za organiziranje mrežnih elemenata, kao što su korisnici, računala i drugi uređaji, u hijerarhijsku sigurnu strukturu ljuske. Hijerarhijska struktura uključuje šume, domene unutar šume i organizacijske jedinice (OU) unutar svake domene. Poslužitelj koji pokreće AD DS naziva se kontroler domene.

Naziv uloge za Windows PowerShell je AD-Domain-Services.

Osnove sustava Windows Server

Ova uloga predstavlja računalnu infrastrukturu i pruža prikladne i učinkovite funkcije, na primjer: pohranjivanje podataka klijenta na centralizirano mjesto i zaštita tih podataka izradom sigurnosne kopije poslužitelja i klijentskih računala, daljinski pristup webu, što vam omogućuje pristup podacima s gotovo bilo kojeg uređaja. Ova uloga zahtijeva nekoliko usluga uloga i komponenti za funkcioniranje, na primjer: BranchCache komponente, Windows Server Backup, Group Policy Management, role service " DFS imenski prostori».

Naziv za PowerShell je ServerEssentialsRole.

Mrežni kontroler

Ova je uloga uvedena u sustavu Windows Server 2016 i pruža jedinstvenu točku automatizacije za upravljanje, nadzor i dijagnosticiranje fizičke i virtualne mrežne infrastrukture u podatkovnom centru. Koristeći ovu ulogu, možete konfigurirati IP podmreže, VLAN-ove, fizičke mrežne adaptere Hyper-V hostova, upravljati virtualnim preklopnicima, fizičkim usmjerivačima, postavkama vatrozida i VPN pristupnicima s jedne točke.

Naziv za Windows PowerShell je NetworkController.

Služba čuvara čvora

Ovo je uloga poslužitelja Hosted Guardian Service (HGS) i pruža usluge potvrde i zaštite ključeva koje zaštićenim hostovima omogućuju pokretanje zaštićenih virtualnih strojeva. Da bi ova uloga funkcionirala, potrebno je nekoliko dodatnih uloga i komponenti, na primjer: usluge domene Active Directory, web poslužitelj (IIS), komponenta " Failover Clustering"i drugi.

Naziv za PowerShell je HostGuardianServiceRole.

Active Directory Lightweight Directory Services

uloga " Active Directory Lightweight Directory Services" (AD LDS) - je lagana verzija AD DS-a koja ima manje funkcionalnosti, ali ne zahtijeva implementaciju domena ili kontrolera domene, te nema ovisnosti i ograničenja domene koje zahtijevaju AD DS usluge. AD LDS radi preko LDAP protokola ( Lagani protokol za pristup direktoriju). Možete implementirati više AD LDS instanci s neovisno upravljanim shemama na jednom poslužitelju.

Naziv za PowerShell je ADLDS.

MultiPoint usluge

Ovo je također nova uloga koja je predstavljena u sustavu Windows Server 2016. MultiPoint Services (MPS) pruža osnovnu funkcionalnost udaljene radne površine koja omogućuje da više korisnika radi istovremeno i neovisno na istom računalu. Da biste instalirali i radili s ovom ulogom, trebate instalirati nekoliko dodatnih usluga i komponenti, na primjer: poslužitelj za ispis, uslugu Windows Search, XPS preglednik i druge, a sve će biti odabrane automatski kada se MPS instalira.

Naziv uloge za PowerShell je MultiPointServerRole.

Usluge ažuriranja sustava Windows Server

Pomoću ove uloge (WSUS) administratori sustava mogu upravljati Microsoftovim ažuriranjima. Na primjer, stvorite zasebne grupe računala za različite skupove ažuriranja, a također primajte izvješća o usklađenosti računala i ažuriranjima koja je potrebno instalirati. funkcionirati" Usluge ažuriranja sustava Windows Server"Potrebne su nam usluge uloga i komponente kao što su: web poslužitelj (IIS), interna baza podataka sustava Windows, usluga aktivacije procesa sustava Windows.

Naziv za Windows PowerShell je UpdateServices.

• WID povezivanje (UpdateServices-WidDB) – postavljeno na WID ( Windows interna baza podataka) baza podataka koju koristi WSUS. Drugim riječima, WSUS će svoje podatke o usluzi pohraniti u WID;
• WSUS usluge (UpdateServices-Services) su usluge WSUS uloga, kao što su usluga ažuriranja, web usluga za izvješćivanje, API udaljena web usluga, web usluga klijenta, web usluga jednostavne internetske provjere autentičnosti, usluga sinkronizacije poslužitelja i DSS usluga web provjere autentičnosti;
• SQL Server Connectivity (UpdateServices-DB) je instalacija komponente koja omogućuje WSUS servisu povezivanje s Microsoft SQL Server bazom podataka. Ova opcija uključuje pohranu servisnih podataka u Microsoft SQL Server bazu podataka. U tom slučaju već morate imati barem jednu instaliranu instancu SQL Servera.

Usluge količinske aktivacije

Ova uloga poslužitelja automatizira i pojednostavljuje izdavanje količinskih licenci za Microsoftov softver i omogućuje vam upravljanje tim licencama.

Naziv za PowerShell je VolumeActivation.

Usluge ispisa i dokumenata

Ova uloga poslužitelja dizajnirana je za dijeljenje pisača i skenera na mreži, središnje konfiguriranje i upravljanje poslužiteljima za ispis i skeniranje te upravljanje mrežnim pisačima i skenerima. Usluge ispisa i dokumenata također vam omogućuju slanje skeniranih dokumenata putem e-pošte, mrežnih dijeljenja ili web-mjesta Windows SharePoint Services.

Naziv za PowerShell je Print-Services.

• Print-Server – Ova usluga uloga uključuje " Upravljanje ispisom", koji se koristi za upravljanje pisačima ili ispisnim poslužiteljima, kao i za migraciju pisača i drugih ispisnih poslužitelja;
• Ispis preko Interneta (Print-Internet) - za implementaciju ispisa preko Interneta kreira se web stranica putem koje korisnici mogu upravljati poslovima ispisa na poslužitelju. Da bi ova usluga radila, kao što razumijete, morate instalirati " Web poslužitelj (IIS)" Sve potrebne komponente bit će odabrane automatski kada označite ovaj okvir tijekom procesa instalacije servisa uloga " Online tisak»;
• Distribuirani poslužitelj za skeniranje (Print-Scan-Server) usluga je koja vam omogućuje primanje skeniranih dokumenata s mrežnih skenera i njihovo slanje na odredište. Ova usluga također sadrži " Kontrola skeniranja", koji se koristi za upravljanje mrežnim skenerima i za konfiguriranje skeniranja;
• LPD usluga (Print-LPD-Service) - LPD usluga ( Line Printer Daemon) omogućuje računalima temeljenim na UNIX-u i drugim računalima koja koriste uslugu Line Printer Remote (LPR) za ispis na pisače dijeljenog poslužitelja.

Mrežna politika i usluge pristupa

uloga " » (NPAS) vam omogućuje korištenje poslužitelja mrežnih pravila (NPS) za postavljanje i provedbu pravila za pristup mreži, autentifikaciju i autorizaciju te zdravlje klijenta, drugim riječima, kako biste osigurali sigurnost mreže.

Naziv za Windows PowerShell je NPAS.

Usluge postavljanja sustava Windows

Pomoću ove uloge možete instalirati operativni sustav Windows daljinski preko mreže.

Naziv uloge za PowerShell je WDS.

• Deployment Server (WDS-Deployment) – ova usluga uloge dizajnirana je za daljinsko postavljanje i konfiguraciju Windows operativnih sustava. Također vam omogućuje stvaranje i prilagodbu slika za ponovnu upotrebu;
• Transportni poslužitelj (WDS-Transport) - ova usluga sadrži glavne mrežne komponente pomoću kojih možete multicastom prenositi podatke na samostalnom poslužitelju.

Usluge certifikata Active Directory

Ova je uloga osmišljena za stvaranje ovlasti za izdavanje certifikata i povezanih usluga uloga koje vam omogućuju izdavanje i upravljanje certifikatima za različite aplikacije.

Naziv za Windows PowerShell je AD-certifikat.

Uključuje sljedeće usluge uloga:

• Izdavač certifikata (ADCS-Cert-Authority) – pomoću ove usluge uloga možete izdavati certifikate korisnicima, računalima i servisima te upravljati valjanošću certifikata;
• Web usluga pravila upisa certifikata (ADCS-Enroll-Web-Pol) – Ova usluga korisnicima i računalima omogućuje dobivanje informacija o politici upisa certifikata pomoću web preglednika, čak i ako računalo nije član domene. Za njegovo funkcioniranje potrebno je " Web poslužitelj (IIS)»;
• Web-usluga upisa certifikata (ADCS-Enroll-Web-Svc) – Ova usluga korisnicima i računalima omogućuje upis i obnovu certifikata pomoću web-preglednika preko HTTPS-a, čak i ako računalo nije član domene. Za njegovo funkcioniranje također je potrebno " Web poslužitelj (IIS)»;
• Online Responder (ADCS-Online-Cert) – Usluga dizajnirana za provjeru opoziva certifikata za klijente. Drugim riječima, prihvaća zahtjev za status opoziva za određene certifikate, procjenjuje status tih certifikata i šalje natrag potpisani odgovor s informacijama o statusu. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)»;
• Internet Certificate Authority Enrollment Service (ADCS-Web-Enrollment) – Ova usluga pruža web sučelje za korisnike za obavljanje zadataka kao što su traženje i obnavljanje certifikata, dobivanje popisa opozvanih certifikata i upisivanje certifikata pametne kartice. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)»;
• Usluga prijave mrežnog uređaja (ADCS-Device-Enrollment) – pomoću ove usluge možete izdavati i upravljati certifikatima za usmjerivače i druge mrežne uređaje koji nemaju mrežne račune. Za funkcioniranje usluge potrebno je " Web poslužitelj (IIS)».

Usluge udaljene radne površine

Uloga poslužitelja koja vam omogućuje pružanje pristupa virtualnim radnim površinama, radnim površinama temeljenim na sesiji i RemoteApps.

Naziv uloge za Windows PowerShell je Remote-Desktop-Services.

Sastoji se od sljedećih usluga:

• Web pristup udaljenoj radnoj površini (RDS-Web-Access) - Ova usluga uloga omogućuje korisnicima pristup udaljenim radnim površinama i aplikacijama RemoteApp putem " Start» ili pomoću web preglednika;
• Licenciranje udaljene radne površine (RDS-Licenciranje) je usluga dizajnirana za upravljanje licencama koje su potrebne za povezivanje s poslužiteljem sesije udaljene radne površine ili virtualnom radnom površinom. Može se koristiti za instaliranje, izdavanje licenci i praćenje njihove dostupnosti. Ova usluga zahtijeva " Web poslužitelj (IIS)»;
• Remote Desktop Connection Broker (RDS-Connection-Broker) usluga je uloga koja pruža sljedeće mogućnosti: ponovno povezivanje korisnika s postojećom virtualnom radnom površinom, aplikacijom RemoteApp i radnom površinom temeljenom na sesiji te balansiranje opterećenja između poslužitelja udaljenih sesija i stolnih računala ili između virtualne radne površine u skupu. Ova usluga zahtijeva " »;
• Remote Desktop Virtualization Host (DS-Virtualization) usluga je koja korisnicima omogućuje povezivanje s virtualnim radnim površinama pomoću RemoteApp i Desktop Connection. Ova usluga radi u sprezi s Hyper-V, tj. ta se uloga mora uspostaviti;
• Domaćin sesije udaljene radne površine (RDS-RD-poslužitelj) – Ova usluga vam omogućuje da na poslužitelju postavite aplikacije RemoteApp i radne površine temeljene na sesiji. Za pristup koristite Remote Desktop Connection klijent ili RemoteApp;
• Remote Desktop Gateway (RDS-Gateway) - Usluga omogućuje ovlaštenim udaljenim korisnicima povezivanje s virtualnim radnim površinama, RemoteApps i radnim površinama temeljenim na sesijama na korporativnoj mreži ili preko interneta. Za funkcioniranje ove usluge potrebne su sljedeće dodatne usluge i komponente: " Web poslužitelj (IIS)», « Mrežna politika i usluge pristupa», « RPC preko HTTP proxyja».

Usluge upravljanja pravima Active Directory

Ovo je uloga poslužitelja koja će vam omogućiti zaštitu informacija od neovlaštenog korištenja. Provjerava identitete korisnika i dodjeljuje ovlaštenim korisnicima licence za pristup zaštićenim podacima. Za funkcioniranje ove uloge potrebne su dodatne usluge i komponente: " Web poslužitelj (IIS)», « Usluga aktivacije Windows procesa», « Značajke .NET Framework 4.6».

Naziv za Windows PowerShell je ADRMS.

• Poslužitelj za upravljanje pravima Active Directory (ADRMS-poslužitelj) usluga je glavne uloge i potrebna je za instalaciju;
• Podrška za federaciju identiteta (ADRMS-Identity) je izborna usluga uloga koja omogućuje federalnim identitetima da koriste zaštićeni sadržaj pomoću Active Directory Federation Services.

Active Directory Federation Services

Ova uloga pruža pojednostavljene i sigurne mogućnosti federacije identiteta, kao i jedinstvenu prijavu (SSO) temeljenu na pregledniku na web stranicama.

Naziv za PowerShell je ADFS-Federacija.

Udaljeni pristup

Ova uloga omogućuje povezivanje kroz DirectAccess, VPN i proxy web aplikacije. Također uloga " Udaljeni pristup» pruža tradicionalne mogućnosti usmjeravanja, uključujući prevođenje mrežne adrese (NAT) i druge mogućnosti povezivanja. Ova uloga zahtijeva dodatne usluge i komponente: " Web poslužitelj (IIS)», « Windows interna baza podataka».

Naziv uloge za Windows PowerShell je RemoteAccess.

• DirectAccess i VPN (RAS) (DirectAccess-VPN) - usluga omogućuje korisnicima povezivanje s korporativnom mrežom u bilo kojem trenutku ako imaju pristup internetu putem DirectAccess-a, kao i organiziranje VPN veza u kombinaciji s tehnologijama tuneliranja i šifriranja podataka;
• Routing - usluga pruža podršku za NAT routere, LAN routere s BGP, RIP protokolima i routere s multicast podrškom (IGMP proxy);
• Proxy poslužitelj web aplikacije (Web-Application-Proxy) - usluga vam omogućuje objavljivanje aplikacija temeljenih na HTTP i HTTPS protokolima s korporativne mreže na klijentske uređaje koji se nalaze izvan korporativne mreže.

Usluge datoteka i pohrane

Ovo je uloga poslužitelja koja se može koristiti za dijeljenje datoteka i mapa, upravljanje i kontrolu dijeljenja, repliciranje datoteka, pružanje brzih pretraga datoteka i omogućavanje pristupa UNIX klijentskim računalima. Pogledali smo datotečne usluge, a posebno datotečni poslužitelj detaljnije u materijalu "Instaliranje datotečnog poslužitelja na Windows Server 2016".

Naziv za Windows PowerShell je FileAndStorage-Services.

Usluge skladištenja– Ova usluga pruža funkcionalnost upravljanja pohranom koja je uvijek instalirana i ne može se ukloniti.

Datotečne usluge i iSCSI usluge (Datotečne usluge)– to su tehnologije koje pojednostavljuju upravljanje datotečnim poslužiteljima i pohranom, štede prostor na disku, omogućuju replikaciju i predmemoriju datoteka u ograncima, a također omogućuju dijeljenje datoteka pomoću NFS protokola. Uključuje sljedeće usluge uloga:

• File Server (FS-FileServer) je servis uloga koji upravlja dijeljenim mapama i korisnicima omogućuje pristup datotekama na ovom računalu preko mreže;
• Deduplikacija podataka (FS-Data-Deduplication) – ova usluga štedi prostor na disku pohranjujući samo jednu kopiju identičnih podataka na volumen;
• Upravitelj resursa poslužitelja datoteka (FS-Resource-Manager) – pomoću ove usluge možete upravljati datotekama i mapama na poslužitelju datoteka, kreirati izvješća o pohrani, klasificirati datoteke i mape, konfigurirati kvote mapa i definirati pravila blokiranja datoteka;
• iSCSI Target Storage Provider (Hardware VDS i VSS Providers) (iSCSITarget-VSS-VDS) – Usluga omogućuje aplikacijama na poslužitelju spojenom na iSCSI cilj da kopiraju volumene u sjeni na iSCSI virtualnim diskovima;
• DFS imenski prostori (FS-DFS-Namespace) - pomoću ove usluge možete grupirati zajedničke mape koje se nalaze na različitim poslužiteljima u jedan ili više logički strukturiranih imenskih prostora;
• Radne mape (FS-SyncShareService) – usluga vam omogućuje korištenje radnih datoteka na različitim računalima, uključujući radna i osobna. Možete pohraniti svoje datoteke u radne mape, sinkronizirati ih i pristupiti im s lokalne mreže ili interneta. Za funkcioniranje usluge potrebna je komponenta " IIS In-Process Web Engine»;
• DFS replikacija (FS-DFS-replikacija) je modul replikacije podataka između više poslužitelja koji vam omogućuje sinkronizaciju mapa putem lokalne ili globalne mrežne veze. Ova tehnologija koristi protokol daljinske diferencijalne kompresije (RDC) za ažuriranje samo onih dijelova datoteka koji su promijenjeni od zadnje replikacije. DFS replikacija može se koristiti s DFS imenskim prostorima ili zasebno;
• Poslužitelj za NFS (FS-NFS-Service) – usluga koja ovom računalu omogućuje dijeljenje datoteka s računalima baziranim na UNIX-u i drugim računalima koja koriste protokol Network File System (NFS);
• iSCSI ciljni poslužitelj (FS-iSCSITarget-Server) – Pruža usluge i alate za upravljanje za iSCSI ciljeve;
• Usluga BranchCache za mrežne datoteke (FS-BranchCache) - Usluga pruža podršku za BranchCache na ovom poslužitelju datoteka;
• File Server VSS Agent Service (FS-VSS-Agent) - Usluga omogućuje kopiranje volumena u sjeni za aplikacije koje pohranjuju podatkovne datoteke na ovaj datotečni poslužitelj.

Fax poslužitelj

Uloga šalje i prima faksove i omogućuje vam upravljanje resursima faksa, kao što su poslovi, postavke, izvješća i uređaji za faks, na ovom računalu ili mreži. Za rad trebate " Ispisni poslužitelj».

Naziv uloge za Windows PowerShell je Fax.

Ovime završavamo pregled uloga poslužitelja Windows Server 2016, nadam se da vam je materijal bio koristan, bok!