Дайте докладний опис політики сервера в відношенні. Робота з групами адміністрування та маршрутизації

Лекція 4 Сервер політики мережі: RADIUS-сервер, RADIUS-проксі і сервер політик захисту

лекція 4

Тема: Сервер політики мережі: RADIUS-сервер, RADIUS-проксі і сервер політик захисту доступу до мережі

Вступ

Windows Server 2008 і Windows Server 2008 R2 -високотехнологічние операційні системи Windows Server, розроблені, щоб дати початок новому поколінню мереж, додатків і веб-служб. За допомогою цих операційних систем можна розробляти, доставляти і управляти гнучким і всеосяжним взаємодією з користувачами і додатками, створювати мережеві інфраструктури з високим рівнем безпеки і збільшувати технологічну ефективність і організованість у своїй організації.

Сервер мережевих політик

Сервер політики мережі дозволяє створювати і застосовувати політики доступу до мережі на рівні організації для забезпечення працездатності клієнтів, а також виконання перевірки автентичності та авторизації запитів на підключення. Крім того, сервер політики мережі можна використовувати в якості RADIUS-проксі для перенаправлення запитів на підключення на сервер політики мережі або інші RADIUS-сервери, налаштовані в групах віддалених RADIUS-серверів.

Сервер політики мережі дозволяє централізовано налаштовувати політики перевірки автентичності, авторизації і працездатності клієнта при наданні доступу до мережі та керувати цими політиками за допомогою наступних трьох можливостей:

RADIUS server. Сервер політики мережі централізовано виконує перевірку автентичності, авторизацію і облік для бездротових підключень, підключений по комутаторів з перевіркою достовірності, підключень віддаленого доступу і підключень по віртуальної приватної мережі (VPN). При використанні сервера політики мережі в якості RADIUS-сервера, сервери доступу до мережі, такі як точки бездротового доступу і VPN-сервери, налаштовуються як RADIUS-клієнти на сервері політики мережі. Крім того, налаштовуються політики мережі, які використовуються сервером політики мережі для авторизації запитів на підключення. На додаток до цього можна налаштувати RADIUS-облік, щоб дані вносилися сервером політики мережі в файли журналу, що зберігаються на локальному жорсткому диску або в базі даних Microsoft SQL Server.

RADIUS proxy. Якщо сервер політики мережі використовується в якості RADIUS-проксі, необхідно налаштувати політики запитів на підключення, які визначають, які запити на підключення сервер політики мережі буде перенаправляти на інші RADIUS-сервери, а також на які конкретно RADIUS-сервери будуть перенаправлятися ці запити. На сервері політики мережі можна також налаштувати перенаправлення облікових даних для їх зберігання на одному або декількох комп'ютерах в групі віддалених RADIUS-серверів.

Network Access Protection (NAP) policy server. Якщо сервер політики мережі налаштований як сервер політик захисту доступу до мережі, сервер політики мережі оцінює стану працездатності, що направляються клієнтськими комп'ютерами з підтримкою захисту доступу до мережі, які намагаються підключитися до мережі. Сервер мережевих політик, на якому налаштована захист доступу до мережі, виступає в якості RADIUS-сервера, виконуючи перевірку справжності та авторизацію запитів на підключення. На сервері політики мережі можна налаштувати політики та параметри захисту доступу до мережі, в тому числі пристрої перевірки працездатності системи, політику працездатності та групи серверів оновлень, які забезпечують оновлення конфігурації клієнтських комп'ютерів відповідно до мережевої політикою організації.

На сервері політики мережі можна налаштувати будь-яке поєднання перерахованих вище можливостей. Наприклад, сервер політики мережі може виступати в якості сервера політик захисту доступу до мережі з використанням одного або декількох методів застосування, одночасно виконуючи функції RADIUS-сервера для підключень віддаленого доступу і функції RADIUS-проксі для перенаправлення деяких запитів на підключення групі віддалених RADIUS-серверів, що дозволяє виконувати перевірку автентичності та авторизацію в іншому домені.

RADIUS-сервер і RADIUS-проксі

Сервер політики мережі може використовуватися в якості RADIUS-сервера, RADIUS-проксі або обох цих пристроїв одночасно.

RADIUS-сервер

Сервер політики мережі Майкрософт реалізований відповідно до стандарту RADIUS, описаним в документах IETF RFC 2865 і RFC 2866. Як RADIUS-сервера сервер політики мережі централізовано виконує перевірку автентичності, авторизацію і облік підключень для різних типів доступу до мережі, включаючи бездротовий доступ, коммутірованіе з перевіркою достовірності, віддалений доступ і доступ до VPN, а також підключення між маршрутизаторами.

Сервер політики мережі дозволяє використовувати різнорідний набір обладнання для бездротового доступу, віддаленого доступу, мереж VPN і коммутирования. Сервер політики мережі можна використовувати зі службою маршрутизації та віддаленого доступу, яка доступні в операційних системах Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition і Windows Server 2003, Datacenter Edition.

Якщо комп'ютер з сервером політики мережі є членом домену Active Directory®, сервер політики мережі використовує цю службу каталогів в якості бази даних облікових записів користувачів і є частиною рішення для єдиного входу. Той же набір облікових даних використовується для управління доступом до мережі (авторизацію доступу до мережі) і для входу в домен Active Directory.

Постачальники послуг Інтернету і організації, які забезпечують доступ до мережі, стикаються з більш складними завданнями, пов'язаними з необхідністю здійснювати управління будь-якими типами мереж з єдиної точки адміністрування незалежно від використовуваного обладнання доступу до мережі. Стандарт RADIUS підтримує таку функціональність як в однорідних, так і в різнорідних середовищах. Протокол RADIUS є клієнт-серверним протоколом, який дозволяє обладнанню доступу до мережі (який діє як RADIUS-клієнтів) направляти RADIUS-серверу запити на перевірку справжності та обліку.

RADIUS-сервер має доступ до відомостей облікового запису користувача і може перевіряти облікові дані при перевірці автентичності для надання доступу до мережі. Якщо облікові дані користувача є справжніми, і спроба підключення пройшла авторизацію, RADIUS-сервер авторизує доступ даного користувача з урахуванням зазначених умов і заносить відомості про підключення до журналу обліку. Використання протоколу RADIUS дозволяє збирати і обслуговувати дані про перевірку справжності, авторизації та обліку в єдиному розташуванні замість виконання цієї операції на кожному сервері доступу.

RADIUS-проксі

Як RADIUS-проксі сервер політики мережі перенаправляє повідомлення перевірки автентичності та обліку на інші RADIUS-сервери.

За допомогою сервера політики мережі організації можуть передати інфраструктуру віддаленого доступу на зовнішнє управління сервісному центру, в той же час зберігаючи контроль над перевіркою достовірності, авторизацією і урахуванням користувачів.

Конфігурації сервера політики мережі можуть створюватися для наступних сценаріїв:

доступ

Підключення віддаленого доступу або віртуальної приватної мережі в організації.

Віддалений доступ або бездротовий доступ, який забезпечувався б зовнішньої організацією

Доступ до Інтернету

Доступ з перевіркою достовірності до ресурсів зовнішньої мережі для ділових партнерів

Приклади конфігурацій RADIUS-сервера і RADIUS-проксі

У наступних прикладах конфігурації демонструється настройка сервера політики мережі в якості RADIUS-сервера і RADIUS-проксі.

NPS as a RADIUS server. У цьому прикладі сервер політики мережі налаштований як RADIUS-сервер, єдиною налаштованої політикою є встановлена \u200b\u200bза замовчуванням політика запитів на підключення, а всі запити на підключення обробляються локальним сервером політики мережі. Сервер політики мережі може виконувати перевірку автентичності та авторизацію користувачів, облікові записи яких знаходяться в домені даного сервера або в довірених доменах.

NPS as a RADIUS proxy. У цьому прикладі сервер політики мережі налаштований як RADIUS-проксі, який перенаправляє запити на підключення до груп віддалених RADIUS-серверів в двох різних доменах без довіри. Встановлена \u200b\u200bза замовчуванням політика запитів на підключення видаляється, а замість неї створюються дві нові політики запитів на підключення, що передбачають перенаправлення запитів в кожен з двох доменів без довіри. У цьому прикладі сервер політики мережі і не виконує жодних запити на підключення на локальному сервері.

NPS as both RADIUS server and RADIUS proxy. На додаток до встановленої за замовчуванням політиці запитів на підключення, яка передбачає локальну обробку запитів, створюється нова політика запитів на підключення, яка передбачає їх перенаправлення на сервер політики мережі або інший RADIUS-сервер, що знаходиться в домені без довіри. Друга політика має ім'я Проксі. В даному прикладі політика "Проксі" відображається першої в упорядкованому списку політик. Якщо запит на підключення відповідає політиці "Проксі", даний запит на підключення перенаправляється на RADIUS-сервер в групі віддалених RADIUS-серверів. Якщо запит на підключення не відповідає політиці "Проксі", але відповідає встановленій за замовчуванням політиці запитів на підключення, сервер політики мережі обробляє цей запит на підключення на локальному сервері. Якщо запит на підключення не відповідає жодній з цих політик, він відхиляється.

NPS as a RADIUS server with remote accounting servers. У цьому прикладі локальний сервер політики мережі не налаштований на ведення обліку, а встановлена \u200b\u200bза замовчуванням політика запитів на підключення змінена таким чином, щоб RADIUS-повідомлення обліку перенаправлялись на сервер політики мережі або інший RADIUS-сервер в групі віддалених RADIUS-серверів. Незважаючи на те, що повідомлення обліку перенаправляються, повідомлення перевірки автентичності та авторизації не пересилає, а відповідні функції для локального домену та всіх довірених доменів здійснюються локальним сервером політики мережі.

NPS with remote RADIUS to Windows user mapping. У цьому прикладі сервер політики мережі виступає як в якості RADIUS-сервера, так і в якості RADIUS-проксі для кожного окремого запиту на підключення, перенаправляючи запит на перевірку справжності на віддалений RADIUS-сервер і одночасно виконуючи авторизацію з використанням локального облікового запису користувача Windows. Така конфігурація реалізується шляхом установки атрибута Зіставлення віддаленого сервера RADIUS користувачеві Windows в якості умови політики запитів на підключення. (Крім того, на RADIUS-сервері необхідно створити локальну обліковий запис користувача з тим же ім'ям, що і віддалена обліковий запис, по якій буде виконуватися перевірка справжності віддаленим RADIUS-сервером.)

Сервер політики захисту доступу до мережі

Компонент захисту доступу до мережі включений в Windows Vista®, Windows® 7, Windows Server® 2008 і Windows Server® 2008 R2. Він допомагає забезпечити захист доступу до приватних мереж, гарантуючи відповідність параметрів клієнтських комп'ютерів чинним в мережі організації політикам працездатності при дозволі цим клієнтам доступу до мережевих ресурсів. Крім того, відповідність клієнтського комп'ютера політиці працездатності, яка визначається адміністратором, відстежується компонентом захисту доступу до мережі в період, коли цей комп'ютер підключений до мережі. Завдяки можливості автоматичного оновлення захисту доступу до мережі може виконуватися автоматичне оновлення невідповідних комп'ютерів відповідно до політики працездатності, що дозволяє згодом надати їм доступ до мережі.

Системні адміністратори визначають політики працездатності мережі і створюють ці політики з використанням компонентів захисту доступу до мережі, які доступні на сервері політики мережі або поставляються іншими компаніями (в залежності від реалізації захисту доступу до мережі).

Політики працездатності можуть мати такі характеристики, як вимоги до програмного забезпечення, вимоги до оновлень системи безпеки і вимоги до параметрів конфігурації. Захист доступу до мережі застосовує політики працездатності, перевіряючи і оцінюючи працездатність клієнтських комп'ютерів, обмежуючи мережевий доступ для комп'ютерів, які не відповідають цим вимогам і виправляючи цю невідповідність з метою надання необмеженого доступу до мережі.

Перед розробкою сокетного сервера потрібно створити сервер політики, повідомляє Silverlight, яким клієнтам дозволено встановлювати з'єднання з сокетних сервером.

Як було показано вище, Silverlight не дозволяє завантажувати вміст або викликати веб-службу, якщо в домені немає файлу clientaccesspolicy .xml або crossdomain. xml, в якому ці операції явно дозволені. Аналогічне обмеження налбжено і на сокетних сервер. Якщо не надати клієнтського пристрою можливість завантажити файл clientaccesspolicy .xml, який дозволяє віддалений доступ, Silverlight відмовиться встановлювати з'єднання.

На жаль, надання файлу clientaccesspolicy. cml сокетних додатком - більш складне завдання, ніж його надання за допомогою веб-сайту. При використанні веб-сайту програмне забезпечення веб-сервера може надати файл clientaccesspolicy .xml, потрібно лише не забути додати його. У той же час при використанні сокетного додатки потрібно відкрити сокет, до якого клієнтські програми можуть звертатися із запитами політики. Крім того, потрібно вручну створити код, який обслуговує сокет. Для вирішення цих завдань необхідно створити сервер політики.

Далі буде показано, що сервер політики працює так само, як сервер повідомлень, він лише обслуговує трохи простіші взаємодії. Сервери повідомлень і політики можна створити окремо або об'єднати в одній програмі. У другому випадку вони повинні прослуховувати запити в різних потоках. У розглянутому прикладі ми створимо сервер політики, а потім об'єднаємо його з сервером повідомлень.

Для створення сервера політики потрібно спочатку створити пріложеніе.NET. Як сервер політики може служити пріложеніе.NET будь-якого типу. Найпростіше застосувати консольний додаток. Налагодивши консольний додаток, можна перемістити код в службу Windows, щоб він постійно виконувався в фоновому режимі.

файл політики

Нижче наведено файл політики, що надається сервером політики.

Файл політики визначає три правила.

Дозволяє доступ до всіх портів від 4502 до 4532 (це повний діапазон портів, підтримуваних надбудовою Silverlight). Щоб змінити діапазон доступних портів потрібно змінити значення атрибута port елемента.

Дозволяє доступ TCP (дозвіл визначено в атрибуті protocol елемента).

Дозволяє дзвінок з усіх домену. Отже, додаток Silverlight, яке встановлює з'єднання, може хостіроваться будь-яким веб-сайтом. Щоб змінити цю правила потрібно відредагувати атрибут uri елемента.

Для полегшення завдання правила політики розміщуються у файлі clientaccess- ploi.cy.xml, що додається до проекту. У Visual Studio параметру Copy to Output Directory (Копіювати в вихідну папку) файлу політики потрібно присвоїти значення Сору Always (Завжди копіювати). повинен всього лише знайти файл на жорсткому диску, відкрити його і повернути вміст клієнтського пристрою.

клас PolicyServer

Функціональність сервера політики заснована на двох ключових класах: PolicyServer і PolicyConnection. Клас PolicyServer забезпечує очікування з'єднань. Отримавши з'єднання, він передає управління новому примірнику класу PoicyConnection, який передає файл політики клієнту. Така процедура, що складається з двох частин, часто зустрічається в мережевому програмуванні. Ви ще не раз побачите її при роботі з серверами повідомлень.

Клас PolicyServer завантажує файл політики з жорсткого диска і зберігає його в поле як масив байтів.

public class PolicyServer

private byte policy;

public PolicyServer (string policyFile) (

Щоб почати прослуховування, серверний додаток має викликати метод PolicyServer. Start (). Він створює об'єкт TcpListener, який очікує запити. Об'єкт TcpListener налаштований на прослуховування порту 943. У Silverlight цей порт зарезервований для серверів політики. При створенні запитів на файли політики додаток Silverlight автоматично направляє їх в порт 943.

private TcpListener listener;

public void Start ()

// Створення прослуховуючого об'єкта

listener \u003d new TcpListener (IPAddress.Any, 943);

// Початок прослуховування; метод Start () повертається II негайно після виклику listener.Start ();

// Очікування з'єднання; метод повертається негайно;

II очікування виконується в окремому потоці

Щоб прийняти запропоноване з'єднання, сервер політики викликає метод BeginAcceptTcpClient (). Як все методи Beginxxx () інфраструктури.NET, він повертається негайно після виклику, виконуючи необхідні операції в окремому потоці. Для мережевих додатків це досить істотний фактор, тому що завдяки йому можлива одночасна обробка багатьох запитів на файли політики.

Примітка. Початківці мережеві програмісти часто дивуються, як можна обробляти більше одного запиту одночасно, і думають, що для цього потрібно кілька серверів. Однак це не так. При такому підході клієнтські додатків швидко вичерпали б доступні порти. На практиці серверні додатки обробляють багато запитів через один порт. Цей процес невидимий для додатків, тому що вбудована в Windows підсистема TCP автоматично ідентифікує повідомлення і направляє їх до відповідних об'єкти в коді додатків. Кожне з'єднання унікально ідентифікується на основі чотирьох параметрів: ІР-адреса клієнта, номер порту клієнта, ІР-адреса сервера і номер порту сервера.

При кожному запиті запускається метод зворотного виклику OnAcceptTcpClient (). Він знову викликає метод BeginAcceptTcpClient О, щоб почати очікування наступного запиту в іншому потоці, і після цього починає обробляти поточний запит.

public void OnAcceptTcpClient (IAsyncResult аг) (

if (isStopped) return;

Console.WriteLine ( "Отримано запит політики."); // Очікування наступного з'єднання.

listener.BeginAcceptTcpClient (OnAcceptTcpClient, null);

// Обробка поточного з'єднання.

TcpClient client \u003d listener.EndAcceptTcpClient (аг); PolicyConnection policyConnection \u003d new PolicyConnection (client, policy); policyConnection.HandleRequest ();

catch (Exception err) (

Кожен раз при отриманні нового з'єднання створюється новий об'єкт PolicyConnection, щоб обробити його. Крім того, об'єкт PolicyConnection обслуговує файл політики.

Останній компонент класу PolicyServer - метод Stop (), який зупиняє очікування запитів. Додаток викликає його при завершенні.

private bool isStopped;

public void StopO (

isStopped \u003d true;

listener. Stop ();

catch (Exception err) (

Console.WriteLine (err.Message);

Для запуску сервера політики в методі Main () сервера програми використовується наступний код.

static void Main (string args) (

PolicyServer policyServer \u003d new PolicyServer ( "clientaccesspolicy.xml"); policyServer.Start ();

Console.WriteLine ( "Запущено сервер політики."); Console.WriteLine ( "Натисніть Enter для виходу.");

// Очікування натискання клавіші; за допомогою методу // Console.ReadKey () можна задати очікування певної // рядка (наприклад, quit) або натискання будь-якої клавіші Console.ReadLine ();

policyServer.Stop ();

Console.WriteLine ( "Завершення сервера політики.");

клас PolicyConnection

Клас PolicyConnection виконує більш просту задачу. Об'єкт PolicyConnection зберігає посилання на дані файлу політики. Потім, після виклику методу HandleRequest (), об'єкт PolicyConnection витягує з мережевого потоку нове з'єднання і намагається прочитати його. Клієнтський пристрій має передати рядок, що містить текст Після читання цього тексту клієнтський пристрій записує дані політики в потік і закриває з'єднання. Нижче наведено код класу PolicyConnection.

public class PolicyConnection (

private TcpClient client; private byte policy;

public PolicyConnection (TcpClient client, byte policy) (

this.client \u003d client; this.policy \u003d policy;

// Створення запиту клієнта private static string policyRequestString \u003d "

public void HandleRequest () (

Stream s \u003d client.GetStream (); // Читання рядка запиту політики

byte buffer \u003d new byte;

// Очікування виконується тільки 5 секунд client.ReceiveTimeout \u003d 5000; '

s.Read (buffer, 0, buffer.Length);

// Передача політики (можна також перевірити, чи є // в запиті політики необхідне вміст) s.Write (policy, 0, policy.Length);

// Закриття з'єднання client.Close ();

Console.WriteLine ( "Файл політики обслужений.");

Отже, у нас є повністю працездатний сервер політики. На жаль, його поки що не можна протестувати, тому що надбудова Silverlight не дозволяє явно запитувати файли політики. Замість цього вона автоматично запитує їх при спробі використовувати сокетних додаток. Перед створенням клієнтського додатка для даного сокетного додатки необхідно створити сервер.

У попередніх статтях даного циклу ви навчилися ефективно використовувати функціонал локальних політик безпеки, що дозволяє максимально захистити інфраструктуру вашої організації від атак недоброзичливців ззовні, а також від більшості дій некомпетентних співробітників. Ви вже знаєте як можна ефективно налаштувати політики облікових записів, які дозволяють управляти складністю паролів ваших користувачів, налаштовувати політики аудиту для подальшого аналізу аутентифікації ваших користувачів в журналі безпеки. Крім цього ви навчилися призначати права для ваших користувачів для уникнення нанесення шкоди своїй системі і навіть комп'ютерів у вашій локальної мережі, знаєте як можна ефективно налаштувати журнали подій, групи з обмеженим доступом, системні служби, реєстр і файлову систему. У цій статті ми продовжимо вивчення локальних політик безпеки, і ви дізнаєтеся про налаштування безпеки дротових мереж для вашого підприємства.

У серверних операційних системах компанії Microsoft, починаючи з Windows Server 2008, з'явився компонент політик провідної мережі (IEEE 802.3), який забезпечує автоматичну конфігурацію для розгортання послуг проводового доступу з перевіркою достовірності IEEE 802.1X для мережевих клієнтів Ethernet 802.3. Для реалізації параметрів безпеки дротових мереж засобами групових політик, в операційних системах використовується служба провідний автонастройки (Wired AutoConfig - DOT3SVC). Поточна служба відповідає за перевірку справжності IEEE 802.1X при підключенні до мереж Ethernet за допомогою сумісних комутаторів 802.1X, а також управляє профілем, що використовується з метою налаштування мережевого клієнта для доступу з перевіркою достовірності. Також варто відзначити, що якщо ви будете використовувати дані політики, то бажано заборонити користувачам вашого домену змінювати режим запуску даної служби.

Налаштування політики провідної мережі

Задати налаштування політики провідних мереж ви можете безпосередньо з оснащення. Для того щоб налаштувати дані параметри, виконайте наступні дії:

1. Відкрийте оснастку і в дереві консолі виберіть вузол, натисніть на ньому правою кнопкою миші і з контекстного меню виберіть команду «Створення нової політики провідних мереж для Windows Vista і більш пізніх версій», Як показано на наступній ілюстрації:

   Рис. 1. Створення політики провідної мережі

2. У діалоговому вікні «Нова політика для дротових мереж Properties», На вкладці «Загальні», Ви можете задати застосування служби автонастройки дротових мереж для налаштування адаптерів локальних мереж для підключення до дротової мережі. Крім параметрів політики, які поширюються на операційні системи Windows Vista і більш пізні, існують деякі опції, які будуть застосовуватися тільки до операційних систем Windows 7 і Windows Server 2008 R2. На цій вкладці ви можете виконувати наступні дії:
   • ім'я політики. У цьому текстовому полі ви можете задавати найменування для вашої політики провідної мережі. Ім'я політики ви зможете побачити в області відомостей вузла «Політики провідної мережі (IEEE 802.3)» оснащення «Редактор управління груповими політиками»;
   • опис. Дане текстове поле призначене для заповнення докладного опису призначення політики провідної мережі;
   • Використовувати службу автонастройки дротових мереж Windows для клієнтів. Дана опція виконує реальну настройку і підключає клієнтів до провідної мережі 802.3. Якщо відключити цю опцію, то операційна система Windows не контролюватиме проводове підключення до мережі та параметри політики діяти не будуть;
   • Заборонити використання загальних облікових даних користувача для перевірки автентичності мережі. Цей параметр визначає, чи слід користувачеві забороняти зберігати загальні облікові дані користувача для перевірки автентичності мережі. Локально ви можете змінювати цей параметр за допомогою команди netsh lan set allowexplicitcreds;
   • Включити період блокування. Ця установка визначає, чи слід забороняти комп'ютера автоматично підключатися до дротової мережі протягом зазначеного вами кількості хвилин. За замовчуванням вказано 20 хвилин. Налаштовується період блокування в діапазоні від 1 до 60 хвилин.

«Загальні» політики провідної мережі:

Рис. 2. Вкладка «Загальні» діалогового вікна параметрів політики провідної мережі

3. на вкладці «Безпека» надані параметри конфігурації методу перевірки автентичності та режиму проводового підключення. Ви можете налаштовувати такі параметри безпеки:
   • Включати перевірку справжності IEEE 802.1X для доступу до мережі. Ця опція використовується безпосередньо для включення або відключення перевірки автентичності 802.1X мережевого доступу. За замовчуванням ця опція включена;
   • Виберіть метод перевірки автентичності мережі. За допомогою даного списку ви можете вказати один з методів перевірки справжності мережевих клієнтів, який буде застосований для вашої політики провідної мережі. Доступні для вибору наступні два параметри:
     • Microsoft: Захищені EAP (PEAP). Для цього методу перевірки автентичності, вікно «Властивості» містить параметри конфігурації використовуваного методу перевірки автентичності;
     • Microsoft: смарт-карти або інший сертифікат. Для цього методу перевірки автентичності, у вікні «Властивості» надані параметри конфігурації, за допомогою яких можна вказати смарт-карту або сертифікат для підключення, а також список довірених кореневих центрів сертифікації.

   За умовчанням вибраний метод Microsoft: захищені EAP (PEAP);

4. Режим перевірки автентичності. Даний список, що розкривається застосовується для виконання мережевої перевірки автентичності. Можна вибрати такі чотири параметри:
   • Перевірка автентичності користувача або комп'ютера. У тому випадку, якщо буде обраний цей параметр, облікові дані безпеки будуть використовуватися на основі поточного стану комп'ютера. Навіть якщо в систему не входив жоден користувач, перевірка справжності буде виконуватися за обліковими даними комп'ютера. При вході користувача будуть використовуватися облікові дані увійшов в систему користувача. Компанія Microsoft рекомендує в більшості випадків використовувати саме цей параметр режиму перевірки автентичності.
   • Тільки для комп'ютера. В цьому випадку перевірка справжності виконується тільки для облікових даних комп'ютера;
   • Перевірка автентичності користувача. При виборі даного параметра включається примусова перевірка справжності користувача тільки при підключенні до нового пристрою 802.1X. У всіх інших випадках перевірка справжності виконується тільки для комп'ютера;
   • Перевірка справжності гостя. Даний параметр дозволяє підключатися до мережі на основі гостьовий облікового запису.
5. Максимальне число помилок перевірки автентичності. Цей параметр дозволяє вказати максимальну кількість помилок при перевірці автентичності. Значення за замовчуванням - 1;
6. Кешувати дані користувача для подальших підключень до цієї мережі. При включенні даного параметра, призначені для користувача облікові дані будуть зберігатися в системному реєстрі, при виході користувача з системи і при подальшому вході облікові дані запитуватися не будуть.

На наступній ілюстрації відображена вкладка «Безпека» даного діалогового вікна:

Рис. 3. Вкладка «Безпека» в діалоговому вікні параметрів політики провідної мережі

Властивості режимів перевірки автентичності

Як говорилося в попередньому розділі, для обох методів перевірки автентичності є додаткові настройки, які викликаються після натискання на кнопку «Властивості». У цьому розділі розглянемо всі можливі настройки для методів перевірки автентичності.

Налаштування методу перевірки автентичності «Microsoft: Захищені EAP (PEAP)»

EAP (Extensible Authentication Protocol, Розширюваний Протокол Аутентифікації) - це розширювана інфраструктура аутентифікації, яка визначає формат посилки. Для настройки даного методу перевірки автентичності доступні наступні параметри:

Включити швидке перепідключення. Дана опція дозволяє користувачам з бездротовими комп'ютерами швидко переміщатися між точками доступу без повторної перевірки автентичності в новій мережі. Таке перемикання може працювати тільки для точок доступу, які налаштовані як клієнти служби RADIUS. За замовчуванням ця опція включена;

Включити захист доступу до мережі. При виборі цієї опції, перед дозволом підключення до мережі здобувачів EAP, для визначення перевірки вимог працездатності, будуть виконуватися відповідні перевірки;

Відключатися, якщо сервер не підтримує прив'язку з шифруванням через механізм TLV. Ця опція відповідає за переривання підключаються клієнтами процесу перевірки справжності в тому випадку, якщо RADIUS-сервер не надає криптографічне значення прив'язки TLV, яка підвищує безпеку TLS-тунелю в PEAP, об'єднуючи способи внутрішньої і зовнішньої перевірки автентичності, щоб зловмисники не могли виконувати атаки типу втручання третьої сторони;

Включити посвідчення конфіденційності. Даний параметр відповідає за те, щоб клієнти не могли відправляти своє посвідчення перед тим, як клієнт перевірив справжність сервера RADIUS, і при необхідності забезпечувати місце для введення значення анонімного посвідчення.

Діалогове вікно властивостей захищеного EAP відображено на наступній ілюстрації:

Рис. 5. Діалогове вікно властивостей захищеного EAP

Налаштування методу перевірки автентичності «Смарт-карти або інший сертифікат - настройки EAP-TLS»

Для настройки даного методу перевірки автентичності існують такі параметри:

• При підключенні використовувати мою смарт-карту. Якщо ви встановите перемикач на дану позицію, то клієнти, які виконують запити перевірки автентичності, представлятимуть сертифікат смарт-карти для мережевої перевірки автентичності;
• При підключенні використовувати сертифікат на цьому комп'ютері. При виборі цієї опції, при перевірці підключення клієнтів буде використовуватися сертифікат, розташований в сховище поточного користувача або локального комп'ютера;
• Використовувати вибір простого сертифіката. Ця опція дозволяє операційній системі Windows фільтрувати сертифікати, які не відповідають вимогам перевірки автентичності;
• Перевіряти сертифікат сервера. Дана опція дозволяє задавати перевірку сертифіката сервера, який надається на клієнтські комп'ютери на наявність валидной Не прострочені підпису, а також наявність довіреної кореневого центру сертифікації, який видав сертифікат серверу
• Зайдіть до серверів. Ця опція ідентична однойменної опції, про яку розповідалося в попередньому розділі;
• Довірені кореневі центри сертифікації. Також як і в діалоговому вікні властивостей захищеного EAP, в цьому списку ви можете знайти все довірені кореневі центри сертифікації, які встановлені в сховищах сертифіката користувача і комп'ютера;
• Чи не запитувати користувача авторизувати нові сервери або довірені Центри Сертифікації. Встановивши прапорець для цієї опції, при наявності неправильно налаштованого сертифіката сервера або з довідника для користувача, не буде доступний широкому діалогове вікно з пропозицією авторизації такого сертифіката. За замовчуванням ця опція відключена;
• Використовувати для підключення інше ім'я користувача. Цей параметр визначає, чи потрібно використовувати для перевірки справжності ім'я користувача, відмінне від імені користувача в сертифікаті. При включеній опції використання іншого імені користувача вам необхідно вибрати як мінімум один сертифікат зі списку довірених кореневих центрів сертифікації.

Діалогове вікно налаштувань смарт-карт або інших сертифікатів відображено на наступній ілюстрації:

Рис. 6. Діалогове вікно налаштувань смарт-карт або інших сертифікатів

Якщо ви не впевнені в вибирає вами сертифікаті, то натиснувши на кнопку «Переглянути сертифікат» зможете переглянути всі докладні відомості про обраний сертифікаті, як показано нижче:

Рис. 7. Перегляд сертифіката зі списку довірених кореневих центрів сертифікації

Розширені можливості пошуку безпекової політики провідних мереж

Ви, напевно, звернули увагу на те, що на вкладці «Безпека» діалогового вікна налаштувань політики провідної мережі присутні ще додаткові параметри безпеки, призначені для зміни поведінки мережевих клієнтів, які подають запити на доступ з перевіркою достовірності 802.1X. Розширені можливості пошуку політик провідних мереж можна розділити на дві групи - настройки IEEE 802.1X і налаштування єдиного входу. Розглянемо кожну з цих груп:

У групі налаштувань IEEE 802.1X ви можете вказати характеристики запитів провідних мереж з перевіркою достовірності 802.1х. Для зміни доступні наступні параметри:

• Застосувати додаткові параметри 802.1X. Ця опція дозволяє активувати наступні чотири налаштування;
• Макс. EAPOL-повідомлень. EAPOL - це протокол EAP, який використовується до того як комп'ютер встигає аутентифицироваться, і тільки після успішного «логіна» весь інший трафік зможе проходити через той порт комутатора, до якого підключений даний комп'ютер. Цей параметр відповідає за максимальну кількість повідомлень, що відправляються EAPOL-Start;
• Період затримки (сек). Цей параметр відповідає за затримку в секундах перед виконанням наступного запиту перевірки справжності 802.1X після отримання повідомлення про відмову при перевірці автентичності;
• Start Period (період початку). Цей параметр відповідає за час очікування перед повторною відправкою послідовних повідомлень EAPOL-Start;
• Період перевірки (сек). Цей параметр визначає число секунд між повторною послідовних початкових повідомлень EAPOL після ініціації наскрізний перевірки доступу 802.1X;
• Повідомлення EAPOL-Start. За допомогою даного параметра ви можете вказати наступні характеристики передачі початкових повідомлень EAPOL:
  • Чи не передавати. При виборі даного параметра, EAPOL повідомлення не будуть передаватися;
  • передано. При виборі цього параметра, клієнтові потрібно буде вручну відправляти початкові повідомлення EAPOL;
  • Передача по протоколу IEEE 802.1X. при виборі даного параметра (він визначений за замовчуванням) повідомлення EAPOL будуть відправлятися в автоматичному режимі, чекаючи почати перевірку 802.1х.

При використанні єдиного входу, перевірка справжності повинна виконуватися на підставі конфігурації безпеки мережі в процесі входу користувача в операційну систему. Для повної настройки профілів єдиного входу в систему доступні наступні параметри:

• Включити єдину реєстрацію для мережі. При включенні даної опції активуються настройки єдиного входу в систему;
• Включити безпосередньо перед входом користувача. Якщо ви встановите перемикач на цю опцію, то перевірка справжності 802.1х буде виконуватися перед завершенням входу користувача в систему;
• Включити одразу після входу користувача. Якщо ви встановите перемикач на цю опцію, то перевірка справжності 802.1х буде виконуватися після завершення входу користувача в систему;
• Макс. затримка підключення. Цей параметр задає максимальний час, за яке повинна бути завершена перевірка справжності і, відповідно, як довго буде чекати користувач перед появою вікна користувальницького входу в систему;
• Дозволити відображення додаткових діалогових вікон при єдиному вході. Цей параметр відповідає за відображення діалогового вікна входу користувача в систему;
• Ця мережа використовує різні віртуальні локальні мережі для перевірки автентичності за обліковими даними комп'ютерів і користувачів. При вказівці цієї настройки, при запуску, все комп'ютери будуть поміщатися в одну віртуальну мережу, а після успішного входу користувача в систему, в залежності від дозволів, будуть переводитися в різні віртуальні мережі. Цю опцію можна буде активувати тільки в тому випадку, якщо у вас на підприємстві використовуються кілька віртуальних локальних мереж VLAN.

Діалогове вікно додаткових параметрів безпеки політики провідних мереж відображено на наступній ілюстрації:

Рис. 8. Діалогове вікно додаткових параметрів безпеки політики провідних мереж

висновок

У цій статті ви познайомилися з усіма параметрами політики провідних мереж IEE 802.1X. Ви дізналися про те, як можна створити таку політику, а також дізналися про методи перевірки автентичності EAP і перевірки за допомогою смарт-карт або інших сертифікатів. У наступній статті ви дізнаєтеся про локальні політиках безпеки диспетчера списку мереж.

Політики в Exchange Server 2003 призначені для підвищення гнучкості адміністрування при одночасному зниженні навантаження на адміністраторів. Політика - це набір параметрів конфігурації, які застосовуються до одного або декількох об'єктів одного класу в Exchange. Наприклад, можна створити політику, яка впливає на певні параметри деяких або всіх серверів Exchange. Якщо буде потрібно змінити ці параметри, то досить модифікувати цю політику, і вона буде застосована до відповідної організації сервера.

Існує два види політик: системна політика (system policy) і політика одержувачів (recipient policy). Політики одержувачів застосовуються до об'єктів з доступом до пошти і вказують, яким чином генеруються адреси електронної пошти. Мова про політиків одержувачів йде в "Створення та управління одержувачами". Системні політики застосовуються до серверів, сховищ поштових скриньок і сховищ загальних папок. Ці політики відображаються в контейнері Policies (Політики) всередині групи, відповідальної за адміністрування цієї політики (рис. 12.10).

Рис. 12.10.Об'єкт "системна політика"

Примітка. При установці Exchange Server 2003 не створюється контейнер за умовчанням для системних політик. Його необхідно створити перед побудовою системних політик. Клацніть правою кнопкою миші на групі адміністрування, в якій потрібно створити папку політики, наведіть курсор миші на пункт New (Створити) і виберіть System Policy Container (Контейнер системної політики).

Створення системної політики

Для створення системної політики потрібно перейти до відповідного контейнер System Policies (Системні політики), натиснути правою кнопкою миші на контейнері, після чого вибрати тип створюваної політики: політика сервера, політика сховища поштових скриньок або політика сховища загальних папок.

При роботі з системними політиками не забудьте створити об'ектполітіку в групі, яка несе відповідальність за адміністрування цієї політики. Інакше може статися помилка у виборі людей, які здійснюють адміністративний контроль за критично важливими політиками. Розглянемо, як створюється кожен з трьох типів політик, починаючи з політик серверів.

Створення політики серверів

Політика серверів визначає параметри відстеження повідомлень і обслуговування файлів журналів. Вона не застосовується до параметрів безпеки або іншим параметрам серверів в даній групі адміністрування. Щоб створити політику серверів, клацніть правою кнопкою миші на контейнері System Policies (Системні політики), вкажіть на пункт New (Створити) і виберіть варіант Server Policy (Політика серверів). З'явиться діалогове вікно New Policy (Створення політики), показане на рис. 12.11, в якому зазначаються вкладки, які відображаються на сторінці властивостей даної політики. Для політики серверів є тільки одна опція: вкладка General (Загальні). Відзначте опцію для цієї вкладки і потім натисніть OK. З'явиться вікно конфігурації, в якому буде створена дана політика.

Рис. 12.11.

Після цього потрібно ввести ім'я політики у вікні вкладки General сторінки властивостей даної політики. Як показано на малюнку 12.12, насправді існує дві вкладки General. Перша вкладка використовується для введення імені політики. Виберіть ім'я для опису завдання, для виконання якої призначена дана політика, наприклад Message Tracking Policy (Політика відстеження повідомлень) або Enable Subject Logging Policy (Політика "Активізувати реєстрацію тим повідомлень"). Відповідне ім'я, вибране на цій стадії, заощадить час роботи, так як не буде необхідності відкривати сторінку властивостей цієї політики, щоб визначити її призначення.

Вкладка General (Policy) (Загальні [Політика]), показана на рис. 12.13, містить реальні параметри політики, які застосовуються до серверів Exchange розглянутої організації. Вкладка називається General (Policy), так як потенційно здійснюється конфігурація вкладки General сторінок властивостей для всіх наявних серверів. (Нижче в цій лекції ми розглянемо, як застосовувати цю політику до всіх серверів організації.) Якщо порівняти цю вкладку з вкладкою General на сторінці властивостей якого-небудь сервера, то стане видно, що ці вкладки збігаються, за винятком ідентифікуючої інформації вгорі вкладки.

На вкладці General (Policy) активізується реєстрація і відображення на екрані тим повідомлень (Enable subject logging and display) для всіх наявних серверів Exchange 2003. Ця установка діє в поєднанні з опцією Enable Message Tracking (Активізувати відстеження повідомлень), що дозволяє відстежувати повідомлення, що передаються в організації. Ці опції корисні для пошуку та усунення джерела проблем, що виникають, коли деякі користувачі не отримують повідомлень від інших користувачів. Існує можливість відстеження проходження повідомлення через організацію для визначення місця, в якому є проблеми з передачею даних. Детальніше про відстеження повідомлень і реєстрації тим повідомлень розповідається в лекції 6 "Функціональність, безпека і підтримка Exchange Server 2003".

Рис. 12.12.

Рис. 12.13.

Після того як політика почала діяти, її не можна змінити на рівні локальних серверів. Політика відстеження повідомлень, яку ми використовували в якості прикладу, була сформована на сервері EX-SRV1 в групі адміністрування Arizona. на

Функціонал в операційній системі Windows Server розрахунок і поліпшується від версії до версії, ролей і компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис і призначення кожної ролі в Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що ж взагалі таке « роль сервера»В операційній системі Windows Server.

Що таке «Роль сервера» в Windows Server?

Роль сервера (Server Role) - це програмний комплекс, який забезпечує виконання сервером певної функції, і дана функція є основною. Іншими словами, " роль сервера»- це призначення сервера, тобто для чого він потрібен. Щоб сервер міг виконувати свою основну функцію, тобто певну роль, в « роль сервера»Включено все необхідне для цього програмне забезпечення ( програми, служби).

У сервера може бути одна роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб ролі, які і забезпечують функціональні можливості ролі. Наприклад, в роль сервера « Веб-сервер (IIS)»Включено досить велика кількість служб, а в роль« DNS-сервер»Не входять служби ролі, так як дана роль виконує тільки одну функцію.

Служби ролей можуть бути встановлені всі разом або окремо в залежності від Ваших потреб. За своєю суттю установка ролі означає установку однієї або декількох її служб.

У Windows Server також існують і « компоненти»Сервера.

Компоненти сервера (Feature) - це програмні засоби, які не є роллю сервера, але розширюють можливості однієї або декількох ролей, або керують однією або декількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, які необхідні для функціонування даних ролей. Тому в момент установки таких ролей « Майстер додавання ролей і компонентів»Сам, автоматично запропонує Вам встановити потрібні, додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, так як вони існують вже досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими можливо Ви ще не працювали, але хотіли б дізнатися, для чого вони потрібні, тому давайте приступати до їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можете прочитати в матеріалі «Установка Windows Server 2016 і огляд нових можливостей».

Так як дуже часто установка і адміністрування ролей, служб і компонентів відбувається з використанням Windows PowerShell, я для кожної ролі і її служби буду вказувати назву, яке можна використовувати в PowerShell, відповідно для її установки або для управління.

DHCP-сервер

Ця роль дозволяє централізовано налаштовувати динамічні IP-адреси і пов'язані з ними параметри комп'ютерів і пристроїв у мережі. У ролі DHCP-сервер немає служб ролі.

Назва для Windows PowerShell - DHCP.

DNS-сервер

Дана роль призначена для розпізнавання імен в мережах TCP / IP. Роль DNS-сервер забезпечує і підтримує роботу DNS. Для спрощення управління DNS-сервером його зазвичай встановлюють на тому ж сервері, що і доменні служби Active Directory. У ролі DNS-сервер немає служб ролі.

Назва ролі для PowerShell - DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізованних середу і керувати нею. Іншими словами, це інструмент для створення і управління віртуальними машинами.

Назва ролі для Windows PowerShell - Hyper-V.

Атестація працездатності пристроїв

роль « »Дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаження і засоби Bitlocker на клієнті.

Для функціонування даної ролі необхідно досить багато служб ролей і компонентів, наприклад: кілька служб з ролі « Веб-сервер (IIS)», Компонент« », Компонент« Функціі.NET Framework 4.6».

Під час установки всі необхідні служби ролей і компоненти будуть обрані автоматично. У ролі « Атестація працездатності пристроїв»Своїх служб ролі немає.

Назва для PowerShell - DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійний, керовану і масштабовану інфраструктуру веб-додатків. Складається з досить великої кількості служб (43).

Назва для Windows PowerShell - Web-Server.

Включає наступні служби ролі ( в дужках я буду вказувати назву для Windows PowerShell):

Веб - сервер (Web-WebServer) - група служб ролі, яка надає підтримку веб-сайтів HTML, розширень ASP.NET, ASP і веб-сервера. Складається з наступних служб:

• Безпека (Web-Security) - набір служб для забезпечення безпеки веб-сервера.
  • Фільтрація запитів (Web-Filtering) - за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, і фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб сервера;
  • IP-адреса і обмеження домену (Web-IP-Security) - ці кошти дозволяють дозволяти або забороняти доступ до вмісту на веб сервері з урахуванням IP-адреси або імені домена джерела в запиті;
  • Авторизація URL-адреси (Web-Url-Auth) - кошти дозволяють розробляти правила для обмеження доступу до веб-вмісту і пов'язувати їх з користувачами, групами або командами заголовка HTTP;
  • Дайджест-перевірка справжності (Web-Digest-Auth) - дана перевірка справжності дозволяє забезпечити більш високий рівень безпеки в порівнянні зі звичайною перевіркою автентичності. Дайджест-перевірка для перевірки автентичності користувачів діє за принципом передачі хеша пароля контролера домену Windows;
  • Звичайна перевірка справжності (Web-Basic-Auth) - цей метод перевірки автентичності забезпечує надійну сумісність веб-браузера. Рекомендується використовувати в невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі можна досить просто перехопити і розшифрувати, тому використовуйте цей метод в поєднанні з SSL;
  • Перевірка справжності Windows (Web-Windows-Auth) - являє собою перевірку справжності, засновану на аутентифікації в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для перевірки автентичності користувачів своїх Web сайтів;
  • Перевірка справжності з зіставленням сертифіката клієнта (Web-Client-Auth) - даний метод перевірки автентичності має на увазі використання сертифіката клієнта. Для забезпечення зіставлення сертифікатів цей тип використовує служби Active Directory;
  • Перевірка справжності з зіставленням сертифіката клієнта IIS (Web-Cert-Auth) - в даному методі для перевірки справжності також застосовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують більш високу продуктивність;
  • Централізована підтримка SSL-сертифіката (Web-CertProvider) - ці кошти дозволяє централізовано керувати сертифікатами сервера SSL, що значно спрощує процес управління цими сертифікатами;
• Справність і діагностика (Web-Health) - набір служб для забезпечення контролю, управління та усунення порушень в роботі веб-серверів, сайтів і додатків:
  • Ведення журналу http (Web-Http-Logging) - кошти забезпечують ведення журналу активності веб-сайту на даному сервері, тобто запис логу;
  • Ведення журналу ODBC (Web-ODBC-Logging) - ці кошти також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності в базі даних, сумісної з ODBC;
  • Монітор запитів (Web-Request-Monitor) - це інструмент який дозволяє спостерігати за справністю веб-додатки, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
  • Налаштування роздільної ведення журналу (Web-Custom-Logging) - за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера в форматі, значно відрізняється від стандартного формату IIS. Іншими словами, Ви можете створити власний модуль ведення журналу;
  • Засоби ведення журналу (Web-Log-Libraries) - це інструменти для управління журналами веб-сервера і автоматизації завдань ведення журналу;
  • Трасування (Web-Http-Tracing) - це засіб для діагностування та усунення порушень в роботі веб-додатків.
• Загальні функції http (Web-Common-Http) - набір служб, які надають основні функціональні можливості HTTP:
  • Документ за замовчуванням (Web-Default-Doc) - ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за замовчуванням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресу запиту, за рахунок цього користувачам стає зручніше звертатися до веб сайту, наприклад, по домену, чи не вказуючи при цьому файл;
  • Огляд каталогу (Web-Dir-Browsing) - за допомогою цього засобу можна налаштувати веб сервер так, щоб користувачі могли переглядати список всіх каталогів і файлів на веб сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресу запиту, при цьому документи за умовчанням або заборонені, або не налаштовані;
  • Помилки http (Web-Http-Errors) - дана можливість дозволяє налаштовувати повідомлення про помилки, які будуть повертатися на веб-браузери користувачів в момент виявлення веб-сервером помилки. Цей засіб використовується для більш зручного представлення користувачам повідомлень про помилки;
  • Статичний зміст (Web-Static-Content) - це засіб дозволяє використовувати на веб-сервері контент у вигляді статичних форматів файлів, наприклад, HTML файли або файли зображень;
  • Перенаправлення http (Web-Http-Redirect) - за допомогою цієї можливості можна перенаправити призначений для користувача запит по конкретному призначенню, тобто це Redirect;
  • Публікація WebDAV (WebDAV-Publishing) - дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) - це технологія дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщати) Над файлами на віддалених веб серверах, використовуючи при цьому протокол HTTP.
• Продуктивність (Web-Performance) - набір служб для досягнення більш високої продуктивності web сервера, за рахунок кешування вихідних даних і загальних механізмів стиснення, таких як Gzip і Deflate:
  • Стиснення статичного вмісту (Web-Stat-Compression) - це засіб для настройки стиснення статичного вмісту http, воно дозволяє більш ефективно використовувати пропускну здатність, при цьому без зайвого навантаження на ЦП;
  • Стиснення динамічного вмісту (Web-Dyn-Compression) - це засіб для настройки стиснення динамічного вмісту HTTP. Даний засіб забезпечує більш ефективне використання пропускної здатності, але в даному випадку навантаження на ЦП сервера, пов'язана з динамічним стисненням, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення висока.
• Розробка додатків (Web-App-Dev) - набір служб і засобів для розробки і розміщення веб-додатків, іншими словами, технології розробки сайтів:
  • ASP (Web-ASP) - середовище підтримки і розробки web сайтів і web додатків з використанням технології ASP. На поточний момент існує новіша і просунута технологія розробки сайтів - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) - це об'єктно орієнтоване середовище розробки web сайтів і веб додатків з використанням технології ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів і веб додатків з використанням нової версії ASP.NET;
  • CGI (Web-CGI) - це можливість використання CGI для передачі веб-сервером інформації в зовнішнє програму. CGI - це певний стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, застосування CGI впливає на продуктивність;
  • Включення на стороні сервера (SSI) (Web-Includes) - це підтримка мови сценаріїв SSI ( включення на стороні сервера), Який використовується для динамічного формування сторінок HTML;
  • Ініціалізація додатків (Web-AppInit) - це засіб виконує завдання ініціалізації web додатків перед пересиланням веб-сторінки;
  • Протокол WebSocket (Web-WebSockets) - додавання можливості створення серверних додатків, які взаємодіють за допомогою протоколу WebSocket. WebSocket - це протокол, який може передавати і приймати одночасно дані між браузером і web сервером поверх TCP-з'єднання, свого роду розширення протоколу HTTP;
  • Розширення ISAPI (Web-ISAPI-Ext) - підтримка динамічної розробки web вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI - це API для web сервера IIS. Додатки ISAPI працюють набагато швидше в порівнянні з файлами ASP або файлами, що викликають компоненти COM +;
  • Расшіряемость.NET 3.5 (Web-Net-Ext) - це засіб расшіряемості.NET 3.5, яке дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації і в призначеному для користувача інтерфейсі;
  • Расшіряемость.NET 4.6 (Web-Net-Ext45) - це засіб расшіряемості.NET 4.6, яке також дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації і в призначеному для користувача інтерфейсі;
  • Фільтри ISAPI (Web-ISAPI-Filter) - додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI представляють собою програми, які викликаються при отриманні web сервером певного запиту HTTP підлягає обробці цим фільтром.

FTP - сервер (Web-Ftp-Server) - служби, які забезпечують підтримку протоколу FTP. Більш докладно про FTP сервері ми говорили в матеріалі - «Установка і настройка FTP сервера на Windows Server 2016». Містить наступні служби:

• Служба FTP (Web-Ftp-Service) - додає підтримку протоколу FTP на веб сервері;
• Можливість розширення FTP (Web-Ftp-Ext) - розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як настроюються постачальники, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби управління (Web-Mgmt-Tools) - це кошти управління веб-сервером IIS 10. До них можна віднести: призначений для користувача інтерфейс IIS, засоби командного рядка і скрипти.

• Консоль управління службами IIS (Web-Mgmt-Console) - це призначений для користувача інтерфейс управління службами IIS;
• Набори символів і засоби управління службами IIS (Web-Scripting-Tools) - це кошти і скрипти управління службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації управління;
• Служба управління (Web-Mgmt-Service) - ця служба додає можливість управляти web сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
• Управління сумісністю з IIS 6 (Web-Mgmt-Compat) - забезпечує сумісність додатків і сценаріїв, які використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для управління веб-сервером IIS 10:
  • Метабаза сумісності з IIS 6 (Web-Metabase) - засіб сумісності, яке дозволяє запускати додатки і набори символів, перенесені з попередніх версій IIS;
  • Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) - ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для управління IIS 6, в IIS 10;
  • Консоль управління службами IIS 6 (Web-Lgcy-Mgmt-Console) - засіб адміністрування віддалених серверів IIS 6.0;
  • Сумісність з WMI IIS 6 (Web-WMI) - це інтерфейси скриптів інструментарію управління Windows (WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного в постачальника WMI.

Доменні служби Active Directory

роль « Доменні служби Active Directory»(AD DS) забезпечує розподілену базу даних, яка зберігає і обробляє інформацію про мережеві ресурси. Дану роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої, в ієрархічну структуру захисної оболонки. Ієрархічна структура включає в себе ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, що працює під управлінням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell - AD-Domain-Services.

Режим Windows Server Essentials

Дана роль являє собою комп'ютерну інфраструктуру і надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці і захист цих даних за рахунок резервного копіювання сервера і клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи даної ролі необхідно кілька служб ролей і компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба ролі « Простору імен DFS».

Назва для PowerShell - ServerEssentialsRole.

Мережевий контролер

Це роль з'явилася в Windows Server 2016, вона являє собою єдину точку автоматизації для управління, моніторингу та діагностики, фізичної і віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою даної ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережні адаптери Hyper-V хостів, управляти віртуальними комутаторами, фізичними маршрутизаторами, настройками брандмауера і VPN-шлюзами.

Назва для Windows PowerShell - NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, які дозволяють захищеним вузлів запускати екрановані віртуальні машини. Для функціонування даної ролі необхідно кілька додаткових ролей і компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « відмовостійка кластеризация" та інші.

Назва для PowerShell - HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

роль « Служби Active Directory полегшеного доступу до каталогів»(AD LDS) - являє собою полегшену версію AD DS, яка володіє меншою функціональністю, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює по протоколу LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька примірників AD LDS з незалежно керованими схемами.

Назва для PowerShell - ADLDS.

служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє декільком користувачам одночасно і незалежно один від одного працювати на одному і тому ж комп'ютері. Для установки і функціонування даної ролі потрібно встановити кілька додаткових служб і компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS і інші, всі вони будуть обрані автоматично в момент установки MPS.

Назва ролі для PowerShell - MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністратори можуть управляти оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам і оновлення, які потрібно встановити. Для функціонування « Служби Windows Server Update Services»Потрібні такі служби ролей і компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва для Windows PowerShell - UpdateServices.

• WID Connectivity (UpdateServices-WidDB) - установка в WID ( Windows Internal Database) Бази даних, використовуваної WSUS. Іншими словами, свої службові дані WSUS буде зберігати в WID;
• WSUS Services (UpdateServices-Services) - це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленого взаємодії з API, веб-служба клієнта, веб-служба простої перевірки справжності через Інтернет, служба синхронізація сервера і веб-служба перевірки справжності DSS;
• SQL Server Connectivity (UpdateServices-DB) - це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних в БД Microsoft SQL Server. В даному випадку у Вас вже повинен бути встановлений, принаймні, один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати і спростити видачу корпоративних ліцензій на програмне забезпечення від компанії Microsoft, а також вона дозволяє управляти цими ліцензіями.

Назва для PowerShell - VolumeActivation.

Служби друку і документів

Ця роль сервера призначена для спільного використання принтерів і сканерів в мережі, для централізованої настройки і управління серверами друку і сканування, а також управління мережевими принтерами та сканерами. Служби друку і документів також дозволяє відправляти відскановані документи по електронній пошті, в загальні мережеві папки або на сайти Windows SharePoint Services.

Назва для PowerShell - Print-Services.

• Сервер друку (Print-Server) - дана служба ролі включає оснащення " управління печаткою», Яка використовується для управління принтерами або серверами друку, а також для міграції принтерів і інших серверів друку;
• Друк через Інтернет (Print-Internet) - для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть управляти завданнями друку на сервері. Для роботи даної служби як Ви розумієте необхідно встановити « Веб-сервер (IIS)». Всі необхідні компоненти будуть обрані автоматично, коли Ви відзначите даний пункт під час процесу установки служби ролі « Друк через Інтернет»;
• Сервер розподіленого сканування (Print-Scan-Server) - це служба, яка дозволяє приймати відскановані документи з мережевих сканерів і відправляти їх за місцем призначення. Дана служба також містить оснащення " управління скануванням», Яка використовується для управління мережевими сканерами і для настройки сканування;
• Служба LPD (Print-LPD-Service) - служба LPD ( Line Printer Daemon) Дозволяє комп'ютерам на базі UNIX або інші обчислювальні, які використовують службу Line Printer Remote (LPR), друкувати на загальних принтерах сервера.

Служби політики мережі та доступу

роль « »(NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати і застосовувати політики доступу до мережі, перевірки автентичності та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва для Windows PowerShell - NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено встановлювати операційної системи Windows по мережі.

Назва ролі для PowerShell - WDS.

• Сервер розгортання (WDS-Deployment) - дана служба ролі призначена для віддаленого розгортання і налаштування операційних систем Windows. Вона також дозволяє створювати і налаштовувати образи для повторного використання;
• Транспортний сервер (WDS-Transport) - це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом під LGPL на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних додатків і управляти такими сертифікатами.

Назва для Windows PowerShell - AD-Certificate.

Включає наступні служби ролі:

• Центр сертифікації (ADCS-Cert-Authority) - за допомогою даної служби ролі можна видавати сертифікати користувачам, комп'ютерам і службам, а також керувати дійсністю сертифіката;
• Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) - ця служба дозволяє користувачам і комп'ютерам отримувати відомості про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить в домен. Для її функціонування необхідний « Веб-сервер (IIS)»;
• Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) - дана служба дозволяє користувачам і комп'ютерам реєструвати і продовжувати сертифікати за допомогою веб-браузера по протоколу HTTPS, навіть якщо комп'ютер не входить в домен. Для її функціонування також необхідний « Веб-сервер (IIS)»;
• Мережевий відповідач (ADCS-Online-Cert) - служба призначена для перевірки його відкликання сертифікату для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів і відправляє назад підписаний відповідь, з інформацією про статус. Для функціонування служби необхідний « Веб-сервер (IIS)»;
• Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) - ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити і продовження сертифікатів, отримання списку відкликаних сертифікатів та реєстрація сертифікатів смарт-карт. Для функціонування служби необхідний « Веб-сервер (IIS)»;
• Служба реєстрації на мережевих пристроях (ADCS-Device-Enrollment) - за допомогою цієї служби можна видавати сертифікати для маршрутизаторів і інших мережевих пристроїв, що не мають мережевих облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний « Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованим на сеансах, і до віддалених програм RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

• Веб-доступ до віддалених робочих столів (RDS-Web-Access) - дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів і програм RemoteApp через меню « Пуск»Або за допомогою веб-браузера;
• Ліцензування віддалених робочих столів (RDS-Licensing) - служба призначена для управління ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або до віртуального робочого столу. Її можна використовувати для установки, видачі ліцензій та відстеження їх доступності. Для роботи даної служби необхідний « Веб-сервер (IIS)»;
• Посередник підключень до віддаленого робочого столу (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, з додатком RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів віддалених робочих столів або між віртуальними робочими столами в складі пулу. Для роботи даної служби необхідний компонент « »;
• Вузол віртуалізації віддалених робочих столів (DS-Virtualization) - служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів і програм RemoteApp. Ця служба працює спільно з Hyper-V, тобто дана роль повинна бути встановлена;
• Вузол сеансів віддалених робочих столів (RDS-RD-Server) - за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і засновані на сеансах робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого столу або віддалені програми RemoteApp;
• Шлюз віддалених робочих столів (RDS-Gateway) - служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддаленим програм RemoteApp і робочих столів, заснованим на сеансах, в корпоративної мережі або через Інтернет. Для функціонування даної служби необхідні додаткові служби і компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби управління правами Active Directory

Це роль сервера, яка дозволить Вам захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів і надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи даної ролі необхідні додаткові служби і компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функціі.NET Framework 4.6».

Назва для Windows PowerShell - ADRMS.

• Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкове для установки;
• Підтримка федерації посвідчень (ADRMS-Identity) - це додаткова служба ролі, що дозволяє федеративним посвідченнями використовувати для захищеного вмісту за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Дана роль надає спрощені і безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва для PowerShell - ADFS-Federation.

Віддалений доступ

Дана роль забезпечує підключення через DirectAccess, VPN і проксі веб-додатки. Також роль « Віддалений доступ»Надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) і інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби і компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

• DirectAccess і VPN (RAS) (DirectAccess-VPN) - служба дозволяє користувачам підключатися до корпоративної мережі в будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення в поєднанні з технологіями тунелювання і шифрування даних;
• Маршрутизація (Routing) - служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережі з протоколами BGP, RIP і маршрутизаторів з підтримкою під LGPL (IGMP-проксі);
• Проксі-сервер веб-додатків (Web-Application-Proxy) - служба дозволяє публікувати додатки на основі протоколів HTTP і HTTPS з корпоративної мережі на клієнтських пристроях, які знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати спільний доступ до файлів і папок, управляти загальними ресурсами і контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошук файлів, а також надавати доступ для клієнтських комп'ютерів UNIX. Більш докладно файлові служби та зокрема файловий сервер ми розглядали в матеріалі «Установка файлового сервера (File Server) на Windows Server 2016».

Назва для Windows PowerShell - FileAndStorage-Services.

Служби зберігання (Storage-Services) - це служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services) - це технології, які спрощують управління файловими серверами і сховищами, дозволяють економити місце на диску, забезпечують реплікацію і кешування файлів в філіях, а також надають загальний доступ до файлів по протоколу NFS. Включає наступні служби ролі:

• Файловий сервер (FS-FileServer) - служба ролі, яка управляє загальними папками і надає користувачам доступ до файлів на цьому комп'ютері через мережу;
• Дедуплікація даних (FS-Data-Deduplication) - ця служба економить місце на диску за рахунок зберігання на томі тільки однієї копії ідентичних даних;
• Диспетчер ресурсів файлового сервера (FS-Resource-Manager) - за допомогою цієї служби можна управляти файлами і папками на файловому сервері, створювати звіти сховища, класифікувати файли і папки, налаштовувати квоти папок і визначати політики блокування файлів;
• Постачальник цільового сховища iSCSI (апаратні постачальники VDS і VSS) (iSCSITarget-VSS-VDS) - служба дозволяє додатків на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
• Простору імен DFS (FS-DFS-Namespace) - за допомогою цієї служби можна групувати загальні папки, розміщені на різних серверах, в одне або кілька логічно структурованих просторів імен;
• Робочі папки (FS-SyncShareService) - служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі і особисті. У робочих папках можна зберігати свої файли, синхронізувати їх і отримувати до них доступ з локальної мережі або Інтернету. Для функціонування служби необхідний компонент « Внутріпроцессное веб-ядро IIS»;
• Реплікація DFS (FS-DFS-Replication) - це модуль реплікації даних між декількома серверами, що дозволяє синхронізувати папки через підключення до локальної або глобальної мережі. Дана технологія використовує протокол віддаленого разностного стиснення (RDC) для поновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна застосовувати як разом з просторами імен DFS, так і окремо;
• Сервер для NFS (FS-NFS-Service) - служба дозволяє цього комп'ютера спільно використовувати файли з комп'ютерами на базі UNIX або інші обчислювальні, які використовують протокол мережевої файлової системи (NFS);
• Сервер мети iSCSI (FS-iSCSITarget-Server) - надає служби та засоби управління для цілей iSCSI;
• Служба BranchCache для мережевих файлів (FS-BranchCache) - служба забезпечує підтримку BranchCache на цьому файловому сервері;
• Служба агента VSS файлового сервера (FS-VSS-Agent) - служба дозволяє виконувати тіньове копіювання томів для додатків, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль відправляє і приймає факси, а також дозволяє управляти ресурсами факсу, такими як завдання, параметри, звіти і факсимільні пристрої, на цьому комп'ютері або в мережі. Для роботи необхідний « сервер друку».

Назва ролі для Windows PowerShell - Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчений, сподіваюся, матеріал був Вам корисний, поки!

Застосування групових політик (частина 3)

Зазвичай об'єкти групової політики призначаються на контейнер (домен, сайт або OU) і застосовуються до всіх об'єктів в цьому контейнері. При грамотно організованій структурі домена цього цілком достатньо, проте іноді потрібно додатково обмежити застосування політик певною групою об'єктів. Для цього можна використовувати два типи фільтрів.

фільтри безпеки

Фільтри безпеки дозволяють обмежити застосування політик певною групою безпеки. Для прикладу візьмемо GPO2, за допомогою якого проводиться централізована настройка меню Пуск на робочих станціях з Windows 8.1 \\ Windows 10. GPO2 призначений на OU Employees і застосовується до всіх без винятку користувачам.

Тепер перейдемо на вкладку «Scope», де в розділі «Security Filtering» вказані групи, до яких може бути застосований даний GPO. За замовчуванням тут вказується група Authenticated Users. Це означає, що політика може бути застосована до будь-якого користувача або комп'ютера, що успішно пройшов аутентифікацію в домені.

Насправді кожен GPO має свій список доступу, який можна побачити на вкладці «Delegation».

Для застосування політики об'єкт повинен мати права на її читання (Read) і застосування (Apply group policy), які і є у групи Authenticated Users. Відповідно для того, щоб політика застосовувалася до всіх, а тільки до певної групи, необхідно видалити зі списку Authenticated Users, потім додати потрібну групу і видати їй відповідні права.

Так в нашому прикладі політика може застосовуватися тільки до групи Accounting.

WMI фільтри

Windows Management Instrumentation (WMI) - один з найбільш потужних інструментів для управління операційною системою Windows. WMI містить величезну кількість класів, за допомогою яких можна описати практично будь-які параметри користувача і комп'ютера. Подивитися всі наявні класи WMI у вигляді списку можна за допомогою PowerShell, виконавши команду:

Get-WmiObject -List

Для прикладу візьмемо клас Win32_OperatingSystem, Який відповідає за властивості операційної системи. Припустимо, що потрібно відфільтрувати всі операційні системи крім Windows 10. Заходимо на комп'ютер зі встановленою Window 10, відкриваємо консоль PowerShell і виводимо ім'я, версію і тип операційної системи за допомогою команди:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType

Для фільтра використовуємо версію і тип ОС. Версія однакова для клієнтських і серверних ОС і визначається так:

Window Server 2016 \\ Windows 10 - 10.0
Window Server 2012 R2 \\ Windows 8.1 - 6.3
Window Server 2012 \\ Windows 8 - 6.2
Window Server 2008 R2 \\ Windows 7 - 6.1
Window Server 2008 рік \\ Windows Vista - 6.0

Тип продукту відповідає за призначення комп'ютера і може мати 3 значення:

1 - робоча станція;
2 - контролер домену;
3 - сервер.

Тепер переходимо безпосередньо до створення фільтра. Для цього відкриваємо оснащення "Group Policy Management» і переходимо до розділу «WMI Filters». Кількома на ньому правою клавішею миші і в контекстному меню вибираємо пункт «New».

У вікні, даємо фільтру ім'я і опис. Потім тиснемо кнопку «Add» і поле «Query» вводимо WQL запит, який і є основою WMI фільтра. Нам необхідно відібрати ОС версії 10.0 з типом 1, відповідно запит буде виглядати так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0%" AND ProductType \u003d "1"

Примітка. Windows Query Language (WQL) - мова запитів WMI. Детальніше про нього можна дізнатися на MSDN.

Зберігаємо вийшов фільтр.

Тепер залишилося тільки призначити WMI фільтр на об'єкт групової політики, наприклад на GPO3. Переходимо до властивостей GPO, відкриваємо вкладку «Scope» і в полі «WMI Filtering» вибираємо зі списку потрібний фільтр.

Аналіз застосування групових політик

При такій кількості способів фільтрації GPO необхідно мати можливість діагностики та аналізу їх застосування. Найпростіше перевірити дію групових політик на комп'ютері можна за допомогою утиліти командного рядка gpresult.

Для прикладу зайдемо на комп'ютер wks2, на якому встановлена \u200b\u200bОС Windows 7, і перевіримо, чи спрацював WMI фільтр. Для цього відкриваємо консоль cmd з правами адміністратора і виконуємо команду gpresult / r, Яка виводить сумарну інформацію про групових політиках, застосованих до користувача і комп'ютера.

Примітка. Утиліта gpresult має безліч налаштувань, подивитися які можна командою gpresult /?.

Як видно з отриманих даних, до комп'ютера не застосовуючи політика GPO3, оскільки вона була відфільтрована за допомогою фільтра WMI.

Також перевірити дію GPO можна з оснащення «Group Policy Management», за допомогою спеціального майстра. Для запуску майстра натискаємо правою клавішею миші на розділі «Group Policy Results» і в меню вибираємо пункт «Group Policy Results Wizard».

Вказуємо ім'я комп'ютера, для якого буде складений звіт. Якщо потрібно переглянути тільки призначені для користувача настройки групової політики, то настройки для комп'ютера можна не брати взагалі. Для цього необхідно поставити галочку знизу (display user policy settings only).

Потім вибираємо ім'я користувача, для якого будуть збиратися дані, або можна вказати не включати до звіту настройки групової політики для користувача (display computer policy settings only).

Перевіряємо вибрані настройки, тиснемо «Next» і чекаємо, поки збираються дані і генерується звіт.

Звіт містить вичерпні дані про об'єкти групових політик, застосованих (або не застосованих) до користувача і комп'ютера, а також про вибір потрібного фільтрах.

Для прикладу складемо звіти для двох різних користувачів і порівняємо їх. Першим відкриємо звіт для користувача Kirill і перейдемо в розділ налаштувань користувача. Як бачите, до цього користувачеві не застосовуючи політика GPO2, оскільки у нього немає прав на її застосування (Reason Denied - Inaсcessible).

А тепер відкриємо звіт для користувача Oleg. Цей користувач є членом групи Accounting, тому до нього політика була успішно застосована. Це означає, що фільтр безпеки успішно відпрацював.

На цьому, мабуть, я закінчу "захоплююче" розповідь про застосування групових політик. Сподіваюся ця інформація буде корисною і допоможе вам у нелегкій справі системного адміністрування 🙂

При установці Windows велика частина другорядних підсистем НЕ активується або не встановлюється. Це зроблено з міркувань безпеки. Оскільки система за замовчуванням захищена, системні адміністратори можуть зосередитися на проектуванні системи, яка буде виконувати виключно покладені на неї функції і нічого зайвого. Для допомоги при включенні потрібних функцій, Windows пропонує вибрати роль сервера (Server Role).

ролі

Роль сервера - це набір програм, які при правильному встановленні та налаштуванні дозволяють комп'ютеру виконувати певну функцію для декількох користувачів або інших комп'ютерів у мережі. У загальних випадках все ролі мають такі характеристики.

• Вони визначають основну функцію, призначення або мета використання комп'ютера. Можна призначити комп'ютер для виконання однієї ролі, яка інтенсивно використовується на підприємстві, або для виконання декількох ролей, якщо кожна з них застосовується лише зрідка.
• Ролі надають користувачам у всій організації доступ до ресурсів, які управляються іншими комп'ютерами, таким як веб-сайти, принтери або файли, що зберігаються на різних комп'ютерах.
• Вони зазвичай мають власні бази даних, в яких створюються черги запитів користувача або комп'ютера або записуються відомості про мережевих користувачів і комп'ютерах, що мають відношення до ролі. Наприклад, Служби домену Active Directory містять базу даних для зберігання імен та ієрархічних зв'язків всіх комп'ютерів в мережі.
• Після правильної установки і настройки ролі функціонують автоматично. Це дозволяє комп'ютерам, на яких вони встановлені, виконувати призначені завдання при обмеженому участю користувача.

служби ролей

Служби ролей - це програми, які забезпечують функціональні можливості ролі. При установці ролі можна вибрати, які служби вона надає іншим користувачам і комп'ютерам на підприємстві. Деякі ролі, такі як DNS-сервер, виконують тільки одну функцію, тому для них немає служб ролей. Інші ролі, такі як служби віддалених робочих столів, мають кілька служб, які можна встановити в залежності від потреб підприємства у віддаленому доступі. Роль можна розглядати як сукупність тісно пов'язаних, взаємодоповнюючих служб ролей. У більшості випадків установка ролі означає установку однієї або декількох її служб.

компоненти

Компоненти - це програми, які не є безпосередньо частинами ролей, але підтримують або розширюють функції однієї або кількох ролей або цілого сервера незалежно від того, які ролі встановлені. Наприклад, компонент «Засіб відмовостійкості кластерів» розширює функції інших ролей, таких як Файлові служби та DHCP-сервер, дозволяючи їм приєднуватися до серверних кластерів, що забезпечує підвищену надмірність і продуктивність. Інший компонент - «Клієнт Telnet» - забезпечує віддалену зв'язок з сервером Telnet через мережеве підключення. Ця функція розширює можливості зв'язку для сервера.

Коли Windows Server працює в режимі основних серверних компонентів, підтримуються наступні ролі сервера:

• служби сертифікатів Active Directory;
• доменні служби Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файлові служби (в тому числі диспетчер ресурсів файлового сервера);
• служби Active Directory полегшеного доступу до каталогів;
• Hyper-V;
• служби друку і документів;
• служби потокового мультимедіа;
• веб-сервер (в тому числі підмножина ASP.NET);
• сервер поновлення Windows Server;
• сервер управління правами Active Directory;
• сервер маршрутизації та віддаленого доступу і такі підлеглі ролі:
  • посередник підключень служб віддалених робочих столів;
  • ліцензування;
  • віртуалізація.

Коли Windows Server працює в режимі основних серверних компонентів, підтримуються наступні компоненти сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фонова інтелектуальна служба передачі (BITS);
• шифрування диска BitLocker;
• мережева розблокування BitLocker;
• BranchCache
• міст для центру обробки даних;
• Enhanced Storage;
• відмовостійка кластеризація;
• Multipath I / O;
• балансування мережного навантаження;
• протокол PNRP;
• qWave;
• віддалене різницеве \u200b\u200bстиск;
• прості служби TCP / IP;
• RPC через HTTP-проксі;
• сервер SMTP;
• служба SNMP;
• клієнт Telnet;
• сервер Telnet;
• клієнт TFTP;
• внутрішня база даних Windows;
• Windows PowerShell Web Access;
• служба активації Windows;
• стандартизоване управління сховищами Windows;
• розширення IIS WinRM;
• WINS-сервер;
• підтримка WoW64.

Установка ролей сервера за допомогою Server Manager

Для додавання відкриваємо Server Manager, і в меню Manage тиснемо Add Roles and features:

Відкриється майстер додавання ролей і компонентів. тиснемо Next

Installation Type, вибираємо Role-based or feature-based installation. Next:

Server Selection - вибираємо наш сервер. Тиснемо Next Server Roles - Виберіть ролі, якщо необхідно, виберіть служби ролей і натисніть кнопку Next, щоб вибрати компоненти. В ході цієї процедури Майстер додавання ролей і компонентів автоматично інформує про виниклі конфлікти на кінцевому сервері, які можуть перешкодити встановленню або нормальній роботі обраних ролей або компонентів. Також з'являється запит на додавання ролей, служб ролей і компонентів, необхідних для обраних ролей або компонентів.

Установка ролей за допомогою PowerShell

Відкриваємо Windows PowerShell Вводимо команду Get-WindowsFeature, щоб переглянути список доступних і встановлених ролей і компонентів на локальному сервері. Результати виконання цього командлета містять імена команд для ролей і компонентів, встановлених і доступних для установки.

Введіть Get-Help Install-WindowsFeature для перегляду синтаксису і допустимих параметрів командлет Install-WindowsFeature (MAN).

Вводимо наступну команду (-Restart перезавантажить сервер, якщо при установці ролі потрібне перезавантаження).

Install-WindowsFeature -Name -Restart

Опис ролей і служб ролей

Нижче описані всі ролі і служби ролей. Розширену настройку подивимося для самих часто зустрічаються в нашій практиці Web Server Role і Remote Desktop Services

Детальний опис IIS

• Common HTTP Features - Основні HTTP компоненти
  • Default Document - дозволяє встановлювати контрольним аркушем у сайту.
  • Directory Browsing - дозволяє користувачам бачити вміст каталогу на веб-сервері. Використовуйте Directory Browsing для того, щоб автоматично згенерувати список всіх каталогів і файлів, що є в каталозі, коли користувачі не вказують файл в URL-адресу та індексна сторінка відключена чи відсутня установка
  • HTTP Errors - дозволяє налаштувати повідомлення про помилки, що повертаються клієнтам в браузері.
  • Static Content - дозволяє розміщувати статичний контент, наприклад, картинки або html-файли.
  • HTTP Redirection - забезпечує підтримку перенаправлення запитів користувачів.
  • WebDAV Publishing дозволяє публікувати файли з веб-сервера за допомогою протоколу HTTP.
• Health and Diagnostics Features - Компоненти діагностики
  • HTTP Logging забезпечує ведення журналу активності веб-сайту для даного сервера.
  • Custom Logging забезпечує підтримку створення кастомних логів, які відрізняються від "традиційних" журналів.
  • Logging Tools забезпечує інфраструктуру для управління журналами веб-сервера і автоматизації спільних завдань ведення журналу.
  • ODBC Logging забезпечує інфраструктуру, яка підтримує ведення журналу активності веб-сервера в ODBC-сумісної базі даних.
  • Request Monitor надає інфраструктуру для моніторингу стану веб-додатків шляхом збору інформації про HTTP-запити в робочому процесі IIS.
  • Tracing надає інфраструктуру для діагностики та усунення неполадок веб-додатків. При використанні трасування невдалих запитів, ви можете відстежити важко-фіксуються події, такі як погана продуктивність або збої аутентифікації.
• Performance компоненти збільшення продуктивності веб-сервера.
  • Static Content Compression надає інфраструктуру для настройки HTTP-стиснення статичного вмісту
  • Dynamic Content Compression надає інфраструктуру для настройки HTTP-стиснення динамічного вмісту.
• Security компоненти безпеки
  • Request Filtering дозволяє фіксувати всі вхідні запити і фільтрувати їх на підставі правил, встановлених адміністратором.
  • Basic Authentication дозволяє встановити додаткову авторизацію
  • Centralized SSL Certificate Support це функція, яка дозволяє зберігати сертифікати в централізованому місці, як загальний файловий ресурс.
  • Client Certificate Mapping Authentication використовує клієнтські сертифікати для аутентифікації користувачів.
  • Digest Authentication працює шляхом відправки хеша пароля в контролер домену Windows, для аутентифікації користувачів. Якщо вам необхідно більш високий рівень безпеки в порівнянні зі звичайною перевіркою автентичності, розгляньте питання про використання перевірки автентичності Digest
  • IIS Client Certificate Mapping Authentication використовує клієнтські сертифікати для аутентифікації користувачів. Сертифікат клієнта є цифровий ID, отриманий з надійного джерела.
  • IP and Domain Restrictions дозволяє вирішувати / забороняти доступ на основі запитуваної Ip-адреси або доменного імені.
  • URL Authorization дозволяє створювати правила, що обмежують доступ до веб-контенту.
  • Windows Authentication Ця схема аутентифікації дозволяє адміністраторам домену Windows користуватися перевагами доменної інфраструктури для аутентифікації користувачів.
• Application Development Features компоненти розробки додатків
• FTP Server
  • FTP Service Включає FTP публікації на веб-сервері.
  • FTP Extensibility Включає підтримку FTP функцій, що розширюють можливості
• Management Tools інструменти управління
  • IIS Management Console встановлює диспетчер IIS, який дозволяє управляти Веб-сервером через графічний інтерфейс
  • IIS 6.0 Management Compatibility забезпечує пряму сумісність для додатків і сценаріїв, які використовують Admin Base Object (ABO) і інтерфейсу служби каталогів (ADSI) API Active Directory. Це дозволяє використовувати існуючі сценарії IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools надають інфраструктуру для управління веб-сервером IIS програмно, за допомогою команд у вікні командного рядка або за допомогою запуску сценаріїв.
  • Management Service надає інфраструктуру для настройки інтерфейсу користувача, диспетчера IIS.

Детальний опис RDS

• Remote Desktop Connection Broker - Забезпечує повторне підключення клієнтського пристрою до програм, на основі сеансів настільних комп'ютерів і віртуальних робочих столів.
• Remote Desktop Gateway - Дозволяє авторизованим користувачам підключатися до віртуальних робочих столів, програмами RemoteApp і заснованих на сесіях робочих столів в корпоративній мережі або через Інтернет.
• Remote Desktop Licensing - Засіб управління ліцензіями RDP
• Remote Desktop Session Host - Включає сервер для розміщення програм RemoteApp або сеансу на основі робочих столів.
• Remote Desktop Virtualization Host - дозволяє налаштовувати RDP на віртуальних машинах
• Remote Desktop WebAccess - Дозволяє користувачам підключатися до ресурсів робочого столу за допомогою меню Пуск або веб-браузера.

Розглянемо установку і настройку сервера термінальних ліцензій. Вище розказано як встановлювати ролі, установка RDS не відрізняється від установки інших ролей, в Role Services нам буде потрібно вибрати Remote Desktop Licensing і Remote Desktop Session Host. Після установки в Server Manager-Tools з'явиться пункт Terminal Services. У Terminal Services є два пункти RD Licensing Diagnoser, це засіб діагностики роботи ліцензування віддалених робочих столів, і Remote Desktop Licensing Manager, це засіб управління ліцензіями.

Запустимо RD Licensing Diagnoser

Тут ми бачимо, що доступних ліцензій поки немає, т. К. Не заданий режим ліцензування для сервера вузла сеансів віддалених робочих столів. Сервер ліцензування вказується в локальних групових політиках. Для запуску редактора виконаємо команду gpedit.msc. Відкриється редактор локальної групової політики. У дереві зліва розкриємо вкладки:

• «Конфігурація комп'ютера» (Computer Configuration)
• «Адміністративні шаблони» (Administrative Templates)
• «Компоненти Windows» (Windows Components)
• «Служби віддалених робочих столів» (Remote Desktop Services)
• «Вузол сеансів віддалених робочих столів» (Remote Desktop Session Host)
• «Ліцензування» (Licensing)

Відкриємо параметри Use the specified Remote Desktop license servers

У вікні редагування параметрів політики включаємо сервер ліцензування (Enabled). Потім необхідно визначити сервер ліцензування для служби віддалених робочих столів. У моєму прикладі сервер ліцензування знаходиться на цьому ж фізичному сервері. Вказуємо мережеве ім'я або IP-адресу сервера ліцензій і натискаємо OK. Якщо в подальшому буде змінюватися ім'я сервера, сервер ліцензій, то буде потрібно змінити в цьому ж розділі.

Після цього в RD Licensing Diagnoser можна побачити, що сервер термінальних ліцензій налаштований, але не включений. Для включення запускаємо Remote Desktop Licensing Manager

Вибираємо сервер ліцензування, зі статусом Not Activated. Для активації натискаємо по ньому правою кнопкою миші і вибираємо Activate Server. Запуститься Майстер активації сервера. На вкладці Connection Method вибираємо Automatic Connection. Далі заповнюємо інформація про організацію, після цього сервер ліцензій активований.

Active Directory Certificate Services

Служби AD CS надають настроюються послуги з видачі цифрових сертифікатів, які використовуються в системах безпеки ПЗ, які застосовують технології відкритих ключів, і по управлінню цими сертифікатами. Цифрові сертифікати, що надаються AD CS, можна використовувати для шифрування і цифрового підпису електронних документів і сообщеній.Еті цифрові сертифікати можна використовувати для перевірки в мережі автентичності облікових записів комп'ютерів, користувачів і устройств.Ціфровие сертифікати використовуються для забезпечення:

• конфіденційності за допомогою шифрування;
• цілісності за допомогою цифрових підписів;
• перевірки автентичності за допомогою прив'язування ключів сертифіката до облікових записів комп'ютерів, користувачів і пристроїв в мережі.

AD CS можна використовувати для підвищення безпеки шляхом прив'язки посвідчення користувача, пристрою або служби до відповідного закритого ключа. У число застосувань, підтримуваних AD CS, входять безпечні багатоцільові розширення стандарту пошти Інтернету (S / MIME), захищені бездротові мережі, віртуальні приватні мережі (VPN), протокол IPsec, шифрована файлова система (EFS), вхід за допомогою смарт-карт, протокол безпеки передачі даних і протокол безпеки транспортного рівня (SSL / TLS) і цифрові підписи.

Active Directory Domain Services

Використовуючи роль сервера доменних служб Active Directory (AD DS), можна створити масштабовану, безпечну і керовану інфраструктуру для управління користувачами і ресурсами; крім того, можна забезпечити роботу додатків, що підтримують каталоги, наприклад Microsoft Exchange Server. Доменні служби Active Directory надають розподілену базу даних, в якій зберігаються відомості про мережевих ресурсах та дані додатків з підтримкою каталогів, а також здійснюється управління цією інформацією. Сервер, на якому виконуються AD DS, називається контролером домену. Адміністратори можуть використовувати AD DS для впорядкування в ієрархічну вкладену структуру таких елементів мережі, як користувачі, комп'ютери і інші пристрої. Ієрархічна вкладена структура включає ліс Active Directory, домени в лісі і організаційні підрозділи в кожному домені. Засоби безпеки інтегровані в AD DS у вигляді перевірки достовірності та контролю доступу до ресурсів в каталозі. За допомогою єдиного входу в мережу адміністратори можуть управляти по мережі даними каталогу і організацією. Авторизовані користувачі мережі також можуть використовувати єдиний вхід в мережу для доступу до ресурсів, розташованим в будь-якому місці мережі. Доменні служби Active Directory надають такі додаткові можливості.

• Набір правил - схема, яка визначає класи об'єктів і атрибути, які містяться в каталозі, обмеження і межі для примірників цих об'єктів, а також формат їх імен.
• Глобальний каталог, який містить відомості про кожен об'єкт в каталозі. Користувачі і адміністратори можуть використовувати глобальний каталог для пошуку даних каталогу незалежно від того, який домен в каталозі дійсно містить шукані дані.
• Механізм запитів та індексування, завдяки якому об'єкти і їх властивості можуть публікуватися і перебувати мережевими користувачами і додатками.
• Служба реплікації, яка розподіляє дані каталогу по мережі. Всі контролери домену, доступні для запису в домені, беруть участь в реплікації і містять повну копію всіх даних каталогу для свого домену. Будь-які зміни даних каталогу реплицируются в домені на всі контролери домену.
• Ролі господарів операцій (відомі також як гнучкі операції з єдиним господарем, або FSMO). Контролери доменів, які виконують ролі господарів операцій, призначені для виконання спеціальних завдань щодо забезпечення узгодженості даних і виключення конфліктуючих записів в каталозі.

Active Directory Federation Services

AD FS надають кінцевим користувачам, яким потрібен доступ до додатків на захищеному за допомогою AD FS підприємстві, в партнерських організаціях федерації або в хмарі, можливості спрощеної і безпечної федерації посвідчень і веб-служби єдиного входу (SSO) У Windows Server AD FS включають службу ролі служби федерації, діючу в якості постачальника посвідчень (виконує перевірку автентичності користувачів для надання маркерів безпеки для додатків, які довіряють AD FS) або в якості постачальника федерації (застосовує маркери від інших постачальників посвідчень і потім надає маркери безпеки для додатків, які довіряють AD FS).

Active Directory Lightweight Directory Services

Служби Active Directory полегшеного доступу до каталогів (AD LDS) - це протокол LDAP, який забезпечує гнучку підтримку додатків, що працюють з каталогами, без залежностей і пов'язаних з доменами обмежень доменних служб Active Directory. AD LDS можна запускати на рядових або ізольованих серверах. На одному сервері можна запустити кілька екземплярів AD LDS з незалежно керованими схемами. За допомогою ролі служби AD LDS можна надати служби каталогів для додатків з підтримкою каталогів, не використовуючи службові дані доменів і лісів і не вимагаючи єдиної схеми для всього лісу.

Active Directory Rights Management Services

Служби AD RMS можна використовувати, щоб розширити стратегію безпеки в організації, забезпечивши захист документів за допомогою управління правами на доступ до даних (IRM). AD RMS дозволяє користувачам і адміністраторам призначати дозволу доступу до документів, робочим книгам і презентацій за допомогою політик IRM. Це дозволяє захистити конфіденційну інформацію від друку, пересилання чи копіювання користувачами, які не мають на це прав. Після того як дозволу для файлу обмежені за допомогою IRM, обмеження доступу та використання застосовуються незалежно від місця розташування інформації, так як дозвіл для файлу зберігається в самому файлі документа. За допомогою AD RMS і IRM окремі користувачі можуть застосовувати свої особисті настройки, що стосуються передачі особистих і конфіденційних відомостей. Вони також допоможуть організації застосовувати корпоративну політику для управління використанням і поширенням конфіденційних і анкетних даних. Рішення IRM, підтримувані службами AD RMS, використовуються для забезпечення наступних можливостей.

• Постійні політики використання, які залишаються з інформацією незалежно від її переміщення, відправки або пересилання.
• Додатковий рівень конфіденційності для захисту конфіденційних даних - наприклад, звітів, специфікацій продуктів, відомостей про клієнтів і повідомлень електронної пошти - від навмисного або випадкового потрапляння в чужі руки.
• Запобігання несанкціонованого пересилання, копіювання, зміни, друку, передачі по факсу або вставки ограничиваемого вмісту авторизованими одержувачами.
• Запобігання копіювання ограничиваемого вмісту за допомогою функції PRINT SCREEN в Microsoft Windows.
• Підтримка терміну дії файлу, що запобігає перегляд вмісту документів після закінчення заданого періоду часу.
• Впровадження корпоративних політик, керуючих використанням та поширенням вмісту в організації

Application Server

Сервер додатків надає інтегровану середу для розгортання і виконання призначених для користувача бізнес-додатків на базі сервера.

DHCP Server

DHCP - це технологія "клієнт-сервер", за допомогою якої DHCP-сервери можуть призначати або здавати в оренду IP-адреси комп'ютерів та інших пристроїв, що є DHCP-кліентамі.Развертиваніе в мережі DHCP-серверів забезпечує автоматичне надання клієнтським комп'ютерам та іншим мережевим пристроям на базі IPv4 і IPv6 дійсних IP-адрес і додаткових конфігураційних параметрів, необхідних даними клієнтам і устройствам.Служба DHCP-сервера в Windows Server включає підтримку заснованих на політиці призначень і обробку відмов протоколу DHCP.

DNS Server

Служба DNS - це ієрархічна розподілена база даних, яка містить зіставлення доменних імен DNS з різними типами даних, таких як IP-адреси. Служба DNS дозволяє використовувати зрозумілі імена, такі як www.microsoft.com, для полегшення знаходження комп'ютерів і інших ресурсів в мережах, що працюють на базі протоколу TCP / IP. Служба DNS в Windows Server забезпечує додаткову поліпшену підтримку модулів безпеки DNS (DNSSEC), включаючи реєстрацію в мережі і автоматизоване управління параметрами.

FAX Server

Факс-сервер відправляє і отримує факси, а також дає можливість управляти ресурсами факсу, такими як завдання, налаштування, звіти і факс-пристрої на вашому факс-сервері.

File and Storage Services

Адміністратори можуть використовувати роль "Файлові служби та служби сховища" для настройки декількох файлових серверів і їх сховищ, а також для управління цими серверами за допомогою диспетчера серверів або Windows PowerShell. Деякі конкретні програми включають такі функції.

• Робочі папки. Використовувати, щоб дозволити користувачам зберігання робочих файлів і доступ до них на особистих комп'ютерах і пристроях крім корпоративних ПК. Користувачі отримують зручне місце для зберігання робочих файлів і доступу до них з будь-якого місця. Організації контролюють корпоративні дані, зберігаючи файли на централізовано керованих файлових серверах і при необхідності задаючи політики пристроїв користувачів (такі як шифрування і паролі блокування екрану).
• Дедуплікація даних. Використовувати для зниження вимог до місця на диску для зберігання файлів, економлячи кошти на сховище.
• Сервер мети iSCSI. Використовувати для створення централізованих, програмних і апаратно-незалежних дискових підсистем iSCSI в мережах зберігання даних (SAN).
• Дискові простору. Використовувати для розгортання сховища з високим рівнем доступності, отказоустойчивого і масштабується за рахунок застосування економічних стандартизованих в галузі дисків.
• Диспетчер серверів. Використовувати для віддаленого управління декількома файловими серверами з одного вікна.
• Windows PowerShell. Використовувати для автоматизації управління більшістю завдань адміністрування файлових серверів.

Hyper-V

Роль Hyper-V дозволяє створювати віртуалізованних обчислювальну середу за допомогою технології віртуалізації, вбудованої в Windows Server, і керувати нею. При установці ролі Hyper-V виконується установка необхідних компонентів, а також необов'язкових засобів управління. У число необхідних компонентів входять низкоуровневая оболонка Windows, служба управління віртуальними машинами Hyper-V, постачальник віртуалізації WMI і компоненти віртуалізації, такі як шина VMbus, постачальник служби віртуалізації (VSP) і драйвер віртуальної інфраструктури (VID).

Network Policy and Access Services

Служби мережної політики і доступу надають такі рішення для мережевих підключень:

• Захист доступу до мережі - це технологія створення, примусового застосування і виправлення політик працездатності клієнта. За допомогою захисту доступу до мережі системні адміністратори можуть встановлювати і автоматично застосовувати політики працездатності, які включають в себе вимоги до програмного забезпечення, оновлень для системи безпеки та інші параметри. Для клієнтських комп'ютерів, які не відповідають вимогам політики працездатності, можна обмежити доступ до мережі до тих пір, поки їх конфігурація не буде оновлена \u200b\u200bвідповідно до вимог політики.
• Якщо розгорнуті точки бездротового доступу з підтримкою 802.1X, ви можете використовувати сервер політики мережі (NPS) для розгортання методів аутентифікації на основі сертифікатів, які більш безпечні, ніж аутентифікація на основі паролів. Розгортання обладнання з підтримкою 802.1X з сервером NPS дозволяє забезпечити аутентифікацію користувачів интрасети до того, як вони зможуть підключитися до мережі або отримати IP-адресу від DHCP-сервера.
• Замість того щоб налаштовувати політику доступу до мережі на кожному сервері доступу до мережі, можна централізовано створити всі політики, в яких будуть визначені всі аспекти запитів на підключення до мережі (хто може підключатися, коли дозволено підключення, рівень безпеки, який необхідно використовувати для підключення до мережі ).

Print and Document Services

Служби друку і документів дозволяють централізувати завдання сервера друку і мережевого принтера. Ця роль також дозволяє отримувати відскановані документи з мережевих сканерів і передавати документи в загальні мережеві ресурси - на сайт Windows SharePoint Services або по електронній пошті.

Remote Access

Роль сервера віддаленого доступу являє собою логічну групу наступних технологій мережевого доступу.

• DirectAccess
• Маршрутизація та віддалений доступ
• Проксі-сервер веб-додатки

Ці технології є службами ролей ролі сервера віддаленого доступу. При установці ролі сервера віддаленого доступу можна встановити одну або кілька служб ролей, запустивши майстер додавання ролей і компонентів.

У Windows Server роль сервера віддаленого доступу забезпечує можливість централізованого адміністрування, налаштування і спостереження за службами віддаленого доступу DirectAccess і VPN зі службою маршрутизації та віддаленого доступу (RRAS). DirectAccess і RRAS можна розгорнути на одному прикордонному сервері і управляти ними за допомогою команд Windows PowerShell і консолі управління (MMC) віддаленого доступу.

Remote Desktop Services

Служби віддалених робочих столів прискорюють і розширюють розгортання робочих столів і додатків на будь-якому пристрої, підвищуючи ефективність віддаленого працівника, одночасно забезпечуючи безпеку критично важливою інтелектуальної власності та спрощуючи відповідність нормативним вимогам. Служби віддалених робочих столів включають інфраструктуру віртуальних робочих столів (VDI), робочі столи на основі сеансів і додатки, надаючи користувачам можливість працювати в будь-якому місці.

Volume Activation Services

Служби активації корпоративних ліцензій - це роль сервера в Windows Server починаючи з Windows Server 2012, яка дозволяє автоматизувати і спростити видачу корпоративних ліцензій на програмне забезпечення Microsoft, а також управління такими ліцензіями в різних сценаріях і середовищах. Разом зі службами активації корпоративних ліцензій можна встановити і налаштувати службу управління ключами (KMS) і активацію за допомогою Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) в Windows Server забезпечує платформу для розміщення веб-вузлів, служб і додатків. Використання веб-сервера забезпечує доступ до інформації користувачам в Інтернеті, інтрамережі і екстранет. Адміністратори можуть використовувати роль веб-сервера (IIS) для настройки та управління декількома веб-сайтами, веб-додатками і FTP-сайтами. У число спеціальних можливостей входять такі.

• Використання диспетчера служб IIS для настройки компонентів IIS і адміністрування веб-сайтів.
• Використання протоколу FTP для дозволу власникам веб-сайтів відправляти і завантажувати файли.
• Використання ізоляції веб-сайтів для запобігання впливу однієї веб-сайту на сервері на інші.
• Налаштування веб-додатків, розроблених з використанням різних технологій, таких як Classic ASP, ASP.NET і PHP.
• Використання Windows PowerShell для автоматичного управління здебільшого завдань адміністрування веб-сервера.
• Об'єднання декількох веб-серверів в ферму серверів, якою можна керувати за допомогою IIS.

Windows Deployment Services

Служби розгортання Windows дозволяють розгортати операційні системи Windows по мережі, що означає можливість не встановлювати кожну операційну систему безпосередньо з компакт-диска або DVD-диска.

Windows Server Essentials Experience

Дана роль дозволяє вирішувати наступні завдання:

• захищати дані сервера і клієнтів, створюючи резервні копії сервера і всіх клієнтських комп'ютерів в мережі;
• керувати користувачами і групами користувачів через спрощену панель моніторингу сервера. Крім того, інтеграція з Windows Azure Active Directory * забезпечує користувачам простий доступ до інтернет-служб Microsoft Online Services (наприклад, Office 365, Exchange Online і SharePoint Online) за допомогою їх облікових даних домену;
• зберігати дані компанії в централізованому місці;
• інтегрувати сервер з інтернет-службами Microsoft Online Services (наприклад, Office 365, Exchange Online, SharePoint Online і Windows Intune):
• використовувати на сервері функції повсюдного доступу (наприклад, віддалений веб-доступ і віртуальні приватні мережі) для доступу до сервера, комп'ютерів мережі і даними з віддалених розташувань з високим ступенем безпеки;
• отримувати доступ до даних з будь-якого місця і з будь-якого пристрою за допомогою власного веб-порталу організації (за допомогою віддаленого веб-доступу);
• керувати мобільними пристроями, з яких здійснюється доступ до електронної пошти організації за допомогою Office 365 за допомогою протоколу Active Sync, з панелі моніторингу;
• відслідковувати працездатність мережі і отримувати настроюються звіти про працездатність; звіти можна створювати на вимогу, налаштовувати і відправляти по електронній пошті певним одержувачам.

Windows Server Update Services

Сервер WSUS надає компоненти, які необхідні адміністраторам для керування оновленнями і їх поширення через консоль управління. Крім того, сервер WSUS може бути джерелом оновлень для інших серверів WSUS в організації. При реалізації служб WSUS хоча б один сервер служб WSUS в мережі повинен бути підключений до Центру служби Microsoft Update для отримання інформації про доступні оновлення. Залежно від безпеки мережі і її конфігурації адміністратор може визначити, скільки інших серверів безпосередньо підключено до Центру служби Microsoft Update.

утиліта GPResult.exe - являє собою консольний додаток, призначене для аналізу параметрів і діагностики групових політик, які застосовуються до комп'ютера і / або користувачеві в домені Active Directory. Зокрема, GPResult дозволяє отримати дані результуючого набору політик (Resultant Set of Policy, RSOP), перелік застосованих доменних політик (GPO), їх налаштування та детальну інформацію про помилки їх обробки. Утиліта входить до складу ОС Windows починаючи з часів Windows XP. Утиліта GPResult дозволяє відповісти на такі питання: чи застосовується конкретна політика до комп'ютера, яка саме GPO змінила ту чи іншу настройку Windows, розібратися з причинами.

У цій статті ми розглянемо особливості використання команди GPResult для діагностування роботи і налагодження застосування групових політик в домені Active Directory.

Спочатку для діагностики застосування групових політик в Windows використовувалася графічна консоль RSOP.msc, яка дозволяла отримати настройки результуючих політик (доменних + локальних), застосовані до комп'ютера і користувачеві в графічному вигляді аналогічному консолі редактора GPO (нижче на прикладі уявлення консолі RSOP.msc видно, що настройки оновлень задані).

Однак, консоль RSOP.msc в сучасних версіях Windows використовувати недоцільно, тому що вона не відображає настройки, застосовані різними розширеннями групових політик (client side extensions - CSE), наприклад GPP (Group Policy Preferences), не дозволяє виконувати пошук, надає мало діагностичної інформації. Тому на даний момент саме команда GPResult є основним засобом діагностики застосування GPO в Windows (в Windows 10 навіть з'являється попередження, що RSOP не дає повний звіт на відміну від GPResult).

Використання утиліти GPResult.exe

Команда GPResult виконується на комп'ютері, на якому потрібно перевірити застосування групових політик. Команда GPResult має наступний синтаксис:

GPRESULT]] [(/ X | / H)<имя_файла> ]

Щоб отримати детальну інформацію про групових політиках, які застосовуються до даному об'єкту AD (користувачеві і комп'ютера), і інших параметрах, що відносяться до інфраструктури GPO (тобто результуючі настройки політик GPO - RsoP), виконайте команду:

Результати виконання команди розділені на 2 секції:

• COMPUTER SETTINGS (Конфігурація комп'ютера) - розділ містить інформацію про об'єкти GPO, що діють на комп'ютер (як об'єкт Active Directory);
• USER SETTINGS - призначений для користувача розділ політик (політики, діючі на обліковий запис користувача в AD).

Коротенько пробіжить по основними параметрами / розділах, які нас можуть зацікавити у висновку GPResult:

• Site Name (Ім'я сайту:) - ім'я сайту AD, в якому знаходиться комп'ютер;
• CN - повне канонічне користувача / комп'ютера, для якого були згенеровані дані RSoP;
• Last time Group Policy was applied (Останнє застосування групової політики) - час, коли останній раз застосовувалися групові політики;
• Group Policy was applied from (Групова політика була застосована с) - контролер домену, з якого була завантажена остання версія GPO;
• Domain Name і Domain Type (Ім'я домену, тип домену) - ім'я та версія схеми домену Active Directory;
• Applied Group Policy Objects (Застосовані об'єкти групової політики) - списки діючих об'єктів групової політики;
• The following GPOs were not applied because they were filtered out (Наступні політики GPO були застосовані, так як вони відфільтровані) - не застосовані (відфільтровані) GPO;
• The user/ computer is a part of the following security groups (Користувач / комп'ютер є членом наступних груп безпеки) - доменні групи, створені учасником.

У нашому прикладі видно, що на об'єкт користувача діють 4 групові політики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;

Якщо ви не хочете, щоб в консоль одночасно виводилася інформація і про політиків користувача і про політиків комп'ютера, ви можете за допомогою опції / scope вивести тільки цікавий для вас розділ. Тільки результуючі політики користувача:

gpresult / r / scope: user

або тільки застосовані політики комп'ютера:

gpresult / r / scope: computer

Оскільки утиліта Gpresult виводить свої дані безпосередньо в консоль командного рядка, що буває не завжди зручно для подальшого аналізу, її висновок можна перенаправити в буфер обміну:

Gpresult / r | clip

або текстовий файл:

Gpresult / r\u003e c: \\ gpresult.txt

Щоб вивести сверхподробную інформацію RSOP, потрібно додати ключ / z.

HTML звіт RSOP за допомогою GPResult

Крім того, утиліта GPResult може згенерувати HTML-звіт по застосованим результуючим політикам (доступно в Windows 7 і вище). В даному звіті міститиметься детальна інформація про всі параметри системи, які задаються груповими політиками і іменами конкретних GPO, які їх поставили (вийшов звіт за структурою нагадує вкладку Settings в консолі управління доменними груповими політиками - GPMC). Згенерувати HTML звіт GPResult можна за допомогою команди:

GPResult / h c: \\ gp-report \\ report.html / f

Щоб згенерувати звіт і автоматично відкрити його в браузері, виконайте команду:

GPResult / h GPResult.html & GPResult.html

В HTML звіті gpresult міститься досить багато корисної інформації: видно помилки застосування GPO, час обробки (в мс.) І застосування конкретних політик і CSE (в розділі Computer Details -\u003e Component Status). Наприклад, на скріншоті вище видно, що політика з настройками 24 passwords remember застосована політикою Default Domain Policy (стовпець Winning GPO). Як ви бачите, такий звіт HTML набагато зручніше для аналізу застосованих політик, ніж консоль rsop.msc.

Отримання даних GPResult з віддаленого комп'ютера

GPResult може зібрати дані і з віддаленої комп'ютера, позбавляючи адміністратора від необхідності локального або RDP входу на віддалений комп'ютер. Формат команди збору даних RSOP з віддаленого комп'ютера такий:

GPResult / s server-ts1 / r

Аналогічним чином ви можете віддалено зібрати дані як по призначених для користувача політикам, так і по політиками комп'ютера.

Користувач username не має даних RSOP

При включеному UAC запуск GPResult без підвищених привілеїв виводить параметри тільки користувацького розділу групових політик. Якщо потрібно одночасно відобразити обидва розділу (USER SETTINGS і COMPUTER SETTINGS), команду потрібно запускати. Якщо командний рядок з підвищеними привілеями відмінною від поточного користувача системи, утиліта видасть попередження INFO: The user "domain\\ user"does not have RSOP data (Користувач «domain \\ user» не має даних RSOP). Це відбувається тому, що GPResult намагається зібрати інформацію для користувача, її запустив, але тому що даний користувач не виконав вхід (logon) в систему, інформація RSOP для нього відсутня. Щоб зібрати інформацію RSOP по користувачеві з активною сесією, потрібно вказати його обліковий запис:

gpresult / r / user: tn \\ edward

Якщо ви не знаєте ім'я врахованої записи, яка залягання на віддаленому комп'ютері, обліковий запис можна отримати так:

qwinsta / SERVER: remotePC1

Також перевірте час (і) на клієнті. Час має відповідати часу на PDC (Primary Domain Controller).

Наступні політики GPO були застосовані, так як вони відфільтровані

При траблшутінге групових політик варто також звертати увагу на секцію: The following GPOs were not applied because they were filtered out (Наступні політики GPO були застосовані, так як вони відфільтровані). У цій секції відображається список GPO, які з тієї чи іншої причини не застосовуються до цього об'єкта. Можливі варіанти, за якими політика може не застосовуватися:

Також ви можете зрозуміти повинна застосовуватися політика до конкретного об'єкта AD на вкладці ефективних дозволів (Advanced -\u003e Effective Access).

Отже, в цій статті ми розглянули особливості діагностики застосування групових політик за допомогою утиліти GPResult і розглянули типові сценарії її використання.

Вітання. Не можеш самостійно зареєструвати собі аккаунт?
пишіть в лс - vk.com/watsonshit
- Реєструємо акаунти на замовлення.
- Допомагаємо з 1 і 2 етапом UCP.
- Швидке і якісне обслуговування.
- Гарантії, відгуки. За безпеку відповідаємо.
- Абсолютно різні сервера з UCP реєстрацією.
Pacific Coast Project - SW Project і т.п.

Чи не знайшли відповідь на питання? Пишіть в коментарі відповідь видам.

) Для чого призначений OOC чат?
- 1) Це чат який не впливає на ігровий процес.

2) Що мається на увазі під терміном рольова гра?
- 2) Рольова гра це вид гри в якій потрібно відігравати обрану мною роль.

3) Якщо яка-небудь ситуація складається не на вашу користь (вбивство / грабіж). Ваші дії?
- 2) Продовжу грати не дивлячись ні на що.

2) Ви отримали гроші від чітера, що ви будете робити?
- 4) Повідомлю адміністрації сервера, відпишуся в спеціальну тему і сіллю гроші в / charity.

3) Ви маєте право вбити офіцера поліції?
- 1) Звичайно, я можу вбити офіцера поліції, тільки якщо у мене є вагома причина.

1) Чи дозволено проводити проїзд повз з водійського місця?
- 4) Ні, такі дії заборонені правилами сервера.

4) Чи дозволені ники знаменитостей і героїв фільмів / серіалів / мультфільмів?
- 3) Ні, заборонені.

5) Під час перестрілки технічно вбили трьох персонажів, але через деякий час ці ж самі персонажі вже знову грали свої ролі. До якого типу вбивств це відноситься?
- 2) Player Kill.

7) У вас стріляють, але ви не хочете вмирати, і тому ...
- 4) Ви спробуєте втекти і вижити рольовим шляхом.

2) Чи маєте ви право користуватися Bunny-Hop "ом?
- 3) Так, я маю право ним користуватися якщо я нікому не заважаю.

7) Що ви зробите, якщо у вас є пропозиція щодо розвитку сервера?
- 3) Напишу про це у відповідному розділі на форумі.

3) Чи є обов'язковим відписувати дії при використанні малогабаритного зброї?
- 4) Ні.

2) Ви вперше на сервері і зовсім не знаєте команд, що ви будете робити?
- 3) Поставлю питання адміністрації командою / askq, потім дочекаюся відповіді.

3) Для чого призначена команда / coin?
- для рішень всіх спірних ситуацій

1) Що таке Metagaming?
- 2) Це використання внеролевой інформації при відіграш ролі.

6) Гравець, чий персонаж був технічно убитий під час перестрілки, вирішив помститися кривдникам і без всяких рольових причин вбив одного з опонентів. Які порушення тут з боку гравця?
- 3) Revenge kill.

10) дозволених чи поповнювати кількість здоров'я під час бійки \\ перестрілки?
- 4) Ні.

8) Дозволено чи вогонь по співробітниках LSPD і чим він загрожує?
- 4) Так, звичайна перестрілка закінчується ПК для обох сторін. У разі якщо це кейс-файл або ж рейд, поліції видається PK, а злочинцям СК.

6) Яка максимальна сума для пограбування, яка не вимагає перевірок адміністрації?
- 1) $500

9) Які мови можна використовувати на нашому сервері?
- 1) Російський.

7) Після довгої і ретельної підготовки, кілер виконав замовлення - він убив. План був прорахований до дрібниць, тому замовник щедро заплатив. Що в цьому випадку зараховується жертві?
- 1) Character Kill.

9) Дозволено чи викрадення урядових автомобілів?
- 2) Так, але спершу потрібно запитати у адміністратора, а так само діяти згідно 9 пункту ігрових правил.

8) В яких випадках ви можете відігравати сексуальне насильство і жорстокість?
- 2) Сексуальне насильство і жорстокість можна грати тільки за згодою всіх осіб беруть участь в РП.

10) Що потрібно робити, якщо ви вважаєте, що гра йде не за правилами?
- 1) Написати в / report, в разі якщо адміністратор відсутня - написати скаргу на форумі.

7) Скільки награних годин має бути у гравця для того, щоб його можна було пограбувати?
- 3) 8 годин.

8) Вкажіть правильне використання команди / coin. після:
- me зупинив подих, і завдав удар по м'ячу, намагаючись закинути його в лунку.

8) Вкажіть правильне використання команди / me:
- / me широко посміхнувся, дивлячись прямо в очі Лінди. Підійшов ближче, за тим акуратно обійняв її.

ПРОДАЖ ВІРТУАЛЬНОЇ ВАЛЮТА на сервері PACIFIC COAST PROJECT І GRINCH ROLE PLAY.
ВСЯ ІНФОРМАЦІЯ В ГРУПІ!
vk.com/virtongarant