شرح مفصلی از خط مشی سرور در مورد آن ارائه دهید. کار با گروه های مدیریت و مسیریابی

بخش های سایت

انتخاب سردبیر:

تبلیغات

خانه - برای مبتدی ها

سخنرانی 4 سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی امنیتی

سخنرانی 4

موضوع: سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی حفاظت از دسترسی به شبکه

معرفی

Windows Server 2008 و Windows Server 2008 R2 سیستم عامل های پیشرفته ویندوز سرور هستند که برای فعال کردن نسل جدیدی از شبکه، برنامه ها و سرویس های وب طراحی شده اند. با اینها سیستم های عاملشما می توانید تجارب انعطاف پذیر و جامع را برای کاربران و برنامه ها طراحی، ارائه و مدیریت کنید، زیرساخت های شبکه ای بسیار امن ایجاد کنید و کارایی و سازماندهی فناوری را در سازمان خود افزایش دهید.

سرور خط مشی شبکه

Network Policy Server به شما امکان می دهد خط مشی های دسترسی به شبکه را در سطح سازمان ایجاد و اجرا کنید تا از سلامت کلاینت و تأیید اعتبار و مجوز درخواست های اتصال اطمینان حاصل کنید. علاوه بر این، NPS می تواند به عنوان یک پراکسی RADIUS برای ارسال درخواست های اتصال به NPS یا سایر سرورهای RADIUS که در گروه های سرور RADIUS راه دور پیکربندی شده اند استفاده شود.

سرور خط مشی شبکه به شما اجازه می دهد تا با استفاده از سه قابلیت زیر، احراز هویت، مجوز، و خط مشی های سلامت کلاینت را پیکربندی و مدیریت کنید:

سرور RADIUS. سرور سیاست شبکه به طور مرکزی احراز هویت، مجوز، و حسابداری برای اتصالات بی سیم، اتصالات سوئیچ تأیید شده، اتصالات شماره گیری و اتصالات شبکه خصوصی مجازی (VPN) را مدیریت می کند. هنگام استفاده از NPS به عنوان سرور RADIUS، سرورهای دسترسی به شبکه، مانند نقاط دسترسی بی سیم و سرورهای VPN، به عنوان مشتریان RADIUS در NPS پیکربندی می شوند. به‌علاوه، شما خط‌مشی‌های شبکه‌ای را که NPS برای تأیید درخواست‌های اتصال استفاده می‌کند، پیکربندی می‌کنید. علاوه بر این، می‌توانید حسابداری RADIUS را به گونه‌ای پیکربندی کنید که NPS داده‌ها را در فایل‌های گزارش ذخیره شده در هارد دیسک محلی شما یا در پایگاه داده مایکروسافت ثبت کند. SQL Server.

پراکسی RADIUS. اگر NPS به عنوان یک پراکسی RADIUS استفاده می‌شود، باید خط‌مشی‌های درخواست اتصال را پیکربندی کنید که تعیین کند NPS کدام درخواست‌های اتصال را به سرورهای RADIUS دیگر ارسال کند و این درخواست‌ها به کدام سرورهای RADIUS خاص ارسال شود. همچنین می‌توانید سرور سیاست شبکه را پیکربندی کنید تا اعتبارنامه‌ها را تغییر مسیر دهد تا آنها را در یک یا چند رایانه در گروهی از سرورهای RADIUS راه دور ذخیره کند.

سرور خط مشی حفاظت از دسترسی به شبکه (NAP). هنگامی که NPS به عنوان یک سرور خط مشی NAP پیکربندی می شود، NPS وضعیت سلامت ارسال شده توسط رایانه های سرویس گیرنده دارای NAP را که تلاش می کنند به شبکه متصل شوند، ارزیابی می کند. سرور خط مشی شبکه که با Network Access Protection پیکربندی شده است، به عنوان یک سرور RADIUS برای احراز هویت و تأیید درخواست های اتصال عمل می کند. در سرور خط مشی شبکه، می‌توانید سیاست‌ها و تنظیمات حفاظت از دسترسی به شبکه، از جمله بررسی‌کننده‌های سلامت سیستم، خط‌مشی‌های سلامت، و به‌روزرسانی گروه‌های سرور را پیکربندی کنید تا اطمینان حاصل شود که پیکربندی رایانه‌های سرویس گیرنده مطابق با خط‌مشی شبکه سازمان شما به‌روزرسانی می‌شود.

Network Policy Server را می توان با هر ترکیبی از گزینه های بالا پیکربندی کرد. به عنوان مثال، یک سرور خط مشی شبکه می تواند به عنوان یک سرور خط مشی حفاظت از دسترسی به شبکه با استفاده از یک یا چند روش اجرایی عمل کند، در حالی که به طور همزمان به عنوان یک سرور RADIUS برای اتصالات دسترسی از راه دور و به عنوان یک پراکسی RADIUS برای ارسال برخی درخواست های اتصال به گروهی از RADIUS راه دور عمل می کند. سرورها که به شما اجازه می دهد تا احراز هویت و مجوز را در دامنه دیگری انجام دهید.

سرور RADIUS و پراکسی RADIUS

سرور خط مشی شبکه می تواند به عنوان سرور RADIUS، یک پروکسی RADIUS یا هر دو به طور همزمان استفاده شود.

سرور RADIUS

سرور سیاست شبکه مایکروسافت مطابق با استاندارد RADIUS، همانطور که در IETF RFC 2865 و RFC 2866 توضیح داده شده است، پیاده سازی شده است. دسترسی، تغییر احراز هویت، دسترسی از راه دور و VPN، و اتصالات بین روترها.

Network Policy Server مجموعه متنوعی از تجهیزات بی سیم، شماره گیری، VPN و سوئیچینگ را فعال می کند. سرور سیاست شبکه را می توان با سرویس مسیریابی و دسترسی از راه دور که در سیستم عامل ها موجود است استفاده کرد. سیستم های مایکروسافت Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition و Windows Server 2003, Datacenter Edition.

اگر رایانه ای که سرور خط مشی شبکه را اجرا می کند عضو باشد دامنه فعال Directory® Network Policy Server از این سرویس دایرکتوری به عنوان پایگاه داده حساب کاربری استفاده می کند و بخشی از یک راه حل ورود به سیستم است. از همین مجموعه اعتبارنامه ها برای کنترل دسترسی به شبکه (تأیید هویت و مجوز دسترسی به شبکه) و ورود به دامنه Active Directory استفاده می شود.

ارائه‌دهندگان خدمات اینترنتی و سازمان‌هایی که دسترسی به شبکه را فراهم می‌کنند با چالش‌های بزرگ‌تری در مدیریت انواع شبکه‌ها از یک نقطه مدیریتی، بدون توجه به تجهیزات دسترسی به شبکه مورد استفاده، مواجه هستند. استاندارد RADIUS از این قابلیت در محیط های همگن و ناهمگن پشتیبانی می کند. پروتکل RADIUS یک پروتکل سرویس گیرنده-سرور است که به تجهیزات دسترسی به شبکه (که به عنوان کلاینت های RADIUS عمل می کنند) اجازه می دهد تا احراز هویت و درخواست های حسابداری را به سرور RADIUS ارسال کنند.

سرور RADIUS به اطلاعات حساب کاربر دسترسی دارد و می تواند اعتبارنامه ها را در حین احراز هویت برای اعطای دسترسی به شبکه تأیید کند. اگر اعتبار کاربر معتبر باشد و تلاش برای اتصال مجاز باشد، سرور RADIUS دسترسی کاربر را بر اساس شرایط مشخص شده مجاز می‌کند و اطلاعات اتصال را در گزارش ثبت می‌کند. استفاده از پروتکل RADIUS به شما این امکان را می دهد که به جای انجام این عملیات در هر سرور دسترسی، اطلاعات احراز هویت، مجوز، و حسابداری را در یک مکان جمع آوری و نگهداری کنید.

پراکسی RADIUS

NPS به عنوان یک پراکسی RADIUS، احراز هویت و پیام های حسابداری را به سرورهای RADIUS دیگر ارسال می کند.

با Network Policy Server، سازمان‌ها می‌توانند زیرساخت دسترسی از راه دور خود را به یک ارائه‌دهنده خدمات برون سپاری کنند و در عین حال کنترل بر احراز هویت، مجوز و حسابداری کاربر را حفظ کنند.

تنظیمات سرور خط مشی شبکه را می توان برای سناریوهای زیر ایجاد کرد:

دسترسی بی سیم

اتصال از راه دور یا مجازی شبکه خصوصیدر سازمان.

دسترسی از راه دوریا دسترسی بی سیم ارائه شده توسط یک سازمان خارجی

دسترسی به اینترنت

دسترسی تایید شده به منابع شبکه خارجیبرای شرکای تجاری

نمونه هایی از تنظیمات سرور RADIUS و پراکسی RADIUS

نمونه های پیکربندی زیر نحوه پیکربندی NPS را به عنوان سرور RADIUS و پراکسی RADIUS نشان می دهد.

NPS به عنوان یک سرور RADIUS. در این مثال، سرور NPS به عنوان یک سرور RADIUS پیکربندی شده است، تنها خط مشی پیکربندی شده، خط مشی درخواست اتصال پیش فرض است و تمام درخواست های اتصال توسط سرور NPS محلی پردازش می شوند. Network Policy Server می‌تواند کاربرانی را که حساب‌هایشان در دامنه سرور یا در دامنه‌های مورد اعتماد است، احراز هویت کرده و مجوز دهد.

NPS به عنوان یک پراکسی RADIUS. در این مثال، NPS به‌عنوان یک پراکسی RADIUS پیکربندی شده است که درخواست‌های اتصال را به گروه‌هایی از سرورهای RADIUS راه دور در دو دامنه متفاوت غیرقابل اعتماد ارسال می‌کند. خط مشی درخواست اتصال پیش‌فرض حذف شده و با دو خط‌مشی درخواست اتصال جدید جایگزین می‌شود که درخواست‌ها را به هر یک از دو دامنه غیرقابل اعتماد ارسال می‌کند. در این مثال، NPS درخواست های اتصال در سرور محلی را پردازش نمی کند.

NPS هم به عنوان سرور RADIUS و هم به عنوان پروکسی RADIUS. علاوه بر خط‌مشی درخواست اتصال پیش‌فرض که درخواست‌ها را به صورت محلی پردازش می‌کند، یک خط‌مشی درخواست اتصال جدید ایجاد می‌شود که آنها را به NPS یا سرور RADIUS دیگری در یک دامنه غیرقابل اعتماد ارسال می‌کند. سیاست دوم پروکسی نام دارد. که در در این مثالخط مشی پروکسی برای اولین بار در لیست مرتب شده خط مشی ها ظاهر می شود. اگر درخواست اتصال با خط مشی پروکسی مطابقت داشته باشد، درخواست اتصال به سرور RADIUS در گروه سرور RADIUS راه دور ارسال می شود. اگر یک درخواست اتصال با خط مشی پروکسی مطابقت نداشته باشد، اما با خط مشی درخواست اتصال پیش فرض مطابقت داشته باشد، NPS درخواست اتصال را پردازش می کند. سرور محلی. اگر درخواست اتصال با هیچ یک از این خط مشی ها مطابقت نداشته باشد، رد می شود.

NPS به عنوان یک سرور RADIUS با سرورهای حسابداری از راه دور. در این مثال، NPS محلی برای حسابداری پیکربندی نشده است و خط مشی درخواست اتصال پیش‌فرض به گونه‌ای اصلاح شده است که پیام‌های حسابداری RADIUS به NPS یا سرور RADIUS دیگری در گروه سرورهای RADIUS راه دور ارسال می‌شوند. اگرچه پیام‌های حسابداری بازارسال می‌شوند، پیام‌های احراز هویت و مجوز ارسال نمی‌شوند و عملکردهای مرتبط برای دامنه محلی و همه دامنه‌های مورد اعتماد توسط سرور NPS محلی انجام می‌شوند.

NPS با RADIUS از راه دور به نگاشت کاربر ویندوز. در این مثال، NPS هم به عنوان یک سرور RADIUS و هم به عنوان یک پروکسی RADIUS برای هر درخواست اتصال جداگانه عمل می کند و درخواست احراز هویت را به یک سرور RADIUS راه دور ارسال می کند و همزمان با استفاده از حساب کاربری محلی ویندوز مجوز را انجام می دهد. این پیکربندی با تنظیم Remote RADIUS Server Mapping روی ویژگی Windows User به عنوان شرط خط مشی درخواست اتصال پیاده سازی می شود. (علاوه بر این، شما باید یک حساب کاربری محلی روی سرور RADIUS با همان نام حساب راه دور ایجاد کنید که توسط سرور RADIUS راه دور احراز هویت شود.)

سرور خط مشی حفاظت از دسترسی به شبکه

حفاظت از دسترسی به شبکه در Windows Vista®، Windows® 7، Windows Server® 2008 و Windows Server® 2008 R2 گنجانده شده است. این کمک می کند تا دسترسی ایمن به شبکه های خصوصی را با اطمینان از اینکه رایانه های سرویس گیرنده با خط مشی های بهداشتی موجود در شبکه سازمان مطابقت دارند، در هنگام اجازه دسترسی به آن مشتریان به منابع شبکه، کمک می کند. علاوه بر این، انطباق رایانه سرویس گیرنده با خط مشی بهداشتی تعریف شده توسط سرپرست توسط «حفاظت دسترسی به شبکه» در حالی که رایانه سرویس گیرنده به شبکه متصل است، نظارت می شود. با ویژگی به‌روزرسانی خودکار حفاظت از دسترسی به شبکه، رایانه‌های ناسازگار را می‌توان به‌طور خودکار به خط‌مشی سلامت به‌روزرسانی کرد و به آنها اجازه دسترسی به شبکه را داد.

مدیران سیستم خط‌مشی‌های سلامت شبکه را تعریف می‌کنند و آن خط‌مشی‌ها را با استفاده از مؤلفه‌های حفاظت از دسترسی به شبکه که از سرور سیاست شبکه در دسترس هستند یا توسط شرکت‌های دیگر ارائه می‌شوند (بسته به اجرای حفاظت از دسترسی به شبکه) ایجاد می‌کنند.

خط‌مشی‌های سلامت می‌توانند دارای ویژگی‌هایی مانند الزامات نرم‌افزار، الزامات به‌روزرسانی امنیتی و الزامات پارامترهای پیکربندی باشند. حفاظت از دسترسی به شبکه، سیاست‌های بهداشتی را برای بررسی و ارزیابی سلامت رایانه‌های مشتری اعمال می‌کند و محدود می‌کند دسترسی شبکهبرای رایانه هایی که این الزامات را ندارند و اصلاح این مغایرت به منظور دسترسی نامحدود به شبکه.

ابزار GPResultexe– یک برنامه کنسولی است که برای تجزیه و تحلیل تنظیمات و تشخیص خط مشی های گروهی که برای رایانه و/یا کاربر در دامنه اکتیو دایرکتوری اعمال می شود، طراحی شده است. به طور خاص، GPResult به شما امکان می‌دهد داده‌هایی را از مجموعه سیاست‌های حاصله (مجموعه سیاست‌های نتیجه، RSOP)، فهرستی از خط‌مشی‌های دامنه اعمال‌شده (GPO)، تنظیمات آن‌ها و اطلاعات دقیقدر مورد اشتباهات در پردازش آنها این ابزار از زمان ویندوز XP بخشی از سیستم عامل ویندوز بوده است. ابزار GPResult به شما امکان می دهد به سؤالات زیر پاسخ دهید: آیا خط مشی خاصی برای رایانه اعمال می شود، کدام GPO این یا آن تنظیمات ویندوز را تغییر داده است و دلایل آن را درک کنید.

در این مقاله به بررسی ویژگی‌های استفاده از دستور GPResult برای تشخیص و رفع اشکال کاربرد سیاست‌های گروهی در دامنه اکتیو دایرکتوری می‌پردازیم.

در ابتدا برای تشخیص کاربرد سیاست های گروهی در ویندوز از آن استفاده شد کنسول گرافیکی RSOP.msc، که امکان به دست آوردن تنظیمات سیاست های حاصل (دامنه + محلی) اعمال شده بر روی رایانه و کاربر را به شکل گرافیکی مشابه کنسول ویرایشگر GPO (در زیر، در مثال کنسول RSOP.msc) ممکن می سازد. مشاهده، می توانید ببینید که تنظیمات به روز رسانی تنظیم شده است).

با این حال، استفاده از کنسول RSOP.msc در نسخه های مدرن ویندوز توصیه نمی شود، زیرا تنظیمات اعمال شده توسط برنامه های افزودنی مختلف سمت مشتری (CSE) مانند GPP (Preferences Policy Group) را منعکس نمی کند، امکان جستجو را نمی دهد و اطلاعات تشخیصی کمی ارائه می دهد. بنابراین، در حال حاضر، دستور GPResult ابزار اصلی برای تشخیص استفاده از GPO در ویندوز است (در ویندوز 10 حتی یک هشدار به نظر می رسد که RSOP برخلاف GPResult گزارش کاملی ارائه نمی دهد).

با استفاده از ابزار GPResult.exe

دستور GPResult بر روی رایانه ای که می خواهید اعمال سیاست های گروه را در آن بررسی کنید اجرا می شود. دستور GPResult دارای دستور زیر است:

GPRESULT ]] [(/X | /H)<имя_файла> ]

برای دریافت اطلاعات دقیق در مورد خط مشی های گروهی که برای یک شیء AD (کاربر و رایانه) اعمال می شود و سایر تنظیمات مربوط به زیرساخت GPO (یعنی تنظیمات خط مشی GPO حاصل - RsoP)، دستور را اجرا کنید:

نتایج دستور به 2 بخش تقسیم می شود:

کامپیوتر تنظیمات (پیکربندی کامپیوتر) - بخش حاوی اطلاعاتی در مورد اشیاء GPO است که روی رایانه (به عنوان یک شی اکتیو دایرکتوری) عمل می کنند.
کاربر تنظیمات - بخش سیاست های کاربر (خط مشی هایی که برای یک حساب کاربری در AD اعمال می شود).

اجازه دهید به طور مختصر به پارامترها/بخش های اصلی که ممکن است در خروجی GPResult ما را علاقه مند کند، بپردازیم:

سایتنام(نام سایت:) – نام سایت AD که کامپیوتر در آن قرار دارد.
CN- کاربر/رایانه کامل متعارف که داده های RSoP برای آن تولید شده است.
آخرزمانگروهخط مشیبودکاربردی(آخرین خط مشی گروه اعمال شده) - زمانی که سیاست های گروه برای آخرین بار اعمال شد.
گروهخط مشیبودکاربردیاز جانب(خط مشی گروه از آن اعمال شد) - کنترل کننده دامنه که از آن بارگیری شده است آخرین نسخه GPO;
دامنهنامو دامنهتایپ کنید(نام دامنه، نوع دامنه) – نام و نسخه طرح دامنه Active Directory.
کاربردیگروهخط مشیاشیاء(اشیاء خط مشی گروه کاربردی)- لیستی از اشیاء خط مشی گروه فعال؛
اینذیلGPO هابودنهکاربردیزیراآنهابودفیلتر شدهبیرون(خط مشی های GPO زیر اعمال نشدند زیرا فیلتر شده بودند) - GPO های اعمال نشده (فیلتر شده).
اینکاربر/کامپیوتراستآبخشازراذیلامنیتگروه ها(کاربر/رایانه عضوی از گروه های امنیتی زیر است) – گروه های دامنه ای که کاربر در آن عضو است.

در مثال ما، می توانید ببینید که شی کاربر تابع 4 خط مشی گروه است.

خط مشی پیش فرض دامنه.
فایروال ویندوز را فعال کنید.
لیست جستجوی پسوند DNS.

اگر نمی‌خواهید اطلاعات مربوط به سیاست‌های کاربر و رایانه به طور همزمان در کنسول نمایش داده شود، می‌توانید از گزینه /scope برای نمایش تنها بخشی که به آن علاقه دارید استفاده کنید. فقط خط‌مشی‌های کاربر حاصل:

gpresult /r /scope:user

یا فقط سیاست های کامپیوتری اعمال می شود:

gpresult /r /scope:computer

زیرا ابزار Gpresult داده های خود را مستقیماً به کنسول خط فرمان خروجی می دهد، که همیشه برای تجزیه و تحلیل بعدی راحت نیست؛ خروجی آن را می توان به کلیپ بورد هدایت کرد:

Gpresult /r | کلیپ

یا فایل متنی:

Gpresult /r > c:\gpresult.txt

برای نمایش اطلاعات فوق العاده دقیق RSOP، باید سوئیچ /z را اضافه کنید.

گزارش HTML RSOP با استفاده از GPResult

علاوه بر این، ابزار GPResult می‌تواند یک گزارش HTML از سیاست‌های اعمال شده (در ویندوز 7 و بالاتر) ایجاد کند. این گزارش حاوی اطلاعات دقیقدر مورد تمام پارامترهای سیستمی که توسط خط مشی های گروه تنظیم می شوند و نام GPO های خاصی که آنها را تنظیم می کنند (گزارش ساختار حاصل شبیه به برگه تنظیمات در Domain Group Policy Management Console - GPMC است). می توانید با استفاده از دستور زیر یک گزارش GPResult HTML ایجاد کنید:

نتیجه GPR /h c:\gp-report\report.html /f

برای ایجاد گزارش و باز کردن خودکار آن در مرورگر، دستور زیر را اجرا کنید:

GPResult /h GPResult.html و GPResult.html

گزارش gpresult HTML حاوی مقدار زیادی است اطلاعات مفید: خطاهای برنامه GPO، زمان پردازش (بر حسب میلی‌ثانیه) و اعمال سیاست‌های خاص و CSE قابل مشاهده است (در قسمت Computer Details -> Component Status). به عنوان مثال، در اسکرین شات بالا می بینید که خط مشی با تنظیمات به خاطر سپردن 24 رمز عبور توسط Default Domain Policy (ستون Winning GPO) اعمال می شود. همانطور که می بینید، این گزارش HTML برای تجزیه و تحلیل سیاست های اعمال شده بسیار راحت تر از کنسول rsop.msc است.

دریافت داده های GPResult از یک کامپیوتر راه دور

GPResult همچنین می‌تواند داده‌ها را از یک رایانه راه دور جمع‌آوری کند و نیازی به ورود سرپرست به صورت محلی یا RDP به رایانه راه دور را از بین ببرد. فرمت دستور برای جمع آوری داده های RSOP از یک کامپیوتر راه دور به شرح زیر است:

GPR نتیجه /s سرور-ts1 /r

به طور مشابه، می توانید از راه دور داده ها را از خط مشی های کاربر و خط مشی های رایانه جمع آوری کنید.

نام کاربری داده RSOP ندارد

هنگامی که UAC فعال است، اجرای GPResult بدون امتیازات بالا، تنظیمات تنها بخش خط مشی گروه کاربر را نمایش می دهد. اگر نیاز دارید هر دو بخش (تنظیمات کاربر و تنظیمات کامپیوتر) را همزمان نمایش دهید، دستور باید اجرا شود. اگر خط فرمان به سیستمی متفاوت از کاربر فعلی ارتقا یابد، ابزار یک هشدار صادر می کند اطلاعات:کاربر"دامنه\کاربر"میکندنهدارندRSOPداده ها (کاربر "دامنه\ کاربر" داده RSOP ندارد). این به این دلیل اتفاق می افتد که GPResult سعی می کند اطلاعاتی را برای کاربری که آن را راه اندازی کرده است جمع آوری کند، اما به دلیل ... این کاربربه سیستم وارد نشد، هیچ اطلاعات RSOP برای آن وجود ندارد. برای جمع آوری اطلاعات RSOP برای یک کاربر با یک جلسه فعال، باید حساب کاربری او را مشخص کنید:

gpresult /r /user:tn\edward

اگر نام حسابی را که وارد شده اید نمی دانید کامپیوتر از راه دور، می توانید یک حساب کاربری مانند زیر دریافت کنید:

qwinsta /SERVER:remotePC1

همچنین زمان(های) مشتری را بررسی کنید. زمان باید با زمان روی PDC (Primary Domain Controller) مطابقت داشته باشد.

خط‌مشی‌های GPO زیر اعمال نشدند زیرا فیلتر شده بودند

هنگام عیب‌یابی خط‌مشی‌های گروه، باید به این بخش نیز توجه کنید: GPOهای زیر به دلیل فیلتر شدن اعمال نشدند. این بخش فهرستی از GPO ها را نشان می دهد که به دلایلی برای این شی اعمال نمی شوند. گزینه های ممکنکه ممکن است این سیاست برای آنها اعمال نشود:

همچنین می‌توانید متوجه شوید که آیا این خط‌مشی باید روی یک شی AD خاص در برگه مجوزهای مؤثر اعمال شود (پیشرفته -> دسترسی مؤثر).

بنابراین، در این مقاله به ویژگی‌های تشخیص کاربرد سیاست‌های گروهی با استفاده از ابزار GPResult و سناریوهای معمولی برای استفاده از آن نگاه کردیم.

هنگام نصب ویندوز، اکثر زیرسیستم های فرعی فعال یا نصب نمی شوند. این کار به دلایل امنیتی انجام می شود. از آنجایی که سیستم به طور پیش فرض امن است، مدیران سیستممی تواند بر طراحی سیستمی تمرکز کند که به طور انحصاری عملکردهای اختصاص داده شده به آن را انجام دهد و نه بیشتر. برای کمک به فعال کردن ویژگی‌های مورد نیاز، ویندوز از شما می‌خواهد که یک نقش سرور را انتخاب کنید.

نقش ها

نقش سرور مجموعه‌ای از برنامه‌ها است که وقتی به درستی نصب و پیکربندی شوند، به رایانه اجازه می‌دهند تا عملکرد خاصی را برای چندین کاربر یا رایانه‌های دیگر در یک شبکه انجام دهد. به طور کلی همه نقش ها دارای ویژگی های زیر هستند.

آنها عملکرد، هدف یا هدف اصلی استفاده از کامپیوتر را تعریف می کنند. می‌توانید رایانه‌ای را برای اجرای یک نقش که به‌شدت در شرکت شما استفاده می‌شود، یا اگر هر یک از آن‌ها فقط گاهی استفاده می‌شود، تعیین کنید.
نقش‌ها به کاربران سراسر سازمان شما دسترسی به منابعی را که توسط رایانه‌های دیگر مدیریت می‌شوند، مانند وب‌سایت‌ها، چاپگرها یا فایل‌های ذخیره شده در رایانه‌های مختلف، می‌دهد.
آنها معمولاً پایگاه داده های خود را دارند که درخواست های کاربر یا رایانه را در صف قرار می دهند یا اطلاعات مربوط به کاربران شبکه و رایانه های مرتبط با نقش را ضبط می کنند. به عنوان مثال، Active Directory Domain Services شامل یک پایگاه داده برای ذخیره نام و روابط سلسله مراتبی همه رایانه های موجود در یک شبکه است.
بعد از نصب صحیحو تنظیمات نقش به طور خودکار عمل می کند. این به رایانه هایی که روی آنها نصب شده اند اجازه می دهد تا وظایف محول شده را با تعامل محدود با کاربر انجام دهند.

خدمات نقش

خدمات نقش برنامه هایی هستند که ارائه می کنند عملکردنقش ها وقتی نقشی را نصب می‌کنید، می‌توانید انتخاب کنید که چه خدماتی به سایر کاربران و رایانه‌های موجود در سازمان ارائه می‌کند. برخی از نقش ها، مانند سرور DNS، تنها یک عملکرد را انجام می دهند، بنابراین هیچ سرویس نقشی برای آنها وجود ندارد. نقش‌های دیگر، مانند سرویس‌های دسکتاپ از راه دور، دارای چندین سرویس هستند که بسته به نیازهای کسب و کار شما به دسترسی از راه دور قابل نصب هستند. یک نقش را می توان به عنوان مجموعه ای از خدمات نقش مکمل و نزدیک مرتبط در نظر گرفت. در بیشتر موارد، نصب یک نقش به معنای نصب یک یا چند سرویس آن است.

اجزاء

مؤلفه‌ها برنامه‌هایی هستند که مستقیماً بخشی از نقش‌ها نیستند، اما بدون توجه به اینکه کدام نقش‌ها نصب شده‌اند، عملکرد یک یا چند نقش یا کل سرور را پشتیبانی یا گسترش می‌دهند. به عنوان مثال، ویژگی Failover Cluster، عملکرد نقش‌های دیگر مانند File Services و DHCP Server را با امکان پیوستن به خوشه‌های سرور گسترش می‌دهد و افزونگی و کارایی را افزایش می‌دهد. مؤلفه دیگر - "Telnet Client" - ارتباط راه دور با سرور Telnet را از طریق فراهم می کند اتصال شبکه. این ویژگی قابلیت های ارتباطی سرور را افزایش می دهد.

هنگامی که ویندوز سرور در حالت پایه اجرا می شود اجزای سرور، نقش های سرور زیر پشتیبانی می شوند:

خدمات گواهی اکتیو دایرکتوری؛
خدمات دامنه اکتیو دایرکتوری؛
سرور DHCP؛
سرور DNS؛
خدمات فایل (از جمله مدیر منابع سرور فایل);
Active Directory Lightweight Directory Services;
Hyper-V;
خدمات چاپ و اسناد؛
خدمات پخش رسانه ای؛
وب سرور (شامل زیر مجموعه ای از ASP.NET)؛
سرور به روز رسانی ویندوزسرور؛
سرور مدیریت حقوق Active Directory;
سرور مسیریابی و دسترسی از راه دور و نقش های فرعی زیر:
- کارگزار اتصال خدمات دسکتاپ از راه دور.
- صدور مجوز؛
- مجازی سازی

هنگامی که Windows Server در حالت Server Core اجرا می شود، اجزای سرور زیر پشتیبانی می شوند:

مایکروسافت. چارچوب خالص 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
سرویس انتقال هوشمند پس زمینه (BITS)؛
رمزگذاری دیسک BitLocker؛
باز کردن قفل شبکه BitLocker؛
BranchCache
پل مرکز داده؛
ذخیره سازی پیشرفته؛
خوشه بندی شکست خورده؛
ورودی/خروجی چند مسیری؛
تعادل بار شبکه؛
پروتکل PNRP؛
qWave;
فشرده سازی دیفرانسیل از راه دور؛
خدمات ساده TCP/IP؛
RPC از طریق پروکسی HTTP.
سرور SMTP؛
سرویس SNMP؛
مشتری شبکه راه دور؛
سرور Telnet;
کلاینت TFTP؛
پایگاه داده داخلی ویندوز؛
Windows PowerShell Web Access;
سرویس فعال سازی ویندوز؛
مدیریت استاندارد ذخیره سازی ویندوز؛
پسوند IIS WinRM؛
سرور WINS؛
پشتیبانی از WoW64

نصب نقش های سرور با استفاده از مدیر سرور

برای افزودن، Server Manager را باز کنید و در منوی Manage روی Add Roles and features کلیک کنید:

جادوگر افزودن نقش ها و ویژگی ها باز می شود. روی Next کلیک کنید

نوع نصب، نصب مبتنی بر نقش یا ویژگی را انتخاب کنید. بعد:

انتخاب سرور - سرور ما را انتخاب کنید. روی نقش‌های سرور بعدی کلیک کنید - نقش‌ها را انتخاب کنید، در صورت لزوم، سرویس‌های نقش را انتخاب کنید و برای انتخاب مؤلفه‌ها روی Next کلیک کنید. در طی این روش، جادوگر افزودن نقش‌ها و ویژگی‌ها به‌طور خودکار به شما اطلاع می‌دهد که در سرور مقصد تداخلی وجود داشته باشد که ممکن است نقش‌ها یا ویژگی‌های انتخاب‌شده را از نصب یا عملکرد درست جلوگیری کند. همچنین از شما خواسته می‌شود که نقش‌ها، خدمات نقش‌ها و ویژگی‌هایی را که برای نقش‌ها یا ویژگی‌های انتخابی لازم است اضافه کنید.

نصب نقش ها با استفاده از PowerShell

Windows PowerShell را باز کنید، دستور Get-WindowsFeature را وارد کنید تا لیستی از نقش ها و ویژگی های موجود و نصب شده در سرور محلی را مشاهده کنید. نتایج این cmdlet شامل نام دستورات نقش ها و ویژگی هایی است که نصب شده و برای نصب در دسترس هستند.

برای مشاهده نحو و پارامترهای معتبر cmdlet Install-WindowsFeature (MAN) Get-Help Install-WindowsFeature را تایپ کنید.

دستور زیر را وارد کنید (در صورت نیاز به راه اندازی مجدد هنگام نصب نقش، سرور را Restart مجدداً راه اندازی می کند).

Install-WindowsFeature –Name - راه اندازی مجدد

شرح نقش ها و خدمات نقش

تمام نقش ها و خدمات نقش در زیر توضیح داده شده است. بیایید به پیکربندی پیشرفته برای رایج ترین موارد در عمل خود نگاه کنیم: نقش وب سرور و خدمات دسکتاپ از راه دور

توضیحات مفصل IIS

ویژگی های رایج HTTP - اجزای اصلی HTTP
- سند پیش فرض - به شما امکان می دهد یک صفحه فهرست برای سایت تنظیم کنید.
- مرور دایرکتوری - به کاربران اجازه می دهد محتویات یک فهرست را در یک وب سرور ببینند. هنگامی که کاربران فایلی را در URL مشخص نمی‌کنند و صفحه فهرست غیرفعال یا پیکربندی نشده است، از مرور دایرکتوری برای ایجاد خودکار فهرستی از همه فهرست‌ها و فایل‌های موجود در یک فهرست استفاده کنید.
- خطاهای HTTP - به شما امکان می دهد پیام های خطای بازگردانده شده به مشتریان را در مرورگر پیکربندی کنید.
- محتوای استاتیک - به شما امکان می دهد محتوای ثابت، به عنوان مثال، تصاویر یا فایل های html را پست کنید.
- HTTP Redirection - پشتیبانی از تغییر مسیر درخواست های کاربر را فراهم می کند.
- WebDAV Publishing به شما امکان می دهد فایل ها را از یک وب سرور با استفاده از پروتکل HTTP منتشر کنید.
ویژگی های سلامت و تشخیص - اجزای تشخیصی
- HTTP Logging گزارش فعالیت وب سایت را برای یک سرور معین فراهم می کند.
- ثبت گزارش سفارشی از ایجاد گزارش‌های سفارشی متفاوت از گزارش‌های «سنتی» پشتیبانی می‌کند.
- Logging Tools زیرساختی را برای مدیریت گزارش‌های وب سرور و خودکار کردن کارهای معمول گزارش‌گیری فراهم می‌کند.
- ODBC Logging زیرساختی را فراهم می کند که از ثبت فعالیت وب سرور در یک پایگاه داده سازگار با ODBC پشتیبانی می کند.
- Request Monitor زیرساختی برای نظارت بر سلامت برنامه های کاربردی وب با جمع آوری اطلاعات در مورد درخواست های HTTP در فرآیند IIS worker فراهم می کند.
- Tracing چارچوبی برای تشخیص و عیب یابی برنامه های کاربردی وب فراهم می کند. با استفاده از ردیابی درخواست ناموفق، می‌توانید رویدادهایی را که به سختی ضبط می‌شوند مانند عملکرد ضعیف یا خرابی‌های احراز هویت ردیابی کنید.
اجزای عملکرد عملکرد وب سرور را افزایش می دهد.
- فشرده سازی محتوای استاتیک زیرساختی را برای تنظیم فشرده سازی HTTP محتوای ایستا فراهم می کند
- فشرده‌سازی محتوای پویا زیرساختی را برای تنظیم فشرده‌سازی HTTP محتوای پویا فراهم می‌کند.
اجزای امنیتی امنیتی
- Request Filtering به شما امکان می دهد تمام درخواست های دریافتی را ضبط کرده و آنها را بر اساس قوانین تنظیم شده توسط مدیر فیلتر کنید.
- احراز هویت پایه به شما امکان می دهد مجوزهای اضافی را تنظیم کنید
- پشتیبانی از گواهی SSL متمرکز قابلیتی است که به شما امکان می دهد گواهی ها را در یک مکان متمرکز مانند اشتراک فایل ذخیره کنید.
- تأیید اعتبار نقشه‌برداری گواهی مشتری از گواهی‌های مشتری برای احراز هویت کاربران استفاده می‌کند.
- Digest Authentication با ارسال هش رمز عبور به کنترل کننده دامنه ویندوز برای احراز هویت کاربران کار می کند. اگر به سطح امنیتی بالاتری نسبت به احراز هویت معمولی نیاز دارید، از احراز هویت Digest استفاده کنید
- IIS Client Certificate Mapping Authentication از گواهی های سرویس گیرنده برای احراز هویت کاربران استفاده می کند. گواهی مشتری یک شناسه دیجیتالی است که از یک منبع قابل اعتماد بدست می آید.
- IP and Domain Restrictions به شما امکان می دهد بر اساس آدرس IP یا نام دامنه درخواستی، دسترسی را مجاز یا رد کنید.
- مجوز URL به شما امکان می دهد قوانینی ایجاد کنید که دسترسی به محتوای وب را محدود می کند.
- Windows Authentication این طرح احراز هویت به مدیران دامنه ویندوز اجازه می دهد تا از زیرساخت دامنه برای احراز هویت کاربران استفاده کنند.
توسعه برنامه ویژگی های اجزای توسعه برنامه
سرور FTP
- سرویس FTP انتشار FTP را در سرور وب فعال می کند.
- توسعه پذیری FTP شامل پشتیبانی از توابع FTP است که قابلیت های FTP را گسترش می دهد
ابزارهای مدیریتی
- کنسول مدیریت IIS IIS Manager را نصب می کند که به شما امکان می دهد وب سرور را از طریق یک رابط گرافیکی مدیریت کنید
- سازگاری مدیریت IIS 6.0 سازگاری رو به جلو را برای برنامه‌ها و اسکریپت‌هایی که از APIهای Admin Base Object (ABO) و Active Directory Service Interface (ADSI) استفاده می‌کنند، فراهم می‌کند. این اجازه می دهد تا اسکریپت های IIS 6.0 موجود توسط وب سرور IIS 8.0 استفاده شود
- اسکریپت ها و ابزارهای مدیریت IIS زیرساختی را برای مدیریت وب سرور IIS به صورت برنامه نویسی، با استفاده از دستورات در پنجره Command Prompt یا اجرای اسکریپت ها فراهم می کنند.
- مدیریت خدمات زیرساختی را برای پیکربندی رابط کاربری مدیر IIS فراهم می کند.

توضیحات مفصل RDS

Remote Desktop Connection Broker - اتصال مجدد دستگاه مشتری به برنامه های مبتنی بر جلسات رایانه رومیزی و دسکتاپ مجازی را فراهم می کند.
دروازه دسکتاپ از راه دور - به کاربران مجاز اجازه می دهد تا به دسکتاپ های مجازی، برنامه های RemoteApp و دسکتاپ های مبتنی بر جلسه متصل شوند. شبکه شرکتییا از طریق اینترنت
مجوز دسکتاپ از راه دور - ابزار مدیریت مجوز RDP
میزبان جلسه دسکتاپ از راه دور - سرور را قادر می سازد تا برنامه های RemoteApp یا یک جلسه مبتنی بر دسکتاپ را میزبانی کند.
میزبان مجازی سازی دسکتاپ از راه دور - به شما امکان می دهد RDP را در ماشین های مجازی پیکربندی کنید
دسترسی به وب دسکتاپ از راه دور - به کاربران امکان می دهد با استفاده از منوی استارت یا یک مرورگر وب به منابع دسکتاپ متصل شوند.

بیایید نصب و پیکربندی سرور مجوز ترمینال را بررسی کنیم. در بالا نحوه نصب نقش ها را توضیح می دهد، نصب RDS هیچ تفاوتی با نصب نقش های دیگر ندارد؛ در Role Services باید Remote Desktop Licensing و Remote Desktop Session Host را انتخاب کنیم. پس از نصب، مورد Terminal Services در Server Manager-Tools ظاهر می شود. Terminal Services دارای دو مورد است: RD Licensing Diagnoser که یک ابزار تشخیصی برای صدور مجوز از راه دور دسکتاپ است و Remote Desktop Licensing Manager که یک ابزار مدیریت مجوز است.

بیایید RD Licensing Diagnoster را راه اندازی کنیم

در اینجا می بینیم که هنوز مجوزی در دسترس نیست زیرا حالت مجوز برای سرور میزبان جلسه از راه دور دسکتاپ تنظیم نشده است. سرور مجوز در خط مشی های گروه محلی مشخص شده است. برای راه اندازی ویرایشگر، دستور gpedit.msc را اجرا کنید. ویرایشگر خط مشی گروه محلی باز می شود. در درخت سمت چپ، اجازه دهید برگه ها را باز کنیم:

پیکربندی کامپیوتر
قالب اداری
اجزای ویندوز
"خدمات دسکتاپ از راه دور"
"میزبان جلسه از راه دور دسکتاپ"
"مجوز"

باز کردن پارامترها از سرورهای مجوز دسکتاپ راه دور مشخص شده استفاده کنید

در پنجره ویرایش تنظیمات خط مشی، سرور صدور مجوز (فعال) را فعال کنید. در مرحله بعد، باید سرور صدور مجوز برای خدمات دسکتاپ از راه دور را تعیین کنید. در مثال من، سرور مجوز در همان سرور فیزیکی قرار دارد. نشان می دهیم نام شبکهیا آدرس IP سرور مجوز و OK را کلیک کنید. اگر در آینده نام سرور را تغییر دهید، سرور مجوز باید در همان بخش تغییر کند.

پس از این، در RD Licensing Diagnoser می توانید ببینید که سرور مجوز ترمینال پیکربندی شده است، اما فعال نیست. برای فعال کردن، Remote Desktop Licensing Manager را راه اندازی کنید

یک سرور مجوز با وضعیت فعال نشده انتخاب کنید. برای فعال سازی روی آن کلیک راست کرده و گزینه Activate Server را انتخاب کنید. جادوگر فعال سازی سرور راه اندازی می شود. در تب Connection Method، Automatic Connection را انتخاب کنید. در مرحله بعد، اطلاعات مربوط به سازمان را پر کنید و پس از آن سرور مجوز فعال می شود.

خدمات گواهی اکتیو دایرکتوری

AD CS خدمات گواهی دیجیتال قابل تنظیمی را ارائه می دهد که در سیستم های امنیتی نرم افزاری که از فناوری استفاده می کنند استفاده می شود کلیدهای عمومی، و مدیریت این گواهی ها. گواهی‌های دیجیتال ارائه‌شده توسط AD CS می‌توانند برای رمزگذاری و امضای دیجیتالی اسناد و پیام‌های الکترونیکی استفاده شوند. از این گواهی‌های دیجیتال می‌توان برای تأیید صحت حساب‌های رایانه، کاربر و دستگاه در سراسر شبکه استفاده کرد. گواهی‌های دیجیتال برای اطمینان از:

حفظ حریم خصوصی از طریق رمزگذاری؛
یکپارچگی با استفاده از امضای دیجیتال؛
احراز هویت با مرتبط کردن کلیدهای گواهی با حساب های رایانه، کاربر و دستگاه در شبکه.

AD CS می تواند برای بهبود امنیت با مرتبط کردن هویت کاربر، دستگاه یا سرویس با هویت مناسب مورد استفاده قرار گیرد کلید خصوصی. برنامه های کاربردی پشتیبانی شده توسط AD CS عبارتند از: برنامه های افزودنی ایمیل چند منظوره اینترنتی ایمن (S/MIME)، شبکه های بی سیم امن، شبکه های خصوصی مجازی (VPN)، پروتکل IPsec، سیستم فایل رمزگذاری (EFS)، ورود به کارت هوشمند، پروتکل امنیتی و امنیت لایه حمل و نقل (SSL/TLS) و امضاهای دیجیتال.

خدمات دامنه اکتیو دایرکتوری

با استفاده از نقش سرور Active Directory Domain Services (AD DS)، می توانید یک زیرساخت مقیاس پذیر، ایمن و مدیریت شده برای مدیریت کاربران و منابع ایجاد کنید. همچنین می‌توانید از برنامه‌های دایرکتوری آگاه مانند Microsoft Exchange Server پشتیبانی کنید. Active Directory Domain Services ارائه می دهد پایگاه داده توزیع شدهداده‌ها، که اطلاعات مربوط به منابع شبکه و داده‌های برنامه فعال‌شده با فهرست را ذخیره و مدیریت می‌کند. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود. مدیران می توانند از AD DS برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار تودرتو سلسله مراتبی استفاده کنند. ساختار تودرتو سلسله مراتبی شامل جنگل اکتیو دایرکتوری، دامنه های داخل جنگل و واحدهای سازمانی در هر دامنه است. ویژگی های امنیتی به شکل احراز هویت و کنترل دسترسی به منابع موجود در دایرکتوری در AD DS یکپارچه شده است. با یک ورود به سیستم شبکه، مدیران می توانند داده های دایرکتوری و سازماندهی را در سراسر شبکه مدیریت کنند. کاربران مجاز شبکه همچنین می‌توانند از یک ورود به سیستم شبکه برای دسترسی به منابعی که در هر نقطه از شبکه قرار دارند استفاده کنند. Active Directory Domain Services ویژگی های اضافی زیر را ارائه می دهد.

مجموعه قوانین طرحی است که کلاس‌ها و ویژگی‌های شی موجود در یک فهرست، محدودیت‌ها و محدودیت‌های نمونه‌های آن اشیاء و قالب نام آنها را تعریف می‌کند.
یک کاتالوگ جهانی که حاوی اطلاعاتی در مورد هر شیء در کاتالوگ است. کاربران و مدیران می توانند از کاتالوگ جهانی برای جستجوی داده های دایرکتوری استفاده کنند، صرف نظر از اینکه کدام دامنه در دایرکتوری واقعاً حاوی داده هایی است که به دنبال آن هستند.
یک موتور پرس و جو و نمایه سازی که از طریق آن می توان اشیاء و ویژگی های آنها را منتشر کرد و توسط کاربران و برنامه های کاربردی شبکه مکان یابی کرد.
یک سرویس تکرار که داده های دایرکتوری را در یک شبکه توزیع می کند. همه کنترل کننده های دامنه قابل نوشتن در دامنه در Replication شرکت می کنند و حاوی هستند کپی کاملهمه داده های دایرکتوری برای دامنه شما هر گونه تغییر در داده های دایرکتوری در سراسر دامنه به همه کنترل کننده های دامنه تکرار می شود.
نقش‌های اصلی عملیات (همچنین به عنوان عملیات منعطف تک اصلی یا FSMO شناخته می‌شود). کنترل‌کننده‌های دامنه، که به‌عنوان اصلی‌ترین عملیات‌ها عمل می‌کنند، برای انجام وظایف خاص برای اطمینان از سازگاری داده‌ها و حذف ورودی‌های دایرکتوری متضاد طراحی شده‌اند.

خدمات فدراسیون Active Directory

AD FS یک فدراسیون هویتی ساده و ایمن و قابلیت‌های یک ورود به سیستم مبتنی بر وب (SSO) را برای کاربران نهایی که نیاز به دسترسی به برنامه‌های کاربردی در یک شرکت، شریک فدراسیون یا ابر محافظت‌شده با AD FS دارند، فراهم می‌کند. در سرور ویندوز، AD FS شامل خدمات نقش فدراسیون خدماتی که به‌عنوان یک ارائه‌دهنده هویت عمل می‌کنند (کاربران را برای ارائه نشانه‌های امنیتی به برنامه‌هایی که به AD FS اعتماد دارند تأیید می‌کند) یا به‌عنوان یک ارائه‌دهنده فدراسیون (توکن‌هایی را از سایر ارائه‌دهندگان هویت اعمال می‌کند و سپس نشانه‌های امنیتی را برای برنامه‌هایی که به AD FS اعتماد دارند ارائه می‌کند).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) یک پروتکل LDAP است که پشتیبانی انعطاف پذیری را برای برنامه های دایرکتوری بدون وابستگی ها و محدودیت های دامنه خدمات دامنه Active Directory ارائه می دهد. AD LDS را می توان بر روی سرورهای عضو یا مستقل اجرا کرد. می توانید چندین نمونه از AD LDS را روی یک سرور واحد با طرحواره های مدیریت شده مستقل اجرا کنید. با استفاده از نقش سرویس AD LDS، می‌توانید خدمات دایرکتوری را به برنامه‌های کاربردی آگاه از دایرکتوری بدون سربار دامنه‌ها و جنگل‌ها و بدون نیاز به یک طرح کلی جنگلی ارائه دهید.

خدمات مدیریت حقوق Active Directory

AD RMS می تواند برای ارتقای استراتژی امنیتی سازمان با حفاظت از اسناد با استفاده از مدیریت حقوق اطلاعات (IRM) استفاده شود. AD RMS به کاربران و مدیران اجازه می‌دهد تا با استفاده از خط‌مشی‌های IRM، مجوزهای دسترسی را به اسناد، کتاب‌های کاری و ارائه‌ها اختصاص دهند. این به محافظت از اطلاعات محرمانه از چاپ، ارسال یا کپی توسط کاربران غیرمجاز کمک می کند. هنگامی که مجوزهای فایل با استفاده از IRM محدود می شوند، محدودیت های دسترسی و استفاده بدون توجه به مکان اطلاعات اعمال می شود زیرا مجوز فایل در خود فایل سند ذخیره می شود. با AD RMS و IRM، کاربران فردی می توانند ترجیحات شخصی خود را در مورد به اشتراک گذاری اطلاعات شخصی و حساس اعمال کنند. آنها همچنین به سازمان کمک خواهند کرد تا سیاست های شرکتی را برای کنترل استفاده و انتشار اطلاعات محرمانه و شخصی اعمال کند. راه حل های IRM پشتیبانی شده توسط سرویس های AD RMS برای ارائه قابلیت های زیر استفاده می شود.

خط‌مشی‌های استفاده دائمی که بدون توجه به انتقال، ارسال یا بازارسال، همراه با اطلاعات باقی می‌مانند.
یک لایه اضافی از حریم خصوصی برای محافظت از داده های حساس - مانند گزارش ها، مشخصات محصول، اطلاعات مشتری و پیام های ایمیل - در برابر افتادن به دست افراد نادرست، عمدی یا تصادفی.
از ارسال، کپی، اصلاح، چاپ، فکس، یا چسباندن غیرمجاز محتوای محدود شده توسط گیرندگان مجاز جلوگیری کنید.
جلوگیری از کپی شدن محتوای محدود شده با استفاده از عملکرد PRINT SCREEN در ویندوز مایکروسافت.
پشتیبانی از انقضای فایل، که از مشاهده محتویات اسناد پس از مدت زمان مشخص جلوگیری می کند.
اجرای سیاست های سازمانی که بر استفاده و توزیع محتوا در سازمان حاکم است

برنامه ی سرور

Application Server یک محیط یکپارچه برای استقرار و اجرای برنامه های تجاری مبتنی بر سرور سفارشی فراهم می کند.

سرور DHCP

DHCP یک فناوری سرویس گیرنده-سرور است که در آن سرورهای DHCP می‌توانند آدرس‌های IP را به رایانه‌ها و سایر دستگاه‌هایی که کلاینت‌های DHCP هستند اختصاص یا اجاره دهند. استقرار سرورهای DHCP در یک شبکه به‌طور خودکار رایانه‌های کلاینت و سایر دستگاه‌های شبکه مبتنی بر آدرس‌های IP معتبر IPv4 و IPv6 را فراهم می‌کند. پارامترهای پیکربندی اضافی مورد نیاز این کلاینت ها و دستگاه ها.سرویس سرور DHCP در سرور ویندوز شامل پشتیبانی از تکالیف مبتنی بر خط مشی و مدیریت خرابی DHCP است.

سرور DNS

سرویس DNSیک پایگاه داده توزیع شده سلسله مراتبی است که حاوی نگاشت نام دامنه های DNS است انواع مختلفداده هایی مانند آدرس های IP DNS به شما امکان می دهد از نام های دوستانه مانند www.microsoft.com استفاده کنید تا مکان یابی رایانه ها و سایر منابع را در شبکه های مبتنی بر TCP/IP آسان تر کنید. Windows Server DNS پشتیبانی اضافی و پیشرفته ای را برای DNS Security Extensions (DNSSEC)، از جمله ثبت نام آنلاین و مدیریت تنظیمات خودکار ارائه می دهد.

سرور فکس

سرور فکس فکس ها را ارسال و دریافت می کند و همچنین به شما امکان مدیریت منابع فکس مانند مشاغل، تنظیمات، گزارش ها و دستگاه های فکس را در سرور فکس خود می دهد.

خدمات فایل و ذخیره سازی

مدیران می‌توانند از نقش سرویس‌های فایل و ذخیره‌سازی برای پیکربندی چندین سرور فایل و ذخیره‌سازی آنها و مدیریت آن سرورها با استفاده از Server Manager یا Windows PowerShell استفاده کنند. برخی از برنامه های خاص شامل ویژگی های زیر هستند.

پوشه های کاری برای اجازه دادن به کاربران برای ذخیره و دسترسی به فایل‌های کاری در رایانه‌های شخصی و دستگاه‌هایی غیر از رایانه‌های شخصی شرکتی استفاده کنید. کاربران مکانی مناسب برای ذخیره فایل‌های کاری و دسترسی به آن‌ها از هر کجا دریافت می‌کنند. سازمان‌ها با ذخیره‌سازی فایل‌ها در سرورهای فایل با مدیریت مرکزی و تنظیم اختیاری خط‌مشی‌های دستگاه کاربر (مانند رمزگذاری و رمزهای عبور قفل صفحه)، داده‌های شرکت را کنترل می‌کنند.
حذف داده ها استفاده برای کاهش فضای دیسک مورد نیاز برای ذخیره فایل ها، صرفه جویی در هزینه های ذخیره سازی.
سرور هدف iSCSI برای ایجاد زیرسیستم‌های دیسک iSCSI متمرکز، نرم‌افزار و مستقل از سخت‌افزار در شبکه‌های منطقه ذخیره‌سازی (SAN) استفاده کنید.
فضاهای دیسک برای استقرار فضای ذخیره‌سازی بسیار در دسترس که با استفاده از دیسک‌های مقرون‌به‌صرفه و استاندارد صنعتی انعطاف‌پذیر و مقیاس‌پذیر است، استفاده کنید.
مدیر سرور. استفاده برای کنترل از راه دورچندین سرور فایل از یک پنجره
Windows PowerShell. برای مدیریت خودکار اکثر وظایف مدیریت فایل سرور استفاده کنید.

Hyper-V

نقش Hyper-V به شما امکان می دهد با استفاده از فناوری مجازی سازی که در ویندوز سرور تعبیه شده است، یک محیط محاسباتی مجازی ایجاد و مدیریت کنید. نصب نقش Hyper-V پیش نیازها و همچنین ابزارهای مدیریت اختیاری را نصب می کند. اجزای مورد نیاز شامل هایپروایزرسرویس مدیریت مجازی ویندوز ماشین های Hyper-V، ارائه دهنده مجازی سازی WMI و اجزای مجازی سازی مانند VMbus، ارائه دهنده خدمات مجازی سازی (VSP) و درایور زیرساخت مجازی (VID).

خط مشی شبکه و خدمات دسترسی

Network Policy and Access Services راه حل های زیر را برای اتصالات شبکه ارائه می دهد:

حفاظت از دسترسی به شبکه یک فناوری برای ایجاد، اجرا و تعمیر سیاست های سلامت مشتری است. با محافظت از دسترسی به شبکه، مدیران سیستم می‌توانند خط‌مشی‌های بهداشتی را که شامل الزامات نرم‌افزار، به‌روزرسانی‌های امنیتی و سایر تنظیمات می‌شود، تنظیم کرده و به‌طور خودکار اعمال کنند. کامپیوترهای سرویس گیرنده‌ای که الزامات خط‌مشی سلامت را برآورده نمی‌کنند، می‌توانند دسترسی به شبکه را محدود کنند تا زمانی که پیکربندی آنها برای برآورده کردن الزامات خط‌مشی سلامت به‌روزرسانی شود.
اگر نقاط دسترسی بی سیم 802.1X را فعال کرده اید، می توانید از سرور سیاست شبکه (NPS) برای استقرار روش های احراز هویت مبتنی بر گواهی استفاده کنید، که از احراز هویت مبتنی بر رمز عبور ایمن تر هستند. استقرار سخت افزار 802.1X با یک سرور NPS به کاربران اینترانت اجازه می دهد تا قبل از اتصال به شبکه یا دریافت آدرس IP از سرور DHCP احراز هویت شوند.
به جای پیکربندی یک خط مشی دسترسی به شبکه در هر سرور دسترسی به شبکه، می‌توانید به طور متمرکز تمام خط‌مشی‌هایی را ایجاد کنید که تمام جنبه‌های درخواست‌های اتصال شبکه را تعریف می‌کنند (چه کسی می‌تواند متصل شود، زمانی که اتصال مجاز است، سطح امنیتی که باید برای اتصال به شبکه استفاده شود. شبکه).

خدمات چاپ و اسناد

خدمات چاپ و سند به شما امکان می دهد وظایف سرور چاپ و چاپگر شبکه را متمرکز کنید. این نقش همچنین به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کنید و اسناد را در اشتراک گذاری های شبکه مانند یک سایت Windows SharePoint Services یا آپلود کنید. پست الکترونیک.

دسترسی از راه دور

نقش سرور دسترسی از راه دور یک گروه بندی منطقی از فناوری های دسترسی به شبکه زیر است.

دسترسی مستقیم
مسیریابی و دسترسی از راه دور
پروکسی برنامه وب

این فناوری ها هستند خدمات نقشنقش های سرور دسترسی از راه دور هنگامی که نقش سرور دسترسی از راه دور را نصب می کنید، می توانید یک یا چند سرویس نقش را با اجرای جادوگر افزودن نقش ها و ویژگی ها نصب کنید.

در سرور ویندوز، نقش سرور دسترسی از راه دور توانایی مدیریت، پیکربندی و نظارت بر خدمات دسترسی از راه دور DirectAccess و VPN با سرویس مسیریابی و دسترسی از راه دور (RRAS) را به صورت مرکزی فراهم می کند. DirectAccess و RRAS می توانند در سرور لبه یکسانی مستقر شوند و با استفاده از آن مدیریت شوند دستورات ویندوز PowerShell و کنسول مدیریت دسترسی از راه دور (MMC).

خدمات دسکتاپ از راه دور

خدمات دسکتاپ از راه دور استقرار دسکتاپ ها و برنامه ها را بر روی هر دستگاهی تسریع و گسترش می دهد، بهره وری کارگران از راه دور را افزایش می دهد و در عین حال مالکیت معنوی حیاتی را ایمن می کند و انطباق با مقررات را ساده می کند. خدمات دسکتاپ از راه دور شامل زیرساخت دسکتاپ مجازی (VDI)، دسکتاپ مبتنی بر جلسه و برنامه‌ها است که به کاربران امکان کار از هر کجا را می‌دهد.

خدمات فعال سازی حجم

Volume Activation Services یک نقش سرور در ویندوز سرور است که در Windows Server 2012 شروع می شود و صدور مجوزهای حجمی را به صورت خودکار و ساده می کند. نرم افزارمایکروسافت و همچنین مدیریت چنین مجوزهایی در سناریوها و محیط های مختلف. همراه با Volume Activation Services، می توانید سرویس مدیریت کلید (KMS) و فعال سازی Active Directory را نصب و پیکربندی کنید.

وب سرور (IIS)

نقش وب سرور (IIS) در سرور ویندوز بستری را برای میزبانی وب سایت ها، سرویس ها و برنامه ها فراهم می کند. استفاده از وب سرور اطلاعات را در اینترنت، اینترانت و اکسترانت در اختیار کاربران قرار می دهد. مدیران می توانند از نقش وب سرور (IIS) برای پیکربندی و مدیریت چندین وب سایت، برنامه های کاربردی وب و سایت های FTP استفاده کنند. ویژگی های دسترسی شامل موارد زیر است.

از Internet Information Services Manager برای پیکربندی اجزای IIS و مدیریت وب سایت ها استفاده کنید.
استفاده پروتکل FTPبه صاحبان وب سایت امکان ارسال و آپلود فایل ها را می دهد.
از جداسازی وب‌سایت برای جلوگیری از تأثیرگذاری یک وب‌سایت روی سرور روی دیگران استفاده کنید.
سفارشی سازی برنامه های کاربردی وب که با استفاده از فناوری های مختلف مانند کلاسیک ASP، ASP.NET و PHP توسعه یافته اند.
استفاده از Windows PowerShell به کنترل خودکاراکثر وظایف مدیریت وب سرور.
چندین وب سرور را در یک مزرعه سرور که می توان با استفاده از IIS مدیریت کرد، ترکیب کنید.

Windows Deployment Services

Windows Deployment Services به شما این امکان را می دهد که سیستم عامل های ویندوز را بر روی یک شبکه مستقر کنید، به این معنی که لازم نیست هر سیستم عامل را مستقیماً از روی CD یا DVD نصب کنید.

Windows Server Essentials Experience

این نقش به شما امکان می دهد وظایف زیر را حل کنید:

با ایجاد از داده های سرور و مشتری محافظت کنید پشتیبان گیریسرور و تمام کامپیوترهای مشتری در شبکه؛
مدیریت کاربران و گروه های کاربری از طریق داشبورد سرور ساده شده. علاوه بر این، ادغام با Windows Azure Active Directory *دسترسی آسان به خدمات آنلاین مایکروسافت آنلاین (مانند Office 365، Exchange Online، و SharePoint Online) را با استفاده از اعتبار دامنه خود به کاربران ارائه می دهد.
ذخیره اطلاعات شرکت در یک مکان متمرکز؛
سرور را با خدمات آنلاین مایکروسافت (مانند Office 365، Exchange Online، SharePoint Online و Windows Intune) یکپارچه کنید:
برای دسترسی به سرور، رایانه‌های شبکه و داده‌ها از مکان‌های راه دور با درجه بالایی از امنیت، از ویژگی‌های دسترسی همه جا در سرور (به عنوان مثال، دسترسی به وب از راه دور و شبکه‌های خصوصی مجازی) استفاده کنید.
دسترسی به داده ها از هر جا و از هر دستگاهی با استفاده از پورتال وب خود سازمان (از طریق دسترسی به وب از راه دور).
مدیریت کنید دستگاه های تلفن همراه، که از طریق آن به ایمیل سازمان با استفاده از Office 365 از طریق پروتکل Active Sync از داشبورد دسترسی پیدا می شود.
نظارت بر سلامت شبکه و دریافت گزارش های سلامت سفارشی؛ گزارش ها را می توان در صورت تقاضا تولید کرد، سفارشی کرد و برای گیرندگان خاص ایمیل کرد.

سرویس های به روز رسانی سرور ویندوز

سرور WSUS اجزایی را که مدیران برای مدیریت و توزیع به‌روزرسانی‌ها از طریق کنسول مدیریت نیاز دارند، فراهم می‌کند. علاوه بر این، سرور WSUS می تواند منبع به روز رسانی سایر سرورهای WSUS در سازمان باشد. هنگامی که WSUS را پیاده سازی می کنید، حداقل یک سرور WSUS در شبکه شما باید به Microsoft Update متصل باشد تا اطلاعات مربوط به به روز رسانی های موجود را دریافت کند. بسته به امنیت شبکه و پیکربندی، سرپرست شما می‌تواند تعیین کند که چند سرور دیگر مستقیماً به Microsoft Update متصل هستند.

هنگام نصب ویندوز، اکثر زیرسیستم های فرعی فعال یا نصب نمی شوند. این کار به دلایل امنیتی انجام می شود. از آنجایی که سیستم به طور پیش فرض ایمن است، مدیران سیستم می توانند روی طراحی سیستمی تمرکز کنند که دقیقاً وظایف مورد نظر خود را انجام دهد و نه چیز دیگری. برای کمک به فعال کردن ویژگی‌های مورد نیاز، ویندوز از شما می‌خواهد که یک نقش سرور را انتخاب کنید.

نقش ها

آنها عملکرد، هدف یا هدف اصلی استفاده از کامپیوتر را تعریف می کنند. می‌توانید رایانه‌ای را برای اجرای یک نقش که به‌شدت در شرکت شما استفاده می‌شود، یا اگر هر یک از آن‌ها فقط گاهی استفاده می‌شود، تعیین کنید.
نقش‌ها به کاربران سراسر سازمان شما دسترسی به منابعی را که توسط رایانه‌های دیگر مدیریت می‌شوند، مانند وب‌سایت‌ها، چاپگرها یا فایل‌های ذخیره شده در رایانه‌های مختلف، می‌دهد.
آنها معمولاً پایگاه داده های خود را دارند که درخواست های کاربر یا رایانه را در صف قرار می دهند یا اطلاعات مربوط به کاربران شبکه و رایانه های مرتبط با نقش را ضبط می کنند. به عنوان مثال، Active Directory Domain Services شامل یک پایگاه داده برای ذخیره نام و روابط سلسله مراتبی همه رایانه های موجود در یک شبکه است.
پس از نصب و پیکربندی صحیح، نقش ها به طور خودکار عمل می کنند. این به رایانه هایی که روی آنها نصب شده اند اجازه می دهد تا وظایف محول شده را با تعامل محدود با کاربر انجام دهند.

خدمات نقش

سرویس های نقش برنامه هایی هستند که عملکرد نقش را ارائه می دهند. وقتی نقشی را نصب می‌کنید، می‌توانید انتخاب کنید که چه خدماتی به سایر کاربران و رایانه‌های موجود در سازمان ارائه می‌کند. برخی از نقش ها، مانند سرور DNS، تنها یک عملکرد را انجام می دهند، بنابراین هیچ سرویس نقشی برای آنها وجود ندارد. نقش‌های دیگر، مانند سرویس‌های دسکتاپ از راه دور، دارای چندین سرویس هستند که بسته به نیازهای کسب و کار شما به دسترسی از راه دور قابل نصب هستند. یک نقش را می توان به عنوان مجموعه ای از خدمات نقش مکمل و نزدیک مرتبط در نظر گرفت. در بیشتر موارد، نصب یک نقش به معنای نصب یک یا چند سرویس آن است.

اجزاء

مؤلفه‌ها برنامه‌هایی هستند که مستقیماً بخشی از نقش‌ها نیستند، اما بدون توجه به اینکه کدام نقش‌ها نصب شده‌اند، عملکرد یک یا چند نقش یا کل سرور را پشتیبانی یا گسترش می‌دهند. به عنوان مثال، ویژگی Failover Cluster، عملکرد نقش‌های دیگر مانند File Services و DHCP Server را با امکان پیوستن به خوشه‌های سرور گسترش می‌دهد و افزونگی و کارایی را افزایش می‌دهد. مؤلفه دیگر، Telnet Client، ارتباط راه دور با سرور Telnet را از طریق اتصال شبکه فراهم می کند. این ویژگی قابلیت های ارتباطی سرور را افزایش می دهد.

هنگامی که Windows Server در حالت Server Core اجرا می شود، نقش های سرور زیر پشتیبانی می شوند:

خدمات گواهی اکتیو دایرکتوری؛
خدمات دامنه اکتیو دایرکتوری؛
سرور DHCP؛
سرور DNS؛
خدمات فایل (از جمله مدیر منابع سرور فایل)؛
Active Directory Lightweight Directory Services;
Hyper-V;
خدمات چاپ و اسناد؛
خدمات پخش رسانه ای؛
وب سرور (شامل زیر مجموعه ای از ASP.NET)؛
سرور به روز رسانی ویندوز سرور;
سرور مدیریت حقوق Active Directory;
سرور مسیریابی و دسترسی از راه دور و نقش های فرعی زیر:
- کارگزار اتصال خدمات دسکتاپ از راه دور.
- صدور مجوز؛
- مجازی سازی

هنگامی که Windows Server در حالت Server Core اجرا می شود، اجزای سرور زیر پشتیبانی می شوند:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell؛
سرویس انتقال هوشمند پس زمینه (BITS)؛
رمزگذاری دیسک BitLocker؛
باز کردن قفل شبکه BitLocker؛
BranchCache
پل مرکز داده؛
ذخیره سازی پیشرفته؛
خوشه بندی شکست خورده؛
ورودی/خروجی چند مسیری؛
تعادل بار شبکه؛
پروتکل PNRP؛
qWave;
فشرده سازی دیفرانسیل از راه دور؛
خدمات ساده TCP/IP؛
RPC از طریق پروکسی HTTP.
سرور SMTP؛
سرویس SNMP؛
مشتری شبکه راه دور؛
سرور Telnet;
کلاینت TFTP؛
پایگاه داده داخلی ویندوز؛
Windows PowerShell Web Access;
سرویس فعال سازی ویندوز؛
مدیریت استاندارد ذخیره سازی ویندوز؛
پسوند IIS WinRM؛
سرور WINS؛
پشتیبانی از WoW64

نصب نقش های سرور با استفاده از مدیر سرور

برای افزودن، Server Manager را باز کنید و در منوی Manage روی Add Roles and features کلیک کنید:

جادوگر افزودن نقش ها و ویژگی ها باز می شود. روی Next کلیک کنید

نوع نصب، نصب مبتنی بر نقش یا ویژگی را انتخاب کنید. بعد:

نصب نقش ها با استفاده از PowerShell

برای مشاهده نحو و پارامترهای معتبر cmdlet Install-WindowsFeature (MAN) Get-Help Install-WindowsFeature را تایپ کنید.

دستور زیر را وارد کنید (در صورت نیاز به راه اندازی مجدد هنگام نصب نقش، سرور را Restart مجدداً راه اندازی می کند).

Install-WindowsFeature -Name -Restart

شرح نقش ها و خدمات نقش

توضیحات مفصل IIS

ویژگی های رایج HTTP - اجزای اصلی HTTP
- سند پیش فرض - به شما امکان می دهد یک صفحه فهرست برای سایت تنظیم کنید.
- مرور دایرکتوری - به کاربران اجازه می دهد محتویات یک فهرست را در یک وب سرور ببینند. هنگامی که کاربران فایلی را در URL مشخص نمی‌کنند و صفحه فهرست غیرفعال یا پیکربندی نشده است، از مرور دایرکتوری برای ایجاد خودکار فهرستی از همه فهرست‌ها و فایل‌های موجود در یک فهرست استفاده کنید.
- خطاهای HTTP - به شما امکان می دهد پیام های خطای بازگردانده شده به مشتریان را در مرورگر پیکربندی کنید.
- محتوای استاتیک - به شما امکان می دهد محتوای ثابت، به عنوان مثال، تصاویر یا فایل های html را پست کنید.
- HTTP Redirection - پشتیبانی از تغییر مسیر درخواست های کاربر را فراهم می کند.
- WebDAV Publishing به شما امکان می دهد فایل ها را از یک وب سرور با استفاده از پروتکل HTTP منتشر کنید.
ویژگی های سلامت و تشخیص - اجزای تشخیصی
- HTTP Logging گزارش فعالیت وب سایت را برای یک سرور معین فراهم می کند.
- ثبت گزارش سفارشی از ایجاد گزارش‌های سفارشی متفاوت از گزارش‌های «سنتی» پشتیبانی می‌کند.
- Logging Tools زیرساختی را برای مدیریت گزارش‌های وب سرور و خودکار کردن کارهای معمول گزارش‌گیری فراهم می‌کند.
- ODBC Logging زیرساختی را فراهم می کند که از ثبت فعالیت وب سرور در یک پایگاه داده سازگار با ODBC پشتیبانی می کند.
- Request Monitor زیرساختی برای نظارت بر سلامت برنامه های کاربردی وب با جمع آوری اطلاعات در مورد درخواست های HTTP در فرآیند IIS worker فراهم می کند.
- Tracing چارچوبی برای تشخیص و عیب یابی برنامه های کاربردی وب فراهم می کند. با استفاده از ردیابی درخواست ناموفق، می‌توانید رویدادهایی را که به سختی ضبط می‌شوند مانند عملکرد ضعیف یا خرابی‌های احراز هویت ردیابی کنید.
اجزای عملکرد عملکرد وب سرور را افزایش می دهد.
- فشرده سازی محتوای استاتیک زیرساختی را برای تنظیم فشرده سازی HTTP محتوای ایستا فراهم می کند
- فشرده‌سازی محتوای پویا زیرساختی را برای تنظیم فشرده‌سازی HTTP محتوای پویا فراهم می‌کند.
اجزای امنیتی امنیتی
- Request Filtering به شما امکان می دهد تمام درخواست های دریافتی را ضبط کرده و آنها را بر اساس قوانین تنظیم شده توسط مدیر فیلتر کنید.
- احراز هویت پایه به شما امکان می دهد مجوزهای اضافی را تنظیم کنید
- پشتیبانی از گواهی SSL متمرکز قابلیتی است که به شما امکان می دهد گواهی ها را در یک مکان متمرکز مانند اشتراک فایل ذخیره کنید.
- تأیید اعتبار نقشه‌برداری گواهی مشتری از گواهی‌های مشتری برای احراز هویت کاربران استفاده می‌کند.
- Digest Authentication با ارسال هش رمز عبور به کنترل کننده دامنه ویندوز برای احراز هویت کاربران کار می کند. اگر به سطح امنیتی بالاتری نسبت به احراز هویت معمولی نیاز دارید، از احراز هویت Digest استفاده کنید
- IIS Client Certificate Mapping Authentication از گواهی های سرویس گیرنده برای احراز هویت کاربران استفاده می کند. گواهی مشتری یک شناسه دیجیتالی است که از یک منبع قابل اعتماد بدست می آید.
- IP and Domain Restrictions به شما امکان می دهد بر اساس آدرس IP یا نام دامنه درخواستی، دسترسی را مجاز یا رد کنید.
- مجوز URL به شما امکان می دهد قوانینی ایجاد کنید که دسترسی به محتوای وب را محدود می کند.
- Windows Authentication این طرح احراز هویت به مدیران دامنه ویندوز اجازه می دهد تا از زیرساخت دامنه برای احراز هویت کاربران استفاده کنند.
توسعه برنامه ویژگی های اجزای توسعه برنامه
سرور FTP
- سرویس FTP انتشار FTP را در سرور وب فعال می کند.
- توسعه پذیری FTP شامل پشتیبانی از توابع FTP است که قابلیت های FTP را گسترش می دهد
ابزارهای مدیریتی
- کنسول مدیریت IIS IIS Manager را نصب می کند که به شما امکان می دهد وب سرور را از طریق یک رابط گرافیکی مدیریت کنید
- سازگاری مدیریت IIS 6.0 سازگاری رو به جلو را برای برنامه‌ها و اسکریپت‌هایی که از APIهای Admin Base Object (ABO) و Active Directory Service Interface (ADSI) استفاده می‌کنند، فراهم می‌کند. این اجازه می دهد تا اسکریپت های IIS 6.0 موجود توسط وب سرور IIS 8.0 استفاده شود
- اسکریپت ها و ابزارهای مدیریت IIS زیرساختی را برای مدیریت وب سرور IIS به صورت برنامه نویسی، با استفاده از دستورات در پنجره Command Prompt یا اجرای اسکریپت ها فراهم می کنند.
- مدیریت خدمات زیرساختی را برای پیکربندی رابط کاربری مدیر IIS فراهم می کند.

توضیحات مفصل RDS

Remote Desktop Connection Broker - اتصال مجدد دستگاه مشتری به برنامه های مبتنی بر جلسات رایانه رومیزی و دسکتاپ مجازی را فراهم می کند.
دروازه دسکتاپ از راه دور - به کاربران مجاز اجازه می دهد تا به دسکتاپ مجازی، برنامه های RemoteApp و دسکتاپ های مبتنی بر جلسه در یک شبکه شرکتی یا از طریق اینترنت متصل شوند.
مجوز دسکتاپ از راه دور - ابزار مدیریت مجوز RDP
میزبان جلسه دسکتاپ از راه دور - سرور را قادر می سازد تا برنامه های RemoteApp یا یک جلسه مبتنی بر دسکتاپ را میزبانی کند.
میزبان مجازی سازی دسکتاپ از راه دور - به شما امکان می دهد RDP را در ماشین های مجازی پیکربندی کنید
دسترسی به وب دسکتاپ از راه دور - به کاربران امکان می دهد با استفاده از منوی استارت یا یک مرورگر وب به منابع دسکتاپ متصل شوند.

بیایید RD Licensing Diagnoster را راه اندازی کنیم

پیکربندی کامپیوتر
قالب اداری
اجزای ویندوز
"خدمات دسکتاپ از راه دور"
"میزبان جلسه از راه دور دسکتاپ"
"مجوز"

باز کردن پارامترها از سرورهای مجوز دسکتاپ راه دور مشخص شده استفاده کنید

در پنجره ویرایش تنظیمات خط مشی، سرور صدور مجوز (فعال) را فعال کنید. در مرحله بعد، باید سرور صدور مجوز برای خدمات دسکتاپ از راه دور را تعیین کنید. در مثال من، سرور مجوز در همان سرور فیزیکی قرار دارد. نام شبکه یا آدرس IP سرور لایسنس را مشخص کنید و روی OK کلیک کنید. اگر در آینده نام سرور را تغییر دهید، سرور مجوز باید در همان بخش تغییر کند.