خانه - برای مبتدی ها
شرح مفصلی از خط مشی سرور در مورد آن ارائه دهید. کار با گروه های مدیریت و مسیریابی

سخنرانی 4 سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی امنیتی

سخنرانی 4

موضوع: سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی حفاظت از دسترسی به شبکه

معرفی

Windows Server 2008 و Windows Server 2008 R2 سیستم عامل های پیشرفته ویندوز سرور هستند که برای فعال کردن نسل جدیدی از شبکه، برنامه ها و سرویس های وب طراحی شده اند. با اینها سیستم های عاملشما می توانید تجارب انعطاف پذیر و جامع را برای کاربران و برنامه ها طراحی، ارائه و مدیریت کنید، زیرساخت های شبکه ای بسیار امن ایجاد کنید و کارایی و سازماندهی فناوری را در سازمان خود افزایش دهید.

سرور خط مشی شبکه

Network Policy Server به شما امکان می دهد خط مشی های دسترسی به شبکه را در سطح سازمان ایجاد و اجرا کنید تا از سلامت کلاینت و تأیید اعتبار و مجوز درخواست های اتصال اطمینان حاصل کنید. علاوه بر این، NPS می تواند به عنوان یک پراکسی RADIUS برای ارسال درخواست های اتصال به NPS یا سایر سرورهای RADIUS که در گروه های سرور RADIUS راه دور پیکربندی شده اند استفاده شود.

سرور خط مشی شبکه به شما اجازه می دهد تا با استفاده از سه قابلیت زیر، احراز هویت، مجوز، و خط مشی های سلامت کلاینت را پیکربندی و مدیریت کنید:

سرور RADIUS. سرور سیاست شبکه به طور مرکزی احراز هویت، مجوز، و حسابداری برای اتصالات بی سیم، اتصالات سوئیچ تأیید شده، اتصالات شماره گیری و اتصالات شبکه خصوصی مجازی (VPN) را مدیریت می کند. هنگام استفاده از NPS به عنوان سرور RADIUS، سرورهای دسترسی به شبکه، مانند نقاط دسترسی بی سیم و سرورهای VPN، به عنوان مشتریان RADIUS در NPS پیکربندی می شوند. به‌علاوه، شما خط‌مشی‌های شبکه‌ای را که NPS برای تأیید درخواست‌های اتصال استفاده می‌کند، پیکربندی می‌کنید. علاوه بر این، می‌توانید حسابداری RADIUS را به گونه‌ای پیکربندی کنید که NPS داده‌ها را در فایل‌های گزارش ذخیره شده در هارد دیسک محلی شما یا در پایگاه داده مایکروسافت ثبت کند. SQL Server.

پراکسی RADIUS. اگر NPS به عنوان یک پراکسی RADIUS استفاده می‌شود، باید خط‌مشی‌های درخواست اتصال را پیکربندی کنید که تعیین کند NPS کدام درخواست‌های اتصال را به سرورهای RADIUS دیگر ارسال کند و این درخواست‌ها به کدام سرورهای RADIUS خاص ارسال شود. همچنین می‌توانید سرور سیاست شبکه را پیکربندی کنید تا اعتبارنامه‌ها را تغییر مسیر دهد تا آنها را در یک یا چند رایانه در گروهی از سرورهای RADIUS راه دور ذخیره کند.

سرور خط مشی حفاظت از دسترسی به شبکه (NAP). هنگامی که NPS به عنوان یک سرور خط مشی NAP پیکربندی می شود، NPS وضعیت سلامت ارسال شده توسط رایانه های سرویس گیرنده دارای NAP را که تلاش می کنند به شبکه متصل شوند، ارزیابی می کند. سرور خط مشی شبکه که با Network Access Protection پیکربندی شده است، به عنوان یک سرور RADIUS برای احراز هویت و تأیید درخواست های اتصال عمل می کند. در سرور خط مشی شبکه، می‌توانید سیاست‌ها و تنظیمات حفاظت از دسترسی به شبکه، از جمله بررسی‌کننده‌های سلامت سیستم، خط‌مشی‌های سلامت، و به‌روزرسانی گروه‌های سرور را پیکربندی کنید تا اطمینان حاصل شود که پیکربندی رایانه‌های سرویس گیرنده مطابق با خط‌مشی شبکه سازمان شما به‌روزرسانی می‌شود.

Network Policy Server را می توان با هر ترکیبی از گزینه های بالا پیکربندی کرد. به عنوان مثال، یک سرور خط مشی شبکه می تواند به عنوان یک سرور خط مشی حفاظت از دسترسی به شبکه با استفاده از یک یا چند روش اجرایی عمل کند، در حالی که به طور همزمان به عنوان یک سرور RADIUS برای اتصالات دسترسی از راه دور و به عنوان یک پراکسی RADIUS برای ارسال برخی درخواست های اتصال به گروهی از RADIUS راه دور عمل می کند. سرورها که به شما اجازه می دهد تا احراز هویت و مجوز را در دامنه دیگری انجام دهید.

سرور RADIUS و پراکسی RADIUS

سرور خط مشی شبکه می تواند به عنوان سرور RADIUS، یک پروکسی RADIUS یا هر دو به طور همزمان استفاده شود.

سرور RADIUS

سرور سیاست شبکه مایکروسافت مطابق با استاندارد RADIUS، همانطور که در IETF RFC 2865 و RFC 2866 توضیح داده شده است، پیاده سازی شده است. دسترسی، تغییر احراز هویت، دسترسی از راه دور و VPN، و اتصالات بین روترها.

Network Policy Server مجموعه متنوعی از تجهیزات بی سیم، شماره گیری، VPN و سوئیچینگ را فعال می کند. سرور سیاست شبکه را می توان با سرویس مسیریابی و دسترسی از راه دور که در سیستم عامل ها موجود است استفاده کرد. سیستم های مایکروسافت Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition و Windows Server 2003, Datacenter Edition.

اگر رایانه ای که سرور خط مشی شبکه را اجرا می کند عضو باشد دامنه فعال Directory® Network Policy Server از این سرویس دایرکتوری به عنوان پایگاه داده حساب کاربری استفاده می کند و بخشی از یک راه حل ورود به سیستم است. از همین مجموعه اعتبارنامه ها برای کنترل دسترسی به شبکه (تأیید هویت و مجوز دسترسی به شبکه) و ورود به دامنه Active Directory استفاده می شود.

ارائه‌دهندگان خدمات اینترنتی و سازمان‌هایی که دسترسی به شبکه را فراهم می‌کنند با چالش‌های بزرگ‌تری در مدیریت انواع شبکه‌ها از یک نقطه مدیریتی، بدون توجه به تجهیزات دسترسی به شبکه مورد استفاده، مواجه هستند. استاندارد RADIUS از این قابلیت در محیط های همگن و ناهمگن پشتیبانی می کند. پروتکل RADIUS یک پروتکل سرویس گیرنده-سرور است که به تجهیزات دسترسی به شبکه (که به عنوان کلاینت های RADIUS عمل می کنند) اجازه می دهد تا احراز هویت و درخواست های حسابداری را به سرور RADIUS ارسال کنند.

سرور RADIUS به اطلاعات حساب کاربر دسترسی دارد و می تواند اعتبارنامه ها را در حین احراز هویت برای اعطای دسترسی به شبکه تأیید کند. اگر اعتبار کاربر معتبر باشد و تلاش برای اتصال مجاز باشد، سرور RADIUS دسترسی کاربر را بر اساس شرایط مشخص شده مجاز می‌کند و اطلاعات اتصال را در گزارش ثبت می‌کند. استفاده از پروتکل RADIUS به شما این امکان را می دهد که به جای انجام این عملیات در هر سرور دسترسی، اطلاعات احراز هویت، مجوز، و حسابداری را در یک مکان جمع آوری و نگهداری کنید.

پراکسی RADIUS

NPS به عنوان یک پراکسی RADIUS، احراز هویت و پیام های حسابداری را به سرورهای RADIUS دیگر ارسال می کند.

با Network Policy Server، سازمان‌ها می‌توانند زیرساخت دسترسی از راه دور خود را به یک ارائه‌دهنده خدمات برون سپاری کنند و در عین حال کنترل بر احراز هویت، مجوز و حسابداری کاربر را حفظ کنند.

تنظیمات سرور خط مشی شبکه را می توان برای سناریوهای زیر ایجاد کرد:

دسترسی بی سیم

اتصال از راه دور یا مجازی شبکه خصوصیدر سازمان.

دسترسی از راه دوریا دسترسی بی سیم ارائه شده توسط یک سازمان خارجی

دسترسی به اینترنت

دسترسی تایید شده به منابع شبکه خارجیبرای شرکای تجاری

نمونه هایی از تنظیمات سرور RADIUS و پراکسی RADIUS

نمونه های پیکربندی زیر نحوه پیکربندی NPS را به عنوان سرور RADIUS و پراکسی RADIUS نشان می دهد.

NPS به عنوان یک سرور RADIUS. در این مثال، سرور NPS به عنوان یک سرور RADIUS پیکربندی شده است، تنها خط مشی پیکربندی شده، خط مشی درخواست اتصال پیش فرض است و تمام درخواست های اتصال توسط سرور NPS محلی پردازش می شوند. Network Policy Server می‌تواند کاربرانی را که حساب‌هایشان در دامنه سرور یا در دامنه‌های مورد اعتماد است، احراز هویت کرده و مجوز دهد.

NPS به عنوان یک پراکسی RADIUS. در این مثال، NPS به‌عنوان یک پراکسی RADIUS پیکربندی شده است که درخواست‌های اتصال را به گروه‌هایی از سرورهای RADIUS راه دور در دو دامنه متفاوت غیرقابل اعتماد ارسال می‌کند. خط مشی درخواست اتصال پیش‌فرض حذف شده و با دو خط‌مشی درخواست اتصال جدید جایگزین می‌شود که درخواست‌ها را به هر یک از دو دامنه غیرقابل اعتماد ارسال می‌کند. در این مثال، NPS درخواست های اتصال در سرور محلی را پردازش نمی کند.

NPS هم به عنوان سرور RADIUS و هم به عنوان پروکسی RADIUS. علاوه بر خط‌مشی درخواست اتصال پیش‌فرض که درخواست‌ها را به صورت محلی پردازش می‌کند، یک خط‌مشی درخواست اتصال جدید ایجاد می‌شود که آنها را به NPS یا سرور RADIUS دیگری در یک دامنه غیرقابل اعتماد ارسال می‌کند. سیاست دوم پروکسی نام دارد. که در در این مثالخط مشی پروکسی برای اولین بار در لیست مرتب شده خط مشی ها ظاهر می شود. اگر درخواست اتصال با خط مشی پروکسی مطابقت داشته باشد، درخواست اتصال به سرور RADIUS در گروه سرور RADIUS راه دور ارسال می شود. اگر یک درخواست اتصال با خط مشی پروکسی مطابقت نداشته باشد، اما با خط مشی درخواست اتصال پیش فرض مطابقت داشته باشد، NPS درخواست اتصال را پردازش می کند. سرور محلی. اگر درخواست اتصال با هیچ یک از این خط مشی ها مطابقت نداشته باشد، رد می شود.

NPS به عنوان یک سرور RADIUS با سرورهای حسابداری از راه دور. در این مثال، NPS محلی برای حسابداری پیکربندی نشده است و خط مشی درخواست اتصال پیش‌فرض به گونه‌ای اصلاح شده است که پیام‌های حسابداری RADIUS به NPS یا سرور RADIUS دیگری در گروه سرورهای RADIUS راه دور ارسال می‌شوند. اگرچه پیام‌های حسابداری بازارسال می‌شوند، پیام‌های احراز هویت و مجوز ارسال نمی‌شوند و عملکردهای مرتبط برای دامنه محلی و همه دامنه‌های مورد اعتماد توسط سرور NPS محلی انجام می‌شوند.

NPS با RADIUS از راه دور به نگاشت کاربر ویندوز. در این مثال، NPS هم به عنوان یک سرور RADIUS و هم به عنوان یک پروکسی RADIUS برای هر درخواست اتصال جداگانه عمل می کند و درخواست احراز هویت را به یک سرور RADIUS راه دور ارسال می کند و همزمان با استفاده از حساب کاربری محلی ویندوز مجوز را انجام می دهد. این پیکربندی با تنظیم Remote RADIUS Server Mapping روی ویژگی Windows User به عنوان شرط خط مشی درخواست اتصال پیاده سازی می شود. (علاوه بر این، شما باید یک حساب کاربری محلی روی سرور RADIUS با همان نام حساب راه دور ایجاد کنید که توسط سرور RADIUS راه دور احراز هویت شود.)

سرور خط مشی حفاظت از دسترسی به شبکه

حفاظت از دسترسی به شبکه در Windows Vista®، Windows® 7، Windows Server® 2008 و Windows Server® 2008 R2 گنجانده شده است. این کمک می کند تا دسترسی ایمن به شبکه های خصوصی را با اطمینان از اینکه رایانه های سرویس گیرنده با خط مشی های بهداشتی موجود در شبکه سازمان مطابقت دارند، در هنگام اجازه دسترسی به آن مشتریان به منابع شبکه، کمک می کند. علاوه بر این، انطباق رایانه سرویس گیرنده با خط مشی بهداشتی تعریف شده توسط سرپرست توسط «حفاظت دسترسی به شبکه» در حالی که رایانه سرویس گیرنده به شبکه متصل است، نظارت می شود. با ویژگی به‌روزرسانی خودکار حفاظت از دسترسی به شبکه، رایانه‌های ناسازگار را می‌توان به‌طور خودکار به خط‌مشی سلامت به‌روزرسانی کرد و به آنها اجازه دسترسی به شبکه را داد.

مدیران سیستم خط‌مشی‌های سلامت شبکه را تعریف می‌کنند و آن خط‌مشی‌ها را با استفاده از مؤلفه‌های حفاظت از دسترسی به شبکه که از سرور سیاست شبکه در دسترس هستند یا توسط شرکت‌های دیگر ارائه می‌شوند (بسته به اجرای حفاظت از دسترسی به شبکه) ایجاد می‌کنند.

خط‌مشی‌های سلامت می‌توانند دارای ویژگی‌هایی مانند الزامات نرم‌افزار، الزامات به‌روزرسانی امنیتی و الزامات پارامترهای پیکربندی باشند. حفاظت از دسترسی به شبکه، سیاست‌های بهداشتی را برای بررسی و ارزیابی سلامت رایانه‌های مشتری اعمال می‌کند و محدود می‌کند دسترسی شبکهبرای رایانه هایی که این الزامات را ندارند و اصلاح این مغایرت به منظور دسترسی نامحدود به شبکه.

ابزار GPResultexe– یک برنامه کنسولی است که برای تجزیه و تحلیل تنظیمات و تشخیص خط مشی های گروهی که برای رایانه و/یا کاربر در دامنه اکتیو دایرکتوری اعمال می شود، طراحی شده است. به طور خاص، GPResult به شما امکان می‌دهد داده‌هایی را از مجموعه سیاست‌های حاصله (مجموعه سیاست‌های نتیجه، RSOP)، فهرستی از خط‌مشی‌های دامنه اعمال‌شده (GPO)، تنظیمات آن‌ها و اطلاعات دقیقدر مورد اشتباهات در پردازش آنها این ابزار از زمان ویندوز XP بخشی از سیستم عامل ویندوز بوده است. ابزار GPResult به شما امکان می دهد به سؤالات زیر پاسخ دهید: آیا خط مشی خاصی برای رایانه اعمال می شود، کدام GPO این یا آن تنظیمات ویندوز را تغییر داده است و دلایل آن را درک کنید.

در این مقاله به بررسی ویژگی‌های استفاده از دستور GPResult برای تشخیص و رفع اشکال کاربرد سیاست‌های گروهی در دامنه اکتیو دایرکتوری می‌پردازیم.

در ابتدا برای تشخیص کاربرد سیاست های گروهی در ویندوز از آن استفاده شد کنسول گرافیکی RSOP.msc، که امکان به دست آوردن تنظیمات سیاست های حاصل (دامنه + محلی) اعمال شده بر روی رایانه و کاربر را به شکل گرافیکی مشابه کنسول ویرایشگر GPO (در زیر، در مثال کنسول RSOP.msc) ممکن می سازد. مشاهده، می توانید ببینید که تنظیمات به روز رسانی تنظیم شده است).

با این حال، استفاده از کنسول RSOP.msc در نسخه های مدرن ویندوز توصیه نمی شود، زیرا تنظیمات اعمال شده توسط برنامه های افزودنی مختلف سمت مشتری (CSE) مانند GPP (Preferences Policy Group) را منعکس نمی کند، امکان جستجو را نمی دهد و اطلاعات تشخیصی کمی ارائه می دهد. بنابراین، در حال حاضر، دستور GPResult ابزار اصلی برای تشخیص استفاده از GPO در ویندوز است (در ویندوز 10 حتی یک هشدار به نظر می رسد که RSOP برخلاف GPResult گزارش کاملی ارائه نمی دهد).

با استفاده از ابزار GPResult.exe

دستور GPResult بر روی رایانه ای که می خواهید اعمال سیاست های گروه را در آن بررسی کنید اجرا می شود. دستور GPResult دارای دستور زیر است:

GPRESULT ]] [(/X | /H)<имя_файла> ]

برای دریافت اطلاعات دقیق در مورد خط مشی های گروهی که برای یک شیء AD (کاربر و رایانه) اعمال می شود و سایر تنظیمات مربوط به زیرساخت GPO (یعنی تنظیمات خط مشی GPO حاصل - RsoP)، دستور را اجرا کنید:

نتایج دستور به 2 بخش تقسیم می شود:

  • کامپیوتر تنظیمات (پیکربندی کامپیوتر) - بخش حاوی اطلاعاتی در مورد اشیاء GPO است که روی رایانه (به عنوان یک شی اکتیو دایرکتوری) عمل می کنند.
  • کاربر تنظیمات - بخش سیاست های کاربر (خط مشی هایی که برای یک حساب کاربری در AD اعمال می شود).

اجازه دهید به طور مختصر به پارامترها/بخش های اصلی که ممکن است در خروجی GPResult ما را علاقه مند کند، بپردازیم:

  • سایتنام(نام سایت:) – نام سایت AD که کامپیوتر در آن قرار دارد.
  • CN- کاربر/رایانه کامل متعارف که داده های RSoP برای آن تولید شده است.
  • آخرزمانگروهخط مشیبودکاربردی(آخرین خط مشی گروه اعمال شده) - زمانی که سیاست های گروه برای آخرین بار اعمال شد.
  • گروهخط مشیبودکاربردیاز جانب(خط مشی گروه از آن اعمال شد) - کنترل کننده دامنه که از آن بارگیری شده است آخرین نسخه GPO;
  • دامنهنامو دامنهتایپ کنید(نام دامنه، نوع دامنه) – نام و نسخه طرح دامنه Active Directory.
  • کاربردیگروهخط مشیاشیاء(اشیاء خط مشی گروه کاربردی)- لیستی از اشیاء خط مشی گروه فعال؛
  • اینذیلGPO هابودنهکاربردیزیراآنهابودفیلتر شدهبیرون(خط مشی های GPO زیر اعمال نشدند زیرا فیلتر شده بودند) - GPO های اعمال نشده (فیلتر شده).
  • اینکاربر/کامپیوتراستآبخشازراذیلامنیتگروه ها(کاربر/رایانه عضوی از گروه های امنیتی زیر است) – گروه های دامنه ای که کاربر در آن عضو است.

در مثال ما، می توانید ببینید که شی کاربر تابع 4 خط مشی گروه است.

  • خط مشی پیش فرض دامنه.
  • فایروال ویندوز را فعال کنید.
  • لیست جستجوی پسوند DNS.

اگر نمی‌خواهید اطلاعات مربوط به سیاست‌های کاربر و رایانه به طور همزمان در کنسول نمایش داده شود، می‌توانید از گزینه /scope برای نمایش تنها بخشی که به آن علاقه دارید استفاده کنید. فقط خط‌مشی‌های کاربر حاصل:

gpresult /r /scope:user

یا فقط سیاست های کامپیوتری اعمال می شود:

gpresult /r /scope:computer

زیرا ابزار Gpresult داده های خود را مستقیماً به کنسول خط فرمان خروجی می دهد، که همیشه برای تجزیه و تحلیل بعدی راحت نیست؛ خروجی آن را می توان به کلیپ بورد هدایت کرد:

Gpresult /r | کلیپ

یا فایل متنی:

Gpresult /r > c:\gpresult.txt

برای نمایش اطلاعات فوق العاده دقیق RSOP، باید سوئیچ /z را اضافه کنید.

گزارش HTML RSOP با استفاده از GPResult

علاوه بر این، ابزار GPResult می‌تواند یک گزارش HTML از سیاست‌های اعمال شده (در ویندوز 7 و بالاتر) ایجاد کند. این گزارش حاوی اطلاعات دقیقدر مورد تمام پارامترهای سیستمی که توسط خط مشی های گروه تنظیم می شوند و نام GPO های خاصی که آنها را تنظیم می کنند (گزارش ساختار حاصل شبیه به برگه تنظیمات در Domain Group Policy Management Console - GPMC است). می توانید با استفاده از دستور زیر یک گزارش GPResult HTML ایجاد کنید:

نتیجه GPR /h c:\gp-report\report.html /f

برای ایجاد گزارش و باز کردن خودکار آن در مرورگر، دستور زیر را اجرا کنید:

GPResult /h GPResult.html و GPResult.html

گزارش gpresult HTML حاوی مقدار زیادی است اطلاعات مفید: خطاهای برنامه GPO، زمان پردازش (بر حسب میلی‌ثانیه) و اعمال سیاست‌های خاص و CSE قابل مشاهده است (در قسمت Computer Details -> Component Status). به عنوان مثال، در اسکرین شات بالا می بینید که خط مشی با تنظیمات به خاطر سپردن 24 رمز عبور توسط Default Domain Policy (ستون Winning GPO) اعمال می شود. همانطور که می بینید، این گزارش HTML برای تجزیه و تحلیل سیاست های اعمال شده بسیار راحت تر از کنسول rsop.msc است.

دریافت داده های GPResult از یک کامپیوتر راه دور

GPResult همچنین می‌تواند داده‌ها را از یک رایانه راه دور جمع‌آوری کند و نیازی به ورود سرپرست به صورت محلی یا RDP به رایانه راه دور را از بین ببرد. فرمت دستور برای جمع آوری داده های RSOP از یک کامپیوتر راه دور به شرح زیر است:

GPR نتیجه /s سرور-ts1 /r

به طور مشابه، می توانید از راه دور داده ها را از خط مشی های کاربر و خط مشی های رایانه جمع آوری کنید.

نام کاربری داده RSOP ندارد

هنگامی که UAC فعال است، اجرای GPResult بدون امتیازات بالا، تنظیمات تنها بخش خط مشی گروه کاربر را نمایش می دهد. اگر نیاز دارید هر دو بخش (تنظیمات کاربر و تنظیمات کامپیوتر) را همزمان نمایش دهید، دستور باید اجرا شود. اگر خط فرمان به سیستمی متفاوت از کاربر فعلی ارتقا یابد، ابزار یک هشدار صادر می کند اطلاعات:کاربر"دامنه\کاربر"میکندنهدارندRSOPداده ها (کاربر "دامنه\ کاربر" داده RSOP ندارد). این به این دلیل اتفاق می افتد که GPResult سعی می کند اطلاعاتی را برای کاربری که آن را راه اندازی کرده است جمع آوری کند، اما به دلیل ... این کاربربه سیستم وارد نشد، هیچ اطلاعات RSOP برای آن وجود ندارد. برای جمع آوری اطلاعات RSOP برای یک کاربر با یک جلسه فعال، باید حساب کاربری او را مشخص کنید:

gpresult /r /user:tn\edward

اگر نام حسابی را که وارد شده اید نمی دانید کامپیوتر از راه دور، می توانید یک حساب کاربری مانند زیر دریافت کنید:

qwinsta /SERVER:remotePC1

همچنین زمان(های) مشتری را بررسی کنید. زمان باید با زمان روی PDC (Primary Domain Controller) مطابقت داشته باشد.

خط‌مشی‌های GPO زیر اعمال نشدند زیرا فیلتر شده بودند

هنگام عیب‌یابی خط‌مشی‌های گروه، باید به این بخش نیز توجه کنید: GPOهای زیر به دلیل فیلتر شدن اعمال نشدند. این بخش فهرستی از GPO ها را نشان می دهد که به دلایلی برای این شی اعمال نمی شوند. گزینه های ممکنکه ممکن است این سیاست برای آنها اعمال نشود:


همچنین می‌توانید متوجه شوید که آیا این خط‌مشی باید روی یک شی AD خاص در برگه مجوزهای مؤثر اعمال شود (پیشرفته -> دسترسی مؤثر).

بنابراین، در این مقاله به ویژگی‌های تشخیص کاربرد سیاست‌های گروهی با استفاده از ابزار GPResult و سناریوهای معمولی برای استفاده از آن نگاه کردیم.

هنگام نصب ویندوز، اکثر زیرسیستم های فرعی فعال یا نصب نمی شوند. این کار به دلایل امنیتی انجام می شود. از آنجایی که سیستم به طور پیش فرض امن است، مدیران سیستممی تواند بر طراحی سیستمی تمرکز کند که به طور انحصاری عملکردهای اختصاص داده شده به آن را انجام دهد و نه بیشتر. برای کمک به فعال کردن ویژگی‌های مورد نیاز، ویندوز از شما می‌خواهد که یک نقش سرور را انتخاب کنید.

نقش ها

نقش سرور مجموعه‌ای از برنامه‌ها است که وقتی به درستی نصب و پیکربندی شوند، به رایانه اجازه می‌دهند تا عملکرد خاصی را برای چندین کاربر یا رایانه‌های دیگر در یک شبکه انجام دهد. به طور کلی همه نقش ها دارای ویژگی های زیر هستند.

  • آنها عملکرد، هدف یا هدف اصلی استفاده از کامپیوتر را تعریف می کنند. می‌توانید رایانه‌ای را برای اجرای یک نقش که به‌شدت در شرکت شما استفاده می‌شود، یا اگر هر یک از آن‌ها فقط گاهی استفاده می‌شود، تعیین کنید.
  • نقش‌ها به کاربران سراسر سازمان شما دسترسی به منابعی را که توسط رایانه‌های دیگر مدیریت می‌شوند، مانند وب‌سایت‌ها، چاپگرها یا فایل‌های ذخیره شده در رایانه‌های مختلف، می‌دهد.
  • آنها معمولاً پایگاه داده های خود را دارند که درخواست های کاربر یا رایانه را در صف قرار می دهند یا اطلاعات مربوط به کاربران شبکه و رایانه های مرتبط با نقش را ضبط می کنند. به عنوان مثال، Active Directory Domain Services شامل یک پایگاه داده برای ذخیره نام و روابط سلسله مراتبی همه رایانه های موجود در یک شبکه است.
  • بعد از نصب صحیحو تنظیمات نقش به طور خودکار عمل می کند. این به رایانه هایی که روی آنها نصب شده اند اجازه می دهد تا وظایف محول شده را با تعامل محدود با کاربر انجام دهند.

خدمات نقش

خدمات نقش برنامه هایی هستند که ارائه می کنند عملکردنقش ها وقتی نقشی را نصب می‌کنید، می‌توانید انتخاب کنید که چه خدماتی به سایر کاربران و رایانه‌های موجود در سازمان ارائه می‌کند. برخی از نقش ها، مانند سرور DNS، تنها یک عملکرد را انجام می دهند، بنابراین هیچ سرویس نقشی برای آنها وجود ندارد. نقش‌های دیگر، مانند سرویس‌های دسکتاپ از راه دور، دارای چندین سرویس هستند که بسته به نیازهای کسب و کار شما به دسترسی از راه دور قابل نصب هستند. یک نقش را می توان به عنوان مجموعه ای از خدمات نقش مکمل و نزدیک مرتبط در نظر گرفت. در بیشتر موارد، نصب یک نقش به معنای نصب یک یا چند سرویس آن است.

اجزاء

مؤلفه‌ها برنامه‌هایی هستند که مستقیماً بخشی از نقش‌ها نیستند، اما بدون توجه به اینکه کدام نقش‌ها نصب شده‌اند، عملکرد یک یا چند نقش یا کل سرور را پشتیبانی یا گسترش می‌دهند. به عنوان مثال، ویژگی Failover Cluster، عملکرد نقش‌های دیگر مانند File Services و DHCP Server را با امکان پیوستن به خوشه‌های سرور گسترش می‌دهد و افزونگی و کارایی را افزایش می‌دهد. مؤلفه دیگر - "Telnet Client" - ارتباط راه دور با سرور Telnet را از طریق فراهم می کند اتصال شبکه. این ویژگی قابلیت های ارتباطی سرور را افزایش می دهد.

هنگامی که ویندوز سرور در حالت پایه اجرا می شود اجزای سرور، نقش های سرور زیر پشتیبانی می شوند:

  • خدمات گواهی اکتیو دایرکتوری؛
  • خدمات دامنه اکتیو دایرکتوری؛
  • سرور DHCP؛
  • سرور DNS؛
  • خدمات فایل (از جمله مدیر منابع سرور فایل);
  • Active Directory Lightweight Directory Services;
  • Hyper-V;
  • خدمات چاپ و اسناد؛
  • خدمات پخش رسانه ای؛
  • وب سرور (شامل زیر مجموعه ای از ASP.NET)؛
  • سرور به روز رسانی ویندوزسرور؛
  • سرور مدیریت حقوق Active Directory;
  • سرور مسیریابی و دسترسی از راه دور و نقش های فرعی زیر:
    • کارگزار اتصال خدمات دسکتاپ از راه دور.
    • صدور مجوز؛
    • مجازی سازی

هنگامی که Windows Server در حالت Server Core اجرا می شود، اجزای سرور زیر پشتیبانی می شوند:

  • مایکروسافت. چارچوب خالص 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell;
  • سرویس انتقال هوشمند پس زمینه (BITS)؛
  • رمزگذاری دیسک BitLocker؛
  • باز کردن قفل شبکه BitLocker؛
  • BranchCache
  • پل مرکز داده؛
  • ذخیره سازی پیشرفته؛
  • خوشه بندی شکست خورده؛
  • ورودی/خروجی چند مسیری؛
  • تعادل بار شبکه؛
  • پروتکل PNRP؛
  • qWave;
  • فشرده سازی دیفرانسیل از راه دور؛
  • خدمات ساده TCP/IP؛
  • RPC از طریق پروکسی HTTP.
  • سرور SMTP؛
  • سرویس SNMP؛
  • مشتری شبکه راه دور؛
  • سرور Telnet;
  • کلاینت TFTP؛
  • پایگاه داده داخلی ویندوز؛
  • Windows PowerShell Web Access;
  • سرویس فعال سازی ویندوز؛
  • مدیریت استاندارد ذخیره سازی ویندوز؛
  • پسوند IIS WinRM؛
  • سرور WINS؛
  • پشتیبانی از WoW64

نصب نقش های سرور با استفاده از مدیر سرور

برای افزودن، Server Manager را باز کنید و در منوی Manage روی Add Roles and features کلیک کنید:

جادوگر افزودن نقش ها و ویژگی ها باز می شود. روی Next کلیک کنید

نوع نصب، نصب مبتنی بر نقش یا ویژگی را انتخاب کنید. بعد:

انتخاب سرور - سرور ما را انتخاب کنید. روی نقش‌های سرور بعدی کلیک کنید - نقش‌ها را انتخاب کنید، در صورت لزوم، سرویس‌های نقش را انتخاب کنید و برای انتخاب مؤلفه‌ها روی Next کلیک کنید. در طی این روش، جادوگر افزودن نقش‌ها و ویژگی‌ها به‌طور خودکار به شما اطلاع می‌دهد که در سرور مقصد تداخلی وجود داشته باشد که ممکن است نقش‌ها یا ویژگی‌های انتخاب‌شده را از نصب یا عملکرد درست جلوگیری کند. همچنین از شما خواسته می‌شود که نقش‌ها، خدمات نقش‌ها و ویژگی‌هایی را که برای نقش‌ها یا ویژگی‌های انتخابی لازم است اضافه کنید.

نصب نقش ها با استفاده از PowerShell

Windows PowerShell را باز کنید، دستور Get-WindowsFeature را وارد کنید تا لیستی از نقش ها و ویژگی های موجود و نصب شده در سرور محلی را مشاهده کنید. نتایج این cmdlet شامل نام دستورات نقش ها و ویژگی هایی است که نصب شده و برای نصب در دسترس هستند.

برای مشاهده نحو و پارامترهای معتبر cmdlet Install-WindowsFeature (MAN) Get-Help Install-WindowsFeature را تایپ کنید.

دستور زیر را وارد کنید (در صورت نیاز به راه اندازی مجدد هنگام نصب نقش، سرور را Restart مجدداً راه اندازی می کند).

Install-WindowsFeature –Name - راه اندازی مجدد

شرح نقش ها و خدمات نقش

تمام نقش ها و خدمات نقش در زیر توضیح داده شده است. بیایید به پیکربندی پیشرفته برای رایج ترین موارد در عمل خود نگاه کنیم: نقش وب سرور و خدمات دسکتاپ از راه دور

توضیحات مفصل IIS

  • ویژگی های رایج HTTP - اجزای اصلی HTTP
    • سند پیش فرض - به شما امکان می دهد یک صفحه فهرست برای سایت تنظیم کنید.
    • مرور دایرکتوری - به کاربران اجازه می دهد محتویات یک فهرست را در یک وب سرور ببینند. هنگامی که کاربران فایلی را در URL مشخص نمی‌کنند و صفحه فهرست غیرفعال یا پیکربندی نشده است، از مرور دایرکتوری برای ایجاد خودکار فهرستی از همه فهرست‌ها و فایل‌های موجود در یک فهرست استفاده کنید.
    • خطاهای HTTP - به شما امکان می دهد پیام های خطای بازگردانده شده به مشتریان را در مرورگر پیکربندی کنید.
    • محتوای استاتیک - به شما امکان می دهد محتوای ثابت، به عنوان مثال، تصاویر یا فایل های html را پست کنید.
    • HTTP Redirection - پشتیبانی از تغییر مسیر درخواست های کاربر را فراهم می کند.
    • WebDAV Publishing به شما امکان می دهد فایل ها را از یک وب سرور با استفاده از پروتکل HTTP منتشر کنید.
  • ویژگی های سلامت و تشخیص - اجزای تشخیصی
    • HTTP Logging گزارش فعالیت وب سایت را برای یک سرور معین فراهم می کند.
    • ثبت گزارش سفارشی از ایجاد گزارش‌های سفارشی متفاوت از گزارش‌های «سنتی» پشتیبانی می‌کند.
    • Logging Tools زیرساختی را برای مدیریت گزارش‌های وب سرور و خودکار کردن کارهای معمول گزارش‌گیری فراهم می‌کند.
    • ODBC Logging زیرساختی را فراهم می کند که از ثبت فعالیت وب سرور در یک پایگاه داده سازگار با ODBC پشتیبانی می کند.
    • Request Monitor زیرساختی برای نظارت بر سلامت برنامه های کاربردی وب با جمع آوری اطلاعات در مورد درخواست های HTTP در فرآیند IIS worker فراهم می کند.
    • Tracing چارچوبی برای تشخیص و عیب یابی برنامه های کاربردی وب فراهم می کند. با استفاده از ردیابی درخواست ناموفق، می‌توانید رویدادهایی را که به سختی ضبط می‌شوند مانند عملکرد ضعیف یا خرابی‌های احراز هویت ردیابی کنید.
  • اجزای عملکرد عملکرد وب سرور را افزایش می دهد.
    • فشرده سازی محتوای استاتیک زیرساختی را برای تنظیم فشرده سازی HTTP محتوای ایستا فراهم می کند
    • فشرده‌سازی محتوای پویا زیرساختی را برای تنظیم فشرده‌سازی HTTP محتوای پویا فراهم می‌کند.
  • اجزای امنیتی امنیتی
    • Request Filtering به شما امکان می دهد تمام درخواست های دریافتی را ضبط کرده و آنها را بر اساس قوانین تنظیم شده توسط مدیر فیلتر کنید.
    • احراز هویت پایه به شما امکان می دهد مجوزهای اضافی را تنظیم کنید
    • پشتیبانی از گواهی SSL متمرکز قابلیتی است که به شما امکان می دهد گواهی ها را در یک مکان متمرکز مانند اشتراک فایل ذخیره کنید.
    • تأیید اعتبار نقشه‌برداری گواهی مشتری از گواهی‌های مشتری برای احراز هویت کاربران استفاده می‌کند.
    • Digest Authentication با ارسال هش رمز عبور به کنترل کننده دامنه ویندوز برای احراز هویت کاربران کار می کند. اگر به سطح امنیتی بالاتری نسبت به احراز هویت معمولی نیاز دارید، از احراز هویت Digest استفاده کنید
    • IIS Client Certificate Mapping Authentication از گواهی های سرویس گیرنده برای احراز هویت کاربران استفاده می کند. گواهی مشتری یک شناسه دیجیتالی است که از یک منبع قابل اعتماد بدست می آید.
    • IP and Domain Restrictions به شما امکان می دهد بر اساس آدرس IP یا نام دامنه درخواستی، دسترسی را مجاز یا رد کنید.
    • مجوز URL به شما امکان می دهد قوانینی ایجاد کنید که دسترسی به محتوای وب را محدود می کند.
    • Windows Authentication این طرح احراز هویت به مدیران دامنه ویندوز اجازه می دهد تا از زیرساخت دامنه برای احراز هویت کاربران استفاده کنند.
  • توسعه برنامه ویژگی های اجزای توسعه برنامه
  • سرور FTP
    • سرویس FTP انتشار FTP را در سرور وب فعال می کند.
    • توسعه پذیری FTP شامل پشتیبانی از توابع FTP است که قابلیت های FTP را گسترش می دهد
  • ابزارهای مدیریتی
    • کنسول مدیریت IIS IIS Manager را نصب می کند که به شما امکان می دهد وب سرور را از طریق یک رابط گرافیکی مدیریت کنید
    • سازگاری مدیریت IIS 6.0 سازگاری رو به جلو را برای برنامه‌ها و اسکریپت‌هایی که از APIهای Admin Base Object (ABO) و Active Directory Service Interface (ADSI) استفاده می‌کنند، فراهم می‌کند. این اجازه می دهد تا اسکریپت های IIS 6.0 موجود توسط وب سرور IIS 8.0 استفاده شود
    • اسکریپت ها و ابزارهای مدیریت IIS زیرساختی را برای مدیریت وب سرور IIS به صورت برنامه نویسی، با استفاده از دستورات در پنجره Command Prompt یا اجرای اسکریپت ها فراهم می کنند.
    • مدیریت خدمات زیرساختی را برای پیکربندی رابط کاربری مدیر IIS فراهم می کند.

توضیحات مفصل RDS

  • Remote Desktop Connection Broker - اتصال مجدد دستگاه مشتری به برنامه های مبتنی بر جلسات رایانه رومیزی و دسکتاپ مجازی را فراهم می کند.
  • دروازه دسکتاپ از راه دور - به کاربران مجاز اجازه می دهد تا به دسکتاپ های مجازی، برنامه های RemoteApp و دسکتاپ های مبتنی بر جلسه متصل شوند. شبکه شرکتییا از طریق اینترنت
  • مجوز دسکتاپ از راه دور - ابزار مدیریت مجوز RDP
  • میزبان جلسه دسکتاپ از راه دور - سرور را قادر می سازد تا برنامه های RemoteApp یا یک جلسه مبتنی بر دسکتاپ را میزبانی کند.
  • میزبان مجازی سازی دسکتاپ از راه دور - به شما امکان می دهد RDP را در ماشین های مجازی پیکربندی کنید
  • دسترسی به وب دسکتاپ از راه دور - به کاربران امکان می دهد با استفاده از منوی استارت یا یک مرورگر وب به منابع دسکتاپ متصل شوند.

بیایید نصب و پیکربندی سرور مجوز ترمینال را بررسی کنیم. در بالا نحوه نصب نقش ها را توضیح می دهد، نصب RDS هیچ تفاوتی با نصب نقش های دیگر ندارد؛ در Role Services باید Remote Desktop Licensing و Remote Desktop Session Host را انتخاب کنیم. پس از نصب، مورد Terminal Services در Server Manager-Tools ظاهر می شود. Terminal Services دارای دو مورد است: RD Licensing Diagnoser که یک ابزار تشخیصی برای صدور مجوز از راه دور دسکتاپ است و Remote Desktop Licensing Manager که یک ابزار مدیریت مجوز است.

بیایید RD Licensing Diagnoster را راه اندازی کنیم

در اینجا می بینیم که هنوز مجوزی در دسترس نیست زیرا حالت مجوز برای سرور میزبان جلسه از راه دور دسکتاپ تنظیم نشده است. سرور مجوز در خط مشی های گروه محلی مشخص شده است. برای راه اندازی ویرایشگر، دستور gpedit.msc را اجرا کنید. ویرایشگر خط مشی گروه محلی باز می شود. در درخت سمت چپ، اجازه دهید برگه ها را باز کنیم:

  • پیکربندی کامپیوتر
  • قالب اداری
  • اجزای ویندوز
  • "خدمات دسکتاپ از راه دور"
  • "میزبان جلسه از راه دور دسکتاپ"
  • "مجوز"

باز کردن پارامترها از سرورهای مجوز دسکتاپ راه دور مشخص شده استفاده کنید

در پنجره ویرایش تنظیمات خط مشی، سرور صدور مجوز (فعال) را فعال کنید. در مرحله بعد، باید سرور صدور مجوز برای خدمات دسکتاپ از راه دور را تعیین کنید. در مثال من، سرور مجوز در همان سرور فیزیکی قرار دارد. نشان می دهیم نام شبکهیا آدرس IP سرور مجوز و OK را کلیک کنید. اگر در آینده نام سرور را تغییر دهید، سرور مجوز باید در همان بخش تغییر کند.

پس از این، در RD Licensing Diagnoser می توانید ببینید که سرور مجوز ترمینال پیکربندی شده است، اما فعال نیست. برای فعال کردن، Remote Desktop Licensing Manager را راه اندازی کنید

یک سرور مجوز با وضعیت فعال نشده انتخاب کنید. برای فعال سازی روی آن کلیک راست کرده و گزینه Activate Server را انتخاب کنید. جادوگر فعال سازی سرور راه اندازی می شود. در تب Connection Method، Automatic Connection را انتخاب کنید. در مرحله بعد، اطلاعات مربوط به سازمان را پر کنید و پس از آن سرور مجوز فعال می شود.

خدمات گواهی اکتیو دایرکتوری

AD CS خدمات گواهی دیجیتال قابل تنظیمی را ارائه می دهد که در سیستم های امنیتی نرم افزاری که از فناوری استفاده می کنند استفاده می شود کلیدهای عمومی، و مدیریت این گواهی ها. گواهی‌های دیجیتال ارائه‌شده توسط AD CS می‌توانند برای رمزگذاری و امضای دیجیتالی اسناد و پیام‌های الکترونیکی استفاده شوند. از این گواهی‌های دیجیتال می‌توان برای تأیید صحت حساب‌های رایانه، کاربر و دستگاه در سراسر شبکه استفاده کرد. گواهی‌های دیجیتال برای اطمینان از:

  • حفظ حریم خصوصی از طریق رمزگذاری؛
  • یکپارچگی با استفاده از امضای دیجیتال؛
  • احراز هویت با مرتبط کردن کلیدهای گواهی با حساب های رایانه، کاربر و دستگاه در شبکه.

AD CS می تواند برای بهبود امنیت با مرتبط کردن هویت کاربر، دستگاه یا سرویس با هویت مناسب مورد استفاده قرار گیرد کلید خصوصی. برنامه های کاربردی پشتیبانی شده توسط AD CS عبارتند از: برنامه های افزودنی ایمیل چند منظوره اینترنتی ایمن (S/MIME)، شبکه های بی سیم امن، شبکه های خصوصی مجازی (VPN)، پروتکل IPsec، سیستم فایل رمزگذاری (EFS)، ورود به کارت هوشمند، پروتکل امنیتی و امنیت لایه حمل و نقل (SSL/TLS) و امضاهای دیجیتال.

خدمات دامنه اکتیو دایرکتوری

با استفاده از نقش سرور Active Directory Domain Services (AD DS)، می توانید یک زیرساخت مقیاس پذیر، ایمن و مدیریت شده برای مدیریت کاربران و منابع ایجاد کنید. همچنین می‌توانید از برنامه‌های دایرکتوری آگاه مانند Microsoft Exchange Server پشتیبانی کنید. Active Directory Domain Services ارائه می دهد پایگاه داده توزیع شدهداده‌ها، که اطلاعات مربوط به منابع شبکه و داده‌های برنامه فعال‌شده با فهرست را ذخیره و مدیریت می‌کند. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود. مدیران می توانند از AD DS برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار تودرتو سلسله مراتبی استفاده کنند. ساختار تودرتو سلسله مراتبی شامل جنگل اکتیو دایرکتوری، دامنه های داخل جنگل و واحدهای سازمانی در هر دامنه است. ویژگی های امنیتی به شکل احراز هویت و کنترل دسترسی به منابع موجود در دایرکتوری در AD DS یکپارچه شده است. با یک ورود به سیستم شبکه، مدیران می توانند داده های دایرکتوری و سازماندهی را در سراسر شبکه مدیریت کنند. کاربران مجاز شبکه همچنین می‌توانند از یک ورود به سیستم شبکه برای دسترسی به منابعی که در هر نقطه از شبکه قرار دارند استفاده کنند. Active Directory Domain Services ویژگی های اضافی زیر را ارائه می دهد.

  • مجموعه قوانین طرحی است که کلاس‌ها و ویژگی‌های شی موجود در یک فهرست، محدودیت‌ها و محدودیت‌های نمونه‌های آن اشیاء و قالب نام آنها را تعریف می‌کند.
  • یک کاتالوگ جهانی که حاوی اطلاعاتی در مورد هر شیء در کاتالوگ است. کاربران و مدیران می توانند از کاتالوگ جهانی برای جستجوی داده های دایرکتوری استفاده کنند، صرف نظر از اینکه کدام دامنه در دایرکتوری واقعاً حاوی داده هایی است که به دنبال آن هستند.
  • یک موتور پرس و جو و نمایه سازی که از طریق آن می توان اشیاء و ویژگی های آنها را منتشر کرد و توسط کاربران و برنامه های کاربردی شبکه مکان یابی کرد.
  • یک سرویس تکرار که داده های دایرکتوری را در یک شبکه توزیع می کند. همه کنترل کننده های دامنه قابل نوشتن در دامنه در Replication شرکت می کنند و حاوی هستند کپی کاملهمه داده های دایرکتوری برای دامنه شما هر گونه تغییر در داده های دایرکتوری در سراسر دامنه به همه کنترل کننده های دامنه تکرار می شود.
  • نقش‌های اصلی عملیات (همچنین به عنوان عملیات منعطف تک اصلی یا FSMO شناخته می‌شود). کنترل‌کننده‌های دامنه، که به‌عنوان اصلی‌ترین عملیات‌ها عمل می‌کنند، برای انجام وظایف خاص برای اطمینان از سازگاری داده‌ها و حذف ورودی‌های دایرکتوری متضاد طراحی شده‌اند.

خدمات فدراسیون Active Directory

AD FS یک فدراسیون هویتی ساده و ایمن و قابلیت‌های یک ورود به سیستم مبتنی بر وب (SSO) را برای کاربران نهایی که نیاز به دسترسی به برنامه‌های کاربردی در یک شرکت، شریک فدراسیون یا ابر محافظت‌شده با AD FS دارند، فراهم می‌کند. در سرور ویندوز، AD FS شامل خدمات نقش فدراسیون خدماتی که به‌عنوان یک ارائه‌دهنده هویت عمل می‌کنند (کاربران را برای ارائه نشانه‌های امنیتی به برنامه‌هایی که به AD FS اعتماد دارند تأیید می‌کند) یا به‌عنوان یک ارائه‌دهنده فدراسیون (توکن‌هایی را از سایر ارائه‌دهندگان هویت اعمال می‌کند و سپس نشانه‌های امنیتی را برای برنامه‌هایی که به AD FS اعتماد دارند ارائه می‌کند).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) یک پروتکل LDAP است که پشتیبانی انعطاف پذیری را برای برنامه های دایرکتوری بدون وابستگی ها و محدودیت های دامنه خدمات دامنه Active Directory ارائه می دهد. AD LDS را می توان بر روی سرورهای عضو یا مستقل اجرا کرد. می توانید چندین نمونه از AD LDS را روی یک سرور واحد با طرحواره های مدیریت شده مستقل اجرا کنید. با استفاده از نقش سرویس AD LDS، می‌توانید خدمات دایرکتوری را به برنامه‌های کاربردی آگاه از دایرکتوری بدون سربار دامنه‌ها و جنگل‌ها و بدون نیاز به یک طرح کلی جنگلی ارائه دهید.

خدمات مدیریت حقوق Active Directory

AD RMS می تواند برای ارتقای استراتژی امنیتی سازمان با حفاظت از اسناد با استفاده از مدیریت حقوق اطلاعات (IRM) استفاده شود. AD RMS به کاربران و مدیران اجازه می‌دهد تا با استفاده از خط‌مشی‌های IRM، مجوزهای دسترسی را به اسناد، کتاب‌های کاری و ارائه‌ها اختصاص دهند. این به محافظت از اطلاعات محرمانه از چاپ، ارسال یا کپی توسط کاربران غیرمجاز کمک می کند. هنگامی که مجوزهای فایل با استفاده از IRM محدود می شوند، محدودیت های دسترسی و استفاده بدون توجه به مکان اطلاعات اعمال می شود زیرا مجوز فایل در خود فایل سند ذخیره می شود. با AD RMS و IRM، کاربران فردی می توانند ترجیحات شخصی خود را در مورد به اشتراک گذاری اطلاعات شخصی و حساس اعمال کنند. آنها همچنین به سازمان کمک خواهند کرد تا سیاست های شرکتی را برای کنترل استفاده و انتشار اطلاعات محرمانه و شخصی اعمال کند. راه حل های IRM پشتیبانی شده توسط سرویس های AD RMS برای ارائه قابلیت های زیر استفاده می شود.

  • خط‌مشی‌های استفاده دائمی که بدون توجه به انتقال، ارسال یا بازارسال، همراه با اطلاعات باقی می‌مانند.
  • یک لایه اضافی از حریم خصوصی برای محافظت از داده های حساس - مانند گزارش ها، مشخصات محصول، اطلاعات مشتری و پیام های ایمیل - در برابر افتادن به دست افراد نادرست، عمدی یا تصادفی.
  • از ارسال، کپی، اصلاح، چاپ، فکس، یا چسباندن غیرمجاز محتوای محدود شده توسط گیرندگان مجاز جلوگیری کنید.
  • جلوگیری از کپی شدن محتوای محدود شده با استفاده از عملکرد PRINT SCREEN در ویندوز مایکروسافت.
  • پشتیبانی از انقضای فایل، که از مشاهده محتویات اسناد پس از مدت زمان مشخص جلوگیری می کند.
  • اجرای سیاست های سازمانی که بر استفاده و توزیع محتوا در سازمان حاکم است

برنامه ی سرور

Application Server یک محیط یکپارچه برای استقرار و اجرای برنامه های تجاری مبتنی بر سرور سفارشی فراهم می کند.

سرور DHCP

DHCP یک فناوری سرویس گیرنده-سرور است که در آن سرورهای DHCP می‌توانند آدرس‌های IP را به رایانه‌ها و سایر دستگاه‌هایی که کلاینت‌های DHCP هستند اختصاص یا اجاره دهند. استقرار سرورهای DHCP در یک شبکه به‌طور خودکار رایانه‌های کلاینت و سایر دستگاه‌های شبکه مبتنی بر آدرس‌های IP معتبر IPv4 و IPv6 را فراهم می‌کند. پارامترهای پیکربندی اضافی مورد نیاز این کلاینت ها و دستگاه ها.سرویس سرور DHCP در سرور ویندوز شامل پشتیبانی از تکالیف مبتنی بر خط مشی و مدیریت خرابی DHCP است.

سرور DNS

سرویس DNSیک پایگاه داده توزیع شده سلسله مراتبی است که حاوی نگاشت نام دامنه های DNS است انواع مختلفداده هایی مانند آدرس های IP DNS به شما امکان می دهد از نام های دوستانه مانند www.microsoft.com استفاده کنید تا مکان یابی رایانه ها و سایر منابع را در شبکه های مبتنی بر TCP/IP آسان تر کنید. Windows Server DNS پشتیبانی اضافی و پیشرفته ای را برای DNS Security Extensions (DNSSEC)، از جمله ثبت نام آنلاین و مدیریت تنظیمات خودکار ارائه می دهد.

سرور فکس

سرور فکس فکس ها را ارسال و دریافت می کند و همچنین به شما امکان مدیریت منابع فکس مانند مشاغل، تنظیمات، گزارش ها و دستگاه های فکس را در سرور فکس خود می دهد.

خدمات فایل و ذخیره سازی

مدیران می‌توانند از نقش سرویس‌های فایل و ذخیره‌سازی برای پیکربندی چندین سرور فایل و ذخیره‌سازی آنها و مدیریت آن سرورها با استفاده از Server Manager یا Windows PowerShell استفاده کنند. برخی از برنامه های خاص شامل ویژگی های زیر هستند.

  • پوشه های کاری برای اجازه دادن به کاربران برای ذخیره و دسترسی به فایل‌های کاری در رایانه‌های شخصی و دستگاه‌هایی غیر از رایانه‌های شخصی شرکتی استفاده کنید. کاربران مکانی مناسب برای ذخیره فایل‌های کاری و دسترسی به آن‌ها از هر کجا دریافت می‌کنند. سازمان‌ها با ذخیره‌سازی فایل‌ها در سرورهای فایل با مدیریت مرکزی و تنظیم اختیاری خط‌مشی‌های دستگاه کاربر (مانند رمزگذاری و رمزهای عبور قفل صفحه)، داده‌های شرکت را کنترل می‌کنند.
  • حذف داده ها استفاده برای کاهش فضای دیسک مورد نیاز برای ذخیره فایل ها، صرفه جویی در هزینه های ذخیره سازی.
  • سرور هدف iSCSI برای ایجاد زیرسیستم‌های دیسک iSCSI متمرکز، نرم‌افزار و مستقل از سخت‌افزار در شبکه‌های منطقه ذخیره‌سازی (SAN) استفاده کنید.
  • فضاهای دیسک برای استقرار فضای ذخیره‌سازی بسیار در دسترس که با استفاده از دیسک‌های مقرون‌به‌صرفه و استاندارد صنعتی انعطاف‌پذیر و مقیاس‌پذیر است، استفاده کنید.
  • مدیر سرور. استفاده برای کنترل از راه دورچندین سرور فایل از یک پنجره
  • Windows PowerShell. برای مدیریت خودکار اکثر وظایف مدیریت فایل سرور استفاده کنید.

Hyper-V

نقش Hyper-V به شما امکان می دهد با استفاده از فناوری مجازی سازی که در ویندوز سرور تعبیه شده است، یک محیط محاسباتی مجازی ایجاد و مدیریت کنید. نصب نقش Hyper-V پیش نیازها و همچنین ابزارهای مدیریت اختیاری را نصب می کند. اجزای مورد نیاز شامل هایپروایزرسرویس مدیریت مجازی ویندوز ماشین های Hyper-V، ارائه دهنده مجازی سازی WMI و اجزای مجازی سازی مانند VMbus، ارائه دهنده خدمات مجازی سازی (VSP) و درایور زیرساخت مجازی (VID).

خط مشی شبکه و خدمات دسترسی

Network Policy and Access Services راه حل های زیر را برای اتصالات شبکه ارائه می دهد:

  • حفاظت از دسترسی به شبکه یک فناوری برای ایجاد، اجرا و تعمیر سیاست های سلامت مشتری است. با محافظت از دسترسی به شبکه، مدیران سیستم می‌توانند خط‌مشی‌های بهداشتی را که شامل الزامات نرم‌افزار، به‌روزرسانی‌های امنیتی و سایر تنظیمات می‌شود، تنظیم کرده و به‌طور خودکار اعمال کنند. کامپیوترهای سرویس گیرنده‌ای که الزامات خط‌مشی سلامت را برآورده نمی‌کنند، می‌توانند دسترسی به شبکه را محدود کنند تا زمانی که پیکربندی آنها برای برآورده کردن الزامات خط‌مشی سلامت به‌روزرسانی شود.
  • اگر نقاط دسترسی بی سیم 802.1X را فعال کرده اید، می توانید از سرور سیاست شبکه (NPS) برای استقرار روش های احراز هویت مبتنی بر گواهی استفاده کنید، که از احراز هویت مبتنی بر رمز عبور ایمن تر هستند. استقرار سخت افزار 802.1X با یک سرور NPS به کاربران اینترانت اجازه می دهد تا قبل از اتصال به شبکه یا دریافت آدرس IP از سرور DHCP احراز هویت شوند.
  • به جای پیکربندی یک خط مشی دسترسی به شبکه در هر سرور دسترسی به شبکه، می‌توانید به طور متمرکز تمام خط‌مشی‌هایی را ایجاد کنید که تمام جنبه‌های درخواست‌های اتصال شبکه را تعریف می‌کنند (چه کسی می‌تواند متصل شود، زمانی که اتصال مجاز است، سطح امنیتی که باید برای اتصال به شبکه استفاده شود. شبکه).

خدمات چاپ و اسناد

خدمات چاپ و سند به شما امکان می دهد وظایف سرور چاپ و چاپگر شبکه را متمرکز کنید. این نقش همچنین به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کنید و اسناد را در اشتراک گذاری های شبکه مانند یک سایت Windows SharePoint Services یا آپلود کنید. پست الکترونیک.

دسترسی از راه دور

نقش سرور دسترسی از راه دور یک گروه بندی منطقی از فناوری های دسترسی به شبکه زیر است.

  • دسترسی مستقیم
  • مسیریابی و دسترسی از راه دور
  • پروکسی برنامه وب

این فناوری ها هستند خدمات نقشنقش های سرور دسترسی از راه دور هنگامی که نقش سرور دسترسی از راه دور را نصب می کنید، می توانید یک یا چند سرویس نقش را با اجرای جادوگر افزودن نقش ها و ویژگی ها نصب کنید.

در سرور ویندوز، نقش سرور دسترسی از راه دور توانایی مدیریت، پیکربندی و نظارت بر خدمات دسترسی از راه دور DirectAccess و VPN با سرویس مسیریابی و دسترسی از راه دور (RRAS) را به صورت مرکزی فراهم می کند. DirectAccess و RRAS می توانند در سرور لبه یکسانی مستقر شوند و با استفاده از آن مدیریت شوند دستورات ویندوز PowerShell و کنسول مدیریت دسترسی از راه دور (MMC).

خدمات دسکتاپ از راه دور

خدمات دسکتاپ از راه دور استقرار دسکتاپ ها و برنامه ها را بر روی هر دستگاهی تسریع و گسترش می دهد، بهره وری کارگران از راه دور را افزایش می دهد و در عین حال مالکیت معنوی حیاتی را ایمن می کند و انطباق با مقررات را ساده می کند. خدمات دسکتاپ از راه دور شامل زیرساخت دسکتاپ مجازی (VDI)، دسکتاپ مبتنی بر جلسه و برنامه‌ها است که به کاربران امکان کار از هر کجا را می‌دهد.

خدمات فعال سازی حجم

Volume Activation Services یک نقش سرور در ویندوز سرور است که در Windows Server 2012 شروع می شود و صدور مجوزهای حجمی را به صورت خودکار و ساده می کند. نرم افزارمایکروسافت و همچنین مدیریت چنین مجوزهایی در سناریوها و محیط های مختلف. همراه با Volume Activation Services، می توانید سرویس مدیریت کلید (KMS) و فعال سازی Active Directory را نصب و پیکربندی کنید.

وب سرور (IIS)

نقش وب سرور (IIS) در سرور ویندوز بستری را برای میزبانی وب سایت ها، سرویس ها و برنامه ها فراهم می کند. استفاده از وب سرور اطلاعات را در اینترنت، اینترانت و اکسترانت در اختیار کاربران قرار می دهد. مدیران می توانند از نقش وب سرور (IIS) برای پیکربندی و مدیریت چندین وب سایت، برنامه های کاربردی وب و سایت های FTP استفاده کنند. ویژگی های دسترسی شامل موارد زیر است.

  • از Internet Information Services Manager برای پیکربندی اجزای IIS و مدیریت وب سایت ها استفاده کنید.
  • استفاده پروتکل FTPبه صاحبان وب سایت امکان ارسال و آپلود فایل ها را می دهد.
  • از جداسازی وب‌سایت برای جلوگیری از تأثیرگذاری یک وب‌سایت روی سرور روی دیگران استفاده کنید.
  • سفارشی سازی برنامه های کاربردی وب که با استفاده از فناوری های مختلف مانند کلاسیک ASP، ASP.NET و PHP توسعه یافته اند.
  • استفاده از Windows PowerShell به کنترل خودکاراکثر وظایف مدیریت وب سرور.
  • چندین وب سرور را در یک مزرعه سرور که می توان با استفاده از IIS مدیریت کرد، ترکیب کنید.

Windows Deployment Services

Windows Deployment Services به شما این امکان را می دهد که سیستم عامل های ویندوز را بر روی یک شبکه مستقر کنید، به این معنی که لازم نیست هر سیستم عامل را مستقیماً از روی CD یا DVD نصب کنید.

Windows Server Essentials Experience

این نقش به شما امکان می دهد وظایف زیر را حل کنید:

  • با ایجاد از داده های سرور و مشتری محافظت کنید پشتیبان گیریسرور و تمام کامپیوترهای مشتری در شبکه؛
  • مدیریت کاربران و گروه های کاربری از طریق داشبورد سرور ساده شده. علاوه بر این، ادغام با Windows Azure Active Directory *دسترسی آسان به خدمات آنلاین مایکروسافت آنلاین (مانند Office 365، Exchange Online، و SharePoint Online) را با استفاده از اعتبار دامنه خود به کاربران ارائه می دهد.
  • ذخیره اطلاعات شرکت در یک مکان متمرکز؛
  • سرور را با خدمات آنلاین مایکروسافت (مانند Office 365، Exchange Online، SharePoint Online و Windows Intune) یکپارچه کنید:
  • برای دسترسی به سرور، رایانه‌های شبکه و داده‌ها از مکان‌های راه دور با درجه بالایی از امنیت، از ویژگی‌های دسترسی همه جا در سرور (به عنوان مثال، دسترسی به وب از راه دور و شبکه‌های خصوصی مجازی) استفاده کنید.
  • دسترسی به داده ها از هر جا و از هر دستگاهی با استفاده از پورتال وب خود سازمان (از طریق دسترسی به وب از راه دور).
  • مدیریت کنید دستگاه های تلفن همراه، که از طریق آن به ایمیل سازمان با استفاده از Office 365 از طریق پروتکل Active Sync از داشبورد دسترسی پیدا می شود.
  • نظارت بر سلامت شبکه و دریافت گزارش های سلامت سفارشی؛ گزارش ها را می توان در صورت تقاضا تولید کرد، سفارشی کرد و برای گیرندگان خاص ایمیل کرد.

سرویس های به روز رسانی سرور ویندوز

سرور WSUS اجزایی را که مدیران برای مدیریت و توزیع به‌روزرسانی‌ها از طریق کنسول مدیریت نیاز دارند، فراهم می‌کند. علاوه بر این، سرور WSUS می تواند منبع به روز رسانی سایر سرورهای WSUS در سازمان باشد. هنگامی که WSUS را پیاده سازی می کنید، حداقل یک سرور WSUS در شبکه شما باید به Microsoft Update متصل باشد تا اطلاعات مربوط به به روز رسانی های موجود را دریافت کند. بسته به امنیت شبکه و پیکربندی، سرپرست شما می‌تواند تعیین کند که چند سرور دیگر مستقیماً به Microsoft Update متصل هستند.

هنگام نصب ویندوز، اکثر زیرسیستم های فرعی فعال یا نصب نمی شوند. این کار به دلایل امنیتی انجام می شود. از آنجایی که سیستم به طور پیش فرض ایمن است، مدیران سیستم می توانند روی طراحی سیستمی تمرکز کنند که دقیقاً وظایف مورد نظر خود را انجام دهد و نه چیز دیگری. برای کمک به فعال کردن ویژگی‌های مورد نیاز، ویندوز از شما می‌خواهد که یک نقش سرور را انتخاب کنید.

نقش ها

نقش سرور مجموعه‌ای از برنامه‌ها است که وقتی به درستی نصب و پیکربندی شوند، به رایانه اجازه می‌دهند تا عملکرد خاصی را برای چندین کاربر یا رایانه‌های دیگر در یک شبکه انجام دهد. به طور کلی همه نقش ها دارای ویژگی های زیر هستند.

  • آنها عملکرد، هدف یا هدف اصلی استفاده از کامپیوتر را تعریف می کنند. می‌توانید رایانه‌ای را برای اجرای یک نقش که به‌شدت در شرکت شما استفاده می‌شود، یا اگر هر یک از آن‌ها فقط گاهی استفاده می‌شود، تعیین کنید.
  • نقش‌ها به کاربران سراسر سازمان شما دسترسی به منابعی را که توسط رایانه‌های دیگر مدیریت می‌شوند، مانند وب‌سایت‌ها، چاپگرها یا فایل‌های ذخیره شده در رایانه‌های مختلف، می‌دهد.
  • آنها معمولاً پایگاه داده های خود را دارند که درخواست های کاربر یا رایانه را در صف قرار می دهند یا اطلاعات مربوط به کاربران شبکه و رایانه های مرتبط با نقش را ضبط می کنند. به عنوان مثال، Active Directory Domain Services شامل یک پایگاه داده برای ذخیره نام و روابط سلسله مراتبی همه رایانه های موجود در یک شبکه است.
  • پس از نصب و پیکربندی صحیح، نقش ها به طور خودکار عمل می کنند. این به رایانه هایی که روی آنها نصب شده اند اجازه می دهد تا وظایف محول شده را با تعامل محدود با کاربر انجام دهند.

خدمات نقش

سرویس های نقش برنامه هایی هستند که عملکرد نقش را ارائه می دهند. وقتی نقشی را نصب می‌کنید، می‌توانید انتخاب کنید که چه خدماتی به سایر کاربران و رایانه‌های موجود در سازمان ارائه می‌کند. برخی از نقش ها، مانند سرور DNS، تنها یک عملکرد را انجام می دهند، بنابراین هیچ سرویس نقشی برای آنها وجود ندارد. نقش‌های دیگر، مانند سرویس‌های دسکتاپ از راه دور، دارای چندین سرویس هستند که بسته به نیازهای کسب و کار شما به دسترسی از راه دور قابل نصب هستند. یک نقش را می توان به عنوان مجموعه ای از خدمات نقش مکمل و نزدیک مرتبط در نظر گرفت. در بیشتر موارد، نصب یک نقش به معنای نصب یک یا چند سرویس آن است.

اجزاء

مؤلفه‌ها برنامه‌هایی هستند که مستقیماً بخشی از نقش‌ها نیستند، اما بدون توجه به اینکه کدام نقش‌ها نصب شده‌اند، عملکرد یک یا چند نقش یا کل سرور را پشتیبانی یا گسترش می‌دهند. به عنوان مثال، ویژگی Failover Cluster، عملکرد نقش‌های دیگر مانند File Services و DHCP Server را با امکان پیوستن به خوشه‌های سرور گسترش می‌دهد و افزونگی و کارایی را افزایش می‌دهد. مؤلفه دیگر، Telnet Client، ارتباط راه دور با سرور Telnet را از طریق اتصال شبکه فراهم می کند. این ویژگی قابلیت های ارتباطی سرور را افزایش می دهد.

هنگامی که Windows Server در حالت Server Core اجرا می شود، نقش های سرور زیر پشتیبانی می شوند:

  • خدمات گواهی اکتیو دایرکتوری؛
  • خدمات دامنه اکتیو دایرکتوری؛
  • سرور DHCP؛
  • سرور DNS؛
  • خدمات فایل (از جمله مدیر منابع سرور فایل)؛
  • Active Directory Lightweight Directory Services;
  • Hyper-V;
  • خدمات چاپ و اسناد؛
  • خدمات پخش رسانه ای؛
  • وب سرور (شامل زیر مجموعه ای از ASP.NET)؛
  • سرور به روز رسانی ویندوز سرور;
  • سرور مدیریت حقوق Active Directory;
  • سرور مسیریابی و دسترسی از راه دور و نقش های فرعی زیر:
    • کارگزار اتصال خدمات دسکتاپ از راه دور.
    • صدور مجوز؛
    • مجازی سازی

هنگامی که Windows Server در حالت Server Core اجرا می شود، اجزای سرور زیر پشتیبانی می شوند:

  • Microsoft .NET Framework 3.5;
  • Microsoft .NET Framework 4.5;
  • Windows PowerShell؛
  • سرویس انتقال هوشمند پس زمینه (BITS)؛
  • رمزگذاری دیسک BitLocker؛
  • باز کردن قفل شبکه BitLocker؛
  • BranchCache
  • پل مرکز داده؛
  • ذخیره سازی پیشرفته؛
  • خوشه بندی شکست خورده؛
  • ورودی/خروجی چند مسیری؛
  • تعادل بار شبکه؛
  • پروتکل PNRP؛
  • qWave;
  • فشرده سازی دیفرانسیل از راه دور؛
  • خدمات ساده TCP/IP؛
  • RPC از طریق پروکسی HTTP.
  • سرور SMTP؛
  • سرویس SNMP؛
  • مشتری شبکه راه دور؛
  • سرور Telnet;
  • کلاینت TFTP؛
  • پایگاه داده داخلی ویندوز؛
  • Windows PowerShell Web Access;
  • سرویس فعال سازی ویندوز؛
  • مدیریت استاندارد ذخیره سازی ویندوز؛
  • پسوند IIS WinRM؛
  • سرور WINS؛
  • پشتیبانی از WoW64

نصب نقش های سرور با استفاده از مدیر سرور

برای افزودن، Server Manager را باز کنید و در منوی Manage روی Add Roles and features کلیک کنید:

جادوگر افزودن نقش ها و ویژگی ها باز می شود. روی Next کلیک کنید

نوع نصب، نصب مبتنی بر نقش یا ویژگی را انتخاب کنید. بعد:

انتخاب سرور - سرور ما را انتخاب کنید. روی نقش‌های سرور بعدی کلیک کنید - نقش‌ها را انتخاب کنید، در صورت لزوم، سرویس‌های نقش را انتخاب کنید و برای انتخاب مؤلفه‌ها روی Next کلیک کنید. در طی این روش، جادوگر افزودن نقش‌ها و ویژگی‌ها به‌طور خودکار به شما اطلاع می‌دهد که در سرور مقصد تداخلی وجود داشته باشد که ممکن است نقش‌ها یا ویژگی‌های انتخاب‌شده را از نصب یا عملکرد درست جلوگیری کند. همچنین از شما خواسته می‌شود که نقش‌ها، خدمات نقش‌ها و ویژگی‌هایی را که برای نقش‌ها یا ویژگی‌های انتخابی لازم است اضافه کنید.

نصب نقش ها با استفاده از PowerShell

Windows PowerShell را باز کنید، دستور Get-WindowsFeature را وارد کنید تا لیستی از نقش ها و ویژگی های موجود و نصب شده در سرور محلی را مشاهده کنید. نتایج این cmdlet شامل نام دستورات نقش ها و ویژگی هایی است که نصب شده و برای نصب در دسترس هستند.

برای مشاهده نحو و پارامترهای معتبر cmdlet Install-WindowsFeature (MAN) Get-Help Install-WindowsFeature را تایپ کنید.

دستور زیر را وارد کنید (در صورت نیاز به راه اندازی مجدد هنگام نصب نقش، سرور را Restart مجدداً راه اندازی می کند).

Install-WindowsFeature -Name -Restart

شرح نقش ها و خدمات نقش

تمام نقش ها و خدمات نقش در زیر توضیح داده شده است. بیایید به پیکربندی پیشرفته برای رایج ترین موارد در عمل خود نگاه کنیم: نقش وب سرور و خدمات دسکتاپ از راه دور

توضیحات مفصل IIS

  • ویژگی های رایج HTTP - اجزای اصلی HTTP
    • سند پیش فرض - به شما امکان می دهد یک صفحه فهرست برای سایت تنظیم کنید.
    • مرور دایرکتوری - به کاربران اجازه می دهد محتویات یک فهرست را در یک وب سرور ببینند. هنگامی که کاربران فایلی را در URL مشخص نمی‌کنند و صفحه فهرست غیرفعال یا پیکربندی نشده است، از مرور دایرکتوری برای ایجاد خودکار فهرستی از همه فهرست‌ها و فایل‌های موجود در یک فهرست استفاده کنید.
    • خطاهای HTTP - به شما امکان می دهد پیام های خطای بازگردانده شده به مشتریان را در مرورگر پیکربندی کنید.
    • محتوای استاتیک - به شما امکان می دهد محتوای ثابت، به عنوان مثال، تصاویر یا فایل های html را پست کنید.
    • HTTP Redirection - پشتیبانی از تغییر مسیر درخواست های کاربر را فراهم می کند.
    • WebDAV Publishing به شما امکان می دهد فایل ها را از یک وب سرور با استفاده از پروتکل HTTP منتشر کنید.
  • ویژگی های سلامت و تشخیص - اجزای تشخیصی
    • HTTP Logging گزارش فعالیت وب سایت را برای یک سرور معین فراهم می کند.
    • ثبت گزارش سفارشی از ایجاد گزارش‌های سفارشی متفاوت از گزارش‌های «سنتی» پشتیبانی می‌کند.
    • Logging Tools زیرساختی را برای مدیریت گزارش‌های وب سرور و خودکار کردن کارهای معمول گزارش‌گیری فراهم می‌کند.
    • ODBC Logging زیرساختی را فراهم می کند که از ثبت فعالیت وب سرور در یک پایگاه داده سازگار با ODBC پشتیبانی می کند.
    • Request Monitor زیرساختی برای نظارت بر سلامت برنامه های کاربردی وب با جمع آوری اطلاعات در مورد درخواست های HTTP در فرآیند IIS worker فراهم می کند.
    • Tracing چارچوبی برای تشخیص و عیب یابی برنامه های کاربردی وب فراهم می کند. با استفاده از ردیابی درخواست ناموفق، می‌توانید رویدادهایی را که به سختی ضبط می‌شوند مانند عملکرد ضعیف یا خرابی‌های احراز هویت ردیابی کنید.
  • اجزای عملکرد عملکرد وب سرور را افزایش می دهد.
    • فشرده سازی محتوای استاتیک زیرساختی را برای تنظیم فشرده سازی HTTP محتوای ایستا فراهم می کند
    • فشرده‌سازی محتوای پویا زیرساختی را برای تنظیم فشرده‌سازی HTTP محتوای پویا فراهم می‌کند.
  • اجزای امنیتی امنیتی
    • Request Filtering به شما امکان می دهد تمام درخواست های دریافتی را ضبط کرده و آنها را بر اساس قوانین تنظیم شده توسط مدیر فیلتر کنید.
    • احراز هویت پایه به شما امکان می دهد مجوزهای اضافی را تنظیم کنید
    • پشتیبانی از گواهی SSL متمرکز قابلیتی است که به شما امکان می دهد گواهی ها را در یک مکان متمرکز مانند اشتراک فایل ذخیره کنید.
    • تأیید اعتبار نقشه‌برداری گواهی مشتری از گواهی‌های مشتری برای احراز هویت کاربران استفاده می‌کند.
    • Digest Authentication با ارسال هش رمز عبور به کنترل کننده دامنه ویندوز برای احراز هویت کاربران کار می کند. اگر به سطح امنیتی بالاتری نسبت به احراز هویت معمولی نیاز دارید، از احراز هویت Digest استفاده کنید
    • IIS Client Certificate Mapping Authentication از گواهی های سرویس گیرنده برای احراز هویت کاربران استفاده می کند. گواهی مشتری یک شناسه دیجیتالی است که از یک منبع قابل اعتماد بدست می آید.
    • IP and Domain Restrictions به شما امکان می دهد بر اساس آدرس IP یا نام دامنه درخواستی، دسترسی را مجاز یا رد کنید.
    • مجوز URL به شما امکان می دهد قوانینی ایجاد کنید که دسترسی به محتوای وب را محدود می کند.
    • Windows Authentication این طرح احراز هویت به مدیران دامنه ویندوز اجازه می دهد تا از زیرساخت دامنه برای احراز هویت کاربران استفاده کنند.
  • توسعه برنامه ویژگی های اجزای توسعه برنامه
  • سرور FTP
    • سرویس FTP انتشار FTP را در سرور وب فعال می کند.
    • توسعه پذیری FTP شامل پشتیبانی از توابع FTP است که قابلیت های FTP را گسترش می دهد
  • ابزارهای مدیریتی
    • کنسول مدیریت IIS IIS Manager را نصب می کند که به شما امکان می دهد وب سرور را از طریق یک رابط گرافیکی مدیریت کنید
    • سازگاری مدیریت IIS 6.0 سازگاری رو به جلو را برای برنامه‌ها و اسکریپت‌هایی که از APIهای Admin Base Object (ABO) و Active Directory Service Interface (ADSI) استفاده می‌کنند، فراهم می‌کند. این اجازه می دهد تا اسکریپت های IIS 6.0 موجود توسط وب سرور IIS 8.0 استفاده شود
    • اسکریپت ها و ابزارهای مدیریت IIS زیرساختی را برای مدیریت وب سرور IIS به صورت برنامه نویسی، با استفاده از دستورات در پنجره Command Prompt یا اجرای اسکریپت ها فراهم می کنند.
    • مدیریت خدمات زیرساختی را برای پیکربندی رابط کاربری مدیر IIS فراهم می کند.

توضیحات مفصل RDS

  • Remote Desktop Connection Broker - اتصال مجدد دستگاه مشتری به برنامه های مبتنی بر جلسات رایانه رومیزی و دسکتاپ مجازی را فراهم می کند.
  • دروازه دسکتاپ از راه دور - به کاربران مجاز اجازه می دهد تا به دسکتاپ مجازی، برنامه های RemoteApp و دسکتاپ های مبتنی بر جلسه در یک شبکه شرکتی یا از طریق اینترنت متصل شوند.
  • مجوز دسکتاپ از راه دور - ابزار مدیریت مجوز RDP
  • میزبان جلسه دسکتاپ از راه دور - سرور را قادر می سازد تا برنامه های RemoteApp یا یک جلسه مبتنی بر دسکتاپ را میزبانی کند.
  • میزبان مجازی سازی دسکتاپ از راه دور - به شما امکان می دهد RDP را در ماشین های مجازی پیکربندی کنید
  • دسترسی به وب دسکتاپ از راه دور - به کاربران امکان می دهد با استفاده از منوی استارت یا یک مرورگر وب به منابع دسکتاپ متصل شوند.

بیایید نصب و پیکربندی سرور مجوز ترمینال را بررسی کنیم. در بالا نحوه نصب نقش ها را توضیح می دهد، نصب RDS هیچ تفاوتی با نصب نقش های دیگر ندارد؛ در Role Services باید Remote Desktop Licensing و Remote Desktop Session Host را انتخاب کنیم. پس از نصب، مورد Terminal Services در Server Manager-Tools ظاهر می شود. Terminal Services دارای دو مورد است: RD Licensing Diagnoser که یک ابزار تشخیصی برای صدور مجوز از راه دور دسکتاپ است و Remote Desktop Licensing Manager که یک ابزار مدیریت مجوز است.

بیایید RD Licensing Diagnoster را راه اندازی کنیم

در اینجا می بینیم که هنوز مجوزی در دسترس نیست زیرا حالت مجوز برای سرور میزبان جلسه از راه دور دسکتاپ تنظیم نشده است. سرور مجوز در خط مشی های گروه محلی مشخص شده است. برای راه اندازی ویرایشگر، دستور gpedit.msc را اجرا کنید. ویرایشگر خط مشی گروه محلی باز می شود. در درخت سمت چپ، اجازه دهید برگه ها را باز کنیم:

  • پیکربندی کامپیوتر
  • قالب اداری
  • اجزای ویندوز
  • "خدمات دسکتاپ از راه دور"
  • "میزبان جلسه از راه دور دسکتاپ"
  • "مجوز"

باز کردن پارامترها از سرورهای مجوز دسکتاپ راه دور مشخص شده استفاده کنید

در پنجره ویرایش تنظیمات خط مشی، سرور صدور مجوز (فعال) را فعال کنید. در مرحله بعد، باید سرور صدور مجوز برای خدمات دسکتاپ از راه دور را تعیین کنید. در مثال من، سرور مجوز در همان سرور فیزیکی قرار دارد. نام شبکه یا آدرس IP سرور لایسنس را مشخص کنید و روی OK کلیک کنید. اگر در آینده نام سرور را تغییر دهید، سرور مجوز باید در همان بخش تغییر کند.

پس از این، در RD Licensing Diagnoser می توانید ببینید که سرور مجوز ترمینال پیکربندی شده است، اما فعال نیست. برای فعال کردن، Remote Desktop Licensing Manager را راه اندازی کنید

یک سرور مجوز با وضعیت فعال نشده انتخاب کنید. برای فعال سازی روی آن کلیک راست کرده و گزینه Activate Server را انتخاب کنید. جادوگر فعال سازی سرور راه اندازی می شود. در تب Connection Method، Automatic Connection را انتخاب کنید. در مرحله بعد، اطلاعات مربوط به سازمان را پر کنید و پس از آن سرور مجوز فعال می شود.

خدمات گواهی اکتیو دایرکتوری

AD CS خدمات قابل سفارشی سازی را برای صدور و مدیریت گواهی های دیجیتال مورد استفاده در سیستم های امنیتی نرم افزاری که از فناوری های کلید عمومی استفاده می کنند، ارائه می دهد. گواهی‌های دیجیتال ارائه‌شده توسط AD CS می‌توانند برای رمزگذاری و امضای دیجیتالی اسناد و پیام‌های الکترونیکی استفاده شوند. از این گواهی‌های دیجیتال می‌توان برای تأیید صحت حساب‌های رایانه، کاربر و دستگاه در سراسر شبکه استفاده کرد. گواهی‌های دیجیتال برای اطمینان از:

  • حفظ حریم خصوصی از طریق رمزگذاری؛
  • یکپارچگی با استفاده از امضای دیجیتال؛
  • احراز هویت با مرتبط کردن کلیدهای گواهی با حساب های رایانه، کاربر و دستگاه در شبکه.

AD CS می تواند برای بهبود امنیت با مرتبط کردن هویت کاربر، دستگاه یا سرویس با یک کلید خصوصی مربوطه استفاده شود. کاربردهایی که توسط AD CS پشتیبانی می‌شوند شامل برنامه‌های افزودنی ایمیل چند منظوره اینترنتی (S/MIME)، شبکه‌های بی‌سیم امن، شبکه‌های خصوصی مجازی (VPN)، IPsec، سیستم فایل رمزگذاری (EFS)، ورود به کارت هوشمند، امنیت انتقال داده و پروتکل امنیتی لایه انتقال ( SSL/TLS) و امضای دیجیتال.

خدمات دامنه اکتیو دایرکتوری

با استفاده از نقش سرور Active Directory Domain Services (AD DS)، می توانید یک زیرساخت مقیاس پذیر، ایمن و مدیریت شده برای مدیریت کاربران و منابع ایجاد کنید. همچنین می‌توانید از برنامه‌های دایرکتوری آگاه مانند Microsoft Exchange Server پشتیبانی کنید. Active Directory Domain Services یک پایگاه داده توزیع شده را فراهم می کند که اطلاعات مربوط به منابع شبکه و داده های برنامه فعال شده با دایرکتوری را ذخیره و مدیریت می کند. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود. مدیران می توانند از AD DS برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار تودرتو سلسله مراتبی استفاده کنند. ساختار تودرتو سلسله مراتبی شامل جنگل اکتیو دایرکتوری، دامنه های داخل جنگل و واحدهای سازمانی در هر دامنه است. ویژگی های امنیتی به شکل احراز هویت و کنترل دسترسی به منابع موجود در دایرکتوری در AD DS یکپارچه شده است. با یک ورود به سیستم شبکه، مدیران می توانند داده های دایرکتوری و سازماندهی را در سراسر شبکه مدیریت کنند. کاربران مجاز شبکه همچنین می‌توانند از یک ورود به سیستم شبکه برای دسترسی به منابعی که در هر نقطه از شبکه قرار دارند استفاده کنند. Active Directory Domain Services ویژگی های اضافی زیر را ارائه می دهد.

  • مجموعه قوانین طرحی است که کلاس‌ها و ویژگی‌های شی موجود در یک فهرست، محدودیت‌ها و محدودیت‌های نمونه‌های آن اشیاء و قالب نام آنها را تعریف می‌کند.
  • یک کاتالوگ جهانی که حاوی اطلاعاتی در مورد هر شیء در کاتالوگ است. کاربران و مدیران می توانند از کاتالوگ جهانی برای جستجوی داده های دایرکتوری استفاده کنند، صرف نظر از اینکه کدام دامنه در دایرکتوری واقعاً حاوی داده هایی است که به دنبال آن هستند.
  • یک موتور پرس و جو و نمایه سازی که از طریق آن می توان اشیاء و ویژگی های آنها را منتشر کرد و توسط کاربران و برنامه های کاربردی شبکه مکان یابی کرد.
  • یک سرویس تکرار که داده های دایرکتوری را در یک شبکه توزیع می کند. همه کنترل‌کننده‌های دامنه قابل نوشتن در دامنه در تکرار شرکت می‌کنند و یک کپی کامل از تمام داده‌های دایرکتوری را برای دامنه خود نگهداری می‌کنند. هر گونه تغییر در داده های دایرکتوری در سراسر دامنه به همه کنترل کننده های دامنه تکرار می شود.
  • نقش‌های اصلی عملیات (همچنین به عنوان عملیات منعطف تک اصلی یا FSMO شناخته می‌شود). کنترل‌کننده‌های دامنه، که به‌عنوان اصلی‌ترین عملیات‌ها عمل می‌کنند، برای انجام وظایف خاص برای اطمینان از سازگاری داده‌ها و حذف ورودی‌های دایرکتوری متضاد طراحی شده‌اند.

خدمات فدراسیون Active Directory

AD FS یک فدراسیون هویتی ساده و ایمن و قابلیت‌های یک ورود به سیستم مبتنی بر وب (SSO) را برای کاربران نهایی که نیاز به دسترسی به برنامه‌های کاربردی در یک شرکت، شریک فدراسیون یا ابر محافظت‌شده با AD FS دارند، فراهم می‌کند. در سرور ویندوز، AD FS شامل خدمات نقش فدراسیون خدماتی که به‌عنوان یک ارائه‌دهنده هویت عمل می‌کنند (کاربران را برای ارائه نشانه‌های امنیتی به برنامه‌هایی که به AD FS اعتماد دارند تأیید می‌کند) یا به‌عنوان یک ارائه‌دهنده فدراسیون (توکن‌هایی را از سایر ارائه‌دهندگان هویت اعمال می‌کند و سپس نشانه‌های امنیتی را برای برنامه‌هایی که به AD FS اعتماد دارند ارائه می‌کند).

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) یک پروتکل LDAP است که پشتیبانی انعطاف پذیری را برای برنامه های دایرکتوری بدون وابستگی ها و محدودیت های دامنه خدمات دامنه Active Directory ارائه می دهد. AD LDS را می توان بر روی سرورهای عضو یا مستقل اجرا کرد. می توانید چندین نمونه از AD LDS را روی یک سرور واحد با طرحواره های مدیریت شده مستقل اجرا کنید. با استفاده از نقش سرویس AD LDS، می‌توانید خدمات دایرکتوری را به برنامه‌های کاربردی آگاه از دایرکتوری بدون سربار دامنه‌ها و جنگل‌ها و بدون نیاز به یک طرح کلی جنگلی ارائه دهید.

خدمات مدیریت حقوق Active Directory

AD RMS می تواند برای ارتقای استراتژی امنیتی سازمان با حفاظت از اسناد با استفاده از مدیریت حقوق اطلاعات (IRM) استفاده شود. AD RMS به کاربران و مدیران اجازه می‌دهد تا با استفاده از خط‌مشی‌های IRM، مجوزهای دسترسی را به اسناد، کتاب‌های کاری و ارائه‌ها اختصاص دهند. این به محافظت از اطلاعات محرمانه از چاپ، ارسال یا کپی توسط کاربران غیرمجاز کمک می کند. هنگامی که مجوزهای فایل با استفاده از IRM محدود می شوند، محدودیت های دسترسی و استفاده بدون توجه به مکان اطلاعات اعمال می شود زیرا مجوز فایل در خود فایل سند ذخیره می شود. با AD RMS و IRM، کاربران فردی می توانند ترجیحات شخصی خود را در مورد به اشتراک گذاری اطلاعات شخصی و حساس اعمال کنند. آنها همچنین به سازمان کمک خواهند کرد تا سیاست های شرکتی را برای کنترل استفاده و انتشار اطلاعات محرمانه و شخصی اعمال کند. راه حل های IRM پشتیبانی شده توسط سرویس های AD RMS برای ارائه قابلیت های زیر استفاده می شود.

  • خط‌مشی‌های استفاده دائمی که بدون توجه به انتقال، ارسال یا بازارسال، همراه با اطلاعات باقی می‌مانند.
  • یک لایه اضافی از حریم خصوصی برای محافظت از داده های حساس - مانند گزارش ها، مشخصات محصول، اطلاعات مشتری و پیام های ایمیل - در برابر افتادن به دست افراد نادرست، عمدی یا تصادفی.
  • از ارسال، کپی، اصلاح، چاپ، فکس، یا چسباندن غیرمجاز محتوای محدود شده توسط گیرندگان مجاز جلوگیری کنید.
  • با استفاده از ویژگی PRINT SCREEN در Microsoft Windows از کپی محتوای محدود شده جلوگیری کنید.
  • پشتیبانی از انقضای فایل، که از مشاهده محتویات اسناد پس از مدت زمان مشخص جلوگیری می کند.
  • اجرای سیاست های سازمانی که بر استفاده و توزیع محتوا در سازمان حاکم است

برنامه ی سرور

Application Server یک محیط یکپارچه برای استقرار و اجرای برنامه های تجاری مبتنی بر سرور سفارشی فراهم می کند.

سرور DHCP

DHCP یک فناوری سرویس گیرنده-سرور است که در آن سرورهای DHCP می‌توانند آدرس‌های IP را به رایانه‌ها و سایر دستگاه‌هایی که کلاینت‌های DHCP هستند اختصاص یا اجاره دهند. استقرار سرورهای DHCP در یک شبکه به‌طور خودکار رایانه‌های کلاینت و سایر دستگاه‌های شبکه مبتنی بر آدرس‌های IP معتبر IPv4 و IPv6 را فراهم می‌کند. پارامترهای پیکربندی اضافی مورد نیاز این کلاینت ها و دستگاه ها.سرویس سرور DHCP در سرور ویندوز شامل پشتیبانی از تکالیف مبتنی بر خط مشی و مدیریت خرابی DHCP است.

سرور DNS

سرویس DNS یک پایگاه داده سلسله مراتبی و توزیع شده است که شامل نگاشت نام دامنه های DNS به انواع مختلف داده ها، مانند آدرس های IP می باشد. DNS به شما امکان می دهد از نام های دوستانه مانند www.microsoft.com استفاده کنید تا مکان یابی رایانه ها و سایر منابع را در شبکه های مبتنی بر TCP/IP آسان تر کنید. Windows Server DNS پشتیبانی اضافی و پیشرفته ای را برای DNS Security Extensions (DNSSEC)، از جمله ثبت نام آنلاین و مدیریت تنظیمات خودکار ارائه می دهد.

سرور فکس

سرور فکس فکس ها را ارسال و دریافت می کند و همچنین به شما امکان مدیریت منابع فکس مانند مشاغل، تنظیمات، گزارش ها و دستگاه های فکس را در سرور فکس خود می دهد.

خدمات فایل و ذخیره سازی

مدیران می‌توانند از نقش سرویس‌های فایل و ذخیره‌سازی برای پیکربندی چندین سرور فایل و ذخیره‌سازی آنها و مدیریت آن سرورها با استفاده از Server Manager یا Windows PowerShell استفاده کنند. برخی از برنامه های خاص شامل ویژگی های زیر هستند.

  • پوشه های کاری برای اجازه دادن به کاربران برای ذخیره و دسترسی به فایل‌های کاری در رایانه‌های شخصی و دستگاه‌هایی غیر از رایانه‌های شخصی شرکتی استفاده کنید. کاربران مکانی مناسب برای ذخیره فایل‌های کاری و دسترسی به آن‌ها از هر کجا دریافت می‌کنند. سازمان‌ها با ذخیره‌سازی فایل‌ها در سرورهای فایل با مدیریت مرکزی و تنظیم اختیاری خط‌مشی‌های دستگاه کاربر (مانند رمزگذاری و رمزهای عبور قفل صفحه)، داده‌های شرکت را کنترل می‌کنند.
  • حذف داده ها استفاده برای کاهش فضای دیسک مورد نیاز برای ذخیره فایل ها، صرفه جویی در هزینه های ذخیره سازی.
  • سرور هدف iSCSI برای ایجاد زیرسیستم‌های دیسک iSCSI متمرکز، نرم‌افزار و مستقل از سخت‌افزار در شبکه‌های منطقه ذخیره‌سازی (SAN) استفاده کنید.
  • فضاهای دیسک برای استقرار فضای ذخیره‌سازی بسیار در دسترس که با استفاده از دیسک‌های مقرون‌به‌صرفه و استاندارد صنعتی انعطاف‌پذیر و مقیاس‌پذیر است، استفاده کنید.
  • مدیر سرور. برای مدیریت از راه دور چندین سرور فایل از یک پنجره استفاده کنید.
  • Windows PowerShell. برای مدیریت خودکار اکثر وظایف مدیریت فایل سرور استفاده کنید.

Hyper-V

نقش Hyper-V به شما امکان می دهد با استفاده از فناوری مجازی سازی که در ویندوز سرور تعبیه شده است، یک محیط محاسباتی مجازی ایجاد و مدیریت کنید. نصب نقش Hyper-V پیش نیازها و همچنین ابزارهای مدیریت اختیاری را نصب می کند. اجزای مورد نیاز عبارتند از هایپروایزر ویندوز، سرویس مدیریت ماشین های مجازی Hyper-V، ارائه دهنده مجازی سازی WMI و اجزای مجازی سازی مانند VMbus، ارائه دهنده خدمات مجازی سازی (VSP) و درایور زیرساخت مجازی (VID).

خط مشی شبکه و خدمات دسترسی

Network Policy and Access Services راه حل های زیر را برای اتصالات شبکه ارائه می دهد:

  • حفاظت از دسترسی به شبکه یک فناوری برای ایجاد، اجرا و تعمیر سیاست های سلامت مشتری است. با محافظت از دسترسی به شبکه، مدیران سیستم می‌توانند خط‌مشی‌های بهداشتی را که شامل الزامات نرم‌افزار، به‌روزرسانی‌های امنیتی و سایر تنظیمات می‌شود، تنظیم کرده و به‌طور خودکار اعمال کنند. کامپیوترهای سرویس گیرنده‌ای که الزامات خط‌مشی سلامت را برآورده نمی‌کنند، می‌توانند دسترسی به شبکه را محدود کنند تا زمانی که پیکربندی آنها برای برآورده کردن الزامات خط‌مشی سلامت به‌روزرسانی شود.
  • اگر نقاط دسترسی بی سیم 802.1X را فعال کرده اید، می توانید از سرور سیاست شبکه (NPS) برای استقرار روش های احراز هویت مبتنی بر گواهی استفاده کنید، که از احراز هویت مبتنی بر رمز عبور ایمن تر هستند. استقرار سخت افزار 802.1X با یک سرور NPS به کاربران اینترانت اجازه می دهد تا قبل از اتصال به شبکه یا دریافت آدرس IP از سرور DHCP احراز هویت شوند.
  • به جای پیکربندی یک خط مشی دسترسی به شبکه در هر سرور دسترسی به شبکه، می‌توانید به طور متمرکز تمام خط‌مشی‌هایی را ایجاد کنید که تمام جنبه‌های درخواست‌های اتصال شبکه را تعریف می‌کنند (چه کسی می‌تواند متصل شود، زمانی که اتصال مجاز است، سطح امنیتی که باید برای اتصال به شبکه استفاده شود. شبکه).

خدمات چاپ و اسناد

خدمات چاپ و سند به شما امکان می دهد وظایف سرور چاپ و چاپگر شبکه را متمرکز کنید. این نقش همچنین به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کنید و اسناد را در اشتراک گذاری های شبکه مانند یک سایت Windows SharePoint Services یا از طریق ایمیل آپلود کنید.

دسترسی از راه دور

نقش سرور دسترسی از راه دور یک گروه بندی منطقی از فناوری های دسترسی به شبکه زیر است.

  • دسترسی مستقیم
  • مسیریابی و دسترسی از راه دور
  • پروکسی برنامه وب

این فناوری ها هستند خدمات نقشنقش های سرور دسترسی از راه دور هنگامی که نقش سرور دسترسی از راه دور را نصب می کنید، می توانید یک یا چند سرویس نقش را با اجرای جادوگر افزودن نقش ها و ویژگی ها نصب کنید.

در سرور ویندوز، نقش سرور دسترسی از راه دور توانایی مدیریت، پیکربندی و نظارت بر خدمات دسترسی از راه دور DirectAccess و VPN با سرویس مسیریابی و دسترسی از راه دور (RRAS) را به صورت مرکزی فراهم می کند. DirectAccess و RRAS را می توان در یک سرور لبه مستقر کرد و با استفاده از دستورات Windows PowerShell و کنسول مدیریت دسترسی از راه دور (MMC) مدیریت کرد.

خدمات دسکتاپ از راه دور

خدمات دسکتاپ از راه دور استقرار دسکتاپ ها و برنامه ها را بر روی هر دستگاهی تسریع و گسترش می دهد، بهره وری کارگران از راه دور را افزایش می دهد و در عین حال مالکیت معنوی حیاتی را ایمن می کند و انطباق با مقررات را ساده می کند. خدمات دسکتاپ از راه دور شامل زیرساخت دسکتاپ مجازی (VDI)، دسکتاپ مبتنی بر جلسه و برنامه‌ها است که به کاربران امکان کار از هر کجا را می‌دهد.

خدمات فعال سازی حجم

Volume Activation Services یک نقش سرور در Windows Server است که در Windows Server 2012 شروع می شود و صدور و مدیریت مجوزهای حجم را برای نرم افزار مایکروسافت در سناریوها و محیط های مختلف به طور خودکار و ساده می کند. همراه با Volume Activation Services، می توانید سرویس مدیریت کلید (KMS) و فعال سازی Active Directory را نصب و پیکربندی کنید.

وب سرور (IIS)

نقش وب سرور (IIS) در سرور ویندوز بستری را برای میزبانی وب سایت ها، سرویس ها و برنامه ها فراهم می کند. استفاده از وب سرور اطلاعات را در اینترنت، اینترانت و اکسترانت در اختیار کاربران قرار می دهد. مدیران می توانند از نقش وب سرور (IIS) برای پیکربندی و مدیریت چندین وب سایت، برنامه های کاربردی وب و سایت های FTP استفاده کنند. ویژگی های دسترسی شامل موارد زیر است.

  • از Internet Information Services Manager برای پیکربندی اجزای IIS و مدیریت وب سایت ها استفاده کنید.
  • از FTP استفاده می کند تا به صاحبان وب سایت اجازه ارسال و دانلود فایل ها را بدهد.
  • از جداسازی وب‌سایت برای جلوگیری از تأثیرگذاری یک وب‌سایت روی سرور روی دیگران استفاده کنید.
  • سفارشی سازی برنامه های کاربردی وب که با استفاده از فناوری های مختلف مانند کلاسیک ASP، ASP.NET و PHP توسعه یافته اند.
  • از Windows PowerShell برای مدیریت خودکار اکثر وظایف مدیریت وب سرور استفاده کنید.
  • چندین وب سرور را در یک مزرعه سرور که می توان با استفاده از IIS مدیریت کرد، ترکیب کنید.

Windows Deployment Services

Windows Deployment Services به شما این امکان را می دهد که سیستم عامل های ویندوز را بر روی یک شبکه مستقر کنید، به این معنی که لازم نیست هر سیستم عامل را مستقیماً از روی CD یا DVD نصب کنید.

Windows Server Essentials Experience

این نقش به شما امکان می دهد وظایف زیر را حل کنید:

  • با ایجاد نسخه های پشتیبان از سرور و تمام رایانه های مشتری در شبکه، از داده های سرور و مشتری محافظت کنید.
  • مدیریت کاربران و گروه های کاربری از طریق داشبورد سرور ساده شده. علاوه بر این، ادغام با Windows Azure Active Directory *دسترسی آسان به خدمات آنلاین مایکروسافت آنلاین (مانند Office 365، Exchange Online، و SharePoint Online) را با استفاده از اعتبار دامنه خود به کاربران ارائه می دهد.
  • ذخیره اطلاعات شرکت در یک مکان متمرکز؛
  • سرور را با خدمات آنلاین مایکروسافت (مانند Office 365، Exchange Online، SharePoint Online و Windows Intune) یکپارچه کنید:
  • برای دسترسی به سرور، رایانه‌های شبکه و داده‌ها از مکان‌های راه دور با درجه بالایی از امنیت، از ویژگی‌های دسترسی همه جا در سرور (به عنوان مثال، دسترسی به وب از راه دور و شبکه‌های خصوصی مجازی) استفاده کنید.
  • دسترسی به داده ها از هر جا و از هر دستگاهی با استفاده از پورتال وب خود سازمان (از طریق دسترسی به وب از راه دور).
  • دستگاه های تلفن همراهی را که با استفاده از Office 365 از طریق پروتکل Active Sync از داشبورد به ایمیل سازمان شما دسترسی دارند، مدیریت کنید.
  • نظارت بر سلامت شبکه و دریافت گزارش های سلامت سفارشی؛ گزارش ها را می توان در صورت تقاضا تولید کرد، سفارشی کرد و برای گیرندگان خاص ایمیل کرد.

سرویس های به روز رسانی سرور ویندوز

سرور WSUS اجزایی را که مدیران برای مدیریت و توزیع به‌روزرسانی‌ها از طریق کنسول مدیریت نیاز دارند، فراهم می‌کند. علاوه بر این، سرور WSUS می تواند منبع به روز رسانی سایر سرورهای WSUS در سازمان باشد. هنگامی که WSUS را پیاده سازی می کنید، حداقل یک سرور WSUS در شبکه شما باید به Microsoft Update متصل باشد تا اطلاعات مربوط به به روز رسانی های موجود را دریافت کند. بسته به امنیت شبکه و پیکربندی، سرپرست شما می‌تواند تعیین کند که چند سرور دیگر مستقیماً به Microsoft Update متصل هستند.

معرفی

با افزایش تعداد رایانه ها در یک شرکت، مسئله هزینه مدیریت و نگهداری آن به طور فزاینده ای حاد می شود. تنظیم دستیکامپیوترها زمان و نیروی زیادی را از کارکنان می‌گیرد و با افزایش تعداد رایانه‌ها، تعداد پرسنل خدمت‌رسان به آنها را افزایش می‌دهد. علاوه بر این، با تعداد زیادی ماشین، اطمینان از انطباق با استانداردهای سفارشی سازی اتخاذ شده توسط شرکت به طور فزاینده ای دشوار می شود. Group Policy یک ابزار جامع است مدیریت متمرکزکامپیوترهایی که ویندوز 2000 و بالاتر را در دامنه اکتیو دایرکتوری دارند. خط‌مشی‌های گروه برای رایانه‌هایی که ویندوز NT4/9x دارند اعمال نمی‌شود: آنها توسط System Policy کنترل می‌شوند که در این مقاله مورد بحث قرار نخواهد گرفت.

اشیاء خط مشی گروه

تمام تنظیماتی که در Group Policies ایجاد می کنید در Group Policy Objects (GPOs) ذخیره می شود. دو نوع GPO وجود دارد: GPO های محلی و GPO های Active Directory. یک شیء خط مشی گروه محلی در رایانه های دارای ویندوز 2000 و بالاتر در دسترس است. فقط یک مورد می تواند وجود داشته باشد و این تنها GPO است که می تواند روی یک کامپیوتر غیر دامنه باشد.

Group Policy Object نام کلی مجموعه ای از فایل ها، دایرکتوری ها و ورودی ها در پایگاه داده Active Directory (اگر یک شی محلی نباشد) است که تنظیمات شما را ذخیره می کند و تعیین می کند چه تنظیمات دیگری را می توانید با استفاده از Group Policies تغییر دهید. هنگامی که یک خط مشی ایجاد می کنید، اساساً در حال ایجاد و اصلاح یک GPO هستید. GPO محلی در %SystemRoot%\System32\GroupPolicy ذخیره می‌شود. GPO های Active Directory بر روی یک کنترل کننده دامنه ذخیره می شوند و می توانند با یک سایت، دامنه یا OU (واحد سازمانی) مرتبط شوند. اتصال یک شی محدوده آن را تعیین می کند. به طور پیش فرض، دو GPO در یک دامنه ایجاد می شود: Default Domain Policy و Default Domain Controller Policy. اولی خط مشی پیش فرض را برای گذرواژه ها و حساب های موجود در دامنه تعریف می کند. مورد دوم با Domain Controllers OU ارتباط برقرار می کند و تنظیمات امنیتی را برای کنترل کننده های دامنه افزایش می دهد.

یک GPO ایجاد کنید

برای ایجاد یک خط مشی (یعنی در واقع ایجاد یک شی سیاست گروهی جدید)، Active Directory Users & Computers را باز کنید و محل ایجاد یک شی جدید را انتخاب کنید. شما فقط می توانید یک GPO را به یک سایت، دامنه یا شی OU ایجاد و پیوند دهید.

برنج. 1. یک شیء Group Policy ایجاد کنید.

برای ایجاد یک GPO و مرتبط کردن آن، به عنوان مثال، با آزمایش کننده های OU، روی این OU کلیک راست کرده و ویژگی ها را در منوی زمینه انتخاب کنید. در پنجره Properties که باز می شود، تب Group Policy را باز کرده و روی New کلیک کنید.

برنج. 2. یک شیء Group Policy ایجاد کنید.

ما به شی GP یک نام می دهیم، پس از آن شی ایجاد می شود و می توانیم پیکربندی خط مشی را شروع کنیم. روی شی ایجاد شده دوبار کلیک کنید یا دکمه Edit را فشار دهید، پنجره ویرایشگر GPO باز می شود، جایی که می توانید پارامترهای خاصی از شی را پیکربندی کنید.

برنج. 3. شرح تنظیمات در تب Extended.

بسیاری از تنظیمات اصلی بصری هستند (و همچنین اگر تب Extended را باز کنید، توضیحی نیز دارند)، و ما به جزئیات هر کدام نخواهیم پرداخت. همانطور که در شکل دیده میشود. 3، GPO از دو بخش تشکیل شده است: پیکربندی رایانه و پیکربندی کاربر. تنظیمات پارتیشن اول در زمان بوت شدن ویندوز بر روی کامپیوترهای موجود در این کانتینر و پایین آن اعمال می شود (مگر اینکه وراثت غیرفعال باشد)، و بستگی به این ندارد که چه کاربری وارد شده است. تنظیمات در بخش دوم در هنگام ورود کاربر اعمال می شود.

نحوه اعمال اشیاء خط مشی گروه

هنگامی که کامپیوتر راه اندازی می شود، اقدامات زیر انجام می شود:

1. رجیستری خوانده می شود و مشخص می شود که کامپیوتر متعلق به کدام سایت است. درخواست شده است سرور DNSبه منظور به دست آوردن آدرس IP کنترل کننده های دامنه واقع در این سایت.
2. پس از دریافت آدرس ها، کامپیوتر به کنترل کننده دامنه متصل می شود.
3. کلاینت لیستی از اشیاء GP را از کنترل کننده دامنه درخواست می کند و آنها را اعمال می کند. دومی لیستی از اشیاء GP را به ترتیبی که باید اعمال شوند ارسال می کند.
4. هنگامی که کاربر وارد سیستم می شود، کامپیوتر دوباره لیستی از اشیاء GP را درخواست می کند تا برای کاربر اعمال شود، آنها را بازیابی کرده و اعمال می کند.

خط مشی های گروه هنگام بوت شدن سیستم عامل و زمانی که کاربر وارد سیستم می شود اعمال می شود. سپس هر 90 دقیقه، با تغییرات 30 دقیقه‌ای اعمال می‌شوند تا اطمینان حاصل شود که اگر درخواست‌های همزمان زیادی از سوی مشتریان وجود داشته باشد، کنترل‌کننده دامنه بارگذاری نمی‌شود. برای کنترلرهای دامنه، فاصله به روز رسانی 5 دقیقه است. می توانید این رفتار را در قسمت Computer Configuration\Administrative Templates\System\Group Policy تغییر دهید. GPO فقط می تواند بر روی رایانه و اشیاء کاربر تأثیر بگذارد. این خط‌مشی فقط برای اشیایی اعمال می‌شود که در شی دایرکتوری (سایت، دامنه، واحد سازمانی) که GPO به آنها مرتبط است و پایین‌تر در «درخت» قرار دارند (مگر اینکه وراثت ممنوع باشد). به عنوان مثال: یک GPO در آزمایش کننده های OU ایجاد می شود (همانطور که در بالا انجام دادیم).

برنج. 4. ارث بری تنظیمات.

تمام تنظیمات انجام شده در این GPO فقط بر روی کاربران و رایانه‌های مستقر در آزمایش‌کننده‌های OU و InTesters OU تأثیر می‌گذارد. بیایید با استفاده از یک مثال به روند اعمال سیاست ها نگاه کنیم. کاربر آزمایشی که در OU تسترها قرار دارد، به کامپیوتر کامپ واقع در compOU OU وارد می شود (شکل 5 را ببینید).

برنج. 5. رویه اعمال سیاست ها.

چهار GPO در یک دامنه وجود دارد:

1. SitePolicy مرتبط با ظرف سایت.
2. خط مشی پیش فرض دامنه مرتبط با کانتینر دامنه.
3. Policy1، مرتبط با تسترهای OU.
4. Policy2 مرتبط با OU compOU.

در بوت کردن ویندوزدر یک ایستگاه کاری کامپ، پارامترهای تعریف شده در بخش های پیکربندی کامپیوتر به ترتیب زیر اعمال می شوند:

1. تنظیمات GPO محلی.
2. تنظیمات GPO SitePolicy.

4. تنظیمات GPO Policy2.

هنگامی که تست کاربر به کامپیوتر وارد می شود - پارامترهای تعریف شده در بخش پیکربندی کاربر:

1. تنظیمات GPO محلی.
2. تنظیمات GPO SitePolicy.
3. پارامترهای خط مشی دامنه پیش فرض GPO.
4. تنظیمات GPO Policy1.

یعنی GPO ها به ترتیب زیر اعمال می شوند: سیاست های محلی، خط مشی های سطح سایت، خط مشی های سطح دامنه، خط مشی های سطح OU.

خط‌مشی‌های گروه به‌صورت ناهمزمان برای کلاینت‌های ویندوز XP اعمال می‌شوند، اما به‌طور همزمان برای کلاینت‌های ویندوز 2000، به این معنی که صفحه ورود کاربر تنها پس از اعمال همه خط‌مشی‌های رایانه ظاهر می‌شود و خط‌مشی‌های کاربر قبل از نمایش دسک‌تاپ اعمال می‌شوند. اجرای خط مشی ناهمزمان به این معنی است که صفحه ورود به سیستم کاربر قبل از اعمال تمام خط مشی های رایانه ظاهر می شود و دسکتاپ قبل از اعمال همه خط مشی های کاربر ظاهر می شود و در نتیجه زمان بوت و ورود سریعتر برای کاربر ایجاد می شود.
رفتار شرح داده شده در بالا در دو مورد تغییر می کند. اولین مورد این است که رایانه مشتری یک اتصال شبکه کند را شناسایی کرده است. به طور پیش فرض، فقط تنظیمات امنیتی و قالب های اداری در این مورد اعمال می شود. اتصال با پهنای باند کمتر از 500 کیلوبایت بر ثانیه کند در نظر گرفته می شود. می‌توانید این مقدار را در Computer Configuration\Administrative Templates\System\Group Policy\Group Policy در تشخیص پیوند کند تغییر دهید. همچنین در بخش Computer Configuration\Administrative Templates\System\Group Policy می‌توانید برخی تنظیمات سیاست دیگر را به گونه‌ای پیکربندی کنید که با اتصال آهسته پردازش شوند. راه دوم برای تغییر ترتیب اعمال خط مشی ها، گزینه User Group Policy Loopback processing است. این گزینه ترتیب پیش‌فرض اعمال سیاست‌ها را تغییر می‌دهد که در آن، سیاست‌های کاربر پس از خط‌مشی‌های رایانه اعمال می‌شوند و دومی را بازنویسی می‌کنند. می‌توانید گزینه Loopback را طوری تنظیم کنید که سیاست‌های ماشین بعد از خط‌مشی‌های کاربر اعمال شوند و هر خط‌مشی کاربر که با خط‌مشی‌های ماشین مغایرت دارد را بازنویسی کنید. پارامتر Loopback دارای 2 حالت است:

1. Merge - ابتدا خط مشی کامپیوتر اعمال می شود، سپس خط مشی کاربر و دوباره خط مشی کامپیوتر اعمال می شود. در این حالت، خط مشی کامپیوتر تنظیمات خط مشی کاربر را که با تنظیمات مربوط به خود در تناقض است جایگزین می کند.
2. جایگزین (جایگزین) - خط مشی کاربر پردازش نمی شود.

نمونه ای از استفاده از گزینه پردازش حلقه بازگشت سیاست گروه کاربر می تواند در یک رایانه عمومی باشد، جایی که شما می خواهید بدون توجه به اینکه کدام کاربری از آن استفاده می کند، همان تنظیمات محدود را داشته باشید.

تقدم، ارث و حل تعارض

همانطور که ممکن است متوجه شده باشید، GPO ها دارای تنظیمات یکسانی در همه سطوح هستند و یک تنظیمات را می توان به طور متفاوت در سطوح مختلف تعریف کرد. در این مورد، مقدار موثر آخرین مقدار اعمال شده خواهد بود (ترتیب اعمال GPO در بالا مورد بحث قرار گرفت). این قانون برای همه پارامترها به جز مواردی که به عنوان پیکربندی نشده تعریف شده اند اعمال می شود. برای اینها تنظیمات ویندوزاقدامی نمی کند اما یک استثنا وجود دارد: تمام تنظیمات حساب و رمز عبور را می توان فقط در سطح دامنه تعریف کرد؛ در سطوح دیگر این تنظیمات نادیده گرفته می شوند.

برنج. 6. کاربران و رایانه های Active Directory.

اگر چندین GPO در یک سطح وجود داشته باشد، آنها از پایین به بالا اعمال می شوند. با تغییر موقعیت یک شی سیاست در لیست (با استفاده از دکمه های بالا و پایین)، می توانید ترتیب مورد نیاز برنامه را انتخاب کنید.

برنج. 7. رویه اعمال سیاست ها.

گاهی اوقات شما می خواهید یک OU خاص تنظیمات خط مشی را از GPOهای مرتبط با کانتینرهای بالادست دریافت نکند. در این مورد، باید با علامت زدن کادر وراثت Block Policy، وراثت سیاست را ممنوع کنید. تمام تنظیمات خط مشی ارثی مسدود شده اند و هیچ راهی برای مسدود کردن تنظیمات فردی وجود ندارد. تنظیمات سطح دامنه که خط مشی رمز عبور و خط مشی حساب را تعریف می کنند، قفل نمی شوند.

برنج. 9. مسدود کردن وراثت سیاست ها.

اگر می خواهید تنظیمات خاصی در یک GPO داده شده رونویسی نشود، باید GPO مورد نظر را انتخاب کنید، روی دکمه Options کلیک کنید و No Override را انتخاب کنید. این گزینه تنظیمات GPO را مجبور می کند در جایی که وراثت خط مشی مسدود شده است اعمال شود. No Override در محلی که GPO با شی دایرکتوری مرتبط است تنظیم نمی شود، نه در خود GPO. اگر یک GPO با چندین کانتینر در یک دامنه مرتبط باشد، سایر پیوندها این تنظیم را به صورت خودکار پیکربندی نخواهند کرد. اگر No Override برای چندین پیوند در یک سطح پیکربندی شده باشد، GPO در بالای لیست اولویت (و اثر) خواهد داشت. با این حال، اگر تنظیمات No Override برای چندین GPO در سطوح مختلف پیکربندی شود، تنظیمات برای GPO بالاتر در سلسله مراتب دایرکتوری اعمال خواهند شد. به این معنا که اگر پارامترهای لغو برای یک ارتباط GPO-to-Domain Object و برای یک ارتباط OU-to-GPO پیکربندی نشده باشد، تنظیمات تعریف شده در سطح دامنه اعمال خواهند شد. چک باکس Disabled اثر این GPO را بر روی این ظرف لغو می کند.

برنج. 10. گزینه های Override و Disabled وجود ندارد.

همانطور که در بالا ذکر شد، سیاست ها فقط بر کاربران و رایانه ها تأثیر می گذارد. این سوال اغلب مطرح می شود: "چگونه می توانم سیاست خاصی را برای همه کاربران متعلق به یک گروه امنیتی خاص اعمال کنم؟" برای انجام این کار، GPO به یک شی دامنه (یا هر محفظه ای در بالای کانتینرها یا OU که شامل تمام اشیاء کاربر از گروه مورد نظر) و تنظیمات دسترسی پیکربندی شده است. روی Properties کلیک کنید، در زبانه Security، گروه Authenticated Users را حذف کنید و گروه مورد نیاز را با حقوق Read and Apply Group Policy اضافه کنید.

تعیین تنظیماتی که برای کامپیوتر کاربر اعمال می شود

برای تعیین پیکربندی نهایی و شناسایی مشکلات، باید بدانید که در حال حاضر چه تنظیمات خط مشی برای یک کاربر یا رایانه خاص اعمال می شود. برای این کار ابزاری به نام Resultant Set of Policy (RSoP) وجود دارد. RSoP می تواند در هر دو حالت ثبت نام و زمان بندی کار کند. برای فراخوانی RSoP، باید بر روی شی “user” یا “computer” کلیک راست کرده و All Tasks را انتخاب کنید.

برنج. 11. فراخوانی ابزار Resultant Set of Policy.

پس از راه‌اندازی (در حالت ورود)، از شما خواسته می‌شود که انتخاب کنید برای کدام رایانه و کاربر مجموعه نتایج را تعریف کنید، و یک پنجره تنظیمات در نتیجه ظاهر می‌شود که نشان می‌دهد کدام GPO کدام تنظیم را اعمال کرده است.

برنج. 12. مجموعه سیاست های نتیجه.

سایر ابزارهای مدیریت خط مشی گروه

GPResult یک ابزار خط فرمان است که برخی از عملکردهای RSoP را فراهم می کند. GPResult به طور پیش‌فرض در تمام رایانه‌های دارای ویندوز XP و Windows Server 2003 در دسترس است.

GPUpdate اعمال سیاست های گروهی را - هم محلی و هم مبتنی بر Active Directory - مجبور می کند. در ویندوز XP/2003، گزینه /refreshpolicy را در ابزار secedit برای ویندوز 2000 جایگزین کرد.

وقتی دستورات را با کلید /؟ اجرا می کنید، توضیحی در مورد نحو دستوری موجود است.

به جای نتیجه گیری

هدف این مقاله توضیح همه جنبه‌های کار با خط‌مشی‌های گروهی نیست؛ هدف آن مدیران باتجربه سیستم نیست. به نظر من همه موارد فوق فقط باید به نحوی به درک اصول اساسی کار با سیاستمداران برای کسانی که هرگز با آنها کار نکرده اند یا تازه شروع به تسلط بر آنها کرده اند کمک کند.

ابزار GPResultexe– یک برنامه کنسولی است که برای تجزیه و تحلیل تنظیمات و تشخیص خط مشی های گروهی که برای رایانه و/یا کاربر در دامنه اکتیو دایرکتوری اعمال می شود، طراحی شده است. به طور خاص، GPResult به شما امکان می‌دهد داده‌هایی را از مجموعه سیاست‌های حاصله (Resulant Set of Policy، RSOP)، فهرستی از خط‌مشی‌های دامنه اعمال‌شده (GPOs)، تنظیمات آن‌ها و اطلاعات دقیق درباره خطاهای پردازش آن‌ها به‌دست آورید. این ابزار از زمان ویندوز XP بخشی از سیستم عامل ویندوز بوده است. ابزار GPResult به شما امکان می دهد به سؤالات زیر پاسخ دهید: آیا خط مشی خاصی برای رایانه اعمال می شود، کدام GPO این یا آن تنظیمات ویندوز را تغییر داده است و دلایل آن را درک کنید.

در این مقاله به بررسی ویژگی‌های استفاده از دستور GPResult برای تشخیص و رفع اشکال کاربرد سیاست‌های گروهی در دامنه اکتیو دایرکتوری می‌پردازیم.

در ابتدا، برای تشخیص کاربرد سیاست های گروهی در ویندوز، از کنسول گرافیکی RSOP.msc استفاده شد که امکان به دست آوردن تنظیمات سیاست های حاصله (دامنه + محلی) اعمال شده بر روی رایانه و کاربر را به شکل گرافیکی مشابه فراهم کرد. به کنسول ویرایشگر GPO (در مثالی از نمای کنسول RSOP.msc می توانید در زیر مشاهده کنید که تنظیمات به روز رسانی تنظیم شده است).

با این حال، استفاده از کنسول RSOP.msc در نسخه های مدرن ویندوز توصیه نمی شود، زیرا تنظیمات اعمال شده توسط برنامه های افزودنی مختلف سمت مشتری (CSE) مانند GPP (Preferences Policy Group) را منعکس نمی کند، امکان جستجو را نمی دهد و اطلاعات تشخیصی کمی ارائه می دهد. بنابراین، در حال حاضر، دستور GPResult ابزار اصلی برای تشخیص استفاده از GPO در ویندوز است (در ویندوز 10 حتی یک هشدار به نظر می رسد که RSOP برخلاف GPResult گزارش کاملی ارائه نمی دهد).

با استفاده از ابزار GPResult.exe

دستور GPResult بر روی رایانه ای که می خواهید اعمال سیاست های گروه را در آن بررسی کنید اجرا می شود. دستور GPResult دارای دستور زیر است:

GPRESULT ]] [(/X | /H) ]

برای دریافت اطلاعات دقیق در مورد خط مشی های گروهی که برای یک شیء AD (کاربر و رایانه) اعمال می شود و سایر تنظیمات مربوط به زیرساخت GPO (یعنی تنظیمات خط مشی GPO حاصل - RsoP)، دستور را اجرا کنید:

نتایج دستور به 2 بخش تقسیم می شود:

  • کامپیوتر تنظیمات (پیکربندی کامپیوتر) - بخش حاوی اطلاعاتی در مورد اشیاء GPO است که روی رایانه (به عنوان یک شی اکتیو دایرکتوری) عمل می کنند.
  • کاربر تنظیمات - بخش سیاست های کاربر (خط مشی هایی که برای یک حساب کاربری در AD اعمال می شود).

اجازه دهید به طور مختصر به پارامترها/بخش های اصلی که ممکن است در خروجی GPResult ما را علاقه مند کند، بپردازیم:

  • سایتنام(نام سایت:) – نام سایت AD که کامپیوتر در آن قرار دارد.
  • CN- کاربر/رایانه کامل متعارف که داده های RSoP برای آن تولید شده است.
  • آخرزمانگروهخط مشیبودکاربردی(آخرین خط مشی گروه اعمال شده) - زمانی که سیاست های گروه برای آخرین بار اعمال شد.
  • گروهخط مشیبودکاربردیاز جانب(خط مشی گروه از آن اعمال شد) - کنترل کننده دامنه که آخرین نسخه GPO از آن بارگیری شده است.
  • دامنهنامو دامنهتایپ کنید(نام دامنه، نوع دامنه) – نام و نسخه طرح دامنه Active Directory.
  • کاربردیگروهخط مشیاشیاء(اشیاء خط مشی گروه کاربردی)- لیستی از اشیاء خط مشی گروه فعال؛
  • اینذیلGPO هابودنهکاربردیزیراآنهابودفیلتر شدهبیرون(خط مشی های GPO زیر اعمال نشدند زیرا فیلتر شده بودند) - GPO های اعمال نشده (فیلتر شده).
  • اینکاربر/کامپیوتراستآبخشازراذیلامنیتگروه ها(کاربر/رایانه عضوی از گروه های امنیتی زیر است) – گروه های دامنه ای که کاربر در آن عضو است.

در مثال ما، می توانید ببینید که شی کاربر تابع 4 خط مشی گروه است.

  • خط مشی پیش فرض دامنه.
  • فایروال ویندوز را فعال کنید.
  • لیست جستجوی پسوند DNS.

اگر نمی‌خواهید اطلاعات مربوط به سیاست‌های کاربر و رایانه به طور همزمان در کنسول نمایش داده شود، می‌توانید از گزینه /scope برای نمایش تنها بخشی که به آن علاقه دارید استفاده کنید. فقط خط‌مشی‌های کاربر حاصل:

gpresult /r /scope:user

یا فقط سیاست های کامپیوتری اعمال می شود:

gpresult /r /scope:computer

زیرا ابزار Gpresult داده های خود را مستقیماً به کنسول خط فرمان خروجی می دهد، که همیشه برای تجزیه و تحلیل بعدی راحت نیست؛ خروجی آن را می توان به کلیپ بورد هدایت کرد:

Gpresult /r | کلیپ

یا فایل متنی:

Gpresult /r > c:\gpresult.txt

برای نمایش اطلاعات فوق العاده دقیق RSOP، باید سوئیچ /z را اضافه کنید.

گزارش HTML RSOP با استفاده از GPResult

علاوه بر این، ابزار GPResult می‌تواند یک گزارش HTML از سیاست‌های اعمال شده (در ویندوز 7 و بالاتر) ایجاد کند. این گزارش حاوی اطلاعات دقیقی در مورد تمام پارامترهای سیستمی است که توسط خط مشی های گروه تنظیم می شوند و نام GPO های خاصی که آنها را تنظیم می کنند (ساختار گزارش حاصل شبیه به برگه تنظیمات در Domain Group Policy Management Console - GPMC است). می توانید با استفاده از دستور زیر یک گزارش GPResult HTML ایجاد کنید:

نتیجه GPR /h c:\gp-report\report.html /f

برای ایجاد گزارش و باز کردن خودکار آن در مرورگر، دستور زیر را اجرا کنید:

GPResult /h GPResult.html و GPResult.html

گزارش gpresult HTML حاوی اطلاعات بسیار مفیدی است: خطاها در برنامه GPO، زمان پردازش (بر حسب میلی‌ثانیه) و اعمال سیاست‌های خاص و CSE قابل مشاهده است (در قسمت جزئیات رایانه -> وضعیت مؤلفه). به عنوان مثال، در اسکرین شات بالا می بینید که خط مشی با تنظیمات به خاطر سپردن 24 رمز عبور توسط Default Domain Policy (ستون Winning GPO) اعمال می شود. همانطور که می بینید، این گزارش HTML برای تجزیه و تحلیل سیاست های اعمال شده بسیار راحت تر از کنسول rsop.msc است.

دریافت داده های GPResult از یک کامپیوتر راه دور

GPResult همچنین می‌تواند داده‌ها را از یک رایانه راه دور جمع‌آوری کند و نیازی به ورود سرپرست به صورت محلی یا RDP به رایانه راه دور را از بین ببرد. فرمت دستور برای جمع آوری داده های RSOP از یک کامپیوتر راه دور به شرح زیر است:

GPR نتیجه /s سرور-ts1 /r

به طور مشابه، می توانید از راه دور داده ها را از خط مشی های کاربر و خط مشی های رایانه جمع آوری کنید.

نام کاربری داده RSOP ندارد

هنگامی که UAC فعال است، اجرای GPResult بدون امتیازات بالا، تنظیمات تنها بخش خط مشی گروه کاربر را نمایش می دهد. اگر نیاز به نمایش همزمان هر دو بخش (تنظیمات کاربر و تنظیمات کامپیوتر) دارید، دستور باید اجرا شود. اگر خط فرمان به سیستمی متفاوت از کاربر فعلی ارتقا یابد، ابزار یک هشدار صادر می کند اطلاعات:کاربر"دامنه\کاربر"میکندنهدارندRSOPداده ها (کاربر "دامنه\ کاربر" داده RSOP ندارد). این به این دلیل اتفاق می افتد که GPResult سعی می کند اطلاعاتی را برای کاربری که آن را راه اندازی کرده است جمع آوری کند، اما به دلیل ... این کاربر وارد نشده است و هیچ اطلاعات RSOP برای او وجود ندارد. برای جمع آوری اطلاعات RSOP برای یک کاربر با یک جلسه فعال، باید حساب کاربری او را مشخص کنید:

gpresult /r /user:tn\edward

اگر نام حسابی که در رایانه راه دور وارد شده است را نمی دانید، می توانید حساب را به صورت زیر دریافت کنید:

qwinsta /SERVER:remotePC1

همچنین زمان(های) مشتری را بررسی کنید. زمان باید با زمان روی PDC (Primary Domain Controller) مطابقت داشته باشد.

خط‌مشی‌های GPO زیر اعمال نشدند زیرا فیلتر شده بودند

هنگام عیب‌یابی خط‌مشی‌های گروه، باید به این بخش نیز توجه کنید: GPOهای زیر به دلیل فیلتر شدن اعمال نشدند. این بخش فهرستی از GPO ها را نشان می دهد که به دلایلی برای این شی اعمال نمی شوند. راه های احتمالی که ممکن است این خط مشی اعمال نشود:



همچنین می‌توانید متوجه شوید که آیا این خط‌مشی باید روی یک شی AD خاص در برگه مجوزهای مؤثر اعمال شود (پیشرفته -> دسترسی مؤثر).

بنابراین، در این مقاله به ویژگی‌های تشخیص کاربرد سیاست‌های گروهی با استفاده از ابزار GPResult و سناریوهای معمولی برای استفاده از آن نگاه کردیم.

عملکرد در سیستم عامل ویندوز سرور از نسخه ای به نسخه دیگر محاسبه و بهبود می یابد، نقش ها و مؤلفه های بیشتری وجود دارد، بنابراین در مطالب امروز سعی خواهم کرد به طور خلاصه شرح دهم. شرح و هدف هر نقش در ویندوز سرور 2016.

قبل از اینکه به توضیح نقش های سرور ویندوز سرور بپردازیم، بیایید دریابیم که " نقش سرور» در سیستم عامل ویندوز سرور.

"نقش سرور" در ویندوز سرور چیست؟

نقش سرور- این بسته نرم افزاری، که تضمین می کند که سرور عملکرد خاصی را انجام می دهد و این تابعاصلی است. به عبارت دیگر، " نقش سرور"هدف سرور است، یعنی. این برای چیست؟ تا سرور بتواند عملکرد اصلی خود را انجام دهد. نقش خاصی در " نقش سرور» تمامی نرم افزارهای لازم برای این کار گنجانده شده است ( برنامه ها، خدمات).

سرور در صورت استفاده فعال می تواند یک نقش داشته باشد، یا اگر هر یک از آنها به شدت سرور را بارگذاری نکرده و به ندرت استفاده می شود، چندین نقش داشته باشد.

یک نقش سرور می تواند شامل چندین سرویس نقش باشد که عملکرد نقش را فراهم می کند. به عنوان مثال، در نقش سرور " وب سرور (IIS)"تعداد نسبتا زیادی از خدمات گنجانده شده است، و نقش" سرور DNS» خدمات نقش گنجانده نشده است زیرا این نقش تنها یک عملکرد را انجام می دهد.

سرویس های نقش بسته به نیاز شما می توانند با هم یا به صورت جداگانه نصب شوند. در اصل، نصب یک نقش به معنای نصب یک یا چند سرویس آن است.

در ویندوز سرور نیز " اجزاء» سرورها

اجزای سرور (ویژگی)- این نرم افزار، که نقش سرور نیستند اما قابلیت های یک یا چند نقش را گسترش می دهند یا یک یا چند نقش را مدیریت می کنند.

اگر سرویس ها یا اجزای مورد نیاز برای عملکرد این نقش ها روی سرور نصب نشده باشند، برخی از نقش ها قابل نصب نیستند. بنابراین، در زمان نصب چنین نقش‌هایی اضافه کردن نقش ها و ویژگی ها جادوگر" خود، به طور خودکار از شما می خواهد که خدمات یا اجزای نقش اضافی لازم را نصب کنید.

شرح نقش های سرور ویندوز سرور 2016

احتمالاً از قبل با بسیاری از نقش‌های موجود در ویندوز سرور 2016 آشنا هستید، زیرا مدت زیادی است که وجود داشته‌اند. برای مدت طولانی، اما همانطور که قبلاً گفتم، با هر جدید نسخه ویندوزسرور، نقش‌های جدیدی اضافه می‌شوند که ممکن است هنوز با آن‌ها کار نکرده باشید، اما دوست دارید بدانید برای چه هستند، پس بیایید شروع به بررسی آنها کنیم.

توجه داشته باشید! ویژگی های جدید سیستم عامل ویندوز سرور 2016 را می توانید در مطلب ” بخوانید نصب ویندوزسرور 2016 و مروری بر ویژگی های جدید ».

از آنجایی که اغلب نصب و مدیریت نقش ها، خدمات و اجزاء با با استفاده از ویندوزپاورشل، برای هر نقش و سرویس آن، نامی را مشخص می‌کنم که می‌توان از آن در PowerShell برای نصب یا مدیریت آن استفاده کرد.

سرور DHCP

این نقش به شما امکان می دهد آدرس های IP پویا و تنظیمات مربوط به رایانه ها و دستگاه های موجود در شبکه خود را به صورت مرکزی پیکربندی کنید. نقش سرور DHCP خدمات نقش ندارد.

نام Windows PowerShell DHCP است.

سرور DNS

این نقش برای تفکیک نام در شبکه های TCP/IP در نظر گرفته شده است. نقش سرور DNS فراهم می کند و حفظ می کند عملیات DNS. برای سهولت مدیریت سرور DNS، معمولاً روی همان سروری که Active Directory Domain Services نصب می شود، نصب می شود. نقش سرور DNS خدمات نقش ندارد.

نام نقش برای PowerShell DNS است.

Hyper-V

با استفاده از نقش Hyper-V می توانید یک محیط مجازی ایجاد و مدیریت کنید. به عبارت دیگر ابزاری برای ایجاد و مدیریت ماشین های مجازی است.

نام نقش Windows PowerShell Hyper-V است.

گواهی عملکرد دستگاه

نقش " » به شما امکان می دهد سلامت دستگاه را بر اساس پارامترهای امنیتی اندازه گیری شده، مانند وضعیت راه اندازی ایمن و Bitlocker در مشتری، ارزیابی کنید.

برای عملکرد این نقش، خدمات و مؤلفه های نقش زیادی مورد نیاز است، به عنوان مثال: چندین سرویس از نقش « وب سرور (IIS)"، جزء " "، جزء " ویژگی های NET Framework 4.6».

در طول نصب، تمام خدمات و اجزای نقش مورد نیاز به طور خودکار انتخاب می شوند. نقش " گواهی عملکرد دستگاه» هیچ خدماتی از خود وجود ندارد.

نام PowerShell DeviceHealthAttestationService است.

وب سرور (IIS)

زیرساخت کاربردی وب قابل اعتماد، قابل مدیریت و مقیاس پذیر را فراهم می کند. متشکل از تعداد نسبتاً زیادی خدمات (43).

نام Windows PowerShell Web-Server است.

شامل خدمات نقش زیر ( در پرانتز نام Windows PowerShell را نشان خواهم داد):

وب سرور (Web-WebServer)– گروهی از خدمات نقش که از وب سایت های HTML، برنامه های افزودنی ASP.NET، ASP و وب سرور پشتیبانی می کند. شامل خدمات زیر است:

  • امنیت (امنیت وب)- مجموعه ای از خدمات برای تضمین امنیت وب سرور.
    • درخواست فیلتر (Web-Filtering) - با استفاده از این ابزارها می توانید تمام درخواست های وارد شده به سرور را پردازش کنید و این درخواست ها را بر اساس قوانین خاصی که توسط مدیر وب سرور تنظیم شده است فیلتر کنید.
    • آدرس IP و محدودیت های دامنه (Web-IP-Security) - این ابزارها به شما امکان می دهند بر اساس آدرس IP یا نام دامنه منبع در درخواست، دسترسی به محتوای سرور وب را مجاز یا رد کنید.
    • مجوز URL (Web-Url-Auth) - ابزارها به شما امکان می دهند قوانینی را برای محدود کردن دسترسی به محتوای وب ایجاد کنید و آنها را با کاربران، گروه ها یا دستورات هدر HTTP مرتبط کنید.
    • احراز هویت خلاصه (Web-Digest-Auth) – این احراز هویت سطح بالاتری از امنیت را نسبت به احراز هویت اولیه فراهم می کند. تأیید Digest با ارسال هش رمز عبور به کنترل کننده دامنه ویندوز برای احراز هویت کاربران کار می کند.
    • احراز هویت پایه (Web-Basic-Auth) - این روش احراز هویت سازگاری قوی با مرورگر وب را فراهم می کند. برای استفاده در شبکه های داخلی کوچک توصیه می شود. عیب اصلی این روش این است که رمزهای عبور ارسال شده از طریق شبکه به راحتی قابل رهگیری و رمزگشایی هستند، بنابراین از این روش در ترکیب با SSL استفاده کنید.
    • معاینه اصالت ویندوز(Web-Windows-Auth) - نشان دهنده احراز هویت بر اساس احراز هویت دامنه ویندوز است. به عبارت دیگر می توانید استفاده کنید حساب ها Active Directory برای احراز هویت کاربران وب سایت های شما.
    • احراز هویت با تطبیق گواهی مشتری (Web-Client-Auth) - این روش احراز هویت شامل استفاده از گواهی مشتری است. این نوع از Active Directory برای ارائه نقشه گواهی استفاده می کند.
    • احراز هویت با نگاشت گواهی مشتری IIS (Web-Cert-Auth) – در این روشگواهی های کلاینت نیز برای احراز هویت استفاده می شود، اما IIS برای ارائه نقشه گواهی استفاده می شود. این نوع عملکرد بالاتری را ارائه می دهد.
    • پشتیبانی از گواهینامه SSL متمرکز (Web-CertProvider) – این ابزارها به شما امکان می دهند گواهینامه های سرور SSL را به طور متمرکز مدیریت کنید، که فرآیند مدیریت این گواهی ها را بسیار ساده می کند.
  • بهداشت و تشخیص (وب-سلامت)- مجموعه ای از خدمات برای ارائه کنترل، مدیریت و عیب یابی سرورهای وب، سایت ها و برنامه های کاربردی:
    • ورود به سیستم http (Web-Http-Logging) - ابزارهایی گزارش فعالیت وب سایت را در اختیار شما قرار می دهند این سرور، یعنی ورود ورود؛
    • ODBC Logging (Web-ODBC-Logging) – این ابزارها همچنین گزارش فعالیت وب سایت را ارائه می دهند، اما از ثبت آن فعالیت در پایگاه داده سازگار با ODBC پشتیبانی می کنند.
    • Request Monitor (Web-Request-Monitor) ابزاری است که به شما امکان می دهد با رهگیری اطلاعات مربوط به درخواست های HTTP در فرآیند کارگر IIS، سلامت یک برنامه وب را نظارت کنید.
    • Web-Custom-Logging: این ابزارها به شما امکان می دهند فعالیت وب سرور را به گونه ای پیکربندی کنید که در قالبی ثبت شود که به طور قابل توجهی با فرمت استاندارد IIS متفاوت است. به عبارت دیگر، شما می توانید ماژول ورود به سیستم خود را ایجاد کنید.
    • ابزارهای ثبت‌نام (Web-Log-Libraries) ابزارهایی برای مدیریت گزارش‌های وب سرور و خودکارسازی وظایف گزارش‌گیری هستند.
    • ردیابی (Web-Http-Tracing) ابزاری برای تشخیص و رفع مشکلات در عملکرد برنامه های تحت وب است.
  • توابع رایج http (Web-Common-Http)– مجموعه ای از خدماتی که عملکرد پایه HTTP را ارائه می کنند:
    • سند پیش‌فرض (Web-Default-Doc) - این ویژگی به شما امکان می‌دهد تا سرور وب را برای بازگرداندن یک سند پیش‌فرض زمانی که کاربران سند خاصی را در URL درخواست مشخص نمی‌کنند پیکربندی کنید و دسترسی کاربران به وب‌سایت را آسان‌تر می‌کند. دامنه، بدون مشخص کردن فایل؛
    • مرور دایرکتوری (Web-Dir-Browsing) - از این ابزار می توان برای پیکربندی یک وب سرور استفاده کرد تا کاربران بتوانند لیستی از همه فهرست ها و فایل های یک وب سایت را مشاهده کنند. به عنوان مثال، برای مواردی که کاربران فایلی را در URL درخواست مشخص نمی‌کنند و اسناد به صورت پیش‌فرض یا غیرفعال هستند یا پیکربندی نشده‌اند.
    • خطاهای http (Web-Http-Errors) – این فرصتبه شما این امکان را می دهد که پیام های خطا را پیکربندی کنید که در صورت تشخیص خطا توسط سرور وب به مرورگرهای وب کاربران بازگردانده می شوند. این ویژگی برای ارائه بهتر پیام های خطا به کاربران استفاده می شود.
    • محتوای استاتیک (Web-Static-Content) – این ابزار اجازه می دهد تا محتوایی در قالب فرمت های فایل استاتیک در یک وب سرور استفاده شود، به عنوان مثال، فایل های HTMLیا فایل های تصویری؛
    • تغییر مسیر http (Web-Http-Redirect) – با استفاده از این ویژگی می توانید درخواست کاربر را به یک مقصد خاص هدایت کنید. این تغییر مسیر است.
    • WebDAV Publishing (Web-DAV-Publishing) – به شما امکان می دهد از فناوری WebDAV در سرور وب IIS استفاده کنید. WebDAV ( تالیف و نسخه سازی وب توزیع شده) فناوری است که به کاربران اجازه می دهد با هم کار کنند ( خواندن، ویرایش، خواندن خواص، کپی، انتقال) روی فایل ها روی سرورهای وب راه دور با استفاده از پروتکل HTTP.
  • عملکرد (عملکرد وب)– مجموعه ای از خدمات برای دستیابی به عملکرد بالاتر وب سرور از طریق کش خروجی و مکانیزم های فشرده سازی رایج مانند Gzip و Deflate:
    • Web-Stat-Compression ابزاری برای سفارشی سازی فشرده سازی محتوای http استاتیک است که امکان استفاده کارآمدتر از پهنای باند را بدون بار غیر ضروری CPU فراهم می کند.
    • فشرده سازی محتوای پویا (Web-Dyn-Compression) ابزاری برای پیکربندی فشرده سازی محتوای پویا HTTP است. این محصول استفاده موثرتری را ارائه می دهد پهنای باند، اما در این حالت، بار CPU سرور مرتبط با فشرده سازی پویا می تواند باعث کند شدن سایت در صورت بالا بودن بار CPU بدون فشرده سازی شود.
  • توسعه برنامه (Web-App-Dev)- مجموعه ای از خدمات و ابزار برای توسعه و میزبانی برنامه های کاربردی وب، به عبارت دیگر، فناوری های توسعه وب سایت:
    • ASP (Web-ASP) محیطی برای پشتیبانی و توسعه وب سایت ها و برنامه های کاربردی وب با استفاده از فناوری ASP است. در حال حاضر، یک فناوری توسعه وب سایت جدیدتر و پیشرفته تر وجود دارد - ASP.NET.
    • ASP.NET 3.5 (Web-Asp-Net) یک محیط توسعه شی گرا برای وب سایت ها و برنامه های کاربردی وب با استفاده از فناوری ASP.NET است.
    • ASP.NET 4.6 (Web-Asp-Net45) همچنین یک محیط شی گرا برای توسعه وب سایت ها و برنامه های کاربردی وب با استفاده از نسخه جدید ASP.NET;
    • CGI (Web-CGI) توانایی استفاده از CGI برای انتقال اطلاعات از یک وب سرور به یک برنامه خارجی است. CGI نوعی استاندارد رابط ارتباطی است برنامه خارجیبا یک وب سرور نکته منفی این است که استفاده از CGI بر عملکرد تأثیر می گذارد.
    • گنجاندن سمت سرور (SSI) (Web-Includes) از زبان برنامه نویسی SSI پشتیبانی می کند ( فعال کننده های سمت سرور) که برای تولید پویا صفحات HTML استفاده می شود.
    • مقداردهی اولیه برنامه (Web-AppInit) - این ابزار وظیفه مقداردهی اولیه برنامه های کاربردی وب را قبل از ارسال صفحه وب انجام می دهد.
    • پروتکل WebSocket (Web-WebSockets) - اضافه کردن توانایی ایجاد برنامه های کاربردی سرور که با استفاده از پروتکل WebSocket تعامل دارند. WebSocket پروتکلی است که می تواند داده ها را به طور همزمان بین مرورگر و وب سروردر بالای اتصال TCP، نوعی پسوند پروتکل HTTP.
    • برنامه های افزودنی ISAPI (Web-ISAPI-Ext) - پشتیبانی از توسعه پویا محتوای وب با استفاده از رابط برنامه نویسی برنامه ISAPI. ISAPI یک API برای وب سرور IIS است. برنامه های ISAPI بسیار سریعتر از فایل های ASP یا فایل هایی هستند که اجزای COM+ را فراخوانی می کنند.
    • NET 3.5 Extensibility (Web-Net-Ext) یک ویژگی توسعه پذیری .NET 3.5 است که به شما امکان می دهد عملکرد وب سرور را در سراسر خط لوله پردازش درخواست، پیکربندی و رابط کاربری تغییر دهید، اضافه کنید و گسترش دهید.
    • NET 4.6 Extensibility (Web-Net-Ext45) ویژگی توسعه پذیری .NET 4.6 است که همچنین به شما امکان می دهد عملکرد وب سرور را در سراسر خط لوله پردازش درخواست، پیکربندی و رابط کاربری تغییر دهید، اضافه کنید و گسترش دهید.
    • فیلترهای ISAPI (Web-ISAPI-Filter) – افزودن پشتیبانی از فیلترهای ISAPI. فیلترهای ISAPI برنامه‌هایی هستند که زمانی فراخوانی می‌شوند که سرور وب درخواست HTTP خاصی را دریافت کند که باید توسط فیلتر پردازش شود.

سرور FTP (Web-Ftp-Server)– خدماتی که از پروتکل FTP پشتیبانی می کنند. ما در مورد سرور FTP با جزئیات بیشتری در مواد صحبت کردیم - "نصب و راه اندازی FTPسرورهای ویندوز سرور 2016." شامل خدمات زیر است:

  • سرویس FTP (Web-Ftp-Service) - پشتیبانی از پروتکل FTP را در وب سرور اضافه می کند.
  • توسعه پذیری FTP (Web-Ftp-Ext) – قابلیت های استاندارد FTP را گسترش می دهد، مانند افزودن پشتیبانی برای ویژگی هایی مانند ارائه دهندگان سفارشی، کاربران ASP.NET یا کاربران IIS Manager.

ابزارهای مدیریت (Web-Mgmt-Tools)- اینها ابزارهایی برای مدیریت وب سرور IIS 10 هستند که عبارتند از: رابط کاربری IIS، ابزارهای خط فرمان و اسکریپت ها.

  • کنسول مدیریت IIS (Web-Mgmt-Console) رابط کاربری برای مدیریت IIS است.
  • مجموعه کاراکترها و ابزارهای IIS (Web-Scripting-Tools) ابزارها و اسکریپت هایی برای مدیریت IIS با استفاده از خط فرمان یا اسکریپت ها هستند. برای مثال می توان از آنها برای کنترل خودکار استفاده کرد.
  • سرویس مدیریت (Web-Mgmt-Service) – این سرویس توانایی مدیریت وب سرور را از راه دور از رایانه دیگری با استفاده از مدیر IIS اضافه می کند.
  • مدیریت سازگاری IIS 6 (Web-Mgmt-Compat) - سازگاری بین برنامه‌ها و اسکریپت‌هایی را که از دو API IIS استفاده می‌کنند، تضمین می‌کند. از اسکریپت های IIS 6 موجود می توان برای کنترل وب سرور IIS 10 استفاده کرد:
    • IIS 6 Compatibility Metabase (Web-Metabase) یک ابزار سازگاری است که به شما امکان می دهد برنامه ها و مجموعه کاراکترهای منتقل شده از قدیمی تر را اجرا کنید. نسخه های قبلی IIS;
    • IIS 6 Scripting Tools (Web-Lgcy-Scripting) - این ابزارها به شما امکان می دهند از همان سرویس های برنامه نویسی IIS 6 استفاده کنید که برای مدیریت IIS 6 در IIS 10 ایجاد شده اند.
    • کنسول مدیریت خدمات IIS 6 (Web-Lgcy-Mgmt-Console) - ابزار مدیریت سرورهای راه دور IIS 6.0;
    • سازگار با IIS 6 WMI (Web-WMI) - رابط های اسکریپت جعبه ابزار مدیریت ویندوز(WMI) برای کنترل و خودکارسازی وظایف سرور وب IIS 10.0 با استفاده از مجموعه ای از اسکریپت های ایجاد شده در ارائه دهنده WMI.

خدمات دامنه اکتیو دایرکتوری

نقش " خدمات دامنه اکتیو دایرکتوری» (AD DS) یک پایگاه داده توزیع شده را فراهم می کند که اطلاعات مربوط به منابع شبکه را ذخیره و پردازش می کند. این نقش برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار پوسته ایمن سلسله مراتبی استفاده می شود. ساختار سلسله مراتبی شامل جنگل‌ها، دامنه‌های درون جنگل و واحدهای سازمانی (OU) در هر دامنه است. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود.

نام نقش Windows PowerShell AD-Domain-Services است.

Windows Server Essentials Mode

این نقش نشان دهنده زیرساخت رایانه است و عملکردهای راحت و کارآمدی را ارائه می دهد، به عنوان مثال: ذخیره داده های مشتری در یک مکان متمرکز و محافظت از این داده ها با پشتیبان گیری از سرور و رایانه های مشتری، دسترسی به وب از راه دور، به شما امکان می دهد تقریباً از هر دستگاهی به داده ها دسترسی داشته باشید. این نقش به چندین سرویس نقش و مؤلفه برای عملکرد نیاز دارد، به عنوان مثال: مؤلفه‌های BranchCache، پشتیبان‌گیری از سرور ویندوز، مدیریت خط‌مشی گروه، سرویس نقش». فضاهای نام DFS».

نام PowerShell ServerEssentialsRole است.

کنترلر شبکه

این نقش در ویندوز سرور 2016 معرفی شد و یک نقطه اتوماسیون واحد را برای مدیریت، نظارت و تشخیص زیرساخت شبکه فیزیکی و مجازی در مرکز داده ارائه می کند. با استفاده از این نقش، می توانید زیرشبکه های IP، VLAN، فیزیکی را پیکربندی کنید آداپتورهای شبکهمیزبان Hyper-V، مدیریت سوئیچ های مجازی، روترهای فیزیکی، تنظیمات فایروال و دروازه های VPN.

نام Windows PowerShell NetworkController است.

سرویس نگهبان نود

این نقش سرور Hosted Guardian Service (HGS) است و گواهی کلیدی و خدمات حفاظتی کلیدی را ارائه می‌کند که میزبان‌های محافظت شده را قادر می‌سازد تا به صورت محافظت شده اجرا شوند. ماشین های مجازی. برای عملکرد این نقش، چندین نقش و مؤلفه اضافی مورد نیاز است، به عنوان مثال: Active Directory Domain Services، Web Server (IIS)، کامپوننت " Failover Clustering" و دیگران.

نام PowerShell HostGuardianServiceRole است.

Active Directory Lightweight Directory Services

نقش " Active Directory Lightweight Directory Services" (AD LDS) - نسخه سبک وزن AD DS است که عملکرد کمتری دارد، اما نیازی به استقرار دامنه ها یا کنترل کننده های دامنه ندارد و وابستگی ها و محدودیت های دامنه مورد نیاز خدمات AD DS را ندارد. AD LDS روی پروتکل LDAP کار می کند ( پروتکل دسترسی به دایرکتوری سبک وزن). شما می توانید چندین نمونه AD LDS را با طرحواره های مدیریت شده مستقل روی یک سرور واحد مستقر کنید.

نام PowerShell ADLDS است.

خدمات چند نقطه ای

این نیز نقش جدیدی است که در Windows Server 2016 معرفی شد. خدمات MultiPoint (MPS) عملکرد پایه دسکتاپ از راه دور را فراهم می کند که به چندین کاربر اجازه می دهد به طور همزمان و مستقل روی یک رایانه کار کنند. برای نصب و اجرای این نقش، باید چندین سرویس و مؤلفه اضافی را نصب کنید، به عنوان مثال: سرور چاپ، سرویس ویندوزجستجو، XPS Viewer و سایر موارد به طور خودکار پس از نصب MPS انتخاب می شوند.

نام نقش برای PowerShell MultiPointServerRole است.

سرویس های به روز رسانی سرور ویندوز

با این نقش (WSUS)، مدیران سیستم می توانند به روز رسانی های مایکروسافت را مدیریت کنند. برای مثال، گروه‌های جداگانه‌ای از رایانه‌ها را برای مجموعه‌های مختلف به‌روزرسانی ایجاد کنید، و همچنین گزارش‌هایی در مورد انطباق رایانه و به‌روزرسانی‌هایی که باید نصب شوند، دریافت کنید. برای عملکرد " سرویس های به روز رسانی سرور ویندوز"ما به خدمات و اجزای نقشی مانند: وب سرور (IIS)، پایگاه داده داخلی ویندوز، سرویس فعال سازی فرآیند ویندوز نیاز داریم.

نام Windows PowerShell UpdateServices است.

  • قابلیت اتصال WID (UpdateServices-WidDB) – روی WID ( پایگاه داده داخلی ویندوز) پایگاه داده استفاده شده توسط WSUS. به عبارت دیگر، WSUS داده های سرویس خود را در WID ذخیره می کند.
  • سرویس‌های WSUS (سرویس‌های UpdateServices) سرویس‌های نقش WSUS هستند، مانند سرویس به‌روزرسانی، سرویس وب گزارش‌دهی، سرویس وب از راه دور API، سرویس وب سرویس گیرنده، سرویس وب تأیید اعتبار اینترنتی ساده، سرویس همگام‌سازی سرور و سرویس تأیید اعتبار وب DSS.
  • اتصال به سرور SQL (UpdateServices-DB) نصب مؤلفه ای است که به سرویس WSUS اجازه می دهد به پایگاه داده متصل شود. مایکروسافت SQLسرور. این گزینه شامل ذخیره داده های سرویس در پایگاه داده Microsoft SQL Server است. در این حالت، شما باید حداقل یک نمونه از SQL Server را نصب کرده باشید.

خدمات فعال سازی حجم

این نقش سرور صدور مجوزهای حجمی برای نرم افزار مایکروسافت را خودکار و ساده می کند و به شما امکان می دهد آن مجوزها را مدیریت کنید.

نام PowerShell VolumeActivation است.

خدمات چاپ و اسناد

این نقش سرور برای به اشتراک گذاری چاپگرها و اسکنرها در شبکه، پیکربندی و مدیریت مرکزی سرورهای چاپ و اسکن و مدیریت طراحی شده است. چاپگرهای شبکهو اسکنرها خدمات چاپ و سند همچنین به شما امکان می دهد اسناد اسکن شده را از طریق ایمیل به اشتراک گذاشته شده ارسال کنید پوشه های شبکهیا به سایت های Windows SharePoint Services.

نام PowerShell Print-Services است.

  • Print-Server - این سرویس نقش شامل " مدیریت چاپ"، که برای مدیریت چاپگرها یا سرورهای چاپ، و همچنین برای انتقال چاپگرها و سایر سرورهای چاپ استفاده می شود.
  • چاپ از طریق اینترنت (Print-Internet) - برای اجرای چاپ از طریق اینترنت، وب سایتی ایجاد می شود که از طریق آن کاربران می توانند کارهای چاپی را روی سرور مدیریت کنند. برای اینکه این سرویس کار کند، همانطور که متوجه شدید، باید « وب سرور (IIS)" همه اجزای مورد نیاز به طور خودکار انتخاب می شوند وقتی این کادر را در طول فرآیند نصب برای سرویس نقش علامت بزنید. چاپ آنلاین»;
  • سرور اسکن توزیع شده (Print-Scan-Server) سرویسی است که به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کرده و به مقصد ارسال کنید. این سرویس همچنین حاوی " کنترل اسکن"، که برای مدیریت اسکنرهای شبکه و پیکربندی اسکن استفاده می شود.
  • سرویس LPD (Print-LPD-Service) - سرویس LPD ( دیمون چاپگر خطی) به رایانه های مبتنی بر یونیکس و سایر رایانه هایی که از سرویس چاپگر خط راه دور (LPR) استفاده می کنند اجازه می دهد تا در چاپگرهای سرور مشترک چاپ کنند.

خط مشی شبکه و خدمات دسترسی

نقش " » (NPAS) به شما امکان می دهد از سرور سیاست شبکه (NPS) برای تنظیم و اجرای سیاست های دسترسی به شبکه، احراز هویت و مجوز، و سلامت کلاینت استفاده کنید، به عبارت دیگر، برای اطمینان از امنیت شبکه.

نام Windows PowerShell NPAS است.

Windows Deployment Services

با استفاده از این نقش می توانید سیستم عامل ویندوز را از راه دور روی شبکه نصب کنید.

نام نقش PowerShell WDS است.

  • Deployment Server (WDS-Deployment) – این سرویس نقش برای استقرار و پیکربندی از راه دور سیستم عامل های ویندوز طراحی شده است. همچنین به شما امکان می دهد تصاویر را برای استفاده مجدد ایجاد و سفارشی کنید.
  • سرور حمل و نقل (WDS-Transport) - این سرویس شامل اجزای اصلی شبکه است که با آن می توانید داده ها را به صورت چندپخشی روی یک سرور مستقل انتقال دهید.

خدمات گواهی اکتیو دایرکتوری

این نقش برای ایجاد مقامات گواهی و خدمات نقش مرتبط طراحی شده است که شما را قادر می سازد گواهینامه ها را برای برنامه های مختلف صادر و مدیریت کنید.

نام Windows PowerShell AD-Certificate است.

شامل خدمات نقش زیر است:

  • مرجع صدور گواهی (ADCS-Cert-Authority) - با استفاده از این سرویس نقش، می توانید گواهینامه هایی را برای کاربران، رایانه ها و خدمات صادر کنید و همچنین اعتبار گواهی را مدیریت کنید.
  • خدمات وب خط مشی ثبت نام گواهی (ADCS-Enroll-Web-Pol) - این سرویس به کاربران و رایانه ها اجازه می دهد تا اطلاعات خط مشی ثبت نام گواهی را با استفاده از یک مرورگر وب دریافت کنند، حتی اگر رایانه بخشی از یک دامنه نباشد. برای عملکرد آن لازم است " وب سرور (IIS)»;
  • خدمات وب ثبت نام گواهی (ADCS-Enroll-Web-Svc) – این سرویس به کاربران و رایانه ها اجازه می دهد تا گواهی ها را با استفاده از مرورگر وب از طریق HTTPS ثبت نام کرده و تمدید کنند، حتی اگر رایانه عضو دامنه نباشد. برای عملکرد آن نیز لازم است " وب سرور (IIS)»;
  • پاسخگوی آنلاین (ADCS-Online-Cert) – سرویسی که برای بررسی ابطال گواهی برای مشتریان طراحی شده است. به عبارت دیگر، درخواست وضعیت ابطال گواهی‌های خاص را می‌پذیرد، وضعیت آن گواهی‌ها را ارزیابی می‌کند و یک پاسخ امضا شده با اطلاعات وضعیت را ارسال می‌کند. برای اینکه سرویس کار کند شما نیاز دارید " وب سرور (IIS)»;
  • سرویس ثبت نام مرجع صدور گواهی اینترنتی (ADCS-Web-Enrollment) – این سرویس یک رابط مبتنی بر وب را برای کاربران فراهم می کند تا کارهایی مانند درخواست و تمدید گواهی ها، دریافت لیست های ابطال گواهی، و ثبت گواهی کارت هوشمند را انجام دهند. برای اینکه سرویس کار کند شما نیاز دارید " وب سرور (IIS)»;
  • خدمات ثبت نام دستگاه های شبکه ah (ADCS-Device-Enrollment) - با استفاده از این سرویس می توانید برای روترها و سایر دستگاه های شبکه که دارای حساب شبکه نیستند گواهی صادر کنید و همچنین این گواهی ها را مدیریت کنید. برای اینکه سرویس کار کند شما نیاز دارید " وب سرور (IIS)».

خدمات دسکتاپ از راه دور

نقش سروری که به شما امکان می دهد به دسکتاپ های مجازی، دسکتاپ های مبتنی بر جلسه و RemoteApps دسترسی داشته باشید.

نام نقش Windows PowerShell Remote-Desktop-Services است.

شامل خدمات زیر است:

  • دسترسی به وب از راه دور دسکتاپ (RDS-Web-Access) - این سرویس نقش به کاربران اجازه می دهد تا از طریق "دسترسی به دسکتاپ های راه دور و برنامه های RemoteApp" شروع کنید» یا با استفاده از یک مرورگر وب؛
  • مجوز دسکتاپ از راه دور (RDS-Licensing) - سرویسی است که برای مدیریت مجوزهای مورد نیاز برای اتصال به سرور میزبان جلسه دسکتاپ از راه دور یا دسکتاپ مجازی طراحی شده است. می توان از آن برای نصب، صدور مجوزها و پیگیری در دسترس بودن آنها استفاده کرد. این سرویس نیازمند " وب سرور (IIS)»;
  • Remote Desktop Connection Broker (RDS-Connection-Broker) یک سرویس نقش است که قابلیت های زیر را ارائه می دهد: اتصال مجدد کاربر به دسکتاپ مجازی موجود، برنامه RemoteApp و دسکتاپ مبتنی بر جلسه، و متعادل کردن بار در میان دسکتاپ سرورهای میزبان جلسه از راه دور یا بین دسکتاپ مجازی در یک استخر این سرویس به " »;
  • میزبان مجازی سازی دسکتاپ از راه دور (DS-Virtualization) سرویسی است که به کاربران امکان می دهد با استفاده از RemoteApp و Desktop Connection به دسکتاپ مجازی متصل شوند. این سرویس در ارتباط با Hyper-V کار می کند، یعنی. این نقش باید ایجاد شود.
  • میزبان جلسه از راه دور دسکتاپ (RDS-RD-Server) – این سرویس به شما امکان می دهد برنامه های RemoteApp و دسکتاپ های مبتنی بر جلسه را روی سرور میزبانی کنید. برای دسترسی، از کلاینت Remote Desktop Connection یا RemoteApp استفاده کنید.
  • دروازه دسکتاپ از راه دور (RDS-Gateway) - این سرویس به کاربران مجاز از راه دور اجازه می دهد تا به دسکتاپ های مجازی، RemoteApps و دسکتاپ های مبتنی بر جلسه در یک شبکه شرکتی یا از طریق اینترنت متصل شوند. خدمات و اجزای اضافی زیر برای عملکرد این سرویس مورد نیاز است: وب سرور (IIS)», « خط مشی شبکه و خدمات دسترسی», « RPC روی پروکسی HTTP».

خدمات مدیریت حقوق Active Directory

این یک نقش سرور است که به شما امکان می دهد از اطلاعات در برابر استفاده غیرمجاز محافظت کنید. هویت کاربر را تأیید می کند و مجوز دسترسی به داده های محافظت شده را به کاربران مجاز می دهد. خدمات و اجزای اضافی برای عملکرد این نقش مورد نیاز است: " وب سرور (IIS)», « سرویس فعال سازی فرآیند ویندوز», « ویژگی های NET Framework 4.6».

نام Windows PowerShell ADRMS است.

  • سرور مدیریت حقوق Active Directory (ADRMS-Server) سرویس نقش اصلی است و برای نصب مورد نیاز است.
  • پشتیبانی فدراسیون هویت (ADRMS-Identity) یک سرویس نقش اختیاری است که به هویت های فدرال اجازه می دهد تا محتوای محافظت شده را با استفاده از خدمات فدراسیون اکتیو دایرکتوری مصرف کنند.

خدمات فدراسیون Active Directory

این نقش قابلیت‌های اتحادیه هویت ساده‌شده و ایمن و همچنین ورود به سیستم واحد مبتنی بر مرورگر (SSO) را برای وب‌سایت‌ها فراهم می‌کند.

نام PowerShell ADFS-Federation است.

دسترسی از راه دور

این نقش اتصال را از طریق DirectAccess، VPN و Web Application Proxy فراهم می کند. همچنین نقش " دسترسی از راه دور» قابلیت های مسیریابی سنتی از جمله تبدیل را فراهم می کند آدرس های شبکه(NAT) و سایر پارامترهای اتصال. این نقش به خدمات و اجزای اضافی نیاز دارد: " وب سرور (IIS)», « پایگاه داده داخلی ویندوز».

نام نقش Windows PowerShell RemoteAccess است.

  • DirectAccess و VPN (RAS) (DirectAccess-VPN) - این سرویس به کاربران امکان می دهد در صورت دسترسی به اینترنت از طریق DirectAccess در هر زمان به شبکه شرکت متصل شوند و همچنین سازماندهی کنند. اتصالات VPNدر ترکیب با تونل زنی و فناوری های رمزگذاری داده ها؛
  • مسیریابی - این سرویس از روترها و روترهای NAT پشتیبانی می کند شبکه محلیبا BGP، RIP و روترهایی با پشتیبانی چندپخشی (پراکسی IGMP).
  • سرور پروکسی برنامه وب (Web-Application-Proxy) - این سرویس به شما امکان می دهد برنامه های کاربردی را بر اساس پروتکل های HTTP و HTTPS از شبکه شرکتی در دستگاه های مشتری که خارج از شبکه شرکت قرار دارند منتشر کنید.

خدمات فایل و ذخیره سازی

این یک نقش سرور است که می تواند برای به اشتراک گذاری فایل ها و پوشه ها، مدیریت و کنترل اشتراک گذاری ها، تکرار فایل ها، ارائه استفاده شود. جستجوی سریعفایل ها، و همچنین دسترسی به کامپیوترهای سرویس گیرنده یونیکس را فراهم می کند. ما به سرویس های فایل و به ویژه سرور فایل با جزئیات بیشتری در مطلب "نصب فایل سرور در ویندوز سرور 2016" نگاه کردیم.

نام Windows PowerShell FileAndStorage-Services است.

خدمات ذخیره سازی– این سرویس عملکرد مدیریت ذخیره سازی را ارائه می دهد که همیشه نصب است و قابل حذف نیست.

سرویس های فایل و سرویس های iSCSI (سرویس های فایل)– اینها فناوری‌هایی هستند که مدیریت سرورهای فایل و ذخیره‌سازی را ساده می‌کنند، فضای دیسک را ذخیره می‌کنند، نسخه‌برداری و ذخیره‌سازی فایل‌ها را در شاخه‌ها فراهم می‌کنند و همچنین اشتراک‌گذاری فایل را با استفاده از پروتکل NFS فراهم می‌کنند. شامل خدمات نقش زیر است:

  • File Server (FS-FileServer) یک سرویس نقش است که پوشه‌های مشترک را مدیریت می‌کند و دسترسی کاربران به فایل‌های این رایانه را از طریق شبکه فراهم می‌کند.
  • حذف داده ها (FS-Data-Deduplication) - این سرویس با ذخیره تنها یک کپی از داده های یکسان در یک حجم، فضای دیسک را ذخیره می کند.
  • File Server Resource Manager (FS-Resource-Manager) – با استفاده از این سرویس، می توانید فایل ها و پوشه ها را در سرور فایل مدیریت کنید، گزارش های ذخیره سازی ایجاد کنید، فایل ها و پوشه ها را دسته بندی کنید، سهمیه پوشه ها را پیکربندی کنید، و سیاست های مسدودسازی فایل را تعریف کنید.
  • ارائه‌دهنده ذخیره‌سازی هدف iSCSI (ارائه‌دهندگان سخت‌افزار VDS و VSS) (iSCSITarget-VSS-VDS) - این سرویس به برنامه‌های کاربردی روی سرور متصل به هدف iSCSI اجازه می‌دهد تا حجم‌های کپی را در سایه قرار دهند. دیسک های مجازی iSCSI;
  • فضای نام DFS (FS-DFS-Namespace) - این سرویس می تواند برای گروه بندی استفاده شود پوشه های مشترک، در سرورهای مختلف میزبانی می شود، در یک یا چند فضای نام با ساختار منطقی.
  • پوشه های کاری (FS-SyncShareService) – این سرویس به شما امکان می دهد از فایل های کاری در رایانه های مختلف از جمله کاری و شخصی استفاده کنید. می‌توانید فایل‌های خود را در پوشه‌های کاری ذخیره کنید، آن‌ها را همگام‌سازی کنید و از یک شبکه محلی یا اینترنت به آنها دسترسی داشته باشید. برای اینکه سرویس کار کند، جزء " IIS In-Process Web Engine»;
  • DFS Replication (FS-DFS-Replication) یک ماژول تکثیر داده بین چندین سرور است که به شما امکان می دهد پوشه ها را از طریق اتصال به محلی یا محلی همگام سازی کنید. شبکه جهانی. این تکنولوژیاز پروتکل فشرده سازی دیفرانسیل از راه دور (RDC) برای به روز رسانی تنها بخش هایی از فایل ها استفاده می کند که از آخرین تکرار تغییر کرده اند. DFS Replication را می توان همراه با فضاهای نام DFS یا جداگانه استفاده کرد.
  • سرور برای NFS (FS-NFS-Service) - سرویسی که به این رایانه اجازه می دهد تا فایل ها را با رایانه های مبتنی بر یونیکس و سایر رایانه هایی که از پروتکل شبکه استفاده می کنند به اشتراک بگذارد. سیستم فایل(NFS)؛
  • iSCSI Target Server (FS-iSCSITarget-Server) - خدمات و ابزارهای مدیریتی را برای اهداف iSCSI ارائه می دهد.
  • سرویس BranchCache برای فایل های شبکه (FS-BranchCache) - این سرویس پشتیبانی BranchCache را در این فایل سرور ارائه می دهد.
  • File Server VSS Agent Service (FS-VSS-Agent) - این سرویس به شما امکان می دهد برای برنامه هایی که فایل های داده را در این فایل سرور ذخیره می کنند، کپی های سایه حجمی انجام دهید.

سرور فکس

این نقش فکس‌ها را ارسال و دریافت می‌کند و به شما امکان می‌دهد منابع فکس مانند مشاغل، تنظیمات، گزارش‌ها و دستگاه‌های فکس را در این رایانه یا شبکه مدیریت کنید. برای کار شما نیاز دارید " سرور چاپ».

نام نقش Windows PowerShell Fax است.

این پایان بررسی نقش های سرور ویندوز سرور 2016 است، امیدوارم مطالب برای شما مفید بوده باشد، خداحافظ!

قبل از توسعه یک سرور سوکت، باید یک سرور خط مشی ایجاد کنید که به Silverlight بگوید کدام کلاینت ها مجاز به اتصال به سرور سوکت هستند.

همانطور که در بالا نشان داده شد، Silverlight اجازه بارگذاری محتوا یا فراخوانی یک سرویس وب را نمی دهد، مگر اینکه دامنه دارای یک clientaccesspolicy xml یا فایل crossdomain باشد. xml که به صراحت این عملیات را مجاز می کند. محدودیت مشابهی بر روی سرور سوکت اعمال می شود. اگر به دستگاه سرویس گیرنده فرصتی برای بارگیری فایل clientaccesspolicy .xml که امکان دسترسی از راه دور را می دهد، ندهید، Silverlight از برقراری اتصال خودداری می کند.

متأسفانه، ارائه سیاست دسترسی به مشتری. cml به یک برنامه سوکت کار دشوارتر از ارائه آن از طریق یک وب سایت است. هنگام استفاده از یک وب سایت، نرم افزار وب سرور ممکن است یک فایل xml.clientaccesspolicy ارائه دهد، فقط باید به خاطر داشته باشید که آن را اضافه کنید. با این حال، هنگام استفاده از یک برنامه سوکت، باید سوکتی را باز کنید که برنامه‌های سرویس گیرنده می‌توانند درخواست‌های خط‌مشی را به آن ارسال کنند. علاوه بر این، شما باید به صورت دستی کدی را ایجاد کنید که به سوکت سرویس می دهد. برای حل این مشکلات، باید یک سرور سیاست ایجاد کنید.

همانطور که در ادامه خواهیم دید، سرور خط مشی مانند سرور پیام کار می کند، فقط تعاملات کمی ساده تر را مدیریت می کند. سرورهای پیام و خط مشی را می توان به طور جداگانه ایجاد کرد یا در یک برنامه ترکیب کرد. در حالت دوم، آنها باید به درخواست ها در موضوعات مختلف گوش دهند. در این مثال، ما یک سرور سیاست ایجاد می کنیم و سپس آن را با یک سرور پیام ترکیب می کنیم.

برای ایجاد یک سرور سیاست، ابتدا باید یک برنامه دات نت ایجاد کنید. هر نوع برنامه دات نت می تواند به عنوان سرور خط مشی خدمت کند. ساده ترین راه استفاده از یک برنامه کنسول است. هنگامی که برنامه کنسول خود را اشکال زدایی کردید، می توانید کد را به یک سرویس ویندوز منتقل کنید تا به طور مداوم در پس زمینه اجرا شود.

فایل خط مشی

در زیر فایل خط مشی ارائه شده توسط سرور خط مشی ارائه شده است.

فایل سیاست سه قانون را تعریف می کند.

اجازه دسترسی به همه پورت‌ها از 4502 تا 4532 را می‌دهد (این طیف کاملی از پورت‌های پشتیبانی شده توسط افزونه Silverlight است). برای تغییر محدوده پورت های موجود، باید مقدار ویژگی port عنصر را تغییر دهید.

اجازه دسترسی به TCP را می دهد (مجوز در ویژگی پروتکل عنصر تعریف شده است).

اجازه تماس از هر دامنه را می دهد. بنابراین، برنامه Silverlight که اتصال را برقرار می کند، می تواند توسط هر وب سایتی میزبانی شود. برای تغییر این قانون، باید ویژگی uri عنصر را ویرایش کنید.

برای سهولت کار، قوانین خط مشی در فایل clientaccess-ploi.cy.xml قرار می گیرد که به پروژه اضافه می شود. در ویژوال استودیو، تنظیمات Copy to Output Directory فایل سیاست باید روی Copy Always تنظیم شود. تنها کاری که باید انجام دهید این است که فایل را در هارد دیسک خود پیدا کنید، آن را باز کنید و محتویات را به دستگاه مشتری برگردانید.

کلاس PolicyServer

عملکرد Policy Server بر اساس دو کلاس کلیدی است: PolicyServer و PolicyConnection. کلاس PolicyServer انتظار برای اتصالات را کنترل می کند. هنگامی که یک اتصال را دریافت کرد، کنترل را به نمونه جدیدی از کلاس PoicyConnection می‌دهد که فایل سیاست را به مشتری ارسال می‌کند. این روش دو قسمتی در برنامه نویسی شبکه رایج است. هنگام کار با سرورهای پیام، بیش از یک بار آن را مشاهده خواهید کرد.

کلاس PolicyServer فایل Policy را از هارد دیسک بارگیری می کند و آن را در یک فیلد به عنوان یک آرایه بایت ذخیره می کند.

کلاس عمومی PolicyServer

سیاست بایت خصوصی؛

Public PolicyServer(string policyFile) (

برای شروع گوش دادن، برنامه سرور باید با PolicyServer تماس بگیرد. شروع (). یک شی TcpListener ایجاد می کند که به درخواست ها گوش می دهد. شی TcpListener برای گوش دادن به پورت 943 پیکربندی شده است. در Silverlight، این پورت برای سرورهای سیاست رزرو شده است. هنگامی که درخواست هایی برای فایل های خط مشی ارسال می شود، Silverlight به طور خودکار آنها را به پورت 943 ارسال می کند.

شنونده خصوصی TcpListener.

Public void Start()

// یک شی گوش دادن ایجاد کنید

listener = new TcpListener(IPAddress.Any, 943);

// شروع به گوش دادن کنید. متد Start() بلافاصله پس از listener برمی گردد.Start() فراخوانی می شود.

// در انتظار اتصال؛ متد بلافاصله برمی گردد.

II انتظار در یک موضوع جداگانه انجام می شود

برای پذیرش اتصال ارائه شده، سرور خط مشی متد ()BeginAcceptTcpClient را فراخوانی می کند. مانند تمام متدهای Beginxxx() فریم ورک دات نت، بلافاصله پس از فراخوانی باز می گردد و عملیات لازم را روی یک رشته مجزا انجام می دهد. برای برنامه های شبکه، این یک عامل بسیار مهم است، زیرا اجازه می دهد تا بسیاری از درخواست ها برای فایل های سیاست به طور همزمان پردازش شوند.

توجه داشته باشید. برنامه نویسان شبکه مبتدی اغلب تعجب می کنند که چگونه می توان بیش از یک درخواست را در یک زمان انجام داد و فکر می کنند که این کار به چندین سرور نیاز دارد. با این حال، اینطور نیست. با این رویکرد، برنامه های مشتری به سرعت تمام می شوند پورت های موجود. در عمل، برنامه های سرور بسیاری از درخواست ها را از طریق یک پورت پردازش می کنند. این فرآیند برای برنامه‌ها نامرئی است، زیرا زیرسیستم TCP داخلی ویندوز به‌طور خودکار پیام‌ها را شناسایی کرده و آنها را به سمت اشیاء مناسب در کد برنامه هدایت می‌کند. هر اتصال به طور منحصر به فرد بر اساس چهار پارامتر شناسایی می شود: آدرس IP مشتری، شماره پورت مشتری، آدرس IP سرور و شماره پورت سرور.

در هر درخواست، متد ()OnAcceptTcpClient بازگشت به تماس فعال می شود. مجدداً متد BeginAcceptTcpClient O's را فراخوانی می کند تا منتظر درخواست بعدی در یک رشته دیگر باشد و سپس پردازش درخواست فعلی را آغاز می کند.

عمومی void OnAcceptTcpClient (IAsyncResult ag) (

اگر (isStopped) بازگشت;

Console.WriteLine ("درخواست خط مشی دریافت شد."); // در انتظار اتصال بعدی.

listener.BeginAcceptTcpClient(OnAcceptTcpClient، null);

// اتصال فعلی را پردازش کنید.

TcpClient client = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = new PolicyConnection(client, policy); PolicyConnection.HandleRequest();

گرفتن (Err Exception) (

هر بار که یک اتصال جدید دریافت می شود، یک شیء PolicyConnection جدید برای مدیریت آن ایجاد می شود. علاوه بر این، شی PolicyConnection فایل Policy را حفظ می کند.

آخرین مؤلفه کلاس PolicyServer متد ()Stop است که از انتظار برای درخواست ها می ایستد. برنامه زمانی که خارج می شود آن را فراخوانی می کند.

خصوصی bool isStoppped;

عمومی void StopO (

isStopped = درست است.

شنونده متوقف کردن()؛

گرفتن (Err Exception) (

Console.WriteLine(err.Message);

برای راه اندازی سرور سیاست، از کد زیر در متد Main() سرور برنامه استفاده می شود.

فضای خالی استاتیک اصلی (ارگ های رشته ای) (

PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start();

Console.WriteLine ("سرور سیاست در حال اجرا است."); Console.WriteLine ("برای خروج Enter را فشار دهید.");

// در انتظار فشار دادن کلید؛ با استفاده از متد // Console.ReadKey()، می توانید انتظارات را برای یک خط // خاص تنظیم کنید (به عنوان مثال، خروج) یا فشار دادن هر کلید Console.ReadLine();

PolicyServer.Stop();

Console.WriteLine("End Policy Server.");

کلاس PolicyConnection

کلاس PolicyConnection کار ساده تری را انجام می دهد. شی PolicyConnection یک مرجع به داده های فایل سیاست ذخیره می کند. سپس، پس از فراخوانی متد HandleRequest()، شی PolicyConnection یک اتصال جدید از جریان شبکه واکشی می کند و سعی می کند آن را بخواند. دستگاه سرویس گیرنده باید یک رشته حاوی متن را ارسال کند.پس از خواندن این متن، دستگاه سرویس گیرنده داده های خط مشی را در جریان می نویسد و اتصال را می بندد. در زیر کد کلاس PolicyConnection آمده است.

Public class Connection Policy(

کلاینت خصوصی TcpClient؛ سیاست بایت خصوصی؛

Public PolicyConnection (کلاینت TcpClient، خط مشی بایت) (

this.client = مشتری; this.policy = سیاست;

// ایجاد یک درخواست کلاینت برای رشته استاتیک خصوصی PolicyRequestString = "

Public void HandleRequest() (

Stream s = client.GetStream(); // رشته پرس و جو سیاست را بخوانید

بایت بافر = بایت جدید.

// فقط 5 ثانیه مشتری صبر کنید. ReceiveTimeout = 5000;'

s.Read (بافر، 0، بافر. طول)؛

// عبور از خط مشی (همچنین می توانید بررسی کنید که آیا خط مشی // درخواست دارای محتوای مورد نیاز است) s.Write(policy, 0, policy.Length);

//Close Connection client.Close();

Console.WriteLine ("پرونده سیاست ارائه شد.");

بنابراین ما یک سرور خط مشی کاملاً کاربردی داریم. متأسفانه، هنوز نمی‌توان آن را آزمایش کرد زیرا افزونه Silverlight به شما اجازه نمی‌دهد صریحاً فایل‌های خط‌مشی را درخواست کنید. در عوض، زمانی که می‌خواهید از یک برنامه سوکت استفاده کنید، به طور خودکار از آنها درخواست می‌کند. قبل از اینکه بتوانید یک برنامه مشتری برای یک برنامه سوکت معین ایجاد کنید، باید یک سرور ایجاد کنید.

ادامه موضوع:

مقالات جدید

/

 


خواندن:



چرا یک لپ تاپ به یک SSD کوچک نیاز دارد و آیا ارزش نصب ویندوز روی آن را دارد؟

چرا یک لپ تاپ به یک SSD کوچک نیاز دارد و آیا ارزش نصب ویندوز روی آن را دارد؟

درایو SSD چقدر برای بازی ها مهم است ، چه تأثیری دارد و چه فایده ای از این فناوری دارد - این همان چیزی است که در مقاله ما مورد بحث قرار خواهد گرفت. حالت جامد...

تعمیر فلش مموری با استفاده از برنامه ها نحوه تعمیر پورت USB در لپ تاپ

تعمیر فلش مموری با استفاده از برنامه ها نحوه تعمیر پورت USB در لپ تاپ

چگونه پورت USB را تعمیر کنیم؟ پاسخ تکنسین: هنگام استفاده از رایانه، درگاه‌های USB اغلب خراب می‌شوند. اول از همه شکست می خورند...

ساختار دیسک آسیب دیده است، خواندن غیرممکن است، چه باید بکنم؟

ساختار دیسک آسیب دیده است، خواندن غیرممکن است، چه باید بکنم؟

رایانه های شخصی کاربران اغلب اطلاعات مهم را ذخیره می کنند - اسناد، عکس ها، فیلم ها، اما پشتیبان گیری از داده ها معمولاً ...

کامپیوتر از چه چیزی تشکیل شده است؟

کامپیوتر از چه چیزی تشکیل شده است؟

تاریخ انتشار: 1396/01/14 با سلام خدمت دوستان امروز به طور مفصل به طراحی واحد سیستم کامپیوتر می پردازیم. بیایید بفهمیم چه ...

فید-تصویر RSS