بخش های سایت
انتخاب سردبیر:
- بررسی سرعت اینترنت: مروری بر روشها چگونه سرعت واقعی اینترنت را از ارائهدهنده خود بفهمیم
- سه راه برای باز کردن ویرایشگر رجیستری ویندوز باز کردن رجیستری با استفاده از جستجو
- نحوه پارتیشن بندی هارد دیسک
- هارد دیسک را به پارتیشن تقسیم می کنیم
- وقتی کامپیوتر روشن می شود بوق می دهد
- تغییر صحیح پسوند فایل در ویندوز نحوه تغییر پسوند آرشیو
- مسدود کردن تبلیغات در YouTube YouTube بدون تبلیغات
- TeamViewer - کنترل کامپیوتر از راه دور برنامه را برای برقراری ارتباط با رایانه دیگری دانلود کنید
- نحوه پیدا کردن ویژگی های رایانه خود در ویندوز: روش های سیستم و برنامه های ویژه
- ما مرورگرها را در دستگاه های مختلف به روز می کنیم: رایانه، تبلت، تلفن هوشمند مرورگر به روز شده را کجا و چگونه نصب کنید
تبلیغات
شرح مفصلی از خط مشی سرور در مورد آن ارائه دهید. کار با گروه های مدیریت و مسیریابی |
سخنرانی 4 سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی امنیتی سخنرانی 4 موضوع: سرور خط مشی شبکه: سرور RADIUS، پراکسی RADIUS و سرور خط مشی حفاظت از دسترسی به شبکه معرفی Windows Server 2008 و Windows Server 2008 R2 سیستم عامل های پیشرفته ویندوز سرور هستند که برای فعال کردن نسل جدیدی از شبکه، برنامه ها و سرویس های وب طراحی شده اند. با اینها سیستم های عاملشما می توانید تجارب انعطاف پذیر و جامع را برای کاربران و برنامه ها طراحی، ارائه و مدیریت کنید، زیرساخت های شبکه ای بسیار امن ایجاد کنید و کارایی و سازماندهی فناوری را در سازمان خود افزایش دهید. سرور خط مشی شبکه Network Policy Server به شما امکان می دهد خط مشی های دسترسی به شبکه را در سطح سازمان ایجاد و اجرا کنید تا از سلامت کلاینت و تأیید اعتبار و مجوز درخواست های اتصال اطمینان حاصل کنید. علاوه بر این، NPS می تواند به عنوان یک پراکسی RADIUS برای ارسال درخواست های اتصال به NPS یا سایر سرورهای RADIUS که در گروه های سرور RADIUS راه دور پیکربندی شده اند استفاده شود. سرور خط مشی شبکه به شما اجازه می دهد تا با استفاده از سه قابلیت زیر، احراز هویت، مجوز، و خط مشی های سلامت کلاینت را پیکربندی و مدیریت کنید: سرور RADIUS. سرور سیاست شبکه به طور مرکزی احراز هویت، مجوز، و حسابداری برای اتصالات بی سیم، اتصالات سوئیچ تأیید شده، اتصالات شماره گیری و اتصالات شبکه خصوصی مجازی (VPN) را مدیریت می کند. هنگام استفاده از NPS به عنوان سرور RADIUS، سرورهای دسترسی به شبکه، مانند نقاط دسترسی بی سیم و سرورهای VPN، به عنوان مشتریان RADIUS در NPS پیکربندی می شوند. بهعلاوه، شما خطمشیهای شبکهای را که NPS برای تأیید درخواستهای اتصال استفاده میکند، پیکربندی میکنید. علاوه بر این، میتوانید حسابداری RADIUS را به گونهای پیکربندی کنید که NPS دادهها را در فایلهای گزارش ذخیره شده در هارد دیسک محلی شما یا در پایگاه داده مایکروسافت ثبت کند. SQL Server. پراکسی RADIUS. اگر NPS به عنوان یک پراکسی RADIUS استفاده میشود، باید خطمشیهای درخواست اتصال را پیکربندی کنید که تعیین کند NPS کدام درخواستهای اتصال را به سرورهای RADIUS دیگر ارسال کند و این درخواستها به کدام سرورهای RADIUS خاص ارسال شود. همچنین میتوانید سرور سیاست شبکه را پیکربندی کنید تا اعتبارنامهها را تغییر مسیر دهد تا آنها را در یک یا چند رایانه در گروهی از سرورهای RADIUS راه دور ذخیره کند. سرور خط مشی حفاظت از دسترسی به شبکه (NAP). هنگامی که NPS به عنوان یک سرور خط مشی NAP پیکربندی می شود، NPS وضعیت سلامت ارسال شده توسط رایانه های سرویس گیرنده دارای NAP را که تلاش می کنند به شبکه متصل شوند، ارزیابی می کند. سرور خط مشی شبکه که با Network Access Protection پیکربندی شده است، به عنوان یک سرور RADIUS برای احراز هویت و تأیید درخواست های اتصال عمل می کند. در سرور خط مشی شبکه، میتوانید سیاستها و تنظیمات حفاظت از دسترسی به شبکه، از جمله بررسیکنندههای سلامت سیستم، خطمشیهای سلامت، و بهروزرسانی گروههای سرور را پیکربندی کنید تا اطمینان حاصل شود که پیکربندی رایانههای سرویس گیرنده مطابق با خطمشی شبکه سازمان شما بهروزرسانی میشود. Network Policy Server را می توان با هر ترکیبی از گزینه های بالا پیکربندی کرد. به عنوان مثال، یک سرور خط مشی شبکه می تواند به عنوان یک سرور خط مشی حفاظت از دسترسی به شبکه با استفاده از یک یا چند روش اجرایی عمل کند، در حالی که به طور همزمان به عنوان یک سرور RADIUS برای اتصالات دسترسی از راه دور و به عنوان یک پراکسی RADIUS برای ارسال برخی درخواست های اتصال به گروهی از RADIUS راه دور عمل می کند. سرورها که به شما اجازه می دهد تا احراز هویت و مجوز را در دامنه دیگری انجام دهید. سرور RADIUS و پراکسی RADIUS سرور خط مشی شبکه می تواند به عنوان سرور RADIUS، یک پروکسی RADIUS یا هر دو به طور همزمان استفاده شود. سرور RADIUS سرور سیاست شبکه مایکروسافت مطابق با استاندارد RADIUS، همانطور که در IETF RFC 2865 و RFC 2866 توضیح داده شده است، پیاده سازی شده است. دسترسی، تغییر احراز هویت، دسترسی از راه دور و VPN، و اتصالات بین روترها. Network Policy Server مجموعه متنوعی از تجهیزات بی سیم، شماره گیری، VPN و سوئیچینگ را فعال می کند. سرور سیاست شبکه را می توان با سرویس مسیریابی و دسترسی از راه دور که در سیستم عامل ها موجود است استفاده کرد. سیستم های مایکروسافت Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition و Windows Server 2003, Datacenter Edition. اگر رایانه ای که سرور خط مشی شبکه را اجرا می کند عضو باشد دامنه فعال Directory® Network Policy Server از این سرویس دایرکتوری به عنوان پایگاه داده حساب کاربری استفاده می کند و بخشی از یک راه حل ورود به سیستم است. از همین مجموعه اعتبارنامه ها برای کنترل دسترسی به شبکه (تأیید هویت و مجوز دسترسی به شبکه) و ورود به دامنه Active Directory استفاده می شود. ارائهدهندگان خدمات اینترنتی و سازمانهایی که دسترسی به شبکه را فراهم میکنند با چالشهای بزرگتری در مدیریت انواع شبکهها از یک نقطه مدیریتی، بدون توجه به تجهیزات دسترسی به شبکه مورد استفاده، مواجه هستند. استاندارد RADIUS از این قابلیت در محیط های همگن و ناهمگن پشتیبانی می کند. پروتکل RADIUS یک پروتکل سرویس گیرنده-سرور است که به تجهیزات دسترسی به شبکه (که به عنوان کلاینت های RADIUS عمل می کنند) اجازه می دهد تا احراز هویت و درخواست های حسابداری را به سرور RADIUS ارسال کنند. سرور RADIUS به اطلاعات حساب کاربر دسترسی دارد و می تواند اعتبارنامه ها را در حین احراز هویت برای اعطای دسترسی به شبکه تأیید کند. اگر اعتبار کاربر معتبر باشد و تلاش برای اتصال مجاز باشد، سرور RADIUS دسترسی کاربر را بر اساس شرایط مشخص شده مجاز میکند و اطلاعات اتصال را در گزارش ثبت میکند. استفاده از پروتکل RADIUS به شما این امکان را می دهد که به جای انجام این عملیات در هر سرور دسترسی، اطلاعات احراز هویت، مجوز، و حسابداری را در یک مکان جمع آوری و نگهداری کنید. پراکسی RADIUS NPS به عنوان یک پراکسی RADIUS، احراز هویت و پیام های حسابداری را به سرورهای RADIUS دیگر ارسال می کند. با Network Policy Server، سازمانها میتوانند زیرساخت دسترسی از راه دور خود را به یک ارائهدهنده خدمات برون سپاری کنند و در عین حال کنترل بر احراز هویت، مجوز و حسابداری کاربر را حفظ کنند. تنظیمات سرور خط مشی شبکه را می توان برای سناریوهای زیر ایجاد کرد: دسترسی بی سیم اتصال از راه دور یا مجازی شبکه خصوصیدر سازمان. دسترسی از راه دوریا دسترسی بی سیم ارائه شده توسط یک سازمان خارجی دسترسی به اینترنت دسترسی تایید شده به منابع شبکه خارجیبرای شرکای تجاری نمونه هایی از تنظیمات سرور RADIUS و پراکسی RADIUS نمونه های پیکربندی زیر نحوه پیکربندی NPS را به عنوان سرور RADIUS و پراکسی RADIUS نشان می دهد. NPS به عنوان یک سرور RADIUS. در این مثال، سرور NPS به عنوان یک سرور RADIUS پیکربندی شده است، تنها خط مشی پیکربندی شده، خط مشی درخواست اتصال پیش فرض است و تمام درخواست های اتصال توسط سرور NPS محلی پردازش می شوند. Network Policy Server میتواند کاربرانی را که حسابهایشان در دامنه سرور یا در دامنههای مورد اعتماد است، احراز هویت کرده و مجوز دهد. NPS به عنوان یک پراکسی RADIUS. در این مثال، NPS بهعنوان یک پراکسی RADIUS پیکربندی شده است که درخواستهای اتصال را به گروههایی از سرورهای RADIUS راه دور در دو دامنه متفاوت غیرقابل اعتماد ارسال میکند. خط مشی درخواست اتصال پیشفرض حذف شده و با دو خطمشی درخواست اتصال جدید جایگزین میشود که درخواستها را به هر یک از دو دامنه غیرقابل اعتماد ارسال میکند. در این مثال، NPS درخواست های اتصال در سرور محلی را پردازش نمی کند. NPS هم به عنوان سرور RADIUS و هم به عنوان پروکسی RADIUS. علاوه بر خطمشی درخواست اتصال پیشفرض که درخواستها را به صورت محلی پردازش میکند، یک خطمشی درخواست اتصال جدید ایجاد میشود که آنها را به NPS یا سرور RADIUS دیگری در یک دامنه غیرقابل اعتماد ارسال میکند. سیاست دوم پروکسی نام دارد. که در در این مثالخط مشی پروکسی برای اولین بار در لیست مرتب شده خط مشی ها ظاهر می شود. اگر درخواست اتصال با خط مشی پروکسی مطابقت داشته باشد، درخواست اتصال به سرور RADIUS در گروه سرور RADIUS راه دور ارسال می شود. اگر یک درخواست اتصال با خط مشی پروکسی مطابقت نداشته باشد، اما با خط مشی درخواست اتصال پیش فرض مطابقت داشته باشد، NPS درخواست اتصال را پردازش می کند. سرور محلی. اگر درخواست اتصال با هیچ یک از این خط مشی ها مطابقت نداشته باشد، رد می شود. NPS به عنوان یک سرور RADIUS با سرورهای حسابداری از راه دور. در این مثال، NPS محلی برای حسابداری پیکربندی نشده است و خط مشی درخواست اتصال پیشفرض به گونهای اصلاح شده است که پیامهای حسابداری RADIUS به NPS یا سرور RADIUS دیگری در گروه سرورهای RADIUS راه دور ارسال میشوند. اگرچه پیامهای حسابداری بازارسال میشوند، پیامهای احراز هویت و مجوز ارسال نمیشوند و عملکردهای مرتبط برای دامنه محلی و همه دامنههای مورد اعتماد توسط سرور NPS محلی انجام میشوند. NPS با RADIUS از راه دور به نگاشت کاربر ویندوز. در این مثال، NPS هم به عنوان یک سرور RADIUS و هم به عنوان یک پروکسی RADIUS برای هر درخواست اتصال جداگانه عمل می کند و درخواست احراز هویت را به یک سرور RADIUS راه دور ارسال می کند و همزمان با استفاده از حساب کاربری محلی ویندوز مجوز را انجام می دهد. این پیکربندی با تنظیم Remote RADIUS Server Mapping روی ویژگی Windows User به عنوان شرط خط مشی درخواست اتصال پیاده سازی می شود. (علاوه بر این، شما باید یک حساب کاربری محلی روی سرور RADIUS با همان نام حساب راه دور ایجاد کنید که توسط سرور RADIUS راه دور احراز هویت شود.) سرور خط مشی حفاظت از دسترسی به شبکه حفاظت از دسترسی به شبکه در Windows Vista®، Windows® 7، Windows Server® 2008 و Windows Server® 2008 R2 گنجانده شده است. این کمک می کند تا دسترسی ایمن به شبکه های خصوصی را با اطمینان از اینکه رایانه های سرویس گیرنده با خط مشی های بهداشتی موجود در شبکه سازمان مطابقت دارند، در هنگام اجازه دسترسی به آن مشتریان به منابع شبکه، کمک می کند. علاوه بر این، انطباق رایانه سرویس گیرنده با خط مشی بهداشتی تعریف شده توسط سرپرست توسط «حفاظت دسترسی به شبکه» در حالی که رایانه سرویس گیرنده به شبکه متصل است، نظارت می شود. با ویژگی بهروزرسانی خودکار حفاظت از دسترسی به شبکه، رایانههای ناسازگار را میتوان بهطور خودکار به خطمشی سلامت بهروزرسانی کرد و به آنها اجازه دسترسی به شبکه را داد. مدیران سیستم خطمشیهای سلامت شبکه را تعریف میکنند و آن خطمشیها را با استفاده از مؤلفههای حفاظت از دسترسی به شبکه که از سرور سیاست شبکه در دسترس هستند یا توسط شرکتهای دیگر ارائه میشوند (بسته به اجرای حفاظت از دسترسی به شبکه) ایجاد میکنند. خطمشیهای سلامت میتوانند دارای ویژگیهایی مانند الزامات نرمافزار، الزامات بهروزرسانی امنیتی و الزامات پارامترهای پیکربندی باشند. حفاظت از دسترسی به شبکه، سیاستهای بهداشتی را برای بررسی و ارزیابی سلامت رایانههای مشتری اعمال میکند و محدود میکند دسترسی شبکهبرای رایانه هایی که این الزامات را ندارند و اصلاح این مغایرت به منظور دسترسی نامحدود به شبکه. ابزار GPResultexe– یک برنامه کنسولی است که برای تجزیه و تحلیل تنظیمات و تشخیص خط مشی های گروهی که برای رایانه و/یا کاربر در دامنه اکتیو دایرکتوری اعمال می شود، طراحی شده است. به طور خاص، GPResult به شما امکان میدهد دادههایی را از مجموعه سیاستهای حاصله (مجموعه سیاستهای نتیجه، RSOP)، فهرستی از خطمشیهای دامنه اعمالشده (GPO)، تنظیمات آنها و اطلاعات دقیقدر مورد اشتباهات در پردازش آنها این ابزار از زمان ویندوز XP بخشی از سیستم عامل ویندوز بوده است. ابزار GPResult به شما امکان می دهد به سؤالات زیر پاسخ دهید: آیا خط مشی خاصی برای رایانه اعمال می شود، کدام GPO این یا آن تنظیمات ویندوز را تغییر داده است و دلایل آن را درک کنید. در این مقاله به بررسی ویژگیهای استفاده از دستور GPResult برای تشخیص و رفع اشکال کاربرد سیاستهای گروهی در دامنه اکتیو دایرکتوری میپردازیم. در ابتدا برای تشخیص کاربرد سیاست های گروهی در ویندوز از آن استفاده شد کنسول گرافیکی RSOP.msc، که امکان به دست آوردن تنظیمات سیاست های حاصل (دامنه + محلی) اعمال شده بر روی رایانه و کاربر را به شکل گرافیکی مشابه کنسول ویرایشگر GPO (در زیر، در مثال کنسول RSOP.msc) ممکن می سازد. مشاهده، می توانید ببینید که تنظیمات به روز رسانی تنظیم شده است). با این حال، استفاده از کنسول RSOP.msc در نسخه های مدرن ویندوز توصیه نمی شود، زیرا تنظیمات اعمال شده توسط برنامه های افزودنی مختلف سمت مشتری (CSE) مانند GPP (Preferences Policy Group) را منعکس نمی کند، امکان جستجو را نمی دهد و اطلاعات تشخیصی کمی ارائه می دهد. بنابراین، در حال حاضر، دستور GPResult ابزار اصلی برای تشخیص استفاده از GPO در ویندوز است (در ویندوز 10 حتی یک هشدار به نظر می رسد که RSOP برخلاف GPResult گزارش کاملی ارائه نمی دهد). با استفاده از ابزار GPResult.exeدستور GPResult بر روی رایانه ای که می خواهید اعمال سیاست های گروه را در آن بررسی کنید اجرا می شود. دستور GPResult دارای دستور زیر است: GPRESULT ]] [(/X | /H)<имя_файла> ] برای دریافت اطلاعات دقیق در مورد خط مشی های گروهی که برای یک شیء AD (کاربر و رایانه) اعمال می شود و سایر تنظیمات مربوط به زیرساخت GPO (یعنی تنظیمات خط مشی GPO حاصل - RsoP)، دستور را اجرا کنید: نتایج دستور به 2 بخش تقسیم می شود:
اجازه دهید به طور مختصر به پارامترها/بخش های اصلی که ممکن است در خروجی GPResult ما را علاقه مند کند، بپردازیم:
در مثال ما، می توانید ببینید که شی کاربر تابع 4 خط مشی گروه است.
اگر نمیخواهید اطلاعات مربوط به سیاستهای کاربر و رایانه به طور همزمان در کنسول نمایش داده شود، میتوانید از گزینه /scope برای نمایش تنها بخشی که به آن علاقه دارید استفاده کنید. فقط خطمشیهای کاربر حاصل: gpresult /r /scope:user یا فقط سیاست های کامپیوتری اعمال می شود: gpresult /r /scope:computer زیرا ابزار Gpresult داده های خود را مستقیماً به کنسول خط فرمان خروجی می دهد، که همیشه برای تجزیه و تحلیل بعدی راحت نیست؛ خروجی آن را می توان به کلیپ بورد هدایت کرد: Gpresult /r | کلیپ یا فایل متنی: Gpresult /r > c:\gpresult.txt برای نمایش اطلاعات فوق العاده دقیق RSOP، باید سوئیچ /z را اضافه کنید. گزارش HTML RSOP با استفاده از GPResultعلاوه بر این، ابزار GPResult میتواند یک گزارش HTML از سیاستهای اعمال شده (در ویندوز 7 و بالاتر) ایجاد کند. این گزارش حاوی اطلاعات دقیقدر مورد تمام پارامترهای سیستمی که توسط خط مشی های گروه تنظیم می شوند و نام GPO های خاصی که آنها را تنظیم می کنند (گزارش ساختار حاصل شبیه به برگه تنظیمات در Domain Group Policy Management Console - GPMC است). می توانید با استفاده از دستور زیر یک گزارش GPResult HTML ایجاد کنید: نتیجه GPR /h c:\gp-report\report.html /f برای ایجاد گزارش و باز کردن خودکار آن در مرورگر، دستور زیر را اجرا کنید: GPResult /h GPResult.html و GPResult.html گزارش gpresult HTML حاوی مقدار زیادی است اطلاعات مفید: خطاهای برنامه GPO، زمان پردازش (بر حسب میلیثانیه) و اعمال سیاستهای خاص و CSE قابل مشاهده است (در قسمت Computer Details -> Component Status). به عنوان مثال، در اسکرین شات بالا می بینید که خط مشی با تنظیمات به خاطر سپردن 24 رمز عبور توسط Default Domain Policy (ستون Winning GPO) اعمال می شود. همانطور که می بینید، این گزارش HTML برای تجزیه و تحلیل سیاست های اعمال شده بسیار راحت تر از کنسول rsop.msc است. دریافت داده های GPResult از یک کامپیوتر راه دورGPResult همچنین میتواند دادهها را از یک رایانه راه دور جمعآوری کند و نیازی به ورود سرپرست به صورت محلی یا RDP به رایانه راه دور را از بین ببرد. فرمت دستور برای جمع آوری داده های RSOP از یک کامپیوتر راه دور به شرح زیر است: GPR نتیجه /s سرور-ts1 /r به طور مشابه، می توانید از راه دور داده ها را از خط مشی های کاربر و خط مشی های رایانه جمع آوری کنید. نام کاربری داده RSOP نداردهنگامی که UAC فعال است، اجرای GPResult بدون امتیازات بالا، تنظیمات تنها بخش خط مشی گروه کاربر را نمایش می دهد. اگر نیاز دارید هر دو بخش (تنظیمات کاربر و تنظیمات کامپیوتر) را همزمان نمایش دهید، دستور باید اجرا شود. اگر خط فرمان به سیستمی متفاوت از کاربر فعلی ارتقا یابد، ابزار یک هشدار صادر می کند اطلاعات:کاربر"دامنه\کاربر"میکندنهدارندRSOPداده ها (کاربر "دامنه\ کاربر" داده RSOP ندارد). این به این دلیل اتفاق می افتد که GPResult سعی می کند اطلاعاتی را برای کاربری که آن را راه اندازی کرده است جمع آوری کند، اما به دلیل ... این کاربربه سیستم وارد نشد، هیچ اطلاعات RSOP برای آن وجود ندارد. برای جمع آوری اطلاعات RSOP برای یک کاربر با یک جلسه فعال، باید حساب کاربری او را مشخص کنید: gpresult /r /user:tn\edward اگر نام حسابی را که وارد شده اید نمی دانید کامپیوتر از راه دور، می توانید یک حساب کاربری مانند زیر دریافت کنید: qwinsta /SERVER:remotePC1 همچنین زمان(های) مشتری را بررسی کنید. زمان باید با زمان روی PDC (Primary Domain Controller) مطابقت داشته باشد. خطمشیهای GPO زیر اعمال نشدند زیرا فیلتر شده بودندهنگام عیبیابی خطمشیهای گروه، باید به این بخش نیز توجه کنید: GPOهای زیر به دلیل فیلتر شدن اعمال نشدند. این بخش فهرستی از GPO ها را نشان می دهد که به دلایلی برای این شی اعمال نمی شوند. گزینه های ممکنکه ممکن است این سیاست برای آنها اعمال نشود: همچنین میتوانید متوجه شوید که آیا این خطمشی باید روی یک شی AD خاص در برگه مجوزهای مؤثر اعمال شود (پیشرفته -> دسترسی مؤثر). بنابراین، در این مقاله به ویژگیهای تشخیص کاربرد سیاستهای گروهی با استفاده از ابزار GPResult و سناریوهای معمولی برای استفاده از آن نگاه کردیم. هنگام نصب ویندوز، اکثر زیرسیستم های فرعی فعال یا نصب نمی شوند. این کار به دلایل امنیتی انجام می شود. از آنجایی که سیستم به طور پیش فرض امن است، مدیران سیستممی تواند بر طراحی سیستمی تمرکز کند که به طور انحصاری عملکردهای اختصاص داده شده به آن را انجام دهد و نه بیشتر. برای کمک به فعال کردن ویژگیهای مورد نیاز، ویندوز از شما میخواهد که یک نقش سرور را انتخاب کنید. نقش هانقش سرور مجموعهای از برنامهها است که وقتی به درستی نصب و پیکربندی شوند، به رایانه اجازه میدهند تا عملکرد خاصی را برای چندین کاربر یا رایانههای دیگر در یک شبکه انجام دهد. به طور کلی همه نقش ها دارای ویژگی های زیر هستند.
خدمات نقشخدمات نقش برنامه هایی هستند که ارائه می کنند عملکردنقش ها وقتی نقشی را نصب میکنید، میتوانید انتخاب کنید که چه خدماتی به سایر کاربران و رایانههای موجود در سازمان ارائه میکند. برخی از نقش ها، مانند سرور DNS، تنها یک عملکرد را انجام می دهند، بنابراین هیچ سرویس نقشی برای آنها وجود ندارد. نقشهای دیگر، مانند سرویسهای دسکتاپ از راه دور، دارای چندین سرویس هستند که بسته به نیازهای کسب و کار شما به دسترسی از راه دور قابل نصب هستند. یک نقش را می توان به عنوان مجموعه ای از خدمات نقش مکمل و نزدیک مرتبط در نظر گرفت. در بیشتر موارد، نصب یک نقش به معنای نصب یک یا چند سرویس آن است. اجزاء مؤلفهها برنامههایی هستند که مستقیماً بخشی از نقشها نیستند، اما بدون توجه به اینکه کدام نقشها نصب شدهاند، عملکرد یک یا چند نقش یا کل سرور را پشتیبانی یا گسترش میدهند. به عنوان مثال، ویژگی Failover Cluster، عملکرد نقشهای دیگر مانند File Services و DHCP Server را با امکان پیوستن به خوشههای سرور گسترش میدهد و افزونگی و کارایی را افزایش میدهد. مؤلفه دیگر - "Telnet Client" - ارتباط راه دور با سرور Telnet را از طریق فراهم می کند اتصال شبکه. این ویژگی قابلیت های ارتباطی سرور را افزایش می دهد. هنگامی که ویندوز سرور در حالت پایه اجرا می شود اجزای سرور، نقش های سرور زیر پشتیبانی می شوند:
هنگامی که Windows Server در حالت Server Core اجرا می شود، اجزای سرور زیر پشتیبانی می شوند:
نصب نقش های سرور با استفاده از مدیر سروربرای افزودن، Server Manager را باز کنید و در منوی Manage روی Add Roles and features کلیک کنید: جادوگر افزودن نقش ها و ویژگی ها باز می شود. روی Next کلیک کنید نوع نصب، نصب مبتنی بر نقش یا ویژگی را انتخاب کنید. بعد: انتخاب سرور - سرور ما را انتخاب کنید. روی نقشهای سرور بعدی کلیک کنید - نقشها را انتخاب کنید، در صورت لزوم، سرویسهای نقش را انتخاب کنید و برای انتخاب مؤلفهها روی Next کلیک کنید. در طی این روش، جادوگر افزودن نقشها و ویژگیها بهطور خودکار به شما اطلاع میدهد که در سرور مقصد تداخلی وجود داشته باشد که ممکن است نقشها یا ویژگیهای انتخابشده را از نصب یا عملکرد درست جلوگیری کند. همچنین از شما خواسته میشود که نقشها، خدمات نقشها و ویژگیهایی را که برای نقشها یا ویژگیهای انتخابی لازم است اضافه کنید. نصب نقش ها با استفاده از PowerShellWindows PowerShell را باز کنید، دستور Get-WindowsFeature را وارد کنید تا لیستی از نقش ها و ویژگی های موجود و نصب شده در سرور محلی را مشاهده کنید. نتایج این cmdlet شامل نام دستورات نقش ها و ویژگی هایی است که نصب شده و برای نصب در دسترس هستند. برای مشاهده نحو و پارامترهای معتبر cmdlet Install-WindowsFeature (MAN) Get-Help Install-WindowsFeature را تایپ کنید. دستور زیر را وارد کنید (در صورت نیاز به راه اندازی مجدد هنگام نصب نقش، سرور را Restart مجدداً راه اندازی می کند). Install-WindowsFeature –Name شرح نقش ها و خدمات نقشتمام نقش ها و خدمات نقش در زیر توضیح داده شده است. بیایید به پیکربندی پیشرفته برای رایج ترین موارد در عمل خود نگاه کنیم: نقش وب سرور و خدمات دسکتاپ از راه دور توضیحات مفصل IIS
توضیحات مفصل RDS
بیایید نصب و پیکربندی سرور مجوز ترمینال را بررسی کنیم. در بالا نحوه نصب نقش ها را توضیح می دهد، نصب RDS هیچ تفاوتی با نصب نقش های دیگر ندارد؛ در Role Services باید Remote Desktop Licensing و Remote Desktop Session Host را انتخاب کنیم. پس از نصب، مورد Terminal Services در Server Manager-Tools ظاهر می شود. Terminal Services دارای دو مورد است: RD Licensing Diagnoser که یک ابزار تشخیصی برای صدور مجوز از راه دور دسکتاپ است و Remote Desktop Licensing Manager که یک ابزار مدیریت مجوز است. بیایید RD Licensing Diagnoster را راه اندازی کنیم در اینجا می بینیم که هنوز مجوزی در دسترس نیست زیرا حالت مجوز برای سرور میزبان جلسه از راه دور دسکتاپ تنظیم نشده است. سرور مجوز در خط مشی های گروه محلی مشخص شده است. برای راه اندازی ویرایشگر، دستور gpedit.msc را اجرا کنید. ویرایشگر خط مشی گروه محلی باز می شود. در درخت سمت چپ، اجازه دهید برگه ها را باز کنیم:
باز کردن پارامترها از سرورهای مجوز دسکتاپ راه دور مشخص شده استفاده کنید در پنجره ویرایش تنظیمات خط مشی، سرور صدور مجوز (فعال) را فعال کنید. در مرحله بعد، باید سرور صدور مجوز برای خدمات دسکتاپ از راه دور را تعیین کنید. در مثال من، سرور مجوز در همان سرور فیزیکی قرار دارد. نشان می دهیم نام شبکهیا آدرس IP سرور مجوز و OK را کلیک کنید. اگر در آینده نام سرور را تغییر دهید، سرور مجوز باید در همان بخش تغییر کند. پس از این، در RD Licensing Diagnoser می توانید ببینید که سرور مجوز ترمینال پیکربندی شده است، اما فعال نیست. برای فعال کردن، Remote Desktop Licensing Manager را راه اندازی کنید یک سرور مجوز با وضعیت فعال نشده انتخاب کنید. برای فعال سازی روی آن کلیک راست کرده و گزینه Activate Server را انتخاب کنید. جادوگر فعال سازی سرور راه اندازی می شود. در تب Connection Method، Automatic Connection را انتخاب کنید. در مرحله بعد، اطلاعات مربوط به سازمان را پر کنید و پس از آن سرور مجوز فعال می شود. خدمات گواهی اکتیو دایرکتوریAD CS خدمات گواهی دیجیتال قابل تنظیمی را ارائه می دهد که در سیستم های امنیتی نرم افزاری که از فناوری استفاده می کنند استفاده می شود کلیدهای عمومی، و مدیریت این گواهی ها. گواهیهای دیجیتال ارائهشده توسط AD CS میتوانند برای رمزگذاری و امضای دیجیتالی اسناد و پیامهای الکترونیکی استفاده شوند. از این گواهیهای دیجیتال میتوان برای تأیید صحت حسابهای رایانه، کاربر و دستگاه در سراسر شبکه استفاده کرد. گواهیهای دیجیتال برای اطمینان از:
AD CS می تواند برای بهبود امنیت با مرتبط کردن هویت کاربر، دستگاه یا سرویس با هویت مناسب مورد استفاده قرار گیرد کلید خصوصی. برنامه های کاربردی پشتیبانی شده توسط AD CS عبارتند از: برنامه های افزودنی ایمیل چند منظوره اینترنتی ایمن (S/MIME)، شبکه های بی سیم امن، شبکه های خصوصی مجازی (VPN)، پروتکل IPsec، سیستم فایل رمزگذاری (EFS)، ورود به کارت هوشمند، پروتکل امنیتی و امنیت لایه حمل و نقل (SSL/TLS) و امضاهای دیجیتال. خدمات دامنه اکتیو دایرکتوریبا استفاده از نقش سرور Active Directory Domain Services (AD DS)، می توانید یک زیرساخت مقیاس پذیر، ایمن و مدیریت شده برای مدیریت کاربران و منابع ایجاد کنید. همچنین میتوانید از برنامههای دایرکتوری آگاه مانند Microsoft Exchange Server پشتیبانی کنید. Active Directory Domain Services ارائه می دهد پایگاه داده توزیع شدهدادهها، که اطلاعات مربوط به منابع شبکه و دادههای برنامه فعالشده با فهرست را ذخیره و مدیریت میکند. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود. مدیران می توانند از AD DS برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار تودرتو سلسله مراتبی استفاده کنند. ساختار تودرتو سلسله مراتبی شامل جنگل اکتیو دایرکتوری، دامنه های داخل جنگل و واحدهای سازمانی در هر دامنه است. ویژگی های امنیتی به شکل احراز هویت و کنترل دسترسی به منابع موجود در دایرکتوری در AD DS یکپارچه شده است. با یک ورود به سیستم شبکه، مدیران می توانند داده های دایرکتوری و سازماندهی را در سراسر شبکه مدیریت کنند. کاربران مجاز شبکه همچنین میتوانند از یک ورود به سیستم شبکه برای دسترسی به منابعی که در هر نقطه از شبکه قرار دارند استفاده کنند. Active Directory Domain Services ویژگی های اضافی زیر را ارائه می دهد.
خدمات فدراسیون Active DirectoryAD FS یک فدراسیون هویتی ساده و ایمن و قابلیتهای یک ورود به سیستم مبتنی بر وب (SSO) را برای کاربران نهایی که نیاز به دسترسی به برنامههای کاربردی در یک شرکت، شریک فدراسیون یا ابر محافظتشده با AD FS دارند، فراهم میکند. در سرور ویندوز، AD FS شامل خدمات نقش فدراسیون خدماتی که بهعنوان یک ارائهدهنده هویت عمل میکنند (کاربران را برای ارائه نشانههای امنیتی به برنامههایی که به AD FS اعتماد دارند تأیید میکند) یا بهعنوان یک ارائهدهنده فدراسیون (توکنهایی را از سایر ارائهدهندگان هویت اعمال میکند و سپس نشانههای امنیتی را برای برنامههایی که به AD FS اعتماد دارند ارائه میکند). Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory Services (AD LDS) یک پروتکل LDAP است که پشتیبانی انعطاف پذیری را برای برنامه های دایرکتوری بدون وابستگی ها و محدودیت های دامنه خدمات دامنه Active Directory ارائه می دهد. AD LDS را می توان بر روی سرورهای عضو یا مستقل اجرا کرد. می توانید چندین نمونه از AD LDS را روی یک سرور واحد با طرحواره های مدیریت شده مستقل اجرا کنید. با استفاده از نقش سرویس AD LDS، میتوانید خدمات دایرکتوری را به برنامههای کاربردی آگاه از دایرکتوری بدون سربار دامنهها و جنگلها و بدون نیاز به یک طرح کلی جنگلی ارائه دهید. خدمات مدیریت حقوق Active DirectoryAD RMS می تواند برای ارتقای استراتژی امنیتی سازمان با حفاظت از اسناد با استفاده از مدیریت حقوق اطلاعات (IRM) استفاده شود. AD RMS به کاربران و مدیران اجازه میدهد تا با استفاده از خطمشیهای IRM، مجوزهای دسترسی را به اسناد، کتابهای کاری و ارائهها اختصاص دهند. این به محافظت از اطلاعات محرمانه از چاپ، ارسال یا کپی توسط کاربران غیرمجاز کمک می کند. هنگامی که مجوزهای فایل با استفاده از IRM محدود می شوند، محدودیت های دسترسی و استفاده بدون توجه به مکان اطلاعات اعمال می شود زیرا مجوز فایل در خود فایل سند ذخیره می شود. با AD RMS و IRM، کاربران فردی می توانند ترجیحات شخصی خود را در مورد به اشتراک گذاری اطلاعات شخصی و حساس اعمال کنند. آنها همچنین به سازمان کمک خواهند کرد تا سیاست های شرکتی را برای کنترل استفاده و انتشار اطلاعات محرمانه و شخصی اعمال کند. راه حل های IRM پشتیبانی شده توسط سرویس های AD RMS برای ارائه قابلیت های زیر استفاده می شود.
برنامه ی سرورApplication Server یک محیط یکپارچه برای استقرار و اجرای برنامه های تجاری مبتنی بر سرور سفارشی فراهم می کند. سرور DHCPDHCP یک فناوری سرویس گیرنده-سرور است که در آن سرورهای DHCP میتوانند آدرسهای IP را به رایانهها و سایر دستگاههایی که کلاینتهای DHCP هستند اختصاص یا اجاره دهند. استقرار سرورهای DHCP در یک شبکه بهطور خودکار رایانههای کلاینت و سایر دستگاههای شبکه مبتنی بر آدرسهای IP معتبر IPv4 و IPv6 را فراهم میکند. پارامترهای پیکربندی اضافی مورد نیاز این کلاینت ها و دستگاه ها.سرویس سرور DHCP در سرور ویندوز شامل پشتیبانی از تکالیف مبتنی بر خط مشی و مدیریت خرابی DHCP است. سرور DNSسرویس DNSیک پایگاه داده توزیع شده سلسله مراتبی است که حاوی نگاشت نام دامنه های DNS است انواع مختلفداده هایی مانند آدرس های IP DNS به شما امکان می دهد از نام های دوستانه مانند www.microsoft.com استفاده کنید تا مکان یابی رایانه ها و سایر منابع را در شبکه های مبتنی بر TCP/IP آسان تر کنید. Windows Server DNS پشتیبانی اضافی و پیشرفته ای را برای DNS Security Extensions (DNSSEC)، از جمله ثبت نام آنلاین و مدیریت تنظیمات خودکار ارائه می دهد. سرور فکسسرور فکس فکس ها را ارسال و دریافت می کند و همچنین به شما امکان مدیریت منابع فکس مانند مشاغل، تنظیمات، گزارش ها و دستگاه های فکس را در سرور فکس خود می دهد. خدمات فایل و ذخیره سازیمدیران میتوانند از نقش سرویسهای فایل و ذخیرهسازی برای پیکربندی چندین سرور فایل و ذخیرهسازی آنها و مدیریت آن سرورها با استفاده از Server Manager یا Windows PowerShell استفاده کنند. برخی از برنامه های خاص شامل ویژگی های زیر هستند.
Hyper-Vنقش Hyper-V به شما امکان می دهد با استفاده از فناوری مجازی سازی که در ویندوز سرور تعبیه شده است، یک محیط محاسباتی مجازی ایجاد و مدیریت کنید. نصب نقش Hyper-V پیش نیازها و همچنین ابزارهای مدیریت اختیاری را نصب می کند. اجزای مورد نیاز شامل هایپروایزرسرویس مدیریت مجازی ویندوز ماشین های Hyper-V، ارائه دهنده مجازی سازی WMI و اجزای مجازی سازی مانند VMbus، ارائه دهنده خدمات مجازی سازی (VSP) و درایور زیرساخت مجازی (VID). خط مشی شبکه و خدمات دسترسیNetwork Policy and Access Services راه حل های زیر را برای اتصالات شبکه ارائه می دهد:
خدمات چاپ و اسنادخدمات چاپ و سند به شما امکان می دهد وظایف سرور چاپ و چاپگر شبکه را متمرکز کنید. این نقش همچنین به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کنید و اسناد را در اشتراک گذاری های شبکه مانند یک سایت Windows SharePoint Services یا آپلود کنید. پست الکترونیک. دسترسی از راه دورنقش سرور دسترسی از راه دور یک گروه بندی منطقی از فناوری های دسترسی به شبکه زیر است.
این فناوری ها هستند خدمات نقشنقش های سرور دسترسی از راه دور هنگامی که نقش سرور دسترسی از راه دور را نصب می کنید، می توانید یک یا چند سرویس نقش را با اجرای جادوگر افزودن نقش ها و ویژگی ها نصب کنید. در سرور ویندوز، نقش سرور دسترسی از راه دور توانایی مدیریت، پیکربندی و نظارت بر خدمات دسترسی از راه دور DirectAccess و VPN با سرویس مسیریابی و دسترسی از راه دور (RRAS) را به صورت مرکزی فراهم می کند. DirectAccess و RRAS می توانند در سرور لبه یکسانی مستقر شوند و با استفاده از آن مدیریت شوند دستورات ویندوز PowerShell و کنسول مدیریت دسترسی از راه دور (MMC). خدمات دسکتاپ از راه دورخدمات دسکتاپ از راه دور استقرار دسکتاپ ها و برنامه ها را بر روی هر دستگاهی تسریع و گسترش می دهد، بهره وری کارگران از راه دور را افزایش می دهد و در عین حال مالکیت معنوی حیاتی را ایمن می کند و انطباق با مقررات را ساده می کند. خدمات دسکتاپ از راه دور شامل زیرساخت دسکتاپ مجازی (VDI)، دسکتاپ مبتنی بر جلسه و برنامهها است که به کاربران امکان کار از هر کجا را میدهد. خدمات فعال سازی حجمVolume Activation Services یک نقش سرور در ویندوز سرور است که در Windows Server 2012 شروع می شود و صدور مجوزهای حجمی را به صورت خودکار و ساده می کند. نرم افزارمایکروسافت و همچنین مدیریت چنین مجوزهایی در سناریوها و محیط های مختلف. همراه با Volume Activation Services، می توانید سرویس مدیریت کلید (KMS) و فعال سازی Active Directory را نصب و پیکربندی کنید. وب سرور (IIS)نقش وب سرور (IIS) در سرور ویندوز بستری را برای میزبانی وب سایت ها، سرویس ها و برنامه ها فراهم می کند. استفاده از وب سرور اطلاعات را در اینترنت، اینترانت و اکسترانت در اختیار کاربران قرار می دهد. مدیران می توانند از نقش وب سرور (IIS) برای پیکربندی و مدیریت چندین وب سایت، برنامه های کاربردی وب و سایت های FTP استفاده کنند. ویژگی های دسترسی شامل موارد زیر است.
Windows Deployment ServicesWindows Deployment Services به شما این امکان را می دهد که سیستم عامل های ویندوز را بر روی یک شبکه مستقر کنید، به این معنی که لازم نیست هر سیستم عامل را مستقیماً از روی CD یا DVD نصب کنید. Windows Server Essentials Experienceاین نقش به شما امکان می دهد وظایف زیر را حل کنید:
سرویس های به روز رسانی سرور ویندوزسرور WSUS اجزایی را که مدیران برای مدیریت و توزیع بهروزرسانیها از طریق کنسول مدیریت نیاز دارند، فراهم میکند. علاوه بر این، سرور WSUS می تواند منبع به روز رسانی سایر سرورهای WSUS در سازمان باشد. هنگامی که WSUS را پیاده سازی می کنید، حداقل یک سرور WSUS در شبکه شما باید به Microsoft Update متصل باشد تا اطلاعات مربوط به به روز رسانی های موجود را دریافت کند. بسته به امنیت شبکه و پیکربندی، سرپرست شما میتواند تعیین کند که چند سرور دیگر مستقیماً به Microsoft Update متصل هستند. هنگام نصب ویندوز، اکثر زیرسیستم های فرعی فعال یا نصب نمی شوند. این کار به دلایل امنیتی انجام می شود. از آنجایی که سیستم به طور پیش فرض ایمن است، مدیران سیستم می توانند روی طراحی سیستمی تمرکز کنند که دقیقاً وظایف مورد نظر خود را انجام دهد و نه چیز دیگری. برای کمک به فعال کردن ویژگیهای مورد نیاز، ویندوز از شما میخواهد که یک نقش سرور را انتخاب کنید. نقش هانقش سرور مجموعهای از برنامهها است که وقتی به درستی نصب و پیکربندی شوند، به رایانه اجازه میدهند تا عملکرد خاصی را برای چندین کاربر یا رایانههای دیگر در یک شبکه انجام دهد. به طور کلی همه نقش ها دارای ویژگی های زیر هستند.
خدمات نقشسرویس های نقش برنامه هایی هستند که عملکرد نقش را ارائه می دهند. وقتی نقشی را نصب میکنید، میتوانید انتخاب کنید که چه خدماتی به سایر کاربران و رایانههای موجود در سازمان ارائه میکند. برخی از نقش ها، مانند سرور DNS، تنها یک عملکرد را انجام می دهند، بنابراین هیچ سرویس نقشی برای آنها وجود ندارد. نقشهای دیگر، مانند سرویسهای دسکتاپ از راه دور، دارای چندین سرویس هستند که بسته به نیازهای کسب و کار شما به دسترسی از راه دور قابل نصب هستند. یک نقش را می توان به عنوان مجموعه ای از خدمات نقش مکمل و نزدیک مرتبط در نظر گرفت. در بیشتر موارد، نصب یک نقش به معنای نصب یک یا چند سرویس آن است. اجزاء مؤلفهها برنامههایی هستند که مستقیماً بخشی از نقشها نیستند، اما بدون توجه به اینکه کدام نقشها نصب شدهاند، عملکرد یک یا چند نقش یا کل سرور را پشتیبانی یا گسترش میدهند. به عنوان مثال، ویژگی Failover Cluster، عملکرد نقشهای دیگر مانند File Services و DHCP Server را با امکان پیوستن به خوشههای سرور گسترش میدهد و افزونگی و کارایی را افزایش میدهد. مؤلفه دیگر، Telnet Client، ارتباط راه دور با سرور Telnet را از طریق اتصال شبکه فراهم می کند. این ویژگی قابلیت های ارتباطی سرور را افزایش می دهد. هنگامی که Windows Server در حالت Server Core اجرا می شود، نقش های سرور زیر پشتیبانی می شوند:
هنگامی که Windows Server در حالت Server Core اجرا می شود، اجزای سرور زیر پشتیبانی می شوند:
نصب نقش های سرور با استفاده از مدیر سروربرای افزودن، Server Manager را باز کنید و در منوی Manage روی Add Roles and features کلیک کنید: جادوگر افزودن نقش ها و ویژگی ها باز می شود. روی Next کلیک کنید نوع نصب، نصب مبتنی بر نقش یا ویژگی را انتخاب کنید. بعد: انتخاب سرور - سرور ما را انتخاب کنید. روی نقشهای سرور بعدی کلیک کنید - نقشها را انتخاب کنید، در صورت لزوم، سرویسهای نقش را انتخاب کنید و برای انتخاب مؤلفهها روی Next کلیک کنید. در طی این روش، جادوگر افزودن نقشها و ویژگیها بهطور خودکار به شما اطلاع میدهد که در سرور مقصد تداخلی وجود داشته باشد که ممکن است نقشها یا ویژگیهای انتخابشده را از نصب یا عملکرد درست جلوگیری کند. همچنین از شما خواسته میشود که نقشها، خدمات نقشها و ویژگیهایی را که برای نقشها یا ویژگیهای انتخابی لازم است اضافه کنید. نصب نقش ها با استفاده از PowerShellWindows PowerShell را باز کنید، دستور Get-WindowsFeature را وارد کنید تا لیستی از نقش ها و ویژگی های موجود و نصب شده در سرور محلی را مشاهده کنید. نتایج این cmdlet شامل نام دستورات نقش ها و ویژگی هایی است که نصب شده و برای نصب در دسترس هستند. برای مشاهده نحو و پارامترهای معتبر cmdlet Install-WindowsFeature (MAN) Get-Help Install-WindowsFeature را تایپ کنید. دستور زیر را وارد کنید (در صورت نیاز به راه اندازی مجدد هنگام نصب نقش، سرور را Restart مجدداً راه اندازی می کند). Install-WindowsFeature -Name -Restart شرح نقش ها و خدمات نقشتمام نقش ها و خدمات نقش در زیر توضیح داده شده است. بیایید به پیکربندی پیشرفته برای رایج ترین موارد در عمل خود نگاه کنیم: نقش وب سرور و خدمات دسکتاپ از راه دور توضیحات مفصل IIS
توضیحات مفصل RDS
بیایید نصب و پیکربندی سرور مجوز ترمینال را بررسی کنیم. در بالا نحوه نصب نقش ها را توضیح می دهد، نصب RDS هیچ تفاوتی با نصب نقش های دیگر ندارد؛ در Role Services باید Remote Desktop Licensing و Remote Desktop Session Host را انتخاب کنیم. پس از نصب، مورد Terminal Services در Server Manager-Tools ظاهر می شود. Terminal Services دارای دو مورد است: RD Licensing Diagnoser که یک ابزار تشخیصی برای صدور مجوز از راه دور دسکتاپ است و Remote Desktop Licensing Manager که یک ابزار مدیریت مجوز است. بیایید RD Licensing Diagnoster را راه اندازی کنیم در اینجا می بینیم که هنوز مجوزی در دسترس نیست زیرا حالت مجوز برای سرور میزبان جلسه از راه دور دسکتاپ تنظیم نشده است. سرور مجوز در خط مشی های گروه محلی مشخص شده است. برای راه اندازی ویرایشگر، دستور gpedit.msc را اجرا کنید. ویرایشگر خط مشی گروه محلی باز می شود. در درخت سمت چپ، اجازه دهید برگه ها را باز کنیم:
باز کردن پارامترها از سرورهای مجوز دسکتاپ راه دور مشخص شده استفاده کنید در پنجره ویرایش تنظیمات خط مشی، سرور صدور مجوز (فعال) را فعال کنید. در مرحله بعد، باید سرور صدور مجوز برای خدمات دسکتاپ از راه دور را تعیین کنید. در مثال من، سرور مجوز در همان سرور فیزیکی قرار دارد. نام شبکه یا آدرس IP سرور لایسنس را مشخص کنید و روی OK کلیک کنید. اگر در آینده نام سرور را تغییر دهید، سرور مجوز باید در همان بخش تغییر کند. پس از این، در RD Licensing Diagnoser می توانید ببینید که سرور مجوز ترمینال پیکربندی شده است، اما فعال نیست. برای فعال کردن، Remote Desktop Licensing Manager را راه اندازی کنید یک سرور مجوز با وضعیت فعال نشده انتخاب کنید. برای فعال سازی روی آن کلیک راست کرده و گزینه Activate Server را انتخاب کنید. جادوگر فعال سازی سرور راه اندازی می شود. در تب Connection Method، Automatic Connection را انتخاب کنید. در مرحله بعد، اطلاعات مربوط به سازمان را پر کنید و پس از آن سرور مجوز فعال می شود. خدمات گواهی اکتیو دایرکتوریAD CS خدمات قابل سفارشی سازی را برای صدور و مدیریت گواهی های دیجیتال مورد استفاده در سیستم های امنیتی نرم افزاری که از فناوری های کلید عمومی استفاده می کنند، ارائه می دهد. گواهیهای دیجیتال ارائهشده توسط AD CS میتوانند برای رمزگذاری و امضای دیجیتالی اسناد و پیامهای الکترونیکی استفاده شوند. از این گواهیهای دیجیتال میتوان برای تأیید صحت حسابهای رایانه، کاربر و دستگاه در سراسر شبکه استفاده کرد. گواهیهای دیجیتال برای اطمینان از:
AD CS می تواند برای بهبود امنیت با مرتبط کردن هویت کاربر، دستگاه یا سرویس با یک کلید خصوصی مربوطه استفاده شود. کاربردهایی که توسط AD CS پشتیبانی میشوند شامل برنامههای افزودنی ایمیل چند منظوره اینترنتی (S/MIME)، شبکههای بیسیم امن، شبکههای خصوصی مجازی (VPN)، IPsec، سیستم فایل رمزگذاری (EFS)، ورود به کارت هوشمند، امنیت انتقال داده و پروتکل امنیتی لایه انتقال ( SSL/TLS) و امضای دیجیتال. خدمات دامنه اکتیو دایرکتوریبا استفاده از نقش سرور Active Directory Domain Services (AD DS)، می توانید یک زیرساخت مقیاس پذیر، ایمن و مدیریت شده برای مدیریت کاربران و منابع ایجاد کنید. همچنین میتوانید از برنامههای دایرکتوری آگاه مانند Microsoft Exchange Server پشتیبانی کنید. Active Directory Domain Services یک پایگاه داده توزیع شده را فراهم می کند که اطلاعات مربوط به منابع شبکه و داده های برنامه فعال شده با دایرکتوری را ذخیره و مدیریت می کند. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود. مدیران می توانند از AD DS برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار تودرتو سلسله مراتبی استفاده کنند. ساختار تودرتو سلسله مراتبی شامل جنگل اکتیو دایرکتوری، دامنه های داخل جنگل و واحدهای سازمانی در هر دامنه است. ویژگی های امنیتی به شکل احراز هویت و کنترل دسترسی به منابع موجود در دایرکتوری در AD DS یکپارچه شده است. با یک ورود به سیستم شبکه، مدیران می توانند داده های دایرکتوری و سازماندهی را در سراسر شبکه مدیریت کنند. کاربران مجاز شبکه همچنین میتوانند از یک ورود به سیستم شبکه برای دسترسی به منابعی که در هر نقطه از شبکه قرار دارند استفاده کنند. Active Directory Domain Services ویژگی های اضافی زیر را ارائه می دهد.
خدمات فدراسیون Active DirectoryAD FS یک فدراسیون هویتی ساده و ایمن و قابلیتهای یک ورود به سیستم مبتنی بر وب (SSO) را برای کاربران نهایی که نیاز به دسترسی به برنامههای کاربردی در یک شرکت، شریک فدراسیون یا ابر محافظتشده با AD FS دارند، فراهم میکند. در سرور ویندوز، AD FS شامل خدمات نقش فدراسیون خدماتی که بهعنوان یک ارائهدهنده هویت عمل میکنند (کاربران را برای ارائه نشانههای امنیتی به برنامههایی که به AD FS اعتماد دارند تأیید میکند) یا بهعنوان یک ارائهدهنده فدراسیون (توکنهایی را از سایر ارائهدهندگان هویت اعمال میکند و سپس نشانههای امنیتی را برای برنامههایی که به AD FS اعتماد دارند ارائه میکند). Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory Services (AD LDS) یک پروتکل LDAP است که پشتیبانی انعطاف پذیری را برای برنامه های دایرکتوری بدون وابستگی ها و محدودیت های دامنه خدمات دامنه Active Directory ارائه می دهد. AD LDS را می توان بر روی سرورهای عضو یا مستقل اجرا کرد. می توانید چندین نمونه از AD LDS را روی یک سرور واحد با طرحواره های مدیریت شده مستقل اجرا کنید. با استفاده از نقش سرویس AD LDS، میتوانید خدمات دایرکتوری را به برنامههای کاربردی آگاه از دایرکتوری بدون سربار دامنهها و جنگلها و بدون نیاز به یک طرح کلی جنگلی ارائه دهید. خدمات مدیریت حقوق Active DirectoryAD RMS می تواند برای ارتقای استراتژی امنیتی سازمان با حفاظت از اسناد با استفاده از مدیریت حقوق اطلاعات (IRM) استفاده شود. AD RMS به کاربران و مدیران اجازه میدهد تا با استفاده از خطمشیهای IRM، مجوزهای دسترسی را به اسناد، کتابهای کاری و ارائهها اختصاص دهند. این به محافظت از اطلاعات محرمانه از چاپ، ارسال یا کپی توسط کاربران غیرمجاز کمک می کند. هنگامی که مجوزهای فایل با استفاده از IRM محدود می شوند، محدودیت های دسترسی و استفاده بدون توجه به مکان اطلاعات اعمال می شود زیرا مجوز فایل در خود فایل سند ذخیره می شود. با AD RMS و IRM، کاربران فردی می توانند ترجیحات شخصی خود را در مورد به اشتراک گذاری اطلاعات شخصی و حساس اعمال کنند. آنها همچنین به سازمان کمک خواهند کرد تا سیاست های شرکتی را برای کنترل استفاده و انتشار اطلاعات محرمانه و شخصی اعمال کند. راه حل های IRM پشتیبانی شده توسط سرویس های AD RMS برای ارائه قابلیت های زیر استفاده می شود.
برنامه ی سرورApplication Server یک محیط یکپارچه برای استقرار و اجرای برنامه های تجاری مبتنی بر سرور سفارشی فراهم می کند. سرور DHCPDHCP یک فناوری سرویس گیرنده-سرور است که در آن سرورهای DHCP میتوانند آدرسهای IP را به رایانهها و سایر دستگاههایی که کلاینتهای DHCP هستند اختصاص یا اجاره دهند. استقرار سرورهای DHCP در یک شبکه بهطور خودکار رایانههای کلاینت و سایر دستگاههای شبکه مبتنی بر آدرسهای IP معتبر IPv4 و IPv6 را فراهم میکند. پارامترهای پیکربندی اضافی مورد نیاز این کلاینت ها و دستگاه ها.سرویس سرور DHCP در سرور ویندوز شامل پشتیبانی از تکالیف مبتنی بر خط مشی و مدیریت خرابی DHCP است. سرور DNSسرویس DNS یک پایگاه داده سلسله مراتبی و توزیع شده است که شامل نگاشت نام دامنه های DNS به انواع مختلف داده ها، مانند آدرس های IP می باشد. DNS به شما امکان می دهد از نام های دوستانه مانند www.microsoft.com استفاده کنید تا مکان یابی رایانه ها و سایر منابع را در شبکه های مبتنی بر TCP/IP آسان تر کنید. Windows Server DNS پشتیبانی اضافی و پیشرفته ای را برای DNS Security Extensions (DNSSEC)، از جمله ثبت نام آنلاین و مدیریت تنظیمات خودکار ارائه می دهد. سرور فکسسرور فکس فکس ها را ارسال و دریافت می کند و همچنین به شما امکان مدیریت منابع فکس مانند مشاغل، تنظیمات، گزارش ها و دستگاه های فکس را در سرور فکس خود می دهد. خدمات فایل و ذخیره سازیمدیران میتوانند از نقش سرویسهای فایل و ذخیرهسازی برای پیکربندی چندین سرور فایل و ذخیرهسازی آنها و مدیریت آن سرورها با استفاده از Server Manager یا Windows PowerShell استفاده کنند. برخی از برنامه های خاص شامل ویژگی های زیر هستند.
Hyper-Vنقش Hyper-V به شما امکان می دهد با استفاده از فناوری مجازی سازی که در ویندوز سرور تعبیه شده است، یک محیط محاسباتی مجازی ایجاد و مدیریت کنید. نصب نقش Hyper-V پیش نیازها و همچنین ابزارهای مدیریت اختیاری را نصب می کند. اجزای مورد نیاز عبارتند از هایپروایزر ویندوز، سرویس مدیریت ماشین های مجازی Hyper-V، ارائه دهنده مجازی سازی WMI و اجزای مجازی سازی مانند VMbus، ارائه دهنده خدمات مجازی سازی (VSP) و درایور زیرساخت مجازی (VID). خط مشی شبکه و خدمات دسترسیNetwork Policy and Access Services راه حل های زیر را برای اتصالات شبکه ارائه می دهد:
خدمات چاپ و اسنادخدمات چاپ و سند به شما امکان می دهد وظایف سرور چاپ و چاپگر شبکه را متمرکز کنید. این نقش همچنین به شما امکان می دهد اسناد اسکن شده را از اسکنرهای شبکه دریافت کنید و اسناد را در اشتراک گذاری های شبکه مانند یک سایت Windows SharePoint Services یا از طریق ایمیل آپلود کنید. دسترسی از راه دورنقش سرور دسترسی از راه دور یک گروه بندی منطقی از فناوری های دسترسی به شبکه زیر است.
این فناوری ها هستند خدمات نقشنقش های سرور دسترسی از راه دور هنگامی که نقش سرور دسترسی از راه دور را نصب می کنید، می توانید یک یا چند سرویس نقش را با اجرای جادوگر افزودن نقش ها و ویژگی ها نصب کنید. در سرور ویندوز، نقش سرور دسترسی از راه دور توانایی مدیریت، پیکربندی و نظارت بر خدمات دسترسی از راه دور DirectAccess و VPN با سرویس مسیریابی و دسترسی از راه دور (RRAS) را به صورت مرکزی فراهم می کند. DirectAccess و RRAS را می توان در یک سرور لبه مستقر کرد و با استفاده از دستورات Windows PowerShell و کنسول مدیریت دسترسی از راه دور (MMC) مدیریت کرد. خدمات دسکتاپ از راه دورخدمات دسکتاپ از راه دور استقرار دسکتاپ ها و برنامه ها را بر روی هر دستگاهی تسریع و گسترش می دهد، بهره وری کارگران از راه دور را افزایش می دهد و در عین حال مالکیت معنوی حیاتی را ایمن می کند و انطباق با مقررات را ساده می کند. خدمات دسکتاپ از راه دور شامل زیرساخت دسکتاپ مجازی (VDI)، دسکتاپ مبتنی بر جلسه و برنامهها است که به کاربران امکان کار از هر کجا را میدهد. خدمات فعال سازی حجمVolume Activation Services یک نقش سرور در Windows Server است که در Windows Server 2012 شروع می شود و صدور و مدیریت مجوزهای حجم را برای نرم افزار مایکروسافت در سناریوها و محیط های مختلف به طور خودکار و ساده می کند. همراه با Volume Activation Services، می توانید سرویس مدیریت کلید (KMS) و فعال سازی Active Directory را نصب و پیکربندی کنید. وب سرور (IIS)نقش وب سرور (IIS) در سرور ویندوز بستری را برای میزبانی وب سایت ها، سرویس ها و برنامه ها فراهم می کند. استفاده از وب سرور اطلاعات را در اینترنت، اینترانت و اکسترانت در اختیار کاربران قرار می دهد. مدیران می توانند از نقش وب سرور (IIS) برای پیکربندی و مدیریت چندین وب سایت، برنامه های کاربردی وب و سایت های FTP استفاده کنند. ویژگی های دسترسی شامل موارد زیر است.
Windows Deployment ServicesWindows Deployment Services به شما این امکان را می دهد که سیستم عامل های ویندوز را بر روی یک شبکه مستقر کنید، به این معنی که لازم نیست هر سیستم عامل را مستقیماً از روی CD یا DVD نصب کنید. Windows Server Essentials Experienceاین نقش به شما امکان می دهد وظایف زیر را حل کنید:
سرویس های به روز رسانی سرور ویندوزسرور WSUS اجزایی را که مدیران برای مدیریت و توزیع بهروزرسانیها از طریق کنسول مدیریت نیاز دارند، فراهم میکند. علاوه بر این، سرور WSUS می تواند منبع به روز رسانی سایر سرورهای WSUS در سازمان باشد. هنگامی که WSUS را پیاده سازی می کنید، حداقل یک سرور WSUS در شبکه شما باید به Microsoft Update متصل باشد تا اطلاعات مربوط به به روز رسانی های موجود را دریافت کند. بسته به امنیت شبکه و پیکربندی، سرپرست شما میتواند تعیین کند که چند سرور دیگر مستقیماً به Microsoft Update متصل هستند. معرفی با افزایش تعداد رایانه ها در یک شرکت، مسئله هزینه مدیریت و نگهداری آن به طور فزاینده ای حاد می شود. تنظیم دستیکامپیوترها زمان و نیروی زیادی را از کارکنان میگیرد و با افزایش تعداد رایانهها، تعداد پرسنل خدمترسان به آنها را افزایش میدهد. علاوه بر این، با تعداد زیادی ماشین، اطمینان از انطباق با استانداردهای سفارشی سازی اتخاذ شده توسط شرکت به طور فزاینده ای دشوار می شود. Group Policy یک ابزار جامع است مدیریت متمرکزکامپیوترهایی که ویندوز 2000 و بالاتر را در دامنه اکتیو دایرکتوری دارند. خطمشیهای گروه برای رایانههایی که ویندوز NT4/9x دارند اعمال نمیشود: آنها توسط System Policy کنترل میشوند که در این مقاله مورد بحث قرار نخواهد گرفت. اشیاء خط مشی گروه تمام تنظیماتی که در Group Policies ایجاد می کنید در Group Policy Objects (GPOs) ذخیره می شود. دو نوع GPO وجود دارد: GPO های محلی و GPO های Active Directory. یک شیء خط مشی گروه محلی در رایانه های دارای ویندوز 2000 و بالاتر در دسترس است. فقط یک مورد می تواند وجود داشته باشد و این تنها GPO است که می تواند روی یک کامپیوتر غیر دامنه باشد. Group Policy Object نام کلی مجموعه ای از فایل ها، دایرکتوری ها و ورودی ها در پایگاه داده Active Directory (اگر یک شی محلی نباشد) است که تنظیمات شما را ذخیره می کند و تعیین می کند چه تنظیمات دیگری را می توانید با استفاده از Group Policies تغییر دهید. هنگامی که یک خط مشی ایجاد می کنید، اساساً در حال ایجاد و اصلاح یک GPO هستید. GPO محلی در %SystemRoot%\System32\GroupPolicy ذخیره میشود. GPO های Active Directory بر روی یک کنترل کننده دامنه ذخیره می شوند و می توانند با یک سایت، دامنه یا OU (واحد سازمانی) مرتبط شوند. اتصال یک شی محدوده آن را تعیین می کند. به طور پیش فرض، دو GPO در یک دامنه ایجاد می شود: Default Domain Policy و Default Domain Controller Policy. اولی خط مشی پیش فرض را برای گذرواژه ها و حساب های موجود در دامنه تعریف می کند. مورد دوم با Domain Controllers OU ارتباط برقرار می کند و تنظیمات امنیتی را برای کنترل کننده های دامنه افزایش می دهد. یک GPO ایجاد کنید برای ایجاد یک خط مشی (یعنی در واقع ایجاد یک شی سیاست گروهی جدید)، Active Directory Users & Computers را باز کنید و محل ایجاد یک شی جدید را انتخاب کنید. شما فقط می توانید یک GPO را به یک سایت، دامنه یا شی OU ایجاد و پیوند دهید. برنج. 1. یک شیء Group Policy ایجاد کنید. برای ایجاد یک GPO و مرتبط کردن آن، به عنوان مثال، با آزمایش کننده های OU، روی این OU کلیک راست کرده و ویژگی ها را در منوی زمینه انتخاب کنید. در پنجره Properties که باز می شود، تب Group Policy را باز کرده و روی New کلیک کنید. برنج. 2. یک شیء Group Policy ایجاد کنید. ما به شی GP یک نام می دهیم، پس از آن شی ایجاد می شود و می توانیم پیکربندی خط مشی را شروع کنیم. روی شی ایجاد شده دوبار کلیک کنید یا دکمه Edit را فشار دهید، پنجره ویرایشگر GPO باز می شود، جایی که می توانید پارامترهای خاصی از شی را پیکربندی کنید. برنج. 3. شرح تنظیمات در تب Extended. بسیاری از تنظیمات اصلی بصری هستند (و همچنین اگر تب Extended را باز کنید، توضیحی نیز دارند)، و ما به جزئیات هر کدام نخواهیم پرداخت. همانطور که در شکل دیده میشود. 3، GPO از دو بخش تشکیل شده است: پیکربندی رایانه و پیکربندی کاربر. تنظیمات پارتیشن اول در زمان بوت شدن ویندوز بر روی کامپیوترهای موجود در این کانتینر و پایین آن اعمال می شود (مگر اینکه وراثت غیرفعال باشد)، و بستگی به این ندارد که چه کاربری وارد شده است. تنظیمات در بخش دوم در هنگام ورود کاربر اعمال می شود. نحوه اعمال اشیاء خط مشی گروه هنگامی که کامپیوتر راه اندازی می شود، اقدامات زیر انجام می شود: 1. رجیستری خوانده می شود و مشخص می شود که کامپیوتر متعلق به کدام سایت است. درخواست شده است سرور DNSبه منظور به دست آوردن آدرس IP کنترل کننده های دامنه واقع در این سایت. خط مشی های گروه هنگام بوت شدن سیستم عامل و زمانی که کاربر وارد سیستم می شود اعمال می شود. سپس هر 90 دقیقه، با تغییرات 30 دقیقهای اعمال میشوند تا اطمینان حاصل شود که اگر درخواستهای همزمان زیادی از سوی مشتریان وجود داشته باشد، کنترلکننده دامنه بارگذاری نمیشود. برای کنترلرهای دامنه، فاصله به روز رسانی 5 دقیقه است. می توانید این رفتار را در قسمت Computer Configuration\Administrative Templates\System\Group Policy تغییر دهید. GPO فقط می تواند بر روی رایانه و اشیاء کاربر تأثیر بگذارد. این خطمشی فقط برای اشیایی اعمال میشود که در شی دایرکتوری (سایت، دامنه، واحد سازمانی) که GPO به آنها مرتبط است و پایینتر در «درخت» قرار دارند (مگر اینکه وراثت ممنوع باشد). به عنوان مثال: یک GPO در آزمایش کننده های OU ایجاد می شود (همانطور که در بالا انجام دادیم). برنج. 4. ارث بری تنظیمات. تمام تنظیمات انجام شده در این GPO فقط بر روی کاربران و رایانههای مستقر در آزمایشکنندههای OU و InTesters OU تأثیر میگذارد. بیایید با استفاده از یک مثال به روند اعمال سیاست ها نگاه کنیم. کاربر آزمایشی که در OU تسترها قرار دارد، به کامپیوتر کامپ واقع در compOU OU وارد می شود (شکل 5 را ببینید). برنج. 5. رویه اعمال سیاست ها. چهار GPO در یک دامنه وجود دارد: 1. SitePolicy مرتبط با ظرف سایت. در بوت کردن ویندوزدر یک ایستگاه کاری کامپ، پارامترهای تعریف شده در بخش های پیکربندی کامپیوتر به ترتیب زیر اعمال می شوند: 1. تنظیمات GPO محلی. 4. تنظیمات GPO Policy2. هنگامی که تست کاربر به کامپیوتر وارد می شود - پارامترهای تعریف شده در بخش پیکربندی کاربر: 1. تنظیمات GPO محلی. یعنی GPO ها به ترتیب زیر اعمال می شوند: سیاست های محلی، خط مشی های سطح سایت، خط مشی های سطح دامنه، خط مشی های سطح OU. خطمشیهای گروه بهصورت ناهمزمان برای کلاینتهای ویندوز XP اعمال میشوند، اما بهطور همزمان برای کلاینتهای ویندوز 2000، به این معنی که صفحه ورود کاربر تنها پس از اعمال همه خطمشیهای رایانه ظاهر میشود و خطمشیهای کاربر قبل از نمایش دسکتاپ اعمال میشوند. اجرای خط مشی ناهمزمان به این معنی است که صفحه ورود به سیستم کاربر قبل از اعمال تمام خط مشی های رایانه ظاهر می شود و دسکتاپ قبل از اعمال همه خط مشی های کاربر ظاهر می شود و در نتیجه زمان بوت و ورود سریعتر برای کاربر ایجاد می شود. 1. Merge - ابتدا خط مشی کامپیوتر اعمال می شود، سپس خط مشی کاربر و دوباره خط مشی کامپیوتر اعمال می شود. در این حالت، خط مشی کامپیوتر تنظیمات خط مشی کاربر را که با تنظیمات مربوط به خود در تناقض است جایگزین می کند. نمونه ای از استفاده از گزینه پردازش حلقه بازگشت سیاست گروه کاربر می تواند در یک رایانه عمومی باشد، جایی که شما می خواهید بدون توجه به اینکه کدام کاربری از آن استفاده می کند، همان تنظیمات محدود را داشته باشید. تقدم، ارث و حل تعارض همانطور که ممکن است متوجه شده باشید، GPO ها دارای تنظیمات یکسانی در همه سطوح هستند و یک تنظیمات را می توان به طور متفاوت در سطوح مختلف تعریف کرد. در این مورد، مقدار موثر آخرین مقدار اعمال شده خواهد بود (ترتیب اعمال GPO در بالا مورد بحث قرار گرفت). این قانون برای همه پارامترها به جز مواردی که به عنوان پیکربندی نشده تعریف شده اند اعمال می شود. برای اینها تنظیمات ویندوزاقدامی نمی کند اما یک استثنا وجود دارد: تمام تنظیمات حساب و رمز عبور را می توان فقط در سطح دامنه تعریف کرد؛ در سطوح دیگر این تنظیمات نادیده گرفته می شوند. برنج. 6. کاربران و رایانه های Active Directory. اگر چندین GPO در یک سطح وجود داشته باشد، آنها از پایین به بالا اعمال می شوند. با تغییر موقعیت یک شی سیاست در لیست (با استفاده از دکمه های بالا و پایین)، می توانید ترتیب مورد نیاز برنامه را انتخاب کنید. برنج. 7. رویه اعمال سیاست ها. گاهی اوقات شما می خواهید یک OU خاص تنظیمات خط مشی را از GPOهای مرتبط با کانتینرهای بالادست دریافت نکند. در این مورد، باید با علامت زدن کادر وراثت Block Policy، وراثت سیاست را ممنوع کنید. تمام تنظیمات خط مشی ارثی مسدود شده اند و هیچ راهی برای مسدود کردن تنظیمات فردی وجود ندارد. تنظیمات سطح دامنه که خط مشی رمز عبور و خط مشی حساب را تعریف می کنند، قفل نمی شوند. برنج. 9. مسدود کردن وراثت سیاست ها. اگر می خواهید تنظیمات خاصی در یک GPO داده شده رونویسی نشود، باید GPO مورد نظر را انتخاب کنید، روی دکمه Options کلیک کنید و No Override را انتخاب کنید. این گزینه تنظیمات GPO را مجبور می کند در جایی که وراثت خط مشی مسدود شده است اعمال شود. No Override در محلی که GPO با شی دایرکتوری مرتبط است تنظیم نمی شود، نه در خود GPO. اگر یک GPO با چندین کانتینر در یک دامنه مرتبط باشد، سایر پیوندها این تنظیم را به صورت خودکار پیکربندی نخواهند کرد. اگر No Override برای چندین پیوند در یک سطح پیکربندی شده باشد، GPO در بالای لیست اولویت (و اثر) خواهد داشت. با این حال، اگر تنظیمات No Override برای چندین GPO در سطوح مختلف پیکربندی شود، تنظیمات برای GPO بالاتر در سلسله مراتب دایرکتوری اعمال خواهند شد. به این معنا که اگر پارامترهای لغو برای یک ارتباط GPO-to-Domain Object و برای یک ارتباط OU-to-GPO پیکربندی نشده باشد، تنظیمات تعریف شده در سطح دامنه اعمال خواهند شد. چک باکس Disabled اثر این GPO را بر روی این ظرف لغو می کند. برنج. 10. گزینه های Override و Disabled وجود ندارد. همانطور که در بالا ذکر شد، سیاست ها فقط بر کاربران و رایانه ها تأثیر می گذارد. این سوال اغلب مطرح می شود: "چگونه می توانم سیاست خاصی را برای همه کاربران متعلق به یک گروه امنیتی خاص اعمال کنم؟" برای انجام این کار، GPO به یک شی دامنه (یا هر محفظه ای در بالای کانتینرها یا OU که شامل تمام اشیاء کاربر از گروه مورد نظر) و تنظیمات دسترسی پیکربندی شده است. روی Properties کلیک کنید، در زبانه Security، گروه Authenticated Users را حذف کنید و گروه مورد نیاز را با حقوق Read and Apply Group Policy اضافه کنید. تعیین تنظیماتی که برای کامپیوتر کاربر اعمال می شود برای تعیین پیکربندی نهایی و شناسایی مشکلات، باید بدانید که در حال حاضر چه تنظیمات خط مشی برای یک کاربر یا رایانه خاص اعمال می شود. برای این کار ابزاری به نام Resultant Set of Policy (RSoP) وجود دارد. RSoP می تواند در هر دو حالت ثبت نام و زمان بندی کار کند. برای فراخوانی RSoP، باید بر روی شی “user” یا “computer” کلیک راست کرده و All Tasks را انتخاب کنید. برنج. 11. فراخوانی ابزار Resultant Set of Policy. پس از راهاندازی (در حالت ورود)، از شما خواسته میشود که انتخاب کنید برای کدام رایانه و کاربر مجموعه نتایج را تعریف کنید، و یک پنجره تنظیمات در نتیجه ظاهر میشود که نشان میدهد کدام GPO کدام تنظیم را اعمال کرده است. برنج. 12. مجموعه سیاست های نتیجه. سایر ابزارهای مدیریت خط مشی گروه GPResult یک ابزار خط فرمان است که برخی از عملکردهای RSoP را فراهم می کند. GPResult به طور پیشفرض در تمام رایانههای دارای ویندوز XP و Windows Server 2003 در دسترس است. GPUpdate اعمال سیاست های گروهی را - هم محلی و هم مبتنی بر Active Directory - مجبور می کند. در ویندوز XP/2003، گزینه /refreshpolicy را در ابزار secedit برای ویندوز 2000 جایگزین کرد. وقتی دستورات را با کلید /؟ اجرا می کنید، توضیحی در مورد نحو دستوری موجود است. به جای نتیجه گیری هدف این مقاله توضیح همه جنبههای کار با خطمشیهای گروهی نیست؛ هدف آن مدیران باتجربه سیستم نیست. به نظر من همه موارد فوق فقط باید به نحوی به درک اصول اساسی کار با سیاستمداران برای کسانی که هرگز با آنها کار نکرده اند یا تازه شروع به تسلط بر آنها کرده اند کمک کند. ابزار GPResultexe– یک برنامه کنسولی است که برای تجزیه و تحلیل تنظیمات و تشخیص خط مشی های گروهی که برای رایانه و/یا کاربر در دامنه اکتیو دایرکتوری اعمال می شود، طراحی شده است. به طور خاص، GPResult به شما امکان میدهد دادههایی را از مجموعه سیاستهای حاصله (Resulant Set of Policy، RSOP)، فهرستی از خطمشیهای دامنه اعمالشده (GPOs)، تنظیمات آنها و اطلاعات دقیق درباره خطاهای پردازش آنها بهدست آورید. این ابزار از زمان ویندوز XP بخشی از سیستم عامل ویندوز بوده است. ابزار GPResult به شما امکان می دهد به سؤالات زیر پاسخ دهید: آیا خط مشی خاصی برای رایانه اعمال می شود، کدام GPO این یا آن تنظیمات ویندوز را تغییر داده است و دلایل آن را درک کنید. در این مقاله به بررسی ویژگیهای استفاده از دستور GPResult برای تشخیص و رفع اشکال کاربرد سیاستهای گروهی در دامنه اکتیو دایرکتوری میپردازیم. در ابتدا، برای تشخیص کاربرد سیاست های گروهی در ویندوز، از کنسول گرافیکی RSOP.msc استفاده شد که امکان به دست آوردن تنظیمات سیاست های حاصله (دامنه + محلی) اعمال شده بر روی رایانه و کاربر را به شکل گرافیکی مشابه فراهم کرد. به کنسول ویرایشگر GPO (در مثالی از نمای کنسول RSOP.msc می توانید در زیر مشاهده کنید که تنظیمات به روز رسانی تنظیم شده است). با این حال، استفاده از کنسول RSOP.msc در نسخه های مدرن ویندوز توصیه نمی شود، زیرا تنظیمات اعمال شده توسط برنامه های افزودنی مختلف سمت مشتری (CSE) مانند GPP (Preferences Policy Group) را منعکس نمی کند، امکان جستجو را نمی دهد و اطلاعات تشخیصی کمی ارائه می دهد. بنابراین، در حال حاضر، دستور GPResult ابزار اصلی برای تشخیص استفاده از GPO در ویندوز است (در ویندوز 10 حتی یک هشدار به نظر می رسد که RSOP برخلاف GPResult گزارش کاملی ارائه نمی دهد). با استفاده از ابزار GPResult.exeدستور GPResult بر روی رایانه ای که می خواهید اعمال سیاست های گروه را در آن بررسی کنید اجرا می شود. دستور GPResult دارای دستور زیر است: GPRESULT ]] [(/X | /H) ] برای دریافت اطلاعات دقیق در مورد خط مشی های گروهی که برای یک شیء AD (کاربر و رایانه) اعمال می شود و سایر تنظیمات مربوط به زیرساخت GPO (یعنی تنظیمات خط مشی GPO حاصل - RsoP)، دستور را اجرا کنید: نتایج دستور به 2 بخش تقسیم می شود:
اجازه دهید به طور مختصر به پارامترها/بخش های اصلی که ممکن است در خروجی GPResult ما را علاقه مند کند، بپردازیم:
در مثال ما، می توانید ببینید که شی کاربر تابع 4 خط مشی گروه است.
اگر نمیخواهید اطلاعات مربوط به سیاستهای کاربر و رایانه به طور همزمان در کنسول نمایش داده شود، میتوانید از گزینه /scope برای نمایش تنها بخشی که به آن علاقه دارید استفاده کنید. فقط خطمشیهای کاربر حاصل: gpresult /r /scope:user یا فقط سیاست های کامپیوتری اعمال می شود: gpresult /r /scope:computer زیرا ابزار Gpresult داده های خود را مستقیماً به کنسول خط فرمان خروجی می دهد، که همیشه برای تجزیه و تحلیل بعدی راحت نیست؛ خروجی آن را می توان به کلیپ بورد هدایت کرد: Gpresult /r | کلیپ یا فایل متنی: Gpresult /r > c:\gpresult.txt برای نمایش اطلاعات فوق العاده دقیق RSOP، باید سوئیچ /z را اضافه کنید. گزارش HTML RSOP با استفاده از GPResultعلاوه بر این، ابزار GPResult میتواند یک گزارش HTML از سیاستهای اعمال شده (در ویندوز 7 و بالاتر) ایجاد کند. این گزارش حاوی اطلاعات دقیقی در مورد تمام پارامترهای سیستمی است که توسط خط مشی های گروه تنظیم می شوند و نام GPO های خاصی که آنها را تنظیم می کنند (ساختار گزارش حاصل شبیه به برگه تنظیمات در Domain Group Policy Management Console - GPMC است). می توانید با استفاده از دستور زیر یک گزارش GPResult HTML ایجاد کنید: نتیجه GPR /h c:\gp-report\report.html /f برای ایجاد گزارش و باز کردن خودکار آن در مرورگر، دستور زیر را اجرا کنید: GPResult /h GPResult.html و GPResult.html گزارش gpresult HTML حاوی اطلاعات بسیار مفیدی است: خطاها در برنامه GPO، زمان پردازش (بر حسب میلیثانیه) و اعمال سیاستهای خاص و CSE قابل مشاهده است (در قسمت جزئیات رایانه -> وضعیت مؤلفه). به عنوان مثال، در اسکرین شات بالا می بینید که خط مشی با تنظیمات به خاطر سپردن 24 رمز عبور توسط Default Domain Policy (ستون Winning GPO) اعمال می شود. همانطور که می بینید، این گزارش HTML برای تجزیه و تحلیل سیاست های اعمال شده بسیار راحت تر از کنسول rsop.msc است. دریافت داده های GPResult از یک کامپیوتر راه دورGPResult همچنین میتواند دادهها را از یک رایانه راه دور جمعآوری کند و نیازی به ورود سرپرست به صورت محلی یا RDP به رایانه راه دور را از بین ببرد. فرمت دستور برای جمع آوری داده های RSOP از یک کامپیوتر راه دور به شرح زیر است: GPR نتیجه /s سرور-ts1 /r به طور مشابه، می توانید از راه دور داده ها را از خط مشی های کاربر و خط مشی های رایانه جمع آوری کنید. نام کاربری داده RSOP نداردهنگامی که UAC فعال است، اجرای GPResult بدون امتیازات بالا، تنظیمات تنها بخش خط مشی گروه کاربر را نمایش می دهد. اگر نیاز به نمایش همزمان هر دو بخش (تنظیمات کاربر و تنظیمات کامپیوتر) دارید، دستور باید اجرا شود. اگر خط فرمان به سیستمی متفاوت از کاربر فعلی ارتقا یابد، ابزار یک هشدار صادر می کند اطلاعات:کاربر"دامنه\کاربر"میکندنهدارندRSOPداده ها (کاربر "دامنه\ کاربر" داده RSOP ندارد). این به این دلیل اتفاق می افتد که GPResult سعی می کند اطلاعاتی را برای کاربری که آن را راه اندازی کرده است جمع آوری کند، اما به دلیل ... این کاربر وارد نشده است و هیچ اطلاعات RSOP برای او وجود ندارد. برای جمع آوری اطلاعات RSOP برای یک کاربر با یک جلسه فعال، باید حساب کاربری او را مشخص کنید: gpresult /r /user:tn\edward اگر نام حسابی که در رایانه راه دور وارد شده است را نمی دانید، می توانید حساب را به صورت زیر دریافت کنید: qwinsta /SERVER:remotePC1 همچنین زمان(های) مشتری را بررسی کنید. زمان باید با زمان روی PDC (Primary Domain Controller) مطابقت داشته باشد. خطمشیهای GPO زیر اعمال نشدند زیرا فیلتر شده بودندهنگام عیبیابی خطمشیهای گروه، باید به این بخش نیز توجه کنید: GPOهای زیر به دلیل فیلتر شدن اعمال نشدند. این بخش فهرستی از GPO ها را نشان می دهد که به دلایلی برای این شی اعمال نمی شوند. راه های احتمالی که ممکن است این خط مشی اعمال نشود: همچنین میتوانید متوجه شوید که آیا این خطمشی باید روی یک شی AD خاص در برگه مجوزهای مؤثر اعمال شود (پیشرفته -> دسترسی مؤثر). بنابراین، در این مقاله به ویژگیهای تشخیص کاربرد سیاستهای گروهی با استفاده از ابزار GPResult و سناریوهای معمولی برای استفاده از آن نگاه کردیم. عملکرد در سیستم عامل ویندوز سرور از نسخه ای به نسخه دیگر محاسبه و بهبود می یابد، نقش ها و مؤلفه های بیشتری وجود دارد، بنابراین در مطالب امروز سعی خواهم کرد به طور خلاصه شرح دهم. شرح و هدف هر نقش در ویندوز سرور 2016. قبل از اینکه به توضیح نقش های سرور ویندوز سرور بپردازیم، بیایید دریابیم که " نقش سرور» در سیستم عامل ویندوز سرور. "نقش سرور" در ویندوز سرور چیست؟نقش سرور- این بسته نرم افزاری، که تضمین می کند که سرور عملکرد خاصی را انجام می دهد و این تابعاصلی است. به عبارت دیگر، " نقش سرور"هدف سرور است، یعنی. این برای چیست؟ تا سرور بتواند عملکرد اصلی خود را انجام دهد. نقش خاصی در " نقش سرور» تمامی نرم افزارهای لازم برای این کار گنجانده شده است ( برنامه ها، خدمات). سرور در صورت استفاده فعال می تواند یک نقش داشته باشد، یا اگر هر یک از آنها به شدت سرور را بارگذاری نکرده و به ندرت استفاده می شود، چندین نقش داشته باشد. یک نقش سرور می تواند شامل چندین سرویس نقش باشد که عملکرد نقش را فراهم می کند. به عنوان مثال، در نقش سرور " وب سرور (IIS)"تعداد نسبتا زیادی از خدمات گنجانده شده است، و نقش" سرور DNS» خدمات نقش گنجانده نشده است زیرا این نقش تنها یک عملکرد را انجام می دهد. سرویس های نقش بسته به نیاز شما می توانند با هم یا به صورت جداگانه نصب شوند. در اصل، نصب یک نقش به معنای نصب یک یا چند سرویس آن است. در ویندوز سرور نیز " اجزاء» سرورها اجزای سرور (ویژگی)- این نرم افزار، که نقش سرور نیستند اما قابلیت های یک یا چند نقش را گسترش می دهند یا یک یا چند نقش را مدیریت می کنند. اگر سرویس ها یا اجزای مورد نیاز برای عملکرد این نقش ها روی سرور نصب نشده باشند، برخی از نقش ها قابل نصب نیستند. بنابراین، در زمان نصب چنین نقشهایی اضافه کردن نقش ها و ویژگی ها جادوگر" خود، به طور خودکار از شما می خواهد که خدمات یا اجزای نقش اضافی لازم را نصب کنید. شرح نقش های سرور ویندوز سرور 2016احتمالاً از قبل با بسیاری از نقشهای موجود در ویندوز سرور 2016 آشنا هستید، زیرا مدت زیادی است که وجود داشتهاند. برای مدت طولانی، اما همانطور که قبلاً گفتم، با هر جدید نسخه ویندوزسرور، نقشهای جدیدی اضافه میشوند که ممکن است هنوز با آنها کار نکرده باشید، اما دوست دارید بدانید برای چه هستند، پس بیایید شروع به بررسی آنها کنیم. توجه داشته باشید! ویژگی های جدید سیستم عامل ویندوز سرور 2016 را می توانید در مطلب ” بخوانید نصب ویندوزسرور 2016 و مروری بر ویژگی های جدید ». از آنجایی که اغلب نصب و مدیریت نقش ها، خدمات و اجزاء با با استفاده از ویندوزپاورشل، برای هر نقش و سرویس آن، نامی را مشخص میکنم که میتوان از آن در PowerShell برای نصب یا مدیریت آن استفاده کرد. سرور DHCPاین نقش به شما امکان می دهد آدرس های IP پویا و تنظیمات مربوط به رایانه ها و دستگاه های موجود در شبکه خود را به صورت مرکزی پیکربندی کنید. نقش سرور DHCP خدمات نقش ندارد. نام Windows PowerShell DHCP است. سرور DNSاین نقش برای تفکیک نام در شبکه های TCP/IP در نظر گرفته شده است. نقش سرور DNS فراهم می کند و حفظ می کند عملیات DNS. برای سهولت مدیریت سرور DNS، معمولاً روی همان سروری که Active Directory Domain Services نصب می شود، نصب می شود. نقش سرور DNS خدمات نقش ندارد. نام نقش برای PowerShell DNS است. Hyper-Vبا استفاده از نقش Hyper-V می توانید یک محیط مجازی ایجاد و مدیریت کنید. به عبارت دیگر ابزاری برای ایجاد و مدیریت ماشین های مجازی است. نام نقش Windows PowerShell Hyper-V است. گواهی عملکرد دستگاهنقش " » به شما امکان می دهد سلامت دستگاه را بر اساس پارامترهای امنیتی اندازه گیری شده، مانند وضعیت راه اندازی ایمن و Bitlocker در مشتری، ارزیابی کنید. برای عملکرد این نقش، خدمات و مؤلفه های نقش زیادی مورد نیاز است، به عنوان مثال: چندین سرویس از نقش « وب سرور (IIS)"، جزء " "، جزء " ویژگی های NET Framework 4.6». در طول نصب، تمام خدمات و اجزای نقش مورد نیاز به طور خودکار انتخاب می شوند. نقش " گواهی عملکرد دستگاه» هیچ خدماتی از خود وجود ندارد. نام PowerShell DeviceHealthAttestationService است. وب سرور (IIS)زیرساخت کاربردی وب قابل اعتماد، قابل مدیریت و مقیاس پذیر را فراهم می کند. متشکل از تعداد نسبتاً زیادی خدمات (43). نام Windows PowerShell Web-Server است. شامل خدمات نقش زیر ( در پرانتز نام Windows PowerShell را نشان خواهم داد): وب سرور (Web-WebServer)– گروهی از خدمات نقش که از وب سایت های HTML، برنامه های افزودنی ASP.NET، ASP و وب سرور پشتیبانی می کند. شامل خدمات زیر است:
سرور FTP (Web-Ftp-Server)– خدماتی که از پروتکل FTP پشتیبانی می کنند. ما در مورد سرور FTP با جزئیات بیشتری در مواد صحبت کردیم - "نصب و راه اندازی FTPسرورهای ویندوز سرور 2016." شامل خدمات زیر است:
ابزارهای مدیریت (Web-Mgmt-Tools)- اینها ابزارهایی برای مدیریت وب سرور IIS 10 هستند که عبارتند از: رابط کاربری IIS، ابزارهای خط فرمان و اسکریپت ها.
خدمات دامنه اکتیو دایرکتورینقش " خدمات دامنه اکتیو دایرکتوری» (AD DS) یک پایگاه داده توزیع شده را فراهم می کند که اطلاعات مربوط به منابع شبکه را ذخیره و پردازش می کند. این نقش برای سازماندهی عناصر شبکه مانند کاربران، رایانه ها و سایر دستگاه ها در یک ساختار پوسته ایمن سلسله مراتبی استفاده می شود. ساختار سلسله مراتبی شامل جنگلها، دامنههای درون جنگل و واحدهای سازمانی (OU) در هر دامنه است. سروری که AD DS را اجرا می کند، کنترل کننده دامنه نامیده می شود. نام نقش Windows PowerShell AD-Domain-Services است. Windows Server Essentials Modeاین نقش نشان دهنده زیرساخت رایانه است و عملکردهای راحت و کارآمدی را ارائه می دهد، به عنوان مثال: ذخیره داده های مشتری در یک مکان متمرکز و محافظت از این داده ها با پشتیبان گیری از سرور و رایانه های مشتری، دسترسی به وب از راه دور، به شما امکان می دهد تقریباً از هر دستگاهی به داده ها دسترسی داشته باشید. این نقش به چندین سرویس نقش و مؤلفه برای عملکرد نیاز دارد، به عنوان مثال: مؤلفههای BranchCache، پشتیبانگیری از سرور ویندوز، مدیریت خطمشی گروه، سرویس نقش». فضاهای نام DFS». نام PowerShell ServerEssentialsRole است. کنترلر شبکهاین نقش در ویندوز سرور 2016 معرفی شد و یک نقطه اتوماسیون واحد را برای مدیریت، نظارت و تشخیص زیرساخت شبکه فیزیکی و مجازی در مرکز داده ارائه می کند. با استفاده از این نقش، می توانید زیرشبکه های IP، VLAN، فیزیکی را پیکربندی کنید آداپتورهای شبکهمیزبان Hyper-V، مدیریت سوئیچ های مجازی، روترهای فیزیکی، تنظیمات فایروال و دروازه های VPN. نام Windows PowerShell NetworkController است. سرویس نگهبان نوداین نقش سرور Hosted Guardian Service (HGS) است و گواهی کلیدی و خدمات حفاظتی کلیدی را ارائه میکند که میزبانهای محافظت شده را قادر میسازد تا به صورت محافظت شده اجرا شوند. ماشین های مجازی. برای عملکرد این نقش، چندین نقش و مؤلفه اضافی مورد نیاز است، به عنوان مثال: Active Directory Domain Services، Web Server (IIS)، کامپوننت " Failover Clustering" و دیگران. نام PowerShell HostGuardianServiceRole است. Active Directory Lightweight Directory Servicesنقش " Active Directory Lightweight Directory Services" (AD LDS) - نسخه سبک وزن AD DS است که عملکرد کمتری دارد، اما نیازی به استقرار دامنه ها یا کنترل کننده های دامنه ندارد و وابستگی ها و محدودیت های دامنه مورد نیاز خدمات AD DS را ندارد. AD LDS روی پروتکل LDAP کار می کند ( پروتکل دسترسی به دایرکتوری سبک وزن). شما می توانید چندین نمونه AD LDS را با طرحواره های مدیریت شده مستقل روی یک سرور واحد مستقر کنید. نام PowerShell ADLDS است. خدمات چند نقطه ایاین نیز نقش جدیدی است که در Windows Server 2016 معرفی شد. خدمات MultiPoint (MPS) عملکرد پایه دسکتاپ از راه دور را فراهم می کند که به چندین کاربر اجازه می دهد به طور همزمان و مستقل روی یک رایانه کار کنند. برای نصب و اجرای این نقش، باید چندین سرویس و مؤلفه اضافی را نصب کنید، به عنوان مثال: سرور چاپ، سرویس ویندوزجستجو، XPS Viewer و سایر موارد به طور خودکار پس از نصب MPS انتخاب می شوند. نام نقش برای PowerShell MultiPointServerRole است. سرویس های به روز رسانی سرور ویندوزبا این نقش (WSUS)، مدیران سیستم می توانند به روز رسانی های مایکروسافت را مدیریت کنند. برای مثال، گروههای جداگانهای از رایانهها را برای مجموعههای مختلف بهروزرسانی ایجاد کنید، و همچنین گزارشهایی در مورد انطباق رایانه و بهروزرسانیهایی که باید نصب شوند، دریافت کنید. برای عملکرد " سرویس های به روز رسانی سرور ویندوز"ما به خدمات و اجزای نقشی مانند: وب سرور (IIS)، پایگاه داده داخلی ویندوز، سرویس فعال سازی فرآیند ویندوز نیاز داریم. نام Windows PowerShell UpdateServices است.
خدمات فعال سازی حجماین نقش سرور صدور مجوزهای حجمی برای نرم افزار مایکروسافت را خودکار و ساده می کند و به شما امکان می دهد آن مجوزها را مدیریت کنید. نام PowerShell VolumeActivation است. خدمات چاپ و اسناداین نقش سرور برای به اشتراک گذاری چاپگرها و اسکنرها در شبکه، پیکربندی و مدیریت مرکزی سرورهای چاپ و اسکن و مدیریت طراحی شده است. چاپگرهای شبکهو اسکنرها خدمات چاپ و سند همچنین به شما امکان می دهد اسناد اسکن شده را از طریق ایمیل به اشتراک گذاشته شده ارسال کنید پوشه های شبکهیا به سایت های Windows SharePoint Services. نام PowerShell Print-Services است.
خط مشی شبکه و خدمات دسترسینقش " » (NPAS) به شما امکان می دهد از سرور سیاست شبکه (NPS) برای تنظیم و اجرای سیاست های دسترسی به شبکه، احراز هویت و مجوز، و سلامت کلاینت استفاده کنید، به عبارت دیگر، برای اطمینان از امنیت شبکه. نام Windows PowerShell NPAS است. Windows Deployment Servicesبا استفاده از این نقش می توانید سیستم عامل ویندوز را از راه دور روی شبکه نصب کنید. نام نقش PowerShell WDS است.
خدمات گواهی اکتیو دایرکتوریاین نقش برای ایجاد مقامات گواهی و خدمات نقش مرتبط طراحی شده است که شما را قادر می سازد گواهینامه ها را برای برنامه های مختلف صادر و مدیریت کنید. نام Windows PowerShell AD-Certificate است. شامل خدمات نقش زیر است:
خدمات دسکتاپ از راه دورنقش سروری که به شما امکان می دهد به دسکتاپ های مجازی، دسکتاپ های مبتنی بر جلسه و RemoteApps دسترسی داشته باشید. نام نقش Windows PowerShell Remote-Desktop-Services است. شامل خدمات زیر است:
خدمات مدیریت حقوق Active Directoryاین یک نقش سرور است که به شما امکان می دهد از اطلاعات در برابر استفاده غیرمجاز محافظت کنید. هویت کاربر را تأیید می کند و مجوز دسترسی به داده های محافظت شده را به کاربران مجاز می دهد. خدمات و اجزای اضافی برای عملکرد این نقش مورد نیاز است: " وب سرور (IIS)», « سرویس فعال سازی فرآیند ویندوز», « ویژگی های NET Framework 4.6». نام Windows PowerShell ADRMS است.
خدمات فدراسیون Active Directoryاین نقش قابلیتهای اتحادیه هویت سادهشده و ایمن و همچنین ورود به سیستم واحد مبتنی بر مرورگر (SSO) را برای وبسایتها فراهم میکند. نام PowerShell ADFS-Federation است. دسترسی از راه دوراین نقش اتصال را از طریق DirectAccess، VPN و Web Application Proxy فراهم می کند. همچنین نقش " دسترسی از راه دور» قابلیت های مسیریابی سنتی از جمله تبدیل را فراهم می کند آدرس های شبکه(NAT) و سایر پارامترهای اتصال. این نقش به خدمات و اجزای اضافی نیاز دارد: " وب سرور (IIS)», « پایگاه داده داخلی ویندوز». نام نقش Windows PowerShell RemoteAccess است.
خدمات فایل و ذخیره سازیاین یک نقش سرور است که می تواند برای به اشتراک گذاری فایل ها و پوشه ها، مدیریت و کنترل اشتراک گذاری ها، تکرار فایل ها، ارائه استفاده شود. جستجوی سریعفایل ها، و همچنین دسترسی به کامپیوترهای سرویس گیرنده یونیکس را فراهم می کند. ما به سرویس های فایل و به ویژه سرور فایل با جزئیات بیشتری در مطلب "نصب فایل سرور در ویندوز سرور 2016" نگاه کردیم. نام Windows PowerShell FileAndStorage-Services است. خدمات ذخیره سازی– این سرویس عملکرد مدیریت ذخیره سازی را ارائه می دهد که همیشه نصب است و قابل حذف نیست. سرویس های فایل و سرویس های iSCSI (سرویس های فایل)– اینها فناوریهایی هستند که مدیریت سرورهای فایل و ذخیرهسازی را ساده میکنند، فضای دیسک را ذخیره میکنند، نسخهبرداری و ذخیرهسازی فایلها را در شاخهها فراهم میکنند و همچنین اشتراکگذاری فایل را با استفاده از پروتکل NFS فراهم میکنند. شامل خدمات نقش زیر است:
سرور فکساین نقش فکسها را ارسال و دریافت میکند و به شما امکان میدهد منابع فکس مانند مشاغل، تنظیمات، گزارشها و دستگاههای فکس را در این رایانه یا شبکه مدیریت کنید. برای کار شما نیاز دارید " سرور چاپ». نام نقش Windows PowerShell Fax است. این پایان بررسی نقش های سرور ویندوز سرور 2016 است، امیدوارم مطالب برای شما مفید بوده باشد، خداحافظ! قبل از توسعه یک سرور سوکت، باید یک سرور خط مشی ایجاد کنید که به Silverlight بگوید کدام کلاینت ها مجاز به اتصال به سرور سوکت هستند. همانطور که در بالا نشان داده شد، Silverlight اجازه بارگذاری محتوا یا فراخوانی یک سرویس وب را نمی دهد، مگر اینکه دامنه دارای یک clientaccesspolicy xml یا فایل crossdomain باشد. xml که به صراحت این عملیات را مجاز می کند. محدودیت مشابهی بر روی سرور سوکت اعمال می شود. اگر به دستگاه سرویس گیرنده فرصتی برای بارگیری فایل clientaccesspolicy .xml که امکان دسترسی از راه دور را می دهد، ندهید، Silverlight از برقراری اتصال خودداری می کند. متأسفانه، ارائه سیاست دسترسی به مشتری. cml به یک برنامه سوکت کار دشوارتر از ارائه آن از طریق یک وب سایت است. هنگام استفاده از یک وب سایت، نرم افزار وب سرور ممکن است یک فایل xml.clientaccesspolicy ارائه دهد، فقط باید به خاطر داشته باشید که آن را اضافه کنید. با این حال، هنگام استفاده از یک برنامه سوکت، باید سوکتی را باز کنید که برنامههای سرویس گیرنده میتوانند درخواستهای خطمشی را به آن ارسال کنند. علاوه بر این، شما باید به صورت دستی کدی را ایجاد کنید که به سوکت سرویس می دهد. برای حل این مشکلات، باید یک سرور سیاست ایجاد کنید. همانطور که در ادامه خواهیم دید، سرور خط مشی مانند سرور پیام کار می کند، فقط تعاملات کمی ساده تر را مدیریت می کند. سرورهای پیام و خط مشی را می توان به طور جداگانه ایجاد کرد یا در یک برنامه ترکیب کرد. در حالت دوم، آنها باید به درخواست ها در موضوعات مختلف گوش دهند. در این مثال، ما یک سرور سیاست ایجاد می کنیم و سپس آن را با یک سرور پیام ترکیب می کنیم. برای ایجاد یک سرور سیاست، ابتدا باید یک برنامه دات نت ایجاد کنید. هر نوع برنامه دات نت می تواند به عنوان سرور خط مشی خدمت کند. ساده ترین راه استفاده از یک برنامه کنسول است. هنگامی که برنامه کنسول خود را اشکال زدایی کردید، می توانید کد را به یک سرویس ویندوز منتقل کنید تا به طور مداوم در پس زمینه اجرا شود. فایل خط مشی در زیر فایل خط مشی ارائه شده توسط سرور خط مشی ارائه شده است. فایل سیاست سه قانون را تعریف می کند. اجازه دسترسی به همه پورتها از 4502 تا 4532 را میدهد (این طیف کاملی از پورتهای پشتیبانی شده توسط افزونه Silverlight است). برای تغییر محدوده پورت های موجود، باید مقدار ویژگی port عنصر را تغییر دهید. اجازه دسترسی به TCP را می دهد (مجوز در ویژگی پروتکل عنصر تعریف شده است). اجازه تماس از هر دامنه را می دهد. بنابراین، برنامه Silverlight که اتصال را برقرار می کند، می تواند توسط هر وب سایتی میزبانی شود. برای تغییر این قانون، باید ویژگی uri عنصر را ویرایش کنید. برای سهولت کار، قوانین خط مشی در فایل clientaccess-ploi.cy.xml قرار می گیرد که به پروژه اضافه می شود. در ویژوال استودیو، تنظیمات Copy to Output Directory فایل سیاست باید روی Copy Always تنظیم شود. تنها کاری که باید انجام دهید این است که فایل را در هارد دیسک خود پیدا کنید، آن را باز کنید و محتویات را به دستگاه مشتری برگردانید. کلاس PolicyServer عملکرد Policy Server بر اساس دو کلاس کلیدی است: PolicyServer و PolicyConnection. کلاس PolicyServer انتظار برای اتصالات را کنترل می کند. هنگامی که یک اتصال را دریافت کرد، کنترل را به نمونه جدیدی از کلاس PoicyConnection میدهد که فایل سیاست را به مشتری ارسال میکند. این روش دو قسمتی در برنامه نویسی شبکه رایج است. هنگام کار با سرورهای پیام، بیش از یک بار آن را مشاهده خواهید کرد. کلاس PolicyServer فایل Policy را از هارد دیسک بارگیری می کند و آن را در یک فیلد به عنوان یک آرایه بایت ذخیره می کند. کلاس عمومی PolicyServer سیاست بایت خصوصی؛ Public PolicyServer(string policyFile) ( برای شروع گوش دادن، برنامه سرور باید با PolicyServer تماس بگیرد. شروع (). یک شی TcpListener ایجاد می کند که به درخواست ها گوش می دهد. شی TcpListener برای گوش دادن به پورت 943 پیکربندی شده است. در Silverlight، این پورت برای سرورهای سیاست رزرو شده است. هنگامی که درخواست هایی برای فایل های خط مشی ارسال می شود، Silverlight به طور خودکار آنها را به پورت 943 ارسال می کند. شنونده خصوصی TcpListener. Public void Start() // یک شی گوش دادن ایجاد کنید listener = new TcpListener(IPAddress.Any, 943); // شروع به گوش دادن کنید. متد Start() بلافاصله پس از listener برمی گردد.Start() فراخوانی می شود. // در انتظار اتصال؛ متد بلافاصله برمی گردد. II انتظار در یک موضوع جداگانه انجام می شود برای پذیرش اتصال ارائه شده، سرور خط مشی متد ()BeginAcceptTcpClient را فراخوانی می کند. مانند تمام متدهای Beginxxx() فریم ورک دات نت، بلافاصله پس از فراخوانی باز می گردد و عملیات لازم را روی یک رشته مجزا انجام می دهد. برای برنامه های شبکه، این یک عامل بسیار مهم است، زیرا اجازه می دهد تا بسیاری از درخواست ها برای فایل های سیاست به طور همزمان پردازش شوند. توجه داشته باشید. برنامه نویسان شبکه مبتدی اغلب تعجب می کنند که چگونه می توان بیش از یک درخواست را در یک زمان انجام داد و فکر می کنند که این کار به چندین سرور نیاز دارد. با این حال، اینطور نیست. با این رویکرد، برنامه های مشتری به سرعت تمام می شوند پورت های موجود. در عمل، برنامه های سرور بسیاری از درخواست ها را از طریق یک پورت پردازش می کنند. این فرآیند برای برنامهها نامرئی است، زیرا زیرسیستم TCP داخلی ویندوز بهطور خودکار پیامها را شناسایی کرده و آنها را به سمت اشیاء مناسب در کد برنامه هدایت میکند. هر اتصال به طور منحصر به فرد بر اساس چهار پارامتر شناسایی می شود: آدرس IP مشتری، شماره پورت مشتری، آدرس IP سرور و شماره پورت سرور. در هر درخواست، متد ()OnAcceptTcpClient بازگشت به تماس فعال می شود. مجدداً متد BeginAcceptTcpClient O's را فراخوانی می کند تا منتظر درخواست بعدی در یک رشته دیگر باشد و سپس پردازش درخواست فعلی را آغاز می کند. عمومی void OnAcceptTcpClient (IAsyncResult ag) ( اگر (isStopped) بازگشت; Console.WriteLine ("درخواست خط مشی دریافت شد."); // در انتظار اتصال بعدی. listener.BeginAcceptTcpClient(OnAcceptTcpClient، null); // اتصال فعلی را پردازش کنید. TcpClient client = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = new PolicyConnection(client, policy); PolicyConnection.HandleRequest(); گرفتن (Err Exception) ( هر بار که یک اتصال جدید دریافت می شود، یک شیء PolicyConnection جدید برای مدیریت آن ایجاد می شود. علاوه بر این، شی PolicyConnection فایل Policy را حفظ می کند. آخرین مؤلفه کلاس PolicyServer متد ()Stop است که از انتظار برای درخواست ها می ایستد. برنامه زمانی که خارج می شود آن را فراخوانی می کند. خصوصی bool isStoppped; عمومی void StopO ( isStopped = درست است. شنونده متوقف کردن()؛ گرفتن (Err Exception) ( Console.WriteLine(err.Message); برای راه اندازی سرور سیاست، از کد زیر در متد Main() سرور برنامه استفاده می شود. فضای خالی استاتیک اصلی (ارگ های رشته ای) ( PolicyServer PolicyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start(); Console.WriteLine ("سرور سیاست در حال اجرا است."); Console.WriteLine ("برای خروج Enter را فشار دهید."); // در انتظار فشار دادن کلید؛ با استفاده از متد // Console.ReadKey()، می توانید انتظارات را برای یک خط // خاص تنظیم کنید (به عنوان مثال، خروج) یا فشار دادن هر کلید Console.ReadLine(); PolicyServer.Stop(); Console.WriteLine("End Policy Server."); کلاس PolicyConnection کلاس PolicyConnection کار ساده تری را انجام می دهد. شی PolicyConnection یک مرجع به داده های فایل سیاست ذخیره می کند. سپس، پس از فراخوانی متد HandleRequest()، شی PolicyConnection یک اتصال جدید از جریان شبکه واکشی می کند و سعی می کند آن را بخواند. دستگاه سرویس گیرنده باید یک رشته حاوی متن را ارسال کند.پس از خواندن این متن، دستگاه سرویس گیرنده داده های خط مشی را در جریان می نویسد و اتصال را می بندد. در زیر کد کلاس PolicyConnection آمده است. Public class Connection Policy( کلاینت خصوصی TcpClient؛ سیاست بایت خصوصی؛ Public PolicyConnection (کلاینت TcpClient، خط مشی بایت) ( this.client = مشتری; this.policy = سیاست; // ایجاد یک درخواست کلاینت برای رشته استاتیک خصوصی PolicyRequestString = " Public void HandleRequest() ( Stream s = client.GetStream(); // رشته پرس و جو سیاست را بخوانید بایت بافر = بایت جدید. // فقط 5 ثانیه مشتری صبر کنید. ReceiveTimeout = 5000;' s.Read (بافر، 0، بافر. طول)؛ // عبور از خط مشی (همچنین می توانید بررسی کنید که آیا خط مشی // درخواست دارای محتوای مورد نیاز است) s.Write(policy, 0, policy.Length); //Close Connection client.Close(); Console.WriteLine ("پرونده سیاست ارائه شد."); بنابراین ما یک سرور خط مشی کاملاً کاربردی داریم. متأسفانه، هنوز نمیتوان آن را آزمایش کرد زیرا افزونه Silverlight به شما اجازه نمیدهد صریحاً فایلهای خطمشی را درخواست کنید. در عوض، زمانی که میخواهید از یک برنامه سوکت استفاده کنید، به طور خودکار از آنها درخواست میکند. قبل از اینکه بتوانید یک برنامه مشتری برای یک برنامه سوکت معین ایجاد کنید، باید یک سرور ایجاد کنید. ادامه موضوع: مقالات جدید / |
محبوب:
ساختار واحد سیستم - کدام اجزا مسئول عملکرد رایانه هستند ویژگی های دستگاه های داخلی واحد سیستم |
جدید
- سه راه برای باز کردن ویرایشگر رجیستری ویندوز باز کردن رجیستری با استفاده از جستجو
- نحوه پارتیشن بندی هارد دیسک
- هارد دیسک را به پارتیشن تقسیم می کنیم
- وقتی کامپیوتر روشن می شود بوق می دهد
- تغییر صحیح پسوند فایل در ویندوز نحوه تغییر پسوند آرشیو
- مسدود کردن تبلیغات در YouTube YouTube بدون تبلیغات
- TeamViewer - کنترل کامپیوتر از راه دور برنامه را برای برقراری ارتباط با رایانه دیگری دانلود کنید
- نحوه پیدا کردن ویژگی های رایانه خود در ویندوز: روش های سیستم و برنامه های ویژه
- ما مرورگرها را در دستگاه های مختلف به روز می کنیم: رایانه، تبلت، تلفن هوشمند مرورگر به روز شده را کجا و چگونه نصب کنید
- نحوه روغن کاری کولر پردازنده، کارت گرافیک، منبع تغذیه و کامپیوتر