Sayt bo'limlari
Muharrir tanlovi:
- Internet tezligini tekshirish: usullarning umumiy ko'rinishi. Provayderingizdan haqiqiy Internet tezligini qanday aniqlash mumkin
- Windows ro'yxatga olish kitobi muharririni ochishning uchta usuli Qidiruv yordamida ro'yxatga olish kitobini ochish
- Qattiq diskni qanday qismlarga bo'lish kerak
- Biz qattiq diskni bo'limlarga ajratamiz
- Kompyuter yoqilganda signal beradi
- Windows-da fayl kengaytmalarini to'g'ri o'zgartirish Arxiv kengaytmasini qanday o'zgartirish mumkin
- YouTube YouTube-da reklamalarni reklamasiz bloklash
- TeamViewer - kompyuterni masofadan boshqarish Boshqa kompyuter bilan bog'lanish uchun dasturni yuklab oling
- Windows-da kompyuteringizning xususiyatlarini qanday aniqlash mumkin: tizim usullari va maxsus dasturlar
- Biz turli xil qurilmalarda brauzerlarni yangilaymiz: kompyuter, planshet, smartfon Yangilangan brauzerni qayerda va qanday qilib o'rnating
Reklama
Server siyosatining batafsil tavsifini taqdim eting. Ma'muriyat va marshrutlash guruhlari bilan ishlash |
4-ma'ruza Tarmoq siyosati serveri: RADIUS server, RADIUS proksi va xavfsizlik siyosati serveri Ma'ruza 4 Mavzu: Tarmoq siyosati serveri: RADIUS serveri, RADIUS proksi va tarmoqqa kirishni himoya qilish siyosati serveri Kirish Windows Server 2008 va Windows Server 2008 R2 yangi avlod tarmoqlari, ilovalari va veb-xizmatlarini ishga tushirish uchun mo'ljallangan rivojlangan Windows Server operatsion tizimlaridir. Bular bilan operatsion tizimlar Siz foydalanuvchilar va ilovalar uchun moslashuvchan va keng qamrovli tajribalarni loyihalashingiz, yetkazib berishingiz va boshqarishingiz, yuqori darajada himoyalangan tarmoq infratuzilmasini yaratishingiz hamda tashkilotingizdagi texnologik samaradorlik va tashkiliylikni oshirishingiz mumkin. Tarmoq siyosati serveri Tarmoq siyosati serveri mijozning sog'lig'ini ta'minlash va ulanish so'rovlarini autentifikatsiya qilish va avtorizatsiya qilish uchun tashkilot bo'ylab tarmoqqa kirish siyosatlarini yaratish va amalga oshirish imkonini beradi. Bundan tashqari, NPS ulanish so'rovlarini NPS yoki masofaviy RADIUS server guruhlarida sozlangan boshqa RADIUS serverlariga yo'naltirish uchun RADIUS proksi-server sifatida ishlatilishi mumkin. Tarmoq siyosati serveri quyidagi uchta imkoniyatdan foydalangan holda tarmoqqa kirish huquqini berishda mijozning autentifikatsiyasi, avtorizatsiyasi va sog'liqni saqlash siyosatlarini markazlashtirilgan tarzda sozlash va boshqarish imkonini beradi: RADIUS serveri. Tarmoq siyosati serveri simsiz ulanishlar, autentifikatsiya qilingan kommutator ulanishlari, dial-up ulanishlari va virtual xususiy tarmoq (VPN) ulanishlari uchun autentifikatsiya, avtorizatsiya va hisobni markazlashtirilgan tarzda boshqaradi. NPS-dan RADIUS-server sifatida foydalanilganda, simsiz ulanish nuqtalari va VPN-serverlar kabi tarmoqqa kirish serverlari NPS-da RADIUS mijozlari sifatida sozlanadi. Bundan tashqari, siz NPS ulanish so'rovlarini avtorizatsiya qilish uchun foydalanadigan tarmoq siyosatlarini sozlaysiz. Bundan tashqari, siz RADIUS hisobini sozlashingiz mumkin, shunda NPS ma'lumotlarni mahalliy qattiq diskingizda yoki Microsoft ma'lumotlar bazasida saqlangan fayllarni jurnalga oladi. SQL Server. RADIUS proksi-server. Agar NPS RADIUS proksi-server sifatida ishlatilsa, NPS qaysi ulanish so'rovlarini boshqa RADIUS serverlariga yo'naltirishini va bu so'rovlar qaysi RADIUS serverlariga yo'naltirilishini aniqlaydigan ulanish so'rovi siyosatlarini sozlashingiz kerak. Shuningdek, siz tarmoq siyosati serverini hisob maʼlumotlarini masofaviy RADIUS serverlari guruhidagi bir yoki bir nechta kompyuterlarda saqlash uchun qayta yoʻnaltirish uchun sozlashingiz mumkin. Tarmoqqa kirishni himoya qilish (NAP) siyosat serveri. NPS NAP siyosati serveri sifatida sozlanganda, NPS tarmoqqa ulanishga urinayotgan NAP yoqilgan mijoz kompyuterlari tomonidan yuborilgan sog'liq holatini baholaydi. Tarmoqqa kirishni himoya qilish bilan sozlangan Tarmoq siyosati serveri ulanish so'rovlarini autentifikatsiya qilish va avtorizatsiya qilish uchun RADIUS serveri vazifasini bajaradi. Tarmoq siyosati serverida siz tarmoqqa kirishni himoya qilish siyosati va sozlamalarini, jumladan tizim sog'lig'ini tekshirish vositalarini, sog'liqni saqlash siyosatlarini va mijoz kompyuterlari konfiguratsiyasi tashkilotingizning tarmoq siyosatiga muvofiq yangilanishini ta'minlaydigan server guruhlarini yangilashni sozlashingiz mumkin. Tarmoq siyosati serveri yuqoridagi variantlarning har qanday kombinatsiyasi bilan sozlanishi mumkin. Misol uchun, Tarmoq siyosati serveri bir yoki bir nechta majburlash usullaridan foydalangan holda Tarmoqqa kirishni himoya qilish siyosati serveri rolini o'ynashi mumkin, shu bilan birga bir vaqtning o'zida masofaviy ulanishlar uchun RADIUS serveri va ba'zi ulanish so'rovlarini masofaviy RADIUS guruhiga yo'naltirish uchun RADIUS proksi sifatida xizmat qiladi. serverlar. bu sizga boshqa domenda autentifikatsiya va avtorizatsiyani amalga oshirish imkonini beradi. RADIUS server va RADIUS proksi Tarmoq siyosati serveri bir vaqtning o'zida RADIUS serveri, RADIUS proksi-serveri yoki ikkalasi sifatida ishlatilishi mumkin. RADIUS serveri Microsoft Network Policy Server IETF RFC 2865 va RFC 2866 da tavsiflanganidek RADIUS standartiga muvofiq amalga oshiriladi. RADIUS serveri sifatida Tarmoq siyosati serveri tarmoqqa kirishning har xil turlari, jumladan, simsiz ulanishlar uchun autentifikatsiya, avtorizatsiya va ulanishlarni hisobga olishni markazlashtirilgan tarzda amalga oshiradi. kirish, kommutatsiya autentifikatsiya qilingan, masofaviy va VPN kirish va routerlar orasidagi ulanishlar. Tarmoq siyosati serveri turli xil simsiz, dial-up, VPN va kommutatsiya uskunalari to'plamini ta'minlaydi. Tarmoq siyosati serveridan operatsion tizimlarda mavjud bo'lgan Marshrutlash va masofaviy kirish xizmati bilan foydalanish mumkin. Microsoft tizimlari Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition va Windows Server 2003, Datacenter Edition. Agar Network Policy Server bilan ishlaydigan kompyuter a'zo bo'lsa domen Faol Directory® Network Policy Server ushbu katalog xizmatidan foydalanuvchi hisobi ma'lumotlar bazasi sifatida foydalanadi va yagona tizimga kirish yechimining bir qismidir. Xuddi shu hisob ma'lumotlari to'plami tarmoqqa kirishni boshqarish (tarmoqqa kirishni autentifikatsiya qilish va avtorizatsiya qilish) va Active Directory domeniga kirish uchun ishlatiladi. Tarmoqqa kirishni ta'minlovchi internet provayderlari va tashkilotlari tarmoqqa kirish uskunasidan qat'i nazar, barcha turdagi tarmoqlarni yagona ma'muriyat nuqtasidan boshqarishda katta qiyinchiliklarga duch kelishadi. RADIUS standarti bu funksiyani ham bir hil, ham heterojen muhitda qo'llab-quvvatlaydi. RADIUS protokoli mijoz-server protokoli bo'lib, tarmoqqa kirish uskunasiga (RADIUS mijozlari vazifasini bajaradi) RADIUS serveriga autentifikatsiya va hisob so'rovlarini amalga oshirish imkonini beradi. RADIUS serveri foydalanuvchining hisob ma'lumotlariga kirish huquqiga ega va tarmoqqa kirish huquqini berish uchun autentifikatsiya vaqtida hisob ma'lumotlarini tekshirishi mumkin. Agar foydalanuvchining hisob ma'lumotlari haqiqiy bo'lsa va ulanishga urinish ruxsat etilgan bo'lsa, RADIUS server belgilangan shartlar asosida foydalanuvchining kirishiga ruxsat beradi va ulanish ma'lumotlarini jurnalga kiritadi. RADIUS protokolidan foydalanish autentifikatsiya, avtorizatsiya va buxgalteriya ma'lumotlarini har bir kirish serverida bajarish o'rniga bitta joyda to'plash va saqlash imkonini beradi. RADIUS proksi-server RADIUS proksi-server sifatida NPS autentifikatsiya va hisob xabarlarini boshqa RADIUS serverlariga uzatadi. Tarmoq siyosati serveri yordamida tashkilotlar foydalanuvchi autentifikatsiyasi, avtorizatsiyasi va buxgalteriya hisobi ustidan nazoratni saqlab, xizmat ko'rsatuvchi provayderga masofaviy kirish infratuzilmasini topshirishi mumkin. Tarmoq siyosati serveri konfiguratsiyasi quyidagi stsenariylar uchun yaratilishi mumkin: Simsiz ulanish Masofaviy kirish yoki virtual ulanish xususiy tarmoq Tashkilotda. Masofaviy kirish yoki tashqi tashkilot tomonidan taqdim etilgan simsiz ulanish Internetga ulanish Resurslarga autentifikatsiya qilingan kirish tashqi tarmoq biznes hamkorlar uchun RADIUS server va RADIUS proksi-server konfiguratsiyalariga misollar Quyidagi konfiguratsiya misollari NPS ni RADIUS server va RADIUS proksi sifatida qanday sozlashni ko'rsatadi. NPS RADIUS serveri sifatida. Ushbu misolda NPS serveri RADIUS serveri sifatida sozlangan, faqat standart ulanish soʻrovi siyosati sozlangan va barcha ulanish soʻrovlari mahalliy NPS serveri tomonidan qayta ishlanadi. Tarmoq siyosati serveri hisoblari server domenida yoki ishonchli domenlarda bo'lgan foydalanuvchilarni autentifikatsiya qilishi va avtorizatsiya qilishi mumkin. NPS RADIUS proksi sifatida. Ushbu misolda NPS RADIUS proksi-server sifatida sozlangan bo'lib, ulanish so'rovlarini ikki xil ishonchsiz domenlardagi masofaviy RADIUS serverlari guruhlariga yo'naltiradi. Standart ulanish soʻrovi siyosati olib tashlanadi va uning oʻrniga ikkita ishonchsiz domenning har biriga soʻrovlarni yoʻnaltiruvchi ikkita yangi ulanish soʻrovi siyosati qoʻyiladi. Ushbu misolda NPS mahalliy serverda ulanish so'rovlarini qayta ishlamaydi. NPS ham RADIUS server, ham RADIUS proksi-server sifatida. Mahalliy ravishda so'rovlarni qayta ishlaydigan standart ulanish so'rovi siyosatiga qo'shimcha ravishda ularni NPS yoki boshqa RADIUS serveriga ishonchsiz domenga yo'naltiruvchi yangi ulanish so'rovi siyosati yaratiladi. Ikkinchi siyosat proksi deb nomlanadi. IN bu misolda Proksi siyosati tartiblangan tartiblar roʻyxatida birinchi boʻlib koʻrinadi. Agar ulanish soʻrovi proksi-server siyosatiga mos kelsa, ulanish soʻrovi masofaviy RADIUS serverlar guruhidagi RADIUS serveriga yoʻnaltiriladi. Agar ulanish soʻrovi proksi-server siyosatiga mos kelmasa, lekin standart ulanish soʻrovi siyosatiga mos kelsa, NPS ulanish soʻrovini qayta ishlaydi. mahalliy server. Agar ulanish so'rovi ushbu siyosatlarning birortasiga mos kelmasa, u rad etiladi. NPS masofaviy hisob serverlari bilan RADIUS serveri sifatida. Ushbu misolda mahalliy NPS buxgalteriya hisobi uchun sozlanmagan va standart ulanish so'rovi siyosati RADIUS hisob xabarlari NPS yoki masofaviy RADIUS serverlari guruhidagi boshqa RADIUS serveriga yo'naltirilishi uchun o'zgartirilgan. Buxgalteriya xabarlari yuborilgan bo'lsa-da, autentifikatsiya va avtorizatsiya xabarlari yuborilmaydi va mahalliy domen va barcha ishonchli domenlar uchun tegishli funktsiyalar mahalliy NPS serveri tomonidan amalga oshiriladi. Masofaviy RADIUS bilan Windows foydalanuvchi xaritalash bilan NPS. Ushbu misolda NPS har bir alohida ulanish so'rovi uchun ham RADIUS serveri, ham RADIUS proksi-server vazifasini bajaradi va autentifikatsiya so'rovini masofaviy RADIUS serveriga yo'naltiradi va bir vaqtning o'zida mahalliy Windows foydalanuvchi hisobi yordamida avtorizatsiyani amalga oshiradi. Ushbu konfiguratsiya ulanish soʻrovi siyosatining sharti sifatida masofaviy RADIUS serverini Windows foydalanuvchisiga moslashtirish atributini oʻrnatish orqali amalga oshiriladi. (Bundan tashqari, siz RADIUS serverida masofaviy RADIUS serveri tomonidan autentifikatsiya qilinadigan uzoq hisob qaydnomasi bilan bir xil nomdagi mahalliy foydalanuvchi hisobini yaratishingiz kerak.) Tarmoqqa kirishni himoya qilish siyosati serveri Tarmoqqa kirishni himoya qilish Windows Vista®, Windows® 7, Windows Server® 2008 va Windows Server® 2008 R2 tizimlariga kiritilgan. Bu mijozlarga tarmoq resurslariga kirishga ruxsat berganda, mijoz kompyuterlari tashkilot tarmog'ida amalda bo'lgan sog'liqni saqlash siyosatiga mos kelishini ta'minlash orqali shaxsiy tarmoqlarga xavfsiz kirishni ta'minlaydi. Bundan tashqari, mijoz kompyuterining ma'mur tomonidan belgilangan sog'liqni saqlash siyosatiga muvofiqligi, mijoz kompyuteri tarmoqqa ulangan paytda Network Access Protection tomonidan nazorat qilinadi. Tarmoqqa kirishni himoya qilishni avtomatik yangilash xususiyati bilan mos kelmaydigan kompyuterlar sog'liqni saqlash siyosatiga avtomatik ravishda yangilanishi mumkin, bu ularga keyinchalik tarmoqqa kirish huquqini beradi. Tizim ma'murlari tarmoq sog'lig'i siyosatlarini belgilaydilar va ushbu siyosatlarni Tarmoq siyosati serverida mavjud bo'lgan yoki boshqa kompaniyalar tomonidan taqdim etilgan (Tarmoqqa kirishni himoya qilishning amalga oshirilishiga qarab) Tarmoqqa kirishni himoya qilish komponentlari yordamida yaratadilar. Sog'liqni saqlash siyosatlari dasturiy ta'minot talablari, xavfsizlikni yangilash talablari va konfiguratsiya parametrlari talablari kabi xususiyatlarga ega bo'lishi mumkin. Tarmoqqa kirishni himoya qilish mijoz kompyuterlarining sog'lig'ini tekshirish va baholash uchun sog'liqni saqlash siyosatini qo'llaydi. tarmoqqa kirish ushbu talablarga javob bermaydigan kompyuterlar uchun va tarmoqqa cheklanmagan kirishni ta'minlash uchun ushbu nomuvofiqlikni tuzatish. GPresult yordam dasturi.exe- bu Active Directory domenidagi kompyuter va/yoki foydalanuvchiga qo'llaniladigan sozlamalarni tahlil qilish va guruh siyosatlarini tashxislash uchun mo'ljallangan konsol ilovasi. Xususan, GPresult natijada olingan siyosatlar toʻplamidan (Natijalar toʻplami, RSOP), qoʻllaniladigan domen siyosatlari roʻyxatidan (GPO), ularning sozlamalaridan va maʼlumotlarni olish imkonini beradi. batafsil ma'lumot ularni qayta ishlashdagi xatolar haqida. Yordamchi dastur Windows XP dan beri Windows operatsion tizimining bir qismi bo'lib kelgan. GPresult yordam dasturi quyidagi savollarga javob berishga imkon beradi: GPO u yoki bu Windows sozlamalarini o'zgartirgan kompyuterga ma'lum bir siyosat qo'llaniladimi va sabablarini tushuning. Ushbu maqolada biz Active Directory domenida guruh siyosatlarining qo'llanilishini diagnostika qilish va disk raskadrovka qilish uchun GPResult buyrug'idan foydalanish xususiyatlarini ko'rib chiqamiz. Dastlab, Windows-da guruh siyosatlarining qo'llanilishini diagnostika qilish uchun u ishlatilgan grafik konsol RSOP.msc, bu GPO muharriri konsoliga o'xshash grafik shaklda kompyuterga va foydalanuvchiga qo'llaniladigan natija siyosatlarining (domen + mahalliy) sozlamalarini olish imkonini berdi (quyida, RSOP.msc konsoli misolida). ko'rinishida yangilanish sozlamalari o'rnatilganligini ko'rishingiz mumkin). Biroq, Windowsning zamonaviy versiyalarida RSOP.msc konsolidan foydalanish tavsiya etilmaydi, chunki u GPP (Guruh siyosati afzalliklari) kabi turli xil mijoz kengaytmalari (CSE) tomonidan qo'llaniladigan sozlamalarni aks ettirmaydi, qidirishga ruxsat bermaydi va diagnostika ma'lumotlarini kam ta'minlaydi. Shuning uchun, hozirgi vaqtda GPresult buyrug'i Windows-da GPO-dan foydalanishni diagnostika qilishning asosiy vositasidir (Windows 10-da, GPresult-dan farqli o'laroq, RSOP to'liq hisobotni taqdim etmasligi haqida ogohlantirish paydo bo'ladi). GPresult.exe yordam dasturidan foydalanishGPresult buyrug'i siz guruh siyosatlarining qo'llanilishini tekshirmoqchi bo'lgan kompyuterda ishga tushiriladi. GPresult buyrug'i quyidagi sintaksisga ega: GPRESULT ]] [(/X | /H)<имя_файла> ] Berilgan AD ob'ektiga (foydalanuvchi va kompyuter) qo'llaniladigan guruh siyosatlari va GPO infratuzilmasi bilan bog'liq boshqa sozlamalar (ya'ni, natijada GPO siyosati sozlamalari - RsoP) haqida batafsil ma'lumot olish uchun buyruqni bajaring: Buyruqning natijalari 2 bo'limga bo'lingan:
Keling, GPresult chiqishida bizni qiziqtirishi mumkin bo'lgan asosiy parametrlar/bo'limlarni qisqacha ko'rib chiqaylik:
Bizning misolimizda foydalanuvchi ob'ekti 4 ta guruh siyosatiga bo'ysunishini ko'rishingiz mumkin.
Agar siz konsolda bir vaqtning o'zida foydalanuvchi va kompyuter siyosatlari haqidagi ma'lumotlarning ko'rsatilishini istamasangiz, /scope opsiyasidan faqat sizni qiziqtirgan bo'limni ko'rsatishingiz mumkin. Faqat natijada foydalanuvchi siyosatlari: gpresult /r /scope:user yoki faqat qo'llaniladigan kompyuter siyosatlari: gpresult /r /scope:kompyuter Chunki Gpresult yordam dasturi o'z ma'lumotlarini to'g'ridan-to'g'ri buyruq satri konsoliga chiqaradi, bu keyingi tahlil uchun har doim ham qulay emas; uning chiqishini vaqtinchalik xotiraga yo'naltirish mumkin: Gpresult /r |klip yoki matn fayli: Gpresult /r > c:\gpresult.txt O'ta batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z kalitini qo'shishingiz kerak. GPresult yordamida HTML RSOP hisobotiBundan tashqari, GPresult yordam dasturi qo'llaniladigan siyosatlarning HTML hisobotini yaratishi mumkin (Windows 7 va undan yuqori versiyalarida mavjud). Ushbu hisobot o'z ichiga oladi batafsil ma'lumot guruh siyosatlari tomonidan o'rnatiladigan barcha tizim parametrlari va ularni o'rnatgan aniq GPO nomlari haqida (natijadagi tuzilma hisoboti Domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'iga o'xshaydi - GPMC). Buyruq yordamida HTML GPresult hisobotini yaratishingiz mumkin: GPresult /h c:\gp-report\report.html /f Hisobot yaratish va uni brauzerda avtomatik ravishda ochish uchun quyidagi buyruqni bajaring: GPresult /h GPresult.html & GPresult.html gpresult HTML hisoboti juda ko'p narsalarni o'z ichiga oladi foydali ma'lumotlar: GPO ilovasidagi xatolar, ishlov berish vaqti (ms da) va maxsus siyosatlar va CSE qo'llanilishi ko'rinadi (Kompyuter tafsilotlari -> Komponent holati bo'limida). Misol uchun, yuqoridagi skrinshotda siz 24 ta parolni eslab qolish sozlamalariga ega siyosat standart domen siyosati (Winning GPO ustuni) tomonidan qo'llanilishini ko'rishingiz mumkin. Ko'rib turganingizdek, ushbu HTML hisoboti rsop.msc konsoliga qaraganda qo'llaniladigan siyosatlarni tahlil qilish uchun ancha qulayroqdir. Masofaviy kompyuterdan GPresult ma'lumotlarini qabul qilishGPresult, shuningdek, masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu ma'murning mahalliy yoki RDP masofaviy kompyuterga kirishiga ehtiyojni yo'q qiladi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha: GPresult /s server-ts1 /r Xuddi shunday, siz ham foydalanuvchi siyosatidan, ham kompyuter siyosatidan maʼlumotlarni masofadan yigʻishingiz mumkin. Foydalanuvchi nomi RSOP ma'lumotlariga ega emasUAC yoqilganda, yuqori imtiyozlarsiz GPresult ishga tushirilishi faqat foydalanuvchi guruhi siyosati bo'limi sozlamalarini ko'rsatadi. Agar siz ikkala bo'limni (FOYDALANUVCHI SOZLAMALARI va KOMPYUTER SOZLAMALARI) bir vaqtning o'zida ko'rsatishingiz kerak bo'lsa, buyruq bajarilishi kerak. Agar buyruq qatori joriy foydalanuvchidan boshqa tizimga ko'tarilsa, yordamchi dastur ogohlantirish beradi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ("domen\user" foydalanuvchisi RSOP ma'lumotlariga ega emas). Buning sababi, GPresult uni ishga tushirgan foydalanuvchi uchun ma'lumot to'plashga harakat qiladi, lekin ... bu foydalanuvchi tizimga kirmagan, buning uchun RSOP ma'lumoti yo'q. Faol seansga ega foydalanuvchi uchun RSOP ma'lumotlarini to'plash uchun siz uning hisobini ko'rsatishingiz kerak: gpresult /r /user:tn\edward Agar tizimga kirgan hisob nomini bilmasangiz masofaviy kompyuter, siz shunday hisob olishingiz mumkin: qwinsta /SERVER: remotePC1 Shuningdek, mijozdagi vaqt(lar)ni tekshiring. Vaqt PDC (Birlamchi domen nazoratchisi) dagi vaqtga mos kelishi kerak. Quyidagi GPO siyosatlari qoʻllanilmadi, chunki ular filtrlanganGuruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda siz ushbu bo'limga ham e'tibor berishingiz kerak: Quyidagi GPOlar qo'llanilmadi, chunki ular filtrlangan. Ushbu bo'lim u yoki bu sabablarga ko'ra ushbu ob'ektga taalluqli bo'lmagan GPOlar ro'yxatini ko'rsatadi. Mumkin variantlar siyosat qo'llanilmasligi mumkin: Shuningdek, siz siyosatning ma'lum bir AD ob'ektiga qo'llanilishi kerakligini samarali ruxsatnomalar yorlig'ida (Kengaytirilgan -> Samarali kirish) tushunishingiz mumkin. Shunday qilib, ushbu maqolada biz GPresult yordam dasturidan foydalangan holda guruh siyosatlarini qo'llashni diagnostika qilish xususiyatlarini ko'rib chiqdik va undan foydalanishning odatiy stsenariylarini ko'rib chiqdik. Windows-ni o'rnatayotganda, kichik quyi tizimlarning aksariyati faollashtirilmagan yoki o'rnatilmagan. Bu xavfsizlik nuqtai nazaridan amalga oshiriladi. Tizim sukut bo'yicha xavfsiz bo'lgani uchun, tizim ma'murlari faqat o'ziga yuklangan funktsiyalarni bajaradigan tizimni loyihalashga e'tibor qaratishi mumkin va boshqa hech narsa emas. Kerakli funksiyalarni yoqishingizga yordam berish uchun Windows sizga Server rolini tanlashni taklif qiladi. RollarServer roli - bu to'g'ri o'rnatilgan va konfiguratsiya qilinganida, kompyuterga bir nechta foydalanuvchilar yoki tarmoqdagi boshqa kompyuterlar uchun ma'lum bir funktsiyani bajarishga imkon beradigan dasturlar to'plami. Umuman olganda, barcha rollar quyidagi xususiyatlarga ega.
Rol xizmatlariRol xizmatlari - bu ta'minlovchi dasturlar funksionallik rollar. Rolni o'rnatganingizda, u boshqa foydalanuvchilar va korxonadagi kompyuterlarga qaysi xizmatlarni taqdim etishini tanlashingiz mumkin. DNS server kabi ba'zi rollar faqat bitta funktsiyani bajaradi, shuning uchun ular uchun rol xizmatlari mavjud emas. Masofaviy ish stoli xizmatlari kabi boshqa rollarda biznesingizning masofaviy kirish ehtiyojlariga qarab oʻrnatilishi mumkin boʻlgan bir nechta xizmatlar mavjud. Rolni bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami sifatida ko'rish mumkin. Ko'pgina hollarda, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi. Komponentlar Komponentlar to'g'ridan-to'g'ri rollarning bir qismi bo'lmagan, lekin qaysi rollar o'rnatilganidan qat'i nazar, bir yoki bir nechta rollarning yoki butun serverning funksionalligini qo'llab-quvvatlaydigan yoki kengaytiradigan dasturlardir. Masalan, Failover Cluster xususiyati fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksionalligini kengaytirib, ularga server klasterlariga qo'shilish imkonini beradi, bu esa ortib borayotgan ortiqcha va ishlashni ta'minlaydi. Boshqa komponent - "Telnet Client" - Telnet serveri bilan masofaviy aloqani ta'minlaydi tarmoq ulanishi. Bu xususiyat serverning aloqa imkoniyatlarini oshiradi. Windows Server asosiy rejimda ishlayotganida server komponentlari, quyidagi server rollari qo'llab-quvvatlanadi:
Windows Server Server yadrosi rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:
Server menejeri yordamida server rollarini o'rnatishQo'shish uchun Server menejerini oching va Boshqaruv menyusida Rollar va xususiyatlarni qo'shish-ni bosing: Rollar va xususiyatlarni qo'shish ustasi ochiladi. Keyingiga bosing O'rnatish turi, Rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingisi: Serverni tanlash - bizning serverimizni tanlang. Keyingi server rollarini bosing - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun Keyingiga bosing. Ushbu protsedura davomida Rollar va xususiyatlarni qo'shish ustasi belgilangan serverda tanlangan rollar yoki xususiyatlarning o'rnatilishi yoki to'g'ri ishlashiga xalaqit beradigan har qanday ziddiyatlar mavjudligi haqida avtomatik ravishda sizga xabar beradi. Shuningdek, sizdan tanlangan rollar yoki funksiyalar uchun zarur bo'lgan rollar, rol xizmatlari va xususiyatlarni qo'shish taklif etiladi. PowerShell yordamida rollarni o'rnatishWindows PowerShell-ni oching Mahalliy serverda mavjud va o'rnatilgan rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va xususiyatlar uchun buyruq nomlarini o'z ichiga oladi. Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting. Quyidagi buyruqni kiriting (-Rolni o'rnatishda qayta ishga tushirish kerak bo'lsa, qayta ishga tushirish serverni qayta ishga tushiradi). O'rnatish-WindowsFeature -Ism Rol va rol xizmatlarining tavsifiBarcha rollar va rol xizmatlari quyida tavsiflanadi. Keling, amaliyotimizdagi eng keng tarqalgan konfiguratsiyani ko'rib chiqaylik: veb-server roli va masofaviy ish stoli xizmatlari IISning batafsil tavsifi
RDS ning batafsil tavsifi
Keling, terminal litsenziyasi serverini o'rnatish va sozlashni ko'rib chiqaylik. Yuqorida rollarni qanday o'rnatish kerakligi tasvirlangan, RDS-ni o'rnatish boshqa rollarni o'rnatishdan farq qilmaydi; Rol xizmatlarida biz Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng, "Terminal xizmatlari" elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita elementga ega: masofaviy ish stoli litsenziyalash uchun diagnostika vositasi bo'lgan RD litsenziyalash diagnostikasi va litsenziyani boshqarish vositasi bo'lgan masofaviy ish stoli litsenziyalash menejeri. Keling, RD Litsenziyalash Diagnoserni ishga tushiramiz Bu erda biz hali litsenziyalar mavjud emasligini ko'ramiz, chunki Masofaviy ish stoli sessiyasi xost serveri uchun litsenziyalash rejimi o'rnatilmagan. Litsenziyalash serveri mahalliy guruh siyosatida ko'rsatilgan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'ini ishga tushiring. Mahalliy guruh siyosati muharriri ochiladi. Chapdagi daraxtda yorliqlarni ochamiz:
Parametrlarni oching. Belgilangan masofaviy ish stoli litsenziya serverlaridan foydalaning Siyosat sozlamalarini tahrirlash oynasida litsenziyalash serverini yoqing (yoqilgan). Keyinchalik, masofaviy ish stoli xizmatlari uchun litsenziyalash serverini aniqlashingiz kerak. Mening misolimda, litsenziyalash serveri bir xil jismoniy serverda joylashgan. bildiramiz tarmoq nomi yoki litsenziya serverining IP manzilini tanlang va OK tugmasini bosing. Agar siz kelajakda server nomini o'zgartirsangiz, litsenziya serveri xuddi shu bo'limda o'zgartirilishi kerak bo'ladi. Shundan so'ng, RD Licensing Diagnoser-da siz terminal litsenziya serveri sozlanganligini, lekin yoqilmaganligini ko'rishingiz mumkin. Yoqish uchun masofaviy ish stoli litsenziyalash menejerini ishga tushiring Faollashtirilmagan holatga ega litsenziyalash serverini tanlang. Faollashtirish uchun uni sichqonchaning o'ng tugmasi bilan bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Keyinchalik, tashkilot haqidagi ma'lumotlarni to'ldiring, shundan so'ng litsenziya serveri faollashadi. Active Directory sertifikat xizmatlariAD CS texnologiyadan foydalanadigan dasturiy ta'minot xavfsizligi tizimlarida qo'llaniladigan sozlanishi raqamli sertifikat xizmatlarini taqdim etadi umumiy kalitlar, va bu sertifikatlarni boshqarish. AD CS tomonidan taqdim etilgan raqamli sertifikatlar elektron hujjatlar va xabarlarni shifrlash va raqamli imzolash uchun ishlatilishi mumkin. Ushbu raqamli sertifikatlar tarmoq boʻylab kompyuter, foydalanuvchi va qurilma hisoblarining haqiqiyligini tekshirish uchun ishlatilishi mumkin. Raqamli sertifikatlar quyidagilarni taʼminlash uchun ishlatiladi:
AD CS foydalanuvchi, qurilma yoki xizmat identifikatorini tegishli ma'lumotlar bilan bog'lash orqali xavfsizlikni yaxshilash uchun ishlatilishi mumkin. shaxsiy kalit. AD CS tomonidan qo'llab-quvvatlanadigan ilovalar orasida Secure Multipurpose Internet Mail Extensions (S/MIME), xavfsiz simsiz tarmoqlar, virtual xususiy tarmoqlar (VPN), IPsec protokoli, Shifrlash fayl tizimi (EFS), Smart kartaga kirish, Xavfsizlik protokoli va transport qatlami xavfsizligi (SSL/TLS) va raqamli imzolar. Active Directory domen xizmatlariActive Directory Domain Services (AD DS) server rolidan foydalanib, siz foydalanuvchilar va resurslarni boshqarish uchun kengaytiriladigan, xavfsiz va boshqariladigan infratuzilmani yaratishingiz mumkin; Shuningdek, siz Microsoft Exchange Server kabi katalogdan xabardor ilovalarni qo'llab-quvvatlashingiz mumkin. Active Directory domen xizmatlari taqdim etadi tarqatilgan ma'lumotlar bazasi ma'lumotlar, tarmoq resurslari va katalog bilan ishlaydigan ilova ma'lumotlari haqidagi ma'lumotlarni saqlaydi va boshqaradi. AD DS ni ishga tushiradigan server domen boshqaruvchisi deb ataladi. Administratorlar AD DS dan foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik, ichki o'rnatilgan tuzilmada tartibga solish uchun foydalanishlari mumkin. Ierarxik ichki struktura Active Directory o'rmonini, o'rmon ichidagi domenlarni va har bir domendagi tashkiliy birliklarni o'z ichiga oladi. Xavfsizlik xususiyatlari AD DSga autentifikatsiya va katalogdagi resurslarga kirishni boshqarish shaklida birlashtirilgan. Tarmoqqa bir marta kirish orqali ma'murlar tarmoq bo'ylab katalog ma'lumotlarini va tashkilotni boshqarishi mumkin. Vakolatli tarmoq foydalanuvchilari, shuningdek, tarmoqning istalgan joyida joylashgan resurslarga kirish uchun tarmoqqa bir marta kirishdan foydalanishlari mumkin. Active Directory Domain Services quyidagi qo'shimcha funktsiyalarni taqdim etadi.
Active Directory federatsiyasi xizmatlariAD FS AD FS bilan himoyalangan korxona, federatsiya hamkori yoki bulutdagi ilovalarga kirishi kerak bo‘lgan oxirgi foydalanuvchilarga soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi va vebga asoslangan yagona tizimga kirish (SSO) imkoniyatlarini taqdim etadi. Windows Serverda AD FS quyidagilarni o‘z ichiga oladi: rol xizmati Federatsiya xizmatlari identifikator provayderi (AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etish uchun foydalanuvchilarni autentifikatsiya qiladi) yoki federatsiya provayderi sifatida (boshqa identifikatsiya provayderlarining tokenlarini qo‘llaydi va keyin AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etadi). Active Directory engil katalog xizmatlariActive Directory Lightweight Directory Services (AD LDS) LDAP protokoli boʻlib, Active Directory Domain Services bogʻliqligi va domen cheklovlarisiz katalog ilovalari uchun moslashuvchan yordamni taʼminlaydi. AD LDS a'zo yoki mustaqil serverlarda ishga tushirilishi mumkin. Siz mustaqil ravishda boshqariladigan sxemalar bilan bitta serverda AD LDS ning bir nechta nusxalarini ishga tushirishingiz mumkin. AD LDS xizmati rolidan foydalanib, siz domenlar va o'rmonlarsiz va bitta o'rmon bo'ylab sxemani talab qilmasdan katalogdan xabardor ilovalarga katalog xizmatlarini taqdim etishingiz mumkin. Active Directory huquqlarini boshqarish xizmatlariAD RMS axborot huquqlarini boshqarish (IRM) yordamida hujjatlarni himoya qilish orqali tashkilotning xavfsizlik strategiyasini yaxshilash uchun ishlatilishi mumkin. AD RMS foydalanuvchilar va administratorlarga IRM siyosatlaridan foydalangan holda hujjatlar, ish kitoblari va taqdimotlarga kirish ruxsatlarini belgilash imkonini beradi. Bu maxfiy ma'lumotlarni ruxsatsiz foydalanuvchilar tomonidan chop etish, yuborish yoki nusxalashdan himoya qilishga yordam beradi. Fayl ruxsatlari IRM yordamida cheklangandan so'ng, kirish va foydalanish cheklovlari ma'lumotlarning joylashgan joyidan qat'iy nazar amalga oshiriladi, chunki fayl ruxsati hujjat faylining o'zida saqlanadi. AD RMS va IRM bilan individual foydalanuvchilar shaxsiy va maxfiy ma'lumotlarni almashish bo'yicha o'zlarining shaxsiy imtiyozlarini qo'llashlari mumkin. Shuningdek, ular tashkilotga maxfiy va shaxsiy ma'lumotlardan foydalanish va tarqatishni boshqarish uchun korporativ siyosatni qo'llashda yordam beradi. AD RMS xizmatlari tomonidan qo'llab-quvvatlanadigan IRM yechimlari quyidagi imkoniyatlarni ta'minlash uchun ishlatiladi.
Ilovalar serveriIlovalar serveri shaxsiy serverga asoslangan biznes ilovalarini joylashtirish va ishga tushirish uchun integratsiyalashgan muhitni ta'minlaydi. DHCP serveriDHCP - mijoz-server texnologiyasi bo'lib, unda DHCP serverlari DHCP mijozlari bo'lgan kompyuterlar va boshqa qurilmalarga IP manzillarini belgilashi yoki ijaraga olishi mumkin. DHCP serverlarini tarmoqqa o'rnatish avtomatik ravishda IPv4 va IPv6 haqiqiy IP manzillariga asoslangan mijoz kompyuterlari va boshqa tarmoq qurilmalarini ta'minlaydi. ushbu mijozlar va qurilmalar uchun zarur bo'lgan qo'shimcha konfiguratsiya parametrlari Windows Serverdagi DHCP Server xizmati siyosatga asoslangan topshiriqlarni qo'llab-quvvatlashni va DHCP nosozliklarini hal qilishni o'z ichiga oladi. DNS serveriDNS xizmati Bu DNS domen nomlarining ma'lumotlarini o'z ichiga olgan ierarxik taqsimlangan ma'lumotlar bazasi har xil turlari IP manzillar kabi ma'lumotlar. DNS TCP/IP-ga asoslangan tarmoqlarda kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi qulay nomlardan foydalanish imkonini beradi. Windows Server DNS DNS Security Extensions (DNSSEC) uchun qoʻshimcha, kengaytirilgan yordamni, jumladan, onlayn roʻyxatdan oʻtish va avtomatik sozlamalarni boshqarishni taʼminlaydi. FAKS serveriFaks serveri fakslarni yuboradi va qabul qiladi, shuningdek, faks serveringizdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkoniyatini beradi. Fayl va saqlash xizmatlariAdministratorlar Fayl va saqlash xizmatlari rolidan bir nechta fayl serverlari va ularni saqlashni sozlash va Server menejeri yoki Windows PowerShell yordamida ushbu serverlarni boshqarish uchun foydalanishlari mumkin. Ba'zi maxsus ilovalar quyidagi xususiyatlarni o'z ichiga oladi.
Hyper-VHyper-V roli Windows Serverga o'rnatilgan virtualizatsiya texnologiyasidan foydalangan holda virtuallashtirilgan hisoblash muhitini yaratish va boshqarish imkonini beradi. Hyper-V rolini o'rnatish old shartlarni va ixtiyoriy boshqaruv vositalarini o'rnatadi. Majburiy komponentlar o'z ichiga oladi gipervisor Windows virtual boshqaruv xizmati Hyper-V mashinalari, WMI virtualizatsiya provayderi va VMbus, virtualizatsiya xizmati provayderi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari. Tarmoq siyosati va kirish xizmatlariTarmoq siyosati va kirish xizmatlari tarmoq ulanishlari uchun quyidagi echimlarni taqdim etadi:
Chop etish va hujjat xizmatlariChop etish va hujjat xizmatlari chop etish serveri va tarmoq printeri vazifalarini markazlashtirish imkonini beradi. Bu rol, shuningdek, tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va hujjatlarni Windows SharePoint Services sayti yoki tarmoq ulashishlariga yuklash imkonini beradi. elektron pochta. Masofaviy kirishMasofaviy kirish serverining roli quyidagi tarmoqqa kirish texnologiyalarining mantiqiy guruhlanishidir.
Bu texnologiyalar rol xizmatlari Masofaviy kirish server rollari. Masofaviy kirish serveri rolini o'rnatganingizda, Rollar va xususiyatlarni qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin. Windows Serverda Masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN-ni marshrutlash va masofaviy kirish xizmati (RRAS) bilan markazlashtirilgan tarzda boshqarish, sozlash va nazorat qilish imkoniyatini beradi. DirectAccess va RRAS bir xil chekka serverda joylashtirilishi va ulardan foydalanishi mumkin Windows buyruqlari PowerShell va masofaviy kirishni boshqarish konsoli (MMC). Masofaviy ish stoli xizmatlariMasofaviy ish stoli xizmatlari har qanday qurilmada ish stoli va ilovalarni joylashtirishni tezlashtiradi va kengaytiradi, masofaviy ishchilar unumdorligini oshiradi, shu bilan birga muhim intellektual mulkni himoya qiladi va tartibga solish talablariga rioya qilishni soddalashtiradi. Masofaviy ish stoli xizmatlari foydalanuvchilarga istalgan joydan ishlash imkoniyatini beruvchi virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ilovalarni o'z ichiga oladi. Ovozni faollashtirish xizmatlariVolume Activation Services - bu Windows Server 2012 da boshlangan Windows Serverdagi server roli bo'lib, u uchun hajmli litsenziyalar berishni avtomatlashtiradi va soddalashtiradi. dasturiy ta'minot Microsoft, shuningdek, turli stsenariylar va muhitlarda bunday litsenziyalarni boshqarish. Volume Activation Services bilan bir qatorda siz Key Management Service (KMS) va Active Directory faollashtirishni o'rnatishingiz va sozlashingiz mumkin. Veb-server (IIS)Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va ilovalarni joylashtirish uchun platformani ta'minlaydi. Veb-serverdan foydalanish foydalanuvchilarga Internet, intranet va extranetdagi ma'lumotlarni taqdim etadi. Administratorlar bir nechta veb-saytlar, veb-ilovalar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolidan foydalanishlari mumkin. Maxsus imkoniyatlarga quyidagilar kiradi.
Windows tarqatish xizmatlariWindows Deployment Services Windows operatsion tizimlarini tarmoq orqali joylashtirish imkonini beradi, ya'ni har bir operatsion tizimni CD yoki DVD dan to'g'ridan-to'g'ri o'rnatishingiz shart emas. Windows Server Essentials tajribasiUshbu rol sizga quyidagi vazifalarni hal qilishga imkon beradi:
Windows Server yangilash xizmatlariWSUS serveri ma'murlar boshqaruv konsoli orqali yangilanishlarni boshqarish va tarqatish uchun kerak bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlari uchun yangilanishlar manbai bo'lishi mumkin. WSUS-ni qo'llaganingizda, mavjud yangilanishlar haqida ma'lumot olish uchun tarmog'ingizdagi kamida bitta WSUS serveri Microsoft Update-ga ulangan bo'lishi kerak. Tarmoq xavfsizligi va konfiguratsiyasiga qarab, administratoringiz Microsoft Update-ga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin. Windows-ni o'rnatayotganda, kichik quyi tizimlarning aksariyati faollashtirilmagan yoki o'rnatilmagan. Bu xavfsizlik nuqtai nazaridan amalga oshiriladi. Tizim sukut bo'yicha xavfsiz bo'lganligi sababli, tizim ma'murlari o'z vazifalarini aniq bajaradigan tizimni loyihalashga e'tibor berishlari mumkin va boshqa hech narsa yo'q. Kerakli funksiyalarni yoqishingizga yordam berish uchun Windows sizga Server rolini tanlashni taklif qiladi. RollarServer roli - bu to'g'ri o'rnatilgan va konfiguratsiya qilinganida, kompyuterga bir nechta foydalanuvchilar yoki tarmoqdagi boshqa kompyuterlar uchun ma'lum bir funktsiyani bajarishga imkon beradigan dasturlar to'plami. Umuman olganda, barcha rollar quyidagi xususiyatlarga ega.
Rol xizmatlariRol xizmatlari - bu rol funksiyalarini ta'minlovchi dasturlar. Rolni o'rnatganingizda, u boshqa foydalanuvchilar va korxonadagi kompyuterlarga qaysi xizmatlarni taqdim etishini tanlashingiz mumkin. DNS server kabi ba'zi rollar faqat bitta funktsiyani bajaradi, shuning uchun ular uchun rol xizmatlari mavjud emas. Masofaviy ish stoli xizmatlari kabi boshqa rollarda biznesingizning masofaviy kirish ehtiyojlariga qarab oʻrnatilishi mumkin boʻlgan bir nechta xizmatlar mavjud. Rolni bir-biri bilan chambarchas bog'liq, bir-birini to'ldiruvchi rol xizmatlari to'plami sifatida ko'rish mumkin. Ko'pgina hollarda, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi. Komponentlar Komponentlar to'g'ridan-to'g'ri rollarning bir qismi bo'lmagan, lekin qaysi rollar o'rnatilganidan qat'i nazar, bir yoki bir nechta rollarning yoki butun serverning funksionalligini qo'llab-quvvatlaydigan yoki kengaytiradigan dasturlardir. Masalan, Failover Cluster xususiyati fayl xizmatlari va DHCP serveri kabi boshqa rollarning funksionalligini kengaytirib, ularga server klasterlariga qo'shilish imkonini beradi, bu esa ortib borayotgan ortiqcha va ishlashni ta'minlaydi. Boshqa komponent Telnet mijozi tarmoq ulanishi orqali Telnet serveri bilan masofaviy aloqani ta'minlaydi. Bu xususiyat serverning aloqa imkoniyatlarini oshiradi. Windows Server Server asosiy rejimida ishlayotganida, quyidagi server rollari qo'llab-quvvatlanadi:
Windows Server Server yadrosi rejimida ishlayotgan bo'lsa, quyidagi server komponentlari qo'llab-quvvatlanadi:
Server menejeri yordamida server rollarini o'rnatishQo'shish uchun Server menejerini oching va Boshqaruv menyusida Rollar va xususiyatlarni qo'shish-ni bosing: Rollar va xususiyatlarni qo'shish ustasi ochiladi. Keyingiga bosing O'rnatish turi, Rolga asoslangan yoki xususiyatga asoslangan o'rnatishni tanlang. Keyingisi: Serverni tanlash - bizning serverimizni tanlang. Keyingi server rollarini bosing - Rollarni tanlang, agar kerak bo'lsa, rol xizmatlarini tanlang va komponentlarni tanlash uchun Keyingiga bosing. Ushbu protsedura davomida Rollar va xususiyatlarni qo'shish ustasi belgilangan serverda tanlangan rollar yoki xususiyatlarning o'rnatilishi yoki to'g'ri ishlashiga xalaqit beradigan har qanday ziddiyatlar mavjudligi haqida avtomatik ravishda sizga xabar beradi. Shuningdek, sizdan tanlangan rollar yoki funksiyalar uchun zarur bo'lgan rollar, rol xizmatlari va xususiyatlarni qo'shish taklif etiladi. PowerShell yordamida rollarni o'rnatishWindows PowerShell-ni oching Mahalliy serverda mavjud va o'rnatilgan rollar va xususiyatlar ro'yxatini ko'rish uchun Get-WindowsFeature buyrug'ini kiriting. Ushbu cmdlet natijalari o'rnatilgan va o'rnatish uchun mavjud bo'lgan rollar va xususiyatlar uchun buyruq nomlarini o'z ichiga oladi. Install-WindowsFeature (MAN) cmdletining sintaksisi va haqiqiy parametrlarini ko'rish uchun Get-Help Install-WindowsFeature buyrug'ini kiriting. Quyidagi buyruqni kiriting (-Rolni o'rnatishda qayta ishga tushirish kerak bo'lsa, qayta ishga tushirish serverni qayta ishga tushiradi). O'rnatish-WindowsFeature -Ism -Qayta ishga tushirish Rol va rol xizmatlarining tavsifiBarcha rollar va rol xizmatlari quyida tavsiflanadi. Keling, amaliyotimizdagi eng keng tarqalgan konfiguratsiyani ko'rib chiqaylik: veb-server roli va masofaviy ish stoli xizmatlari IISning batafsil tavsifi
RDS ning batafsil tavsifi
Keling, terminal litsenziyasi serverini o'rnatish va sozlashni ko'rib chiqaylik. Yuqorida rollarni qanday o'rnatish kerakligi tasvirlangan, RDS-ni o'rnatish boshqa rollarni o'rnatishdan farq qilmaydi; Rol xizmatlarida biz Masofaviy ish stolini litsenziyalash va masofaviy ish stoli sessiyasi xostini tanlashimiz kerak. O'rnatishdan so'ng, "Terminal xizmatlari" elementi Server Manager-Tools-da paydo bo'ladi. Terminal xizmatlari ikkita elementga ega: masofaviy ish stoli litsenziyalash uchun diagnostika vositasi bo'lgan RD litsenziyalash diagnostikasi va litsenziyani boshqarish vositasi bo'lgan masofaviy ish stoli litsenziyalash menejeri. Keling, RD Litsenziyalash Diagnoserni ishga tushiramiz Bu erda biz hali litsenziyalar mavjud emasligini ko'ramiz, chunki Masofaviy ish stoli sessiyasi xost serveri uchun litsenziyalash rejimi o'rnatilmagan. Litsenziyalash serveri mahalliy guruh siyosatida ko'rsatilgan. Tahrirlovchini ishga tushirish uchun gpedit.msc buyrug'ini ishga tushiring. Mahalliy guruh siyosati muharriri ochiladi. Chapdagi daraxtda yorliqlarni ochamiz:
Parametrlarni oching. Belgilangan masofaviy ish stoli litsenziya serverlaridan foydalaning Siyosat sozlamalarini tahrirlash oynasida litsenziyalash serverini yoqing (yoqilgan). Keyinchalik, masofaviy ish stoli xizmatlari uchun litsenziyalash serverini aniqlashingiz kerak. Mening misolimda, litsenziyalash serveri bir xil jismoniy serverda joylashgan. Litsenziya serverining tarmoq nomini yoki IP manzilini belgilang va OK tugmasini bosing. Agar siz kelajakda server nomini o'zgartirsangiz, litsenziya serveri xuddi shu bo'limda o'zgartirilishi kerak bo'ladi. Shundan so'ng, RD Licensing Diagnoser-da siz terminal litsenziya serveri sozlanganligini, lekin yoqilmaganligini ko'rishingiz mumkin. Yoqish uchun masofaviy ish stoli litsenziyalash menejerini ishga tushiring Faollashtirilmagan holatga ega litsenziyalash serverini tanlang. Faollashtirish uchun uni sichqonchaning o'ng tugmasi bilan bosing va Serverni faollashtirish-ni tanlang. Serverni faollashtirish ustasi ishga tushadi. Ulanish usuli ilovasida Avtomatik ulanish-ni tanlang. Keyinchalik, tashkilot haqidagi ma'lumotlarni to'ldiring, shundan so'ng litsenziya serveri faollashadi. Active Directory sertifikat xizmatlariAD CS ochiq kalit texnologiyalaridan foydalanadigan dasturiy xavfsizlik tizimlarida qo'llaniladigan raqamli sertifikatlarni chiqarish va boshqarish uchun moslashtirilgan xizmatlarni taqdim etadi. AD CS tomonidan taqdim etilgan raqamli sertifikatlar elektron hujjatlar va xabarlarni shifrlash va raqamli imzolash uchun ishlatilishi mumkin. Ushbu raqamli sertifikatlar tarmoq boʻylab kompyuter, foydalanuvchi va qurilma hisoblarining haqiqiyligini tekshirish uchun ishlatilishi mumkin. Raqamli sertifikatlar quyidagilarni taʼminlash uchun ishlatiladi:
AD CS foydalanuvchi, qurilma yoki xizmat identifikatorini tegishli shaxsiy kalit bilan bogʻlash orqali xavfsizlikni yaxshilash uchun ishlatilishi mumkin. AD CS tomonidan qo'llab-quvvatlanadigan foydalanishga xavfsiz ko'p maqsadli Internet pochta kengaytmalari (S/MIME), xavfsiz simsiz tarmoqlar, virtual xususiy tarmoqlar (VPN), IPsec, shifrlash fayl tizimi (EFS), smart-kartaga kirish, ma'lumotlarni uzatish xavfsizligi va transport qatlami xavfsizligi protokoli kiradi. SSL/TLS) va raqamli imzolar. Active Directory domen xizmatlariActive Directory Domain Services (AD DS) server rolidan foydalanib, siz foydalanuvchilar va resurslarni boshqarish uchun kengaytiriladigan, xavfsiz va boshqariladigan infratuzilmani yaratishingiz mumkin; Shuningdek, siz Microsoft Exchange Server kabi katalogdan xabardor ilovalarni qo'llab-quvvatlashingiz mumkin. Active Directory Domain Services tarmoq resurslari va katalog bilan ishlaydigan dastur ma'lumotlari haqidagi ma'lumotlarni saqlaydigan va boshqaradigan taqsimlangan ma'lumotlar bazasini taqdim etadi. AD DS ni ishga tushiradigan server domen boshqaruvchisi deb ataladi. Administratorlar AD DS dan foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik, ichki o'rnatilgan tuzilmada tartibga solish uchun foydalanishlari mumkin. Ierarxik ichki struktura Active Directory o'rmonini, o'rmon ichidagi domenlarni va har bir domendagi tashkiliy birliklarni o'z ichiga oladi. Xavfsizlik xususiyatlari AD DSga autentifikatsiya va katalogdagi resurslarga kirishni boshqarish shaklida birlashtirilgan. Tarmoqqa bir marta kirish orqali ma'murlar tarmoq bo'ylab katalog ma'lumotlarini va tashkilotni boshqarishi mumkin. Vakolatli tarmoq foydalanuvchilari, shuningdek, tarmoqning istalgan joyida joylashgan resurslarga kirish uchun tarmoqqa bir marta kirishdan foydalanishlari mumkin. Active Directory Domain Services quyidagi qo'shimcha funktsiyalarni taqdim etadi.
Active Directory federatsiyasi xizmatlariAD FS AD FS bilan himoyalangan korxona, federatsiya hamkori yoki bulutdagi ilovalarga kirishi kerak bo‘lgan oxirgi foydalanuvchilarga soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi va vebga asoslangan yagona tizimga kirish (SSO) imkoniyatlarini taqdim etadi. Windows Serverda AD FS quyidagilarni o‘z ichiga oladi: rol xizmati Federatsiya xizmatlari identifikator provayderi (AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etish uchun foydalanuvchilarni autentifikatsiya qiladi) yoki federatsiya provayderi sifatida (boshqa identifikatsiya provayderlarining tokenlarini qo‘llaydi va keyin AD FSga ishonadigan ilovalarga xavfsizlik tokenlarini taqdim etadi). Active Directory engil katalog xizmatlariActive Directory Lightweight Directory Services (AD LDS) LDAP protokoli boʻlib, Active Directory Domain Services bogʻliqligi va domen cheklovlarisiz katalog ilovalari uchun moslashuvchan yordamni taʼminlaydi. AD LDS a'zo yoki mustaqil serverlarda ishga tushirilishi mumkin. Siz mustaqil ravishda boshqariladigan sxemalar bilan bitta serverda AD LDS ning bir nechta nusxalarini ishga tushirishingiz mumkin. AD LDS xizmati rolidan foydalanib, siz domenlar va o'rmonlarsiz va bitta o'rmon bo'ylab sxemani talab qilmasdan katalogdan xabardor ilovalarga katalog xizmatlarini taqdim etishingiz mumkin. Active Directory huquqlarini boshqarish xizmatlariAD RMS axborot huquqlarini boshqarish (IRM) yordamida hujjatlarni himoya qilish orqali tashkilotning xavfsizlik strategiyasini yaxshilash uchun ishlatilishi mumkin. AD RMS foydalanuvchilar va administratorlarga IRM siyosatlaridan foydalangan holda hujjatlar, ish kitoblari va taqdimotlarga kirish ruxsatlarini belgilash imkonini beradi. Bu maxfiy ma'lumotlarni ruxsatsiz foydalanuvchilar tomonidan chop etish, yuborish yoki nusxalashdan himoya qilishga yordam beradi. Fayl ruxsatlari IRM yordamida cheklangandan so'ng, kirish va foydalanish cheklovlari ma'lumotlarning joylashgan joyidan qat'iy nazar amalga oshiriladi, chunki fayl ruxsati hujjat faylining o'zida saqlanadi. AD RMS va IRM bilan individual foydalanuvchilar shaxsiy va maxfiy ma'lumotlarni almashish bo'yicha o'zlarining shaxsiy imtiyozlarini qo'llashlari mumkin. Shuningdek, ular tashkilotga maxfiy va shaxsiy ma'lumotlardan foydalanish va tarqatishni boshqarish uchun korporativ siyosatni qo'llashda yordam beradi. AD RMS xizmatlari tomonidan qo'llab-quvvatlanadigan IRM yechimlari quyidagi imkoniyatlarni ta'minlash uchun ishlatiladi.
Ilovalar serveriIlovalar serveri shaxsiy serverga asoslangan biznes ilovalarini joylashtirish va ishga tushirish uchun integratsiyalashgan muhitni ta'minlaydi. DHCP serveriDHCP - mijoz-server texnologiyasi bo'lib, unda DHCP serverlari DHCP mijozlari bo'lgan kompyuterlar va boshqa qurilmalarga IP manzillarini belgilashi yoki ijaraga olishi mumkin. DHCP serverlarini tarmoqqa o'rnatish avtomatik ravishda IPv4 va IPv6 haqiqiy IP manzillariga asoslangan mijoz kompyuterlari va boshqa tarmoq qurilmalarini ta'minlaydi. ushbu mijozlar va qurilmalar uchun zarur bo'lgan qo'shimcha konfiguratsiya parametrlari Windows Serverdagi DHCP Server xizmati siyosatga asoslangan topshiriqlarni qo'llab-quvvatlashni va DHCP nosozliklarini hal qilishni o'z ichiga oladi. DNS serveriDNS xizmati ierarxik, taqsimlangan ma'lumotlar bazasi bo'lib, DNS domen nomlarini har xil turdagi ma'lumotlarga, masalan, IP manzillariga moslashtirishni o'z ichiga oladi. DNS TCP/IP-ga asoslangan tarmoqlarda kompyuterlar va boshqa resurslarni joylashtirishni osonlashtirish uchun www.microsoft.com kabi qulay nomlardan foydalanish imkonini beradi. Windows Server DNS DNS Security Extensions (DNSSEC) uchun qoʻshimcha, kengaytirilgan yordamni, jumladan, onlayn roʻyxatdan oʻtish va avtomatik sozlamalarni boshqarishni taʼminlaydi. FAKS serveriFaks serveri fakslarni yuboradi va qabul qiladi, shuningdek, faks serveringizdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkoniyatini beradi. Fayl va saqlash xizmatlariAdministratorlar Fayl va saqlash xizmatlari rolidan bir nechta fayl serverlari va ularni saqlashni sozlash va Server menejeri yoki Windows PowerShell yordamida ushbu serverlarni boshqarish uchun foydalanishlari mumkin. Ba'zi maxsus ilovalar quyidagi xususiyatlarni o'z ichiga oladi.
Hyper-VHyper-V roli Windows Serverga o'rnatilgan virtualizatsiya texnologiyasidan foydalangan holda virtuallashtirilgan hisoblash muhitini yaratish va boshqarish imkonini beradi. Hyper-V rolini o'rnatish old shartlarni va ixtiyoriy boshqaruv vositalarini o'rnatadi. Kerakli komponentlarga Windows gipervisor, boshqaruv xizmati kiradi virtual mashinalar Hyper-V, WMI virtualizatsiya provayderi va VMbus, virtualizatsiya xizmati provayderi (VSP) va virtual infratuzilma drayveri (VID) kabi virtualizatsiya komponentlari. Tarmoq siyosati va kirish xizmatlariTarmoq siyosati va kirish xizmatlari tarmoq ulanishlari uchun quyidagi echimlarni taqdim etadi:
Chop etish va hujjat xizmatlariChop etish va hujjat xizmatlari chop etish serveri va tarmoq printeri vazifalarini markazlashtirish imkonini beradi. Bu rol, shuningdek, tarmoq skanerlaridan skanerlangan hujjatlarni qabul qilish va hujjatlarni Windows SharePoint Services sayti yoki elektron pochta orqali tarmoq ulushlariga yuklash imkonini beradi. Masofaviy kirishMasofaviy kirish serverining roli quyidagi tarmoqqa kirish texnologiyalarining mantiqiy guruhlanishidir.
Bu texnologiyalar rol xizmatlari Masofaviy kirish server rollari. Masofaviy kirish serveri rolini o'rnatganingizda, Rollar va xususiyatlarni qo'shish ustasini ishga tushirish orqali bir yoki bir nechta rol xizmatlarini o'rnatishingiz mumkin. Windows Serverda Masofaviy kirish serveri roli DirectAccess masofaviy kirish xizmatlari va VPN-ni marshrutlash va masofaviy kirish xizmati (RRAS) bilan markazlashtirilgan tarzda boshqarish, sozlash va nazorat qilish imkoniyatini beradi. DirectAccess va RRAS bir xil chekka serverda joylashtirilishi va Windows PowerShell buyruqlari va masofaviy kirishni boshqarish konsoli (MMC) yordamida boshqarilishi mumkin. Masofaviy ish stoli xizmatlariMasofaviy ish stoli xizmatlari har qanday qurilmada ish stoli va ilovalarni joylashtirishni tezlashtiradi va kengaytiradi, masofaviy ishchilar unumdorligini oshiradi, shu bilan birga muhim intellektual mulkni himoya qiladi va tartibga solish talablariga rioya qilishni soddalashtiradi. Masofaviy ish stoli xizmatlari foydalanuvchilarga istalgan joydan ishlash imkoniyatini beruvchi virtual ish stoli infratuzilmasi (VDI), seansga asoslangan ish stollari va ilovalarni o'z ichiga oladi. Ovozni faollashtirish xizmatlariVolume Activation Services - Windows Server 2012 da boshlangan Windows Serverdagi server roli bo'lib, u turli stsenariylar va muhitlarda Microsoft dasturiy ta'minoti uchun hajmli litsenziyalarni berish va boshqarishni avtomatlashtiradi va soddalashtiradi. Volume Activation Services bilan bir qatorda siz Key Management Service (KMS) va Active Directory faollashtirishni o'rnatishingiz va sozlashingiz mumkin. Veb-server (IIS)Windows Serverdagi veb-server (IIS) roli veb-saytlar, xizmatlar va ilovalarni joylashtirish uchun platformani ta'minlaydi. Veb-serverdan foydalanish foydalanuvchilarga Internet, intranet va extranetdagi ma'lumotlarni taqdim etadi. Administratorlar bir nechta veb-saytlar, veb-ilovalar va FTP saytlarini sozlash va boshqarish uchun Web Server (IIS) rolidan foydalanishlari mumkin. Maxsus imkoniyatlarga quyidagilar kiradi.
Windows tarqatish xizmatlariWindows Deployment Services Windows operatsion tizimlarini tarmoq orqali joylashtirish imkonini beradi, ya'ni har bir operatsion tizimni CD yoki DVD dan to'g'ridan-to'g'ri o'rnatishingiz shart emas. Windows Server Essentials tajribasiUshbu rol sizga quyidagi vazifalarni hal qilishga imkon beradi:
Windows Server yangilash xizmatlariWSUS serveri ma'murlar boshqaruv konsoli orqali yangilanishlarni boshqarish va tarqatish uchun kerak bo'lgan komponentlarni taqdim etadi. Bundan tashqari, WSUS serveri tashkilotdagi boshqa WSUS serverlari uchun yangilanishlar manbai bo'lishi mumkin. WSUS-ni qo'llaganingizda, mavjud yangilanishlar haqida ma'lumot olish uchun tarmog'ingizdagi kamida bitta WSUS serveri Microsoft Update-ga ulangan bo'lishi kerak. Tarmoq xavfsizligi va konfiguratsiyasiga qarab, administratoringiz Microsoft Update-ga qancha boshqa serverlar to'g'ridan-to'g'ri ulanganligini aniqlashi mumkin. Kirish Korxonada kompyuterlar sonining ko'payishi bilan uni boshqarish va texnik xizmat ko'rsatish xarajatlari masalasi tobora keskinlashmoqda. Qo'lda sozlash kompyuterlar ko'p xodimlar vaqtini va kuchlarini talab qiladi, kompyuterlar sonining ko'payishi bilan ularga xizmat ko'rsatadigan xodimlar sonini ko'paytirish. Bundan tashqari, ko'p sonli mashinalar bilan korxona tomonidan qabul qilingan moslashtirish standartlariga muvofiqligini ta'minlash tobora qiyinlashib bormoqda. Guruh siyosati keng qamrovli vositadir markazlashtirilgan boshqaruv Active Directory domenida Windows 2000 va undan yuqori versiyalarda ishlaydigan kompyuterlar. Guruh siyosatlari Windows NT4/9x bilan ishlaydigan kompyuterlarga taalluqli emas: ular tizim siyosati tomonidan boshqariladi, bu maqolada muhokama qilinmaydi. Guruh siyosati ob'ektlari Guruh siyosati doirasida yaratgan barcha sozlamalar Guruh siyosati obyektlarida (GPO) saqlanadi. GPO ning ikki turi mavjud: mahalliy GPO va Active Directory GPO. Mahalliy guruh siyosati obyekti Windows 2000 va undan keyingi versiyalarda ishlovchi kompyuterlarda mavjud. Faqat bitta bo'lishi mumkin va u domen bo'lmagan kompyuterda bo'lishi mumkin bo'lgan yagona GPO. Guruh siyosati ob'ekti - Active Directory ma'lumotlar bazasidagi fayllar, kataloglar va yozuvlar to'plamining umumiy nomi (agar u mahalliy ob'ekt bo'lmasa), u sizning sozlamalaringizni saqlaydi va Guruh siyosati yordamida qanday boshqa sozlamalarni o'zgartirishingiz mumkinligini aniqlaydi. Siyosat yaratganingizda, siz GPO ni yaratasiz va o'zgartirasiz. Mahalliy GPO %SystemRoot%\System32\GroupPolicy-da saqlanadi. Active Directory GPO'lari domen boshqaruvchisida saqlanadi va ular sayt, domen yoki OU (tashkiliy birlik) bilan bog'lanishi mumkin. Ob'ektning bog'lanishi uning qamrovini belgilaydi. Odatiy bo'lib, domenda ikkita GPO yaratiladi: standart domen siyosati va standart domen tekshiruvi siyosati. Birinchisi domendagi parollar va hisoblar uchun standart siyosatni belgilaydi. Ikkinchisi Domen Controllers OU bilan bog'lanadi va domen kontrollerlari uchun xavfsizlik sozlamalarini yaxshilaydi. GPO yarating Siyosat yaratish uchun (ya'ni, yangi guruh siyosati ob'ektini yaratish) Active Directory Users & Computers-ni oching va yangi ob'ektni yaratish joyini tanlang. Siz faqat GPO yaratishingiz va sayt, domen yoki OU obyektiga bog'lashingiz mumkin. Guruch. 1. Guruh siyosati obyektini yarating. GPO yaratish va uni, masalan, testerlar OU bilan bog'lash uchun ushbu OU-ni o'ng tugmasini bosing va kontekst menyusida xususiyatlarni tanlang. Ochilgan xususiyatlar oynasida Guruh siyosati yorlig'ini oching va Yangi tugmasini bosing. Guruch. 2. Guruh siyosati obyektini yarating. Biz GP ob'ektiga nom beramiz, shundan so'ng ob'ekt yaratiladi va biz siyosatni sozlashni boshlashimiz mumkin. Yaratilgan ob'ektni ikki marta bosing yoki Tahrirlash tugmasini bosing, GPO muharriri oynasi ochiladi, bu erda siz ob'ektning muayyan parametrlarini sozlashingiz mumkin. Guruch. 3. Kengaytirilgan yorlig'idagi sozlamalar tavsifi. Asosiy sozlamalarning aksariyati intuitivdir (shuningdek, agar siz Kengaytirilgan yorlig'ini ochsangiz, tavsifga ega bo'lasiz) va biz ularning har biri haqida batafsil ma'lumot bermaymiz. Shakldan ko'rinib turibdiki. 3, GPO ikki bo'limdan iborat: Kompyuter konfiguratsiyasi va foydalanuvchi konfiguratsiyasi. Birinchi bo'lim sozlamalari Windows yuklash vaqtida ushbu konteynerdagi va undan pastdagi kompyuterlarga qo'llaniladi (agar meros o'chirilgan bo'lsa) va qaysi foydalanuvchi tizimga kirganiga bog'liq emas. Ikkinchi bo'limdagi sozlamalar foydalanuvchi kirish vaqtida qo'llaniladi. Guruh siyosati ob'ektlarini qanday qo'llash kerak Kompyuter ishga tushganda quyidagi harakatlar sodir bo'ladi: 1. Ro'yxatga olish kitobi o'qiladi va kompyuter qaysi saytga tegishli ekanligi aniqlanadi. So'rov yuboriladi DNS server ushbu saytda joylashgan domen kontrollerlarining IP manzillarini olish uchun. Guruh siyosatlari OS yuklanganda va foydalanuvchi tizimga kirganda qo'llaniladi. Mijozlardan bir vaqtning o'zida ko'plab so'rovlar bo'lsa, domen tekshiruvi haddan tashqari yuklanmasligini ta'minlash uchun ular har 90 daqiqada qo'llaniladi va 30 daqiqa o'zgaradi. Domen kontrollerlari uchun yangilanish oralig'i 5 minut. Ushbu xatti-harakatni Kompyuter konfiguratsiyasi\Ma'muriy shablonlar\Tizim\Grup siyosati bo'limida o'zgartirishingiz mumkin. GPO faqat kompyuter va foydalanuvchi ob'ektlariga ta'sir qilishi mumkin. Siyosat faqat GPO bog'langan katalog ob'ektida (sayt, domen, tashkiliy birlik) joylashgan va "daraxtda" pastroqda joylashgan ob'ektlarga nisbatan qo'llaniladi (agar meros taqiqlanmagan bo'lsa). Masalan: OU testerlarida GPO yaratiladi (yuqorida qilganimizdek). Guruch. 4. Sozlamalarni meros qilib olish. Ushbu GPO da qilingan barcha sozlamalar faqat testerlar OU va InTesters OU da joylashgan foydalanuvchilar va kompyuterlarga ta'sir qiladi. Keling, misol yordamida siyosatlarni qo'llash tartibini ko'rib chiqaylik. Testerlar OUda joylashgan test foydalanuvchisi compOU OUda joylashgan komputer kompyuteriga kiradi (5-rasmga qarang). Guruch. 5. Siyosatlarni qo'llash tartibi. Domenda to'rtta GPO mavjud: 1. Sayt konteyneri bilan bog'langan SitePolicy; Da Windowsni yuklash komp ish stantsiyasida Kompyuter konfiguratsiyasi bo'limlarida belgilangan parametrlar quyidagi tartibda qo'llaniladi: 1. Mahalliy GPO sozlamalari; 4. GPO Policy2 sozlamalari. Foydalanuvchi testi foydalanuvchi konfiguratsiyasi bo'limlarida belgilangan kompyuter kompilyatsiyasi parametrlariga kirganda: 1. Mahalliy GPO sozlamalari; Ya'ni, GPOlar quyidagi tartibda qo'llaniladi: mahalliy siyosat, sayt darajasidagi siyosatlar, domen darajasidagi siyosatlar, OU darajasidagi siyosatlar. Guruh siyosatlari Windows XP mijozlariga asinxron, lekin Windows 2000 mijozlariga sinxron qo'llaniladi, ya'ni foydalanuvchining tizimga kirish ekrani barcha kompyuter siyosatlari qo'llanilgandan keyingina paydo bo'ladi va foydalanuvchi siyosatlari ish stoli paydo bo'lishidan oldin qo'llaniladi. Asinxron siyosatni tatbiq qilish degani, foydalanuvchining kirish ekrani kompyuterning barcha siyosatlari qoʻllanilishidan oldin, ish stoli esa foydalanuvchining barcha siyosatlari qoʻllanilishidan oldin paydo boʻladi, natijada foydalanuvchi uchun tezroq yuklash va tizimga kirish vaqtlari paydo boʻladi. 1. Birlashtirish - avval kompyuter siyosati, keyin foydalanuvchi siyosati va yana kompyuter siyosati qo'llaniladi. Bunday holda, kompyuter siyosati unga zid bo'lgan foydalanuvchi siyosati sozlamalarini o'zi bilan almashtiradi. Foydalanuvchilar guruhi siyosatini qayta ishlash opsiyasidan foydalanish misoli umumiy kompyuterda bo'lishi mumkin, u erda qaysi foydalanuvchi foydalanayotganidan qat'iy nazar bir xil cheklangan sozlamalarga ega bo'lishni xohlaysiz. Ustuvorlik, meros va nizolarni hal qilish Siz sezganingizdek, GPO barcha darajalarda bir xil sozlamalarni o'z ichiga oladi va bir xil sozlama bir necha darajalarda turlicha belgilanishi mumkin. Bunday holda, samarali qiymat oxirgi qo'llaniladigan qiymat bo'ladi (GPO'larni qo'llash tartibi yuqorida muhokama qilingan). Ushbu qoida konfiguratsiya qilinmagan deb belgilanganlardan tashqari barcha parametrlar uchun amal qiladi. Bular uchun Windows sozlamalari hech qanday chora ko'rmaydi. Ammo bitta istisno mavjud: barcha hisob va parol sozlamalari faqat domen darajasida aniqlanishi mumkin; boshqa darajalarda bu sozlamalar e'tiborga olinmaydi. Guruch. 6. Active Directory foydalanuvchilari va kompyuterlari. Agar bir xil darajada bir nechta GPO mavjud bo'lsa, ular pastdan yuqoriga qo'llaniladi. Roʻyxatdagi siyosat obʼyektining oʻrnini oʻzgartirib (yuqoriga va pastga tugmalaridan foydalanib) siz dasturning kerakli tartibini tanlashingiz mumkin. Guruch. 7. Siyosatlarni qo'llash tartibi. Ba'zan siz ma'lum bir OU yuqori oqim konteynerlari bilan bog'langan GPO'lardan siyosat sozlamalarini olmasligini xohlaysiz. Bunday holda, siyosat merosini blokirovka qilish katagiga belgi qo'yish orqali siyosat merosini taqiqlashingiz kerak. Barcha meros qilib olingan siyosat sozlamalari bloklangan va individual sozlamalarni bloklashning hech qanday usuli yo'q. Parol siyosati va hisob siyosatini belgilaydigan domen darajasidagi sozlamalarni bloklab bo‘lmaydi. Guruch. 9. Siyosatlarning merosini bloklash. Agar ma'lum bir GPO-dagi ba'zi sozlamalar qayta yozilmasligini istasangiz, kerakli GPO-ni tanlashingiz kerak, "Options" tugmasini bosing va No Override-ni tanlang. Bu parametr siyosat merosi bloklangan joylarda GPO sozlamalarini qo‘llashga majbur qiladi. No Override GPO ning oʻzida emas, balki katalog obyekti bilan bogʻlangan joyda oʻrnatilmagan. Agar GPO domendagi bir nechta konteynerlar bilan bog'langan bo'lsa, qolgan assotsiatsiyalarda bu sozlama avtomatik ravishda sozlanmaydi. Agar bir xil darajadagi bir nechta havolalar uchun No Override sozlangan bo'lsa, ro'yxatning yuqori qismidagi GPO ustunlikka ega bo'ladi (va ta'sir qiladi). Biroq, agar turli darajadagi bir nechta GPO uchun No Override sozlamalari sozlangan bo'lsa, katalog ierarxiyasida yuqoriroq GPO sozlamalari kuchga kiradi. Ya'ni, agar GPO-to-domen ob'ektlari assotsiatsiyasi va OU-to-GPO assotsiatsiyasi uchun hech qanday bekor qilish parametrlari sozlanmagan bo'lsa, domen darajasida belgilangan sozlamalar kuchga kiradi. O'chirilgan belgilash katakchasi ushbu GPO ning ushbu konteynerga ta'sirini bekor qiladi. Guruch. 10. No Override va Disabled opsiyalari. Yuqorida aytib o'tilganidek, siyosatlar faqat foydalanuvchilar va kompyuterlarga ta'sir qiladi. Ko'pincha savol tug'iladi: "qanday qilib ma'lum bir xavfsizlik guruhiga mansub barcha foydalanuvchilarga ma'lum siyosatni qo'llashim mumkin?" Buning uchun GPO domen ob'ektiga (yoki barcha foydalanuvchi ob'ektlarini o'z ichiga olgan konteynerlar yoki OUlar ustidagi har qanday konteyner) bog'langan. kerakli guruh) va kirish sozlamalari sozlangan. "Xavfsizlik" yorlig'ida "Xususiyatlar" ni bosing, "Autentifikatsiya qilingan foydalanuvchilar" guruhini o'chiring va guruh siyosatini o'qish va qo'llash huquqlari bilan kerakli guruhni qo'shing. Foydalanuvchi kompyuteriga tegishli sozlamalarni aniqlash Yakuniy konfiguratsiyani aniqlash va muammolarni aniqlash uchun ma'lum bir foydalanuvchi yoki kompyuter uchun qanday siyosat sozlamalari amalda ekanligini bilishingiz kerak bo'ladi. Buning uchun Resultant Set of Policy (RSoP) deb nomlangan vosita mavjud. RSoP ham ro'yxatga olish, ham rejalashtirish rejimlarida ishlashi mumkin. RSoP-ga qo'ng'iroq qilish uchun siz "foydalanuvchi" yoki "kompyuter" ob'ektini o'ng tugmasini bosib, "Barcha vazifalar" ni tanlashingiz kerak. Guruch. 11. Siyosatning natija to'plamini chaqirish. Ishga tushirilgandan so'ng (tizimga kirish rejimida) sizdan qaysi kompyuter va foydalanuvchi uchun o'rnatilgan natijani aniqlashni tanlash so'raladi va natijada qaysi GPO qaysi sozlamani qo'llaganligini ko'rsatadigan sozlamalar oynasi paydo bo'ladi. Guruch. 12. Siyosatning natijasi to'plami. Boshqa guruh siyosatini boshqarish vositalari GPresult - bu RSoP ning ba'zi funksiyalarini ta'minlovchi buyruq qatori vositasi. GPresult sukut bo'yicha Windows XP va Windows Server 2003 o'rnatilgan barcha kompyuterlarda mavjud. GPUpdate mahalliy va Active Directory asosidagi guruh siyosatlarini qo'llashga majbur qiladi. Windows XP/2003 da u Windows 2000 uchun secedit vositasidagi /refreshpolicy opsiyasini almashtirdi. Buyruqlar sintaksisining tavsifi ularni /? kaliti bilan ishga tushirganda mavjud. Xulosa o'rniga Ushbu maqola guruh siyosatlari bilan ishlashning barcha jihatlarini tushuntirish uchun mo'ljallanmagan; u tajribali tizim ma'murlariga mo'ljallangan emas. Yuqorida aytilganlarning barchasi, mening fikrimcha, siyosatchilar bilan hech qachon ishlamagan yoki ularni endigina o'zlashtira boshlaganlar uchun ular bilan ishlashning asosiy tamoyillarini tushunishga yordam berishi kerak. GPresult yordam dasturi.exe- bu Active Directory domenidagi kompyuter va/yoki foydalanuvchiga qo'llaniladigan sozlamalarni tahlil qilish va guruh siyosatlarini tashxislash uchun mo'ljallangan konsol ilovasi. Xususan, GPresult natijada olingan siyosatlar to‘plamidan (Natijalar to‘plami, RSOP), qo‘llaniladigan domen siyosatlari ro‘yxatidan (GPO), ularning sozlamalaridan va ularni qayta ishlashdagi xatolar haqida batafsil ma’lumot olish imkonini beradi. Yordamchi dastur Windows XP dan beri Windows operatsion tizimining bir qismi bo'lib kelgan. GPresult yordam dasturi quyidagi savollarga javob berishga imkon beradi: GPO u yoki bu Windows sozlamalarini o'zgartirgan kompyuterga ma'lum bir siyosat qo'llaniladimi va sabablarini tushuning. Ushbu maqolada biz Active Directory domenida guruh siyosatlarining qo'llanilishini diagnostika qilish va disk raskadrovka qilish uchun GPResult buyrug'idan foydalanish xususiyatlarini ko'rib chiqamiz. Dastlab, Windows-da guruh siyosatlarining qo'llanilishini diagnostika qilish uchun RSOP.msc grafik konsoli ishlatilgan, bu esa kompyuterga va foydalanuvchiga o'xshash grafik shaklda qo'llaniladigan natija siyosatlarining (domen + mahalliy) sozlamalarini olish imkonini berdi. GPO muharriri konsoliga (siz quyida RSOP.msc konsol ko'rinishi misolida yangilanish sozlamalari o'rnatilganligini ko'rishingiz mumkin). Biroq, Windowsning zamonaviy versiyalarida RSOP.msc konsolidan foydalanish tavsiya etilmaydi, chunki u GPP (Guruh siyosati afzalliklari) kabi turli mijoz kengaytmalari (CSE) tomonidan qo'llaniladigan sozlamalarni aks ettirmaydi, qidiruvga ruxsat bermaydi va diagnostika ma'lumotlarini kam ta'minlaydi. Shuning uchun, hozirgi vaqtda GPresult buyrug'i Windows-da GPO-dan foydalanishni diagnostika qilishning asosiy vositasidir (Windows 10-da, GPresult-dan farqli o'laroq, RSOP to'liq hisobotni taqdim etmasligi haqida ogohlantirish paydo bo'ladi). GPresult.exe yordam dasturidan foydalanishGPresult buyrug'i siz guruh siyosatlarining qo'llanilishini tekshirmoqchi bo'lgan kompyuterda ishga tushiriladi. GPresult buyrug'i quyidagi sintaksisga ega: GPRESULT ]] [(/X | /H) ] Berilgan AD ob'ektiga (foydalanuvchi va kompyuter) qo'llaniladigan guruh siyosatlari va GPO infratuzilmasi bilan bog'liq boshqa sozlamalar (ya'ni, natijada GPO siyosati sozlamalari - RsoP) haqida batafsil ma'lumot olish uchun buyruqni bajaring: Buyruqning natijalari 2 bo'limga bo'lingan:
Keling, GPresult chiqishida bizni qiziqtirishi mumkin bo'lgan asosiy parametrlar/bo'limlarni qisqacha ko'rib chiqaylik:
Bizning misolimizda foydalanuvchi ob'ekti 4 ta guruh siyosatiga bo'ysunishini ko'rishingiz mumkin.
Agar siz konsolda bir vaqtning o'zida foydalanuvchi va kompyuter siyosatlari haqidagi ma'lumotlarning ko'rsatilishini istamasangiz, /scope opsiyasidan faqat sizni qiziqtirgan bo'limni ko'rsatishingiz mumkin. Faqat natijada foydalanuvchi siyosatlari: gpresult /r /scope:user yoki faqat qo'llaniladigan kompyuter siyosatlari: gpresult /r /scope:kompyuter Chunki Gpresult yordam dasturi o'z ma'lumotlarini to'g'ridan-to'g'ri buyruq satri konsoliga chiqaradi, bu keyingi tahlil uchun har doim ham qulay emas; uning chiqishini vaqtinchalik xotiraga yo'naltirish mumkin: Gpresult /r |klip yoki matn fayli: Gpresult /r > c:\gpresult.txt O'ta batafsil RSOP ma'lumotlarini ko'rsatish uchun siz /z kalitini qo'shishingiz kerak. GPresult yordamida HTML RSOP hisobotiBundan tashqari, GPresult yordam dasturi qo'llaniladigan siyosatlarning HTML hisobotini yaratishi mumkin (Windows 7 va undan yuqori versiyalarida mavjud). Ushbu hisobot guruh siyosatlari tomonidan o'rnatiladigan barcha tizim parametrlari va ularni o'rnatgan aniq GPO nomlari haqida batafsil ma'lumotni o'z ichiga oladi (natijadagi hisobot tuzilmasi Domen guruhi siyosatini boshqarish konsolidagi Sozlamalar yorlig'iga o'xshaydi - GPMC). Buyruq yordamida HTML GPresult hisobotini yaratishingiz mumkin: GPresult /h c:\gp-report\report.html /f Hisobot yaratish va uni brauzerda avtomatik ravishda ochish uchun quyidagi buyruqni bajaring: GPresult /h GPresult.html & GPresult.html Gpresult HTML hisoboti juda ko'p foydali ma'lumotlarni o'z ichiga oladi: GPO ilovasidagi xatolar, ishlov berish vaqti (ms da) va maxsus siyosatlar va CSE qo'llanilishi ko'rinadi (Kompyuter tafsilotlari -> Komponent holati bo'limida). Misol uchun, yuqoridagi skrinshotda siz 24 ta parolni eslab qolish sozlamalariga ega siyosat standart domen siyosati (Winning GPO ustuni) tomonidan qo'llanilishini ko'rishingiz mumkin. Ko'rib turganingizdek, ushbu HTML hisoboti rsop.msc konsoliga qaraganda qo'llaniladigan siyosatlarni tahlil qilish uchun ancha qulayroqdir. Masofaviy kompyuterdan GPresult ma'lumotlarini qabul qilishGPresult, shuningdek, masofaviy kompyuterdan ma'lumotlarni to'plashi mumkin, bu ma'murning mahalliy yoki RDP masofaviy kompyuterga kirishiga ehtiyojni yo'q qiladi. Masofaviy kompyuterdan RSOP ma'lumotlarini yig'ish uchun buyruq formati quyidagicha: GPresult /s server-ts1 /r Xuddi shunday, siz ham foydalanuvchi siyosatidan, ham kompyuter siyosatidan maʼlumotlarni masofadan yigʻishingiz mumkin. Foydalanuvchi nomi RSOP ma'lumotlariga ega emasUAC yoqilganda, yuqori imtiyozlarsiz GPresult ishga tushirilishi faqat foydalanuvchi guruhi siyosati bo'limi sozlamalarini ko'rsatadi. Agar siz bir vaqtning o'zida ikkala bo'limni (FOYDALANUVCHI SOZLAMALARI va KOMPYUTER SOZLAMALARI) ko'rsatishingiz kerak bo'lsa, buyruq bajarilishi kerak. Agar buyruq qatori joriy foydalanuvchidan boshqa tizimga ko'tarilsa, yordamchi dastur ogohlantirish beradi MA'LUMOT: Thefoydalanuvchi"domen\user” qiladiemasborRSOPma'lumotlar ("domen\user" foydalanuvchisi RSOP ma'lumotlariga ega emas). Buning sababi, GPresult uni ishga tushirgan foydalanuvchi uchun ma'lumot to'plashga harakat qiladi, lekin ... Bu foydalanuvchi tizimga kirmagan va u uchun RSOP ma'lumoti yo'q. Faol seansga ega foydalanuvchi uchun RSOP ma'lumotlarini to'plash uchun siz uning hisobini ko'rsatishingiz kerak: gpresult /r /user:tn\edward Agar siz masofaviy kompyuterda tizimga kirgan hisob nomini bilmasangiz, hisobni quyidagicha olishingiz mumkin: qwinsta /SERVER: remotePC1 Shuningdek, mijozdagi vaqt(lar)ni tekshiring. Vaqt PDC (Birlamchi domen nazoratchisi) dagi vaqtga mos kelishi kerak. Quyidagi GPO siyosatlari qoʻllanilmadi, chunki ular filtrlanganGuruh siyosatlari bilan bog'liq muammolarni bartaraf qilishda siz ushbu bo'limga ham e'tibor berishingiz kerak: Quyidagi GPOlar qo'llanilmadi, chunki ular filtrlangan. Ushbu bo'lim u yoki bu sabablarga ko'ra ushbu ob'ektga taalluqli bo'lmagan GPOlar ro'yxatini ko'rsatadi. Siyosat qo'llanilmasligi mumkin bo'lgan usullar: Shuningdek, siz siyosatning ma'lum bir AD ob'ektiga qo'llanilishi kerakligini samarali ruxsatnomalar yorlig'ida (Kengaytirilgan -> Samarali kirish) tushunishingiz mumkin. Shunday qilib, ushbu maqolada biz GPresult yordam dasturidan foydalangan holda guruh siyosatlarini qo'llashni diagnostika qilish xususiyatlarini ko'rib chiqdik va undan foydalanishning odatiy stsenariylarini ko'rib chiqdik. Windows Server operatsion tizimidagi funksionallik versiyadan versiyaga hisoblab chiqilgan va takomillashtirilgan, ko'proq rollar va komponentlar mavjud, shuning uchun bugungi materialda men qisqacha tavsiflashga harakat qilaman. Windows Server 2016 da har bir rolning tavsifi va maqsadi. Windows Server server rollarini tavsiflashga o'tishdan oldin, keling, nima ekanligini bilib olaylik. Server roli» Windows Server operatsion tizimida. Windows Serverda "Server roli" nima?Server roli- Bu dasturiy ta'minot to'plami, bu serverning muayyan funktsiyani bajarishini ta'minlaydi va bu funksiya asosiy hisoblanadi. Boshqa so'z bilan, " Server roli" bu serverning maqsadi, ya'ni. u nima uchun? Shunday qilib, server o'zining asosiy funktsiyasini bajarishi mumkin, ya'ni. ma'lum bir rol " Server roli» buning uchun zarur bo'lgan barcha dasturiy ta'minot kiritilgan ( dasturlar, xizmatlar). Agar u faol foydalanilsa, server bitta rolga ega bo'lishi mumkin yoki ularning har biri serverni og'ir yuklamasa va kamdan-kam ishlatilsa, bir nechta rolga ega bo'lishi mumkin. Server roli rolning funksionalligini ta'minlaydigan bir nechta rol xizmatlarini o'z ichiga olishi mumkin. Masalan, server rolida " Veb-server (IIS)"juda katta miqdordagi xizmatlar kiritilgan va roli" DNS server» rol xizmatlari kiritilmagan, chunki bu rol faqat bitta funktsiyani bajaradi. Rol xizmatlari sizning ehtiyojlaringizga qarab birgalikda yoki alohida o'rnatilishi mumkin. Asosiysi, rolni o'rnatish uning bir yoki bir nechta xizmatlarini o'rnatishni anglatadi. Windows Serverda ham bor " Komponentlar» serverlar. Server komponentlari (xususiyat)- Bu dasturiy ta'minot, ular server roli emas, balki bir yoki bir nechta rollarning imkoniyatlarini kengaytiradi yoki bir yoki bir nechta rollarni boshqaradi. Agar ushbu rollarning ishlashi uchun zarur bo'lgan xizmatlar yoki komponentlar serverda o'rnatilmagan bo'lsa, ba'zi rollarni o'rnatib bo'lmaydi. Shuning uchun, bunday rollarni o'rnatish vaqtida " Rollar va xususiyatlar ustasini qo'shish" o'zi avtomatik ravishda sizga kerakli qo'shimcha rol xizmatlari yoki komponentlarini o'rnatishingizni taklif qiladi. Windows Server 2016 server rollarining tavsifiEhtimol, siz Windows Server 2016-dagi ko'plab rollar bilan allaqachon tanish bo'lgansiz, chunki ular ancha vaqtdan beri mavjud. uzoq vaqt, lekin men allaqachon aytganimdek, har bir yangi bilan Windows versiyasi Server, siz hali ishlamagan yangi rollar qo'shilmoqda, lekin ular nima uchun ekanligini bilishni xohlaysiz, shuning uchun ularni ko'rib chiqishni boshlaylik. Eslatma! Windows Server 2016 operatsion tizimining yangi funksiyalari haqida “materialda o‘qishingiz mumkin. Windows o'rnatish Server 2016 va yangi xususiyatlar haqida umumiy ma'lumot ». Ko'pincha rollar, xizmatlar va komponentlarni o'rnatish va boshqarish bilan sodir bo'ladi Windows yordamida PowerShell, har bir rol va uning xizmati uchun men mos ravishda PowerShell-da uni o'rnatish yoki boshqarish uchun ishlatilishi mumkin bo'lgan nomni ko'rsataman. DHCP serveriUshbu rol sizning tarmog'ingizdagi kompyuterlar va qurilmalar uchun dinamik IP-manzillar va tegishli sozlamalarni markazlashtirilgan tarzda sozlash imkonini beradi. DHCP server rolida rol xizmatlari mavjud emas. Windows PowerShell-ning nomi DHCP. DNS serverBu rol TCP/IP tarmoqlarida nomlarni aniqlash uchun mo'ljallangan. DNS serverining roli ta'minlaydi va qo'llab-quvvatlaydi DNS ishi. DNS serverini boshqarishni osonlashtirish uchun u odatda Active Directory Domain Services bilan bir xil serverga o'rnatiladi. DNS server rolida rol xizmatlari mavjud emas. PowerShell uchun rol nomi DNS. Hyper-VHyper-V rolidan foydalanib, siz virtuallashtirilgan muhitni yaratishingiz va boshqarishingiz mumkin. Boshqacha qilib aytganda, bu virtual mashinalarni yaratish va boshqarish uchun vositadir. Windows PowerShell uchun rol nomi Hyper-V. Qurilmaning ishlashini sertifikatlashRol " » xavfsiz yuklash holati va mijozdagi Bitlocker kabi oʻlchangan xavfsizlik parametrlari asosida qurilmaning holatini baholash imkonini beradi. Ushbu rolning ishlashi uchun juda ko'p rol xizmatlari va komponentlari talab qilinadi, masalan: roldan bir nechta xizmatlar " Veb-server (IIS)", komponent" ", komponent" .NET Framework 4.6 xususiyatlari». O'rnatish vaqtida barcha kerakli rol xizmatlari va komponentlari avtomatik ravishda tanlanadi. Rol " Qurilmaning ishlashini sertifikatlash» o'z xizmatlari yo'q. PowerShell nomi - DeviceHealthAttestationService. Veb-server (IIS)Ishonchli, boshqariladigan va kengaytiriladigan veb-ilovalar infratuzilmasini taqdim etadi. Juda katta miqdordagi xizmatlardan iborat (43). Windows PowerShell-ning nomi Web-server. Quyidagi rol xizmatlarini o'z ichiga oladi ( qavs ichida men Windows PowerShell nomini ko'rsataman): Veb-server (Web-WebServer)- HTML veb-saytlari, ASP.NET kengaytmalari, ASP va veb-serverlarni qo'llab-quvvatlaydigan rol xizmatlari guruhi. Quyidagi xizmatlardan iborat:
FTP server (Web-Ftp-Server)- FTP protokolini qo'llab-quvvatlaydigan xizmatlar. Biz FTP serveri haqida batafsilroq materialda gaplashdik - “O'rnatish va FTP sozlamalari Windows Server 2016 da serverlar." Quyidagi xizmatlarni o'z ichiga oladi:
Boshqaruv vositalari (Web-Mgmt-Tools)- Bular IIS 10 veb-serverini boshqarish vositalaridir.Bularga quyidagilar kiradi: IIS foydalanuvchi interfeysi, buyruq qatori vositalari va skriptlar.
Active Directory domen xizmatlariRol " Active Directory domen xizmatlari» (AD DS) tarmoq resurslari haqidagi ma'lumotlarni saqlaydigan va qayta ishlaydigan taqsimlangan ma'lumotlar bazasini taqdim etadi. Bu rol foydalanuvchilar, kompyuterlar va boshqa qurilmalar kabi tarmoq elementlarini ierarxik xavfsiz qobiq tuzilishiga joylashtirish uchun ishlatiladi. Ierarxik tuzilma o'rmonlarni, o'rmon ichidagi domenlarni va har bir domen ichidagi tashkiliy birliklarni (OU) o'z ichiga oladi. AD DS bilan ishlaydigan server domen boshqaruvchisi deb ataladi. Windows PowerShell uchun rol nomi AD-Domain-Services. Windows Server Essentials ModeUshbu rol kompyuter infratuzilmasini ifodalaydi va qulay va samarali funktsiyalarni ta'minlaydi, masalan: mijoz ma'lumotlarini markazlashtirilgan joyda saqlash va server va mijoz kompyuterlarining zaxira nusxasini yaratish orqali ushbu ma'lumotlarni himoya qilish, Internetga masofadan kirish, deyarli har qanday qurilmadan ma'lumotlarga kirish imkonini beradi. Bu rol ishlashi uchun bir nechta rol xizmatlari va komponentlari talab qilinadi, masalan: BranchCache komponentlari, Windows Server zaxira nusxasi, Guruh siyosatini boshqarish, rol xizmati " DFS nom maydonlari». PowerShell nomi ServerEssentialsRole. Tarmoq boshqaruvchisiUshbu rol Windows Server 2016 da taqdim etilgan va ma'lumotlar markazidagi jismoniy va virtual tarmoq infratuzilmasini boshqarish, monitoring qilish va diagnostika qilish uchun yagona avtomatlashtirish nuqtasini ta'minlaydi. Ushbu roldan foydalanib, siz IP subnets, VLAN, jismoniy sozlashingiz mumkin tarmoq adapterlari Hyper-V xostlari, virtual kalitlarni, jismoniy marshrutizatorlarni, xavfsizlik devori sozlamalarini va VPN shlyuzlarini boshqaring. Windows PowerShell-ning nomi NetworkController. Node Guardian xizmatiBu Hosted Guardian Service (HGS) server roli boʻlib, himoyalangan xostlarga himoyalangan holda ishlash imkonini beruvchi asosiy attestatsiya va asosiy himoya xizmatlarini taqdim etadi. virtual mashinalar. Ushbu rolning ishlashi uchun bir nechta qo'shimcha rollar va komponentlar talab qilinadi, masalan: Active Directory Domain Services, Web Server (IIS), komponent " Failover klasterlash" va boshqalar. PowerShell nomi - HostGuardianServiceRole. Active Directory engil katalog xizmatlariRol " Active Directory engil katalog xizmatlari" (AD LDS) - AD DS ning engil versiyasi bo'lib, u kamroq funksionallikka ega, lekin domenlar yoki domen kontrollerlarini joylashtirishni talab qilmaydi va AD DS xizmatlari talab qiladigan bog'liqliklar va domen cheklovlariga ega emas. AD LDS LDAP protokoli orqali ishlaydi ( Yengil vaznli katalogga kirish protokoli). Siz bitta serverda mustaqil ravishda boshqariladigan sxemalar bilan bir nechta AD LDS misollarini joylashtirishingiz mumkin. PowerShell nomi ADLDS. Ko'p nuqtali xizmatlarBu, shuningdek, Windows Server 2016 da joriy qilingan yangi roldir. MultiPoint Services (MPS) bir nechta foydalanuvchilarga bir vaqtda va bir xil kompyuterda mustaqil ishlash imkonini beruvchi asosiy masofaviy ish stoli funksiyasini taʼminlaydi. Ushbu rolni o'rnatish va ishlatish uchun siz bir nechta qo'shimcha xizmatlar va komponentlarni o'rnatishingiz kerak, masalan: Chop etish serveri, Windows xizmati Izlash, XPS Viewer va boshqalar MPS o'rnatilganda avtomatik ravishda tanlanadi. PowerShell uchun rol nomi MultiPointServerRole. Windows Server yangilash xizmatlariUshbu rol (WSUS) yordamida tizim ma'murlari Microsoft yangilanishlarini boshqarishi mumkin. Masalan, turli xil yangilanishlar to'plami uchun alohida kompyuter guruhlarini yarating, shuningdek, kompyuterning muvofiqligi va o'rnatilishi kerak bo'lgan yangilanishlar haqida hisobotlarni oling. Ishlash uchun" Windows Server yangilash xizmatlari"Bizga bunday rol xizmatlari va komponentlari kerak: veb-server (IIS), Windows ichki ma'lumotlar bazasi, Windows jarayonini faollashtirish xizmati. Windows PowerShell nomi - UpdateServices.
Ovozni faollashtirish xizmatlariUshbu server roli Microsoft dasturiy ta'minoti uchun hajmli litsenziyalar berishni avtomatlashtiradi va soddalashtiradi va sizga ushbu litsenziyalarni boshqarish imkonini beradi. PowerShell nomi VolumeActivation. Chop etish va hujjat xizmatlariUshbu server roli tarmoqdagi printerlar va skanerlarni almashish, chop etish va skanerlash serverlarini markazlashtirilgan tarzda sozlash va boshqarish hamda boshqarish uchun moʻljallangan. tarmoq printerlari va skanerlar. Chop etish va hujjat xizmatlari sizga skanerlangan hujjatlarni elektron pochta orqali umumiy manzilga yuborish imkonini ham beradi tarmoq papkalari yoki Windows SharePoint xizmatlari saytlariga. PowerShell nomi - Chop etish xizmatlari.
Tarmoq siyosati va kirish xizmatlariRol " » (NPAS) tarmoqqa kirish, autentifikatsiya va avtorizatsiya hamda mijoz salomatligi, boshqacha qilib aytganda, tarmoq xavfsizligini taʼminlash siyosatlarini oʻrnatish va qoʻllash uchun Network Policy Server (NPS) dan foydalanish imkonini beradi. Windows PowerShell-ning nomi NPAS. Windows tarqatish xizmatlariUshbu roldan foydalanib, siz Windows operatsion tizimini tarmoq orqali masofadan o'rnatishingiz mumkin. PowerShell uchun rol nomi WDS.
Active Directory sertifikat xizmatlariBu rol turli ilovalar uchun sertifikatlar chiqarish va boshqarish imkonini beruvchi sertifikat organlari va tegishli rol xizmatlarini yaratish uchun moʻljallangan. Windows PowerShell nomi AD-sertifikatdir. Quyidagi rol xizmatlarini o'z ichiga oladi:
Masofaviy ish stoli xizmatlariVirtual ish stollariga, seansga asoslangan ish stollariga va RemoteApps-ga kirish imkonini beruvchi server roli. Windows PowerShell uchun rol nomi - Remote-Desktop-Services. Quyidagi xizmatlardan iborat:
Active Directory huquqlarini boshqarish xizmatlariBu ma'lumotni ruxsatsiz foydalanishdan himoya qilish imkonini beruvchi server roli. U foydalanuvchi identifikatorlarini tekshiradi va ruxsat berilgan foydalanuvchilarga himoyalangan ma'lumotlarga kirish uchun litsenziyalar beradi. Ushbu rolning ishlashi uchun qo'shimcha xizmatlar va komponentlar talab qilinadi: " Veb-server (IIS)», « Windows jarayonini faollashtirish xizmati», « .NET Framework 4.6 xususiyatlari». Windows PowerShell-ning nomi ADRMS.
Active Directory federatsiyasi xizmatlariBu rol soddalashtirilgan va xavfsiz identifikatsiya federatsiyasi imkoniyatlarini, shuningdek, veb-saytlarga brauzerga asoslangan yagona tizimga kirishni (SSO) taqdim etadi. PowerShell nomi - ADFS-Federatsiya. Masofaviy kirishBu rol DirectAccess, VPN va Web Application Proxy orqali ulanishni ta'minlaydi. Shuningdek, " roli Masofaviy kirish» konvertatsiyani o'z ichiga olgan an'anaviy marshrutlash imkoniyatlarini taqdim etadi tarmoq manzillari(NAT) va boshqa ulanish parametrlari. Ushbu rol qo'shimcha xizmatlar va komponentlarni talab qiladi: " Veb-server (IIS)», « Windows ichki ma'lumotlar bazasi». Windows PowerShell uchun rol nomi - RemoteAccess.
Fayl va saqlash xizmatlariBu fayl va papkalarni almashish, ulashishlarni boshqarish va boshqarish, fayllarni nusxalash, taqdim etish uchun ishlatilishi mumkin bo'lgan server rolidir. tezkor qidiruv fayllar, shuningdek, UNIX mijoz kompyuterlariga kirishni ta'minlaydi. Biz fayl xizmatlarini va xususan fayl serverini "Windows Server 2016 da fayl serverini o'rnatish" materialida batafsil ko'rib chiqdik. Windows PowerShell-ning nomi FileAndStorage-Services. Saqlash xizmatlari– Ushbu xizmat har doim oʻrnatiladigan va olib tashlab boʻlmaydigan saqlashni boshqarish funksiyasini taqdim etadi. Fayl xizmatlari va iSCSI xizmatlari (Fayl xizmatlari)- bular fayl serverlari va saqlashni boshqarishni soddalashtiradigan, disk maydonini tejaydigan, filiallardagi fayllarni replikatsiya va keshlashni ta'minlaydigan, shuningdek NFS protokoli yordamida fayllarni almashishni ta'minlaydigan texnologiyalar. Quyidagi rol xizmatlarini o'z ichiga oladi:
Faks serveriRol fakslarni yuboradi va qabul qiladi hamda ushbu kompyuter yoki tarmoqdagi ishlar, sozlamalar, hisobotlar va faks qurilmalari kabi faks resurslarini boshqarish imkonini beradi. Ishlash uchun sizga kerak " Chop etish serveri». Windows PowerShell uchun rol nomi Faksdir. Bu Windows Server 2016 server rollarini ko'rib chiqishni yakunlaydi, umid qilamanki, material siz uchun foydali bo'ldi, xayr! Soket serverini ishlab chiqishdan oldin, siz Silverlightga qaysi mijozlarga rozetka serveriga ulanishi mumkinligini bildiradigan siyosat serverini yaratishingiz kerak. Yuqorida ko'rsatilganidek, Silverlight kontentni yuklashga yoki veb-xizmatni chaqirishga ruxsat bermaydi, agar domenda clientaccesspolicy .xml yoki crossdomain fayli bo'lmasa. xml, bu operatsiyalarga aniq ruxsat beradi. Xuddi shunday cheklov soket serveriga ham o'rnatiladi. Agar siz mijoz qurilmasiga masofaviy kirish imkonini beruvchi clientaccesspolicy .xml faylini yuklash imkoniyatini bermasangiz, Silverlight ulanish o'rnatishdan bosh tortadi. Afsuski, mijozga kirish siyosatini taqdim etish. cml-ni rozetkaga ilova qilish veb-sayt orqali taqdim etishdan ko'ra qiyinroq vazifadir. Veb-saytdan foydalanganda veb-server dasturiy ta'minoti clientaccesspolicy .xml faylini taqdim etishi mumkin, faqat uni qo'shishni unutmang. Biroq, rozetka ilovasidan foydalanganda, mijoz ilovalari siyosat so'rovlarini yuborishi mumkin bo'lgan rozetkani ochishingiz kerak. Bundan tashqari, rozetkaga xizmat qiluvchi kodni qo'lda yaratishingiz kerak. Ushbu muammolarni hal qilish uchun siz siyosat serverini yaratishingiz kerak. Keyinchalik ko'rib chiqamizki, siyosat serveri xabarlar serveri bilan bir xil ishlaydi, u biroz soddaroq shovqinlarni boshqaradi. Xabar va siyosat serverlari alohida yaratilishi yoki bitta ilovada birlashtirilishi mumkin. Ikkinchi holda, ular turli mavzulardagi so'rovlarni tinglashlari kerak. Ushbu misolda biz siyosat serverini yaratamiz va keyin uni xabarlar serveri bilan birlashtiramiz. Siyosat serverini yaratish uchun avvalo .NET ilovasini yaratishingiz kerak. Har qanday turdagi .NET ilovasi siyosat serveri sifatida xizmat qilishi mumkin. Eng oson yo'li - konsol ilovasidan foydalanish. Konsol ilovangizni disk raskadrovka qilganingizdan so'ng, kodni Windows xizmatiga ko'chirishingiz mumkin, shunda u doimiy ravishda fonda ishlaydi. Siyosat fayli Quyida siyosat serveri tomonidan taqdim etilgan siyosat fayli keltirilgan. Siyosat fayli uchta qoidani belgilaydi. 4502 dan 4532 gacha bo'lgan barcha portlarga kirishga ruxsat beradi (bu Silverlight qo'shimchasi tomonidan qo'llab-quvvatlanadigan portlarning to'liq diapazoni). Mavjud portlar diapazonini o'zgartirish uchun elementning port atributining qiymatini o'zgartirishingiz kerak. TCP ga kirishga ruxsat beradi (ruxsat elementning protokol atributida belgilangan). Har qanday domendan qo'ng'iroq qilish imkonini beradi. Shuning uchun, ulanishni amalga oshiradigan Silverlight ilovasi har qanday veb-sayt tomonidan joylashtirilishi mumkin. Ushbu qoidani o'zgartirish uchun elementning uri atributini tahrirlashingiz kerak. Vazifani osonlashtirish uchun siyosat qoidalari loyihaga qo'shilgan clientaccess-ploi.cy.xml fayliga joylashtirilgan. Visual Studio'da siyosat faylining Chiqish katalogiga nusxa ko'chirish sozlamasi Doim nusxa ko'chirishga o'rnatilishi kerak. Siz qilishingiz kerak bo'lgan yagona narsa - qattiq diskingizdagi faylni topish, uni ochish va tarkibni mijoz qurilmasiga qaytarish. PolicyServer klassi Policy Server funksiyasi ikkita asosiy sinfga asoslangan: PolicyServer va PolicyConnection. PolicyServer klassi ulanishlarni kutish bilan shug'ullanadi. U ulanishni qabul qilgandan so'ng, u boshqaruvni PoicyConnection sinfining yangi namunasiga o'tkazadi, u siyosat faylini mijozga uzatadi. Ushbu ikki qismli protsedura tarmoq dasturlashda keng tarqalgan. Xabar serverlari bilan ishlashda siz buni bir necha marta ko'rasiz. PolicyServer klassi siyosat faylini qattiq diskdan yuklaydi va uni bayt massivi sifatida maydonda saqlaydi. ommaviy sinf PolicyServer shaxsiy bayt siyosati; public PolicyServer (string policyfile) ( Tinglashni boshlash uchun server ilovasi PolicyServerga qo'ng'iroq qilishi kerak. Start(). U so'rovlarni tinglaydigan TcpListener ob'ektini yaratadi. TcpListener obyekti 943-portda tinglash uchun tuzilgan. Silverlight-da bu port siyosat serverlari uchun ajratilgan. Siyosat fayllari uchun so'rovlar yuborilganda, Silverlight ularni avtomatik ravishda 943-portga yo'naltiradi. shaxsiy TcpListener tinglovchisi; public void Start() // Tinglash ob'ektini yarating tinglovchi = yangi TcpListener(IPAddress.Any, 943); // Tinglashni boshlang; Start() usuli listener.Start() chaqirilgandan keyin darhol qaytadi; // Ulanish kutilmoqda; usul darhol qaytadi; II kutish alohida ipda amalga oshiriladi Taklif etilgan ulanishni qabul qilish uchun siyosat serveri BeginAcceptTcpClient() usulini chaqiradi. .NET Frameworkning barcha Beginxxx() usullari singari, u chaqirilgandan so'ng darhol qaytadi va alohida ipda kerakli operatsiyalarni bajaradi. Tarmoq ilovalari uchun bu juda muhim omil, chunki u siyosat fayllari uchun ko'plab so'rovlarni bir vaqtning o'zida qayta ishlashga imkon beradi. Eslatma. Ajam tarmoq dasturchilari ko'pincha bir vaqtning o'zida bir nechta so'rovlarni qanday bajarish mumkinligi haqida hayron bo'lishadi va bu bir nechta serverlarni talab qiladi deb o'ylashadi. Biroq, unday emas. Ushbu yondashuv bilan mijoz ilovalari tezda tugaydi mavjud portlar. Amalda, server ilovalari ko'plab so'rovlarni bitta port orqali qayta ishlaydi. Bu jarayon ilovalar uchun ko'rinmaydi, chunki Windows-ning o'rnatilgan TCP quyi tizimi xabarlarni avtomatik ravishda aniqlaydi va ularni dastur kodidagi tegishli ob'ektlarga yo'naltiradi. Har bir ulanish to'rtta parametr asosida noyob tarzda aniqlanadi: mijoz IP manzili, mijoz port raqami, server IP manzili va server port raqami. Har bir so'rovda OnAcceptTcpClient() qayta qo'ng'iroq qilish usuli ishga tushiriladi. U boshqa ish zarrachasida keyingi so'rovni kutishni boshlash uchun O'ning BeginAcceptTcpClient usulini qayta chaqiradi va keyin joriy so'rovni qayta ishlashni boshlaydi. ommaviy bekor qilingan OnAcceptTcpClient(IAsyncResult ag) ( agar (to'xtatilgan) qaytsa; Console.WriteLine("Siyosat so'rovi qabul qilindi."); // Keyingi ulanish kutilmoqda. listener.BeginAcceptTcpClient(OnAcceptTcpClient, null); // Joriy ulanishni qayta ishlash. TcpClient mijozi = listener.EndAcceptTcpClient(ag); PolicyConnection policyConnection = yangi PolicyConnection(mijoz, siyosat); PolicyConnection.HandleRequest() ; catch (istisno xatosi) ( Har safar yangi ulanish qabul qilinganda, uni boshqarish uchun yangi PolicyConnection obyekti yaratiladi. Bundan tashqari, PolicyConnection obyekti siyosat faylini saqlaydi. PolicyServer sinfining oxirgi komponenti so'rovlarni kutishni to'xtatuvchi Stop() usuli hisoblanadi. Ilova chiqib ketganda uni chaqiradi. shaxsiy bool to'xtatildi; umumiy bekor StopO ( isStopped = rost; tinglovchi. STOP(); catch (istisno xatosi) ( Console.WriteLine(err.Message); Siyosat serverini ishga tushirish uchun dastur serverining Main() usulida quyidagi kod ishlatiladi. statik bekor Asosiy (string args) ( PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); PolicyServer.Start(); Console.WriteLine("Siyosat serveri ishlayapti."); Console.WriteLine("Chiqish uchun Enter tugmasini bosing."); // Klaviatura bosilishi kutilmoqda; // Console.ReadKey() usulidan foydalanib, ma'lum bir // qatori uchun kutishni o'rnatishingiz mumkin (masalan, chiqish) yoki istalgan Console.ReadLine(); PolicyServer.Stop(); Console.WriteLine("Siyosat serverini tugatish."); PolicyConnection klassi PolicyConnection klassi oddiyroq vazifani bajaradi. PolicyConnection ob'ekti siyosat fayli ma'lumotlariga havolani saqlaydi. Keyin, HandleRequest() usulini chaqirgandan so'ng, PolicyConnection obyekti tarmoq oqimidan yangi ulanishni oladi va uni o'qishga harakat qiladi. Mijoz qurilmasi matnni o'z ichiga olgan qatorni o'tkazishi kerak. Ushbu matnni o'qib bo'lgach, mijoz qurilmasi oqimga siyosat ma'lumotlarini yozadi va ulanishni yopadi. Quyida PolicyConnection klassi uchun kod keltirilgan. ommaviy sinf PolicyConnection( xususiy TcpClient mijozi; shaxsiy bayt siyosati; public PolicyConnection (TcpClient mijozi, bayt siyosati) ( this.client = mijoz; this.policy = siyosat; // Mijoz so'rovini shaxsiy statik satr yaratish policyRequestString = " ommaviy bekor HandleRequest() ( Stream s = client.GetStream(); // Siyosat so'rovi qatorini o'qing bayt buferi = yangi bayt; // Faqat 5 soniya kuting client.ReceiveTimeout = 5000;' s.Read(bufer, 0, bufer.Length); // Siyosatdan o'tish (siz siyosat // so'rovda kerakli tarkibga ega yoki yo'qligini ham tekshirishingiz mumkin) s.Write(policy, 0, policy.Length); //Ulanish mijozini yoping.Close(); Console.WriteLine("Siyosat fayli taqdim etilgan."); Shunday qilib, bizda to'liq ishlaydigan siyosat serveri mavjud. Afsuski, uni hali sinovdan o‘tkazib bo‘lmaydi, chunki Silverlight qo‘shimchasi siyosat fayllarini aniq so‘rashga ruxsat bermaydi. Buning o'rniga, rozetka ilovasidan foydalanmoqchi bo'lganingizda, u avtomatik ravishda ularni so'raydi. Berilgan soket ilovasi uchun mijoz ilovasini yaratishdan oldin server yaratishingiz kerak. Mavzuni davom ettirish: Yangi maqolalar / |
Mashhur:
Yangi
- Windows ro'yxatga olish kitobi muharririni ochishning uchta usuli Qidiruv yordamida ro'yxatga olish kitobini ochish
- Qattiq diskni qanday qismlarga bo'lish kerak
- Biz qattiq diskni bo'limlarga ajratamiz
- Kompyuter yoqilganda signal beradi
- Windows-da fayl kengaytmalarini to'g'ri o'zgartirish Arxiv kengaytmasini qanday o'zgartirish mumkin
- YouTube YouTube-da reklamalarni reklamasiz bloklash
- TeamViewer - kompyuterni masofadan boshqarish Boshqa kompyuter bilan bog'lanish uchun dasturni yuklab oling
- Windows-da kompyuteringizning xususiyatlarini qanday aniqlash mumkin: tizim usullari va maxsus dasturlar
- Biz turli xil qurilmalarda brauzerlarni yangilaymiz: kompyuter, planshet, smartfon Yangilangan brauzerni qayerda va qanday qilib o'rnating
- Protsessor, video karta, quvvat manbai va kompyuter sovutgichini qanday moylash kerak