Дайте описание на отчета на политиката на сървъра. Работа с групи за администриране и маршрутизиране. Услуги за активиране на корпоративен лиценз Команда GPResult: Диагностика на резултантните групови политики

Помощна програма GPResult.exe- е конзолна добавка, назначения за анализ, подобрение и диагностика групови политики, yakі zastosovuetsya към компютъра и/или coristuvacha в домейна на Active Directory. Zocrema, GPResult ви позволява да вземете данни за резултантния набор от политики (Resultant Set of Policy, RSOP), списък с блокиране на правила на домейн (GPO), подробна информацияза помилвания и реквизиции. Помощна програма за влизане в склада на Windows OS, като се започне от часовете на Windows XP. Помощната програма GPResult ви позволява да отговорите на следните въпроси: защо конкретна политика е зададена на компютъра, тъй като самият GPO е променил тези други настройки на Windows, в зависимост от причините.

В тази статия можем да видим особеностите на командата GPResult за диагностициране на работата и настройка на групови политики за домейна на Active Directory.

За да се диагностицира блокирането на групови политики в Windows, графичната конзола RSOP.msc беше коригирана, тъй като позволяваше редактиране на получените политики (домейн + локално), спиране на компютъра и съкращаване в графичен вид, подобен на конзолата на редактора на GPO (по-долу в примера, представянето на конзолата RSOP.msc) можете да видите, че настройките са актуализирани).

Prote, конзолата RSOP.msc в съвременните версии на Windows е слабо победена, затова. не позволява персонализиране, застозване на различни разширения за групови политики (CSE), например GPP (Group Policy Preferences), не позволява грешки, дава малко диагностична информация. Следователно командата GPResult е основният инструмент за диагностициране на GPO блокиране в Windows (в Windows 10 е малко рано, тъй като RSOP не дава ново извикване на GPResult вход).

Помощна програма Wicker GPResult.exe

Командата GPResult се проверява на компютъра, където е необходимо да се провери блокирането на груповата политика. Командата GPResult може да има следния синтаксис:

GPRESULT ]] [(/X | /H)<имя_файла> ]

За да получите подробна информация за груповите политики, как да стигнете до този AD обект (компютърна проверка) и други параметри, които са настроени за GPO инфраструктурата (за да доведат до настройката на GPO политика - RsoP), въведете командата:

Резултатите от разделянето на командата на 2 секции:

КОМПЮТЪР НАСТРОЙКИ (Конфигурация на компютъра) – разпределена информация за GPO обекти, които са инсталирани на компютъра (като Active Directory);
ПОТРЕБИТЕЛ НАСТРОЙКИ - Политик на ползавача (политици, които физически записползавач в АД).

Нека да преминем накратко през основните параметри/секции, които могат да повлияят на дисплея на GPResult:

Сайтиме(сайт Имя:) – сайт Имя АД, където се намира компютърът;
CN– извън каноничния потребител/компютър, за който са генерирани RSoP данните;
Последновремегрупаполитикабешеприлаган(Stop group policy stagnation) - час, ако груповата политика е била подгрявана последния път;
групаполитикабешеприлаганот(Групова политика е зададена) - домейн контролер, от който е зададена останалата версия на GPO;
домейнимеи домейнТип(Име за домейн, тип за домейн) – име за тази версия на схемата за домейн на Active Directory;
ПриложеногрупаполитикаОбекти(Zastosovanі обекти на груповата политика)- Списъци с активни обекти на групова политика;
ВследвайкиGPOшаркинеприлаганзащотовоняшаркифилтрираннавън(Разширените GPO политики не бяха блокирани, миризмите на смрад бяха филтрирани) - GPO не бяха блокирани (мокро филтрирани);
Впотребител/компютъреачастнанаследвайкисигурностгрупи(Koristuvach/компютърът е член на офанзивни групи за сигурност) - домейн групи, в някои случаи, koristuvach.

На дупето е ясно, че обектът на ползавача има 4 групови политики.

Правила за домейн по подразбиране;
Активирайте защитната стена на Windows;
Списък за търсене на DNS суфикси

Ако не желаете, за да може конзолата да показва едновременно информация за политиците на ползувача и за политиците на компютъра, можете за допълнителната опция /обхват да въведете само няколко разделяния, за да можете да щракнете . Само произтичащите политики на koristuvach:

gpresult /r /scope:user

или само застояли компютърни политики:

gpresult /r /обхват:компютър

Защото помощната програма Gpresult показва вашите данни директно в конзолата командна линияАко не го въведете ръчно за по-нататъшен анализ, можете да пренасочите клипборда към клипборда:

gpresult /r | клип

или текстов файл:

gpresult /r > c:\gpresult.txt

За да покажете подробна информация за RSOP, трябва да добавите клавиша /z.

HTML обадете се на RSOP за помощ GPResult

В допълнение, помощната програма GPResult може да генерира HTML изход за всички произтичащи резултати от правила (достъпни в Windows 7 и по-нататък). На кого ще получите информация за всички системни параметри, които се задават от групови политики и имената на конкретни GPO, които се задават (име по структура, познайте раздела Настройки в конзолата за управление на групови политики на домейна - GPMC). Можете да генерирате HTML повикване GPResult с помощта на допълнителната команда:

GPResult /h c:\gp-report\report.html /f

За да генерирате обаждане и автоматично да го отворите в браузър, въведете командата:

GPResult /h GPResult.html & GPResult.html

В HTML gpresult може да извлече много основна информация: можете да видите проверката на GPO, часа на обработка (в ms) и спирането на специфични политики и CSE (в Разпределението на Компютърни подробности -> Състояние на компонента). Например, на екранната снимка можете да видите, че политиката за запомняне на 24 пароли е зададена от политиката за домейн по подразбиране (Winning GPO). Както можете да видите, този вид HTML е много полезен за анализиране на блокирани политики под конзолата rsop.msc.

Извличане на GPResult данни от отдалечен компютър

GPResult може да събира данни от отдалечен компютър, позволявайки на администратора да влезе в отдалечения компютър, ако е необходимо от локален или RDP компютър. Форматът на командата за събиране на RSOP данни от отдалечен компютър е както следва:

GPResult /s сървър-ts1 /r

С подобен ранг можете да изтеглите данни както за политиците на koristuvach, така и за политиците на компютъра.

Потребителското име на Koristuvach няма RSOP данни

Когато UAC е активиран, стартирането на GPResult без предоставяне на привилегии ще покаже параметрите, вместо да разделя груповите политики. Необходимо е едновременно да се показват обиди (ПОЛЗИТЕЛСКИ НАСТРОЙКИ и КОМПЮТЪРНИ НАСТРОЙКИ), командата трябва да се изпълни. Като команден ред с привилегиите на системата за управление, помощната програма изглежда е напред ИНФО: Theпотребител„домейн\потребител"правинеиматRSOPданни ( Koristuvach "domain\user" не е разрешен (RSOP). На факта, че GPResult се опитва да събере информацията на coristuvacha, її run, ale. Този koristuvach не влезе (влизане) в системата, RSOP информация за новия ден. За да събирате RSOP информация, когато сте влезли в активна сесия, трябва да въведете физическия си запис:

gpresult /r /user:tn\edward

Ако не знаете името на осигуреното досие, се задължавайте да отдалечен компютър, oblіkovy запис може да се види по следния начин:

qwinsta /SERVER:remotePC1

Също така прехвърлете часа (i) на клиента. Часът е отговорен за часа на PDC (първичен домейн контролер).

Атакуващите политики на GPO не бяха в застой, вонята на вонята бяха филтрирани

Когато отстранявате проблеми с груповите политики, varto обърнете внимание и на раздела: Политиките за напредък на GPO не бяха блокирани, така че зловонието беше филтрирано. Този раздел показва списъка с GPO, ако има други причини да не стигнете до обекта. Възможни опции, за които политиката не може да спре:

Можете също така да разберете защо е по вина на политиката да настроите конкретен AD обект в раздела Ефективни разрешения (Разширени -> Ефективен достъп).

Също така в тази статия разгледахме спецификата на диагностицирането на групови политики за допълнителната помощна програма GPResult и разгледахме типични сценарии и победи.

При инсталиране на Windows повечето други подсистеми на редове не се активират или не се възстановяват. Tse zrobleno z причини за безопасност. Тъй като системата е заключена зад ключалка, системните администратори могат да се съсредоточат върху дизайна на системата, сякаш всички функции са поставени върху нея и нищо не се прави. За да помогне с активираните необходимите функции, Windows ви подканва да изберете ролята на сървъра.

Роли

Ролята на сървъра - tse nabrіr програми, yak ако са правилно инсталирани и конфигурирани, позволяват на компютъра да изпълнява една функция за редица koristuvachіv или други компютри в merezhі. Всички роли могат да имат едни и същи характеристики в дивите випадки.

Те означават основната функция, която се разпознава като метод за заместване на компютъра. Възможно е да се разпознае компютърът да спечели една роля, тъй като той интензивно печели в начинанията, но за спечелването на няколко роли, тъй като кожата от тях zastosovuetsya по-малко от звезда.
Ролите дават на служителите в цялата организация достъп до ресурси, които се съхраняват на други компютри, като уебсайтове, принтери или файлове, които се запазват на други компютри.
Вонята звучи като vlasnі бази данни, в които се създават chergs за пиене на coristuvacha или компютър, или се записват записи за mesh coristuvachіv и компютри, които играят роли. Например, Active Directory Domain Services почиства базата данни, за да събира имената и родителските връзки на компютрите в mezhі.
След правилната инсталация, тази настройка на ролята ще функционира автоматично. Tse позволяват на компютрите, на които е инсталирана вонята, да разпознаят признанието на собственика на ръбовата съдба на koristuvach.

Ролеви услуги

Ролевите услуги са програми, които предоставят функционалност за участие. Под часа на инсталацията може да се избере ролята, сякаш услугите са предоставени на други служители и компютри в предприятието. Действащите роли, като DNS сървър, изпълняват само една функция, така че няма роли за тях. Други роли, като услугите на отдалечени работни маси, може да имат множество услуги, тъй като могат да бъдат инсталирани като угар за нуждите на бизнеса при отдалечен достъп. Ролята може да бъде съвкупност от тясно свързани, взаимно допълващи се ролеви услуги. Най-често задаването на роля означава инсталиране на една или повече услуги.

Компоненти

Компоненти - tse програми, yakі є без междинна част от ролите, но също така разширяват функциите на една от ролите chilkoh на целия сървър независимо, yakі роли са инсталирани. Например компонентът "Zasіb vіdmovi klusterіv" разширява функциите на други роли, като файлови услуги и DHCP сървър, като им позволява достъп до сървърни клъстери, което осигурява повишаване на производителността и производителността. Последният компонент - "Telnet Client" - осигурява отдалечени връзки от Telnet сървъра през мрежата за свързване. Тази функция разширява връзката на сървъра.

Ако Windows Server се използва като основни сървърни компоненти, се поддържат следните сървърни роли:

Сертификационни услуги на Active Directory;
Домейн услуги на Active Directory;
DHCP сървър
DNS сървър;
файлови услуги (zocrema файлов сървър мениджър на ресурси);
Услуги на Active Directory за лесен достъп до директории;
Hyper-V
услуги за други документи;
Поточно медийни услуги;
уеб сървър (подмножество Zokrema на ASP.NET);
Сървър за актуализиране на Windows Server;
keruvannya сървър с права на Active Directory;
маршрутизиращ сървър отдалечен достъпи такива изиграни роли:
- посредник за свързване на услуги към отдалечени работни маси;
- лицензиране;
- виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни компоненти:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Фонова интелигентна услуга за трансфер (BITS);
BitLocker криптиране на диск;
обединяване отключване на BitLocker;
BranchCache
място за центъра за обработка на данни;
Подобрено съхранение;
визуално групиране;
Многопътен вход/изход;
балансиране на бягащата пътека;
PNRP протокол;
qWave;
премахване на натиска на дребно;
прости TCP/IP услуги;
RPC през HTTP прокси;
SMTP сървър;
SNMP услуга;
Telnet клиент;
telnet сървър;
TFTP клиент;
Вътрешна база данни на Windows;
Windows PowerShell уеб достъп;
Услуга за активиране на Windows;
стандартизиране на keruvannya с Windows съкровища;
IIS WinRM разширение;
WINS сървър;
subtrim WoW64.

Инсталиране на сървърни роли за помощ на Server Manager

За да добавите мениджъра на сървъра и в менюто Управление изберете Добавяне на роли и функции:

Капитанът е отговорен за добавянето на роли и компоненти. Tisnemo Next

Тип инсталация, изберете Инсталация, базирана на роли или базирана на функции. Следващия:

Избор на сървър - избран е нашият сървър. Tisnemo Next Server Roles - Изберете роли, ако е необходимо, изберете услуги за роли и щракнете върху бутона Напред, за да изберете компоненти. В края на процедурата Мейстърът за добавяне на роли и компоненти автоматично ще ви информира за конфликти на крайния сървър, за да можете да настроите инсталирания или нормален робот на избрани роли или компоненти. Има също така заявка за допълнителни роли, ролеви услуги и компоненти, необходими за избрани роли или компоненти.

Инсталиране на роли зад помощ за PowerShell

Отворете Windows PowerShell Въведете командата Get-WindowsFeature, за да видите списъка с налични роли и функции, инсталирани на локалния сървър. Резултатите от този командлет ще търсят имената на командите за ролите и компонентите, инсталирани и налични за инсталиране.

Въведете Get-Help Install-WindowsFeature, за да прегледате синтаксиса и валидните параметри на командлета Install-WindowsFeature (MAN).

Въведете следващата команда (-Restart, за да рестартирате сървъра, което означава, че часът на инсталиране на ролята трябва да бъде рестартиран).

Install-WindowsFeature -Име -Рестартирам

Описание на ролите и ролевите услуги

Всички роли и ролеви услуги са описани по-долу. Възхищаваме се на разширяването на подобренията за уеб ролята и услугите за отдалечен работен плот, които са най-често срещани в нашата практика.

Подробно описание на IIS

Общи HTTP функции - Основни HTTP компоненти
- Документ по подразбиране - позволява ви да инсталирате индексна страница за сайта.
- Преглеждане на директория - Позволява на грешки да преглеждат директорията на уеб сървъра. Преглед на директория с маркери за автоматично генериране на списък с всички директории и файлове, които се появяват в директорията, ако не включите файл в URL адреса, тази индексна страница е деактивирана или не е зададена
- HTTP Грешки - позволява ви да конфигурирате сигнали за помилвания, които се изпращат до клиентите в браузъра.
- Статично съдържание - позволява ви да хоствате статично съдържание, като снимки или html файлове.
- HTTP пренасочване – осигурява пренасочване на заявки.
- WebDAV Publishing ви позволява да публикувате файлове от уеб сървър през HTTP протокола.
Здравни и диагностични характеристики - диагностични компоненти
- HTTP Logging осигурява регистриране на активността на уеб сайта за този сървър.
- Персонализираното регистриране гарантира създаването на персонализирани регистрационни файлове, както се появяват в традиционните регистрационни файлове.
- Инструментите за регистриране предоставят инфраструктурата за регистриране на уеб сървъра и автоматизиране на режийните задачи за регистриране.
- ODBC Logging защитава инфраструктурата, като води регистър на активността на уеб сървъра в ODBC базата данни.
- Мониторът на заявки предоставя инфраструктурата за наблюдение, за да се превърне в уеб спирка по начин за събиране на информация за HTTP заявки в работния процес на IIS.
- Проследяването предоставя инфраструктура за диагностициране и коригиране на уеб грешки. Ако се опитате да проследите последните обаждания, можете да проверите дали е важно да го поправите, така че производителността е лоша или удостоверяването е неуспешно.
Компоненти за производителност за повишаване на производителността на уеб сървъра.
- Статичното компресиране на съдържание предоставя инфраструктура за настройка на статично съдържание вместо HTTP.
- Динамичното компресиране на съдържание предоставя инфраструктурата за настройка на HTTP компресия за динамично съдържание.
Компоненти за сигурност
- Филтрирането на заявки ви позволява да коригирате всички заявки и да ги филтрирате въз основа на правилата, зададени от администратора.
- Основното удостоверяване ви позволява да зададете допълнително оторизиране
- Централизирана поддръжка на SSL сертификати е функция, която ви позволява да запазвате сертификат на централизирано място като глобален файлов ресурс.
- Удостоверяване на картографиране на клиентски сертификат
- Digest Authentication използва път за промяна на хеша на паролата към контролера на домейн на Windows за удостоверяване на root. Ако имате нужда от по-високо ниво на сигурност в областта на превъзходно удостоверяване, разгледайте справочника за силата на автентичността
- Удостоверяване на картографиране на сертификат на IIS клиент Сертификатът на клиента е цифров идентификационен номер, изваден от оригиналния джерел.
- IP и ограниченията на домейна ви позволяват да разрешите/ограничите достъп въз основа на искания IP адрес или име на домейн.
- Разрешаването на URL ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
- Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейна на Windows да се удостоверяват с инфраструктурата на домейна за удостоверяване.
Характеристики за разработка на приложения
FTP сървър
- FTP услуга Активирайте FTP публикуване на уеб сървър.
- FTP разширяемост
Инструменти за управление
- IIS Management Console инсталира IIS мениджър, който ви позволява да навигирате в уеб сървъра през графичния интерфейс
- Съвместимостта на управлението на IIS 6.0 осигурява директна последователност на програмните скриптове, за да спечелят административния базов обект (ABO) и API на Active Directory на интерфейса на услугата директория (ADSI). Позволявате ли хакване на основни IIS 6.0 скриптове от уеб сървъра на IIS 8.0
- Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за керуване от уеб сървъра на IIS програмно, за помощ на команди в прозореца на командния ред или чрез изпълнение на скриптове.
- Услугата за управление предоставя инфраструктурата за настройка на основния интерфейс на мениджъра на IIS.

Подробно описание на RDS

Брокер за свързване на отдалечен работен плот - Сигурно повторно свързване на клиента с програмите, базирано на сесии на настолни компютри и виртуални настолни компютри.
Шлюз за отдалечен работен плот - Позволява на оторизирани абонати да се свързват с виртуални настолни компютри, програми за RemoteApp и да установяват сесии на работния плот корпоративенили чрез интернет.
Лицензиране на отдалечен работен плот
Remote Desktop Session Host – включва сървъра за хостване на програми RemoteApp или сесия, базирана на настолни компютри.
Хост за виртуализация на отдалечен работен плот - позволява ви да настроите RDP на виртуални машини
Уеб достъп до отдалечен работен плот - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или помощното меню на браузъра.

Нека да разгледаме инсталацията и настройката на сървъра на терминални лицензи. По-конкретно, как да инсталираме роли, инсталацията на RDS не работи с инсталации на други роли, трябва да изберем Лицензиране на отдалечен работен плот и Хост за сесия на отдалечен работен плот от Role Services. След инсталирането, елементът Terminal Services ще се появи в Server Manager-Tools. Terminal Services може да има две точки: RD Licensing Diagnoser, за диагностициране на роботи и лицензиране на отдалечени настолни компютри, и Remote Desktop Licensing Manager, за управление на лицензи.

Стартирайте RD Licensing Diagnoser

Тук сме загрижени, че все още няма налични лицензи, тъй като режимът на лицензиране за сървъра на възела на сесията в отдалечените настолни компютри не е зададен. Сървърът е лицензиран в местните групови политики. За да стартираме редактора, можем да използваме командата gpedit.msc. Редакторът на местната групова политика е признат. В дървото на zlіva rozkriёmo има раздели:

"Конфигурация на компютъра"
"Административни шаблони"
Компоненти на Windows
Услуги за отдалечен работен плот
Хост за сесия на отдалечен работен плот
Лицензиране

Параметър Vіdcriєmo Използвайте посочените лицензни сървъри за отдалечен работен плот

В случай на редактиране на параметри в политиката, сървърът за лицензиране е активиран (Enabled). След това ще трябва да посочим сървърен лиценз за услугата за отдалечен работен плот. Моят задния сървър е лицензиран на същия физически сървър. Моля, посочете името или IP адреса на сървъра за лицензи и натиснете OK. Как да промените името на сървъра, сървърните лицензи, трябва да промените същата дистрибуция.

По този въпрос, в RD Licensing Diagnoser можете да разберете, че сървърът на терминални лицензи не е споменат. За справка стартирайте Мениджър за лицензиране на отдалечен работен плот

Избираме сървър за лицензиране със статус Неактивиран. За да активирате, щракнете върху новия десен бутон на мишката и изберете Активиране на сървър. Съветникът за активиране на сървъра ще стартира. В раздела Метод на свързване изберете Автоматично свързване. Даде ни информация за организацията, след което лицензният сървър се активира.

Сертификационни услуги на Active Directory

AD CS предоставя услугите на доставчици на цифрови сертификати, които са победители в софтуерните системи за сигурност, тоест за инсталиране на технологии с твърди ключове и за управление на сертификати. Дигиталните сертификати на AD CS могат да бъдат подписани за криптиране и цифрово подписване на електронни документи и спомен. цифрови сертификатиможе да се използва за проверка на коректността на облачните записи на компютри, свързани устройства и стопански постройки.

конфиденциалност за допълнително криптиране;
сила за допълнителни цифрови подписи;
удостоверяване за допълнително свързване на ключовете на сертификата към облачните записи на компютри, koristuvachіv и стопански постройки в mezhi.

AD CS може да бъде хакнат, за да се насърчи сигурността на свързващата връзка, като се добавя всяка услуга към валиден частен ключ. Преди zastosuvannya, pіdtrimuvanih AD CS, въведете защитените богати разширения към стандарта за интернет поща (S / MIME), сигурност бездарни мережи, виртуална частна сигурност (VPN), протокол IPsec, криптирана файлова система (EFS), поддръжка на смарт карти, защитен протокол за трансфер на данни и протокол за сигурност на транспортния слой (SSL/TLS) и цифров подпис.

Домейн услуги на Active Directory

Сървърната роля на Active Directory Domain Services (AD DS) може да създаде мащабируема, защитена кеширана инфраструктура за архивиране и ресурси; Освен това можете да предоставите на робота добавки, като например актуализиране на директории Microsoft Exchangeсървър. Active Directory Domain Services разпределя подраздел на базата данни, в който съхранява информация за ресурсите и допълненията към данни от подразделението на каталозите, както и поддържането на информация. Сървърът, към който е свързан AD DS, се нарича домейн контролер. Администраторите могат да настройват AD DS, за да подредят йерархия от вложени структури, като елементи в ниво, като корист, компютър и други прикачени файлове. Йерархичната структура включва Active Directory, домейните в списъка и организационната структура е добавена към домейна на кожата. Функциите за сигурност на интегрирането в AD DS по отношение на автентичността и контрола на достъпа до ресурси в каталога. С помощта на единичен вход към mezhe, администраторите могат да управляват данните за mezhe в каталога на тази организация. Оторизираните кредитори също могат да спечелят еднократно влизане в кредита за достъп до ресурси, roztoshovanih във всеки град на кредита. Домейн услугите на Active Directory ви дават тази възможност.

Набор от правила - схема, която определя класа от обекти и атрибути, които се съхраняват в каталога, и границите за екземпляри на тези обекти, както и формата на техните имена.
Глобалният каталог, който е начин за намиране на информация за кожения предмет на каталога. Koristuvachі и администраторите могат да използват глобалния каталог за търсене на данни в каталога независимо, кой домейн в каталога може ефективно да търси данни, за които хората се шегуват.
Механизмът на zapitіv іndexuvannya, zavdjaki yakyu ob'єkti їh vlastivostі може да се публикува и znahoditsya merezhnymi koristuvachami и dodatkami.
Услуга за репликация, як rozpodіlyaє данни в каталога чрез мрежата. Всички домейн контролери, за които може да се записва в домейна, участват в репликацията и съхраняват пълно копие на всички данни от директорията за своя домейн. Be-yakі zmіni danih директория репликирана в домейна на всички контролери на домейна.
Ролите на господаря на операциите (също като операция gnuchka с един главен или FSMO). Контролерите на домейни, които контролират ролите на главните на операциите, са определени за наблюдение на специални задачи поради сигурността на съответствието на данните и изключването на конфликтни записи от каталозите.

Услуги за федерация на Active Directory

Предоставете AD FS на крайни потребители, които се нуждаят от достъп до програми в защитени с AD FS бизнеси, от партньорски организации на федерацията или от облачна, лесна за използване и сигурна федерация и активирайте услугата Windows Server AD за активиране на единичен знак -on (SSO) услуги Fedilia Services, Scho Dіє Yak Допълнителен доставчик на услуги (Vikonuєvkіkatsіyu Korhikuvachіv за Nanthana Markeriv Bezpeki за Da Datkiv, Shahov Dovіkut AD FS) Abo Yak Допълнителен офицер на Fedssen (Zasovuє Marciiy Welcome to the the Nanthana Markeriv Bezpeki за Da Datkiv, Shahov Dovіkut AD FS) Марси проверява за Da Dat).

Active Directory Lightweight Directory Services

Active Directory Easy Access Directory Services (AD LDS) - същият LDAP протокол, който осигурява малка програма, която работи с директории, без зависимости и свързани с домейна граници на Active Directory Domain Services. AD LDS може да се изпълнява на обикновени или изолирани сървъри. На един сървър можете да стартирате няколко екземпляра на AD LDS с независимо картографирани схеми. В допълнение към ролята на AD LDS, можете да предоставяте услуги на директории за допълнителни подразделения на каталога, домейн без свързване и услуги за локални данни, без да разчитате на една схема за цялото населено място.

Услуги за управление на права на Active Directory

AD RMS може да бъде настроен, за да се подобри сигурността в организацията, като се осигури защита на документи за допълнително управление на правата върху данните (IRM). AD RMS позволява на съдебните специалисти и администраторите да предоставят достъп до документи, работни книги и презентации за допълнителни IRM политики. Tse ви позволяват да защитите поверителна информация от друго лице, засилване или копиране от koristuvachs, сякаш не сте прави. След това, тъй като беше разрешено споделянето на IRM файлове за помощта на IRM, споделянето на достъп до този ресурс щеше да бъде независимо при разпространението на информация, фрагментите бяха разрешени файлът да бъде запазен в самия файл на документа. За помощта на AD RMS и IRM okremі koristuvachі може да zastosovuvat svoї osobistі nalashtuvannya schodo прехвърляне на специални и поверителни данни. Те също така ще помогнат на организацията да създаде корпоративна политика за управление на поверителността и поверителността и специални бележки. Решенията на IRM, като поддръжката на AD RMS, са победители за осигуряване на нападателни възможности.

Postiyni политика на победа, yakі zalyshayutsya s іnformatsiєyu независимо под формата на її движещи се, надмогващи или надмогващи.
Допълнителна защита на поверителността за защита на поверителни данни - например информация, продуктови спецификации, информация за клиенти и известия по имейл - в случай на пряко или непряко излагане в грешни ръце.
Предотвратяване на неоторизирано прехвърляне, копиране, редактиране, копиране, изпращане по факс или вмъкване между оторизирани притежатели.
Zapobіgannya kopiyuvannya obzhuvannya заедно с допълнителната функция PRINT SCREEN в Microsoft Windows.
Поддържане на срока към файла, което ще помогне за преглед на документите след края на посочения период от време.
Внедряване на корпоративни политики, как да управляваме победи и разповядвания заедно в организацията

Сървър на приложения

Софтуерният сървър осигурява интегрирана среда за разработка и развитие на бизнес приложения на базата на сървъра.

DHCP сървър

DHCP е технология "клиент-сървър", с помощта на която DHCP сървърите могат да бъдат разпознати като лизинг на IP адреси на компютри и други прикачени файлове, които са DHCP клиенти. въз основа на IPv4 и IPv6 текущите IP адреси и допълнителни параметри за конфигурация, изисквани от тези клиенти и добавки. Услугата DHCP сървър в Windows Server позволява обработка, базирана на правила, да бъде присвоена на DHCP протокола.

DNS сървър

DNS услугата е отделна база данни, която се използва за настройване на имена на DNS домейни с различни типове данни, като например от IP адрес. DNS услугата позволява заместващи имена като www.microsoft.com, за да се улесни намирането на компютри и други ресурси, базирани на TCP/IP протокола. DNS услугата на Windows Server предоставя подобрено подобрение на модулите за защита на DNS (DNSSEC), включително регистрация в най-ниските и автоматизирани параметри на keruvane.

ФАКС Сървър

Факс сървърът надделява и приема факсове, а също така дава възможност за използване на факс ресурси, като например настройка, настройка, обаждания и прикачени файлове към факс сървъра.

Услуги за файлове и съхранение

Администраторите могат да спечелят ролята "Файлови услуги и услуги за галерия", за да настроят директория с файлови сървъри за тези магазини, както и да управляват тези сървъри с помощта на сървърен мениджър или Windows PowerShell. Някои специфични програми включват такива функции.

Работни папки. Vykoristovuvati, за да позволи на koristuvachas да запазват работни файлове и достъп до тях на специални компютри и прикачени файлове, корпоративни компютри. Koristuvachі otrimuyut по-добро мястоза запазване на работни файлове и достъп до тях от всяко място. Организациите контролират корпоративните данни, съхраняват файлове на централно кеширани файлови сървъри и задават политики за разширения при поискване (като пароли за криптиране и блокиране на екрана).
Дедупликация на данни. Победата за намаляване може да бъде до дисково пространство за запазване на файлове, спестяване на пари за колекции.
iSCSI сървърът. Използва се за създаване на централизирани, софтуерно и хардуерно независими iSCSI дискови подсистеми в мрежи за съхранение на данни (SAN).
Дисково пространство. Vykoristovuvaty за razgortannya shovishcha с високо ниво на наличност, vіdmovostіykim и мащабиране за rahunok zastosuvannya ekonomіchnyh стандартизирани дискове в галерията.
Мениджър на сървъра. Победа за грижа от разстояние Dekilkoma файлови сървъри от една седмица.
Windows PowerShell. Vykoristovuvaty за автоматизиране на поддръжката на повече администратори на администрацията на файлови сървъри.

Hyper-V

Ролята на Hyper-V ви позволява да създадете среда за виртуализация за допълнителна технология за виртуализация, въведена в Windows Server, и да се грижите за нея. Под часа на инсталиране на ролята на Hyper-V, инсталирането на необходимите компоненти, както и neobov'yazhkovyh zabov_v keruvannya. Необходимите компоненти включват обвивката на Windows от ниско ниво, услугата за архивиране на виртуална машина Hyper-V, пощальона за виртуализация на WMI и компонентите за виртуализация като VMbus шината, пощальона на услугата за виртуализация (VSP) и драйвера за виртуална инфраструктура (VID).

Мрежова политика и услуги за достъп

Услугите на границата и достъпа предоставят следното решение за връзка с границата:

Осигуряването на достъп до границата е технологията на създаване, primus zastosuvannya и коригиране на политиката за поверителност на клиента. За допълнителна защита на достъпа до системата, системните администратори могат да настроят и автоматично да спрат политиката за поверителност, която ще активира софтуер, актуализация за системата за сигурност и други параметри. За клиентски компютри, които не отговарят на условията за политиката за поверителност, можете да ограничите достъпа до устройство, чиято конфигурация докинг станция няма да бъде надстроена до политиката за поверителност.
Като гореща точка достъп без джетС поддръжката на 802.1X можете да спечелите сървър за мрежови политики (NPS) за разпространение на базирани на сертификат методи за удостоверяване, които са по-сигурни, по-ниско базирано на парола удостоверяване. Поддръжката на 802.1X от NPS сървъра ви позволява да защитите удостоверяването на вътрешната мрежа, преди смрадът да може да се свърже с мрежата или да вземе IP адреса от DHCP сървъра.
Като алтернатива, за да зададете политиката за достъп до границата на сървъра за достъп до кожата до границата, можете централно да създадете всички политики, в които ще бъдат присвоени всички аспекти на връзката към връзката към границата (кой може да бъде свързан, ако разрешено е, до мярка).

Услуги за печат и документи

Услугите взаимно и документите ви позволяват да централизирате администрирането на сървъра един към друг и свързания принтер. Тази роля също ви позволява да сканирате документи от трансгранични скенери и да прехвърляте документи към глобални ресурси - към сайт на Windows SharePoint Services или електронна поща.

отдалечен достъп

Ролята на сървъра в отдалечения достъп е логическа група от съвременни технологии за отдалечен достъп.

Директен достъп
Маршрутизиране и отдалечен достъп
Уеб прокси сървър

Qi технология ролеви услугисървърни роли за отдалечен достъп. Под часа на инсталиране на ролята на сървъра при отдалечен достъп можете да инсталирате една или повече услуги за роли, като стартирате главния за добавяне на роли към този компонент.

В Windows Server ролята на сървъра за отдалечен достъп предоставя възможност за централизирано администриране, настройване и охрана на услугите за отдалечен достъп на DirectAccess и VPN, услугите за маршрутизиране и отдалечен достъп (RRAS). DirectAccess и RRAS могат да бъдат разгърнати на един сървър на кордона и да се изпълняват от тях за допълнителни команди на Windows PowerShell и хоствана конзола (MMC) за отдалечен достъп.

Услуги за отдалечен работен плот

Услугите на дистанционни работни маси ще ускорят това разширяване на гърлото на работните маси и допълненията към всяка стопанска постройка, повишавайки ефективността на дистанционен практикуващ, като в същото време гарантират безопасността на критично важната интелектуална влажност и опростяват стандарта. Услугите за отдалечен работен плот включват инфраструктура за виртуални работни плотове (VDI), базирани на сесии настолни компютри и програми, които ви дават гъвкавостта за работа.

Услуги за обемно активиране

Enterprise License Activation Services – ролята на сървър в Windows Server, започвайки от Windows Server 2012, тъй като позволява автоматизиране и освобождаване на корпоративни лицензи за софтуер за сигурност на Microsoft, както и защита на такива лицензи в различни сценарии и среди. Можете да инсталирате серия от услуги за активиране на корпоративни лицензи, като например конфигуриране на услугата с ключове (KMS) и активиране с помощта на Active Directory.

уеб сървър (IIS)

Ролята на уеб сървър (IIS) в Windows Server осигурява платформа за хостване на уеб сайтове, услуги и софтуер. Вдовицата на уеб сървъра предоставя достъп до информация за кореспонденти в Интернет, вътрешни и допълнителни измерения. Администраторите могат да спечелят ролята на уеб сървър (IIS) за настройка и управление на редица уебсайтове, уеб хостове и FTP сайтове. За специални възможности да влезете по този начин.

Помощник за IIS мениджър за настройка на IIS компоненти и администриране на уебсайтове.
Използване на протокола FTP, за да позволи на собствениците на уебсайтове да отменят и заснемат файлове.
Vykoristannya _изолиране на уебсайтове за zabіgannya влияние на един уебсайт на сървъра на іnshі.
Внедряване на уеб zastosunkiv, razroblenyh z vikoristannym различни технологии, като Classic ASP, ASP.NET і PHP.
Windows PowerShell хак за автоматично отвличане на администратора на локалния уеб сървър.
Консолидиране на редица уеб сървъри в сървърна ферма, която може да се използва в помощ на IIS.

Услуги за внедряване на Windows

Windows Deployment Services ви позволява да разархивирате операционната система Windows отвъд границата, което означава, че не можете да инсталирате операционната система на кожата директно от CD-ROM DVD.

Windows Server Essentials Experience

Тази роля ви позволява да изпълнявате следните задачи:

защита на сървърни и клиентски данни чрез създаване на резервни копия на сървъра и всички клиентски компютри в предприятието;
keruvati koristuvacami и групи koristuvachіv чрез прост панел за наблюдение на сървъра. В допълнение, интеграцията с Windows Azure Active Directory ще осигури лесен достъп до Microsoft Online Services (например Office 365, Exchange Online и SharePoint Online) за допълнителни облачни данни към домейна;
запазват данни за получаване от централизираната община;
Интегрирайте сървъра с Microsoft Online Services (например Office 365, Exchange Online, SharePoint Online и Windows Intune):
спечелете на сървъра функциите на универсален достъп (например отдалечен уеб достъп и виртуални частни мрежи) за достъп до сървъра, компютрите и данни от отдалечено разпространение с високо ниво на сигурност;
за ограничаване на достъпа до данни по всяко време и по всяко време ще прикача за помощ към собствения уеб портал на организацията (за помощ от отдалечен уеб достъп);
с мобилни прикачени файлове, за които има достъп до електронната поща на организацията Помощ Office 365 чрез протокола Active Sync, от панела за наблюдение;
проверете практичността на мярката и си водете бележки за практичността, за която сте в настроение; Можете да се обадите за помощ, можете да го укрепите с електронни средства към певческите мания.

Услуги за актуализиране на Windows Server

WSUS сървърът предоставя компоненти, които са необходими на администраторите за обработка на актуализации и актуализации през конзолната конзола. В допълнение, WSUS сървърът може да се наложи да надстрои други WSUS сървъри в организацията. Множество WSUS реализации, които искат един WSUS сървър, може да имат връзки към центъра за актуализации на Microsoft, за да получат информация за наличните актуализации. В зависимост от сигурността и конфигурацията на мрежата, администраторът може да определи колко други сървъри са директно свързани към центъра за актуализиране на Microsoft.

Роли

Те означават основната функция, която се разпознава като метод за заместване на компютъра. Възможно е да се разпознае компютърът да спечели една роля, тъй като той интензивно печели в начинанията, но за спечелването на няколко роли, тъй като кожата от тях zastosovuetsya по-малко от звезда.
Ролите дават на служителите в цялата организация достъп до ресурси, които се съхраняват на други компютри, като уебсайтове, принтери или файлове, които се запазват на други компютри.
Вонята звучи като vlasnі бази данни, в които се създават chergs за пиене на coristuvacha или компютър, или се записват записи за mesh coristuvachіv и компютри, които играят роли. Например, Active Directory Domain Services почиства базата данни, за да събира имената и родителските връзки на компютрите в mezhі.
След правилната инсталация, тази настройка на ролята ще функционира автоматично. Tse позволяват на компютрите, на които е инсталирана вонята, да разпознаят признанието на собственика на ръбовата съдба на koristuvach.

Ролеви услуги

Компоненти

Ако Windows Server се използва като основни сървърни компоненти, се поддържат следните сървърни роли:

Сертификационни услуги на Active Directory;
Домейн услуги на Active Directory;
DHCP сървър
DNS сървър;
файлови услуги (zocrema файлов сървър мениджър на ресурси);
Услуги на Active Directory за лесен достъп до директории;
Hyper-V
услуги за други документи;
Поточно медийни услуги;
уеб сървър (подмножество Zokrema на ASP.NET);
Сървър за актуализиране на Windows Server;
keruvannya сървър с права на Active Directory;
маршрутизиращ сървър и отдалечен достъп и последващи роли за подреждане:
- посредник за свързване на услуги към отдалечени работни маси;
- лицензиране;
- виртуализация.

Когато Windows Server работи в режим Server Core, се поддържат следните сървърни компоненти:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell;
Фонова интелигентна услуга за трансфер (BITS);
BitLocker криптиране на диск;
обединяване отключване на BitLocker;
BranchCache
място за центъра за обработка на данни;
Подобрено съхранение;
визуално групиране;
Многопътен вход/изход;
балансиране на бягащата пътека;
PNRP протокол;
qWave;
премахване на натиска на дребно;
прости TCP/IP услуги;
RPC през HTTP прокси;
SMTP сървър;
SNMP услуга;
Telnet клиент;
telnet сървър;
TFTP клиент;
Вътрешна база данни на Windows;
Windows PowerShell уеб достъп;
Услуга за активиране на Windows;
стандартизиране на keruvannya с Windows съкровища;
IIS WinRM разширение;
WINS сървър;
subtrim WoW64.

Инсталиране на сървърни роли за помощ на Server Manager

За да добавите мениджъра на сървъра и в менюто Управление изберете Добавяне на роли и функции:

Капитанът е отговорен за добавянето на роли и компоненти. Tisnemo Next

Тип инсталация, изберете Инсталация, базирана на роли или базирана на функции. Следващия:

Инсталиране на роли зад помощ за PowerShell

Въведете Get-Help Install-WindowsFeature, за да прегледате синтаксиса и валидните параметри на командлета Install-WindowsFeature (MAN).

Инсталиране-WindowsFeature -Име -Рестартиране

Описание на ролите и ролевите услуги

Подробно описание на IIS

Общи HTTP функции - Основни HTTP компоненти
- Документ по подразбиране - позволява ви да инсталирате индексна страница за сайта.
- Преглеждане на директория - Позволява на грешки да преглеждат директорията на уеб сървъра. Преглед на директория с маркери за автоматично генериране на списък с всички директории и файлове, които се появяват в директорията, ако не включите файл в URL адреса, тази индексна страница е деактивирана или не е зададена
- HTTP Грешки - позволява ви да конфигурирате сигнали за помилвания, които се изпращат до клиентите в браузъра.
- Статично съдържание - позволява ви да хоствате статично съдържание, като снимки или html файлове.
- HTTP пренасочване – осигурява пренасочване на заявки.
- WebDAV Publishing ви позволява да публикувате файлове от уеб сървър през HTTP протокола.
Здравни и диагностични характеристики - диагностични компоненти
- HTTP Logging осигурява регистриране на активността на уеб сайта за този сървър.
- Персонализираното регистриране гарантира създаването на персонализирани регистрационни файлове, както се появяват в традиционните регистрационни файлове.
- Инструментите за регистриране предоставят инфраструктурата за регистриране на уеб сървъра и автоматизиране на режийните задачи за регистриране.
- ODBC Logging защитава инфраструктурата, като води регистър на активността на уеб сървъра в ODBC базата данни.
- Мониторът на заявки предоставя инфраструктурата за наблюдение, за да се превърне в уеб спирка по начин за събиране на информация за HTTP заявки в работния процес на IIS.
- Проследяването предоставя инфраструктура за диагностициране и коригиране на уеб грешки. Ако се опитате да проследите последните обаждания, можете да проверите дали е важно да го поправите, така че производителността е лоша или удостоверяването е неуспешно.
Компоненти за производителност за повишаване на производителността на уеб сървъра.
- Статичното компресиране на съдържание предоставя инфраструктура за настройка на статично съдържание вместо HTTP.
- Динамичното компресиране на съдържание предоставя инфраструктурата за настройка на HTTP компресия за динамично съдържание.
Компоненти за сигурност
- Филтрирането на заявки ви позволява да коригирате всички заявки и да ги филтрирате въз основа на правилата, зададени от администратора.
- Основното удостоверяване ви позволява да зададете допълнително оторизиране
- Централизирана поддръжка на SSL сертификати е функция, която ви позволява да запазвате сертификат на централизирано място като глобален файлов ресурс.
- Удостоверяване на картографиране на клиентски сертификат
- Digest Authentication използва път за промяна на хеша на паролата към контролера на домейн на Windows за удостоверяване на root. Ако имате нужда от по-високо ниво на сигурност в областта на превъзходно удостоверяване, разгледайте справочника за силата на автентичността
- Удостоверяване на картографиране на сертификат на IIS клиент Сертификатът на клиента е цифров идентификационен номер, изваден от оригиналния джерел.
- IP и ограниченията на домейна ви позволяват да разрешите/ограничите достъп въз основа на искания IP адрес или име на домейн.
- Разрешаването на URL ви позволява да създавате правила, които ограничават достъпа до уеб съдържание.
- Удостоверяване на Windows Тази схема за удостоверяване позволява на администраторите на домейна на Windows да се удостоверяват с инфраструктурата на домейна за удостоверяване.
Характеристики за разработка на приложения
FTP сървър
- FTP услуга Активирайте FTP публикуване на уеб сървър.
- FTP разширяемост
Инструменти за управление
- IIS Management Console инсталира IIS мениджър, който ви позволява да навигирате в уеб сървъра през графичния интерфейс
- Съвместимостта на управлението на IIS 6.0 осигурява директна последователност на програмните скриптове, за да спечелят административния базов обект (ABO) и API на Active Directory на интерфейса на услугата директория (ADSI). Позволявате ли хакване на основни IIS 6.0 скриптове от уеб сървъра на IIS 8.0
- Скриптовете и инструментите за управление на IIS осигуряват инфраструктурата за керуване от уеб сървъра на IIS програмно, за помощ на команди в прозореца на командния ред или чрез изпълнение на скриптове.
- Услугата за управление предоставя инфраструктурата за настройка на основния интерфейс на мениджъра на IIS.

Подробно описание на RDS

Брокер за свързване на отдалечен работен плот - Сигурно повторно свързване на клиента с програмите, базирано на сесии на настолни компютри и виртуални настолни компютри.
Шлюз за отдалечен работен плот – Позволява на упълномощени абонати да се свързват с виртуални настолни компютри, програми RemoteApp и да установяват настолни сесии в корпоративни мрежи или чрез интернет.
Лицензиране на отдалечен работен плот
Remote Desktop Session Host – включва сървъра за хостване на програми RemoteApp или сесия, базирана на настолни компютри.
Хост за виртуализация на отдалечен работен плот - позволява ви да настроите RDP на виртуални машини
Уеб достъп до отдалечен работен плот - Позволява на потребителите да се свързват с ресурси на работния плот чрез менюто "Старт" или помощното меню на браузъра.

Стартирайте RD Licensing Diagnoser

"Конфигурация на компютъра"
"Административни шаблони"
Компоненти на Windows
Услуги за отдалечен работен плот
Хост за сесия на отдалечен работен плот
Лицензиране

Параметър Vіdcriєmo Използвайте посочените лицензни сървъри за отдалечен работен плот

Сертификационни услуги на Active Directory

AD CS предоставя услугите на доставчици на цифрови сертификати, които са победители в софтуерните системи за сигурност, тоест за инсталиране на технологии с твърди ключове и за управление на сертификати. Цифровите сертификати, на които се доверява AD CS, могат да бъдат криптирани за криптиране и цифрово подписване на електронни документи и спомен. Цифровите сертификати Qi могат да бъдат валидирани за проверка в най-малката коректност на физическите записи на компютри, користувачи и стопански постройки.

конфиденциалност за допълнително криптиране;
сила за допълнителни цифрови подписи;
удостоверяване за допълнително свързване на ключовете на сертификата към облачните записи на компютри, koristuvachіv и стопански постройки в mezhi.

AD CS може да бъде хакнат, за да се насърчи сигурността на свързващата връзка, като се добавя всяка услуга към валиден частен ключ. Преди изключване, поддръжка на AD CS, разширения за сигурност към интернет стандарта (S/MIME), безжична защита, виртуални частни мрежи (VPN), протокол IPsec, криптирана файлова система (EFS), поддръжка на смарт карти, предаване на данни за протокол за сигурност и транспортен протокол за сигурност (SSL/TLS) и цифров подпис.