Sunucu politikasının bir rapor açıklamasını verin. Yönetim ve yönlendirme gruplarıyla çalışın. Kurumsal Lisans Etkinleştirme Hizmetleri GPResult Komutu: Ortaya Çıkan Grup İlkelerinin Tanısı

GPResult yardımcı programı.exe- bir konsol eklentisidir, analiz, iyileştirme ve teşhis için randevular grup politikaları, Active Directory etki alanında bilgisayara ve / veya coristuvacha'ya yakі zastosovuetsya. Zocrema, GPResult, sonuçta ortaya çıkan ilkeler kümesi (Resultant Set of Policy, RSOP), bir etki alanı ilkesi engelleme (GPO) listesi hakkında veri almanıza olanak tanır, detaylı bilgi af ve talepler hakkında. Windows XP saatlerinden başlayarak Windows işletim sistemi deposunda oturum açmak için yardımcı program. GPResult yardımcı programı, aşağıdaki soruları yanıtlamanıza olanak tanır: GPO'nun kendisi, nedenlere bağlı olarak bu diğer Windows ayarlarını değiştirdiğinden, bilgisayara neden belirli bir ilke ayarlanmıştır.

Bu yazıda, Active Directory etki alanı için çalışmayı teşhis etmek ve grup ilkelerini ayarlamak için GPResult komutunun özelliklerini görebiliriz.

Windows'ta grup ilkesi engellemesini teşhis etmek için, ortaya çıkan ilkelerin (etki alanı + yerel) düzenlenmesine, bilgisayara durdurulmasına ve konsoldakine benzer bir grafik görünümde kısaltmaya izin verdiği için RSOP.msc grafik konsolu ince ayarlandı. GPO düzenleyicisinden (aşağıdaki örnekte, RSOP.msc konsolunun sunumu) ayarların güncellendiğini görebilirsiniz).

Prote, Windows'un modern sürümlerinde RSOP.msc konsolu zayıf bir şekilde dövüldü, bu yüzden. özelleştirmeye izin vermez, örneğin GPP (Grup İlkesi Tercihleri) gibi farklı grup ilkesi uzantılarını (CSE) zastozovanie, hatalara izin vermez, çok az tanı bilgisi verir. Bu nedenle, GPResult komutu, Windows'ta bir GPO blokajını teşhis etmek için ana araçtır (Windows 10'da, biraz erkendir, çünkü RSOP, GPResult oturumuna yeni bir çağrı vermez).

Hasır yardımcı programı GPResult.exe

GPResult komutu, grup ilkesi engellemesinin kontrol edilmesinin gerekli olduğu bilgisayarda kontrol edilir. GPResult komutu aşağıdaki sözdizimine sahip olabilir:

GPRESULT ]] [(/X | /H)<имя_файла> ]

Grup ilkeleri, bu AD nesnesine nasıl ulaşılacağı (bilgisayar denetimi) ve GPO altyapısı için ayarlanan diğer parametreler (GPO ilkesinin - RsoP'nin ayarlanmasıyla sonuçlanacak) hakkında ayrıntılı bilgi almak için şu komutu girin:

Komutun 2 bölüme bölünmesinin sonuçları:

BİLGİSAYAR AYARLAR (Bilgisayar Yapılandırması) – bilgisayarda yüklü olan GPO nesneleri hakkında dağıtılmış bilgiler (Active Directory gibi);
KULLANICI AYARLAR - Koristuvach politikacısı (politikacılar fiziksel kayıt MS'de koristuvach).

GPResult ekranını etkileyebilecek ana parametreleri / bölümleri kısaca gözden geçirelim:

alanİsim(İm'ya site :) – Bilgisayarın bulunduğu İm'ya AD sitesi;
CN– RSoP verilerinin oluşturulduğu kurallı koristuvach/bilgisayarın dışında;
SonzamangrupPolitikaolduuygulamalı(Grup politikası durgunluğunu durdur) - grup politikası en son tetiklendiyse saat;
grupPolitikaolduuygulamalıitibaren(Grup ilkesi ayarlandı) - GPO'nun kalan sürümünün ayarlandığı etki alanı denetleyicisi;
İhtisasİsimve Etki Alanıtip(Etki alanı adı, etki alanı türü) – Active Directory etki alanı için bu şema sürümünün adı;
UygulamalıgrupPolitikanesneler(Zastosovanі grup ilkesi nesneleri)- Grup ilkesinin etkin nesnelerinin listeleri;
buTakip etmekGPO'lartoplarolumsuzlukuygulamalıÇünkükokuşmuştoplarfiltrelenmişdışarı(Gelişmiş GPO politikaları engellenmedi, pis kokular filtrelendi) - GPO'lar bloke edilmedi (ıslak filtre);
bukullanıcı/bilgisayardır-diraBölümile ilgilienTakip etmekgüvenlikgruplar(Koristuvach / bilgisayar saldırgan güvenlik gruplarının bir üyesidir) - alan grupları, bazı durumlarda koristuvach.

Popoda, koristuvach'ın nesnesinin 4 grup politikası olduğu açıktır.

Varsayılan Etki Alanı Politikası;
Windows Güvenlik Duvarını Etkinleştir;
DNS Son Eki Arama Listesi

Konsolun koristuvach politikacıları ve bilgisayarın politikacıları hakkındaki bilgileri aynı anda görüntülemesini istemiyorsanız, ek /scope seçeneği için sadece birkaç bölme girebilirsiniz, böylece tıklayabilirsiniz. . Sadece koristuvach'ın ortaya çıkan politikaları:

gpresult /r /scope:kullanıcı

veya yalnızca durağan bilgisayar politikaları:

gpresult /r /scope:bilgisayar

Çünkü Gpresult yardımcı programı, verilerinizi doğrudan konsolda görüntüler Komut satırı Daha fazla analiz için manuel olarak girmezseniz, panoyu panoya yönlendirebilirsiniz:

gpresult /r |klip

veya bir metin dosyası:

gpresult /r > c:\gpresult.txt

Ayrıntılı RSOP bilgilerini görüntülemek için /z tuşunu eklemeniz gerekir.

Yardım GPResult için HTML çağrısı RSOP

Ayrıca, GPResult yardımcı programı, ortaya çıkan ilke sonuçları için HTML çıktısı oluşturabilir (Windows 7 ve sonraki sürümlerde mevcuttur). Grup ilkeleri tarafından belirlenen tüm sistem parametreleri ve ayarlanan belirli GPO'ların adları hakkında kimden bilgi alacaksınız (yapıya göre ad, etki alanı grup ilkesi yönetim konsolundaki Ayarlar sekmesini tahmin edin - GPMC). Ek komutu kullanarak GPResult HTML çağrısı oluşturabilirsiniz:

GPResult /h c:\gp-report\report.html /f

Bir arama oluşturmak ve bunu bir tarayıcıda otomatik olarak açmak için şu komutu girin:

GPResult /h GPResult.html ve GPResult.html

HTML'de gpresult birçok temel bilgiyi alabilir: GPO kontrolünü, işlem saatini (ms cinsinden) ve belirli ilkelerin ve ÖAM'nin durmasını (Bilgisayar Ayrıntıları -> Bileşen Durumu dağıtımında) görebilirsiniz. Örneğin, ekran görüntüsünde 24 parola hatırlama politikasının Varsayılan Etki Alanı Politikası (Kazanan GPO) tarafından ayarlandığını görebilirsiniz. Gördüğünüz gibi, bu tür HTML, rsop.msc konsolunun altında engellenen ilkeleri analiz etmek için çok kullanışlıdır.

Uzak bir bilgisayardan GPResult verilerini alma

GPResult, uzak bir bilgisayardan veri toplayarak yöneticinin yerel veya RDP bilgisayar gerekirse uzak bilgisayarda oturum açmasına olanak tanır. Uzak bir bilgisayardan RSOP verilerini toplamak için komut formatı aşağıdaki gibidir:

GPResult /s sunucu-ts1 /r

Benzer bir sıralama ile, hem koristuvach politikacıları hem de bilgisayar politikacıları için veri çekebilirsiniz.

Koristuvach kullanıcı adı RSOP verisine sahip değil

UAC etkinleştirildiğinde, ayrıcalıklar vermeden GPResult'u başlatmak, grup ilkelerini bölmek yerine parametreleri görüntüler. Hakaretleri (KULLANICI AYARLARI ve BİLGİSAYAR AYARLARI) aynı anda görüntülemek gerekir, komut çalıştırılmalıdır. Kontrol sisteminin ayrıcalıklarına sahip bir komut satırı olarak, yardımcı program önde görünüyor BİLGİ:kullanıcı"ihtisas\ kullanıcı"yapmakolumsuzluksahip olmakRSOPveri ( Koristuvach "etki alanı\kullanıcı"ya izin verilmiyor (RSOP). GPResult'un coristuvacha, її çalışan, ale bilgilerini almaya çalıştığı gerçeğine. Bu koristuvach sisteme giriş yapmadı (oturum açma), yeni gün için RSOP bilgisi. Aktif bir oturumda oturum açtığınızda RSOP bilgilerini toplamak için fiziksel kaydınızı girmeniz gerekir:

gpresult /r /kullanıcı:tn\edward

Sigortalı kaydının adını bilmiyorsanız, rehin uzak bilgisayar, oblіkovy kaydı aşağıdaki gibi görüntülenebilir:

qwinsta /SUNUCU:uzakPC1

Ayrıca, istemcide saati (i) çevirin. Saat, PDC (Birincil Etki Alanı Denetleyicisi) saatinden sorumludur.

Saldıran GPO politikaları durgun değildi, pis kokular süzüldü

Grup ilkelerinde sorun giderirken varto ayrıca şu bölüme de dikkat edin: GPO geliştirme ilkeleri engellenmedi, bu nedenle pis koku filtrelendi. Bu bölüm, nesneye ulaşmamak için başka nedenler varsa, GPO'ların listesini görüntüler. Politikanın durduramayacağı olası seçenekler:

Ayrıca Etkin İzinler sekmesinde (Gelişmiş -> Etkili Erişim) belirli bir AD nesnesi ayarlamanın neden ilkenin hatası olduğunu anlayabilirsiniz.

Ayrıca, bu makalede, ek yardımcı program GPResult için grup ilkelerini teşhis etmenin özelliklerine baktık ve tipik senaryolara ve zaferlere baktık.

Windows'u kurarken, diğer satır alt sistemlerinin çoğu etkinleştirilmez veya geri yüklenmez. Güvenlik için Tse zrobleno z nedenleri. Sistem bir kilitle kilitli olduğu için sistem yöneticileri, sanki tüm fonksiyonlar üzerine yerleştirilmiş ve hiçbir şey yapılmamış gibi sistemin tasarımına odaklanabilirler. Gerekli işlevlerin etkinleştirilmesine yardımcı olmak için Windows, Sunucu Rolünü seçmenizi ister.

Roller

Sunucunun rolü - tse nabrіr programları, uygun şekilde kurulmuş ve yapılandırılmışsa yak, bilgisayarın merezhі'daki bir dizi koristuvachіv veya diğer bilgisayarlar için tek bir işlevi yerine getirmesine izin verir. Yabani vipadkahlarda tüm roller aynı özelliklere sahip olabilir.

Bilgisayarın bir ikame yöntemi olarak tanınan ana işlevi belirtirler. Bir rolü kazanmak için bilgisayarı tanımak mümkündür, çünkü teşebbüslerde yoğun bir şekilde kazanır, ancak birkaç rolü kazanmak için, derileri bir yıldızdan daha az zastosovuetsya olarak kabul edilebilir.
Roller, tüm kuruluştaki çalışanlara web siteleri, yazıcılar veya diğer bilgisayarlarda kayıtlı dosyalar gibi diğer bilgisayarlarda depolanan kaynaklara erişim sağlar.
Koku, bir coristuvacha veya bilgisayar içmek için chergs'in oluşturulduğu veya ağ coristuvachіv ve rol oynayan bilgisayarlar hakkında kayıtların kaydedildiği bir vlasnі veri tabanlarına benziyor. Örneğin, Active Directory Etki Alanı Hizmetleri, merezhі'daki bilgisayarların adlarını ve ebeveyn bağlantılarını toplamak için veritabanını tarar.
Doğru kurulumdan sonra bu rol ayarı otomatik olarak çalışacaktır. Kokunun yüklü olduğu bilgisayarların, koristuvach'ın saçaklı kaderinin sahibinin tanınmasını tanımasına izin verin.

Rol Hizmetleri

Rol hizmetleri, katılım için işlevsellik sağlayan programlardır. Kurulum saatinin altında, hizmetler işletmedeki diğer çalışanlara ve bilgisayarlara verilmiş gibi rol seçilebilir. DNS sunucusu gibi oyunculuk rolleri yalnızca bir işleve hizmet eder, dolayısıyla onlar için herhangi bir rol yoktur. Uzaktan çalışma tablolarının hizmetleri gibi diğer roller, bir uzaktan erişimde iş ihtiyaçları için bir nadas olarak kurulabileceğinden, bir dizi hizmete sahip olabilir. Rol, birbiriyle yakından ilişkili, birbirini tamamlayan rol hizmetlerinin bir toplamı olabilir. Çoğu zaman, bir rol belirlemek, bir veya daha fazla hizmet yüklemek anlamına gelir.

Bileşenler

Bileşenler - tse programları, rollerin aracı kısmı olmadan yakі є, ancak aynı zamanda tüm sunucunun chilkoh rollerinden birinin işlevlerini bağımsız olarak genişletir, yakі rolleri kurulur. Örneğin, "Zasіb vіdmovi klusterіv" bileşeni, Dosya Hizmetleri ve DHCP sunucusu gibi diğer rollerin işlevlerini genişleterek, üretkenlik ve üretkenlik artışını güvence altına alan sunucu kümelerine erişmelerine izin verir. Son bileşen - "Telnet İstemcisi" - bağlantı ağı aracılığıyla Telnet sunucusundan gelen uzak bağlantıları korur. Bu işlev, sunucunun bağlantısını genişletir.

Ana sunucu bileşenleri olarak Windows Server kullanılıyorsa, aşağıdaki sunucu rolleri desteklenir:

Active Directory Sertifika Hizmetleri;
Active Directory Etki Alanı Hizmetleri;
DHCP Sunucusu
Dns sunucusu;
dosya hizmetleri (zocrema dosya sunucusu kaynak yöneticisi);
Dizinlere kolay erişim için Active Directory hizmetleri;
hiper-V
diğer belgeler için hizmetler;
akışlı medya hizmetleri;
web sunucusu (ASP.NET'in Zokrema alt kümesi);
Windows Server güncelleme sunucusu;
Active Directory haklarına sahip keruvannya sunucusu;
yönlendirme sunucusu uzaktan erişim ve bu tür roller oynadı:
- hizmetleri uzaktan çalışma tablolarına bağlamak için aracı;
- lisanslama;
- sanallaştırma.

Windows Server, Sunucu Çekirdeği modunda çalışırken aşağıdaki sunucu bileşenleri desteklenir:

Microsoft .NET Framework 3.5;
Microsoft .NET Framework 4.5;
Windows PowerShell'i;
Arka Plan Akıllı Aktarım Hizmeti (BITS);
Bitlocker sürücü şifreleme;
kilit açma BitLocker'ı birleştirme;
Şube Önbelleği
veri işleme merkezi için yer;
Gelişmiş Depolama;
görsel kümeleme;
Çok Yollu G/Ç;
koşu bandının dengelenmesi;
PNRP protokolü;
qDalga;
perakende baskısının kaldırılması;
basit TCP/IP hizmetleri;
HTTP proxy üzerinden RPC;
SMTP sunucusu;
SNMP hizmeti;
Telnet istemcisi;
telnet sunucusu;
TFTP istemcisi;
Windows dahili veritabanı;
Windows PowerShell Web Erişimi;
Windows etkinleştirme hizmeti;
keruvannya'nın Windows hazineleriyle standardizasyonu;
IIS WinRM uzantısı;
WINS sunucusu;
WoW64'ü alt kırpın.

Sunucu Yöneticisinin yardımı için sunucu rollerini yükleme

Sunucu Yöneticisini eklemek için Yönet menüsünde Rol ve özellik Ekle'yi seçin:

Master, roller ve bileşenler eklemekten sorumludur. Sonraki

Kurulum Türü, Rol tabanlı veya özellik tabanlı kurulumu seçin. Sonraki:

Sunucu Seçimi - sunucumuz seçilir. Tisnemo Next Server Rolleri - Gerekirse rolleri seçin, rol hizmetlerini seçin ve bileşenleri seçmek için İleri düğmesine tıklayın. Prosedürün sonunda, Rol ve Bileşen Ekleme Meister'i, son sunucudaki çakışmalar hakkında sizi otomatik olarak bilgilendirecek, böylece seçilen roller veya bileşenlerden kurulu veya normal robotu kurabilirsiniz. Ayrıca, seçilen roller veya bileşenler için gerekli olan ek roller, rol hizmetleri ve bileşenler için bir istek vardır.

Rolleri PowerShell yardımının arkasına yükleme

Windows PowerShell'i açın Yerel sunucuda yüklü olan kullanılabilir roller ve özelliklerin listesini görüntülemek için Get-WindowsFeature komutunu girin. Bu cmdlet'in sonuçları, yüklenen ve yükleme için kullanılabilen roller ve bileşenler için komut adlarını arayacaktır.

Install-WindowsFeature (MAN) cmdlet'inin sözdizimini ve geçerli parametrelerini gözden geçirmek için Get-Help Install-WindowsFeature yazın.

Bir sonraki komutu girin (-Sunucuyu yeniden başlatmak için yeniden başlatın, bu, rolün yüklenme saatinin yeniden başlatılması gerektiği anlamına gelir).

Install-WindowsFeature -Name -Tekrar başlat

Roller ve rol hizmetlerinin tanımı

Tüm roller ve rol hizmetleri aşağıda açıklanmıştır. Uygulamamızda en yaygın olan Web Rolü ve Uzak Masaüstü Hizmetleri geliştirmelerinin genişletilmesine hayret ediyoruz.

IIS'nin ayrıntılı açıklaması

Ortak HTTP Özellikleri - Temel HTTP bileşenleri
- Varsayılan Belge - site için bir dizin sayfası yüklemenizi sağlar.
- Dizin Tarama - Hataların web sunucusundaki dizine göz atmasına izin verir. Dizinde görünen tüm dizinlerin ve dosyaların bir listesini otomatik olarak oluşturmak için Etiket Dizini Tarama, URL'ye bir dosya eklemezseniz, o dizin sayfası devre dışı bırakılır veya ayarlanmaz
- HTTP Hataları - tarayıcıda istemcilere gönderilen aflar hakkında uyarıları yapılandırmanıza olanak tanır.
- Statik İçerik - resimler veya html dosyaları gibi statik içeriği barındırmanıza olanak tanır.
- HTTP Yeniden Yönlendirme – istek isteklerinin yeniden yönlendirilmesini sağlar.
- WebDAV Publishing, HTTP protokolü üzerinden bir web sunucusundan dosya yayınlamanıza olanak tanır.
Sağlık ve Tanılama Özellikleri - Tanılama Bileşenleri
- HTTP Günlüğü, o sunucu için web sitesi etkinliği günlüğü sağlar.
- Özel Günlük Kaydı, geleneksel günlüklerde göründükleri gibi özel günlüklerin oluşturulmasını sağlar.
- Günlüğe Kaydetme Araçları, web sunucusunun günlüğe kaydedilmesi ve genel günlük kaydetme görevlerinin otomatikleştirilmesi için altyapı sağlar.
- ODBC Günlüğü, ODBC veritabanında web sunucusu etkinliğinin bir günlüğünü tutarak altyapının güvenliğini sağlar.
- İstek İzleyici, IIS iş akışında HTTP istekleri hakkında bilgi toplayacak şekilde izlemenin bir web durağı haline gelmesi için altyapı sağlar.
- İzleme, web hatalarını teşhis etmek ve düzeltmek için bir altyapı sağlar. Son aramaları izlemeye çalışırsanız, düzeltmenin önemli olduğunu kontrol edebilirsiniz, bu nedenle üretkenlik kötüdür veya kimlik doğrulama başarısız olur.
Web sunucusunun üretkenliğini artırmak için performans bileşenleri.
- Statik İçerik Sıkıştırma, HTTP yerine statik içerik ayarlamak için bir altyapı sağlar.
- Dinamik İçerik Sıkıştırma, dinamik içerik için HTTP sıkıştırmasını ayarlamak için altyapı sağlar.
Güvenlik bileşenleri
- İstek Filtreleme, tüm istekleri düzeltmenize ve bunları yönetici tarafından belirlenen kurallara göre filtrelemenize olanak tanır.
- Temel Kimlik Doğrulama, ek yetkilendirme ayarlamanıza olanak tanır
- Merkezi SSL Sertifika Desteği, bir sertifikayı genel bir dosya kaynağı olarak merkezi bir konumda kaydetmenize izin veren bir işlevdir.
- İstemci Sertifikası Eşleme Kimlik Doğrulaması
- Özet Kimlik Doğrulama, kök kimlik doğrulaması için Windows etki alanı denetleyicisine parola karmasını değiştirmek için bir yol kullanır. Üstün kimlik doğrulama alanında daha yüksek bir güvenliğe ihtiyacınız varsa, Orijinalliğin Gücü Özetine bir göz atın.
- IIS İstemci Sertifikası Eşleme Kimlik Doğrulaması Müşterinin sertifikası, orijinal dzherel'den düşülen dijital bir kimliktir.
- IP ve Etki Alanı Kısıtlamaları, istenen IP adresine veya etki alanı adına göre erişime izin vermenizi/kısıtlamanızı sağlar.
- URL Yetkilendirmesi, web içeriğine erişimi kısıtlayan kurallar oluşturmanıza olanak tanır.
- Windows Kimlik Doğrulaması Bu kimlik doğrulama şeması, Windows etki alanı yöneticilerinin kimlik doğrulama için etki alanı altyapısıyla kimlik doğrulaması yapmasına olanak tanır.
Uygulama Geliştirme Özellikleri
Ftp sunucusu
- FTP Hizmeti Bir web sunucusunda FTP yayınlamayı etkinleştirin.
- FTP Genişletilebilirliği
Yönetim araçları
- IIS Yönetim Konsolu, grafik arabirim aracılığıyla web sunucusunda gezinmenizi sağlayan bir IIS yöneticisi kurar
- IIS 6.0 Yönetim Uyumluluğu, program komut dosyalarının Yönetici Temel Nesnesi (ABO) ve Dizin Hizmet Arabirimi (ADSI) Active Directory API'sine karşı kazanması için doğrudan tutarlılık sağlar. IIS 8.0 web sunucusu tarafından temel IIS 6.0 komut dosyalarının hacklenmesine izin veriyor musunuz?
- IIS Yönetim Komut Dosyaları ve Araçları, komut satırı penceresindeki komutlar veya komut dosyalarını çalıştırarak programlı olarak IIS web sunucusu tarafından keruvannya için altyapı sağlar.
- Yönetim Hizmeti, IIS yöneticisinin çekirdek arabirimini kurmak için altyapı sağlar.

RDS'nin ayrıntılı açıklaması

Uzak Masaüstü Bağlantı Aracısı - Masaüstü bilgisayarların ve sanal masaüstlerinin oturumlarına dayalı olarak istemcinin programlara güvenli yeniden bağlanması.
Uzak Masaüstü Ağ Geçidi - Yetkili abonelerin sanal masaüstlerine, RemoteApp programlarına bağlanmasına ve masaüstü oturumları oluşturmasına izin verir Kurumsal veya internet üzerinden.
Uzak Masaüstü Lisansı
Uzak Masaüstü Oturum Ana Bilgisayarı - RemoteApp programlarını veya masaüstlerine dayalı bir oturumu barındırmak için sunucuyu açar.
Uzak Masaüstü Sanallaştırma Ana Bilgisayarı - sanal makinelerde RDP kurmanıza olanak tanır
Uzak Masaüstü Web Erişimi - Kullanıcıların Başlat menüsünü veya tarayıcının yardım menüsünü kullanarak masaüstü kaynaklarına bağlanmasına izin verir.

Terminal lisanslarının sunucusunun kurulumuna ve kurulumuna bakalım. Daha spesifik olarak, roller nasıl kurulur, RDS kurulumu diğer rollerin kurulumlarıyla çalışmaz, Role Servislerinden Uzak Masaüstü Lisansı ve Uzak Masaüstü Oturum Ana Bilgisayarını seçmemiz gerekir. Kurulumdan sonra, Sunucu Yöneticisi-Araçlarında Terminal Hizmetleri öğesi görünecektir. Terminal Hizmetlerinin iki noktası olabilir: robotları tanılamak ve uzak masaüstlerini lisanslamak için RD Lisans Tanılayıcı ve lisansları yönetmek için Uzak Masaüstü Lisanslama Yöneticisi.

RD Lisans Tanılayıcıyı Çalıştırın

Burada, uzak masaüstlerindeki oturum düğümünün sunucusu için lisanslama modu ayarlanmadığından, henüz kullanılabilir lisans olmadığından endişe duyuyoruz. Sunucu, yerel grup ilkelerinde lisanslanmıştır. Editörü başlatmak için gpedit.msc komutunu kullanabiliriz. Yerel grup ilkesinin düzenleyicisi kabul edildi. Zlіva rozkriёmo ağacında sekmeler var:

"Bilgisayar Yapılandırması"
"Yönetim Şablonları"
Windows Bileşenleri
Uzak Masaüstü Hizmetleri
Uzak Masaüstü Oturum Ana Bilgisayarı
lisanslama

Vіdcriєmo parametresi Belirtilen Uzak Masaüstü lisans sunucularını kullanın

Politikada parametrelerin düzenlenmesi durumunda, lisans sunucusu etkinleştirilir (Etkin). Ardından uzak masaüstü hizmeti için bir sunucu lisansı belirlememiz gerekecek. Popo sunucum aynı fiziksel sunucuda lisanslı. Lütfen lisans sunucusunun adını veya IP adresini belirtin ve Tamam'a basın. Sunucu adı nasıl değiştirilir, sunucu lisansları da aynı dağıtımı değiştirmeniz gerekir.

Bu konuda RD Licensing Diagnoser'da terminal lisanslarının sunucusundan bahsedilmediğini söyleyebilirsiniz. Başvuru için, Uzak Masaüstü Lisans Yöneticisi'ni başlatın

Etkinleştirilmedi durumundaki bir lisans sunucusu seçiyoruz. Etkinleştirmek için, yeni sağ fare düğmesine tıklayın ve Sunucuyu Etkinleştir'i seçin. Sunucu Aktivasyon Sihirbazı başlayacaktır. Bağlantı Yöntemi sekmesinde Otomatik Bağlantı'yı seçin. Bize kuruluş hakkında bilgi verdi, ardından lisans sunucusu etkinleştirildi.

Active Directory Sertifika Hizmetleri

AD CS, yazılım güvenlik sistemlerinde galip gelen, yani donanım anahtarı teknolojilerini yüklemek ve sertifikaları yönetmek için başarılı olan dijital sertifika sağlayıcılarının hizmetlerini sağlar. AD CS dijital sertifikaları, elektronik belgeleri ve hatırlamayı şifrelemek ve dijital olarak imzalamak için imzalanabilir. dijital sertifikalar bilgisayarların, coristing cihazlarının ve müştemilatların bulut kayıtlarının doğruluğunun doğrulanması için başvurulabilir.

ek şifreleme için gizlilik;
ek dijital imzalar için güç;
sertifikanın anahtarlarının bilgisayarların, koristuvachіv'in ve merezhі'daki müştemilatların bulut kayıtlarına ek olarak bağlanması için kimlik doğrulama.

AD CS, her iki hizmeti de geçerli bir özel anahtara ekleyerek bağlantılı bağlantının güvenliğini artırmak için saldırıya uğrayabilir. Zastosuvannya'dan önce, pіdtrimuvanih AD CS, İnternet posta standardına (S / MIME), güvenlik için güvenli zengin uzantıları girin dartsız merezhi, sanal özel güvenlik (VPN), IPsec protokolü, şifreli dosya sistemi (EFS), akıllı kart desteği, güvenli veri aktarım protokolü ve taşıma katmanı güvenlik protokolü (SSL/TLS) ve dijital imza.

Active Directory Etki Alanı Hizmetleri

Active Directory Etki Alanı Hizmetleri (AD DS) sunucu rolü, yedeklemeler ve kaynaklar için ölçeklenebilir, güvenli bir önbelleğe alınmış altyapı oluşturabilir; Ayrıca robota, örneğin dizinleri güncelleme gibi eklentiler de sağlayabilirsiniz. Microsoft değişimi sunucu. Active Directory Etki Alanı Hizmetleri, veri tabanının bir alt bölümünü dağıtır; burada kaynaklar ve katalogların alt bölümlerindeki veri ekleri ve ayrıca bilgilerin bakımı hakkında bilgileri kaydeder. AD DS'nin bağlı olduğu sunucuya etki alanı denetleyicisi denir. Yöneticiler, korist, bilgisayar ve diğer ekler gibi bir katmandaki öğeler gibi iç içe geçmiş yapıların hiyerarşisini düzenlemek için AD DS'de ince ayar yapabilir. Hiyerarşik yapı, Active Directory'yi, listedeki domainleri içerir ve organizasyon yapısı skin domain'e eklenmiştir. Orijinallik ve katalogdaki kaynaklara erişim denetimi açısından AD DS entegrasyonunun güvenlik özellikleri. Merezh'e tek bir giriş yardımı için yöneticiler, o organizasyonun kataloğuna merezh verilerini yönetebilir. Yetkili alacaklılar ayrıca kaynaklara erişim için krediye tek bir giriş, kredinin herhangi bir şehrinde roztoshovanih kazanabilirler. Active Directory Etki Alanı Hizmetleri size bu fırsatı sunar.

Bir dizi kural - katalogda saklanan nesnelerin ve niteliklerin sınıfını ve bu nesnelerin örneklerinin sınırlarını ve adlarının biçimini tanımlayan bir şema.
Kataloğun deri nesnesi hakkında bilgi bulmanın bir yolu olan global katalog. Koristuvachі ve yöneticiler, katalogdaki verileri bağımsız olarak aramak için global kataloğu vikoristovuvat edebilir, katalogdaki hangi alan, insanların şaka yaptığı verileri etkili bir şekilde arayabilir.
Zapitіv іndexuvannya, zavdjaki yakyu ob'єkti їh vlastivostі mekanizması yayınlanabilir ve znahoditsya merezhnymi koristuvachami ve dodatkami.
Çoğaltma hizmeti, ağ üzerinden kataloğa yak rozpodіlyaє verileri. Etki alanında yazılabilir tüm etki alanı denetleyicileri, çoğaltmada yer alır ve etki alanları için tüm dizin verilerinin tam bir kopyasını tutar. Be-yakі zmіni danih dizini, etki alanının tüm denetleyicilerinde etki alanında çoğaltılır.
İşlem yöneticisinin rolleri (tek bir yönetici veya FSMO ile gnuchka işlemi gibi). İşlem yöneticilerinin rollerini kontrol eden etki alanı denetleyicileri, veri uyumluluğunun güvenliği ve kataloglardan çakışan kayıtların hariç tutulması nedeniyle özel görevleri izlemek için tasarlanmıştır.

Active Directory Federasyon Hizmetleri

AD FS korumalı işletmelerde, federasyonun ortak kuruluşlarından veya bulutlu, kullanımı kolay ve güvenli federasyondan programlara erişmesi gereken son kullanıcılara AD FS verin ve Windows Server AD hizmetinin tek imzayı etkinleştirmesini sağlayın -on (SSO) hizmetleri. Marcii Da Dat'ı kontrol eder).

Active Directory Basit Dizin Hizmetleri

Active Directory Kolay Erişim Dizin Hizmetleri (AD LDS) - Active Directory Etki Alanı Hizmetlerinin bağımlılıkları ve etki alanıyla ilgili sınırları olmaksızın dizinlerle çalışan küçük bir programı koruyan aynı LDAP protokolü. AD LDS, sıradan veya yalıtılmış sunucularda çalıştırılabilir. Bir sunucuda, bağımsız olarak eşlenen şemalarla birkaç AD LDS örneği çalıştırabilirsiniz. AD LDS'nin rolüne ek olarak, tüm yerellik için tek bir şemaya dayanmadan ek katalog alt bölümleri, kablo bağlantısı olmayan etki alanı ve yerel veri hizmetleri için dizin hizmetleri sağlayabilirsiniz.

Active Directory Hak Yönetimi Hizmetleri

AD RMS, ek veri hakları yönetimi (IRM) için belge korumasını güvence altına alarak bir kuruluşta güvenliği artırmak üzere ince ayar yapılabilir. AD RMS, adli tıp görevlilerinin ve yöneticilerin ek IRM ilkeleri için belgelere, çalışma kitaplarına ve sunumlara erişim izni vermesine olanak tanır. Gizli bilgileri başka bir kişiden korumanıza, haklı değilmişsiniz gibi koristuvach'lar tarafından aşırıya kaçarak veya kopyalayarak korumanıza izin verir. Bundan sonra, IRM yardımı için IRM dosya paylaşımına izin verildiğinden, o kaynağa erişimin paylaşımı bilgi dağıtımında bağımsız olacağından, dosyaların belge dosyasının kendisinde kaydedilmesine izin verildi. AD RMS ve IRM'nin yardımı için okremі koristuvachі, özel ve gizli verileri aktarabilir. Ayrıca, mahremiyet ve gizlilik ve özel bildirimlerin yönetimi için kuruluşa bir kurumsal politika oluşturma konusunda da yardımcı olacaklardır. AD RMS'yi desteklemek gibi IRM çözümleri, saldırgan fırsatları güvence altına almak için başarılıdır.

Zaferin Postiyni siyaseti, yakі zalyshayutsya s іnformatsiєyu bağımsız olarak hareket etme, aşırı güç verme veya aşırı güç verme şeklinde.
Gizli verilerin korunması için ek gizlilik koruması - örneğin bilgiler, ürün özellikleri, müşterilerle ilgili bilgiler ve e-posta bildirimi - doğrudan veya dolaylı olarak yanlış ellere geçmesi durumunda.
Yetkili sahipleri arasında yetkisiz aktarım, kopyalama, düzenleme, kopyalama, faks gönderme veya yerleştirmenin önlenmesi.
Zapobіgannya kopiyuvannya obzhuvannya, Microsoft Windows'ta ek işlev PRINT SCREEN ile birlikte.
Belirtilen sürenin bitiminden sonra belgelerin incelenmesine yardımcı olacak olan dosyaya terim desteği.
Kurumsal politikaların uygulanması, organizasyonda zaferlerin ve rozpovsudzhennyamın birlikte nasıl yönetileceği

Uygulama sunucusu

Yazılım sunucusu, sunucu bazında iş uygulamalarının geliştirilmesi ve geliştirilmesi için entegre bir ortam sağlar.

DHCP Sunucusu

DHCP, DHCP sunucularının bilgisayarlara ve DHCP istemcisi olan diğer eklere kiralanan IP adresleri olarak tanınabileceği bir "istemci-sunucu" teknolojisidir. IPv4 ve IPv6 mevcut IP adreslerine ve bu istemciler ve eklentiler tarafından gereken ek yapılandırma parametrelerine dayalıdır. Windows Server'daki DHCP Sunucusu hizmeti, ilke tabanlı işlemenin DHCP protokolüne atanmasını sağlar.

Dns sunucusu

DNS hizmeti, bir IP adresi gibi farklı veri türleriyle DNS alan adlarını ayarlamak için kullanılan ayrı bir veri tabanıdır. DNS hizmeti, TCP/IP protokolüne dayalı bilgisayarları ve diğer kaynakları bulmayı kolaylaştırmak için www.microsoft.com gibi joker adlara izin verir. Windows Server DNS hizmeti, en az ve otomatik keruvane parametrelerinde kayıt dahil olmak üzere DNS Güvenlik Modüllerinde (DNSSEC) gelişmiş bir geliştirme sağlar.

FAKS Sunucusu

Faks sunucusu, faksların üstesinden gelir ve faksları kabul eder ve ayrıca faks sunucusunda kurulum, ayarlama, arama ve faks ekleri gibi faks kaynaklarını kullanma yeteneği verir.

Dosya ve Depolama Hizmetleri

Yöneticiler, bu mağazalar için bir dosya sunucuları dizini kurmak ve bir sunucu yöneticisi veya Windows PowerShell yardımıyla bu sunucuları yönetmek için "Dosya Hizmetleri ve Galeri Hizmetleri" rolünü kazanabilir. Bazı özel programlar bu tür işlevleri içerir.

Çalışma klasörleri. Vykoristovuvati, koristuvachas'ın çalışma dosyalarını kaydetmesine ve özel bilgisayarlarda ve eklerde, kurumsal bilgisayarlarda bunlara erişmesine izin vermek için. Koristuvachі otrimuyut daha iyi bir yerçalışma dosyalarını kaydetmek ve bunlara herhangi bir yerden erişmek için. Kuruluşlar kurumsal verileri kontrol eder, dosyaları merkezi olarak önbelleğe alınmış dosya sunucularında depolar ve isteğe bağlı uzantılar için politikalar belirler (şifreleme ve ekran engelleme parolaları gibi).
Veri tekilleştirme. Azaltma için zafer, dosyaları kaydetmek için bir disk alanına kadar olabilir ve koleksiyonlar için para tasarrufu sağlayabilir.
iSCSI sunucusu. Veri depolama ağlarında (SAN) merkezi, yazılım ve donanımdan bağımsız iSCSI disk alt sistemlerinin oluşturulması için Vykoristovuvaty.
Disk alanı. Yüksek düzeyde kullanılabilirlik, vіdmovostіykim ve rahunok zastosuvannya ekonomіchnyh galeride standart diskler için ölçeklendirme ile razgortannya shovishcha için Vykoristovuvaty.
Sunucu Yöneticisi. için zafer uzaktan bakım Dekilkoma dosya sunucuları bir haftadan itibaren.
Windows PowerShell'i. Dosya sunucularının yönetiminin daha fazla yöneticinin bakımını otomatikleştirmek için Vykoristovuvaty.

hiper-V

Hyper-V'nin rolü, Windows Server'da tanıtılan ek sanallaştırma teknolojisi için bir sanallaştırma ortamı oluşturmanıza ve bununla ilgilenmenize olanak tanır. Hyper-V rolünün kurulum saatinin altında, gerekli bileşenlerin yanı sıra neobov'yazhkovyh zabov_v keruvannya'nın kurulumu. Gerekli bileşenler arasında Windows düşük seviyeli kabuk, Hyper-V sanal makine yedekleme hizmeti, WMI sanallaştırma postacısı ve VMbus veri yolu, sanallaştırma hizmeti postacısı (VSP) ve sanal altyapı sürücüsü (VID) gibi sanallaştırma bileşenleri bulunur.

Ağ Politikası ve Erişim Hizmetleri

Sınır ve erişim hizmetleri, sınıra bağlantı için aşağıdaki çözümü sağlar:

Sınıra erişimi güvence altına almak, müşterinin gizlilik politikasını kurma, temel stoklama ve düzeltme teknolojisidir. Sisteme erişimin ek koruması için sistem yöneticileri, etkinleştirecek olan gizlilik politikasını ayarlayabilir ve otomatik olarak durdurabilir. yazılım, güvenlik sistemi ve diğer parametreler için güncelleme. Gizlilik ilkesine uygun olmayan istemci bilgisayarlar için, yapılandırma yuvalarının gizlilik ilkesine yükseltilmemesi koşuluyla erişimi kısıtlayabilirsiniz.
sıcak nokta gibi jetsiz erişim 802.1X desteğiyle, daha güvenli, daha düşük parola tabanlı kimlik doğrulama olan sertifika tabanlı kimlik doğrulama yöntemlerini dağıtmak için bir Ağ İlkesi Sunucusu (NPS) kazanabilirsiniz. NPS sunucusundan 802.1X desteği, pis koku ağa bağlanmadan veya DHCP sunucusundan IP adresini almadan önce dahili ağın kimlik doğrulamasını güvenceye almanızı sağlar.
Alternatif olarak, cilt erişim sunucusunda sınıra erişim politikasını sınıra ayarlamak için, sınıra bağlantıya olan bağlantının tüm yönlerinin atanacağı (eğer bağlanabiliyorsa kimlerin bağlanabileceği) tüm politikaları merkezi olarak oluşturabilirsiniz. ölçülü olarak izin verilir).

Baskı ve Belge Hizmetleri

Birbirine yönelik hizmetler ve belgeler, sunucunun yönetimini birbirine ve bağlı yazıcıya merkezileştirmenize olanak tanır. Bu rol ayrıca, sınır ötesi tarayıcılardan belgeleri taramanıza ve belgeleri küresel kaynaklara, bir Windows SharePoint Services sitesine veya e-posta.

uzaktan erişim

Sunucunun uzaktan erişimdeki rolü, uzaktan erişim için mantıksal bir gelişmiş teknolojiler grubudur.

Doğrudan Erişim
Yönlendirme ve uzaktan erişim
Web Proxy Sunucusu

Qi teknolojisi rol hizmetleri uzaktan erişim için sunucu rolleri. Uzaktan erişimde sunucu rolünü yükleme saatinin altında, o bileşene rol ekleme yöneticisini çalıştırarak bir veya daha fazla rol hizmeti yükleyebilirsiniz.

Windows Server'da, Uzaktan Erişim Sunucusu rolü, DirectAccess Uzaktan Erişim Hizmetleri ve VPN, Yönlendirme ve Uzaktan Erişim Hizmetleri'ni (RRAS) ayarlayarak ve koruyarak merkezi yönetim yeteneği sağlar. DirectAccess ve RRAS, tek bir kordon sunucusuna dağıtılabilir ve bunlar tarafından ek Windows PowerShell komutları ve uzaktan erişim için barındırılan bir konsol (MMC) için çalıştırılabilir.

Uzak Masaüstü Hizmetleri

Uzak çalışma masalarının hizmetleri, çalışma masalarının boğazının genişlemesini ve herhangi bir ek binaya yapılan eklemeleri hızlandıracak, uzak bir uygulayıcının verimliliğini artıracak, aynı zamanda kritik öneme sahip entelektüel nemin güvenliğini sağlayacak ve standardı basitleştirecektir. Uzak masaüstü hizmetleri, size çalışma esnekliği sağlayan Sanal Masaüstü Altyapısı (VDI), oturum tabanlı masaüstleri ve programları içerir.

Toplu Aktivasyon Hizmetleri

Kurumsal Lisans Etkinleştirme Servisleri - Microsoft güvenlik yazılımında kurumsal lisansların otomatikleştirilmesine ve serbest bırakılmasına ve ayrıca bu tür lisansların çeşitli senaryolarda ve ortamlarda korunmasına izin verdiğinden, Windows Server 2012'den başlayarak Windows Server'da bir sunucunun rolü. Hizmetin anahtarlarla (KMS) yapılandırılması ve Active Directory yardımı için etkinleştirme gibi bir dizi kurumsal lisans etkinleştirme hizmeti yükleyebilirsiniz.

Web Sunucusu (IIS)

Windows Server'daki Web Sunucusu (IIS) rolü, Web sitelerini, hizmetleri ve yazılımları barındırmak için bir platform sağlar. Web sunucusunun dul eşi, internetteki muhabirler için dahili ve ekstra boyutlardaki bilgilere erişim sağlar. Yöneticiler, bir dizi web sitesini, web barındırıcısını ve FTP sitesini kurmak ve yönetmek için Web Sunucusu (IIS) rolünü kazanabilir. Bu şekilde girmek için özel fırsatlar.

IIS bileşenlerini ayarlamak ve web sitelerini yönetmek için IIS yöneticisi sihirbazı.
Web sitesi sahiplerinin dosyaları geçersiz kılmasına ve yakalamasına izin vermek için FTP protokolünü kullanma.
Vykoristannya zabіgannya vpliv için web sitelerini izole ediyor іnshі'daki sunucuda bir web sitesi.
Web zastosunkiv, razroblenyh z vikoristannym Klasik ASP, ASP.NET ve PHP gibi farklı teknolojilerin uygulanması.
Yerel web sunucusu yöneticisinin otomatik olarak ele geçirilmesi için Windows PowerShell hack.
IIS'ye yardımcı olmak için kullanılabilecek bir dizi web sunucusunun bir sunucu grubunda konsolidasyonu.

Windows Dağıtım Hizmetleri

Windows Dağıtım Hizmetleri, Windows işletim sistemini sınırın ötesine açmanıza olanak tanır; bu, dış görünüm işletim sistemini doğrudan bir CD-ROM DVD'sinden yükleyemeyeceğiniz anlamına gelir.

Windows Server Essentials Deneyimi

Bu rol, aşağıdaki görevleri oynamanıza izin verir:

sunucunun ve kuruluştaki tüm istemci bilgisayarların yedek kopyalarını oluşturarak sunucu ve istemci verilerini korumak;
keruvati koristuvachami ve koristuvachіv grupları basit bir sunucu izleme paneli aracılığıyla. Ayrıca, Windows Azure Active Directory ile entegrasyon, etki alanına ek bulut verileri için Microsoft Online Services'a (örneğin, Office 365, Exchange Online ve SharePoint Online) kolay erişim sağlayacaktır;
merkezi belediyeden alınan makbuz verilerini kaydedin;
Sunucuyu Microsoft Online Services ile tümleştirin (örneğin, Office 365, Exchange Online, SharePoint Online ve Windows Intune):
sunucuya, bilgisayarlara ve uzak dağıtımdaki verilere yüksek düzeyde güvenlikle erişim için evrensel erişim işlevlerini (örneğin, uzak web erişimi ve sanal özel ağlar) sunucuda kazanın;
herhangi bir zamanda ve herhangi bir zamanda verilere erişimi sınırlamak için yardım için kuruluşun kendi web portalına ekleyeceğim (uzaktan bir web erişiminden yardım için);
kuruluşun elektronik postasına erişimi olan mobil eklerle Yardım Ofisi 365, izleme panelinden Active Sync protokolü aracılığıyla;
önlemin uygulanabilirliğini kontrol edin ve havasında olduğunuz pratiklik hakkında notlar alın; Yardım çağırabilir, şarkı söyleme takıntılarını elektronik yollarla güçlendirebilirsiniz.

Windows Sunucu Güncelleme Hizmetleri

WSUS sunucusu, yöneticilerin konsol konsolu aracılığıyla güncellemeleri ve güncellemeleri işlemesi için gerekli bileşenleri sağlar. Ayrıca, WSUS sunucusunun kuruluştaki diğer WSUS sunucularını yükseltmesi gerekebilir. Tek bir WSUS sunucusu isteyen birden çok WSUS uygulamasının, mevcut güncellemeler hakkında bilgi almak için Microsoft Güncelleme Merkezi ile bağlantıları olabilir. Ağın güvenliğine ve yapılandırmasına bağlı olarak, yönetici, Microsoft Güncelleme Merkezi'ne doğrudan bağlı olan diğer sunucu sayısını belirleyebilir.