Дайте подробное описание политики сервера в отношении. Команда GPResult: диагностика результирующих групповых политик

Привет. Не можешь самостоятельно зарегистрировать себе аккаунт?
пишите в лс - vk.com/watsonshit
- Регистрируем аккаунты на заказ.
- Помогаем с 1 и 2 этапом UCP.
- Быстрое и качественное обслуживание.
- Гарантии, отзывы. За безопасность отвечаем.
- Абсолютно разные сервера с UCP регистрацией.
Pacific Coast Project - SW Project и т.п.

Не нашли ответ на вопрос?Пишите в комментарии ответ выдам.

) Для чего предназначен OOC чат?
- 1) Это чат который не влияет на игровой процесс.

2) Что подразумевается под термином ролевая игра?
- 2) Ролевая игра это вид игры в которой нужно отыгрывать выбранную мною роль.

3) Если какая либо ситуация складывается не в вашу пользу (убийство/грабеж). Ваши действия?
- 2) Продолжу играть не смотря ни на что.

2) Вы получили деньги от читера, что вы будете делать?
- 4) Сообщу администрации сервера, отпишусь в специальную тему и солью деньги в /charity.

3) Вы имеете право убить офицера полиции?
- 1) Конечно, я могу убить офицера полиции, только если у меня есть веская причина.

1) Разрешено ли проводить проезд мимо с водительского места?
- 4) Нет, такие действия запрещены правилами сервера.

4) Разрешены ли ники знаменитостей и героев фильмов/сериалов/мультфильмов?
- 3) Нет, запрещены.

5) Во время перестрелки технически убили троих персонажей, но спустя некоторое время эти же самые персонажи уже снова играли свои роли. К какому типу убийств это относится?
- 2) Player Kill.

7) В вас стреляют, но вы не хотите умирать, и поэтому...
- 4) Вы попытаетесь убежать и выжить ролевым путём.

2) Имеете ли вы право пользоваться Bunny-Hop"ом?
- 3) Да, я имею право им пользоваться если я никому не мешаю.

7) Что вы сделаете, если у вас есть предложение по развитию сервера?
- 3) Напишу об этом в соответствующем разделе на форуме.

3) Является ли обязательным отписывать действия при использовании малогабаритного оружия?
- 4) Нет.

2) Вы впервые на сервере и совсем не знаете команд, что вы будете делать?
- 3) Задам вопрос администрации командой /askq, затем дождусь ответа.

3) Для чего предназначена команда /coin?
- для решений всех спорных ситуаций

1) Что такое Metagaming?
- 2) Это использование внеролевой информации при отыгрывании роли.

6) Игрок, чей персонаж был технически убит во время перестрелки, решил отомстить обидчикам и без всяких ролевых причин убил одного из оппонентов. Какие нарушения здесь со стороны игрока?
- 3) Revenge kill.

10) Разрешёно ли пополнять количество здоровья во время драки\перестрелки?
- 4) Нет.

8) Разрешён ли огонь по сотрудникам LSPD и чем он чреват?
- 4) Да, обыкновенная перестрелка заканчивается ПК для обеих сторон. В случае если это кейс-файл или же рейд, полиции выдаётся PK, а преступникам СК.

6) Какая максимальная сумма для ограбления, которая не требует проверок администрации?
- 1) $500

9) Какие языки можно использовать на нашем сервере?
- 1) Русский.

7) После долгой и тщательной подготовки, киллер выполнил заказ - он убил. План был просчитан до мелочей, в следствии этого заказчик щедро заплатил. Что в этом случае засчитывается жертве?
- 1) Character Kill.

9) Разрешён ли угон правительственных автомобилей?
- 2) Да, но необходимо предварительно спросить у администратора, а так же действовать согласно 9 пункту игровых правил.

8) В каких случаях вы можете отыгрывать сексуальное насилие и жестокость?
- 2) Сексуальное насилие и жестокость можно играть только при согласии всех лиц участвующих в РП.

10) Что нужно делать, если вы считаете, что игра идёт не по правилам?
- 1) Написать в /report, в случае если администратор отсутствует - написать жалобу на форуме.

7) Сколько наигранных часов должно быть у игрока для того, чтобы его можно было ограбить?
- 3) 8 часов.

8) Укажите правильное использование команды /coin. После:
- me остановил дыхание, и нанёс удар по мячу, пытаясь закинуть его в лунку.

8) Укажите правильное использования команды /me:
- /me широко улыбнулся, смотря прямо в глаза Линды. Подошёл поближе, за тем аккуратно приобнял её.

ПРОДАЖА ВИРТУАЛЬНОЙ ВАЛЮТА НА СЕРВЕРАХ PACIFIC COAST PROJECT И GRINCH ROLE PLAY.
ВСЯ ИНФОРМАЦИЯ В ГРУППЕ!
vk.com/virtongarant

При установке Windows большая часть второстепенных подсистем не активируется или не устанавливается. Это сделано по причинам безопасности. Поскольку система по умолчанию защищена, системные администраторы могут сосредоточиться на проектировании системы, которая будет выполнять исключительно возложенные на нее функции и ничего лишнего. Для помощи при включении нужных функций, Windows предлагает выбрать роль сервера (Server Role).

Роли

Роль сервера - это набор программ, которые при правильной установке и настройке позволяют компьютеру выполнять определенную функцию для нескольких пользователей или других компьютеров в сети. В общих случаях все роли имеют следующие характеристики.

• Они определяют основную функцию, назначение или цель использования компьютера. Можно назначить компьютер для выполнения одной роли, которая интенсивно используется на предприятии, или для выполнения нескольких ролей, если каждая из них применяется лишь изредка.
• Роли предоставляют пользователям во всей организации доступ к ресурсам, которые управляются другими компьютерами, таким как веб-сайты, принтеры или файлы, хранящиеся на разных компьютерах.
• Они обычно имеют собственные базы данных, в которых создаются очереди запросов пользователя или компьютера либо записываются сведения о сетевых пользователях и компьютерах, имеющих отношение к роли. Например, Службы домена Active Directory содержат базу данных для хранения имен и иерархических связей всех компьютеров в сети.
• После правильной установки и настройки роли функционируют автоматически. Это позволяет компьютерам, на которых они установлены, выполнять назначенные задачи при ограниченном участии пользователя.

Службы ролей

Службы ролей - это программы, которые обеспечивают функциональные возможности роли. При установке роли можно выбрать, какие службы она предоставляет другим пользователям и компьютерам на предприятии. Некоторые роли, такие как DNS-сервер, выполняют только одну функцию, поэтому для них нет служб ролей. Другие роли, такие как службы удаленных рабочих столов, имеют несколько служб, которые можно установить в зависимости от потребностей предприятия в удаленном доступе. Роль можно рассматривать как совокупность тесно связанных, взаимодополняющих служб ролей. В большинстве случаев установка роли означает установку одной или нескольких ее служб.

Компоненты

Компоненты - это программы, которые не являются непосредственно частями ролей, но поддерживают или расширяют функции одной или нескольких ролей либо целого сервера независимо от того, какие роли установлены. Например, компонент «Средство отказоустойчивости кластеров» расширяет функции других ролей, таких как Файловые службы и DHCP-сервер, позволяя им присоединяться к серверным кластерам, что обеспечивает повышенную избыточность и производительность. Другой компонент - «Клиент Telnet» - обеспечивает удаленную связь с сервером Telnet через сетевое подключение. Эта функция расширяет возможности связи для сервера.

Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие роли сервера:

• службы сертификатов Active Directory;
• доменные службы Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файловые службы (в том числе диспетчер ресурсов файлового сервера);
• службы Active Directory облегченного доступа к каталогам;
• Hyper-V;
• службы печати и документов;
• службы потокового мультимедиа;
• веб-сервер (в том числе подмножество ASP.NET);
• сервер обновления Windows Server;
• сервер управления правами Active Directory;
• сервер маршрутизации и удаленного доступа и следующие подчиненные роли:
  • посредник подключений служб удаленных рабочих столов;
  • лицензирование;
  • виртуализация.

Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие компоненты сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фоновая интеллектуальная служба передачи (BITS);
• шифрование диска BitLocker;
• сетевая разблокировка BitLocker;
• BranchCache
• мост для центра обработки данных;
• Enhanced Storage;
• отказоустойчивая кластеризация;
• Multipath I/O;
• балансировка сетевой нагрузки;
• протокол PNRP;
• qWave;
• удаленное разностное сжатие;
• простые службы TCP/IP;
• RPC через HTTP-прокси;
• сервер SMTP;
• служба SNMP;
• клиент Telnet;
• сервер Telnet;
• клиент TFTP;
• внутренняя база данных Windows;
• Windows PowerShell Web Access;
• служба активации Windows;
• стандартизированное управление хранилищами Windows;
• расширение IIS WinRM;
• WINS-сервер;
• поддержка WoW64.

Установка ролей сервера с помощью Server Manager

Для добавления открываем Server Manager, и в меню Manage жмем Add Roles and features:

Откроется мастер добавления ролей и компонентов. Жмем Next

Installation Type, выбираем Role-based or feature-based installation. Next:

Server Selection - выбираем наш сервер. Жмем Next Server Roles - Выберите роли, если необходимо, выберите службы ролей и нажмите кнопку Next, чтобы выбрать компоненты. В ходе этой процедуры Мастер добавления ролей и компонентов автоматически информирует о возникших конфликтах на конечном сервере, которые могут помешать установке или нормальной работе выбранных ролей или компонентов. Также появляется запрос на добавление ролей, служб ролей и компонентов, необходимых для выбранных ролей или компонентов.

Установка ролей с помощью PowerShell

Открываем Windows PowerShell Вводим команду Get-WindowsFeature, чтобы просмотреть список доступных и установленных ролей и компонентов на локальном сервере. Результаты выполнения этого командлета содержат имена команд для ролей и компонентов, установленных и доступных для установки.

Введите Get-Help Install-WindowsFeature для просмотра синтаксиса и допустимых параметров командлета Install-WindowsFeature (MAN).

Вводим следующую команду (-Restart перезагрузит сервер, если при установке роли требуется перезагрузка).

Install-WindowsFeature –Name -Restart

Описание ролей и служб ролей

Ниже описаны все роли и службы ролей. Расширенную настройку посмотрим для самых часто встречающихся в нашей практике Web Server Role и Remote Desktop Services

Подробное описание IIS

• Common HTTP Features - Основные HTTP компоненты
  • Default Document - позволяет устанавливать индексную страницу у сайта.
  • Directory Browsing - позволяет пользователям видеть содержимое каталога на веб-сервере. Используйте Directory Browsing для того, чтобы автоматически сгенерировать список всех каталогов и файлов, имеющихся в каталоге, когда пользователи не указывают файл в URL-адресе и индексная страница отключена или не настроена
  • HTTP Errors - позволяет настроить сообщения об ошибках, возвращаемых клиентам в браузере.
  • Static Content - позволяет размещать статический контент, например, картинки или html-файлы.
  • HTTP Redirection - обеспечивает поддержку перенаправления запросов пользователей.
  • WebDAV Publishing позволяет публиковать файлы с веб-сервера с помощью протокола HTTP.
• Health and Diagnostics Features - Компоненты диагностики
  • HTTP Logging обеспечивает ведение журнала активности веб-сайта для данного сервера.
  • Custom Logging обеспечивает поддержку создания кастомных логов, которые отличаются от “традиционных” журналов.
  • Logging Tools обеспечивает инфраструктуру для управления журналами веб-сервера и автоматизации общих задач ведения журнала.
  • ODBC Logging обеспечивает инфраструктуру, которая поддерживает ведение журнала активности веб-сервера в ODBC-совместимой базе данных.
  • Request Monitor предоставляет инфраструктуру для мониторинга состояния веб-приложений путем сбора информации о HTTP-запросах в рабочем процессе IIS.
  • Tracing предоставляет инфраструктуру для диагностики и устранения неполадок веб-приложений. При использовании трассировки неудачных запросов, вы можете отследить трудно-фиксируемые события, такие как плохая производительность или сбои аутентификации.
• Performance компоненты увеличения производительности веб-сервера.
  • Static Content Compression предоставляет инфраструктуру для настройки HTTP-сжатия статического содержимого
  • Dynamic Content Compression предоставляет инфраструктуру для настройки HTTP-сжатия динамического содержимого.
• Security компоненты безопасности
  • Request Filtering позволяет фиксировать все входящие запросы и фильтровать их на основании правил, установленных администратором.
  • Basic Authentication позволяет установить дополнительную авторизацию
  • Centralized SSL Certificate Support это функция, которая позволяет хранить сертификаты в централизованном месте, как общий файловый ресурс.
  • Client Certificate Mapping Authentication использует клиентские сертификаты для аутентификации пользователей.
  • Digest Authentication работает путем отправки хэша пароля в контроллер домена Windows, для аутентификации пользователей. Если вам необходимо более высокий уровень безопасности по сравнению с обычной проверкой подлинности, рассмотрите вопрос об использовании проверки подлинности Digest
  • IIS Client Certificate Mapping Authentication использует клиентские сертификаты для аутентификации пользователей. Сертификат клиента представляет собой цифровой ID, полученный из надежного источника.
  • IP and Domain Restrictions позволяет разрешать/запрещать доступ на основе запрашиваемого Ip-адреса или доменного имени.
  • URL Authorization позволяет создавать правила, ограничивающие доступ к веб-контенту.
  • Windows Authentication Эта схема аутентификации позволяет администраторам домена Windows пользоваться преимуществами доменной инфраструктуры для аутентификации пользователей.
• Application Development Features компоненты разработки приложений
• FTP Server
  • FTP Service Включает FTP публикации на веб-сервере.
  • FTP Extensibility Включает поддержку FTP функций, расширяющих возможности
• Management Tools инструменты управления
  • IIS Management Console устанавливает диспетчер IIS, который позволяет управлять Веб-сервером через графический интерфейс
  • IIS 6.0 Management Compatibility обеспечивает прямую совместимость для приложений и сценариев, которые используют Admin Base Object (ABO) и интерфейса службы каталогов (ADSI) API Active Directory. Это позволяет использовать существующие сценарии IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools предоставляют инфраструктуру для управления веб-сервером IIS программно, с помощью команд в окне командной строки или с помощью запуска сценариев.
  • Management Service предоставляет инфраструктуру для настройки интерфейса пользователя, диспетчера IIS.

Подробное описание RDS

• Remote Desktop Connection Broker - Обеспечивает повторное подключение клиентского устройства к программам, на основе сеансов настольных компьютеров и виртуальных рабочих столов.
• Remote Desktop Gateway - Позволяет авторизованным пользователям подключаться к виртуальным рабочим столам, программам RemoteApp и основанных на сессиях рабочим столам в корпоративной сети или через Интернет.
• Remote Desktop Licensing - Средство управления лицензиями RDP
• Remote Desktop Session Host - Включает сервер для размещения программ RemoteApp или сеанса на основе рабочих столов.
• Remote Desktop Virtualization Host - позволяет настраивать RDP на виртуальных машинах
• Remote Desktop WebAccess - Позволяет пользователям подключаться к ресурсам рабочего стола с помощью меню Пуск или веб-браузера.

Рассмотрим установку и настройку сервера терминальных лицензий. Выше рассказано как устанавливать роли, установка RDS не отличается от установки других ролей, в Role Services нам потребуется выбрать Remote Desktop Licensing и Remote Desktop Session Host. После установки в Server Manager-Tools появится пункт Terminal Services. В Terminal Services есть два пункта RD Licensing Diagnoser, это средство диагностики работы лицензирования удаленных рабочих столов, и Remote Desktop Licensing Manager, это средство управления лицензиями.

Запустим RD Licensing Diagnoser

Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Сервер лицензирования указывается в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc. Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:

• «Конфигурация компьютера» (Computer Configuration)
• «Административные шаблоны» (Administrative Templates)
• «Компоненты Windows» (Windows Components)
• «Службы удаленных рабочих столов» (Remote Desktop Services)
• «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host)
• «Лицензирование» (Licensing)

Откроем параметры Use the specified Remote Desktop license servers

В окне редактирования параметров политики включаем сервер лицензирования (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем OK. Если в дальнейшем будет изменяться имя сервера, сервер лицензий, то потребуется изменить в этом же разделе.

После этого в RD Licensing Diagnoser можно увидеть, что сервер терминальных лицензий настроен, но не включен. Для включения запускаем Remote Desktop Licensing Manager

Выбираем сервер лицензирования, со статусом Not Activated . Для активации кликаем по нему правой кнопкой мыши и выбираем Activate Server. Запустится Мастер активации сервера. На вкладке Connection Method выбираем Automatic Connection. Далее заполняем информация об организации, после этого сервер лицензий активирован.

Active Directory Certificate Services

Службы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами. Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:

• конфиденциальности с помощью шифрования;
• целостности с помощью цифровых подписей;
• проверки подлинности с помощью привязывания ключей сертификата к учетным записям компьютеров, пользователей и устройств в сети.

AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи.

Active Directory Domain Services

Используя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server. Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Доменные службы Active Directory предоставляют следующие дополнительные возможности.

• Набор правил - схема, определяющая классы объектов и атрибуты, которые содержатся в каталоге, ограничения и пределы для экземпляров этих объектов, а также формат их имен.
• Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Пользователи и администраторы могут использовать глобальный каталог для поиска данных каталога независимо от того, какой домен в каталоге действительно содержит искомые данные.
• Механизм запросов и индексирования, благодаря которому объекты и их свойства могут публиковаться и находиться сетевыми пользователями и приложениями.
• Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена, доступные для записи в домене, участвуют в репликации и содержат полную копию всех данных каталога для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.
• Роли хозяев операций (известные также как гибкие операции с единым хозяином, или FSMO). Контроллеры доменов, исполняющие роли хозяев операций, предназначены для выполнения специальных задач по обеспечению согласованности данных и исключению конфликтующих записей в каталоге.

Active Directory Federation Services

AD FS предоставляют конечным пользователям, которым требуется доступ к приложениям на защищенном с помощью AD FS предприятии, в партнерских организациях федерации или в облаке, возможности упрощенной и безопасной федерации удостоверений и веб-службы единого входа (SSO) В Windows Server AD FS включают службу роли службы федерации, действующую в качестве поставщика удостоверений (выполняет проверку подлинности пользователей для предоставления маркеров безопасности для приложений, доверяющих AD FS) или в качестве поставщика федерации (применяет маркеры от других поставщиков удостоверений и затем предоставляет маркеры безопасности для приложений, доверяющих AD FS).

Active Directory Lightweight Directory Services

Службы Active Directory облегченного доступа к каталогам (AD LDS) - это протокол LDAP, который обеспечивает гибкую поддержку приложений, работающих с каталогами, без зависимостей и связанных с доменами ограничений доменных служб Active Directory. AD LDS можно запускать на рядовых или изолированных серверах. На одном сервере можно запустить несколько экземпляров AD LDS с независимо управляемыми схемами. С помощью роли службы AD LDS можно предоставить службы каталогов для приложений с поддержкой каталогов, не используя служебные данные доменов и лесов и не требуя единой схемы для всего леса.

Active Directory Rights Management Services

Службы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM). AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений. Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.

• Постоянные политики использования, которые остаются с информацией независимо от ее перемещения, отправки или пересылки.
• Дополнительный уровень конфиденциальности для защиты конфиденциальных данных - например, отчетов, спецификаций продуктов, сведений о клиентах и сообщений электронной почты - от намеренного или случайного попадания в чужие руки.
• Предотвращение несанкционированной пересылки, копирования, изменения, печати, передачи по факсу или вставки ограничиваемого содержимого авторизованными получателями.
• Предотвращение копирования ограничиваемого содержимого с помощью функции PRINT SCREEN в Microsoft Windows.
• Поддержка срока действия файла, предотвращающего просмотр содержимого документов по истечении заданного периода времени.
• Внедрение корпоративных политик, управляющих использованием и распространением содержимого в организации

Application Server

Сервер приложений предоставляет интегрированную среду для развертывания и выполнения пользовательских бизнес-приложений на базе сервера.

DHCP Server

DHCP - это технология "клиент-сервер", с помощью которой DHCP-серверы могут назначать или сдавать в аренду IP-адреса компьютерам и другим устройствам, являющимся DHCP-клиентами.Развертывание в сети DHCP-серверов обеспечивает автоматическое предоставление клиентским компьютерам и другим сетевым устройствам на базе IPv4 и IPv6 действительных IP-адресов и дополнительных конфигурационных параметров, необходимых данным клиентам и устройствам.Служба DHCP-сервера в Windows Server включает поддержку основанных на политике назначений и обработку отказов протокола DHCP.

DNS Server

Служба DNS - это иерархическая распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, таких как IP-адреса. Служба DNS позволяет использовать понятные имена, такие как www.microsoft.com, для облегчения нахождения компьютеров и других ресурсов в сетях, работающих на базе протокола TCP/IP. Служба DNS в Windows Server обеспечивает дополнительную улучшенную поддержку Модулей безопасности DNS (DNSSEC), включая регистрацию в сети и автоматизированное управление параметрами.

FAX Server

Факс-сервер отправляет и получает факсы, а также дает возможность управлять ресурсами факса, такими как задания, настройки, отчеты и факс-устройства на вашем факс-сервере.

File and Storage Services

Администраторы могут использовать роль "Файловые службы и службы хранилища" для настройки нескольких файловых серверов и их хранилищ, а также для управления этими серверами с помощью диспетчера серверов или Windows PowerShell. Некоторые конкретные приложения включают следующие функции.

• Рабочие папки. Использовать, чтобы разрешить пользователям хранение рабочих файлов и доступ к ним на личных компьютерах и устройствах помимо корпоративных ПК. Пользователи получают удобное место для хранения рабочих файлов и доступа к ним из любого места. Организации контролируют корпоративные данные, храня файлы на централизованно управляемых файловых серверах и при необходимости задавая политики устройств пользователей (такие как шифрование и пароли блокировки экрана).
• Дедупликация данных. Использовать для снижения требований к месту на диске для хранения файлов, экономя средства на хранилище.
• Сервер цели iSCSI. Использовать для создания централизованных, программных и аппаратно-независимых дисковых подсистем iSCSI в сетях хранения данных (SAN).
• Дисковые пространства. Использовать для развертывания хранилища с высоким уровнем доступности, отказоустойчивого и масштабируемого за счет применения экономичных стандартизованных в отрасли дисков.
• Диспетчер серверов. Использовать для удаленного управления несколькими файловыми серверами из одного окна.
• Windows PowerShell. Использовать для автоматизации управления большинством задач администрирования файловых серверов.

Hyper-V

Роль Hyper-V позволяет создавать виртуализованную вычислительную среду с помощью технологии виртуализации, встроенной в Windows Server, и управлять ею. При установке роли Hyper-V выполняется установка необходимых компонентов, а также необязательных средств управления. В число необходимых компонентов входят низкоуровневая оболочка Windows, служба управления виртуальными машинами Hyper-V, поставщик виртуализации WMI и компоненты виртуализации, такие как шина VMbus, поставщик службы виртуализации (VSP) и драйвер виртуальной инфраструктуры (VID).

Network Policy and Access Services

Службы сетевой политики и доступа предоставляют следующие решения для сетевых подключений:

• Защита доступа к сети - это технология создания, принудительного применения и исправления политик работоспособности клиента. С помощью защиты доступа к сети системные администраторы могут устанавливать и автоматически применять политики работоспособности, которые включают в себя требования к программному обеспечению, обновлениям для системы безопасности и другие параметры. Для клиентских компьютеров, не соответствующих требованиям политики работоспособности, можно ограничить доступ к сети до тех пор, пока их конфигурация не будет обновлена в соответствии с требованиями политики.
• Если развернуты точки беспроводного доступа с поддержкой 802.1X, вы можете использовать сервер политики сети (NPS) для развертывания методов аутентификации на основе сертификатов, которые более безопасны, чем аутентификация на основе паролей. Развертывание оборудования с поддержкой 802.1X с сервером NPS позволяет обеспечить аутентификацию пользователей интрасети до того, как они смогут подключиться к сети или получить IP-адрес от DHCP-сервера.
• Вместо того чтобы настраивать политику доступа к сети на каждом сервере доступа к сети, можно централизованно создать все политики, в которых будут определены все аспекты запросов на сетевое подключение (кто может подключаться, когда разрешено подключение, уровень безопасности, который необходимо использовать для подключения к сети).

Print and Document Services

Службы печати и документов позволяют централизовать задачи сервера печати и сетевого принтера. Эта роль также позволяет получать отсканированные документы с сетевых сканеров и передавать документы в общие сетевые ресурсы - на сайт Windows SharePoint Services или по электронной почте.

Remote Access

Роль сервера удаленного доступа представляет собой логическую группу следующих технологий сетевого доступа.

• DirectAccess
• Маршрутизация и удаленный доступ
• Прокси-сервер веб-приложения

Эти технологии являются службами ролей роли сервера удаленного доступа. При установке роли сервера удаленного доступа можно установить одну или несколько служб ролей, запустив мастер добавления ролей и компонентов.

В Windows Server роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN со службой маршрутизации и удаленного доступа (RRAS). DirectAccess и RRAS можно развернуть на одном пограничном сервере и управлять ими с помощью команд Windows PowerShell и консоли управления (MMC) удаленного доступа.

Remote Desktop Services

Службы удаленных рабочих столов ускоряют и расширяют развертывание рабочих столов и приложений на любом устройстве, повышая эффективность удаленного работника, одновременно обеспечивая безопасность критически важной интеллектуальной собственности и упрощая соответствие нормативным требованиям. Службы удаленных рабочих столов включают инфраструктуру виртуальных рабочих столов (VDI), рабочие столы на основе сеансов и приложения, предоставляя пользователям возможность работать в любом месте.

Volume Activation Services

Службы активации корпоративных лицензий - это роль сервера в Windows Server начиная с Windows Server 2012, которая позволяет автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение Microsoft, а также управление такими лицензиями в различных сценариях и средах. Вместе со службами активации корпоративных лицензий можно установить и настроить службу управления ключами (KMS) и активацию с помощью Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) в Windows Server обеспечивает платформу для размещения веб-узлов, служб и приложений. Использование веб-сервера обеспечивает доступ к информации пользователям в Интернете, интрасети и экстрасети. Администраторы могут использовать роль веб-сервера (IIS) для настройки и управления несколькими веб-сайтами, веб-приложениями и FTP-сайтами. В число специальных возможностей входят следующие.

• Использование диспетчера служб IIS для настройки компонентов IIS и администрирования веб-сайтов.
• Использование протокола FTP для разрешения владельцам веб-сайтов отправлять и загружать файлы.
• Использование изоляции веб-сайтов для предотвращения влияния одного веб-сайта на сервере на остальные.
• Настройка веб-приложений, разработанных с использованием различных технологий, таких как Classic ASP, ASP.NET и PHP.
• Использование Windows PowerShell для автоматического управления большей частью задач администрирования веб-сервера.
• Объединение нескольких веб-серверов в ферму серверов, которой можно управлять с помощью IIS.

Windows Deployment Services

Службы развертывания Windows позволяют развертывать операционные системы Windows по сети, что означает возможность не устанавливать каждую операционную систему непосредственно с компакт-диска или DVD-диска.

Windows Server Essentials Experience

Данная роль позволяет решать следующие задачи:

• защищать данные сервера и клиентов, создавая резервные копии сервера и всех клиентских компьютеров в сети;
• управлять пользователями и группами пользователей через упрощенную панель мониторинга сервера. Кроме того, интеграция с Windows Azure Active Directory *обеспечивает пользователям простой доступ к интернет-службам Microsoft Online Services (например, Office 365, Exchange Online и SharePoint Online) с помощью их учетных данных домена;
• хранить данные компании в централизованном месте;
• интегрировать сервер с интернет-службами Microsoft Online Services (например, Office 365, Exchange Online, SharePoint Online и Windows Intune):
• использовать на сервере функции повсеместного доступа (например, удаленный веб-доступ и виртуальные частные сети) для доступа к серверу, компьютерам сети и данным из удаленных расположений с высокой степенью безопасности;
• получать доступ к данным из любого места и с любого устройства с помощью собственного веб-портала организации (посредством удаленного веб-доступа);
• управлять мобильными устройствами, с которых осуществляется доступ к электронной почте организации с помощью Office 365 посредством протокола Active Sync, из панели мониторинга;
• отслеживать работоспособность сети и получать настраиваемые отчеты о работоспособности; отчеты можно создавать по требованию, настраивать и отправлять по электронной почте определенным получателям.

Windows Server Update Services

Сервер WSUS предоставляет компоненты, которые необходимы администраторам для управления обновлениями и их распространения через консоль управления. Кроме того, сервер WSUS может быть источником обновлений для других серверов WSUS в организации. При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. В зависимости от безопасности сети и ее конфигурации администратор может определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт.

Перед разработкой сокетного сервера нужно создать сервер политики, сообщающий Silverlight, каким клиентам разрешено устанавливать соединение с сокетным сервером.

Как было показано выше, Silverlight не разрешает загружать содержимое или вы­зывать веб-службу, если в домене нет файла clientaccesspolicy .xml или crossdomain. xml, в котором эти операции явно разрешены. Аналогичное ограничение налбжено и на сокетный сервер. Если не предоставить клиентскому устройству возможность загрузить файл clientaccesspolicy .xml, разрешающий отдаленный доступ, Silverlight откажется устанавливать соединение.

К сожалению, предоставление файла clientaccesspolicy. cml сокетному приложе­нию - более сложная задача, чем его предоставление посредством веб-сайта. При ис­пользовании веб-сайта программное обеспечение веб-сервера может предоставить файл clientaccesspolicy .xml, нужно лишь не забыть добавить его. В то же время при ис­пользовании сокетного приложения нужно открыть сокет, к которому клиентские прило­жения могут обращаться с запросами политики. Кроме того, нужно вручную создать код, обслуживающий сокет. Для решения этих задач необходимо создать сервер политики.

Далее будет показано, что сервер политики работает так же, как сервер сообщений, он лишь обслуживает немного более простые взаимодействия. Серверы сообщений и политики можно создать отдельно или объединить в одном приложении. Во втором случае они должны прослушивать запросы в разных потоках. В рассматриваемом при­мере мы создадим сервер политики, а затем объединим его с сервером сообщений.

Для создания сервера политики нужно сначала создать приложение.NET. В качестве сервера политики может служить приложение.NET любого типа. Проще всего приме­нить консольное приложение. Отладив консольное приложение, можно переместить код в службу Windows, чтобы он постоянно выполнялся в фоновом режиме.

Файл политики

Ниже приведен файл политики, предоставляемый сервером политики.

Файл политики определяет три правила.

Разрешает доступ ко всем портам от 4502 до 4532 (это полный диапазон портов, поддерживаемых надстройкой Silverlight). Для изменения диапазона доступных портов нужно изменить значение атрибута port элемента.

Разрешает доступ TCP (разрешение определено в атрибуте protocol элемента).

Разрешает вызов из любого домена. Следовательно, приложение Silverlight, уста­навливающее соединение, может хостироваться любым веб-сайтом. Для измене­ния этого правила нужно отредактировать атрибут uri элемента.

Для облегчения задачи правила политики размещаются в файле clientaccess- ploi.cy.xml, добавляемом в проект. В Visual Studio параметру Copy to Output Directory (Копировать в выходную папку) файла политики нужно присвоить значение Сору Always (Всегда копировать). должен всего лишь найти файл на жест­ком диске, открыть его и вернуть содержимое клиентскому устройству.

Класс PolicyServer

Функциональность сервера политики основана на двух ключевых классах: PolicyServer и PolicyConnection. Класс PolicyServer обеспечивает ожидание со­единений. Получив соединение, он передает управление новому экземпляру класса PoicyConnection, который передает файл политики клиенту. Такая процедура, состоя­щая из двух частей, часто встречается в сетевом программировании. Вы еще не раз увидите ее при работе с серверами сообщений.

Класс PolicyServer загружает файл политики с жесткого диска и сохраняет его в поле как массив байтов.

public class PolicyServer

private byte policy;

public PolicyServer(string policyFile) {

Чтобы начать прослушивание, серверное приложение должно вызвать метод PolicyServer. Start (). Он создает объект TcpListener, который ожидает запросы. Объект TcpListener сконфигурирован на прослушивание порта 943. В Silverlight этот порт зарезервирован для серверов политики. При создании запросов на файлы полити­ки приложение Silverlight автоматически направляет их в порт 943.

private TcpListener listener;

public void Start ()

// Создание прослушивающего объекта

listener = new TcpListener(IPAddress.Any, 943);

// Начало прослушивания; метод Start () возвращается II немедленно после вызова listener.Start();

// Ожидание соединения; метод возвращается немедленно;

II ожидание выполняется в отдельном потоке

Чтобы принять предлагаемое соединение, сервер политики вызывает метод Begin­AcceptTcpClient (). Как все методы Beginxxx () инфраструктуры.NET, он возвращается немедленно после вызова, выполняя необходимые операции в отдельном потоке. Для сетевых приложений это весьма существенный фактор, потому что благодаря ему воз­можна одновременная обработка многих запросов на файлы политики.

Примечание. Начинающие сетевые программисты часто удивляются, как можно обрабатывать более одного запроса одновременно, и думают, что для этого нужно несколько серверов. Однако это не так. При таком подходе клиентские приложений быстро исчерпали бы доступные порты. На практике серверные приложения обрабатывают многие запросы через один порт. Этот процесс невидим для приложений, потому что встроенная в Windows подсистема TCP автоматически идентифицирует сообщения и направляет их в соответствующие объекты в коде приложений. Каждое соединение уникально идентифицируется на основе четырех параметров: ІР-адрес клиента, номер порта клиента, ІР-адрес сервера и номер порта сервера.

При каждом запросе запускается метод обратного вызова OnAcceptTcpClient (). Он опять вызывает метод BeginAcceptTcpClient О, чтобы начать ожидание следующего запроса в другом потоке, и после этого начинает обрабатывать текущий запрос.

public void OnAcceptTcpClient(IAsyncResult аг) {

if (isStopped) return;

Console.WriteLine("Получен запрос политики."); // Ожидание следующего соединения.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

// Обработка текущего соединения.

TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = new PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Exception err) {

Каждый раз при получении нового соединения создается новый объект PolicyConnection, чтобы обработать его. Кроме того, объект PolicyConnection обслу­живает файл политики.

Последний компонент класса PolicyServer - метод Stop (), который останавливает ожидание запросов. Приложение вызывает его при завершении.

private bool isStopped;

public void StopO {

isStopped = true;

listener. Stop () ;

catch (Exception err) {

Console.WriteLine(err.Message);

Для запуска сервера политики в методе Main () сервера приложения используется следующий код.

static void Main(string args) {

PolicyServer policyServer = new PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Запущен сервер политики."); Console.WriteLine("Нажмите клавишу Enter для выхода.");

// Ожидание нажатия клавиши; с помощью метода // Console.ReadKey() можно задать ожидание определенной // строки (например, quit) или нажатия любой клавиши Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Завершение сервера политики.");

Класс PolicyConnection

Класс PolicyConnection выполняет более простую задачу. Объект PolicyConnection сохраняет ссылку на данные файла политики. Затем, после вызова метода HandleRequest (), объект PolicyConnection извлекает из сетевого потока новое сое­динение и пытается прочитать его. Клиентское устройство должно передать строку, содержащую текст После чтения этого текста клиентское устройство записывает данные политики в поток и закрывает соединение. Ниже при­веден код класса PolicyConnection.

public class PolicyConnection (

private TcpClient client; private byte policy;

public PolicyConnection(TcpClient client, byte policy) {

this.client = client; this.policy = policy;

// Создание запроса клиента private static string policyRequestString = "

public void HandleRequest () {

Stream s = client.GetStream(); // Чтение строки запроса политики

byte buffer = new byte;

// Ожидание выполняется только 5 секунд client.ReceiveTimeout = 5000;’

s.Read(buffer, 0, buffer.Length);

// Передача политики (можно также проверить, есть ли //в запросе политики необходимое содержимое) s.Write(policy, 0, policy.Length);

// Закрытие соединения client.Close ();

Console.WriteLine("Файл политики обслужен.");

Итак, у нас есть полностью работоспособный сервер политики. К сожалению, его пока что нельзя протестировать, потому что надстройка Silverlight не разрешает явно запрашивать файлы политики. Вместо этого она автоматически запрашивает их при попытке использовать сокетное приложение. Перед созданием клиентского приложения для данного сокетного приложения необходимо создать сервер.

В предыдущих статьях данного цикла вы научились эффективно использовать функционал локальных политик безопасности, что позволяет максимально защитить инфраструктуру вашей организации от атак недоброжелателей извне, а также от большинства действий некомпетентных сотрудников. Вы уже знаете как можно эффективно настроить политики учетных записей, которые позволяют управлять сложностью паролей ваших пользователей, настраивать политики аудита для последующего анализа аутентификации ваших пользователей в журнале безопасности. Помимо этого вы научились назначать права для ваших пользователей для избегания нанесения ущерба своей системе и даже компьютерам в вашей интрасети, а также знаете как можно эффективно настроить журналы событий, группы с ограниченным доступом, системные службы, реестр и файловую систему. В этой статье мы продолжим изучение локальных политик безопасности, и вы узнаете о настройках безопасности проводных сетей для вашего предприятия.

В серверных операционных системах компании Microsoft, начиная с Windows Server 2008, появился компонент политик проводной сети (IEEE 802.3), который обеспечивает автоматическую конфигурацию для развертывания услуг проводного доступа с проверкой подлинности IEEE 802.1X для сетевых клиентов Ethernet 802.3. Для реализации параметров безопасности проводных сетей средствами групповых политик, в операционных системах используется служба проводной автонастройки (Wired AutoConfig – DOT3SVC). Текущая служба отвечает за проверку подлинности IEEE 802.1X при подключении к сетям Ethernet при помощи совместимых коммутаторов 802.1X, а также управляет профилем, используемого с целью настройки сетевого клиента для доступа с проверкой подлинности. Также стоит отметить, что если вы будете использовать данные политики, то желательно запретить пользователям вашего домена изменять режим запуска данной службы.

Настройка политики проводной сети

Задать настройки политики проводных сетей вы можете непосредственно из оснастки. Для того чтобы настроить данные параметры, выполните следующие действия:

1. Откройте оснастку и в дереве консоли выберите узел, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создание новой политики проводных сетей для Windows Vista и более поздних версий» , как показано на следующей иллюстрации:

   Рис. 1. Создание политики проводной сети

2. В открывшемся диалоговом окне «Новая политика для проводных сетей Properties» , на вкладке «Общие» , вы можете задать применение службы автонастройки проводных сетей для настройки адаптеров локальных сетей для подключения к проводной сети. Помимо параметров политики, которые распространяются на операционные системы Windows Vista и более поздние, существуют некоторые опции, которые будут применяться только к операционным системам Windows 7 и Windows Server 2008 R2. На этой вкладке вы можете выполнять следующие действия:
   • Имя политики . В этом текстовом поле вы можете задавать наименование для вашей политики проводной сети. Имя политики вы сможете увидеть в области сведений узла «Политики проводной сети (IEEE 802.3)» оснастки «Редактор управления групповыми политиками» ;
   • Описание . Данное текстовое поле предназначено для заполнения подробного описания назначения политики проводной сети;
   • Использовать службу автонастройки проводных сетей Windows для клиентов . Данная опция выполняет реальную настройку и подключает клиентов к проводной сети 802.3. Если отключить эту опцию, то операционная система Windows не будет контролировать проводное сетевое подключение и параметры политики действовать не будут;
   • Запретить использование общих учетных данных пользователя для проверки подлинности сети . Этот параметр определяет, следует ли пользователю запрещать хранить общие учетные данные пользователя для проверки подлинности сети. Локально вы можете изменять данный параметр при помощи команды netsh lan set allowexplicitcreds ;
   • Включить период блокировки . Эта настройка определяет, следует ли запрещать компьютеру автоматически подключаться к проводной сети на протяжении указанного вами количества минут. По умолчанию указано 20 минут. Настраивается период блокировки в диапазоне от 1 до 60 минут.

«Общие» политики проводной сети:

Рис. 2. Вкладка «Общие» диалогового окна параметров политики проводной сети

3. На вкладке «Безопасность» предоставлены параметры конфигурации метода проверки подлинности и режима проводного подключения. Вы можете настраивать следующие параметры безопасности:
   • Включать проверку подлинности IEEE 802.1X для доступа к сети . Эта опция используется непосредственно для включения или отключения проверки подлинности 802.1X сетевого доступа. По умолчанию данная опция включена;
   • Выберите метод проверки подлинности сети . При помощи данного раскрывающегося списка вы можете указать один из методов проверки подлинности сетевых клиентов, который будет применен для вашей политики проводной сети. Доступны для выбора следующие два параметра:
     • Microsoft: Защищенные EAP (PEAP) . Для этого метода проверки подлинности, окно «Свойства» содержит параметры конфигурации используемого метода проверки подлинности;
     • Microsoft: смарт-карты или другой сертификат . Для этого метода проверки подлинности, в окне «Свойства» предоставлены параметры конфигурации, с помощью которых можно указать смарт-карту или сертификат для подключения, а также список доверенных корневых центров сертификации.

   По умолчанию выбран метод Microsoft: защищенные EAP (PEAP) ;

4. Режим проверки подлинности . Данный раскрывающийся список применяется для выполнения сетевой проверки подлинности. Для выбора доступны следующие четыре параметра:
   • Проверка подлинности пользователя или компьютера . В том случае, если будет выбран этот параметр, учетные данные безопасности будут использоваться на основе текущего состояния компьютера. Даже если в систему не входил ни один пользователь, проверка подлинности будет выполняться по учетным данным компьютера. При входе пользователя будут использоваться учетные данные вошедшего в систему пользователя. Компания Microsoft рекомендует в большинстве случаев использовать именно этот параметр режима проверки подлинности.
   • Только для компьютера . В этом случае проверка подлинности выполняется только для учетных данных компьютера;
   • Проверка подлинности пользователя . При выборе данного параметра включается принудительная проверка подлинности пользователя только при подключении к новому устройству 802.1X. Во всех остальных случаях проверка подлинности выполняется только для компьютера;
   • Проверка подлинности гостя . Данный параметр разрешает подключаться к сети на основе гостевой учетной записи.
5. Максимальное число ошибок проверки подлинности . Этот параметр позволяет указать максимальное число ошибок при проверке подлинности. Значение по умолчанию – 1;
6. Кэшировать данные пользователя для последующих подключений к этой сети . При включении данного параметра, пользовательские учетные данные будут сохраняться в системном реестре, при выходе пользователя из системы и при последующем входе учетные данные запрашиваться не будут.

На следующей иллюстрации отображена вкладка «Безопасность» данного диалогового окна:

Рис. 3. Вкладка «Безопасность» диалогового окна параметров политики проводной сети

Свойства режимов проверки подлинности

Как говорилось в предыдущем разделе, для обоих методов проверки подлинности есть дополнительные настройки, которые вызываются по нажатию на кнопку «Свойства» . В этом разделе рассмотрим все возможные настройки для методов проверки подлинности.

Настройки метода проверки подлинности «Microsoft: Защищенные EAP (PEAP)»

EAP (Extensible Authentication Protocol, Расширяемый Протокол Аутентификации) – это расширяемая инфраструктура аутентификации, которая определяет формат посылки. Для настройки данного метода проверки подлинности доступны следующие параметры:

Включить быстрое переподключение . Данная опция позволяет пользователям с беспроводными компьютерами быстро перемещаться между точками доступа без повторной проверки подлинности в новой сети. Такое переключение может работать только для точек доступа, которые настроены как клиенты службы RADIUS. По умолчанию эта опция включена;

Включить защиту доступа к сети . При выборе этой опции, перед разрешением подключения к сети соискателей EAP, для определения проверки требований работоспособности, будут выполняться соответствующие проверки;

Отключаться, если сервер не поддерживает привязку с шифрованием через механизм TLV . Эта опция отвечает за прерывание подключающимися клиентами процесса проверки подлинности в том случае, если RADIUS-сервер не предоставляет криптографическое значение привязки TLV, которая повышает безопасность TLS-туннеля в PEAP, объединяя способы внутренней и внешней проверки подлинности, чтобы злоумышленники не могли выполнять атаки типа вмешательства третьей стороны;

Включить удостоверение конфиденциальности . Данный параметр отвечает за то, чтобы клиенты не могли отправлять свое удостоверение перед тем, как клиент проверил подлинность сервера RADIUS, и при необходимости обеспечивать место для ввода значения анонимного удостоверения.

Диалоговое окно свойств защищённого EAP отображено на следующей иллюстрации:

Рис. 5. Диалоговое окно свойств защищённого EAP

Настройки метода проверки подлинности «Смарт-карты или другой сертификат – настройки EAP-TLS»

Для настройки данного метода проверки подлинности существуют следующие параметры:

• При подключении использовать мою смарт-карту . Если вы установите переключатель на данную позицию, то клиенты, выполняющие запросы проверки подлинности, будут представлять сертификат смарт-карты для сетевой проверки подлинности;
• При подключении использовать сертификат на этом компьютере . При выборе этой опции, при проверке подключения клиентов будет использоваться сертификат, расположенный в хранилище текущего пользователя или локального компьютера;
• Использовать выбор простого сертификата . Эта опция позволяет операционной системе Windows отфильтровывать сертификаты, которые не соответствуют требованиям проверки подлинности;
• Проверять сертификат сервера . Данная опция позволяет задавать проверку сертификата сервера, который предоставляется на клиентские компьютеры на наличие валидной не просроченной подписи, а также наличие доверенного корневого центра сертификации, который выдал сертификат данному серверу
• Подключаться к серверам . Эта опция идентична одноименной опции, о которой рассказывалось в предыдущем разделе;
• Доверенные корневые центры сертификации . Также как и в диалоговом окне свойств защищенного EAP, в этом списке вы можете найти все доверенные корневые центры сертификации, которые установлены в хранилищах сертификата пользователя и компьютера;
• Не запрашивать пользователя авторизовать новые серверы или доверенные Центры Сертификации . Установив флажок для этой опции, при наличии неправильно настроенного сертификата сервера или присутствующего в списке для пользователя, не будет отображаться диалоговое окно с предложением авторизации такого сертификата. По умолчанию эта опция отключена;
• Использовать для подключения другое имя пользователя . Этот параметр определяет, нужно ли использовать для проверки подлинности имя пользователя, отличное от имени пользователя в сертификате. При включенной опции использования другого имени пользователя вам необходимо выбрать как минимум один сертификат из списка доверенных корневых центров сертификации.

Диалоговое окно настроек смарт-карт или других сертификатов отображено на следующей иллюстрации:

Рис. 6. Диалоговое окно настроек смарт-карт или других сертификатов

Если вы не уверены в выбираемом вами сертификате, то нажав на кнопку «Просмотреть сертификат» сможете просмотреть все подробные сведения о выбранном сертификате, как показано ниже:

Рис. 7. Просмотр сертификата из списка доверенных корневых центров сертификации

Дополнительные параметры безопасности политики проводных сетей

Вы наверняка обратили внимание на то, что на вкладке «Безопасность» диалогового окна настроек политики проводной сети присутствуют еще дополнительные параметры безопасности, предназначенные для изменения поведения сетевых клиентов, подающих запросы на доступ с проверкой подлинности 802.1X. Дополнительные параметры политик проводных сетей можно разделить на две группы – настройки IEEE 802.1X и настройки единого входа. Рассмотрим каждую из этих групп:

В группе настроек IEEE 802.1X вы можете указать характеристики запросов проводных сетей с проверкой подлинности 802.1Х. Для изменения доступны следующие параметры:

• Применить дополнительные параметры 802.1X . Эта опция позволяет активировать следующие четыре настройки;
• Макс. EAPOL-сообщений . EAPOL – это протокол EAP, который используется до того как компьютер успевает аутентифицироваться, и только после успешного «логина» весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер. Этот параметр отвечает за максимальное количество отправляемых сообщений EAPOL-Start;
• Период задержки (сек) . Этот параметр отвечает за задержку в секундах перед выполнением следующего запроса проверки подлинности 802.1X после получения уведомления об отказе при проверке подлинности;
• Start Period (период начала) . Этот параметр отвечает за время ожидания перед повторной отправкой последовательных сообщений EAPOL-Start;
• Период проверки (сек) . Этот параметр определяет число секунд между повторной передачей последовательных начальных сообщений EAPOL после инициации сквозной проверки доступа 802.1X;
• Сообщение EAPOL-Start . При помощи данного параметра вы можете указать следующие характеристики передачи начальных сообщений EAPOL:
  • Не передавать . При выборе данного параметра, EAPOL сообщения не будут передаваться;
  • Передано . При выборе этого параметра, клиенту нужно будет вручную отправлять начальные сообщения EAPOL;
  • Передача по протоколу IEEE 802.1X . при выборе данного параметра (он определен по умолчанию) сообщения EAPOL будут отправляться в автоматическом режиме, ожидая запуска проверки подлинности 802.1Х.

При использовании единого входа, проверка подлинности должна выполняться на основании конфигурации безопасности сети в процессе входа пользователя в операционную систему. Для полной настройки профилей единого входа в систему доступны следующие параметры:

• Включить единую регистрацию для сети . При включении данной опции активируются настройки единого входа в систему;
• Включить непосредственно перед входом пользователя . Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться перед завершением входа пользователя в систему;
• Включить сразу после входа пользователя . Если вы установите переключатель на эту опцию, то проверка подлинности 802.1Х будет выполняться после завершения входа пользователя в систему;
• Макс. задержка подключения . Этот параметр задает максимальное время, за которое должна быть завершена проверка подлинности и, соответственно, как долго будет ждать пользователь перед появлением окна пользовательского входа в систему;
• Разрешить отображение дополнительных диалоговых окон при едином входе . Этот параметр отвечает за отображение диалогового окна входа пользователя в систему;
• Эта сеть использует разные виртуальные локальные сети для проверки подлинности по учетным данными компьютеров и пользователей. При указании этой настройки, при запуске, все компьютеры будут помещаться в одну виртуальную сеть, а после успешного входа пользователя в систему, в зависимости от разрешений, будут переводиться в различные виртуальные сети. Эту опцию имеет смысл активировать только в том случае, если у вас на предприятии используются несколько виртуальных локальных сетей VLAN.

Диалоговое окно дополнительных параметров безопасности политики проводных сетей отображено на следующей иллюстрации:

Рис. 8. Диалоговое окно дополнительных параметров безопасности политики проводных сетей

Заключение

В этой статье вы познакомились со всеми параметрами политики проводных сетей IEE 802.1X. Вы узнали о том, как можно создать такую политику, а также узнали о методах проверки подлинности EAP и проверки при помощи смарт-карт или других сертификатов. В следующей статье вы узнаете о локальных политиках безопасности диспетчера списка сетей.

Политики в Exchange Server 2003 предназначены для повышения гибкости администрирования при одновременном снижении нагрузки на администраторов. Политика – это набор параметров конфигурирования, которые применяются к одному или нескольким объектам одного класса в Exchange . Например, можно создать политику, которая воздействует на определенные параметры некоторых или всех серверов Exchange . Если потребуется изменить эти параметры, то достаточно модифицировать эту политику, и она будет применена к соответствующей организации сервера.

Существует два вида политик: системная политика (system policy) и политика получателей (recipient policy). Политики получателей применяются к объектам с доступом к почте и указывают, каким образом генерируются адреса электронной почты. Речь о политиках получателей идет в "Создание и управление получателями" . Системные политики применяются к серверам, хранилищам почтовых ящиков и хранилищам общих папок. Эти политики отображаются в контейнере Policies (Политики) внутри группы, ответственной за администрирование этой политики (рис. 12.10).

Рис. 12.10. Объект "системная политика"

Примечание . При установке Exchange Server 2003 не создается контейнер по умолчанию для системных политик. Его необходимо создать перед построением системных политик. Щелкните правой кнопкой мыши на группе администрирования, в которой требуется создать папку политики, наведите указатель мыши на пункт New (Создать) и выберите System Policy Container (Контейнер системной политики).

Создание системной политики

Для создания системной политики нужно перейти в соответствующий контейнер System Policies (Системные политики), щелкнуть правой кнопкой мыши на контейнере, после чего выбрать тип создаваемой политики: политика сервера, политика хранилища почтовых ящиков или политика хранилища общих папок.

При работе с системными политиками не забудьте создать объектполитику в группе, которая несет ответственность за администрирование этой политики. Иначе может произойти ошибка в выборе людей, которые осуществляют административный контроль за критически важными политиками. Рассмотрим, как создается каждый из трех типов политик, начиная с политик серверов.

Создание политики серверов

Политика серверов определяет параметры отслеживания сообщений и обслуживания файлов журналов. Она не применяется к параметрам безопасности или другим параметрам серверов в данной группе администрирования. Чтобы создать политику серверов, щелкните правой кнопкой мыши на контейнере System Policies (Системные политики), укажите на пункт New (Создать) и затем выберите вариант Server Policy (Политика серверов). Появится диалоговое окно New Policy (Создание политики), показанное на рис. 12.11 , в котором указываются вкладки, отображаемые на странице свойств данной политики. Для политики серверов имеется только одна опция: вкладка General (Общие). Отметьте опцию для этой вкладки и затем нажмите OK. Отобразится окно конфигурирования, в котором будет создана данная политика.

Рис. 12.11.

После этого нужно ввести имя политики в окне вкладки General страницы свойств данной политики. Как показано на рисунке 12.12 , на самом деле существует две вкладки General . Первая вкладка используется для ввода имени политики. Выберите имя для описания задачи, для выполнения которой предназначена данная политика, например Message Tracking Policy (Политика отслеживания сообщений) или Enable Subject Logging Policy (Политика "Активизировать регистрацию тем сообщений"). Подходящее имя, выбранное на этой стадии, сэкономит время работы, так как не будет необходимости открывать страницу свойств этой политики, чтобы определить ее назначение.

Вкладка General (Policy) (Общие [Политика]), показанная на рис. 12.13 , содержит реальные параметры политики, применяемые к серверам Exchange рассматриваемой организации. Вкладка называется General (Policy), так как потенциально осуществляется конфигурация вкладки General страниц свойств для всех имеющихся серверов. (Ниже в этой лекции мы рассмотрим, как применять эту политику ко всем серверам организации.) Если сравнить эту вкладку с вкладкой General на странице свойств какого-либо сервера, то станет видно, что эти вкладки совпадают, за исключением идентифицирующей информации вверху вкладки.

На вкладке General (Policy) активизируется регистрация и отображение на экране тем сообщений (Enable subject logging and display) для всех имеющихся серверов Exchange 2003. Эта установка действует в сочетании с опцией Enable Message Tracking (Активизировать отслеживание сообщений), что позволяет отслеживать сообщения, передаваемые в организации. Эти опции полезны для поиска и устранения источника проблем, возникающих, когда некоторые пользователи не получают сообщений от других пользователей. Существует возможность отслеживания прохождения сообщения через организацию для определения места, в котором имеются проблемы с передачей данных. Подробнее об отслеживании сообщений и регистрации тем сообщений рассказывается в лекции 6 "Функциональность, безопасность и поддержка Exchange Server 2003".

Рис. 12.12.

Рис. 12.13.

После того как политика начала действовать, ее нельзя изменить на уровне локальных серверов. Политика отслеживания сообщений, которую мы использовали в качестве примера, была сформирована на сервере EX-SRV1 в группе администрирования Arizona. На

Функционал в операционной системе Windows Server расчет и улучшается от версии к версии, ролей и компонентов становится все больше, поэтому в сегодняшнем материале я попытаюсь кратко рассказать описание и назначение каждой роли в Windows Server 2016 .

Прежде чем переходить к описанию серверных ролей Windows Server, давайте узнаем, что же вообще такое «Роль сервера » в операционной системе Windows Server.

Что такое «Роль сервера» в Windows Server?

Роль сервера (Server Role) – это программный комплекс, который обеспечивает выполнение сервером определённой функции, и данная функция является основной. Другими словами, «Роль сервера » - это назначение сервера, т.е. для чего он нужен. Чтобы сервер мог выполнять свою основную функцию, т.е. определённую роль, в «Роль сервера » включено все необходимое для этого программное обеспечение (программы, службы ).

У сервера может быть одна роль, если она активно используется, или несколько, если каждая из них не сильно нагружает сервер и используется редко.

В роль сервера может включаться несколько служб роли, которые и обеспечивают функциональные возможности роли. Например, в роль сервера «Веб-сервер (IIS) » включено достаточно большое количество служб, а в роль «DNS-сервер » не входят службы роли, так как данная роль выполняет только одну функцию.

Службы ролей могут быть установлены все вместе или по отдельности в зависимости от Ваших потребностей. По своей сути установка роли означает установку одной или нескольких ее служб.

В Windows Server также существуют и «Компоненты » сервера.

Компоненты сервера (Feature) – это программные средства, которые не являются ролью сервера, но расширяют возможности одной или нескольких ролей, или управляют одной или несколькими ролями.

Некоторые роли не могут быть установлены, если на сервере не установлены обязательные службы или компоненты, которые необходимы для функционирования данных ролей. Поэтому в момент установки таких ролей «Мастер добавления ролей и компонентов » сам, автоматически предложит Вам установить нужные, дополнительные службы ролей или компоненты.

Описание серверных ролей Windows Server 2016

Со многими ролями, которые есть в Windows Server 2016, наверное, Вы уже знакомы, так как они существуют уже достаточно долгое время, но как я уже сказал, с каждой новой версией Windows Server добавляются новые роли, с которыми возможно Вы еще не работали, но хотели бы узнать, для чего они нужны, поэтому давайте приступать к их рассмотрению.

Примечание! О новых возможностях операционной системы Windows Server 2016 можете прочитать в материале «Установка Windows Server 2016 и обзор новых возможностей » .

Так как очень часто установка и администрирование ролей, служб и компонентов происходит с использованием Windows PowerShell , я для каждой роли и ее службы буду указывать название, которое можно использовать в PowerShell, соответственно для ее установки или для управления.

DHCP-сервер

Эта роль позволяет централизованно настраивать динамические IP-адреса и связанные с ними параметры компьютерам и устройствам в сети. У роли DHCP-сервер нет служб роли.

Название для Windows PowerShell – DHCP.

DNS-сервер

Данная роль предназначена для разрешения имен в сетях TCP/IP. Роль DNS-сервер обеспечивает и поддерживает работу DNS. Для упрощения управления DNS-сервером его обычно устанавливают на том же сервере, что и доменные службы Active Directory. У роли DNS-сервер нет служб роли.

Название роли для PowerShell - DNS.

Hyper-V

С помощью роли Hyper-V можно создавать виртуализованную среду и управлять ею. Другими словами, это инструмент для создания и управления виртуальными машинами.

Название роли для Windows PowerShell - Hyper-V.

Аттестация работоспособности устройств

Роль « » позволяет оценивать работоспособность устройства на основе измеренных показателей параметров безопасности, например, показатели состояния безопасной загрузки и средства Bitlocker на клиенте.

Для функционирования данной роли необходимо достаточно много служб ролей и компонентов, например: несколько служб из роли «Веб-сервер (IIS) », компонент « », компонент «Функции.NET Framework 4.6 ».

Во время установки все необходимые службы ролей и компоненты будут выбраны автоматически. У роли «Аттестация работоспособности устройств » своих служб роли нет.

Название для PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Предоставляет надежную, управляемую и масштабируемую инфраструктуру веб-приложений. Состоит из достаточно большого количества служб (43).

Название для Windows PowerShell - Web-Server.

Включает следующие службы роли (в скобочках я буду указывать название для Windows PowerShell ):

Веб – сервер (Web-WebServer) – группа служб роли, которая предоставляет поддержку веб-сайтов HTML, расширений ASP.NET, ASP и веб-сервера. Состоит из следующих служб:

• Безопасность (Web-Security) - набор служб для обеспечения безопасности веб-сервера.
  • Фильтрация запросов (Web-Filtering) – с помощью этих средств можно обрабатывать все запросы, поступающие на сервер, и фильтровать эти запросы на основе специальных правил, заданных администратором веб сервера;
  • IP-адрес и ограничения домена (Web-IP-Security) – эти средства позволяют разрешать или запрещать доступ к содержимому на веб сервере с учетом IP-адреса или имени домена источника в запросе;
  • Авторизация URL-адреса (Web-Url-Auth) - средства позволяют разрабатывать правила для ограничения доступа к веб-содержимому и связывать их с пользователями, группами или командами заголовка HTTP;
  • Дайджест-проверка подлинности (Web-Digest-Auth) – данная проверка подлинности позволяет обеспечить более высокий уровень безопасности по сравнению с обычной проверкой подлинности. Дайджест-проверка для проверки подлинности пользователей действует по принципу передачи хэша пароля контроллеру домена Windows;
  • Обычная проверка подлинности (Web-Basic-Auth) - этот метод проверки подлинности обеспечивает надежную совместимость веб-браузера. Рекомендуется использовать в небольших внутренних сетях. Основной недостаток этого метода состоит в том, что пароли, передающиеся по сети можно довольно просто перехватить и расшифровать, поэтому используйте этот метод в сочетании с SSL;
  • Проверка подлинности Windows (Web-Windows-Auth) – представляет собой проверку подлинности, основанную на аутентификации в домене Windows. Другими словами, Вы можете использовать учетные записи Active Directory для проверки подлинности пользователей своих Web сайтов;
  • Проверка подлинности с сопоставлением сертификата клиента (Web-Client-Auth) – данный метод проверки подлинности подразумевает использование сертификата клиента. Для обеспечения сопоставления сертификатов этот тип использует службы Active Directory;
  • Проверка подлинности с сопоставлением сертификата клиента IIS (Web-Cert-Auth) – в данном методе для проверки подлинности также применяются сертификаты клиентов, но для обеспечения сопоставления сертификатов здесь используются службы IIS. Этот тип обеспечивают более высокую производительность;
  • Централизованная поддержка SSL-сертификата (Web-CertProvider) – эти средства позволяет централизованно управлять сертификатами сервера SSL, что значительно упрощает процесс управления этими сертификатами;
• Исправность и диагностика (Web-Health) – набор служб для обеспечения контроля, управления и устранения нарушений в работе веб-серверов, сайтов и приложений:
  • Ведение журнала http (Web-Http-Logging) - средства обеспечивают ведение журнала активности веб-сайта на данном сервере, т.е. запись лога;
  • Ведение журнала ODBC (Web-ODBC-Logging) – эти средства также обеспечивают ведение журнала активности веб-сайта, но они поддерживают регистрацию этой активности в базе данных, совместимой с ODBC;
  • Монитор запросов (Web-Request-Monitor) – это инструмент который позволяет наблюдать за исправностью веб-приложения, перехватывая информацию о HTTP-запросах в рабочем процессе IIS;
  • Настраиваемое ведение журнала (Web-Custom-Logging) – с помощью этих средств можно настроить ведение журнала активности веб-сервера в формате, значительно отличающегося от стандартного формата IIS. Другими словами, Вы можете создать собственный модуль ведения журнала;
  • Средства ведения журнала (Web-Log-Libraries) – это инструменты для управления журналами веб-сервера и автоматизации задач ведения журнала;
  • Трассировка (Web-Http-Tracing) – это средство для диагностирования и устранения нарушений в работе веб-приложений.
• Общие функции http (Web-Common-Http) – набор служб, которые предоставляют основные функциональные возможности HTTP:
  • Документ по умолчанию (Web-Default-Doc) – эта возможность позволяет настраивать веб-сервер для возврата документа, предусмотренного по умолчанию, для тех случаев, когда пользователи не указывают конкретный документ в URL-адресе запроса, за счет этого пользователям становится удобней обращаться к веб сайту, например, по домену, не указывая при этом файл;
  • Обзор каталога (Web-Dir-Browsing) – с помощью этого средства можно настроить веб сервер так, чтобы пользователи могли просматривать список всех каталогов и файлов на веб сайте. Например, для случаев, когда пользователи не указывают файл в URL-адресе запроса, при этом документы по умолчанию либо запрещены, либо не настроены;
  • Ошибки http (Web-Http-Errors) – данная возможность позволяет настраивать сообщения об ошибках, которые будут возвращаться на веб-браузеры пользователей в момент обнаружения веб-сервером ошибки. Это средство используется для более удобного представления пользователям сообщений об ошибках;
  • Статическое содержимое (Web-Static-Content) – данное средство позволяет использовать на веб-сервере контент в виде статических форматов файлов, например, HTML файлы или файлы изображений;
  • Перенаправление http (Web-Http-Redirect) – с помощью этой возможности можно перенаправить пользовательский запрос по конкретному назначению, т.е. это Redirect;
  • Публикация WebDAV (Web-DAV-Publishing) – позволяет использовать технологию WebDAV на WEB сервер IIS. WebDAV (Web Distributed Authoring and Versioning ) – это технология позволяющая пользователям совместно работать (читать, редактировать, считывать свойства, копировать, перемещать ) над файлами на удаленных веб серверах, используя при этом протокол HTTP.
• Производительность (Web-Performance) – набор служб для достижения более высокой производительности web сервера, за счет кэширования выходных данных и общих механизмов сжатия, таких как Gzip и Deflate:
  • Сжатие статического содержимого (Web-Stat-Compression) – это средство для настройки сжатия статического содержимого http, оно позволяет более эффективно использовать пропускную способность, при этом без лишней нагрузки на ЦП;
  • Сжатие динамического содержимого (Web-Dyn-Compression) - это средство для настройки сжатия динамического содержимого HTTP. Данное средство обеспечивает более эффективное использование пропускной способности, но в данном случае нагрузка на ЦП сервера, связанная с динамическим сжатием, может вызвать замедление работы сайта, если нагрузка на ЦП и без сжатия высока.
• Разработка приложений (Web-App-Dev) – набор служб и средств для разработки и размещения веб-приложений, другими словами, технологии разработки сайтов:
  • ASP (Web-ASP) – среда поддержки и разработки web сайтов и web приложений с использованием технологии ASP. На текущий момент существует более новая и продвинутая технология разработки сайтов - ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) - это объектно ориентированная среда разработки web сайтов и веб приложений с использованием технологии ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) - это также объектно ориентированная среда разработки web сайтов и веб приложений с использованием новой версии ASP.NET;
  • CGI (Web-CGI) – это возможность использования CGI для передачи веб-сервером информации во внешнюю программу. CGI – это некий стандарт интерфейса для связи внешней программы с web-сервером. Есть недостаток, применение CGI влияет на производительность;
  • Включения на стороне сервера (SSI) (Web-Includes) – это поддержка языка сценариев SSI (включения на стороне сервера ), который используется для динамического формирования страниц HTML;
  • Инициализация приложений (Web-AppInit) – данное средство выполняет задачи инициализации web приложений перед пересылкой веб-страницы;
  • Протокол WebSocket (Web-WebSockets) - добавление возможности создания серверных приложений, которые взаимодействуют с помощью протокола WebSocket. WebSocket - это протокол, который может передавать и принимать одновременно данные между браузером и web сервером поверх TCP-соединения, своего рода расширение протокола HTTP;
  • Расширения ISAPI (Web-ISAPI-Ext) – поддержка динамической разработки web содержимого с помощью прикладного программного интерфейса ISAPI. ISAPI – это API для web сервера IIS. Приложения ISAPI работают намного быстрее по сравнению с файлами ASP или файлами, вызывающими компоненты COM+;
  • Расширяемость.NET 3.5 (Web-Net-Ext) – это средство расширяемости.NET 3.5, которое позволяет изменять, добавлять и расширять функциональные возможности web сервера во всем конвейере обработки запросов, в конфигурации и в пользовательском интерфейсе;
  • Расширяемость.NET 4.6 (Web-Net-Ext45) – это средство расширяемости.NET 4.6, которое также позволяет изменять, добавлять и расширять функциональные возможности web сервера во всем конвейере обработки запросов, в конфигурации и в пользовательском интерфейсе;
  • Фильтры ISAPI (Web-ISAPI-Filter) – добавление поддержки фильтров ISAPI. Фильтры интерфейса ISAPI представляют собой программы, которые вызываются при получении web сервером определенного запроса HTTP подлежащего обработке этим фильтром.

FTP - сервер (Web-Ftp-Server) – службы, которые обеспечивают поддержку протокола FTP. Более подробно о FTP сервере мы говорили в материале – «Установка и настройка FTP сервера на Windows Server 2016 ». Содержит следующие службы:

• Служба FTP (Web-Ftp-Service) – добавляет поддержку протокола FTP на веб сервере;
• Расширяемость FTP (Web-Ftp-Ext) – расширяет стандартные возможности FTP, например, добавляет поддержку таких функций как настраиваемые поставщики, пользователи ASP.NET или пользователи диспетчера IIS.

Средства управления (Web-Mgmt-Tools) – это средства управления веб-сервером IIS 10. К ним можно отнести: пользовательский интерфейс IIS, средства командной строки и скрипты.

• Консоль управления службами IIS (Web-Mgmt-Console) – это пользовательский интерфейс управления службами IIS;
• Наборы символов и средства управления службами IIS (Web-Scripting-Tools) - это средства и скрипты управления службами IIS с помощью командной строки или скриптов. Их можно использовать, например, для автоматизации управления;
• Служба управления (Web-Mgmt-Service) – эта служба добавляет возможность управлять web сервером удаленно с другого компьютера с использованием диспетчера IIS;
• Управление совместимостью с IIS 6 (Web-Mgmt-Compat) - обеспечивает совместимость приложений и сценариев, использующих два API IIS. Существующие скрипты IIS 6 можно использовать для управления веб-сервером IIS 10:
  • Метабаза совместимости с IIS 6 (Web-Metabase) - средство совместимости, которое позволяет запускать приложения и наборы символов, перенесенные с более ранних версий IIS;
  • Инструменты скриптов IIS 6 (Web-Lgcy-Scripting) – эти инструменты позволяют использовать те же службы скриптов IIS 6, которые были созданы для управления IIS 6, в IIS 10;
  • Консоль управления службами IIS 6 (Web-Lgcy-Mgmt-Console) – средство администрирования удаленных серверов IIS 6.0;
  • Совместимость с WMI IIS 6 (Web-WMI) - это интерфейсы скриптов инструментария управления Windows (WMI) для программного контроля и автоматизации задач веб-сервера IIS 10.0 с помощью набора скриптов, созданного в поставщике WMI.

Доменные службы Active Directory

Роль «Доменные службы Active Directory » (AD DS) обеспечивает распределенную базу данных, которая хранит и обрабатывает информацию о сетевых ресурсах. Данную роль используют для организации элементов сети, таких как пользователи, компьютеры и другие устройства, в иерархическую структуру защитной оболочки. Иерархическая структура включает в себя леса, домены в лесу, а также организационные единицы (OU) в каждом домене. Сервер, работающий под управлением AD DS, называется контроллером домена.

Название роли для Windows PowerShell - AD-Domain-Services.

Режим Windows Server Essentials

Данная роль представляет собой компьютерную инфраструктуру и предоставляет удобные и эффективные функции, например: хранение данных клиента в централизованном месте и защита этих данных за счет резервного копирования сервера и клиентских компьютеров, удаленный веб-доступ, позволяющий получать доступ к данным практически с любого устройства. Для работы данной роли необходимо несколько служб ролей и компонентов, например: компоненты BranchCache, система архивации Windows Server, управление групповой политикой, служба роли «Пространства имен DFS ».

Название для PowerShell – ServerEssentialsRole.

Сетевой контроллер

Это роль появилась в Windows Server 2016, она представляет собой единую точку автоматизации для управления, мониторинга и диагностики, физической и виртуальной сетевой инфраструктуры в центре обработки данных. С помощью данной роли можно из одной точки настраивать IP-подсети, VLAN, физические сетевые адаптеры Hyper-V хостов, управлять виртуальными коммутаторами, физическими маршрутизаторами, настройками файрвола и VPN-шлюзами.

Название для Windows PowerShell – NetworkController.

Служба опекуна узла

Это роль сервера размещенной службы Guardian (HGS), она предоставляет службы аттестации и защиты ключей, которые позволяют защищенным узлам запускать экранированные виртуальные машины. Для функционирования данной роли необходимо несколько дополнительных ролей и компонентов, например: доменные службы Active Directory, Веб-сервер (IIS), компонент «Отказоустойчивая кластеризация » и другие.

Название для PowerShell – HostGuardianServiceRole.

Службы Active Directory облегченного доступа к каталогам

Роль «Службы Active Directory облегченного доступа к каталогам » (AD LDS) – представляет собой облегченную версию AD DS, которая обладает меньшей функциональностью, но не требует развертывания доменов или контроллеров доменов, а также не имеет зависимостей и доменных ограничений, которые требуются для служб AD DS. AD LDS работает по протоколу LDAP (Lightweight Directory Access Protocol ). На одном сервере можно развернуть несколько экземпляров AD LDS с независимо управляемыми схемами.

Название для PowerShell – ADLDS.

Службы MultiPoint

Это также новая роль, которая появилась в Windows Server 2016. Службы MultiPoint (MPS) предоставляют базовую функциональность удаленных рабочих столов, что позволяет нескольким пользователям одновременно и независимо друг от друга работать на одном и том же компьютере. Для установки и функционирования данной роли нужно установить несколько дополнительных служб и компонентов, например: Сервер печати, службу Windows Search, средство просмотра XPS и другие, все они будут выбраны автоматически в момент установки MPS.

Название роли для PowerShell – MultiPointServerRole.

Службы Windows Server Update Services

С помощью этой роли (WSUS) системные администраторы могут управлять обновлениями Microsoft. Например, создавать отдельные группы компьютеров для разных наборов обновлений, а также получать отчеты о соответствии компьютеров требованиям и обновлениях, которые требуется установить. Для функционирования «Службы Windows Server Update Services » нужны такие службы ролей и компоненты как: Веб-сервер (IIS), внутренняя база данных Windows, служба активации процессов Windows.

Название для Windows PowerShell – UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – установка в WID (Windows Internal Database ) базы данных, используемой WSUS. Другими словами, свои служебные данные WSUS будет хранить в WID;
• WSUS Services (UpdateServices-Services) – это и есть службы роли WSUS, такие как служба обновления, веб-служба отчетов, веб-служба удаленного взаимодействия с API, веб-служба клиента, веб-служба простой проверки подлинности через Интернет, служба синхронизация сервера и веб-служба проверки подлинности DSS;
• SQL Server Connectivity (UpdateServices-DB) – это установка компонента, который позволяет службе WSUS подключаться к базе данных Microsoft SQL Server. Этот вариант предусматривает хранение служебных данных в БД Microsoft SQL Server. В данном случае у Вас уже должен быть установлен, по крайней мере, один экземпляр SQL Server.

Службы активации корпоративных лицензий

С помощью этой роли сервера можно автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение от компании Microsoft, а также она позволяет управлять этими лицензиями.

Название для PowerShell – VolumeActivation.

Службы печати и документов

Эта роль сервера предназначена для предоставления общего доступа к принтерам и сканерам в сети, для централизованной настройки и управления серверами печати и сканирования, а также управления сетевыми принтерами и сканерами. Службы печати и документов также позволяет отправлять отсканированные документы по электронной почте, в общие сетевые папки или на сайты Windows SharePoint Services.

Название для PowerShell – Print-Services.

• Сервер печати (Print-Server) – данная служба роли включает оснастку «Управление печатью », которая используется для управления принтерами или серверами печати, а также для миграции принтеров и других серверов печати;
• Печать через Интернет (Print-Internet) - для реализации печати через Интернет создается веб-сайт, с помощью которого пользователи могут управлять заданиями печати на сервере. Для работы данной службы как Вы понимаете необходимо установить «Веб-сервер (IIS) ». Все необходимые компоненты будут выбраны автоматически, когда Вы отметите данный пункт во время процесса установки службы роли «Печать через Интернет »;
• Сервер распределенного сканирования (Print-Scan-Server) – это служба, которая позволяет принимать отсканированные документы с сетевых сканеров и отправлять их по месту назначения. Данная служба также содержит оснастку «Управление сканированием », которая используется для управления сетевыми сканерами и для настройки сканирования;
• Служба LPD (Print-LPD-Service) - служба LPD (Line Printer Daemon ) позволяет компьютерам на базе UNIX и другим компьютерам, использующим службу Line Printer Remote (LPR), печатать на общих принтерах сервера.

Службы политики сети и доступа

Роль « » (NPAS) позволяет с помощью сервера политики сети (NPS) задавать и применять политики доступа к сети, проверки подлинности и авторизации, а также работоспособности клиента, другими словами, обеспечивать безопасность сети.

Название для Windows PowerShell – NPAS.

Службы развертывания Windows

С помощью этой роли можно удаленно устанавливать операционной системы Windows по сети.

Название роли для PowerShell – WDS.

• Сервер развертывания (WDS-Deployment) – данная служба роли предназначена для удаленного развертывания и настройки операционных систем Windows. Она также позволяет создавать и настраивать образы для повторного использования;
• Транспортный сервер (WDS-Transport) – это служба содержит основные сетевые компоненты, с помощью которых Вы можете передавать данные путем многоадресной рассылки на автономном сервере.

Службы сертификатов Active Directory

Эта роль предназначена для создания центров сертификации и связанных служб ролей, которые позволяют выдавать сертификаты для различных приложений и управлять такими сертификатами.

Название для Windows PowerShell – AD-Certificate.

Включает следующие службы роли:

• Центр сертификации (ADCS-Cert-Authority) – с помощью данной службы роли можно выдавать сертификаты пользователям, компьютерам и службам, а также управлять действительностью сертификата;
• Веб-служба политик регистрации сертификатов (ADCS-Enroll-Web-Pol) – эта служба позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов с помощью веб-браузера, даже если компьютер не входит в домен. Для ее функционирования необходим «Веб-сервер (IIS) »;
• Веб-служба регистрации сертификатов (ADCS-Enroll-Web-Svc) – данная служба позволяет пользователям и компьютерам регистрировать и продлять сертификаты с помощью веб-браузера по протоколу HTTPS, даже если компьютер не входит в домен. Для ее функционирования также необходим «Веб-сервер (IIS) »;
• Сетевой ответчик (ADCS-Online-Cert) – служба предназначена для проверки отзыва сертификата для клиентов. Другими словами, она принимает запрос о состоянии отзыва для конкретных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, с информацией о статусе. Для функционирования службы необходим «Веб-сервер (IIS) »;
• Служба регистрации в центре сертификации через Интернет (ADCS-Web-Enrollment) – эта служба предоставляет пользователям веб-интерфейс для выполнения таких задач, как запросы и продление сертификатов, получение списков отзыва сертификатов и регистрация сертификатов смарт-карт. Для функционирования службы необходим «Веб-сервер (IIS) »;
• Служба регистрации на сетевых устройствах (ADCS-Device-Enrollment) – с помощью этой службы можно выдавать сертификаты для маршрутизаторов и других сетевых устройств, не имеющих сетевых учетных записей, а также управлять этими сертификатами. Для функционирования службы необходим «Веб-сервер (IIS) ».

Службы удаленных рабочих столов

Роль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp.

Название роли для Windows PowerShell – Remote-Desktop-Services.

Состоит из следующих служб:

• Веб-доступ к удаленным рабочим столам (RDS-Web-Access) - данная служба роли позволяет пользователям получить доступ к удаленным рабочим столам и приложениям RemoteApp через меню «Пуск » или с помощью веб-браузера;
• Лицензирование удаленных рабочих столов (RDS-Licensing) - служба предназначена для управления лицензиями, которые необходимы для подключения к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу. Ее можно использовать для установки, выдачи лицензий и отслеживания их доступности. Для работы данной службы необходим «Веб-сервер (IIS) »;
• Посредник подключений к удаленному рабочему столу (RDS-Connection-Broker) - служба роли, которая обеспечивает следующие возможности: повторное подключение пользователя к существующему виртуальному рабочему столу, приложению RemoteApp и рабочему столу на основе сеансов, а также равномерное распределение нагрузки между серверами узлов сеансов удаленных рабочих столов или между виртуальными рабочими столами в составе пула. Для работы данной службы необходим компонент « »;
• Узел виртуализации удаленных рабочих столов (DS-Virtualization) - служба позволяет пользователям подключаться к виртуальным рабочим столам с помощью подключения к удаленным рабочим столам и приложениям RemoteApp. Эта служба работает совместно с Hyper-V, т.е. данная роль должна быть установлена;
• Узел сеансов удаленных рабочих столов (RDS-RD-Server) – с помощью этой службы можно размещать на сервере удаленные приложения RemoteApp и основанные на сеансах рабочие столы. Для доступа используется клиент подключения к удаленному рабочему столу или удаленные приложения RemoteApp;
• Шлюз удаленных рабочих столов (RDS-Gateway) – служба позволяет авторизованным удаленным пользователям подключаться к виртуальным рабочим столам, удаленным приложениям RemoteApp и рабочим столам, основанным на сеансах, в корпоративной сети или через Интернет. Для функционирования данной службы необходимы следующие дополнительные службы и компоненты: «Веб–сервер (IIS) », «Службы политики сети и доступа », «RPC через HTTP-прокси ».

Службы управления правами Active Directory

Это роль сервера, которая позволит Вам защитить информацию от несанкционированного использования. Она проверяет удостоверения пользователей и предоставляет авторизованным пользователям лицензии на доступ к защищенным данным. Для работы данной роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Служба активации процессов Windows », «Функции.NET Framework 4.6 ».

Название для Windows PowerShell – ADRMS.

• Сервер управления правами Active Directory (ADRMS-Server) - основная служба роли, обязательна для установки;
• Поддержка федерации удостоверений (ADRMS-Identity) - это дополнительная служба роли, позволяющая федеративным удостоверениям использовать защищенное содержимое с помощью служб федерации Active Directory.

Службы федерации Active Directory

Данная роль предоставляет упрощенные и безопасные возможности федерации удостоверений, а также функцию единого входа (SSO) на веб-сайты с помощью браузера.

Название для PowerShell – ADFS-Federation.

Удаленный доступ

Данная роль обеспечивает подключение через DirectAccess, VPN и прокси веб-приложения. Также роль «Удаленный доступ » предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Внутренняя база данных Windows ».

Название роли для Windows PowerShell – RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) - служба позволяет пользователям подключаться к корпоративной сети в любое время при наличии доступа к Интернету через DirectAccess, а также организовывать VPN подключения в сочетании с технологиями туннелирования и шифрования данных;
• Маршрутизация (Routing) - служба обеспечивает поддержку маршрутизаторов NAT, маршрутизаторов локальной сети с протоколами BGP, RIP и маршрутизаторов с поддержкой многоадресной рассылки (IGMP-прокси);
• Прокси-сервер веб-приложений (Web-Application-Proxy) - служба позволяет публиковать приложения на основе протоколов HTTP и HTTPS из корпоративной сети на клиентских устройствах, которые находятся за пределами корпоративной сети.

Файловые службы и службы хранилища

Это роль сервера, с помощью которой можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX. Более подробно файловые службы и в частности файловый сервер мы рассматривали в материале «Установка файлового сервера (File Server) на Windows Server 2016 ».

Название для Windows PowerShell – FileAndStorage-Services.

Службы хранения (Storage-Services) – это служба предоставляет функциональность управления хранилищем, которая устанавливается всегда и не может быть удалена.

Файловые службы и службы iSCSI (File-Services) – это технологии, которые упрощают управление файловыми серверами и хранилищами, позволяют экономить место на диске, обеспечивают репликацию и кэширование файлов в филиалах, а также предоставляют общий доступ к файлам по протоколу NFS. Включает следующие службы роли:

• Файловый сервер (FS-FileServer) – служба роли, которая управляет общими папками и предоставляет пользователям доступ к файлам на этом компьютере по сети;
• Дедупликация данных (FS-Data-Deduplication) – эта служба экономит место на диске за счет хранения на томе только одной копии идентичных данных;
• Диспетчер ресурсов файлового сервера (FS-Resource-Manager) – с помощью этой службы можно управлять файлами и папками на файловом сервере, создавать отчеты хранилища, классифицировать файлы и папки, настраивать квоты папок и определять политики блокировки файлов;
• Поставщик целевого хранилища iSCSI (аппаратные поставщики VDS и VSS) (iSCSITarget-VSS-VDS) – служба позволяет приложениям на сервере, подключенном к цели iSCSI, выполнять теневое копирование томов на виртуальных дисках iSCSI;
• Пространства имен DFS (FS-DFS-Namespace) – с помощью этой службы можно группировать общие папки, размещенные на разных серверах, в одно или несколько логически структурированных пространств имен;
• Рабочие папки (FS-SyncShareService) – служба позволяет использовать рабочие файлы на различных компьютерах, включая рабочие и личные. В рабочих папках можно хранить свои файлы, синхронизировать их и получать к ним доступ из локальной сети или Интернета. Для функционирования службы необходим компонент «Внутрипроцессное веб-ядро IIS »;
• Репликация DFS (FS-DFS-Replication) - это модуль репликации данных между несколькими серверами, позволяющий синхронизировать папки через подключение к локальной или глобальной сети. Данная технология использует протокол удаленного разностного сжатия (RDC) для обновления только той части файлов, которая была изменена с момента последней репликации. Репликацию DFS можно применять как вместе с пространствами имен DFS, так и отдельно;
• Сервер для NFS (FS-NFS-Service) – служба позволяет этому компьютеру совместно использовать файлы с компьютерами на базе UNIX и другим компьютерам, которые используют протокол сетевой файловой системы (NFS);
• Сервер цели iSCSI (FS-iSCSITarget-Server) – предоставляет службы и средства управления для целей iSCSI;
• Служба BranchCache для сетевых файлов (FS-BranchCache) - служба обеспечивает поддержку BranchCache на этом файловом сервере;
• Служба агента VSS файлового сервера (FS-VSS-Agent) - служба позволяет выполнять теневое копирование томов для приложений, которые хранят файлы данных на этом файловом сервере.

Факс-сервер

Роль отправляет и принимает факсы, а также позволяет управлять ресурсами факса, такими как задания, параметры, отчеты и факсимильные устройства, на этом компьютере или в сети. Для работы необходим «Сервер печати ».

Название роли для Windows PowerShell – Fax.

На этом обзор серверных ролей Windows Server 2016 закончен, надеюсь, материал был Вам полезен, пока!

Применение групповых политик (часть 3)

Обычно объекты групповой политики назначаются на контейнер (домен, сайт или OU) и применяются ко всем объектам в этом контейнере. При грамотно организованной структуре домена этого вполне достаточно, однако иногда требуется дополнительно ограничить применение политик определенной группой объектов. Для этого можно использовать два типа фильтров.

Фильтры безопасности

Фильтры безопасности позволяют ограничить применение политик определенной группой безопасности. Для примера возьмем GPO2, с помощью которого производится централизованная настройка меню Пуск на рабочих станциях с Windows 8.1\Windows 10. GPO2 назначен на OU Employees и применяется ко всем без исключения пользователям.

Теперь перейдем на вкладку «Scope», где в разделе «Security Filtering» указаны группы, к которым может быть применен данный GPO. По умолчанию здесь указывается группа Authenticated Users. Это означает, что политика может быть применена к любому пользователю или компьютеру, успешно прошедшему аутентификацию в домене.

На самом деле каждый GPO имеет свой список доступа, который можно увидеть на вкладке «Delegation».

Для применения политики объект должен иметь права на ее чтение (Read) и применение (Apply group policy), которые и есть у группы Authenticated Users. Соответственно для того, чтобы политика применялась не ко всем, а только к определенной группе, необходимо удалить из списка Authenticated Users, затем добавить нужную группу и выдать ей соответствующие права.

Так в нашем примере политика может применяться только к группе Accounting.

WMI фильтры

Windows Management Instrumentation (WMI) - один из наиболее мощных инструментов для управления операционной системой Windows. WMI содержит огромное количество классов, с помощью которых можно описать практически любые параметры пользователя и компьютера. Посмотреть все имеющиеся классы WMI в виде списка можно с помощью PowerShell, выполнив команду:

Get-WmiObject -List

Для примера возьмем класс Win32_OperatingSystem , который отвечает за свойства операционной системы. Предположим, что требуется отфильтровать все операционные системы кроме Windows 10. Заходим на компьютер с установленной Window 10, открываем консоль PowerShell и выводим имя, версию и тип операционной системы с помощью команды:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType

Для фильтра используем версию и тип ОС. Версия одинакова для клиентских и серверных ОС и определяется так:

Window Server 2016\Windows 10 - 10.0
Window Server 2012 R2\Windows 8.1 - 6.3
Window Server 2012\Windows 8 - 6.2
Window Server 2008 R2\Windows 7 - 6.1
Window Server 2008\Windows Vista - 6.0

Тип продукта отвечает за назначение компьютера и может иметь 3 значения:

1 - рабочая станция;
2 - контроллер домена;
3 - сервер.

Теперь переходим непосредственно к созданию фильтра. Для этого открываем оснастку «Group Policy Management» и переходим к разделу «WMI Filters». Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «New».

В открывшемся окне даем фильтру имя и описание. Затем жмем кнопку «Add» и поле «Query» вводим WQL запрос, который и является основой WMI фильтра. Нам необходимо отобрать ОС версии 10.0 с типом 1, соответственно запрос будет выглядеть так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″

Примечание. Windows Query Language (WQL) - язык запросов WMI. Подробнее о нем можно узнать на MSDN .

Сохраняем получившийся фильтр.

Теперь осталось только назначить WMI фильтр на объект групповой политики, например на GPO3. Переходим к свойствам GPO, открываем вкладку «Scope» и в поле «WMI Filtering» выбираем из списка нужный фильтр.

Анализ применения групповых политик

При таком количестве способов фильтрации GPO необходимо иметь возможность диагностики и анализа их применения. Проще всего проверить действие групповых политик на компьютере можно с помощью утилиты командной строки gpresult .

Для примера зайдем на компьютер wks2, на котором установлена ОС Windows 7, и проверим, сработал ли WMI фильтр. Для этого открываем консоль cmd с правами администратора и выполняем команду gpresult /r , которая выводит суммарную информацию о групповых политиках, примененных к пользователю и компьютеру.

Примечание. Утилита gpresult имеет множество настроек, посмотреть которые можно командой gpresult /? .

Как видно из полученных данных, к компьютеру не применилась политика GPO3, поскольку она была отфильтрована с помощью фильтра WMI.

Также проверить действие GPO можно из оснастки «Group Policy Management», с помощью специального мастера. Для запуска мастера кликаем правой клавишей мыши на разделе «Group Policy Results» и в открывшемся меню выбираем пункт «Group Policy Results Wizard».

Указываем имя компьютера, для которого будет составлен отчет. Если требуется просмотреть только пользовательские настройки групповой политики, то настройки для компьютера можно не собирать. Для этого необходимо поставить галочку снизу (display user policy settings only).

Затем выбираем имя пользователя, для которого будут собираться данные, либо можно указать не включать в отчет настройки групповой политики для пользователя (display computer policy settings only).

Проверяем выбранные настройки, жмем «Next» и ждем, пока собираются данные и генерируется отчет.

Отчет содержит исчерпывающие данные об объектах групповых политик, примененных (или не примененных) к пользователю и компьютеру, а также об используемых фильтрах.

Для примера составим отчеты для двух разных пользователей и сравним их. Первым откроем отчет для пользователя Kirill и перейдем в раздел настроек пользователя. Как видите, к этому пользователю не применилась политика GPO2, поскольку у него нет прав на ее применение (Reason Denied - Inaсcessible).

А теперь откроем отчет для пользователя Oleg. Этот пользователь является членом группы Accounting, поэтому к нему политика была успешно применена. Это означает, что фильтр безопасности успешно отработал.

На этом, пожалуй, я закончу ″увлекательное″ повествование о применении групповых политик. Надеюсь эта информация будет полезной и поможет вам в нелегком деле системного администрирования 🙂

Утилита GPResult .exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами .

В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory.

Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы ).

Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions — CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult).

Использование утилиты GPResult.exe

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

GPRESULT ]] [(/X | /H) <имя_файла> ]

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Результаты выполнения команды разделены на 2 секции:

• COMPUTER SETTINGS (Конфигурация компьютера) – раздел содержит информацию об объектах GPO, действующих на компьютер (как объект Active Directory);
• USER SETTINGS – пользовательский раздел политик (политики, действующие на учетную запись пользователя в AD).

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

• Site Name (Имя сайта:)– имя сайта AD , в котором находится компьютер;
• CN – полное каноническое пользователя/ компьютера, для которого были сгенерированы данные RSoP;
• Last time Group Policy was applied (Последнее применение групповой политики)– время, когда последний раз применялись групповые политики;
• Group Policy was applied from (Групповая политика была применена с)– контроллер домена, с которого была загружена последняя версия GPO;
• Domain Name и Domain Type (Имя домена, тип домена)– имя и версия схемы домена Active Directory;
• Applied Group Policy Objects (Примененные объекты групповой политики) – списки действующих объектов групповой политики;
• The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы)- не примененные (отфильтрованные) GPO;
• The user /computer is a part of the following security groups (Пользователь/компьютер является членом следующих групп безопасности) – доменные группы, в которых состоит пользователь.

В нашем примере видно, что на объект пользователя действуют 4 групповые политики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;

Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя:

gpresult /r /scope:user

или только примененные политики компьютера:

gpresult /r /scope:computer

Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена:

Gpresult /r |clip

или текстовый файл:

Gpresult /r > c:\gpresult.txt

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

HTML отчет RSOP с помощью GPResult

Кроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды:

GPResult /h c:\gp-report\report.html /f

Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:

GPResult /h GPResult.html & GPResult.html

В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время обработки (в мс.) и применения конкретных политик и CSE (в разделе Computer Details -> Component Status). Например, на скриншоте выше видно, что политика с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO). Как вы видите, такой отчет HTML намного удобнее для анализа применённых политик, чем консоль rsop.msc.

Получение данных GPResult с удаленного компьютера

GPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой:

GPResult /s server-ts1 /r

Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.

Пользователь username не имеет данных RSOP

При включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать . Если командная строка с повышенными привилегиями отличной от текущего пользователя системы, утилита выдаст предупреждение INFO : The user “domain \user ” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:

gpresult /r /user:tn\edward

Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:

qwinsta /SERVER:remotePC1

Также проверьте время (и ) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).

Следующие политики GPO не были применены, так как они отфильтрованы

При траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:

Также вы можете понять должна ли применяться политика к конкретному объекту AD на вкладке эффективных разрешений (Advanced -> Effective Access).

Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования.

Лекция 4 Сервер политики сети: RADIUS-сервер, RADIUS-прокси и сервер политик защиты

Лекция 4

Тема: Сервер политики сети: RADIUS-сервер, RADIUS-прокси и сервер политик защиты доступа к сети

Введение

Windows Server 2008 и Windows Server 2008 R2 -высокотехнологичные операционные системы Windows Server, разработанные, чтобы дать начало новому поколению сетей, приложений и веб-служб. С помощью этих операционных систем можно разрабатывать, доставлять и управлять гибким и всеобъемлющим взаимодействием с пользователями и приложениями, создавать сетевые инфраструктуры с высоким уровнем безопасности и увеличивать технологическую эффективность и организованность в своей организации.

Сервер сетевых политик

Сервер политики сети позволяет создавать и применять политики доступа к сети на уровне организации для обеспечения работоспособности клиентов, а также выполнения проверки подлинности и авторизации запросов на подключение. Кроме того, сервер политики сети можно использовать в качестве RADIUS-прокси для перенаправления запросов на подключение на сервер политики сети или другие RADIUS-серверы, настроенные в группах удаленных RADIUS-серверов.

Сервер политики сети позволяет централизованно настраивать политики проверки подлинности, авторизации и работоспособности клиента при предоставлении доступа к сети и управлять этими политиками с помощью следующих трех возможностей:

RADIUS server. Сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет для беспроводных подключений, подключений по коммутаторам с проверкой подлинности, подключений удаленного доступа и подключений по виртуальной частной сети (VPN). При использовании сервера политики сети в качестве RADIUS-сервера, серверы доступа к сети, такие как точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, настраиваются политики сети, используемые сервером политики сети для авторизации запросов на подключение. В дополнение к этому можно настроить RADIUS-учет, чтобы данные заносились сервером политики сети в файлы журнала, хранящиеся на локальном жестком диске или в базе данных Microsoft SQL Server.

RADIUS proxy. Если сервер политики сети используется в качестве RADIUS-прокси, необходимо настроить политики запросов на подключение, которые определяют, какие запросы на подключение сервер политики сети будет перенаправлять на другие RADIUS-серверы, а также на какие конкретно RADIUS-серверы будут перенаправляться эти запросы. На сервере политики сети можно также настроить перенаправление учетных данных для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов.

Network Access Protection (NAP) policy server. Если сервер политики сети настроен в качестве сервера политик защиты доступа к сети, сервер политики сети оценивает состояния работоспособности, направляемые клиентскими компьютерами с поддержкой защиты доступа к сети, которые пытаются подключиться к сети. Сервер сетевых политик, на котором настроена защита доступа к сети, выступает в качестве RADIUS-сервера, выполняя проверку подлинности и авторизацию запросов на подключение. На сервере политики сети можно настроить политики и параметры защиты доступа к сети, в том числе устройства проверки работоспособности системы, политику работоспособности и группы серверов обновлений, которые обеспечивают обновление конфигурации клиентских компьютеров в соответствии с сетевой политикой организации.

На сервере политики сети можно настроить любое сочетание перечисленных выше возможностей. Например, сервер политики сети может выступать в качестве сервера политик защиты доступа к сети с использованием одного или нескольких методов применения, одновременно выполняя функции RADIUS-сервера для подключений удаленного доступа и функции RADIUS-прокси для перенаправления некоторых запросов на подключение группе удаленных RADIUS-серверов, что позволяет выполнять проверку подлинности и авторизацию в другом домене.

RADIUS-сервер и RADIUS-прокси

Сервер политики сети может использоваться в качестве RADIUS-сервера, RADIUS-прокси или обоих этих устройств одновременно.

RADIUS-сервер

Сервер политики сети Майкрософт реализован в соответствии со стандартом RADIUS, описанным в документах IETF RFC 2865 и RFC 2866. В качестве RADIUS-сервера сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет подключений для разных типов доступа к сети, включая беспроводной доступ, коммутирование с проверкой подлинности, удаленный доступ и доступ к VPN, а также подключения между маршрутизаторами.

Сервер политики сети позволяет использовать разнородный набор оборудования для беспроводного доступа, удаленного доступа, сетей VPN и коммутирования. Сервер политики сети можно использовать со службой маршрутизации и удаленного доступа, которая доступны в операционных системах Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition.

Если компьютер с сервером политики сети является членом домена Active Directory®, сервер политики сети использует эту службу каталогов в качестве базы данных учетных записей пользователей и является частью решения для единого входа. Тот же набор учетных данных используется для управления доступом к сети (проверка подлинности и авторизация доступа к сети) и для входа в домен Active Directory.

Поставщики услуг Интернета и организации, которые обеспечивают доступ к сети, сталкиваются с более сложными задачами, связанными с необходимостью осуществлять управление любыми типами сетей из единой точки администрирования независимо от используемого оборудования доступа к сети. Стандарт RADIUS поддерживает такую функциональность как в однородных, так и в разнородных средах. Протокол RADIUS является клиент-серверным протоколом, который позволяет оборудованию доступа к сети (выступающему в качестве RADIUS-клиентов) направлять RADIUS-серверу запросы на проверку подлинности и учета.

RADIUS-сервер имеет доступ к сведениям учетной записи пользователя и может проверять учетные данные при проверке подлинности для предоставления доступа к сети. Если учетные данные пользователя являются подлинными, и попытка подключения прошла авторизацию, RADIUS-сервер авторизует доступ данного пользователя с учетом указанных условий и заносит сведения о подключении в журнал учета. Использование протокола RADIUS позволяет собирать и обслуживать данные о проверке подлинности, авторизации и учете в едином расположении вместо выполнения этой операции на каждом сервере доступа.

RADIUS-прокси

В качестве RADIUS-прокси сервер политики сети перенаправляет сообщения проверки подлинности и учета на другие RADIUS-серверы.

С помощью сервера политики сети организации могут передать инфраструктуру удаленного доступа на внешнее управление поставщику услуг, в то же время сохраняя контроль над проверкой подлинности, авторизацией и учетом пользователей.

Конфигурации сервера политики сети могут создаваться для следующих сценариев:

Беспроводной доступ

Подключение удаленного доступа или виртуальной частной сети в организации.

Удаленный доступ или беспроводной доступ, обеспечиваемый внешней организацией

Доступ к Интернету

Доступ с проверкой подлинности к ресурсам внешней сети для деловых партнеров

Примеры конфигураций RADIUS-сервера и RADIUS-прокси

В следующих примерах конфигурации демонстрируется настройка сервера политики сети в качестве RADIUS-сервера и RADIUS-прокси.

NPS as a RADIUS server. В этом примере сервер политики сети настроен как RADIUS-сервер, единственной настроенной политикой является установленная по умолчанию политика запросов на подключение, а все запросы на подключение обрабатываются локальным сервером политики сети. Сервер политики сети может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене данного сервера или в доверенных доменах.

NPS as a RADIUS proxy. В этом примере сервер политики сети настроен как RADIUS-прокси, который перенаправляет запросы на подключение в группы удаленных RADIUS-серверов в двух разных доменах без доверия. Установленная по умолчанию политика запросов на подключение удаляется, а вместо нее создаются две новые политики запросов на подключение, предусматривающие перенаправление запросов в каждый из двух доменов без доверия. В этом примере сервер политики сети не обрабатывает запросы на подключение на локальном сервере.

NPS as both RADIUS server and RADIUS proxy. В дополнение к установленной по умолчанию политике запросов на подключение, которая предусматривает локальную обработку запросов, создается новая политика запросов на подключение, предусматривающая их перенаправление на сервер политики сети или другой RADIUS-сервер, находящийся в домене без доверия. Вторая политика имеет имя Прокси. В данном примере политика "Прокси" отображается первой в упорядоченном списке политик. Если запрос на подключение соответствует политике "Прокси", данный запрос на подключение перенаправляется на RADIUS-сервер в группе удаленных RADIUS-серверов. Если запрос на подключение не соответствует политике "Прокси", но соответствует установленной по умолчанию политике запросов на подключение, сервер политики сети обрабатывает данный запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из этих политик, он отклоняется.

NPS as a RADIUS server with remote accounting servers. В этом примере локальный сервер политики сети не настроен на ведение учета, а установленная по умолчанию политика запросов на подключение изменена таким образом, чтобы RADIUS-сообщения учета перенаправлялись на сервер политики сети или иной RADIUS-сервер в группе удаленных RADIUS-серверов. Несмотря на то, что сообщения учета перенаправляются, сообщения проверки подлинности и авторизации не перенаправляются, а соответствующие функции для локального домена и всех доверенных доменов осуществляются локальным сервером политики сети.

NPS with remote RADIUS to Windows user mapping. В этом примере сервер политики сети выступает как в качестве RADIUS-сервера, так и в качестве RADIUS-прокси для каждого отдельного запроса на подключение, перенаправляя запрос на проверку подлинности на удаленный RADIUS-сервер и одновременно выполняя авторизацию с использованием локальной учетной записи пользователя Windows. Такая конфигурация реализуется путем установки атрибута Сопоставление удаленного сервера RADIUS пользователю Windows в качестве условия политики запросов на подключение. (Кроме того, на RADIUS-сервере необходимо создать локальную учетную запись пользователя с тем же именем, что и удаленная учетная запись, по которой будет выполняться проверка подлинности удаленным RADIUS-сервером.)

Сервер политики защиты доступа к сети

Компонент защиты доступа к сети включен в Windows Vista®, Windows® 7, Windows Server® 2008 и Windows Server® 2008 R2. Он помогает обеспечить защиту доступа к частным сетям, гарантируя соответствие параметров клиентских компьютеров действующим в сети организации политикам работоспособности при разрешении этим клиентам доступа к сетевым ресурсам. Кроме того, соответствие клиентского компьютера политике работоспособности, определяемой администратором, отслеживается компонентом защиты доступа к сети в период, когда этот компьютер подключен к сети. Благодаря возможности автоматического обновления защиты доступа к сети может выполняться автоматическое обновление несоответствующих компьютеров в соответствии с политикой работоспособности, что позволяет впоследствии предоставить им доступ к сети.

Системные администраторы определяют политики работоспособности сети и создают эти политики с использованием компонентов защиты доступа к сети, которые доступны на сервере политики сети или поставляются другими компаниями (в зависимости от реализации защиты доступа к сети).

Политики работоспособности могут иметь такие характеристики, как требования к программному обеспечению, требования к обновлениям системы безопасности и требования к параметрам конфигурации. Защита доступа к сети применяет политики работоспособности, проверяя и оценивая работоспособность клиентских компьютеров, ограничивая сетевой доступ для компьютеров, не соответствующих этим требованиям и исправляя это несоответствие с целью предоставления неограниченного доступа к сети.