Дайте детальний опис політики сервера щодо. Дайте детальний опис політики сервера

Лекція 4 Сервер політики мережі: RADIUS-сервер, RADIUS-проксі та сервер політик захисту

Лекція 4

Тема: Сервер політики мережі: RADIUS-сервер, RADIUS-проксі та сервер політик захисту доступу до мережі

Вступ

Windows Server 2008 і Windows Server 2008 R2 - високотехнологічні операційні системи Windows Server, розроблені, щоб дати початок новому поколінню мереж, програм та веб-служб. За допомогою цих операційних системможна розробляти, доставляти та керувати гнучкою та всеосяжною взаємодією з користувачами та додатками, створювати мережеві інфраструктури з високим рівнем безпеки та збільшувати технологічну ефективність та організованість у своїй організації.

Сервер мережевих політик

Сервер політики мережі дозволяє створювати та застосовувати політики доступу до мережі на рівні організації для забезпечення працездатності клієнтів, а також виконання автентифікації та авторизації запитів на підключення. Крім того, сервер політики мережі можна використовувати як RADIUS-проксі для перенаправлення запитів на підключення до сервера політики мережі або інших RADIUS-серверів, налаштованих у групах віддалених RADIUS-серверів.

Сервер політики мережі дозволяє централізовано налаштовувати політики автентифікації, авторизації та працездатності клієнта при наданні доступу до мережі та керувати цими політиками за допомогою наступних трьох можливостей:

RADIUS Server. Сервер політики мережі централізовано виконує перевірку автентичності, авторизацію та облік для бездротових підключень, підключень по комутаторам з автентифікацією, підключень віддаленого доступу та підключень по віртуальній приватній мережі (VPN). При використанні сервера політики мережі як RADIUS-сервера, сервери доступу до мережі, такі як точки бездротового доступу та VPN-сервери, налаштовуються як RADIUS-клієнти на сервері політики мережі. Крім того, настроюються політики мережі, які використовуються сервером політики мережі для авторизації запитів на підключення. На додаток до цього можна налаштувати облік RADIUS, щоб дані заносилися сервером політики мережі у файли журналу, що зберігаються на локальному жорсткому диску або в базі даних Microsoft SQL Server.

RADIUS proxy. Якщо сервер політики мережі використовується як RADIUS-проксі, необхідно налаштувати політики запитів на підключення, які визначають, які запити на підключення сервер політики мережі буде перенаправляти на інші RADIUS-сервери, а також на які RADIUS-сервери будуть перенаправлятися ці запити. На сервері політики мережі можна також налаштувати перенаправлення облікових даних для їх зберігання на одному або кількох комп'ютерах у групі віддалених RADIUS-серверів.

Network Access Protection (NAP) policy server. Якщо сервер політики мережі налаштований як сервер політик захисту доступу до мережі, сервер політики мережі оцінює стан працездатності, що направляються клієнтськими комп'ютерами з підтримкою захисту доступу до мережі, які намагаються підключитися до мережі. Сервер мережевих політик, на якому налаштований захист доступу до мережі, виступає як RADIUS-сервер, виконуючи автентифікацію та авторизацію запитів на підключення. На сервері політики мережі можна налаштувати політики та параметри захисту доступу до мережі, у тому числі пристрої перевірки працездатності системи, політику працездатності та групи серверів оновлень, які забезпечують оновлення конфігурації клієнтських комп'ютерів відповідно до політики мережі організації.

На сервері політики мережі можна налаштувати будь-яке поєднання перерахованих вище можливостей. Наприклад, сервер політики мережі може виступати як сервер політик захисту доступу до мережі з використанням одного або декількох методів застосування, одночасно виконуючи функції RADIUS-сервера для підключень віддаленого доступу та функції RADIUS-проксі для перенаправлення деяких запитів на підключення групі віддалених RADIUS-серверів, що дозволяє виконувати автентифікацію та авторизацію в іншому домені.

RADIUS-сервер та RADIUS-проксі

Сервер політики мережі може використовуватися як RADIUS-сервер, RADIUS-проксі або обидва ці пристрої одночасно.

RADIUS-сервер

Сервер політики мережі Майкрософт реалізований відповідно до стандарту RADIUS, описаного в документах IETF RFC 2865 і RFC 2866. Як RADIUS-сервер сервер політики мережі централізовано виконує перевірку автентичності, авторизацію та облік підключень для різних типів доступу до мережі, включаючи бездротовий доступ, комутування з автентифікацією, віддалений доступ і доступ до VPN, а також підключення між маршрутизаторами.

Сервер політики мережі дозволяє використовувати різнорідний набір обладнання для бездротового доступу, віддаленого доступу, мереж VPNта комутування. Сервер політики мережі можна використовувати зі службою маршрутизації та віддаленого доступу, яка доступна в операційних системах Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition та Windows Server 2003, Datacenter Edition.

Якщо комп'ютер із сервером політики мережі є членом домену Active Directory®, сервер політики мережі використовує цю службу каталогів як базу даних облікових записів користувачів та є частиною рішення для єдиного входу. Той самий набір облікових даних використовується для керування доступом до мережі (автентифікація та авторизація доступу до мережі) і для входу в домен Active Directory.

Постачальники послуг Інтернету та організації, які забезпечують доступ до мережі, стикаються з більш складними завданнями, пов'язаними з необхідністю здійснювати управління будь-якими типами мереж з єдиної точки адміністрування незалежно від обладнання доступу до мережі, що використовується. Стандарт RADIUS підтримує таку функціональність як у однорідних, так і у різнорідних середовищах. Протокол RADIUS є клієнт-серверним протоколом, який дозволяє обладнанню доступу до мережі (виступає як RADIUS-клієнтів) надсилати RADIUS-серверу запити на автентифікацію та облік.

RADIUS-сервер має доступ до відомостей облікового запису користувача і може перевіряти облікові дані під час автентифікації для надання доступу до мережі. Якщо облікові дані користувача є справжніми, і спроба підключення пройшла авторизацію, RADIUS-сервер авторизує доступ даного користувача з урахуванням зазначених умов та заносить відомості про підключення до журналу обліку. Використання протоколу RADIUS дозволяє збирати та обслуговувати дані про автентифікацію, авторизацію та облік в єдиному розташуванні замість виконання цієї операції на кожному сервері доступу.

RADIUS-проксі

Як RADIUS-проксі сервер політики мережі перенаправляє повідомлення автентифікації та обліку на інші RADIUS-сервери.

За допомогою сервера політики мережі організації можуть передати інфраструктуру віддаленого доступу на зовнішнє управління постачальнику послуг, водночас зберігаючи контроль за автентифікацією, авторизацією та обліком користувачів.

Конфігурації сервера політики мережі можуть створюватися для таких сценаріїв:

Бездротовий доступ

Підключення віддаленого доступу або приватної віртуальної мережі в організації.

Віддалений доступабо бездротовий доступ, що забезпечується зовнішньою організацією

Доступ до Інтернету

Доступ із автентичністю до ресурсів зовнішньої мережі для ділових партнерів

Приклади конфігурацій RADIUS-сервера та RADIUS-проксі

У наступних прикладах конфігурації демонструється налаштування сервера політики мережі як RADIUS-сервер і RADIUS-проксі.

NPS як RADIUS server. У цьому прикладі сервер політики мережі налаштований як RADIUS-сервер, єдиною налаштованою політикою є встановлена за замовчуванням політика запитів на підключення, всі запити на підключення обробляються локальним сервером політики мережі. Сервер політики мережі може виконувати автентифікацію та авторизацію користувачів, облікові записи яких знаходяться в домені даного сервера або в довірених доменах.

NPS як RADIUS proxy. У цьому прикладі сервер політики мережі налаштований як RADIUS-проксі, який перенаправляє запити на підключення до груп віддалених RADIUS-серверів у двох різних доменах без довіри. Установлена за замовчуванням політика запитів на підключення видаляється, а замість неї створюються дві нові політики запитів на підключення, що передбачають перенаправлення запитів до кожного з двох доменів без довіри. У цьому прикладі сервер політики мережі не обробляє запити на підключення на локальному сервері.

NPS як both RADIUS server and RADIUS proxy. На додаток до встановленої за промовчанням політики запитів на підключення, яка передбачає локальну обробку запитів, створюється нова політика запитів на підключення, яка передбачає їх перенаправлення на сервер політики мережі або інший RADIUS-сервер, що знаходиться в домені без довіри. Друга політика має ім'я Проксі. У цьому прикладі політика "Проксі" відображається першою в упорядкованому списку політик. Якщо запит на підключення відповідає політиці "Проксі", цей запит на підключення перенаправляється на RADIUS-сервер у групі віддалених RADIUS-серверів. Якщо запит на підключення не відповідає політиці "Проксі", але відповідає встановленій за промовчанням політиці запитів на підключення, сервер політики мережі обробляє цей запит на підключення на локальному сервері. Якщо запит на підключення не відповідає жодній із цих політик, він відхиляється.

NPS як RADIUS server з remote accounting servers. У цьому прикладі локальний сервер політики мережі не налаштований на ведення обліку, а встановлена за замовчуванням політика запитів на підключення змінена таким чином, щоб RADIUS-повідомлення обліку перенаправлялися на сервер політики мережі або інший сервер RADIUS в групі віддалених RADIUS-серверів. Незважаючи на те, що повідомлення обліку перенаправляються, повідомлення автентифікації та авторизації не перенаправляються, а відповідні функції для локального домену і всіх довірених доменів здійснюються локальним сервером політики мережі.

NPS with remote RADIUS до Windows user mapping. У цьому прикладі сервер політики мережі виступає як як RADIUS-сервер, так і як RADIUS-проксі для кожного окремого запиту на підключення, перенаправляючи запит на автентифікацію на віддалений RADIUS-сервер і одночасно виконуючи авторизацію з використанням локального облікового запису користувача Windows. Така конфігурація реалізується шляхом встановлення атрибуту зіставлення віддаленого сервера RADIUS користувачу Windows як умову політики запитів на підключення. (Крім того, на RADIUS-сервері необхідно створити локальну обліковий запискористувача з тим же ім'ям, що і віддалений обліковий запис, за яким буде виконуватися автентифікація віддаленим RADIUS-сервером.)

Сервер політики захисту доступу до мережі

Компонент захисту доступу до мережі включено до Windows Vista®, Windows® 7, Windows Server® 2008 та Windows Server® 2008 R2. Він допомагає забезпечити захист доступу до приватних мереж, гарантуючи відповідність параметрів клієнтських комп'ютерів політикам працездатності, що діють у мережі організації, при дозволі цим клієнтам доступу до мережевих ресурсів. Крім того, відповідність клієнтського комп'ютера політиці працездатності, яка визначається адміністратором, відстежується компонентом захисту доступу до мережі в період, коли комп'ютер підключений до мережі. Завдяки можливості автоматичного оновлення захисту доступу до мережі може виконуватися автоматичне оновлення невідповідних комп'ютерів відповідно до політики працездатності, що дозволяє згодом надати їм доступ до мережі.

Системні адміністратори визначають політики працездатності мережі та створюють ці політики з використанням компонентів захисту доступу до мережі, які доступні на сервері політики мережі або постачаються іншими компаніями (залежно від реалізації захисту доступу до мережі).

Політики працездатності можуть мати такі характеристики, як вимоги до програмного забезпечення, вимоги до оновлень системи безпеки та вимоги до параметрів конфігурації. Захист доступу до мережі застосовує політики працездатності, перевіряючи та оцінюючи працездатність клієнтських комп'ютерів, обмежуючи мережевий доступ для комп'ютерів, які не відповідають цим вимогам та виправляючи цю невідповідність з метою надання необмеженого доступу до мережі.

Перед розробкою сокетного сервера потрібно створити сервер політики, який повідомляє Silverlight, яким клієнтам дозволено встановлювати з'єднання із сокетним сервером.

Як було показано вище, Silverlight не дозволяє завантажувати вміст або викликати веб-службу, якщо в домені немає файлу clientaccesspolicy .xml або crossdomain. xml, де ці операції явно дозволені. Аналогічне обмеження налбжено і сокетний сервер. Якщо не надати клієнтському пристрою можливість завантажити файл clientaccesspolicy .xml, що дозволяє віддалений доступ, Silverlight відмовиться встановлювати з'єднання.

На жаль, надається файл клієнтськогообліку. cml сокетному додатку - більш складне завдання, ніж його надання за допомогою веб-сайту. При використанні веб-сайту програмне забезпеченнявеб-сервера може надати файл clientaccesspolicy .xml, потрібно лише не забути додати його. У той же час при використанні сокетної програми потрібно відкрити сокет, до якого клієнтські програми можуть звертатися із запитами політики. Крім того, потрібно створити вручну код, який обслуговує сокет. Для вирішення цих завдань потрібно створити сервер політики.

Далі буде показано, що сервер політики працює так само, як сервер повідомлень, він лише обслуговує трохи простіші взаємодії. Сервери повідомлень та політики можна створити окремо або об'єднати в одному додатку. У другому випадку вони мають прослуховувати запити у різних потоках. У цьому прикладі ми створимо сервер політики, а потім об'єднаємо його з сервером повідомлень.

Для створення сервера політики потрібно спочатку створити .NET. Як сервер політики може бути додаток.NET будь-якого типу. Найпростіше застосувати консольну програму. Налагодивши консольну програму, можна перемістити код у службу Windows, щоб він постійно виконувався у фоновому режимі.

Файл політики

Нижче наведено файл політики, який надається сервером політики.

Файл політики визначає три правила.

Дозволяє доступ до всіх портів від 4502 до 4532 (це повний діапазон портів, що підтримуються надбудовою Silverlight). Щоб змінити діапазон доступних портів, потрібно змінити значення атрибута port елемента.

Дозволяє доступ TCP (роздільна здатність визначена в атрибуті protocol елемента).

Дозволяє виклик з будь-якого домену. Отже, програма Silverlight, яка встановлює з'єднання, може хостуватися будь-яким веб-сайтом. Щоб змінити це правило, потрібно відредагувати атрибут uri елемента.

Для полегшення завдання правила політики розміщуються у файлі clientaccess-ploi.cy.xml, що додається до проекту. У Visual Studioпараметру Copy to Output Directory (Копіювати у вихідну папку) файлу політики потрібно присвоїти значення Сору Always (Завжди копіювати). повинен лише знайти файл на жорсткому диску, відкрити його і повернути вміст клієнтського пристрою.

Клас PolicyServer

Функціональність сервера політики ґрунтується на двох ключових класах: PolicyServer та PolicyConnection. Клас PolicyServer забезпечує очікування з'єднань. Отримавши з'єднання, він передає керування новому екземпляру класу PoicyConnection, який передає файл політики клієнту. Така процедура, що складається із двох частин, часто зустрічається в мережевому програмуванні. Ви ще не раз побачите її під час роботи з серверами повідомлень.

Клас PolicyServer завантажує файл політики з жорсткого дискаі зберігає їх у полі як масив байтів.

public class PolicyServer

private byte policy;

public PolicyServer(string policyFile) (

Щоб розпочати прослуховування, серверний додаток має викликати метод PolicyServer. Start (). Він створює об'єкт TcpListener, який чекає на запити. Об'єкт TcpListener налаштований на прослуховування порту 943. У Silverlight цей порт зарезервований для серверів політики. При створенні запитів на файли політики програма Silverlight автоматично надсилає їх до порту 943.

private TcpListener listener;

public void Start ()

// Створення об'єкта, що прослуховує

listener = New TcpListener (IPAddress.Any, 943);

// Початок прослуховування; метод Start() повертається II негайно після виклику listener.Start();

// Очікування з'єднання; метод повертається негайно;

ІІ очікування виконується в окремому потоці

Щоб прийняти запропоноване з'єднання, сервер політики викликає метод BeginAcceptTcpClient(). Як і всі методи Beginxxx () інфраструктури.NET, він повертається негайно після виклику, виконуючи необхідні операції в окремому потоці. Для мережних додатків це дуже суттєвий фактор, тому що завдяки йому можливе одночасне опрацювання багатьох запитів на файли політики.

Примітка. Мережеві програмісти-початківці часто дивуються, як можна обробляти більше одного запиту одночасно, і думають, що для цього потрібно кілька серверів. Однак, це не так. При такому підході клієнтські програми швидко вичерпали б доступні порти. На практиці серверні програми обробляють багато запитів через один порт. Цей процес невидимий для програм, тому що вбудована в Windows підсистема TCP автоматично ідентифікує повідомлення і направляє їх у відповідні об'єкти в програмному коді. Кожне з'єднання унікально ідентифікується на основі чотирьох параметрів: ІР-адреса клієнта, номер порту клієнта, ІР-адреса сервера та номер порту сервера.

При кожному запиті запускається метод зворотного виклику OnAcceptTcpClient(). Він знову викликає метод BeginAcceptTcpClient, щоб почати очікування наступного запиту в іншому потоці, і після цього починає обробляти поточний запит.

public void OnAcceptTcpClient(IAsyncResult аг) (

if (isStopped) return;

Console.WriteLine("Отриманий запит політики."); // Очікування наступного з'єднання.

listener.BeginAcceptTcpClient(OnAcceptTcpClient, null);

/ / Обробка поточного з'єднання.

TcpClient client = listener.EndAcceptTcpClient(аг); PolicyConnection policyConnection = новий PolicyConnection(client, policy); policyConnection.HandleRequest() ;

catch (Exception err) (

Щоразу після отримання нового з'єднання створюється новий об'єкт PolicyConnection, щоб обробити його. Крім того, PolicyConnection обслуговує файл політики.

Останній компонент класу PolicyServer – метод Stop(), який зупиняє очікування запитів. Програма викликає його при завершенні.

private bool isStopped;

public void StopO (

isStopped = true;

Listener. Stop();

catch (Exception err) (

Console.WriteLine(err.Message);

Для запуску сервера політики у методі Main() сервера програми використовується наступний код.

static void Main(string args) (

PolicyServer policyServer = новий PolicyServer("clientaccesspolicy.xml"); policyServer.Start();

Console.WriteLine("Запущено сервер політики."); Console.WriteLine("Натисніть клавішу Enter для виходу.");

// Очікування натискання кнопки; за допомогою методу // Console.ReadKey() можна задати очікування певного // рядка (наприклад, quit) або натискання будь-якої клавіші Console.ReadLine();

policyServer.Stop();

Console.WriteLine("Завершення сервера політики.");

Клас PolicyConnection

Клас PolicyConnection виконує більш просте завдання. Об'єкт PolicyConnection зберігає посилання на дані файлу політики. Потім, після виклику методу HandleRequest(), об'єкт PolicyConnection витягує з мережевого потоку нове з'єднання і намагається прочитати його. Клієнтський пристрій повинен передати рядок, що містить текст Після читання цього тексту, клієнтський пристрій записує дані політики в потік і закриває з'єднання. Нижче наведено код класу PolicyConnection.

public class PolicyConnection (

private TcpClient client; private byte policy;

Public PolicyConnection(TcpClient client, byte policy) (

this.client = client; this.policy = policy;

// Створення запиту клієнта private static string policyRequestString = "

public void HandleRequest () (

Stream s = client.GetStream(); // Читання рядка запиту політики

byte buffer=new byte;

// Очікування виконується лише 5 секунд client.ReceiveTimeout = 5000;

s.Read(buffer, 0, buffer.Length);

// Передача політики (можна також перевірити, чи є //у запиті політики необхідний вміст) s.Write(policy, 0, policy.Length);

// Закриття з'єднання client.Close();

Console.WriteLine("Файл політики обслужений.");

Отже, ми маємо повністю працездатний сервер політики. На жаль, його поки що не можна протестувати, тому що надбудова Silverlight не дозволяє явно вимагати файли політики. Натомість вона автоматично запитує їх при спробі використовувати сокетну програму. Перед створенням клієнтської програми для цієї сокетної програми необхідно створити сервер.

У попередніх статтях цього циклу ви навчилися ефективно використовувати функціонал локальних безпекових політик, що дозволяє максимально захистити інфраструктуру вашої організації від атак недоброзичливців ззовні, а також від більшості дій некомпетентних співробітників. Ви вже знаєте, як можна ефективно налаштувати політики облікових записів, які дозволяють керувати складністю паролів ваших користувачів, налаштовувати політики аудиту для подальшого аналізу автентифікації ваших користувачів у журналі безпеки. Крім цього, ви навчилися призначати права для ваших користувачів для запобігання завданню шкоди своїй системі і навіть комп'ютерам у вашій інтрамережі, а також знаєте як можна ефективно налаштувати журнали подій, групи з обмеженим доступом, системні служби, реєстр та файлову систему. У цій статті ми продовжимо вивчення локальних безпекових політик, і ви дізнаєтеся про налаштування безпеки провідних мереж для вашого підприємства.

У серверних операційних системах компанії Microsoft, починаючи з Windows Server 2008, з'явився компонент політик провідної мережі (IEEE 802.3), який забезпечує автоматичну конфігурацію для розгортання послуг провідного доступу з автентичністю IEEE 802.1X для мережевих клієнтів Ethernet 802.3. Для реалізації параметрів безпеки провідних мереж засобами групових політик в операційних системах використовується служба дротяного автоналаштування (Wired AutoConfig – DOT3SVC). Поточна служба відповідає за автентифікацію IEEE 802.1X при підключенні до мереж Ethernetза допомогою сумісних комутаторів 802.1X, а також керує профілем, що використовується з метою налаштування мережного клієнта для доступу з автентичністю. Також варто зазначити, що якщо ви використовуватимете дані політики, то бажано заборонити користувачам вашого домену змінювати режим запуску даної служби.

Налаштування політики провідної мережі

Задати налаштування політики провідних мереж ви можете безпосередньо з оснастки. Щоб налаштувати дані параметри, виконайте такі дії:

Відкрийте оснастку та в дереві консолі виберіть вузол, натисніть на ньому правою кнопкою миші та з контекстного меню виберіть команду «Створення нової політики провідних мереж для Windows Vista та пізніших версій», як показано на наступній ілюстрації:
Рис. 1. Створення політики провідної мережі
У діалоговому вікні, що відкрилося. «Нова політика для провідних мереж Properties», на вкладці «Загальні», Ви можете встановити службу автоналаштування дротових мереж для налаштування адаптерів локальних мереж для підключення до дротової мережі. Крім параметрів політики, які поширюються на операційні системи Windows Vista і пізніші, існують деякі опції, які застосовуватимуться лише до операційних систем Windows 7 та Windows Server 2008 R2. На цій вкладці можна виконувати такі дії:
- Ім'я політики. У цьому текстовому полі ви можете задавати найменування для вашої політики проводової мережі. Ім'я політики ви зможете побачити в області відомостей вузла "Політики дротової мережі (IEEE 802.3)"оснащення Редактор управління груповими політиками;
- Опис. Це текстове поле призначене для заповнення детального опису призначення політики провідної мережі;
- Використовувати службу автоналаштування дротових мереж Windows для клієнтів. Ця опція виконує реальне налаштування та підключає клієнтів до дротової мережі 802.3. Якщо вимкнути цю опцію, то операційна система Windows не контролюватиме дротове мережне підключеннята параметри політики діяти не будуть;
- Заборонити використання загальних облікових даних користувача для автентифікації мережі. Цей параметр визначає, чи слід користувачеві забороняти зберігати загальні облікові дані користувача для автентифікації мережі. Локально ви можете змінювати цей параметр за допомогою команди netsh lan set allowexplicitcreds;
- Увімкнути період блокування. Ця установка визначає, чи потрібно забороняти комп'ютеру автоматично підключатися до проводової мережі протягом зазначеної кількості хвилин. За промовчанням вказано 20 хвилин. Налаштовується період блокування від 1 до 60 хвилин.

«Загальні»політики провідної мережі:

Рис. 2. Вкладка «Загальні» діалогового вікна параметрів політики провідної мережі

На вкладці «Безпека»надано параметри конфігурації методу автентифікації та режиму проводового підключення. Ви можете налаштувати такі параметри безпеки:
- Увімкнути автентифікацію IEEE 802.1X для доступу до мережі. Ця опція використовується безпосередньо для увімкнення або вимкнення автентифікації 802.1X мережного доступу. За замовчуванням ця опція включена;
- Виберіть метод автентифікації мережі. За допомогою цього списку ви можете вказати один з методів перевірки справжності мережевих клієнтів, який буде застосований для вашої політики проводової мережі. Доступні для вибору такі два параметри:
  - Microsoft: Захищені EAP (PEAP). Для цього методу автентифікації, вікно «Властивості»містить параметри конфігурації використовуваного методу автентифікації;
  - Microsoft: смарт-картки або інший сертифікат. Для цього методу автентифікації, у вікні «Властивості»надано параметри конфігурації, за допомогою яких можна вказати смарт-картку або сертифікат для підключення, а також список довірених кореневих центрів сертифікації.
За замовчуванням вибрано метод Microsoft: захищені EAP (PEAP);
Режим автентифікації. Цей список, що розкривається, застосовується для виконання мережевої перевірки автентичності. Для вибору доступні такі чотири параметри:
- Перевірка автентифікації користувача або комп'ютера. Якщо цей параметр вибрано, облікові дані безпеки будуть використовуватися на основі поточного стану комп'ютера. Навіть якщо в систему не входив жоден користувач, автентифікація буде виконуватися за обліковими даними комп'ютера. При вході користувача будуть використовуватися облікові дані користувача. Компанія Microsoft рекомендує в більшості випадків використовувати саме цей параметр автентифікації.
- Тільки для комп'ютера. У цьому випадку автентифікація виконується лише для облікових даних комп'ютера;
- Перевірка автентичності користувача. При виборі цього параметра включається примусова автентифікація користувача тільки при підключенні до нового пристрою 802.1X. У всіх інших випадках автентифікація виконується лише для комп'ютера;
- Перевірка справжності гостя. Цей параметр дозволяє підключатися до мережі на основі гостьового облікового запису.
Максимальна кількість помилок автентифікації. Цей параметр дозволяє вказати максимальну кількість помилок під час автентифікації. Значення за замовчуванням – 1;
Кешувати дані користувача для наступних підключень до цієї мережі. При включенні даного параметра, облікові дані користувача будуть зберігатися в системному реєстрі, при виході користувача з системи та при наступному вході облікові дані не будуть запитуватися.

На наступній ілюстрації відображено вкладку «Безпека»даного діалогового вікна:

Рис. 3. Вкладка «Безпека» діалогового вікна параметрів політики провідної мережі

Властивості режимів автентифікації

Як говорилося в попередньому розділі, для обох методів автентифікації є додаткові налаштування, які викликаються після натискання на кнопку «Властивості». У цьому розділі розглянемо всі можливі параметри для методів автентифікації.

Налаштування методу автентифікації «Microsoft: Захищені EAP (PEAP)»

EAP (Extensible Authentication Protocol, Розширюваний Протокол Аутентифікації) – це інфраструктура аутентифікації, що розширюється, яка визначає формат посилки. Для налаштування цього методу автентифікації доступні такі параметри:

Увімкнути швидке перепідключення. Дана опція дозволяє користувачам з бездротовими комп'ютерамишвидко переміщатися між точками доступу без повторної автентифікації в нової мережі. Таке перемикання може працювати тільки для точок доступу, які налаштовані як клієнти RADIUS. За замовчуванням ця опція увімкнена;

Увімкнути захист доступу до мережі. При виборі цієї опції, перед дозволом підключення до мережі претендентів EAP для визначення перевірки вимог працездатності будуть виконуватися відповідні перевірки;

Вимкнутись, якщо сервер не підтримує прив'язку з шифруванням через механізм TLV. Ця опція відповідає за переривання клієнтами, що підключаються, процесу перевірки автентичності в тому випадку, якщо RADIUS-сервер не надає криптографічного значення прив'язки TLV, яка підвищує безпеку TLS-тунелю в PEAP, поєднуючи способи внутрішньої і зовнішньої перевірки автентичності, щоб зловмисники не могли виконувати атаки третьої сторони;

Включити посвідчення конфіденційності. Цей параметр відповідає за те, щоб клієнти не могли надсилати своє посвідчення перед тим, як клієнт перевірив справжність сервера RADIUS, і за необхідності забезпечувати місце для введення значення анонімного посвідчення.

Діалогове вікно властивостей захищеного EAP відображено на наступній ілюстрації:

Рис. 5. Діалогове вікно властивостей захищеного EAP

Налаштування методу автентифікації «Смарт-картки або інший сертифікат – налаштування EAP-TLS»

Для налаштування цього методу автентифікації існують такі параметри:

При підключенні використовувати мою смарт-картку. Якщо ви встановите перемикач на цю позицію, клієнти, які виконують запити автентифікації, будуть представляти сертифікат смарт-картки для мережевої автентифікації;
При підключенні використовувати сертифікат на цьому комп'ютері. При виборі цієї опції, під час перевірки підключення клієнтів використовуватиметься сертифікат, розташований у сховищі поточного користувача чи локального комп'ютера;
Використовувати вибір простого сертифіката. Ця опція дозволяє операційній системі Windows відфільтровувати сертифікати, які не відповідають вимогам автентифікації;
Перевіряти сертифікат сервера. Дана опція дозволяє задавати перевірку сертифіката сервера, який надається на клієнтські комп'ютери на наявність валідного непростроченого підпису, а також наявність довіреного кореневого центру сертифікації, який видав сертифікат серверу
Підключатися до серверів. Ця опція ідентична однойменної опції, про яку розповідалося у попередньому розділі;
Довірені кореневі центри сертифікації. Також, як і в діалоговому вікні властивостей захищеного EAP, у цьому списку ви можете знайти всі довірені кореневі центри сертифікації, які встановлені у сховищах сертифіката користувача та комп'ютера;
Не вимагати користувача авторизувати нові сервери або довірені Центри Сертифікації. Установивши прапорець для цієї опції, за наявності неправильно настроєного сертифіката сервера або присутнього у списку для користувача, не відображатиметься діалогове вікно з пропозицією авторизації такого сертифіката. За замовчуванням цю опцію вимкнено;
Використовувати для підключення інше ім'я користувача. Цей параметр визначає, чи потрібно використовувати для автентифікації ім'я користувача, відмінне від імені користувача в сертифікаті. При включеній опції використання іншого імені користувача вам необхідно вибрати щонайменше один сертифікат зі списку довірених кореневих центрів сертифікації.

Діалогове вікно налаштувань смарт-карток або інших сертифікатів відображається на наступній ілюстрації:

Рис. 6. Діалогове вікно налаштувань смарт-карток або інших сертифікатів

Якщо ви не впевнені в сертифікаті, який ви вибираєте, то натиснувши на кнопку «Переглянути сертифікат»Ви зможете переглянути всі докладні відомості про вибраний сертифікат, як показано нижче:

Рис. 7. Перегляд сертифіката зі списку довірених кореневих центрів сертифікації

Додаткові параметри безпеки політики провідних мереж

Ви напевно звернули увагу на те, що на вкладці «Безпека»діалогового вікна параметрів політики провідної мережі є ще додаткові параметри безпеки, призначені для зміни поведінки мережевих клієнтів, які подають запити на доступ з автентичністю 802.1X. Додаткові параметриполітик провідних мереж можна розділити на дві групи – налаштування IEEE 802.1X та налаштування єдиного входу. Розглянемо кожну з цих груп:

У групі налаштувань IEEE 802.1X ви можете вказати характеристики запитів провідних мереж з автентичністю 802.1Х. Для зміни доступні такі параметри:

Застосувати додаткові параметри 802.1X. Ця опція дозволяє активувати наступні чотири параметри;
Макс. EAPOL-повідомлень. EAPOL - це протокол EAP, який використовується до того, як комп'ютер встигає аутентифікуватися, і тільки після успішного «логіна» весь решта трафік зможе проходити через той порт комутатора, до якого підключений даний комп'ютер. Цей параметр відповідає за максимальну кількість повідомлень EAPOL-Start;
Період затримки (сек). Цей параметр відповідає за затримку в секундах перед виконанням наступного запиту автентифікації 802.1X після отримання повідомлення про відмову при автентичності;
Start Period (період початку). Цей параметр відповідає за час очікування перед повторним надсиланням послідовних повідомлень EAPOL-Start;
Період перевірки (сек). Цей параметр визначає число секунд між повторною передачею початкових повідомлень EAPOL після ініціації наскрізної перевірки доступу 802.1X;
Повідомлення EAPOL-Start. За допомогою цього параметра можна вказати такі характеристики передачі початкових повідомлень EAPOL:
- Не передавати. При виборі цього параметра, EAPOL повідомлення не будуть надсилатися;
- Передано. При виборі цього параметра клієнту потрібно буде вручну відправляти початкові повідомлення EAPOL;
- Передача за протоколом IEEE 802.1X. при виборі цього параметра (він визначений за умовчанням) повідомлення EAPOL будуть надсилатися в автоматичному режимі, очікуючи запуску автентифікації 802.1Х.

При використанні єдиного входу, автентифікація повинна виконуватися на основі конфігурації безпеки мережі в процесі входу користувача в операційну систему. Для повного налаштуванняпрофілів єдиного входу до системи доступні такі параметри:

Включити єдину реєстрацію для мережі. При включенні цієї опції активуються налаштування єдиного входу до системи;
Увімкнути безпосередньо перед входом користувача. Якщо ви встановите перемикач на цю опцію, то автентифікація 802.1Х буде виконуватися перед завершенням входу користувача в систему;
Увімкнути відразу після входу користувача. Якщо ви встановите перемикач на цю опцію, то автентифікація 802.1Х буде виконуватися після завершення входу користувача в систему;
Макс. затримка підключення. Цей параметр задає максимальний час, за який повинна бути завершена автентифікація і, відповідно, як довго чекатиме користувач перед появою вікна входу користувача в систему;
Дозволити відображення додаткових діалогових віконпри єдиному вході. Цей параметр відповідає за відображення діалогового вікна входу користувача до системи;
Ця мережа використовує різні віртуальні локальні мережі для автентифікації за обліковими даними комп'ютерів та користувачів. При вказанні цієї настройки, при запуску, всі комп'ютери будуть поміщатися в одну віртуальну мережу, а після успішного входу користувача в систему, залежно від дозволів, будуть перетворюватися на різні віртуальні мережі. Цю опцію має сенс активувати лише в тому випадку, якщо у вас на підприємстві використовується декілька віртуальних локальних мереж VLAN.

Діалогове вікно додаткових параметрів безпеки політики провідних мереж відображено на наступній ілюстрації:

Рис. 8. Діалогове вікно додаткових параметрів безпеки політики провідних мереж

Висновок

У цій статті ви ознайомилися з усіма параметрами політики провідних мереж IEE 802.1X. Ви дізнались, як можна створити таку політику, а також дізнались про методи автентифікації EAP та перевірки за допомогою смарт-карток або інших сертифікатів. У наступній статті ви дізнаєтесь про локальних політиківбезпеки диспетчера списку мереж.

Політики в Exchange Server 2003 призначені для підвищення гнучкості адміністрування при одночасному зниженні навантаження на адміністраторів. Політика – це набір конфігураційних установок, які застосовуються до одного або кількох об'єктів одного класу в Exchange . Наприклад, можна створити політику, яка впливає на певні параметри деяких або всіх серверів Exchange. Якщо потрібно змінити ці параметри, достатньо модифікувати цю політику, і вона буде застосована до відповідної організації сервера.

Існує два види політик: системна політика (system policy) та політика одержувачів (recipient policy). Політики одержувачів застосовуються до об'єктів з доступом до пошти та вказують, як генеруються адреси електронної пошти. Йдеться про політиків одержувачів йде у "Створення та управління одержувачами". Системні політики застосовуються до серверів, сховищ поштових скриньок та сховищ спільних папок. Ці політики відображаються у контейнері Policies (Політики) усередині групи, відповідальної за адмініструванняцієї політики (рис. 12.10).

Рис. 12.10.Об'єкт "системна політика"

Примітка. Під час інсталяції Exchange Server 2003 не створюється стандартний контейнер для системних політик. Його необхідно створити перед розбудовою системних політик. Клацніть правою кнопкою миші на групі адміністрування, в якій потрібно створити папку політики, наведіть вказівник миші на New (Створити) і виберіть System Policy Container (Контейнер системної політики).

Створення системної політики

Для створення системної політики потрібно перейти у відповідний контейнер System Policies (Системні політики), клацнути правою кнопкою миші на контейнері, після чого вибрати тип політики, що створюється: політика сервера, політика сховища поштових скриньок або політика сховища спільних папок.

При роботі з системними політиками не забудьте створити об'єкт політику в групі, яка відповідає за адміністрування цієї політики. Інакше може статися помилка у виборі людей, які здійснюють адміністративний контроль за критично важливими політиками. Розглянемо, як створюється кожен із трьох типів політик, починаючи з політик серверів.

Створення політики серверів

Політика серверів визначає параметри відстеження повідомлень та обслуговування файлів журналів. Вона не застосовується до параметрів безпеки або інших параметрів серверів у цій групі адміністрування. Щоб створити політику серверів, клацніть правою кнопкою миші на контейнері System Policies (Системні політики), вкажіть New (Створити) і виберіть пункт Server Policy (Політика серверів). З'явиться діалогове вікно New Policy (Створення політики), показане на рис. 12.11 , в якому вказуються вкладки, що відображаються на сторінці властивостей цієї політики. Для політики серверів є лише одна опція: вкладка General (Загальні). Позначте опцію для цієї вкладки та натисніть OK. Відобразиться вікно конфігурації, в якому буде створено цю політику.

Рис. 12.11.

Після цього потрібно ввести ім'я політики у вікні вкладки General сторінки властивостей цієї політики. Як показано на малюнку 12.12, насправді існує дві вкладки General. Перший вкладка використовується для введення імені політики. Виберіть ім'я для опису завдання, для якого призначена ця політика, наприклад Message Tracking Policy (Політика відстеження повідомлень) або Enable Subject Logging Policy (Політика "Активізувати реєстрацію тем повідомлень"). Відповідне ім'я, обране на цій стадії, заощадить час роботи, оскільки не буде необхідності відкривати сторінку властивостей цієї політики, щоб визначити її призначення.

Вкладка General (Policy) (Загальні [Політика]), показана на рис. 12.13 містить реальні параметри політики, що застосовуються до серверів Exchange розглянутої організації. Вкладка називається General (Policy), оскільки потенційно здійснюється конфігурація вкладки General сторінок властивостей для всіх серверів. (Нижче в цій лекції ми розглянемо, як застосовувати цю політику до всіх серверів організації.) Якщо порівняти цю вкладку з вкладкою General на сторінці властивостей якогось сервера, стане видно, що ці вкладки збігаються, за винятком ідентифікуючої інформації вгорі вкладки.

На вкладці General (Policy) активізується реєстрація та відображення на екрані тем повідомлень (Enable subject logging and display) для всіх серверів Exchange 2003. Ця установка діє в поєднанні з опцією Enable Message Tracking (Активізувати відстеження повідомлень), що дозволяє відстежувати повідомлення, що передаються в організації. Ці опції корисні для пошуку та усунення джерела проблем, що виникають, коли деякі користувачі не одержують повідомлень від інших користувачів. Існує можливість відстеження проходження повідомлення через організацію для визначення місця, де є проблеми з передачею даних. Докладніше про відстеження повідомлень та реєстрацію тем повідомлень розповідається в лекції 6 "Функціональність, безпека та підтримка Exchange Server 2003".

Рис. 12.12.

Рис. 12.13.

Після того, як політика почала діяти, її не можна змінити лише на рівні локальних серверів. Політика відстеження повідомлень, яку ми використовували як приклад, була сформована на сервері EX-SRV1 у групі адміністрування Arizona. на

Функціонал в операційній системі Windows Server розрахунок і покращується від версії до версії, ролей та компонентів стає все більше, тому в сьогоднішньому матеріалі я спробую коротко розповісти опис та призначення кожної ролі у Windows Server 2016.

Перш ніж переходити до опису серверних ролей Windows Server, давайте дізнаємося, що взагалі таке « Роль сервера» в операційній системі Windows Server.

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)- Це програмний комплекс, який забезпечує виконання сервером певної функції, і ця функція є основною. Іншими словами, " Роль сервера»- це призначення сервера, тобто. навіщо він потрібний. Щоб сервер міг виконувати власну основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

Сервер може мати одну роль, якщо вона активно використовується, або кілька, якщо кожна з них не сильно навантажує сервер і використовується рідко.

У роль сервера може включатися кілька служб ролі, які забезпечують функціональні можливостіролі. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить багато служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

Служби ролей можуть бути встановлені разом або окремо залежно від Ваших потреб. За своєю суттю встановлення ролі означає встановлення однієї чи кількох її служб.

У Windows Server також існують і « Компоненти» сервера.

Компоненти сервера (Feature)– це програмні засоби, які є роллю сервера, але розширюють можливості однієї чи кількох ролей, чи керують однією чи кількома ролями.

Деякі ролі не можуть бути встановлені, якщо на сервері не встановлені обов'язкові служби або компоненти, необхідні для функціонування даних ролей. Тому в момент встановлення таких ролей. Майстер додавання ролей та компонентів» сам, автоматично запропонує Вам встановити потрібні додаткові служби ролей або компоненти.

Опис серверних ролей Windows Server 2016

З багатьма ролями, які є в Windows Server 2016, напевно, Ви вже знайомі, тому що вони існують досить довгий час, але як я вже сказав, з кожною новою версією Windows Server додаються нові ролі, з якими можливо Ви ще не працювали, але хотіли б дізнатися, навіщо вони потрібні, тому давайте розпочинати їх розгляду.

Примітка! Про нові можливості операційної системи Windows Server 2016 можна прочитати у матеріалі « Встановлення Windows Server 2016 та огляд нових можливостей ».

Так як дуже часто установка та адміністрування ролей, служб та компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.

DHCP-сервер

Ця роль дозволяє централізовано налаштовувати динамічні IP-адреси та пов'язані з ними параметри комп'ютерів та пристроїв у мережі. У ролі DHCP-сервер немає служб участі.

Назва Windows PowerShell – DHCP.

DNS-сервер

Ця роль призначена для дозволу імен у мережах TCP/IP. Роль DNS-сервер забезпечує та підтримує роботу DNS. Для спрощення управління DNS-сервером його зазвичай встановлюють тому ж сервері, як і доменні служби Active Directory. У ролі DNS-сервер немає служб участі.

Назва ролі для PowerShell – DNS.

Hyper-V

За допомогою ролі Hyper-V можна створювати віртуалізоване середовище та керувати нею. Іншими словами, це інструмент для створення та управління віртуальними машинами.

Назва ролі для Windows PowerShell – Hyper-V.

Атестація працездатності пристроїв

Роль « » дозволяє оцінювати працездатність пристрою на основі виміряних показників параметрів безпеки, наприклад, показники стану безпечного завантаження та засоби Bitlocker на клієнті.

Для функціонування цієї ролі необхідно чимало служб ролей і компонентів, наприклад: кілька служб із ролі « Веб-сервер (IIS)», компонент « », компонент « Функції .NET Framework 4.6».

Під час встановлення всі необхідні служби ролей та компоненти будуть вибрані автоматично. У ролі « Атестація працездатності пристроївсвоїх служб ролі немає.

Назва PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Надає надійну, керовану та масштабовану інфраструктуру веб-додатків. Складається із досить великої кількості служб (43).

Назва для Windows PowerShell – Web-Server.

Включає наступні служби ролі ( у дужках я вказуватиму назву для Windows PowerShell):

Веб-сервер (Web-WebServer)– група служб ролі, яка надає підтримку веб-сайтів HTML, розширень ASP.NET, ASP та веб-сервера. Складається з наступних служб:

Безпека (Web-Security)- Набір служб для безпеки веб-сервера.
- Фільтрування запитів (Web-Filtering) – за допомогою цих засобів можна обробляти всі запити, що надходять на сервер, та фільтрувати ці запити на основі спеціальних правил, заданих адміністратором веб-сервера;
- IP-адреса та обмеження домену (Web-IP-Security) – ці засоби дозволяють дозволяти або забороняти доступ до вмісту на веб-сервері з урахуванням IP-адреси або імені домену джерела в запиті;
- Авторизація URL-адреси (Web-Url-Auth) - засоби дозволяють розробляти правила для обмеження доступу до веб-вмісту та пов'язувати їх з користувачами, групами або командами заголовка HTTP;
- Дайджест-перевірка справжності (Web-Digest-Auth) - дана перевіркаавтентичності дозволяє забезпечити більш високий рівеньбезпеки в порівнянні зі звичайною автентифікацією. Дайджест-перевірка для автентифікації користувачів діє за принципом передачі хеша пароля контролеру домену Windows;
- Звичайна автентифікація (Web-Basic-Auth) - цей метод автентифікації забезпечує надійну сумісність веб-браузера. Рекомендується використовувати у невеликих внутрішніх мережах. Основний недолік цього методу полягає в тому, що паролі, що передаються по мережі, можна досить просто перехопити і розшифрувати, тому використовуйте цей метод у поєднанні з SSL;
- Перевірка автентичності Windows(Web-Windows-Auth) – це автентифікація в домені Windows. Іншими словами, Ви можете використовувати облікові записи Active Directory для автентифікації користувачів своїх Web сайтів;
- Перевірка автентичності зі зіставленням сертифіката клієнта (Web-Client-Auth) – цей метод автентифікації передбачає використання сертифіката клієнта. Для порівняння сертифікатів цей тип використовує служби Active Directory;
- Перевірка автентичності зі зіставленням сертифіката клієнта IIS (Web-Cert-Auth) – в даному методіДля автентифікації також застосовуються сертифікати клієнтів, але для забезпечення зіставлення сертифікатів тут використовуються служби IIS. Цей тип забезпечують вищу продуктивність;
- Централізована підтримка SSL-сертифіката (Web-CertProvider) – ці кошти дозволяє централізовано керувати сертифікатами сервера SSL, що значно спрощує процес керування цими сертифікатами;
Справність та діагностика (Web-Health)– набір служб для забезпечення контролю, управління та усунення порушень у роботі веб-серверів, сайтів та додатків:
- Ведення журналу http (Web-Http-Logging) - гроші забезпечують ведення журналу активності сайту цьому сервері, тобто. запис лога;
- Ведення журналу ODBC (Web-ODBC-Logging) – ці засоби також забезпечують ведення журналу активності веб-сайту, але вони підтримують реєстрацію цієї активності у базі даних, сумісної з ODBC;
- Монітор запитів (Web-Request-Monitor) – це інструмент, який дозволяє спостерігати за справністю веб-програми, перехоплюючи інформацію про HTTP-запити в робочому процесі IIS;
- Настроювання ведення журналу (Web-Custom-Logging) – за допомогою цих засобів можна налаштувати ведення журналу активності веб-сервера у форматі, що значно відрізняється від стандартного формату IIS. Іншими словами Ви можете створити власний модуль ведення журналу;
- Засоби ведення журналу (Web-Log-Libraries) – це інструменти керування журналами веб-сервера та автоматизації завдань ведення журналу;
- Трасування (Web-Http-Tracing) – це засіб для діагностування та усунення порушень у роботі веб-додатків.
Загальні функції http (Web-Common-Http)- Набір служб, які надають основні функціональні можливості HTTP:
- Документ за замовчуванням (Web-Default-Doc) – ця можливість дозволяє налаштовувати веб-сервер для повернення документа, передбаченого за умовчанням, для тих випадків, коли користувачі не вказують конкретний документ в URL-адресі запиту, завдяки чому користувачам стає зручніше звертатися до веб-сайту, наприклад, по домену, не вказуючи при цьому файл;
- Огляд каталогу (Web-Dir-Browsing) – за допомогою цього засобу можна налаштувати веб-сервер так, щоб користувачі могли переглядати список усіх каталогів та файлів на веб-сайті. Наприклад, для випадків, коли користувачі не вказують файл в URL-адресі запиту, документи за замовчуванням або заборонені, або не налаштовані;
- Помилки http (Web-Http-Errors) – ця можливість дозволяє налаштовувати повідомлення про помилки, які будуть повертатися на веб-браузери користувачів у момент виявлення веб-сервером помилки. Цей засіб використовується для зручнішого подання користувачам повідомлень про помилки;
- Статичний вміст (Web-Static-Content) - даний засібдозволяє використовувати на веб-сервері контент як статичних форматів файлів, наприклад, HTML файли або файли зображень;
- Перенаправлення http (Web-Http-Redirect) – за допомогою цієї можливості можна перенаправити запит користувача за конкретним призначенням, тобто. це Redirect;
- Публікація WebDAV (Web-DAV-Publishing) дозволяє використовувати технологію WebDAV на WEB сервер IIS. WebDAV ( Web Distributed Authoring and Versioning) – це технологія, що дозволяє користувачам спільно працювати ( читати, редагувати, зчитувати властивості, копіювати, переміщувати) над файлами на віддалених веб-серверах, використовуючи при цьому протокол HTTP.
Продуктивність (Web-Performance)– набір служб для досягнення більш високої продуктивності веб-сервера, за рахунок кешування вихідних даних та загальних механізмів стиснення, таких як Gzip та Deflate:
- Стиснення статичного вмісту (Web-Stat-Compression) – це засіб для налаштування стиснення статичного вмісту http, що дозволяє більш ефективно використовувати пропускну здатність, при цьому без зайвого навантаження на ЦП;
- Стиснення динамічного вмісту (Web-Dyn-Compression) - це засіб налаштування стиснення динамічного вмісту HTTP. Цей засіб забезпечує більш ефективне використання пропускну здатність, але в даному випадку навантаження на ЦП сервера, пов'язане з динамічним стиском, може викликати уповільнення роботи сайту, якщо навантаження на ЦП і без стиснення високе.
Розробка програм (Web-App-Dev)– набір служб та засобів для розробки та розміщення веб-додатків, іншими словами технології розробки сайтів:
- ASP (Web-ASP) – середовище підтримки та розробки web сайтів та web додатків з використанням технології ASP. На даний момент існує нова та просунута технологія розробки сайтів - ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) – це об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням технології ASP.NET;
- ASP.NET 4.6 (Web-Asp-Net45) - це також об'єктно орієнтоване середовище розробки web сайтів та веб-додатків з використанням нової версії ASP.NET;
- CGI (Web-CGI) – це можливість використання CGI передачі веб-сервером інформації у зовнішню програму. CGI - це стандарт інтерфейсу для зв'язку зовнішньої програми з web-сервером. Є недолік, застосування CGI впливає продуктивність;
- Увімкнення на стороні сервера (SSI) (Web-Includes) – це підтримка мови сценаріїв SSI ( включення на стороні сервера), який використовується для динамічного формування сторінок HTML;
- Ініціалізація додатків (Web-AppInit) – цей засіб виконує завдання ініціалізації web-додатків перед пересиланням веб-сторінки;
- Протокол WebSocket (Web-WebSockets) - додавання можливості створення серверних програм, які взаємодіють за допомогою протоколу WebSocket. WebSocket - це протокол, який може передавати та приймати одночасно дані між браузером та web серверомповерх TCP-з'єднання, свого роду розширення протоколу HTTP;
- Розширення ISAPI (Web-ISAPI-Ext) – підтримка динамічної розробки веб-вмісту за допомогою прикладного програмного інтерфейсу ISAPI. ISAPI – це API для веб-сервера IIS. Програми ISAPI працюють набагато швидше, ніж файли ASP або файли, що викликають компоненти COM+;
- Розширюваність.NET 3.5 (Web-Net-Ext) – це засіб розширюваності.NET 3.5, який дозволяє змінювати, додавати і розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, в конфігурації та в інтерфейсі користувача;
- Розширюваність.NET 4.6 (Web-Net-Ext45) – це засіб розширюваності.NET 4.6, який також дозволяє змінювати, додавати та розширювати функціональні можливості web сервера у всьому конвеєрі обробки запитів, у конфігурації та в інтерфейсі користувача;
- Фільтри ISAPI (Web-ISAPI-Filter) – додавання підтримки фільтрів ISAPI. Фільтри інтерфейсу ISAPI являють собою програми, які викликаються при отриманні web сервером певного запиту HTTP, що підлягає обробці цим фільтром.

FTP – сервер (Web-Ftp-Server)– служби, які забезпечують підтримку протоколу FTP. Докладніше про FTP сервер ми говорили в матеріалі – «Встановлення та налаштування FTP серверана Windows Server 2016». Містить такі служби:

Служба FTP (Web-Ftp-Service) – додає підтримку протоколу FTP на веб-сервері;
Розширюваність FTP (Web-Ftp-Ext) – розширює стандартні можливості FTP, наприклад, додає підтримку таких функцій як постачальники, що настроюються, користувачі ASP.NET або користувачі диспетчера IIS.

Засоби керування (Web-Mgmt-Tools)– це засоби керування веб-сервером IIS 10. До них можна віднести: користувальницький інтерфейс IIS, засоби командного рядка та скрипти.

Консоль керування службами IIS (Web-Mgmt-Console) – це інтерфейс керування службами IIS;
Набори символів та засоби керування службами IIS (Web-Scripting-Tools) - це засоби та скрипти керування службами IIS за допомогою командного рядка або скриптів. Їх можна використовувати, наприклад, для автоматизації керування;
Служба керування (Web-Mgmt-Service) – ця служба додає можливість керувати web-сервером віддалено з іншого комп'ютера з використанням диспетчера IIS;
Управління сумісністю з IIS 6 (Web-Mgmt-Compat) – забезпечує сумісність додатків та сценаріїв, що використовують два API IIS. Існуючі скрипти IIS 6 можна використовувати для керування веб-сервером IIS 10:
- Метабаза сумісності з IIS 6 (Web-Metabase) - засіб сумісності, який дозволяє запускати додатки та набори символів, перенесені з попередніх версій IIS;
- Інструменти скриптів IIS 6 (Web-Lgcy-Scripting) – ці інструменти дозволяють використовувати ті ж служби скриптів IIS 6, які були створені для керування IIS 6, у IIS 10;
- Консоль керування службами IIS 6 (Web-Lgcy-Mgmt-Console) - засіб адміністрування віддалених серверів IIS 6.0;
- Сумісність із WMI IIS 6 (Web-WMI) - це інтерфейси скриптів інструментарію управління Windows(WMI) для програмного контролю та автоматизації завдань веб-сервера IIS 10.0 за допомогою набору скриптів, створеного у постачальнику WMI.

Доменні служби Active Directory

Роль « Доменні служби Active Directory» (AD DS) забезпечує розподілену базу даних, яка зберігає та обробляє інформацію про мережеві ресурси. Цю роль використовують для організації елементів мережі, таких як користувачі, комп'ютери та інші пристрої в ієрархічну структуру захисної оболонки. Ієрархічна структура включає ліси, домени в лісі, а також організаційні одиниці (OU) в кожному домені. Сервер, який працює під керуванням AD DS, називається контролером домену.

Назва ролі для Windows PowerShell – AD-Domain-Services.

Режим Windows Server Essentials

Ця роль є комп'ютерною інфраструктурою та надає зручні та ефективні функції, наприклад: зберігання даних клієнта в централізованому місці та захист цих даних за рахунок резервного копіюваннясервера та клієнтських комп'ютерів, віддалений веб-доступ, що дозволяє отримувати доступ до даних практично з будь-якого пристрою. Для роботи цієї ролі необхідно кілька служб ролей та компонентів, наприклад: компоненти BranchCache, система архівації Windows Server, управління груповою політикою, служба ролі « Простори імен DFS».

Назва PowerShell – ServerEssentialsRole.

Мережевий контролер

Ця роль з'явилася в Windows Server 2016, вона є єдиною точкою автоматизації для управління, моніторингу та діагностики, фізичної та віртуальної мережевої інфраструктури в центрі обробки даних. За допомогою цієї ролі можна з однієї точки налаштовувати IP-підмережі, VLAN, фізичні мережеві адаптери Hyper-V хостів, управляти віртуальними комутаторами, фізичними маршрутизаторами, налаштуваннями файрвола та VPN-шлюзами.

Назва Windows PowerShell – NetworkController.

Служба опікуна вузла

Це роль сервера розміщеної служби Guardian (HGS), вона надає служби атестації та захисту ключів, що дозволяють захищеним вузлам запускати екрановані віртуальні машини. Для функціонування цієї ролі необхідно кілька додаткових ролей та компонентів, наприклад: доменні служби Active Directory, Веб-сервер (IIS), компонент « Відмовостійка кластеризація" та інші.

Назва PowerShell – HostGuardianServiceRole.

Служби Active Directory полегшеного доступу до каталогів

Роль « Служби Active Directory полегшеного доступу до каталогів» (AD LDS) – це полегшена версія AD DS, яка має меншу функціональність, але не вимагає розгортання доменів або контролерів доменів, а також не має залежностей і доменних обмежень, які потрібні для служб AD DS. AD LDS працює за протоколом LDAP ( Lightweight Directory Access Protocol). На одному сервері можна розгорнути кілька екземплярів AD LDS із незалежно керованими схемами.

Назва для PowerShell - ADLDS.

Служби MultiPoint

Це також нова роль, яка з'явилася в Windows Server 2016. Служби MultiPoint (MPS) надають базову функціональність віддалених робочих столів, що дозволяє кільком користувачам одночасно і незалежно один від одного працювати на тому самому комп'ютері. Для встановлення та функціонування цієї ролі потрібно встановити кілька додаткових служб та компонентів, наприклад: Сервер друку, службу Windows Search, засіб перегляду XPS та інші, всі вони будуть вибрані автоматично в момент встановлення MPS.

Назва ролі PowerShell – MultiPointServerRole.

Служби Windows Server Update Services

За допомогою цієї ролі (WSUS) системні адміністраториможуть керувати Оновленнями Microsoft. Наприклад, створювати окремі групи комп'ютерів для різних наборів оновлень, а також отримувати звіти про відповідність комп'ютерів вимогам та оновленням, які потрібно встановити. Для функціонування « Служби Windows Server Update Services» потрібні такі служби ролей та компоненти як: Веб-сервер (IIS), внутрішня база даних Windows, служба активації процесів Windows.

Назва Windows PowerShell – UpdateServices.

WID Connectivity (UpdateServices-WidDB) - встановлення в WID ( Windows Internal Database) бази даних, що використовується WSUS. Іншими словами, свої службові дані WSUS зберігатиме у WID;
WSUS Services (UpdateServices-Services) – це і є служби ролі WSUS, такі як служба оновлення, веб-служба звітів, веб-служба віддаленої взаємодії з API, веб-служба клієнта, веб-служба простої автентифікації через Інтернет, служба синхронізація сервера та веб-служба автентифікації DSS;
SQL Server Connectivity (UpdateServices-DB) – це установка компонента, який дозволяє службі WSUS підключатися до бази даних Microsoft SQL Server. Цей варіант передбачає зберігання службових даних у базі даних Microsoft SQL Server. У даному випадку у Вас вже повинен бути встановлений принаймні один екземпляр SQL Server.

Служби активації корпоративних ліцензій

За допомогою цієї ролі сервера можна автоматизувати та спростити видачу корпоративних ліцензій на програмне забезпечення від компанії Microsoft, а також дозволяє керувати цими ліцензіями.

Назва PowerShell – VolumeActivation.

Служби друку та документів

Ця роль сервера призначена для надання спільного доступу до принтерів та сканерів у мережі, для централізованого налаштування та управління серверами друку та сканування, а також управління мережевими принтерамита сканерами. Служби друку та документів також дозволяє надсилати відскановані документи електронній пошті, у загальні мережеві папкиабо на веб-сайти Windows SharePoint Services.

Назва для PowerShell - Print-Services.

Сервер друку (Print-Server) – дана служба ролі включає оснастку « Управління печаткою», яка використовується для керування принтерами або серверами друку, а також міграції принтерів та інших серверів друку;
Друк через Інтернет (Print-Internet) – для реалізації друку через Інтернет створюється веб-сайт, за допомогою якого користувачі можуть керувати завданнями друку на сервері. Для роботи цієї служби як Ви знаєте необхідно встановити « Веб-сервер (IIS)». Усі необхідні компоненти будуть вибрані автоматично, коли Ви позначите цей пункт під час процесу встановлення служби ролі « Друк через Інтернет»;
Сервер розподіленого сканування (Print-Scan-Server) – це служба, яка дозволяє приймати відскановані документи з мережевих сканерів та надсилати їх за місцем призначення. Ця служба також містить оснастку « Управління скануванням», яка використовується для керування мережевими сканерами та для налаштування сканування;
Служба LPD (Print-LPD-Service) – служба LPD ( Line Printer Daemon) дозволяє комп'ютерам на базі UNIX та іншим комп'ютерам, що використовують службу Line Printer Remote (LPR), друкувати на загальних принтерах сервера.

Служби політики мережі та доступу

Роль « » (NPAS) дозволяє за допомогою сервера політики мережі (NPS) задавати та застосовувати політики доступу до мережі, автентифікації та авторизації, а також працездатності клієнта, іншими словами, забезпечувати безпеку мережі.

Назва Windows PowerShell – NPAS.

Служби розгортання Windows

За допомогою цієї ролі можна віддалено інсталювати операційну систему Windows через мережу.

Назва ролі для PowerShell - WDS.

Сервер розгортання (WDS-Deployment) – дана служба ролі призначена для віддаленого розгортання та налаштування операційних систем Windows. Вона також дозволяє створювати та налаштовувати образи для повторного використання;
Транспортний сервер (WDS-Transport) – це служба містить основні мережеві компоненти, за допомогою яких Ви можете передавати дані шляхом багатоадресної розсилки на автономному сервері.

Служби сертифікатів Active Directory

Ця роль призначена для створення центрів сертифікації та пов'язаних служб ролей, які дозволяють видавати сертифікати для різних програм та керувати такими сертифікатами.

Назва Windows PowerShell – AD-Certificate.

Включає такі ролі:

Центр сертифікації (ADCS-Cert-Authority) – за допомогою цієї служби ролі можна видавати сертифікати користувачам, комп'ютерам та службам, а також керувати дійсністю сертифіката;
Веб-служба політик реєстрації сертифікатів (ADCS-Enroll-Web-Pol) – ця служба дозволяє користувачам та комп'ютерам отримувати інформацію про політику реєстрації сертифікатів за допомогою веб-браузера, навіть якщо комп'ютер не входить до домену. Для її функціонування необхідний Веб-сервер (IIS)»;
Веб-служба реєстрації сертифікатів (ADCS-Enroll-Web-Svc) – дана служба дозволяє користувачам та комп'ютерам реєструвати та продовжувати сертифікати за допомогою веб-браузера за протоколом HTTPS, навіть якщо комп'ютер не входить до домену. Для її функціонування також необхідний Веб-сервер (IIS)»;
Мережевий відповідач (ADCS-Online-Cert) – служба, призначена для перевірки відкликання сертифіката для клієнтів. Іншими словами, вона приймає запит про стан відкликання для конкретних сертифікатів, оцінює стан цих сертифікатів та надсилає зворотно підписану відповідь з інформацією про статус. Для функціонування служби необхідний Веб-сервер (IIS)»;
Служба реєстрації в центрі сертифікації через Інтернет (ADCS-Web-Enrollment) – ця служба надає користувачам веб-інтерфейс для виконання таких завдань, як запити та продовження сертифікатів, отримання списків відкликання сертифікатів та реєстрація сертифікатів смарт-карток. Для функціонування служби необхідний Веб-сервер (IIS)»;
Служба реєстрації на мережних пристроях (ADCS-Device-Enrollment) – за допомогою цієї служби можна видавати сертифікати для маршрутизаторів та інших мережних пристроїв, які не мають облікових записів, а також керувати цими сертифікатами. Для функціонування служби необхідний Веб-сервер (IIS)».

Служби віддалених робочих столів

Роль сервера, за допомогою якої можна організувати доступ до віртуальних робочих столів, до робочих столів, заснованих на сеансах, та до віддаленим програмам RemoteApp.

Назва ролі для Windows PowerShell - Remote-Desktop-Services.

Складається з наступних служб:

Веб-доступ до віддалених робочих столів (RDS-Web-Access) - дана служба ролі дозволяє користувачам отримати доступ до віддалених робочих столів та програм RemoteApp через меню « Пуск» або за допомогою веб-браузера;
Ліцензування віддалених робочих столів (RDS-Licensing) – служба призначена для керування ліцензіями, які необхідні для підключення до сервера вузла сеансів віддалених робочих столів або до віртуального робочого столу. Її можна використовувати для встановлення, видачі ліцензій та відстеження їхньої доступності. Для роботи цієї служби необхідний Веб-сервер (IIS)»;
Посередник підключень до віддаленого робочого столу (RDS-Connection-Broker) - служба ролі, яка забезпечує наступні можливості: повторне підключення користувача до існуючого віртуального робочого столу, додатку RemoteApp і робочого столу на основі сеансів, а також рівномірний розподіл навантаження між серверами вузлів сеансів робочих столів чи між віртуальними робочими столами у складі пулу. Для роботи цієї служби необхідний компонент « »;
Вузол віртуалізації віддалених робочих столів (DS-Virtualization) - служба дозволяє користувачам підключатися до віртуальних робочих столів за допомогою підключення до віддалених робочих столів та програм RemoteApp. Ця служба працює разом із Hyper-V, тобто. дана роль має бути встановлена;
Вузол сеансів віддалених робочих столів (RDS-RD-Server) – за допомогою цієї служби можна розміщувати на сервері віддалені програми RemoteApp і на основі сеансів робочі столи. Для доступу використовується клієнт підключення до віддаленого робочого столу або віддалених програм RemoteApp;
Шлюз віддалених робочих столів (RDS-Gateway) – служба дозволяє авторизованим віддаленим користувачам підключатися до віртуальних робочих столів, віддалених програм RemoteApp та робочих столів, заснованих на сеансах, в корпоративній мережі або через Інтернет. Для функціонування цієї служби необхідні такі додаткові служби та компоненти: « Веб-сервер (IIS)», « Служби політики мережі та доступу», « RPC через HTTP-проксі».

Служби керування правами Active Directory

Це роль сервера, яка дозволить захистити інформацію від несанкціонованого використання. Вона перевіряє посвідчення користувачів та надає авторизованим користувачам ліцензії на доступ до захищених даних. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Служба активації процесів Windows», « Функції .NET Framework 4.6».

Назва для Windows PowerShell - ADRMS.

Сервер управління правами Active Directory (ADRMS-Server) - основна служба ролі, обов'язкова установки;
Підтримка федерації посвідчень (ADRMS-Identity) – це додаткова служба ролі, яка дозволяє федеративним посвідченням використовувати захищений вміст за допомогою служб федерації Active Directory.

Служби федерації Active Directory

Ця роль надає спрощені та безпечні можливості федерації посвідчень, а також функцію єдиного входу (SSO) на веб-сайти за допомогою браузера.

Назва PowerShell – ADFS-Federation.

Віддалений доступ

Ця роль забезпечує підключення через DirectAccess, VPN та проксі веб-програми. Також роль « Віддалений доступ» надає традиційні можливості маршрутизації, включаючи перетворення мережевих адрес (NAT) та інші параметри підключень. Для роботи цієї ролі необхідні додаткові служби та компоненти: « Веб-сервер (IIS)», « Внутрішня база даних Windows».

Назва ролі для Windows PowerShell - RemoteAccess.

DirectAccess та VPN (RAS) (DirectAccess-VPN) - служба дозволяє користувачам підключатися до корпоративної мережі у будь-який час за наявності доступу до Інтернету через DirectAccess, а також організовувати VPN підключення у поєднанні з технологіями тунелювання та шифрування даних;
Маршрутизація (Routing) – служба забезпечує підтримку маршрутизаторів NAT, маршрутизаторів локальної мережіз протоколами BGP, RIP та маршрутизаторів з підтримкою багатоадресної розсилки (IGMP-проксі);
Проксі-сервер веб-застосунків (Web-Application-Proxy) - служба дозволяє публікувати програми на основі протоколів HTTP і HTTPS з корпоративної мережі на клієнтських пристроях, що знаходяться за межами корпоративної мережі.

Файлові служби та служби сховища

Це роль сервера, за допомогою якої можна надавати загальний доступдо файлів та папок, керувати спільними ресурсами та контролювати їх, здійснювати реплікацію файлів, забезпечувати швидкий пошук файлів, а також надавати доступ для клієнтських комп'ютерів UNIX. Докладніше файлові служби та зокрема файловий сервер ми розглядали у матеріалі «Встановлення файлового сервера (File Server) на Windows Server 2016».

Назва Windows PowerShell – FileAndStorage-Services.

Служби зберігання (Storage-Services)– ця служба надає функціональність управління сховищем, яка встановлюється завжди і не може бути видалена.

Файлові служби та служби iSCSI (File-Services)– це технології, які спрощують керування файловими серверами та сховищами, дозволяють заощаджувати місце на диску, забезпечують реплікацію та кешування файлів у філіях, а також надають загальний доступ до файлів за протоколом NFS. Включає такі ролі:

Файловий сервер (FS-FileServer) – служба ролі, яка керує спільними папками та надає користувачам доступ до файлів на цьому комп'ютері через мережу;
Дедуплікація даних (FS-Data-Deduplication) – ця служба заощаджує місце на диску за рахунок зберігання на томі лише однієї копії ідентичних даних;
Диспетчер ресурсів файлового сервера (FS-Resource-Manager) – за допомогою цієї служби можна керувати файлами та папками на файловому сервері, створювати звіти сховища, класифікувати файли та папки, налаштовувати квоти папок та визначати політики блокування файлів;
Постачальник цільового сховища iSCSI (апаратні постачальники VDS та VSS) (iSCSITarget-VSS-VDS) – служба дозволяє програмам на сервері, підключеному до мети iSCSI, виконувати тіньове копіювання томів на віртуальних дисках iSCSI;
Простір імен DFS (FS-DFS-Namespace) – за допомогою цієї служби можна групувати спільні папки, розміщені на різних серверах, в один або кілька логічно структурованих просторів імен;
Робочі папки (FS-SyncShareService) – служба дозволяє використовувати робочі файли на різних комп'ютерах, включаючи робочі та особисті. У робочих папках можна зберігати файли, синхронізувати їх та отримувати доступ до них з локальної мережі або Інтернету. Для функціонування служби необхідний компонент « Внутрішньопроцесне веб-ядро IIS»;
Реплікація DFS (FS-DFS-Replication) – це модуль реплікації даних між кількома серверами, що дозволяє синхронізувати папки через підключення до локальної чи глобальної мережі. Ця технологіявикористовує протокол віддаленого стиснення (RDC) для оновлення тільки тієї частини файлів, яка була змінена з моменту останньої реплікації. Реплікацію DFS можна застосовувати як разом із просторами імен DFS, так і окремо;
Сервер для NFS (FS-NFS-Service) – служба дозволяє цьому комп'ютеру спільно використовувати файли з комп'ютерами на базі UNIX та іншим комп'ютерам, які використовують мережний протокол файлової системи(NFS);
Сервер мети iSCSI (FS-iSCSITarget-Server) – надає служби та засоби керування для цілей iSCSI;
Служба BranchCache для мережних файлів (FS-BranchCache) – служба забезпечує підтримку BranchCache на цьому файловому сервері;
Служба агента VSS файлового сервера (FS-VSS-Agent) – служба дозволяє виконувати тіньове копіювання томів для додатків, які зберігають файли даних на цьому файловому сервері.

Факс-сервер

Роль надсилає та приймає факси, а також дозволяє керувати ресурсами факсу, такими як завдання, параметри, звіти та факсимільні пристрої на цьому комп'ютері або в мережі. Для роботи необхідний Сервер друку».

Назва ролі для Windows PowerShell - Fax.

На цьому огляд серверних ролей Windows Server 2016 закінчено, сподіваюся, матеріал був Вам корисний, поки що!

Застосування групових політик (частина 3)

Зазвичай об'єкти групової політики призначаються на контейнер (домен, сайт або OU) та застосовуються до всіх об'єктів у цьому контейнері. При грамотно організованій структурі домену цього цілком достатньо, проте іноді потрібно додатково обмежити застосування політик певною групою об'єктів. Для цього можна використовувати два типи фільтрів.

Фільтри безпеки

Фільтри безпеки дозволяють обмежити застосування політик певною групою безпеки. Для прикладу візьмемо GPO2, за допомогою якого проводиться централізоване налаштування меню Пуск на робочих станціях Windows 8.1\Windows 10. GPO2 призначений на OU Employees і застосовується до всіх без винятку користувачів.

Тепер перейдемо на вкладку Scope, де в розділі Security Filtering вказані групи, до яких може бути застосований даний GPO. За замовчуванням вказується група Authenticated Users. Це означає, що політика може бути застосована до будь-комукористувачеві або комп'ютеру, який успішно пройшов аутентифікацію в домені.

Насправді, кожен GPO має свій список доступу, який можна побачити на вкладці «Delegation».

Для застосування політики об'єкт повинен мати права на її читання (Read) та застосування (Apply group policy), які є у групи Authenticated Users. Відповідно, щоб політика застосовувалася не до всіх, а лише до певної групи, необхідно видалити зі списку Authenticated Users, потім додати потрібну групута видати їй відповідні права.

Так, у нашому прикладі політика може застосовуватися тільки до групи Accounting.

WMI фільтри

Windows Management Instrumentation (WMI) - один із найпотужніших інструментів для керування операційною системою Windows. WMI містить безліч класів, за допомогою яких можна описати практично будь-які параметри користувача і комп'ютера. Переглянути всі наявні класи WMI у вигляді списку можна за допомогою PowerShell, виконавши команду:

Get-WmiObject -List

Наприклад візьмемо клас Win32_OperatingSystemщо відповідає за властивості операційної системи. Припустимо, що потрібно відфільтрувати всі операційні системи, крім Windows 10. Заходимо на комп'ютер із встановленою Window 10, відкриваємо консоль PowerShell і виводимо ім'я, версію та тип операційної системи за допомогою команди:

Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, ProductType

Для фільтра використовуємо версію та тип ОС. Версія однакова для клієнтських та серверних ОС і визначається так:

Windows Server 2016\Windows 10 - 10.0
Window Server 2012 R2\Windows 8.1 - 6.3
Windows Server 2012\Windows 8 - 6.2
Window Server 2008 R2\Windows 7 - 6.1
Windows Server 2008\Windows Vista - 6.0

Тип продукту відповідає за призначення комп'ютера і може мати 3 значення:

1 - робоча станція;
2 – контролер домену;
3 – сервер.

Тепер переходимо безпосередньо до створення фільтра. Для цього відкриваємо оснащення Group Policy Management і переходимо до розділу WMI Filters. Клацаємо на ньому правою кнопкою миші і в контекстному меню вибираємо пункт «New».

У вікні даємо фільтру ім'я та опис. Потім тиснемо кнопку "Add" і поле "Query" вводимо WQL запит, який і є основою WMI фільтра. Нам необхідно відібрати ОС версії 10.0 з типом 1 відповідно запит буде виглядати так:

SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″10.0%″ AND ProductType = ″1″

Примітка. Windows Query Language (WQL) – мова запитів WMI. Докладніше про нього можна дізнатися на MSDN.

Зберігаємо фільтр, що вийшов.

Тепер залишилося лише призначити WMI фільтр на об'єкт групової політики, наприклад GPO3. Переходимо до властивостей GPO, відкриваємо вкладку Scope і в полі WMI Filtering вибираємо зі списку потрібний фільтр.

Аналіз застосування групових політик

За такої кількості способів фільтрації GPO необхідно мати можливість діагностики та аналізу їх застосування. Найпростіше перевірити дію групових політик на комп'ютері можна за допомогою утиліти командного рядка gpresult.

Для прикладу зайдемо на комп'ютер wks2, на якому встановлена Windows 7, і перевіримо, чи спрацював WMI фільтр. Для цього відкриваємо консоль cmd з правами адміністратора та виконуємо команду gpresult /r, яка виводить сумарну інформацію про групових політиків, застосованих до користувача та комп'ютера.

Примітка.Утиліта gpresult має безліч налаштувань, які можна подивитися командою gpresult /?.

Як видно з отриманих даних, до комп'ютера не застосовано політику GPO3, оскільки її відфільтрували за допомогою фільтра WMI.

Також перевірити дію GPO можна з оснастки Group Policy Management, за допомогою спеціального майстра. Для запуску майстра клацаємо правою клавішею миші на розділі «Group Policy Results» і в меню вибираємо пункт «Group Policy Results Wizard».

Вказуємо ім'я комп'ютера, для якого буде складено звіт. Якщо потрібно переглянути лише налаштування користувача групової політики, налаштування для комп'ютера можна не збирати. Для цього потрібно поставити галочку знизу (display user policy settings only).

Потім вибираємо ім'я користувача, для якого будуть збиратися дані, або можна вказати не включати до звіту налаштування групової політики для користувача (display computer policy settings only).

Перевіряємо вибрані налаштування, тиснемо «Next» і чекаємо, поки збираються дані та генерується звіт.

Звіт містить вичерпні дані про об'єкти групових політик, застосовані (або не застосовані) до користувача та комп'ютера, а також про використовувані фільтри.

Для прикладу складемо звіти для двох різних користувачів та порівняємо їх. Першим відкриємо звіт для користувача Kirill і перейдемо до розділу налаштувань користувача. Як бачите, до цього користувача не застосовано політику GPO2, оскільки він не має прав на її застосування (Reason Denied - Inaсcessible).

А тепер відкриємо звіт користувача Oleg. Цей користувач є членом групи Accounting, тому політика була успішно застосована. Це означає, що фільтр безпеки успішно відпрацював.

На цьому, мабуть, я закінчу захоплюючу розповідь про застосування групових політик. Сподіваюся ця інформація буде корисною і допоможе вам у нелегкій справі системного адміністрування 🙂

Вітання. Не можеш самостійно зареєструвати собі обліковий запис?
пишіть у лс - vk.com/watsonshit
- Реєструємо акаунти на замовлення.
- Допомагаємо з 1 та 2 етапом UCP.
- Швидке та якісне обслуговування.
- Гарантії, відгуки. За безпеку відповідаємо.
- Абсолютно різні сервери з UCP реєстрацією.
Pacific Coast Project – SW Project тощо.

Не знайшли відповідь на запитання?Пишіть у коментарі відповідь видам.

) Для чого призначений OOC чат?
- 1) Це чат, який не впливає на ігровий процес.

2) Що мається на увазі під терміном рольова гра?
- 2) Рольова гра - це вид гри в якій потрібно відігравати обрану мною роль.

3) Якщо якась ситуація складається не на вашу користь (вбивство/грабіж). Ваші події?
- 2) Продовжу грати незважаючи ні на що.

2) Ви отримали гроші від читера, що ви робитимете?
- 4) Повідомлю адміністрацію сервера, відпишуся в спеціальну тему і сіллю гроші в /charity.

3) Чи маєте ви право вбити офіцера поліції?
- 1) Звичайно, я можу вбити офіцера поліції, тільки якщо у мене є вагома причина.

1) Чи дозволено проводити проїзд повз з місця водія?
- 4) Ні, такі дії заборонені правилами сервера.

4) Чи дозволені ліки знаменитостей та героїв фільмів/серіалів/мультфільмів?
- 3) Ні, заборонено.

5) Під час перестрілки технічно вбили трьох персонажів, але через деякий час ці самі персонажі вже знову грали свої ролі. До якого типу вбивств це стосується?
- 2) Player Kill.

7) У вас стріляють, але ви не хочете вмирати, і тому...
- 4) Ви спробуєте втекти та вижити рольовим шляхом.

2) Чи маєте ви право користуватися Bunny-Hop??
- 3) Так, я маю право ним користуватися, якщо я нікому не заважаю.

7) Що ви зробите, якщо у вас є пропозиція щодо розвитку сервера?
- 3) Напишу про це у відповідному розділі на форумі.

3) Чи є обов'язковим відписувати дії під час використання малогабаритної зброї?
- 4) Ні.

2) Ви вперше на сервері і зовсім не знаєте команд, що ви робитимете?
- 3) Поставлю питання адміністрації командою /askq, потім дочекаюся відповіді.

3) Навіщо призначена команда /coin?
- для вирішення всіх спірних ситуацій

1) Що таке Metagaming?
- 2) Це використання позарольової інформації при відіграванні ролі.

6) Гравець, чий персонаж був технічно вбитий під час перестрілки, вирішив помститися кривдникам і без жодних рольових причин убив одного з опонентів. Які порушення тут із боку гравця?
- 3) Revenge kill.

10) Чи дозволено поповнювати кількість здоров'я під час бійки перестрілки?
- 4) Ні.

8) Чи дозволено вогонь по співробітникам LSPD і чим він загрожує?
- 4) Так, звичайна перестрілка закінчується ПК для обох сторін. Якщо це кейс-файл або рейд, поліції видається PK, а злочинцям СК.

6) Яка максимальна сума для пограбування, яка не потребує перевірок адміністрації?
- 1) $500

9) Які мови можна використовувати на сервері?
- 1) Російська.

7) Після довгої та ретельної підготовки, кілер виконав замовлення – він убив. План був прорахований до дрібниць, тому замовник щедро заплатив. Що в цьому випадку зараховується до жертви?
- 1) Character Kill.

9) Чи дозволено викрадення урядових автомобілів?
- 2) Так, але необхідно попередньо запитати у адміністратора, а також діяти згідно з 9 пунктом ігрових правил.

8) У яких випадках ви можете відігравати сексуальне насильство та жорстокість?
- 2) Сексуальне насильство і жорстокість можна грати лише за згодою всіх осіб, що беруть участь у РП.

10) Що потрібно робити, якщо ви вважаєте, що гра йде не за правилами?
- 1) Написати в /report, якщо адміністратор відсутня - написати скаргу на форумі.

7) Скільки награного годинника має бути у гравця для того, щоб його можна було пограбувати?
- 3) 8 годин.

8) Вкажіть правильне використання команди /coin. Після:
- Me зупинив дихання, і завдав удару по м'ячу, намагаючись закинути його в лунку.

8) Вкажіть правильне використання команди /me:
- /me широко посміхнувся, дивлячись прямо в очі Лінди. Підійшов ближче, акуратно прийняв її.

ПРОДАЖ ВІРТУАЛЬНОЇ ВАЛЮТУ НА СЕРВЕРАХ PACIFIC COAST PROJECT І GRINCH ROLE PLAY.
ВСЯ ІНФОРМАЦІЯ У ГРУПІ!
vk.com/virtongarant

Що таке "Роль сервера" у Windows Server?

Роль сервера (Server Role)- Це програмний комплекс, який забезпечує виконання сервером певної функції, і ця функція є основною. Іншими словами, " Роль сервера» - Це призначення сервера, тобто. навіщо він потрібний. Щоб сервер міг виконувати власну основну функцію, тобто. певну роль, в « Роль сервера» включено все необхідне для цього програмне забезпечення ( програми, служби).

У роль сервера може включатися кілька служб ролі, які забезпечують функціональні можливості роли. Наприклад, у роль сервера « Веб-сервер (IIS)» включено досить багато служб, а роль « DNS-сервер» не входять служби ролі, оскільки ця роль виконує лише одну функцію.

У Windows Server також існують і « Компоненти» сервера.

Опис серверних ролей Windows Server 2016

Примітка! Про нові можливості операційної системи Windows Server 2016 можна прочитати у матеріалі «Встановлення Windows Server 2016 та огляд нових можливостей».

Так як дуже часто установка та адміністрування ролей, служб і компонентів відбувається з використанням Windows PowerShell , я для кожної ролі та її служби вказуватиму назву, яку можна використовувати в PowerShell, відповідно для її установки або для керування.