Дайте подробное описание политики сервера. Команда GPResult: диагностика результирующих групповых политик

Лекция 4 Сервер политики сети: RADIUS-сервер, RADIUS-прокси и сервер политик защиты

Лекция 4

Тема: Сервер политики сети: RADIUS-сервер, RADIUS-прокси и сервер политик защиты доступа к сети

Введение

Windows Server 2008 и Windows Server 2008 R2 -высокотехнологичные операционные системы Windows Server, разработанные, чтобы дать начало новому поколению сетей, приложений и веб-служб. С помощью этих операционных систем можно разрабатывать, доставлять и управлять гибким и всеобъемлющим взаимодействием с пользователями и приложениями, создавать сетевые инфраструктуры с высоким уровнем безопасности и увеличивать технологическую эффективность и организованность в своей организации.

Сервер сетевых политик

Сервер политики сети позволяет создавать и применять политики доступа к сети на уровне организации для обеспечения работоспособности клиентов, а также выполнения проверки подлинности и авторизации запросов на подключение. Кроме того, сервер политики сети можно использовать в качестве RADIUS-прокси для перенаправления запросов на подключение на сервер политики сети или другие RADIUS-серверы, настроенные в группах удаленных RADIUS-серверов.

Сервер политики сети позволяет централизованно настраивать политики проверки подлинности, авторизации и работоспособности клиента при предоставлении доступа к сети и управлять этими политиками с помощью следующих трех возможностей:

RADIUS server. Сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет для беспроводных подключений, подключений по коммутаторам с проверкой подлинности, подключений удаленного доступа и подключений по виртуальной частной сети (VPN). При использовании сервера политики сети в качестве RADIUS-сервера, серверы доступа к сети, такие как точки беспроводного доступа и VPN-серверы, настраиваются как RADIUS-клиенты на сервере политики сети. Кроме того, настраиваются политики сети, используемые сервером политики сети для авторизации запросов на подключение. В дополнение к этому можно настроить RADIUS-учет, чтобы данные заносились сервером политики сети в файлы журнала, хранящиеся на локальном жестком диске или в базе данных Microsoft SQL Server.

RADIUS proxy. Если сервер политики сети используется в качестве RADIUS-прокси, необходимо настроить политики запросов на подключение, которые определяют, какие запросы на подключение сервер политики сети будет перенаправлять на другие RADIUS-серверы, а также на какие конкретно RADIUS-серверы будут перенаправляться эти запросы. На сервере политики сети можно также настроить перенаправление учетных данных для их хранения на одном или нескольких компьютерах в группе удаленных RADIUS-серверов.

Network Access Protection (NAP) policy server. Если сервер политики сети настроен в качестве сервера политик защиты доступа к сети, сервер политики сети оценивает состояния работоспособности, направляемые клиентскими компьютерами с поддержкой защиты доступа к сети, которые пытаются подключиться к сети. Сервер сетевых политик, на котором настроена защита доступа к сети, выступает в качестве RADIUS-сервера, выполняя проверку подлинности и авторизацию запросов на подключение. На сервере политики сети можно настроить политики и параметры защиты доступа к сети, в том числе устройства проверки работоспособности системы, политику работоспособности и группы серверов обновлений, которые обеспечивают обновление конфигурации клиентских компьютеров в соответствии с сетевой политикой организации.

На сервере политики сети можно настроить любое сочетание перечисленных выше возможностей. Например, сервер политики сети может выступать в качестве сервера политик защиты доступа к сети с использованием одного или нескольких методов применения, одновременно выполняя функции RADIUS-сервера для подключений удаленного доступа и функции RADIUS-прокси для перенаправления некоторых запросов на подключение группе удаленных RADIUS-серверов, что позволяет выполнять проверку подлинности и авторизацию в другом домене.

RADIUS-сервер и RADIUS-прокси

Сервер политики сети может использоваться в качестве RADIUS-сервера, RADIUS-прокси или обоих этих устройств одновременно.

RADIUS-сервер

Сервер политики сети Майкрософт реализован в соответствии со стандартом RADIUS, описанным в документах IETF RFC 2865 и RFC 2866. В качестве RADIUS-сервера сервер политики сети централизованно выполняет проверку подлинности, авторизацию и учет подключений для разных типов доступа к сети, включая беспроводной доступ, коммутирование с проверкой подлинности, удаленный доступ и доступ к VPN, а также подключения между маршрутизаторами.

Сервер политики сети позволяет использовать разнородный набор оборудования для беспроводного доступа, удаленного доступа, сетей VPN и коммутирования. Сервер политики сети можно использовать со службой маршрутизации и удаленного доступа, которая доступны в операционных системах Microsoft Windows 2000 Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition.

Если компьютер с сервером политики сети является членом домена Active Directory®, сервер политики сети использует эту службу каталогов в качестве базы данных учетных записей пользователей и является частью решения для единого входа. Тот же набор учетных данных используется для управления доступом к сети (проверка подлинности и авторизация доступа к сети) и для входа в домен Active Directory.

Поставщики услуг Интернета и организации, которые обеспечивают доступ к сети, сталкиваются с более сложными задачами, связанными с необходимостью осуществлять управление любыми типами сетей из единой точки администрирования независимо от используемого оборудования доступа к сети. Стандарт RADIUS поддерживает такую функциональность как в однородных, так и в разнородных средах. Протокол RADIUS является клиент-серверным протоколом, который позволяет оборудованию доступа к сети (выступающему в качестве RADIUS-клиентов) направлять RADIUS-серверу запросы на проверку подлинности и учета.

RADIUS-сервер имеет доступ к сведениям учетной записи пользователя и может проверять учетные данные при проверке подлинности для предоставления доступа к сети. Если учетные данные пользователя являются подлинными, и попытка подключения прошла авторизацию, RADIUS-сервер авторизует доступ данного пользователя с учетом указанных условий и заносит сведения о подключении в журнал учета. Использование протокола RADIUS позволяет собирать и обслуживать данные о проверке подлинности, авторизации и учете в едином расположении вместо выполнения этой операции на каждом сервере доступа.

RADIUS-прокси

В качестве RADIUS-прокси сервер политики сети перенаправляет сообщения проверки подлинности и учета на другие RADIUS-серверы.

С помощью сервера политики сети организации могут передать инфраструктуру удаленного доступа на внешнее управление поставщику услуг, в то же время сохраняя контроль над проверкой подлинности, авторизацией и учетом пользователей.

Конфигурации сервера политики сети могут создаваться для следующих сценариев:

Беспроводной доступ

Подключение удаленного доступа или виртуальной частной сети в организации.

Удаленный доступ или беспроводной доступ, обеспечиваемый внешней организацией

Доступ к Интернету

Доступ с проверкой подлинности к ресурсам внешней сети для деловых партнеров

Примеры конфигураций RADIUS-сервера и RADIUS-прокси

В следующих примерах конфигурации демонстрируется настройка сервера политики сети в качестве RADIUS-сервера и RADIUS-прокси.

NPS as a RADIUS server. В этом примере сервер политики сети настроен как RADIUS-сервер, единственной настроенной политикой является установленная по умолчанию политика запросов на подключение, а все запросы на подключение обрабатываются локальным сервером политики сети. Сервер политики сети может выполнять проверку подлинности и авторизацию пользователей, учетные записи которых находятся в домене данного сервера или в доверенных доменах.

NPS as a RADIUS proxy. В этом примере сервер политики сети настроен как RADIUS-прокси, который перенаправляет запросы на подключение в группы удаленных RADIUS-серверов в двух разных доменах без доверия. Установленная по умолчанию политика запросов на подключение удаляется, а вместо нее создаются две новые политики запросов на подключение, предусматривающие перенаправление запросов в каждый из двух доменов без доверия. В этом примере сервер политики сети не обрабатывает запросы на подключение на локальном сервере.

NPS as both RADIUS server and RADIUS proxy. В дополнение к установленной по умолчанию политике запросов на подключение, которая предусматривает локальную обработку запросов, создается новая политика запросов на подключение, предусматривающая их перенаправление на сервер политики сети или другой RADIUS-сервер, находящийся в домене без доверия. Вторая политика имеет имя Прокси. В данном примере политика "Прокси" отображается первой в упорядоченном списке политик. Если запрос на подключение соответствует политике "Прокси", данный запрос на подключение перенаправляется на RADIUS-сервер в группе удаленных RADIUS-серверов. Если запрос на подключение не соответствует политике "Прокси", но соответствует установленной по умолчанию политике запросов на подключение, сервер политики сети обрабатывает данный запрос на подключение на локальном сервере. Если запрос на подключение не соответствует ни одной из этих политик, он отклоняется.

NPS as a RADIUS server with remote accounting servers. В этом примере локальный сервер политики сети не настроен на ведение учета, а установленная по умолчанию политика запросов на подключение изменена таким образом, чтобы RADIUS-сообщения учета перенаправлялись на сервер политики сети или иной RADIUS-сервер в группе удаленных RADIUS-серверов. Несмотря на то, что сообщения учета перенаправляются, сообщения проверки подлинности и авторизации не перенаправляются, а соответствующие функции для локального домена и всех доверенных доменов осуществляются локальным сервером политики сети.

NPS with remote RADIUS to Windows user mapping. В этом примере сервер политики сети выступает как в качестве RADIUS-сервера, так и в качестве RADIUS-прокси для каждого отдельного запроса на подключение, перенаправляя запрос на проверку подлинности на удаленный RADIUS-сервер и одновременно выполняя авторизацию с использованием локальной учетной записи пользователя Windows. Такая конфигурация реализуется путем установки атрибута Сопоставление удаленного сервера RADIUS пользователю Windows в качестве условия политики запросов на подключение. (Кроме того, на RADIUS-сервере необходимо создать локальную учетную запись пользователя с тем же именем, что и удаленная учетная запись, по которой будет выполняться проверка подлинности удаленным RADIUS-сервером.)

Сервер политики защиты доступа к сети

Компонент защиты доступа к сети включен в Windows Vista®, Windows® 7, Windows Server® 2008 и Windows Server® 2008 R2. Он помогает обеспечить защиту доступа к частным сетям, гарантируя соответствие параметров клиентских компьютеров действующим в сети организации политикам работоспособности при разрешении этим клиентам доступа к сетевым ресурсам. Кроме того, соответствие клиентского компьютера политике работоспособности, определяемой администратором, отслеживается компонентом защиты доступа к сети в период, когда этот компьютер подключен к сети. Благодаря возможности автоматического обновления защиты доступа к сети может выполняться автоматическое обновление несоответствующих компьютеров в соответствии с политикой работоспособности, что позволяет впоследствии предоставить им доступ к сети.

Системные администраторы определяют политики работоспособности сети и создают эти политики с использованием компонентов защиты доступа к сети, которые доступны на сервере политики сети или поставляются другими компаниями (в зависимости от реализации защиты доступа к сети).

Политики работоспособности могут иметь такие характеристики, как требования к программному обеспечению, требования к обновлениям системы безопасности и требования к параметрам конфигурации. Защита доступа к сети применяет политики работоспособности, проверяя и оценивая работоспособность клиентских компьютеров, ограничивая сетевой доступ для компьютеров, не соответствующих этим требованиям и исправляя это несоответствие с целью предоставления неограниченного доступа к сети.

При установке Windows большая часть второстепенных подсистем не активируется или не устанавливается. Это сделано по причинам безопасности. Поскольку система по умолчанию защищена, системные администраторы могут сосредоточиться на проектировании системы, которая будет выполнять исключительно возложенные на нее функции и ничего лишнего. Для помощи при включении нужных функций, Windows предлагает выбрать роль сервера (Server Role).

Роли

Роль сервера - это набор программ, которые при правильной установке и настройке позволяют компьютеру выполнять определенную функцию для нескольких пользователей или других компьютеров в сети. В общих случаях все роли имеют следующие характеристики.

• Они определяют основную функцию, назначение или цель использования компьютера. Можно назначить компьютер для выполнения одной роли, которая интенсивно используется на предприятии, или для выполнения нескольких ролей, если каждая из них применяется лишь изредка.
• Роли предоставляют пользователям во всей организации доступ к ресурсам, которые управляются другими компьютерами, таким как веб-сайты, принтеры или файлы, хранящиеся на разных компьютерах.
• Они обычно имеют собственные базы данных, в которых создаются очереди запросов пользователя или компьютера либо записываются сведения о сетевых пользователях и компьютерах, имеющих отношение к роли. Например, Службы домена Active Directory содержат базу данных для хранения имен и иерархических связей всех компьютеров в сети.
• После правильной установки и настройки роли функционируют автоматически. Это позволяет компьютерам, на которых они установлены, выполнять назначенные задачи при ограниченном участии пользователя.

Службы ролей

Службы ролей - это программы, которые обеспечивают функциональные возможности роли. При установке роли можно выбрать, какие службы она предоставляет другим пользователям и компьютерам на предприятии. Некоторые роли, такие как DNS-сервер, выполняют только одну функцию, поэтому для них нет служб ролей. Другие роли, такие как службы удаленных рабочих столов, имеют несколько служб, которые можно установить в зависимости от потребностей предприятия в удаленном доступе. Роль можно рассматривать как совокупность тесно связанных, взаимодополняющих служб ролей. В большинстве случаев установка роли означает установку одной или нескольких ее служб.

Компоненты

Компоненты - это программы, которые не являются непосредственно частями ролей, но поддерживают или расширяют функции одной или нескольких ролей либо целого сервера независимо от того, какие роли установлены. Например, компонент «Средство отказоустойчивости кластеров» расширяет функции других ролей, таких как Файловые службы и DHCP-сервер, позволяя им присоединяться к серверным кластерам, что обеспечивает повышенную избыточность и производительность. Другой компонент - «Клиент Telnet» - обеспечивает удаленную связь с сервером Telnet через сетевое подключение. Эта функция расширяет возможности связи для сервера.

Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие роли сервера:

• службы сертификатов Active Directory;
• доменные службы Active Directory;
• DHCP-сервер;
• DNS-сервер;
• файловые службы (в том числе диспетчер ресурсов файлового сервера);
• службы Active Directory облегченного доступа к каталогам;
• Hyper-V;
• службы печати и документов;
• службы потокового мультимедиа;
• веб-сервер (в том числе подмножество ASP.NET);
• сервер обновления Windows Server;
• сервер управления правами Active Directory;
• сервер маршрутизации и удаленного доступа и следующие подчиненные роли:
  • посредник подключений служб удаленных рабочих столов;
  • лицензирование;
  • виртуализация.

Когда Windows Server работает в режиме основных серверных компонентов, поддерживаются следующие компоненты сервера:

• Microsoft .NET Framework 3.5;
• Microsoft .NET Framework 4.5;
• Windows PowerShell;
• фоновая интеллектуальная служба передачи (BITS);
• шифрование диска BitLocker;
• сетевая разблокировка BitLocker;
• BranchCache
• мост для центра обработки данных;
• Enhanced Storage;
• отказоустойчивая кластеризация;
• Multipath I/O;
• балансировка сетевой нагрузки;
• протокол PNRP;
• qWave;
• удаленное разностное сжатие;
• простые службы TCP/IP;
• RPC через HTTP-прокси;
• сервер SMTP;
• служба SNMP;
• клиент Telnet;
• сервер Telnet;
• клиент TFTP;
• внутренняя база данных Windows;
• Windows PowerShell Web Access;
• служба активации Windows;
• стандартизированное управление хранилищами Windows;
• расширение IIS WinRM;
• WINS-сервер;
• поддержка WoW64.

Установка ролей сервера с помощью Server Manager

Для добавления открываем Server Manager, и в меню Manage жмем Add Roles and features:

Откроется мастер добавления ролей и компонентов. Жмем Next

Installation Type, выбираем Role-based or feature-based installation. Next:

Server Selection - выбираем наш сервер. Жмем Next Server Roles - Выберите роли, если необходимо, выберите службы ролей и нажмите кнопку Next, чтобы выбрать компоненты. В ходе этой процедуры Мастер добавления ролей и компонентов автоматически информирует о возникших конфликтах на конечном сервере, которые могут помешать установке или нормальной работе выбранных ролей или компонентов. Также появляется запрос на добавление ролей, служб ролей и компонентов, необходимых для выбранных ролей или компонентов.

Установка ролей с помощью PowerShell

Открываем Windows PowerShell Вводим команду Get-WindowsFeature, чтобы просмотреть список доступных и установленных ролей и компонентов на локальном сервере. Результаты выполнения этого командлета содержат имена команд для ролей и компонентов, установленных и доступных для установки.

Введите Get-Help Install-WindowsFeature для просмотра синтаксиса и допустимых параметров командлета Install-WindowsFeature (MAN).

Вводим следующую команду (-Restart перезагрузит сервер, если при установке роли требуется перезагрузка).

Install-WindowsFeature –Name -Restart

Описание ролей и служб ролей

Ниже описаны все роли и службы ролей. Расширенную настройку посмотрим для самых часто встречающихся в нашей практике Web Server Role и Remote Desktop Services

Подробное описание IIS

• Common HTTP Features - Основные HTTP компоненты
  • Default Document - позволяет устанавливать индексную страницу у сайта.
  • Directory Browsing - позволяет пользователям видеть содержимое каталога на веб-сервере. Используйте Directory Browsing для того, чтобы автоматически сгенерировать список всех каталогов и файлов, имеющихся в каталоге, когда пользователи не указывают файл в URL-адресе и индексная страница отключена или не настроена
  • HTTP Errors - позволяет настроить сообщения об ошибках, возвращаемых клиентам в браузере.
  • Static Content - позволяет размещать статический контент, например, картинки или html-файлы.
  • HTTP Redirection - обеспечивает поддержку перенаправления запросов пользователей.
  • WebDAV Publishing позволяет публиковать файлы с веб-сервера с помощью протокола HTTP.
• Health and Diagnostics Features - Компоненты диагностики
  • HTTP Logging обеспечивает ведение журнала активности веб-сайта для данного сервера.
  • Custom Logging обеспечивает поддержку создания кастомных логов, которые отличаются от “традиционных” журналов.
  • Logging Tools обеспечивает инфраструктуру для управления журналами веб-сервера и автоматизации общих задач ведения журнала.
  • ODBC Logging обеспечивает инфраструктуру, которая поддерживает ведение журнала активности веб-сервера в ODBC-совместимой базе данных.
  • Request Monitor предоставляет инфраструктуру для мониторинга состояния веб-приложений путем сбора информации о HTTP-запросах в рабочем процессе IIS.
  • Tracing предоставляет инфраструктуру для диагностики и устранения неполадок веб-приложений. При использовании трассировки неудачных запросов, вы можете отследить трудно-фиксируемые события, такие как плохая производительность или сбои аутентификации.
• Performance компоненты увеличения производительности веб-сервера.
  • Static Content Compression предоставляет инфраструктуру для настройки HTTP-сжатия статического содержимого
  • Dynamic Content Compression предоставляет инфраструктуру для настройки HTTP-сжатия динамического содержимого.
• Security компоненты безопасности
  • Request Filtering позволяет фиксировать все входящие запросы и фильтровать их на основании правил, установленных администратором.
  • Basic Authentication позволяет установить дополнительную авторизацию
  • Centralized SSL Certificate Support это функция, которая позволяет хранить сертификаты в централизованном месте, как общий файловый ресурс.
  • Client Certificate Mapping Authentication использует клиентские сертификаты для аутентификации пользователей.
  • Digest Authentication работает путем отправки хэша пароля в контроллер домена Windows, для аутентификации пользователей. Если вам необходимо более высокий уровень безопасности по сравнению с обычной проверкой подлинности, рассмотрите вопрос об использовании проверки подлинности Digest
  • IIS Client Certificate Mapping Authentication использует клиентские сертификаты для аутентификации пользователей. Сертификат клиента представляет собой цифровой ID, полученный из надежного источника.
  • IP and Domain Restrictions позволяет разрешать/запрещать доступ на основе запрашиваемого Ip-адреса или доменного имени.
  • URL Authorization позволяет создавать правила, ограничивающие доступ к веб-контенту.
  • Windows Authentication Эта схема аутентификации позволяет администраторам домена Windows пользоваться преимуществами доменной инфраструктуры для аутентификации пользователей.
• Application Development Features компоненты разработки приложений
• FTP Server
  • FTP Service Включает FTP публикации на веб-сервере.
  • FTP Extensibility Включает поддержку FTP функций, расширяющих возможности
• Management Tools инструменты управления
  • IIS Management Console устанавливает диспетчер IIS, который позволяет управлять Веб-сервером через графический интерфейс
  • IIS 6.0 Management Compatibility обеспечивает прямую совместимость для приложений и сценариев, которые используют Admin Base Object (ABO) и интерфейса службы каталогов (ADSI) API Active Directory. Это позволяет использовать существующие сценарии IIS 6.0 веб-сервером IIS 8.0
  • IIS Management Scripts and Tools предоставляют инфраструктуру для управления веб-сервером IIS программно, с помощью команд в окне командной строки или с помощью запуска сценариев.
  • Management Service предоставляет инфраструктуру для настройки интерфейса пользователя, диспетчера IIS.

Подробное описание RDS

• Remote Desktop Connection Broker - Обеспечивает повторное подключение клиентского устройства к программам, на основе сеансов настольных компьютеров и виртуальных рабочих столов.
• Remote Desktop Gateway - Позволяет авторизованным пользователям подключаться к виртуальным рабочим столам, программам RemoteApp и основанных на сессиях рабочим столам в корпоративной сети или через Интернет.
• Remote Desktop Licensing - Средство управления лицензиями RDP
• Remote Desktop Session Host - Включает сервер для размещения программ RemoteApp или сеанса на основе рабочих столов.
• Remote Desktop Virtualization Host - позволяет настраивать RDP на виртуальных машинах
• Remote Desktop WebAccess - Позволяет пользователям подключаться к ресурсам рабочего стола с помощью меню Пуск или веб-браузера.

Рассмотрим установку и настройку сервера терминальных лицензий. Выше рассказано как устанавливать роли, установка RDS не отличается от установки других ролей, в Role Services нам потребуется выбрать Remote Desktop Licensing и Remote Desktop Session Host. После установки в Server Manager-Tools появится пункт Terminal Services. В Terminal Services есть два пункта RD Licensing Diagnoser, это средство диагностики работы лицензирования удаленных рабочих столов, и Remote Desktop Licensing Manager, это средство управления лицензиями.

Запустим RD Licensing Diagnoser

Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов. Сервер лицензирования указывается в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc. Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:

• «Конфигурация компьютера» (Computer Configuration)
• «Административные шаблоны» (Administrative Templates)
• «Компоненты Windows» (Windows Components)
• «Службы удаленных рабочих столов» (Remote Desktop Services)
• «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host)
• «Лицензирование» (Licensing)

Откроем параметры Use the specified Remote Desktop license servers

В окне редактирования параметров политики включаем сервер лицензирования (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем OK. Если в дальнейшем будет изменяться имя сервера, сервер лицензий, то потребуется изменить в этом же разделе.

После этого в RD Licensing Diagnoser можно увидеть, что сервер терминальных лицензий настроен, но не включен. Для включения запускаем Remote Desktop Licensing Manager

Выбираем сервер лицензирования, со статусом Not Activated . Для активации кликаем по нему правой кнопкой мыши и выбираем Activate Server. Запустится Мастер активации сервера. На вкладке Connection Method выбираем Automatic Connection. Далее заполняем информация об организации, после этого сервер лицензий активирован.

Active Directory Certificate Services

Службы AD CS предоставляют настраиваемые услуги по выдаче цифровых сертификатов, которые используются в системах безопасности ПО, применяющих технологии открытых ключей, и по управлению этими сертификатами. Цифровые сертификаты, предоставляемые AD CS, можно использовать для шифрования и цифрового подписывания электронных документов и сообщений.Эти цифровые сертификаты можно использовать для проверки в сети подлинности учетных записей компьютеров, пользователей и устройств.Цифровые сертификаты используются для обеспечения:

• конфиденциальности с помощью шифрования;
• целостности с помощью цифровых подписей;
• проверки подлинности с помощью привязывания ключей сертификата к учетным записям компьютеров, пользователей и устройств в сети.

AD CS можно использовать для повышения безопасности путем привязки удостоверения пользователя, устройства или службы к соответствующему закрытому ключу. В число применений, поддерживаемых AD CS, входят безопасные многоцелевые расширения стандарта почты Интернета (S/MIME), защищенные беспроводные сети, виртуальные частные сети (VPN), протокол IPsec, шифрованная файловая система (EFS), вход с помощью смарт-карт, протокол безопасности передачи данных и протокол безопасности транспортного уровня (SSL/TLS) и цифровые подписи.

Active Directory Domain Services

Используя роль сервера доменных служб Active Directory (AD DS), можно создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами; кроме того, можно обеспечить работу приложений, поддерживающих каталоги, например Microsoft Exchange Server. Доменные службы Active Directory предоставляют распределенную базу данных, в которой хранятся сведения о сетевых ресурсах и данные приложений с поддержкой каталогов, а также осуществляется управление этой информацией. Сервер, на котором выполняются AD DS, называется контроллером домена. Администраторы могут использовать AD DS для упорядочения в иерархическую вложенную структуру таких элементов сети, как пользователи, компьютеры и другие устройства. Иерархическая вложенная структура включает лес Active Directory, домены в лесу и организационные подразделения в каждом домене. Средства безопасности интегрированы в AD DS в виде проверки подлинности и контроля доступа к ресурсам в каталоге. С помощью единого входа в сеть администраторы могут управлять по сети данными каталога и организацией. Авторизованные пользователи сети также могут использовать единый вход в сеть для доступа к ресурсам, расположенным в любом месте сети. Доменные службы Active Directory предоставляют следующие дополнительные возможности.

• Набор правил - схема, определяющая классы объектов и атрибуты, которые содержатся в каталоге, ограничения и пределы для экземпляров этих объектов, а также формат их имен.
• Глобальный каталог, содержащий сведения о каждом объекте в каталоге. Пользователи и администраторы могут использовать глобальный каталог для поиска данных каталога независимо от того, какой домен в каталоге действительно содержит искомые данные.
• Механизм запросов и индексирования, благодаря которому объекты и их свойства могут публиковаться и находиться сетевыми пользователями и приложениями.
• Служба репликации, которая распределяет данные каталога по сети. Все контроллеры домена, доступные для записи в домене, участвуют в репликации и содержат полную копию всех данных каталога для своего домена. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.
• Роли хозяев операций (известные также как гибкие операции с единым хозяином, или FSMO). Контроллеры доменов, исполняющие роли хозяев операций, предназначены для выполнения специальных задач по обеспечению согласованности данных и исключению конфликтующих записей в каталоге.

Active Directory Federation Services

AD FS предоставляют конечным пользователям, которым требуется доступ к приложениям на защищенном с помощью AD FS предприятии, в партнерских организациях федерации или в облаке, возможности упрощенной и безопасной федерации удостоверений и веб-службы единого входа (SSO) В Windows Server AD FS включают службу роли службы федерации, действующую в качестве поставщика удостоверений (выполняет проверку подлинности пользователей для предоставления маркеров безопасности для приложений, доверяющих AD FS) или в качестве поставщика федерации (применяет маркеры от других поставщиков удостоверений и затем предоставляет маркеры безопасности для приложений, доверяющих AD FS).

Active Directory Lightweight Directory Services

Службы Active Directory облегченного доступа к каталогам (AD LDS) - это протокол LDAP, который обеспечивает гибкую поддержку приложений, работающих с каталогами, без зависимостей и связанных с доменами ограничений доменных служб Active Directory. AD LDS можно запускать на рядовых или изолированных серверах. На одном сервере можно запустить несколько экземпляров AD LDS с независимо управляемыми схемами. С помощью роли службы AD LDS можно предоставить службы каталогов для приложений с поддержкой каталогов, не используя служебные данные доменов и лесов и не требуя единой схемы для всего леса.

Active Directory Rights Management Services

Службы AD RMS можно использовать, чтобы расширить стратегию безопасности в организации, обеспечив защиту документов с помощью управления правами на доступ к данным (IRM). AD RMS позволяет пользователям и администраторам назначать разрешения доступа к документам, рабочим книгам и презентациям с помощью политик IRM. Это позволяет защитить конфиденциальную информацию от печати, пересылки или копирования пользователями, не имеющими на это прав. После того как разрешения для файла ограничены с помощью IRM, ограничения доступа и использования применяются независимо от местоположения информации, так как разрешение для файла хранится в самом файле документа. С помощью AD RMS и IRM отдельные пользователи могут применять свои личные настройки, касающиеся передачи личных и конфиденциальных сведений. Они также помогут организации применять корпоративную политику для управления использованием и распространением конфиденциальных и личных сведений. Решения IRM, поддерживаемые службами AD RMS, используются для обеспечения следующих возможностей.

• Постоянные политики использования, которые остаются с информацией независимо от ее перемещения, отправки или пересылки.
• Дополнительный уровень конфиденциальности для защиты конфиденциальных данных - например, отчетов, спецификаций продуктов, сведений о клиентах и сообщений электронной почты - от намеренного или случайного попадания в чужие руки.
• Предотвращение несанкционированной пересылки, копирования, изменения, печати, передачи по факсу или вставки ограничиваемого содержимого авторизованными получателями.
• Предотвращение копирования ограничиваемого содержимого с помощью функции PRINT SCREEN в Microsoft Windows.
• Поддержка срока действия файла, предотвращающего просмотр содержимого документов по истечении заданного периода времени.
• Внедрение корпоративных политик, управляющих использованием и распространением содержимого в организации

Application Server

Сервер приложений предоставляет интегрированную среду для развертывания и выполнения пользовательских бизнес-приложений на базе сервера.

DHCP Server

DHCP - это технология "клиент-сервер", с помощью которой DHCP-серверы могут назначать или сдавать в аренду IP-адреса компьютерам и другим устройствам, являющимся DHCP-клиентами.Развертывание в сети DHCP-серверов обеспечивает автоматическое предоставление клиентским компьютерам и другим сетевым устройствам на базе IPv4 и IPv6 действительных IP-адресов и дополнительных конфигурационных параметров, необходимых данным клиентам и устройствам.Служба DHCP-сервера в Windows Server включает поддержку основанных на политике назначений и обработку отказов протокола DHCP.

DNS Server

Служба DNS - это иерархическая распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, таких как IP-адреса. Служба DNS позволяет использовать понятные имена, такие как www.microsoft.com, для облегчения нахождения компьютеров и других ресурсов в сетях, работающих на базе протокола TCP/IP. Служба DNS в Windows Server обеспечивает дополнительную улучшенную поддержку Модулей безопасности DNS (DNSSEC), включая регистрацию в сети и автоматизированное управление параметрами.

FAX Server

Факс-сервер отправляет и получает факсы, а также дает возможность управлять ресурсами факса, такими как задания, настройки, отчеты и факс-устройства на вашем факс-сервере.

File and Storage Services

Администраторы могут использовать роль "Файловые службы и службы хранилища" для настройки нескольких файловых серверов и их хранилищ, а также для управления этими серверами с помощью диспетчера серверов или Windows PowerShell. Некоторые конкретные приложения включают следующие функции.

• Рабочие папки. Использовать, чтобы разрешить пользователям хранение рабочих файлов и доступ к ним на личных компьютерах и устройствах помимо корпоративных ПК. Пользователи получают удобное место для хранения рабочих файлов и доступа к ним из любого места. Организации контролируют корпоративные данные, храня файлы на централизованно управляемых файловых серверах и при необходимости задавая политики устройств пользователей (такие как шифрование и пароли блокировки экрана).
• Дедупликация данных. Использовать для снижения требований к месту на диске для хранения файлов, экономя средства на хранилище.
• Сервер цели iSCSI. Использовать для создания централизованных, программных и аппаратно-независимых дисковых подсистем iSCSI в сетях хранения данных (SAN).
• Дисковые пространства. Использовать для развертывания хранилища с высоким уровнем доступности, отказоустойчивого и масштабируемого за счет применения экономичных стандартизованных в отрасли дисков.
• Диспетчер серверов. Использовать для удаленного управления несколькими файловыми серверами из одного окна.
• Windows PowerShell. Использовать для автоматизации управления большинством задач администрирования файловых серверов.

Hyper-V

Роль Hyper-V позволяет создавать виртуализованную вычислительную среду с помощью технологии виртуализации, встроенной в Windows Server, и управлять ею. При установке роли Hyper-V выполняется установка необходимых компонентов, а также необязательных средств управления. В число необходимых компонентов входят низкоуровневая оболочка Windows, служба управления виртуальными машинами Hyper-V, поставщик виртуализации WMI и компоненты виртуализации, такие как шина VMbus, поставщик службы виртуализации (VSP) и драйвер виртуальной инфраструктуры (VID).

Network Policy and Access Services

Службы сетевой политики и доступа предоставляют следующие решения для сетевых подключений:

• Защита доступа к сети - это технология создания, принудительного применения и исправления политик работоспособности клиента. С помощью защиты доступа к сети системные администраторы могут устанавливать и автоматически применять политики работоспособности, которые включают в себя требования к программному обеспечению, обновлениям для системы безопасности и другие параметры. Для клиентских компьютеров, не соответствующих требованиям политики работоспособности, можно ограничить доступ к сети до тех пор, пока их конфигурация не будет обновлена в соответствии с требованиями политики.
• Если развернуты точки беспроводного доступа с поддержкой 802.1X, вы можете использовать сервер политики сети (NPS) для развертывания методов аутентификации на основе сертификатов, которые более безопасны, чем аутентификация на основе паролей. Развертывание оборудования с поддержкой 802.1X с сервером NPS позволяет обеспечить аутентификацию пользователей интрасети до того, как они смогут подключиться к сети или получить IP-адрес от DHCP-сервера.
• Вместо того чтобы настраивать политику доступа к сети на каждом сервере доступа к сети, можно централизованно создать все политики, в которых будут определены все аспекты запросов на сетевое подключение (кто может подключаться, когда разрешено подключение, уровень безопасности, который необходимо использовать для подключения к сети).

Print and Document Services

Службы печати и документов позволяют централизовать задачи сервера печати и сетевого принтера. Эта роль также позволяет получать отсканированные документы с сетевых сканеров и передавать документы в общие сетевые ресурсы - на сайт Windows SharePoint Services или по электронной почте.

Remote Access

Роль сервера удаленного доступа представляет собой логическую группу следующих технологий сетевого доступа.

• DirectAccess
• Маршрутизация и удаленный доступ
• Прокси-сервер веб-приложения

Эти технологии являются службами ролей роли сервера удаленного доступа. При установке роли сервера удаленного доступа можно установить одну или несколько служб ролей, запустив мастер добавления ролей и компонентов.

В Windows Server роль сервера удаленного доступа обеспечивает возможность централизованного администрирования, настройки и наблюдения за службами удаленного доступа DirectAccess и VPN со службой маршрутизации и удаленного доступа (RRAS). DirectAccess и RRAS можно развернуть на одном пограничном сервере и управлять ими с помощью команд Windows PowerShell и консоли управления (MMC) удаленного доступа.

Remote Desktop Services

Службы удаленных рабочих столов ускоряют и расширяют развертывание рабочих столов и приложений на любом устройстве, повышая эффективность удаленного работника, одновременно обеспечивая безопасность критически важной интеллектуальной собственности и упрощая соответствие нормативным требованиям. Службы удаленных рабочих столов включают инфраструктуру виртуальных рабочих столов (VDI), рабочие столы на основе сеансов и приложения, предоставляя пользователям возможность работать в любом месте.

Volume Activation Services

Службы активации корпоративных лицензий - это роль сервера в Windows Server начиная с Windows Server 2012, которая позволяет автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение Microsoft, а также управление такими лицензиями в различных сценариях и средах. Вместе со службами активации корпоративных лицензий можно установить и настроить службу управления ключами (KMS) и активацию с помощью Active Directory.

Web Server (IIS)

Роль веб-сервера (IIS) в Windows Server обеспечивает платформу для размещения веб-узлов, служб и приложений. Использование веб-сервера обеспечивает доступ к информации пользователям в Интернете, интрасети и экстрасети. Администраторы могут использовать роль веб-сервера (IIS) для настройки и управления несколькими веб-сайтами, веб-приложениями и FTP-сайтами. В число специальных возможностей входят следующие.

• Использование диспетчера служб IIS для настройки компонентов IIS и администрирования веб-сайтов.
• Использование протокола FTP для разрешения владельцам веб-сайтов отправлять и загружать файлы.
• Использование изоляции веб-сайтов для предотвращения влияния одного веб-сайта на сервере на остальные.
• Настройка веб-приложений, разработанных с использованием различных технологий, таких как Classic ASP, ASP.NET и PHP.
• Использование Windows PowerShell для автоматического управления большей частью задач администрирования веб-сервера.
• Объединение нескольких веб-серверов в ферму серверов, которой можно управлять с помощью IIS.

Windows Deployment Services

Службы развертывания Windows позволяют развертывать операционные системы Windows по сети, что означает возможность не устанавливать каждую операционную систему непосредственно с компакт-диска или DVD-диска.

Windows Server Essentials Experience

Данная роль позволяет решать следующие задачи:

• защищать данные сервера и клиентов, создавая резервные копии сервера и всех клиентских компьютеров в сети;
• управлять пользователями и группами пользователей через упрощенную панель мониторинга сервера. Кроме того, интеграция с Windows Azure Active Directory *обеспечивает пользователям простой доступ к интернет-службам Microsoft Online Services (например, Office 365, Exchange Online и SharePoint Online) с помощью их учетных данных домена;
• хранить данные компании в централизованном месте;
• интегрировать сервер с интернет-службами Microsoft Online Services (например, Office 365, Exchange Online, SharePoint Online и Windows Intune):
• использовать на сервере функции повсеместного доступа (например, удаленный веб-доступ и виртуальные частные сети) для доступа к серверу, компьютерам сети и данным из удаленных расположений с высокой степенью безопасности;
• получать доступ к данным из любого места и с любого устройства с помощью собственного веб-портала организации (посредством удаленного веб-доступа);
• управлять мобильными устройствами, с которых осуществляется доступ к электронной почте организации с помощью Office 365 посредством протокола Active Sync, из панели мониторинга;
• отслеживать работоспособность сети и получать настраиваемые отчеты о работоспособности; отчеты можно создавать по требованию, настраивать и отправлять по электронной почте определенным получателям.

Windows Server Update Services

Сервер WSUS предоставляет компоненты, которые необходимы администраторам для управления обновлениями и их распространения через консоль управления. Кроме того, сервер WSUS может быть источником обновлений для других серверов WSUS в организации. При реализации служб WSUS хотя бы один сервер служб WSUS в сети должен быть подключен к Центру обновления Майкрософт для получения информации о доступных обновлениях. В зависимости от безопасности сети и ее конфигурации администратор может определить, сколько других серверов напрямую подключено к Центру обновления Майкрософт.

Функционал в операционной системе Windows Server расчет и улучшается от версии к версии, ролей и компонентов становится все больше, поэтому в сегодняшнем материале я попытаюсь кратко рассказать описание и назначение каждой роли в Windows Server 2016 .

Прежде чем переходить к описанию серверных ролей Windows Server, давайте узнаем, что же вообще такое «Роль сервера » в операционной системе Windows Server.

Что такое «Роль сервера» в Windows Server?

Роль сервера (Server Role) – это программный комплекс, который обеспечивает выполнение сервером определённой функции, и данная функция является основной. Другими словами, «Роль сервера » — это назначение сервера, т.е. для чего он нужен. Чтобы сервер мог выполнять свою основную функцию, т.е. определённую роль, в «Роль сервера » включено все необходимое для этого программное обеспечение (программы, службы ).

У сервера может быть одна роль, если она активно используется, или несколько, если каждая из них не сильно нагружает сервер и используется редко.

В роль сервера может включаться несколько служб роли, которые и обеспечивают функциональные возможности роли. Например, в роль сервера «Веб-сервер (IIS) » включено достаточно большое количество служб, а в роль «DNS-сервер » не входят службы роли, так как данная роль выполняет только одну функцию.

Службы ролей могут быть установлены все вместе или по отдельности в зависимости от Ваших потребностей. По своей сути установка роли означает установку одной или нескольких ее служб.

В Windows Server также существуют и «Компоненты » сервера.

Компоненты сервера (Feature) – это программные средства, которые не являются ролью сервера, но расширяют возможности одной или нескольких ролей, или управляют одной или несколькими ролями.

Некоторые роли не могут быть установлены, если на сервере не установлены обязательные службы или компоненты, которые необходимы для функционирования данных ролей. Поэтому в момент установки таких ролей «Мастер добавления ролей и компонентов » сам, автоматически предложит Вам установить нужные, дополнительные службы ролей или компоненты.

Описание серверных ролей Windows Server 2016

Со многими ролями, которые есть в Windows Server 2016, наверное, Вы уже знакомы, так как они существуют уже достаточно долгое время, но как я уже сказал, с каждой новой версией Windows Server добавляются новые роли, с которыми возможно Вы еще не работали, но хотели бы узнать, для чего они нужны, поэтому давайте приступать к их рассмотрению.

Примечание! О новых возможностях операционной системы Windows Server 2016 можете прочитать в материале «Установка Windows Server 2016 и обзор новых возможностей » .

Так как очень часто установка и администрирование ролей, служб и компонентов происходит с использованием Windows PowerShell , я для каждой роли и ее службы буду указывать название, которое можно использовать в PowerShell, соответственно для ее установки или для управления.

DHCP-сервер

Эта роль позволяет централизованно настраивать динамические IP-адреса и связанные с ними параметры компьютерам и устройствам в сети. У роли DHCP-сервер нет служб роли.

Название для Windows PowerShell – DHCP.

DNS-сервер

Данная роль предназначена для разрешения имен в сетях TCP/IP. Роль DNS-сервер обеспечивает и поддерживает работу DNS. Для упрощения управления DNS-сервером его обычно устанавливают на том же сервере, что и доменные службы Active Directory. У роли DNS-сервер нет служб роли.

Название роли для PowerShell — DNS.

Hyper-V

С помощью роли Hyper-V можно создавать виртуализованную среду и управлять ею. Другими словами, это инструмент для создания и управления виртуальными машинами.

Название роли для Windows PowerShell — Hyper-V.

Аттестация работоспособности устройств

Роль «» позволяет оценивать работоспособность устройства на основе измеренных показателей параметров безопасности, например, показатели состояния безопасной загрузки и средства Bitlocker на клиенте.

Для функционирования данной роли необходимо достаточно много служб ролей и компонентов, например: несколько служб из роли «Веб-сервер (IIS) », компонент «», компонент «Функции.NET Framework 4.6 ».

Во время установки все необходимые службы ролей и компоненты будут выбраны автоматически. У роли «Аттестация работоспособности устройств » своих служб роли нет.

Название для PowerShell – DeviceHealthAttestationService.

Веб-сервер (IIS)

Предоставляет надежную, управляемую и масштабируемую инфраструктуру веб-приложений. Состоит из достаточно большого количества служб (43).

Название для Windows PowerShell — Web-Server.

Включает следующие службы роли (в скобочках я буду указывать название для Windows PowerShell ):

Веб – сервер (Web-WebServer) – группа служб роли, которая предоставляет поддержку веб-сайтов HTML, расширений ASP.NET, ASP и веб-сервера. Состоит из следующих служб:

• Безопасность (Web-Security) — набор служб для обеспечения безопасности веб-сервера.
  • Фильтрация запросов (Web-Filtering) – с помощью этих средств можно обрабатывать все запросы, поступающие на сервер, и фильтровать эти запросы на основе специальных правил, заданных администратором веб сервера;
  • IP-адрес и ограничения домена (Web-IP-Security) – эти средства позволяют разрешать или запрещать доступ к содержимому на веб сервере с учетом IP-адреса или имени домена источника в запросе;
  • Авторизация URL-адреса (Web-Url-Auth) — средства позволяют разрабатывать правила для ограничения доступа к веб-содержимому и связывать их с пользователями, группами или командами заголовка HTTP;
  • Дайджест-проверка подлинности (Web-Digest-Auth) – данная проверка подлинности позволяет обеспечить более высокий уровень безопасности по сравнению с обычной проверкой подлинности. Дайджест-проверка для проверки подлинности пользователей действует по принципу передачи хэша пароля контроллеру домена Windows;
  • Обычная проверка подлинности (Web-Basic-Auth) — этот метод проверки подлинности обеспечивает надежную совместимость веб-браузера. Рекомендуется использовать в небольших внутренних сетях. Основной недостаток этого метода состоит в том, что пароли, передающиеся по сети можно довольно просто перехватить и расшифровать, поэтому используйте этот метод в сочетании с SSL;
  • Проверка подлинности Windows (Web-Windows-Auth) – представляет собой проверку подлинности, основанную на аутентификации в домене Windows. Другими словами, Вы можете использовать учетные записи Active Directory для проверки подлинности пользователей своих Web сайтов;
  • Проверка подлинности с сопоставлением сертификата клиента (Web-Client-Auth) – данный метод проверки подлинности подразумевает использование сертификата клиента. Для обеспечения сопоставления сертификатов этот тип использует службы Active Directory;
  • Проверка подлинности с сопоставлением сертификата клиента IIS (Web-Cert-Auth) – в данном методе для проверки подлинности также применяются сертификаты клиентов, но для обеспечения сопоставления сертификатов здесь используются службы IIS. Этот тип обеспечивают более высокую производительность;
  • Централизованная поддержка SSL-сертификата (Web-CertProvider) – эти средства позволяет централизованно управлять сертификатами сервера SSL, что значительно упрощает процесс управления этими сертификатами;
• Исправность и диагностика (Web-Health) – набор служб для обеспечения контроля, управления и устранения нарушений в работе веб-серверов, сайтов и приложений:
  • Ведение журнала http (Web-Http-Logging) — средства обеспечивают ведение журнала активности веб-сайта на данном сервере, т.е. запись лога;
  • Ведение журнала ODBC (Web-ODBC-Logging) – эти средства также обеспечивают ведение журнала активности веб-сайта, но они поддерживают регистрацию этой активности в базе данных, совместимой с ODBC;
  • Монитор запросов (Web-Request-Monitor) – это инструмент который позволяет наблюдать за исправностью веб-приложения, перехватывая информацию о HTTP-запросах в рабочем процессе IIS;
  • Настраиваемое ведение журнала (Web-Custom-Logging) – с помощью этих средств можно настроить ведение журнала активности веб-сервера в формате, значительно отличающегося от стандартного формата IIS. Другими словами, Вы можете создать собственный модуль ведения журнала;
  • Средства ведения журнала (Web-Log-Libraries) – это инструменты для управления журналами веб-сервера и автоматизации задач ведения журнала;
  • Трассировка (Web-Http-Tracing) – это средство для диагностирования и устранения нарушений в работе веб-приложений.
• Общие функции http (Web-Common-Http) – набор служб, которые предоставляют основные функциональные возможности HTTP:
  • Документ по умолчанию (Web-Default-Doc) – эта возможность позволяет настраивать веб-сервер для возврата документа, предусмотренного по умолчанию, для тех случаев, когда пользователи не указывают конкретный документ в URL-адресе запроса, за счет этого пользователям становится удобней обращаться к веб сайту, например, по домену, не указывая при этом файл;
  • Обзор каталога (Web-Dir-Browsing) – с помощью этого средства можно настроить веб сервер так, чтобы пользователи могли просматривать список всех каталогов и файлов на веб сайте. Например, для случаев, когда пользователи не указывают файл в URL-адресе запроса, при этом документы по умолчанию либо запрещены, либо не настроены;
  • Ошибки http (Web-Http-Errors) – данная возможность позволяет настраивать сообщения об ошибках, которые будут возвращаться на веб-браузеры пользователей в момент обнаружения веб-сервером ошибки. Это средство используется для более удобного представления пользователям сообщений об ошибках;
  • Статическое содержимое (Web-Static-Content) – данное средство позволяет использовать на веб-сервере контент в виде статических форматов файлов, например, HTML файлы или файлы изображений;
  • Перенаправление http (Web-Http-Redirect) – с помощью этой возможности можно перенаправить пользовательский запрос по конкретному назначению, т.е. это Redirect;
  • Публикация WebDAV (Web-DAV-Publishing) – позволяет использовать технологию WebDAV на WEB сервер IIS. WebDAV (Web Distributed Authoring and Versioning ) – это технология позволяющая пользователям совместно работать (читать, редактировать, считывать свойства, копировать, перемещать ) над файлами на удаленных веб серверах, используя при этом протокол HTTP.
• Производительность (Web-Performance) – набор служб для достижения более высокой производительности web сервера, за счет кэширования выходных данных и общих механизмов сжатия, таких как Gzip и Deflate:
  • Сжатие статического содержимого (Web-Stat-Compression) – это средство для настройки сжатия статического содержимого http, оно позволяет более эффективно использовать пропускную способность, при этом без лишней нагрузки на ЦП;
  • Сжатие динамического содержимого (Web-Dyn-Compression) — это средство для настройки сжатия динамического содержимого HTTP. Данное средство обеспечивает более эффективное использование пропускной способности, но в данном случае нагрузка на ЦП сервера, связанная с динамическим сжатием, может вызвать замедление работы сайта, если нагрузка на ЦП и без сжатия высока.
• Разработка приложений (Web-App-Dev) – набор служб и средств для разработки и размещения веб-приложений, другими словами, технологии разработки сайтов:
  • ASP (Web-ASP) – среда поддержки и разработки web сайтов и web приложений с использованием технологии ASP. На текущий момент существует более новая и продвинутая технология разработки сайтов — ASP.NET;
  • ASP.NET 3.5 (Web-Asp-Net) — это объектно ориентированная среда разработки web сайтов и веб приложений с использованием технологии ASP.NET;
  • ASP.NET 4.6 (Web-Asp-Net45) — это также объектно ориентированная среда разработки web сайтов и веб приложений с использованием новой версии ASP.NET;
  • CGI (Web-CGI) – это возможность использования CGI для передачи веб-сервером информации во внешнюю программу. CGI – это некий стандарт интерфейса для связи внешней программы с web-сервером. Есть недостаток, применение CGI влияет на производительность;
  • Включения на стороне сервера (SSI) (Web-Includes) – это поддержка языка сценариев SSI (включения на стороне сервера ), который используется для динамического формирования страниц HTML;
  • Инициализация приложений (Web-AppInit) – данное средство выполняет задачи инициализации web приложений перед пересылкой веб-страницы;
  • Протокол WebSocket (Web-WebSockets) — добавление возможности создания серверных приложений, которые взаимодействуют с помощью протокола WebSocket. WebSocket — это протокол, который может передавать и принимать одновременно данные между браузером и web сервером поверх TCP-соединения, своего рода расширение протокола HTTP;
  • Расширения ISAPI (Web-ISAPI-Ext) – поддержка динамической разработки web содержимого с помощью прикладного программного интерфейса ISAPI. ISAPI – это API для web сервера IIS. Приложения ISAPI работают намного быстрее по сравнению с файлами ASP или файлами, вызывающими компоненты COM+;
  • Расширяемость.NET 3.5 (Web-Net-Ext) – это средство расширяемости.NET 3.5, которое позволяет изменять, добавлять и расширять функциональные возможности web сервера во всем конвейере обработки запросов, в конфигурации и в пользовательском интерфейсе;
  • Расширяемость.NET 4.6 (Web-Net-Ext45) – это средство расширяемости.NET 4.6, которое также позволяет изменять, добавлять и расширять функциональные возможности web сервера во всем конвейере обработки запросов, в конфигурации и в пользовательском интерфейсе;
  • Фильтры ISAPI (Web-ISAPI-Filter) – добавление поддержки фильтров ISAPI. Фильтры интерфейса ISAPI представляют собой программы, которые вызываются при получении web сервером определенного запроса HTTP подлежащего обработке этим фильтром.

FTP — сервер (Web-Ftp-Server) – службы, которые обеспечивают поддержку протокола FTP. Более подробно о FTP сервере мы говорили в материале – «Установка и настройка FTP сервера на Windows Server 2016 ». Содержит следующие службы:

• Служба FTP (Web-Ftp-Service) – добавляет поддержку протокола FTP на веб сервере;
• Расширяемость FTP (Web-Ftp-Ext) – расширяет стандартные возможности FTP, например, добавляет поддержку таких функций как настраиваемые поставщики, пользователи ASP.NET или пользователи диспетчера IIS.

Средства управления (Web-Mgmt-Tools) – это средства управления веб-сервером IIS 10. К ним можно отнести: пользовательский интерфейс IIS, средства командной строки и скрипты.

• Консоль управления службами IIS (Web-Mgmt-Console) – это пользовательский интерфейс управления службами IIS;
• Наборы символов и средства управления службами IIS (Web-Scripting-Tools) — это средства и скрипты управления службами IIS с помощью командной строки или скриптов. Их можно использовать, например, для автоматизации управления;
• Служба управления (Web-Mgmt-Service) – эта служба добавляет возможность управлять web сервером удаленно с другого компьютера с использованием диспетчера IIS;
• Управление совместимостью с IIS 6 (Web-Mgmt-Compat) — обеспечивает совместимость приложений и сценариев, использующих два API IIS. Существующие скрипты IIS 6 можно использовать для управления веб-сервером IIS 10:
  • Метабаза совместимости с IIS 6 (Web-Metabase) — средство совместимости, которое позволяет запускать приложения и наборы символов, перенесенные с более ранних версий IIS;
  • Инструменты скриптов IIS 6 (Web-Lgcy-Scripting) – эти инструменты позволяют использовать те же службы скриптов IIS 6, которые были созданы для управления IIS 6, в IIS 10;
  • Консоль управления службами IIS 6 (Web-Lgcy-Mgmt-Console) – средство администрирования удаленных серверов IIS 6.0;
  • Совместимость с WMI IIS 6 (Web-WMI) — это интерфейсы скриптов инструментария управления Windows (WMI) для программного контроля и автоматизации задач веб-сервера IIS 10.0 с помощью набора скриптов, созданного в поставщике WMI.

Доменные службы Active Directory

Роль «Доменные службы Active Directory » (AD DS) обеспечивает распределенную базу данных, которая хранит и обрабатывает информацию о сетевых ресурсах. Данную роль используют для организации элементов сети, таких как пользователи, компьютеры и другие устройства, в иерархическую структуру защитной оболочки. Иерархическая структура включает в себя леса, домены в лесу, а также организационные единицы (OU) в каждом домене. Сервер, работающий под управлением AD DS, называется контроллером домена.

Название роли для Windows PowerShell — AD-Domain-Services.

Режим Windows Server Essentials

Данная роль представляет собой компьютерную инфраструктуру и предоставляет удобные и эффективные функции, например: хранение данных клиента в централизованном месте и защита этих данных за счет резервного копирования сервера и клиентских компьютеров, удаленный веб-доступ, позволяющий получать доступ к данным практически с любого устройства. Для работы данной роли необходимо несколько служб ролей и компонентов, например: компоненты BranchCache, система архивации Windows Server, управление групповой политикой, служба роли «Пространства имен DFS ».

Название для PowerShell – ServerEssentialsRole.

Сетевой контроллер

Это роль появилась в Windows Server 2016, она представляет собой единую точку автоматизации для управления, мониторинга и диагностики, физической и виртуальной сетевой инфраструктуры в центре обработки данных. С помощью данной роли можно из одной точки настраивать IP-подсети, VLAN, физические сетевые адаптеры Hyper-V хостов, управлять виртуальными коммутаторами, физическими маршрутизаторами, настройками файрвола и VPN-шлюзами.

Название для Windows PowerShell – NetworkController.

Служба опекуна узла

Это роль сервера размещенной службы Guardian (HGS), она предоставляет службы аттестации и защиты ключей, которые позволяют защищенным узлам запускать экранированные виртуальные машины. Для функционирования данной роли необходимо несколько дополнительных ролей и компонентов, например: доменные службы Active Directory, Веб-сервер (IIS), компонент «Отказоустойчивая кластеризация » и другие.

Название для PowerShell – HostGuardianServiceRole.

Службы Active Directory облегченного доступа к каталогам

Роль «Службы Active Directory облегченного доступа к каталогам » (AD LDS) – представляет собой облегченную версию AD DS, которая обладает меньшей функциональностью, но не требует развертывания доменов или контроллеров доменов, а также не имеет зависимостей и доменных ограничений, которые требуются для служб AD DS. AD LDS работает по протоколу LDAP (Lightweight Directory Access Protocol ). На одном сервере можно развернуть несколько экземпляров AD LDS с независимо управляемыми схемами.

Название для PowerShell – ADLDS.

Службы MultiPoint

Это также новая роль, которая появилась в Windows Server 2016. Службы MultiPoint (MPS) предоставляют базовую функциональность удаленных рабочих столов, что позволяет нескольким пользователям одновременно и независимо друг от друга работать на одном и том же компьютере. Для установки и функционирования данной роли нужно установить несколько дополнительных служб и компонентов, например: Сервер печати, службу Windows Search, средство просмотра XPS и другие, все они будут выбраны автоматически в момент установки MPS.

Название роли для PowerShell – MultiPointServerRole.

Службы Windows Server Update Services

С помощью этой роли (WSUS) системные администраторы могут управлять обновлениями Microsoft. Например, создавать отдельные группы компьютеров для разных наборов обновлений, а также получать отчеты о соответствии компьютеров требованиям и обновлениях, которые требуется установить. Для функционирования «Службы Windows Server Update Services » нужны такие службы ролей и компоненты как: Веб-сервер (IIS), внутренняя база данных Windows, служба активации процессов Windows.

Название для Windows PowerShell – UpdateServices.

• WID Connectivity (UpdateServices-WidDB) – установка в WID (Windows Internal Database ) базы данных, используемой WSUS. Другими словами, свои служебные данные WSUS будет хранить в WID;
• WSUS Services (UpdateServices-Services) – это и есть службы роли WSUS, такие как служба обновления, веб-служба отчетов, веб-служба удаленного взаимодействия с API, веб-служба клиента, веб-служба простой проверки подлинности через Интернет, служба синхронизация сервера и веб-служба проверки подлинности DSS;
• SQL Server Connectivity (UpdateServices-DB) – это установка компонента, который позволяет службе WSUS подключаться к базе данных Microsoft SQL Server. Этот вариант предусматривает хранение служебных данных в БД Microsoft SQL Server. В данном случае у Вас уже должен быть установлен, по крайней мере, один экземпляр SQL Server.

Службы активации корпоративных лицензий

С помощью этой роли сервера можно автоматизировать и упростить выдачу корпоративных лицензий на программное обеспечение от компании Microsoft, а также она позволяет управлять этими лицензиями.

Название для PowerShell – VolumeActivation.

Службы печати и документов

Эта роль сервера предназначена для предоставления общего доступа к принтерам и сканерам в сети, для централизованной настройки и управления серверами печати и сканирования, а также управления сетевыми принтерами и сканерами. Службы печати и документов также позволяет отправлять отсканированные документы по электронной почте, в общие сетевые папки или на сайты Windows SharePoint Services.

Название для PowerShell – Print-Services.

• Сервер печати (Print-Server) – данная служба роли включает оснастку «Управление печатью », которая используется для управления принтерами или серверами печати, а также для миграции принтеров и других серверов печати;
• Печать через Интернет (Print-Internet) — для реализации печати через Интернет создается веб-сайт, с помощью которого пользователи могут управлять заданиями печати на сервере. Для работы данной службы как Вы понимаете необходимо установить «Веб-сервер (IIS) ». Все необходимые компоненты будут выбраны автоматически, когда Вы отметите данный пункт во время процесса установки службы роли «Печать через Интернет »;
• Сервер распределенного сканирования (Print-Scan-Server) – это служба, которая позволяет принимать отсканированные документы с сетевых сканеров и отправлять их по месту назначения. Данная служба также содержит оснастку «Управление сканированием », которая используется для управления сетевыми сканерами и для настройки сканирования;
• Служба LPD (Print-LPD-Service) — служба LPD (Line Printer Daemon ) позволяет компьютерам на базе UNIX и другим компьютерам, использующим службу Line Printer Remote (LPR), печатать на общих принтерах сервера.

Службы политики сети и доступа

Роль «» (NPAS) позволяет с помощью сервера политики сети (NPS) задавать и применять политики доступа к сети, проверки подлинности и авторизации, а также работоспособности клиента, другими словами, обеспечивать безопасность сети.

Название для Windows PowerShell – NPAS.

Службы развертывания Windows

С помощью этой роли можно удаленно устанавливать операционной системы Windows по сети.

Название роли для PowerShell – WDS.

• Сервер развертывания (WDS-Deployment) – данная служба роли предназначена для удаленного развертывания и настройки операционных систем Windows. Она также позволяет создавать и настраивать образы для повторного использования;
• Транспортный сервер (WDS-Transport) – это служба содержит основные сетевые компоненты, с помощью которых Вы можете передавать данные путем многоадресной рассылки на автономном сервере.

Службы сертификатов Active Directory

Эта роль предназначена для создания центров сертификации и связанных служб ролей, которые позволяют выдавать сертификаты для различных приложений и управлять такими сертификатами.

Название для Windows PowerShell – AD-Certificate.

Включает следующие службы роли:

• Центр сертификации (ADCS-Cert-Authority) – с помощью данной службы роли можно выдавать сертификаты пользователям, компьютерам и службам, а также управлять действительностью сертификата;
• Веб-служба политик регистрации сертификатов (ADCS-Enroll-Web-Pol) – эта служба позволяет пользователям и компьютерам получать сведения о политике регистрации сертификатов с помощью веб-браузера, даже если компьютер не входит в домен. Для ее функционирования необходим «Веб-сервер (IIS) »;
• Веб-служба регистрации сертификатов (ADCS-Enroll-Web-Svc) – данная служба позволяет пользователям и компьютерам регистрировать и продлять сертификаты с помощью веб-браузера по протоколу HTTPS, даже если компьютер не входит в домен. Для ее функционирования также необходим «Веб-сервер (IIS) »;
• Сетевой ответчик (ADCS-Online-Cert) – служба предназначена для проверки отзыва сертификата для клиентов. Другими словами, она принимает запрос о состоянии отзыва для конкретных сертификатов, оценивает состояние этих сертификатов и отправляет обратно подписанный ответ, с информацией о статусе. Для функционирования службы необходим «Веб-сервер (IIS) »;
• Служба регистрации в центре сертификации через Интернет (ADCS-Web-Enrollment) – эта служба предоставляет пользователям веб-интерфейс для выполнения таких задач, как запросы и продление сертификатов, получение списков отзыва сертификатов и регистрация сертификатов смарт-карт. Для функционирования службы необходим «Веб-сервер (IIS) »;
• Служба регистрации на сетевых устройствах (ADCS-Device-Enrollment) – с помощью этой службы можно выдавать сертификаты для маршрутизаторов и других сетевых устройств, не имеющих сетевых учетных записей, а также управлять этими сертификатами. Для функционирования службы необходим «Веб-сервер (IIS) ».

Службы удаленных рабочих столов

Роль сервера, с помощью которой можно организовать доступ к виртуальным рабочим столам, к рабочим столам, основанным на сеансах, и к удаленным приложениям RemoteApp.

Название роли для Windows PowerShell – Remote-Desktop-Services.

Состоит из следующих служб:

• Веб-доступ к удаленным рабочим столам (RDS-Web-Access) — данная служба роли позволяет пользователям получить доступ к удаленным рабочим столам и приложениям RemoteApp через меню «Пуск » или с помощью веб-браузера;
• Лицензирование удаленных рабочих столов (RDS-Licensing) — служба предназначена для управления лицензиями, которые необходимы для подключения к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу. Ее можно использовать для установки, выдачи лицензий и отслеживания их доступности. Для работы данной службы необходим «Веб-сервер (IIS) »;
• Посредник подключений к удаленному рабочему столу (RDS-Connection-Broker) — служба роли, которая обеспечивает следующие возможности: повторное подключение пользователя к существующему виртуальному рабочему столу, приложению RemoteApp и рабочему столу на основе сеансов, а также равномерное распределение нагрузки между серверами узлов сеансов удаленных рабочих столов или между виртуальными рабочими столами в составе пула. Для работы данной службы необходим компонент «»;
• Узел виртуализации удаленных рабочих столов (DS-Virtualization) — служба позволяет пользователям подключаться к виртуальным рабочим столам с помощью подключения к удаленным рабочим столам и приложениям RemoteApp. Эта служба работает совместно с Hyper-V, т.е. данная роль должна быть установлена;
• Узел сеансов удаленных рабочих столов (RDS-RD-Server) – с помощью этой службы можно размещать на сервере удаленные приложения RemoteApp и основанные на сеансах рабочие столы. Для доступа используется клиент подключения к удаленному рабочему столу или удаленные приложения RemoteApp;
• Шлюз удаленных рабочих столов (RDS-Gateway) – служба позволяет авторизованным удаленным пользователям подключаться к виртуальным рабочим столам, удаленным приложениям RemoteApp и рабочим столам, основанным на сеансах, в корпоративной сети или через Интернет. Для функционирования данной службы необходимы следующие дополнительные службы и компоненты: «Веб–сервер (IIS) », «Службы политики сети и доступа », «RPC через HTTP-прокси ».

Службы управления правами Active Directory

Это роль сервера, которая позволит Вам защитить информацию от несанкционированного использования. Она проверяет удостоверения пользователей и предоставляет авторизованным пользователям лицензии на доступ к защищенным данным. Для работы данной роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Служба активации процессов Windows », «Функции.NET Framework 4.6 ».

Название для Windows PowerShell – ADRMS.

• Сервер управления правами Active Directory (ADRMS-Server) — основная служба роли, обязательна для установки;
• Поддержка федерации удостоверений (ADRMS-Identity) — это дополнительная служба роли, позволяющая федеративным удостоверениям использовать защищенное содержимое с помощью служб федерации Active Directory.

Службы федерации Active Directory

Данная роль предоставляет упрощенные и безопасные возможности федерации удостоверений, а также функцию единого входа (SSO) на веб-сайты с помощью браузера.

Название для PowerShell – ADFS-Federation.

Удаленный доступ

Данная роль обеспечивает подключение через DirectAccess, VPN и прокси веб-приложения. Также роль «Удаленный доступ » предоставляет традиционные возможности маршрутизации, включая преобразование сетевых адресов (NAT) и другие параметры подключений. Для работы этой роли необходимы дополнительные службы и компоненты: «Веб–сервер (IIS) », «Внутренняя база данных Windows ».

Название роли для Windows PowerShell – RemoteAccess.

• DirectAccess и VPN (RAS) (DirectAccess-VPN) — служба позволяет пользователям подключаться к корпоративной сети в любое время при наличии доступа к Интернету через DirectAccess, а также организовывать VPN подключения в сочетании с технологиями туннелирования и шифрования данных;
• Маршрутизация (Routing) — служба обеспечивает поддержку маршрутизаторов NAT, маршрутизаторов локальной сети с протоколами BGP, RIP и маршрутизаторов с поддержкой многоадресной рассылки (IGMP-прокси);
• Прокси-сервер веб-приложений (Web-Application-Proxy) — служба позволяет публиковать приложения на основе протоколов HTTP и HTTPS из корпоративной сети на клиентских устройствах, которые находятся за пределами корпоративной сети.

Файловые службы и службы хранилища

Это роль сервера, с помощью которой можно предоставлять общий доступ к файлам и папкам, управлять общими ресурсами и контролировать их, осуществлять репликацию файлов, обеспечивать быстрый поиск файлов, а также предоставлять доступ для клиентских компьютеров UNIX. Более подробно файловые службы и в частности файловый сервер мы рассматривали в материале «Установка файлового сервера (File Server) на Windows Server 2016 ».

Название для Windows PowerShell – FileAndStorage-Services.

Службы хранения (Storage-Services) – это служба предоставляет функциональность управления хранилищем, которая устанавливается всегда и не может быть удалена.

Файловые службы и службы iSCSI (File-Services) – это технологии, которые упрощают управление файловыми серверами и хранилищами, позволяют экономить место на диске, обеспечивают репликацию и кэширование файлов в филиалах, а также предоставляют общий доступ к файлам по протоколу NFS. Включает следующие службы роли:

• Файловый сервер (FS-FileServer) – служба роли, которая управляет общими папками и предоставляет пользователям доступ к файлам на этом компьютере по сети;
• Дедупликация данных (FS-Data-Deduplication) – эта служба экономит место на диске за счет хранения на томе только одной копии идентичных данных;
• Диспетчер ресурсов файлового сервера (FS-Resource-Manager) – с помощью этой службы можно управлять файлами и папками на файловом сервере, создавать отчеты хранилища, классифицировать файлы и папки, настраивать квоты папок и определять политики блокировки файлов;
• Поставщик целевого хранилища iSCSI (аппаратные поставщики VDS и VSS) (iSCSITarget-VSS-VDS) – служба позволяет приложениям на сервере, подключенном к цели iSCSI, выполнять теневое копирование томов на виртуальных дисках iSCSI;
• Пространства имен DFS (FS-DFS-Namespace) – с помощью этой службы можно группировать общие папки, размещенные на разных серверах, в одно или несколько логически структурированных пространств имен;
• Рабочие папки (FS-SyncShareService) – служба позволяет использовать рабочие файлы на различных компьютерах, включая рабочие и личные. В рабочих папках можно хранить свои файлы, синхронизировать их и получать к ним доступ из локальной сети или Интернета. Для функционирования службы необходим компонент «Внутрипроцессное веб-ядро IIS »;
• Репликация DFS (FS-DFS-Replication) — это модуль репликации данных между несколькими серверами, позволяющий синхронизировать папки через подключение к локальной или глобальной сети. Данная технология использует протокол удаленного разностного сжатия (RDC) для обновления только той части файлов, которая была изменена с момента последней репликации. Репликацию DFS можно применять как вместе с пространствами имен DFS, так и отдельно;
• Сервер для NFS (FS-NFS-Service) – служба позволяет этому компьютеру совместно использовать файлы с компьютерами на базе UNIX и другим компьютерам, которые используют протокол сетевой файловой системы (NFS);
• Сервер цели iSCSI (FS-iSCSITarget-Server) – предоставляет службы и средства управления для целей iSCSI;
• Служба BranchCache для сетевых файлов (FS-BranchCache) — служба обеспечивает поддержку BranchCache на этом файловом сервере;
• Служба агента VSS файлового сервера (FS-VSS-Agent) — служба позволяет выполнять теневое копирование томов для приложений, которые хранят файлы данных на этом файловом сервере.

Факс-сервер

Роль отправляет и принимает факсы, а также позволяет управлять ресурсами факса, такими как задания, параметры, отчеты и факсимильные устройства, на этом компьютере или в сети. Для работы необходим «Сервер печати ».

Название роли для Windows PowerShell – Fax.

На этом обзор серверных ролей Windows Server 2016 закончен, надеюсь, материал был Вам полезен, пока!

Утилита GPResult .exe – представляет собой консольное приложение, предназначенное для анализа настроек и диагностики групповых политик, которые применяются к компьютеру и/или пользователю в домене Active Directory. В частности, GPResult позволяет получить данные результирующего набора политик (Resultant Set of Policy, RSOP), список примененных доменных политик (GPO), их настройки и детальную информацию об ошибках их обработки. Утилита входит в состав ОС Windows начиная со времен Windows XP. Утилита GPResult позволяет ответить на такие вопросы: применяется ли конкретная политика к компьютеру, какая именно GPO изменила ту или иную настройку Windows, разобраться с причинами .

В этой статье мы рассмотрим особенности использования команды GPResult для диагностирования работы и отладки применения групповых политик в домене Active Directory.

Изначально для диагностики применения групповых политик в Windows использовалась графическая консоль RSOP.msc, которая позволяла получить настройки результирующих политик (доменных + локальных), примененные к компьютеру и пользователю в графическом виде аналогичном консоли редактора GPO (ниже на примере представления консоли RSOP.msc видно, что настройки обновлений заданы ).

Однако, консоль RSOP.msc в современных версиях Windows использовать нецелесообразно, т.к. она не отражает настройки, примененные различными расширениями групповых политик (client side extensions — CSE), например GPP (Group Policy Preferences), не позволяет выполнять поиск, предоставляет мало диагностической информации. Поэтому на данный момент именно команда GPResult является основным средством диагностики применения GPO в Windows (в Windows 10 даже появляется предупреждение, что RSOP не дает полный отчет в отличие от GPResult).

Использование утилиты GPResult.exe

Команда GPResult выполняется на компьютере, на котором нужно проверить применение групповых политик. Команда GPResult имеет следующий синтаксис:

GPRESULT ]] [(/X | /H) <имя_файла> ]

Чтобы получить подробную информацию о групповых политиках, которые применяются к данном объекту AD (пользователю и компьютеру), и других параметрах, относящихся к инфраструктуре GPO (т.е. результирующие настройки политик GPO – RsoP), выполните команду:

Результаты выполнения команды разделены на 2 секции:

• COMPUTER SETTINGS (Конфигурация компьютера) – раздел содержит информацию об объектах GPO, действующих на компьютер (как объект Active Directory);
• USER SETTINGS – пользовательский раздел политик (политики, действующие на учетную запись пользователя в AD).

Вкратце пробежимся по основным параметрам/разделам, которые нас могут заинтересовать в выводе GPResult:

• Site Name (Имя сайта:)– имя сайта AD , в котором находится компьютер;
• CN – полное каноническое пользователя/ компьютера, для которого были сгенерированы данные RSoP;
• Last time Group Policy was applied (Последнее применение групповой политики)– время, когда последний раз применялись групповые политики;
• Group Policy was applied from (Групповая политика была применена с)– контроллер домена, с которого была загружена последняя версия GPO;
• Domain Name и Domain Type (Имя домена, тип домена)– имя и версия схемы домена Active Directory;
• Applied Group Policy Objects (Примененные объекты групповой политики) – списки действующих объектов групповой политики;
• The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы)- не примененные (отфильтрованные) GPO;
• The user /computer is a part of the following security groups (Пользователь/компьютер является членом следующих групп безопасности) – доменные группы, в которых состоит пользователь.

В нашем примере видно, что на объект пользователя действуют 4 групповые политики.

• Default Domain Policy;
• Enable Windows Firewall;
• DNS Suffix Search List;

Если вы не хотите, чтобы в консоль одновременно выводилась информация и о политиках пользователя и о политиках компьютера, вы можете с помощью опции /scope вывести только интересующий вас раздел. Только результирующие политики пользователя:

gpresult /r /scope:user

или только примененные политики компьютера:

gpresult /r /scope:computer

Т.к. утилита Gpresult выводит свои данные непосредственно в консоль командной строки, что бывает не всегда удобно для последующего анализа, ее вывод можно перенаправить в буфер обмена:

Gpresult /r |clip

или текстовый файл:

Gpresult /r > c:\gpresult.txt

Чтобы вывести сверхподробную информацию RSOP, нужно добавить ключ /z.

HTML отчет RSOP с помощью GPResult

Кроме того, утилита GPResult может сгенерировать HTML-отчет по примененным результирующим политикам (доступно в Windows 7 и выше). В данном отчете будет содержаться подробная информация обо всех параметрах системы, которые задаются групповыми политиками и именами конкретных GPO, которые их задали (получившийся отчет по структуре напоминает вкладку Settings в консоли управления доменными групповыми политиками – GPMC). Сгенерировать HTML отчет GPResult можно с помощью команды:

GPResult /h c:\gp-report\report.html /f

Чтобы сгенерировать отчет и автоматически открыть его в браузере, выполните команду:

GPResult /h GPResult.html & GPResult.html

В HTML отчете gpresult содержится довольно много полезной информации: видны ошибки применения GPO, время обработки (в мс.) и применения конкретных политик и CSE (в разделе Computer Details -> Component Status). Например, на скриншоте выше видно, что политика с настройками 24 passwords remember применена политикой Default Domain Policy (столбец Winning GPO). Как вы видите, такой отчет HTML намного удобнее для анализа применённых политик, чем консоль rsop.msc.

Получение данных GPResult с удаленного компьютера

GPResult может собрать данные и с удаленной компьютера, избавляя администратора от необходимости локального или RDP входа на удаленный компьютер. Формат команды сбора данных RSOP с удаленного компьютера такой:

GPResult /s server-ts1 /r

Аналогичным образом вы можете удаленно собрать данные как по пользовательским политикам, так и по политиками компьютера.

Пользователь username не имеет данных RSOP

При включенном UAC запуск GPResult без повышенных привилегий выводит параметры только пользовательского раздела групповых политик. Если нужно одновременно отобразить оба раздела (USER SETTINGS и COMPUTER SETTINGS), команду нужно запускать . Если командная строка с повышенными привилегиями отличной от текущего пользователя системы, утилита выдаст предупреждение INFO : The user “domain \user ” does not have RSOP data (Пользователь «domain\user» не имеет данных RSOP). Это происходит потому, что GPResult пытается собрать информацию для пользователя, ее запустившего, но т.к. данный пользователь не выполнил вход (logon) в систему, информация RSOP для него отсутствует. Чтобы собрать информацию RSOP по пользователю с активной сессией, нужно указать его учетную запись:

gpresult /r /user:tn\edward

Если вы не знаете имя учтённой записи, которая залогинена на удаленном компьютере, учетную запись можно получить так:

qwinsta /SERVER:remotePC1

Также проверьте время (и ) на клиенте. Время должно соответствовать времени на PDC (Primary Domain Controller).

Следующие политики GPO не были применены, так как они отфильтрованы

При траблшутинге групповых политик стоит также обращать внимание на секцию: The following GPOs were not applied because they were filtered out (Следующие политики GPO не были применены, так как они отфильтрованы). В этой секции отображается список GPO, которые по той или иной причине не применяются к этому объекту. Возможные варианты, по которым политика может не применяться:

Также вы можете понять должна ли применяться политика к конкретному объекту AD на вкладке эффективных разрешений (Advanced -> Effective Access).

Итак, в этой статье мы рассмотрели особенности диагностики применения групповых политик с помощью утилиты GPResult и рассмотрели типовые сценарии ее использования.

Привет. Не можешь самостоятельно зарегистрировать себе аккаунт?
пишите в лс - vk.com/watsonshit
- Регистрируем аккаунты на заказ.
- Помогаем с 1 и 2 этапом UCP.
- Быстрое и качественное обслуживание.
- Гарантии, отзывы. За безопасность отвечаем.
- Абсолютно разные сервера с UCP регистрацией.
Pacific Coast Project - SW Project и т.п.

Не нашли ответ на вопрос?Пишите в комментарии ответ выдам.

) Для чего предназначен OOC чат?
- 1) Это чат который не влияет на игровой процесс.

2) Что подразумевается под термином ролевая игра?
- 2) Ролевая игра это вид игры в которой нужно отыгрывать выбранную мною роль.

3) Если какая либо ситуация складывается не в вашу пользу (убийство/грабеж). Ваши действия?
- 2) Продолжу играть не смотря ни на что.

2) Вы получили деньги от читера, что вы будете делать?
- 4) Сообщу администрации сервера, отпишусь в специальную тему и солью деньги в /charity.

3) Вы имеете право убить офицера полиции?
- 1) Конечно, я могу убить офицера полиции, только если у меня есть веская причина.

1) Разрешено ли проводить проезд мимо с водительского места?
- 4) Нет, такие действия запрещены правилами сервера.

4) Разрешены ли ники знаменитостей и героев фильмов/сериалов/мультфильмов?
- 3) Нет, запрещены.

5) Во время перестрелки технически убили троих персонажей, но спустя некоторое время эти же самые персонажи уже снова играли свои роли. К какому типу убийств это относится?
- 2) Player Kill.

7) В вас стреляют, но вы не хотите умирать, и поэтому...
- 4) Вы попытаетесь убежать и выжить ролевым путём.

2) Имеете ли вы право пользоваться Bunny-Hop"ом?
- 3) Да, я имею право им пользоваться если я никому не мешаю.

7) Что вы сделаете, если у вас есть предложение по развитию сервера?
- 3) Напишу об этом в соответствующем разделе на форуме.

3) Является ли обязательным отписывать действия при использовании малогабаритного оружия?
- 4) Нет.

2) Вы впервые на сервере и совсем не знаете команд, что вы будете делать?
- 3) Задам вопрос администрации командой /askq, затем дождусь ответа.

3) Для чего предназначена команда /coin?
- для решений всех спорных ситуаций

1) Что такое Metagaming?
- 2) Это использование внеролевой информации при отыгрывании роли.

6) Игрок, чей персонаж был технически убит во время перестрелки, решил отомстить обидчикам и без всяких ролевых причин убил одного из оппонентов. Какие нарушения здесь со стороны игрока?
- 3) Revenge kill.

10) Разрешёно ли пополнять количество здоровья во время драки\перестрелки?
- 4) Нет.

8) Разрешён ли огонь по сотрудникам LSPD и чем он чреват?
- 4) Да, обыкновенная перестрелка заканчивается ПК для обеих сторон. В случае если это кейс-файл или же рейд, полиции выдаётся PK, а преступникам СК.

6) Какая максимальная сумма для ограбления, которая не требует проверок администрации?
- 1) $500

9) Какие языки можно использовать на нашем сервере?
- 1) Русский.

7) После долгой и тщательной подготовки, киллер выполнил заказ - он убил. План был просчитан до мелочей, в следствии этого заказчик щедро заплатил. Что в этом случае засчитывается жертве?
- 1) Character Kill.

9) Разрешён ли угон правительственных автомобилей?
- 2) Да, но необходимо предварительно спросить у администратора, а так же действовать согласно 9 пункту игровых правил.

8) В каких случаях вы можете отыгрывать сексуальное насилие и жестокость?
- 2) Сексуальное насилие и жестокость можно играть только при согласии всех лиц участвующих в РП.

10) Что нужно делать, если вы считаете, что игра идёт не по правилам?
- 1) Написать в /report, в случае если администратор отсутствует - написать жалобу на форуме.

7) Сколько наигранных часов должно быть у игрока для того, чтобы его можно было ограбить?
- 3) 8 часов.

8) Укажите правильное использование команды /coin. После:
- me остановил дыхание, и нанёс удар по мячу, пытаясь закинуть его в лунку.

8) Укажите правильное использования команды /me:
- /me широко улыбнулся, смотря прямо в глаза Линды. Подошёл поближе, за тем аккуратно приобнял её.

ПРОДАЖА ВИРТУАЛЬНОЙ ВАЛЮТА НА СЕРВЕРАХ PACIFIC COAST PROJECT И GRINCH ROLE PLAY.
ВСЯ ИНФОРМАЦИЯ В ГРУППЕ!
vk.com/virtongarant