Vorlesung 4 Network Policy Server: RADIUS Server, RADIUS Proxy und Security Policy Server
Vorlesung 4
Thema: NPS-Server: RADIUS-Server, RADIUS-Proxy und NAP-Richtlinienserver
Einführung
Windows Server 2008 und Windows Server 2008 R2 sind High-Tech-Windows Server-Betriebssysteme, die eine neue Generation von Netzwerken, Anwendungen und Webdiensten hervorbringen sollen. Mit diesen Betriebssystemen können Sie flexible und umfassende Benutzer- und Anwendungsinteraktionen entwerfen, bereitstellen und verwalten, hochsichere Netzwerkinfrastrukturen aufbauen und die technologische Effizienz und Organisation in Ihrem Unternehmen steigern.
Netzwerkrichtlinienserver
Mit dem Netzwerkrichtlinienserver können Sie Netzwerkzugriffsrichtlinien auf Organisationsebene erstellen und durchsetzen, um die Clientintegrität sicherzustellen und Verbindungsanforderungen zu authentifizieren und zu autorisieren. Darüber hinaus kann NPS als RADIUS-Proxy verwendet werden, um Verbindungsanforderungen an NPS oder andere RADIUS-Server weiterzuleiten, die in Remote-RADIUS-Servergruppen konfiguriert sind.
Mit dem Netzwerkrichtlinienserver können Sie Clientauthentifizierungs-, Autorisierungs- und Clientintegritätsrichtlinien zentral konfigurieren und verwalten, wenn Sie Netzwerkzugriff über die folgenden drei Funktionen gewähren:
Radius-Server. NPS führt zentral Authentifizierung, Autorisierung und Abrechnung für drahtlose Verbindungen, authentifizierte Switch-Verbindungen, DFÜ-Verbindungen und VPN-Verbindungen (Virtual Private Network) durch. Wenn NPS als RADIUS-Server verwendet wird, werden NAP-Server wie Wireless Access Points und VPN-Server als RADIUS-Clients auf dem NPS konfiguriert. Es konfiguriert auch die Netzwerkrichtlinien, die vom NPS verwendet werden, um Verbindungsanforderungen zu autorisieren. Darüber hinaus können Sie die RADIUS-Kontoführung so konfigurieren, dass NPS Daten in Protokolldateien schreibt, die auf der lokalen Festplatte oder in einer Microsoft SQL Server-Datenbank gespeichert sind.
RADIUS-Proxy. Wenn Sie NPS als RADIUS-Proxy verwenden, müssen Sie Vekonfigurieren, die bestimmen, welche Verbindungsanforderungen der NPS-Server an andere RADIUS-Server umleitet und an welche spezifischen RADIUS-Server diese Anforderungen weitergeleitet werden. Sie können NPS auch so konfigurieren, dass Anmeldeinformationen umgeleitet werden, um sie auf einem oder mehreren Computern in einer Remote-RADIUS-Servergruppe zu speichern.
Richtlinienserver für den Netzwerkzugriffsschutz (NAP). Wenn NPS als NAP-Richtlinienserver konfiguriert ist, wertet NPS Integritätszustände aus, die von NAP-aktivierten Clientcomputern gesendet werden, die versuchen, eine Verbindung mit dem Netzwerk herzustellen. Der mit NAP konfigurierte NPS fungiert als RADIUS-Server, der Verbindungsanfragen authentifiziert und autorisiert. Auf dem NPS-Server können Sie NAP-Richtlinien und -Einstellungen konfigurieren, einschließlich Systemintegritätsprüfungen, Integritätsrichtlinien und Updateservergruppen, die sicherstellen, dass Clientcomputer gemäß der Netzwerkrichtlinie der Organisation aktualisiert werden.
Jede Kombination der oben genannten Funktionen kann auf dem NPS-Server konfiguriert werden. Ein NPS-Server kann beispielsweise mit einer oder mehreren Durchsetzungsmethoden als NAP-Richtlinienserver fungieren, während er als RADIUS-Server für DFÜ-Verbindungen und als RADIUS-Proxy zum Umleiten einiger Verbindungsanforderungen an eine Gruppe von Remote-RADIUS-Servern dient Sie müssen sich in einer anderen Domäne authentifizieren und autorisieren.
RADIUS-Server und RADIUS-Proxy
NPS kann als RADIUS-Server, RADIUS-Proxy oder beides gleichzeitig verwendet werden.
Radius-Server
Microsoft NPS wird gemäß dem in IETF RFC 2865 und RFC 2866 beschriebenen RADIUS-Standard implementiert. Als RADIUS-Server führt NPS zentral Authentifizierung, Autorisierung und Verbindungsabrechnung für verschiedene Arten von Netzwerkzugriffen durch, einschließlich Wireless, Switching Authentication, Remote und VPN Zugriff und Router-zu-Router-Verbindungen.
Network Policy Server ermöglicht Ihnen die Verwendung eines heterogenen Gerätesatzes für drahtlosen Zugriff, DFÜ-Zugriff, VPNs und Switching. Network Policy Server kann mit Routing und RAS verwendet werden, das unter Microsoft Windows 2000, Windows Server 2003, Standard Edition, Windows Server 2003, Enterprise Edition und Windows Server 2003, Datacenter Edition verfügbar ist.
Wenn der NPS-Computer Mitglied einer Active Directory®-Domäne ist, verwendet NPS diesen Verzeichnisdienst als Benutzerkontodatenbank und ist Teil der SSO-Lösung. Der gleiche Satz von Anmeldeinformationen wird verwendet, um den Netzwerkzugriff (Authentifizierung und Autorisierung des Netzwerkzugriffs) zu steuern und sich bei einer Active Directory-Domäne anzumelden.
Internet Service Provider und Organisationen, die Netzwerkzugriff bereitstellen, sehen sich den komplexeren Herausforderungen gegenüber, alle Arten von Netzwerken von einem einzigen Verwaltungspunkt aus zu verwalten, unabhängig von der verwendeten Netzwerkzugriffsausrüstung. Der RADIUS-Standard unterstützt diese Funktionalität sowohl in homogenen als auch in heterogenen Umgebungen. RADIUS ist ein Client/Server-Protokoll, das es Netzwerkzugangsgeräten (die als RADIUS-Clients fungieren) ermöglicht, Authentifizierungs- und Abrechnungsanforderungen an einen RADIUS-Server zu senden.
Der RADIUS-Server hat Zugriff auf die Benutzerkontoinformationen und kann bei der Authentifizierung Anmeldeinformationen validieren, um Zugriff auf das Netzwerk zu gewähren. Wenn die Anmeldeinformationen des Benutzers gültig sind und der Verbindungsversuch authentifiziert wird, autorisiert der RADIUS-Server den Zugriff des Benutzers basierend auf den angegebenen Bedingungen und zeichnet die Verbindungsinformationen im Protokoll auf. Durch die Verwendung des RADIUS-Protokolls können Authentifizierungs-, Autorisierungs- und Abrechnungsdaten an einem einzigen Ort gesammelt und verwaltet werden, anstatt diesen Vorgang auf jedem Zugriffsserver durchzuführen.
RADIUS-Proxy
Als RADIUS-Proxy leitet NPS Authentifizierungs- und Abrechnungsnachrichten an andere RADIUS-Server weiter.
Mithilfe eines Netzwerkrichtlinienservers können Unternehmen ihre RAS-Infrastruktur an einen Dienstanbieter auslagern und gleichzeitig die Kontrolle über Authentifizierung, Autorisierung und Benutzerkonto behalten.
NPS-Konfigurationen können für die folgenden Szenarien erstellt werden:
Kabelloser Zugang
Die DFÜ- oder VPN-Verbindung einer Organisation.
Fernzugriff oder drahtloser Zugriff durch eine externe Organisation
Internet Zugang
Authentifizierter Zugriff auf externe Netzwerkressourcen für Geschäftspartner
Konfigurationsbeispiele für RADIUS-Server und RADIUS-Proxy
Die folgenden Konfigurationsbeispiele veranschaulichen, wie Sie NPS als RADIUS-Server und RADIUS-Proxy konfigurieren.
NPS als RADIUS-Server. In diesem Beispiel ist der NPS-Server als RADIUS-Server konfiguriert, die einzige konfigurierte Richtlinie ist die Standardrichtlinie für Verbindungsanforderungen, und alle Verbindungsanforderungen werden vom lokalen NPS-Server verarbeitet. NPS kann Benutzer authentifizieren und autorisieren, deren Konten sich in der Domäne des Servers oder in vertrauenswürdigen Domänen befinden.
NPS als RADIUS-Proxy. In diesem Beispiel ist NPS als RADIUS-Proxy konfiguriert, der Verbindungsanforderungen an Gruppen von Remote-RADIUS-Servern in zwei verschiedenen nicht vertrauenswürdigen Domänen weiterleitet. Die Standardrichtlinie für Verbindungsanforderungen wird entfernt, und es werden zwei neue Richtlinien für Verbindungsanforderungen erstellt, um Anforderungen an jede der beiden nicht vertrauenswürdigen Domänen umzuleiten. In diesem Beispiel verarbeitet der NPS-Server keine Verbindungsanfragen auf dem lokalen Server.
NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy. Zusätzlich zu der standardmäßigen Verbindungsanforderungsrichtlinie, die Anforderungen lokal verarbeitet, wird eine neue Verstellt, die an den NPS oder einen anderen RADIUS-Server in einer nicht vertrauenswürdigen Domäne umgeleitet wird. Die zweite Richtlinie heißt Proxy. In diesem Beispiel wird die Proxy-Richtlinie zuerst in der geordneten Liste der Richtlinien angezeigt. Wenn die Verbindungsanfrage mit der Proxy-Richtlinie übereinstimmt, wird die Verbindungsanfrage an einen RADIUS-Server in der Remote-RADIUS-Servergruppe umgeleitet. Wenn eine Verbindungsanforderung nicht der Proxy-Richtlinie, aber der Standard-Ventspricht, verarbeitet NPS die Verbindungsanforderung auf dem lokalen Server. Wenn die Verbindungsanfrage keiner dieser Richtlinien entspricht, wird sie abgelehnt.
NPS als RADIUS-Server mit Remote-Accounting-Servern. In diesem Beispiel ist der lokale NPS-Server nicht für die Kontoführung konfiguriert und die Standardvwurde geändert, sodass Kontoführungs-RADIUS-Nachrichten an den NPS oder einen anderen RADIUS-Server in der Remote-RADIUS-Servergruppe weitergeleitet werden. Obwohl Abrechnungsnachrichten umgeleitet werden, werden Authentifizierungs- und Autorisierungsnachrichten nicht umgeleitet, und der lokale NPS-Server führt die entsprechenden Funktionen für die lokale Domäne und alle vertrauenswürdigen Domänen aus.
NPS mit Remote-RADIUS zu Windows-Benutzerzuordnung. In diesem Beispiel fungiert NPS sowohl als RADIUS-Server als auch als RADIUS-Proxy für jede einzelne Verbindungsanforderung und leitet die Authentifizierungsanforderung an einen Remote-RADIUS-Server um, während die Authentifizierung mit dem lokalen Windows-Benutzerkonto erfolgt. Diese Konfiguration erfolgt durch Festlegen des Attributs Remote-RADIUS-Server zuordnen auf den Windows-Benutzer als Bedingung der Verbindungsanforderungsrichtlinie. (Außerdem muss auf dem RADIUS-Server ein lokales Benutzerkonto mit demselben Namen wie das Remote-Konto erstellt werden, das vom Remote-RADIUS-Server authentifiziert wird.)
Richtlinienserver für den Netzwerkzugriffsschutz
Der Netzwerkzugriffsschutz ist in Windows Vista®, Windows® 7, Windows Server® 2008 und Windows Server® 2008 R2 enthalten. Sie trägt zum Schutz des Zugriffs auf private Netzwerke bei, indem sichergestellt wird, dass die Clientcomputereinstellungen den im Netzwerk der Organisation geltenden Integritätsrichtlinien entsprechen, während diese Clients gleichzeitig auf Netzwerkressourcen zugreifen können. Darüber hinaus wird die Konformität eines Clientcomputers mit einer vom Administrator definierten Integritätsrichtlinie von NAP überwacht, während der Computer mit dem Netzwerk verbunden ist. Mit der automatischen NAP-Aktualisierungsfunktion können nicht konforme Computer gemäß einer Integritätsrichtlinie automatisch aktualisiert werden, damit ihnen später Netzwerkzugriff gewährt wird.
Systemadministratoren definieren Netzwerkintegritätsrichtlinien und erstellen diese Richtlinien mithilfe von NAP-Komponenten, die auf dem NPS verfügbar sind oder von anderen Unternehmen bereitgestellt werden (je nach NAP-Implementierung).
Integritätsrichtlinien können Merkmale wie Softwareanforderungen, Sicherheitsupdateanforderungen und Konfaufweisen. NAP erzwingt Integritätsrichtlinien, um die Integrität von Clientcomputern zu überprüfen und auszuwerten, den Netzwerkzugriff auf Computer einzuschränken, die diese Anforderungen nicht erfüllen, und um diese Inkonsistenz zu korrigieren, um uneingeschränkten Netzwerkzugriff bereitzustellen.
Hallo. Sie können sich nicht selbst registrieren?
Schreiben Sie an HP - vk.com/watsonshit
- Wir registrieren Konten, um zu bestellen.
- Wir helfen bei den Stufen 1 und 2 des UCP.
- Schneller und qualitativ hochwertiger Service.
- Garantien, Bewertungen. Wir sind für die Sicherheit verantwortlich.
- Völlig andere Server mit UCP-Registrierung.
Pazifikküstenprojekt - SW-Projekt usw.
Haben Sie keine Antwort auf die Frage gefunden, schreiben Sie in die Kommentare, ich werde die Antwort geben.
) Wozu dient der OOC-Chat?
- 1) Dies ist ein Chat, der das Gameplay nicht beeinflusst.
2) Was versteht man unter dem Begriff Rollenspiel?
- 2) Rollenspiel ist eine Art von Spiel, bei dem Sie die von mir gewählte Rolle spielen müssen.
3) Wenn eine Situation nicht zu Ihren Gunsten ist (Mord / Raub). Eure Aktionen?
- 2) Ich werde auf jeden Fall weiterspielen.
2) Du hast Geld von einem Betrüger bekommen, was wirst du tun?
- 4) Ich werde die Administration des Servers informieren, ich werde mich in einem speziellen Thema abmelden und Geld in / Wohltätigkeit einbringen.
3) Haben Sie das Recht, einen Polizisten zu töten?
- 1) Natürlich kann ich einen Polizisten nur töten, wenn ich einen guten Grund habe.
1) Darf man vom Fahrersitz aus vorbeifahren?
- 4) Nein, solche Aktionen sind durch die Serverregeln verboten.
4) Sind Spitznamen von Prominenten und Helden von Filmen / TV-Serien / Cartoons erlaubt?
- 3) Nein, verboten.
5) Während der Schießerei wurden technisch gesehen drei Charaktere getötet, aber nach einer Weile spielten dieselben Charaktere bereits wieder ihre Rollen. Um welche Art von Mord handelt es sich?
- 2) Spieler töten.
7) Sie schießen auf dich, aber du willst nicht sterben, und deshalb ...
- 4) Sie werden versuchen zu entkommen und in einem Rollenspiel zu überleben.
2) Sind Sie berechtigt, Bunny-Hop zu verwenden?
- 3) Ja, ich habe das Recht, es zu verwenden, wenn ich niemanden belästige.
7) Was tun Sie, wenn Sie einen Vorschlag zur Serverentwicklung haben?
- 3) Ich werde darüber in der entsprechenden Rubrik im Forum schreiben.
3) Ist es zwingend erforderlich, Aktionen bei der Verwendung kleiner Waffen abzubestellen?
- 4) Nein.
2) Dies ist Ihr erstes Mal auf dem Server und Sie kennen die Befehle überhaupt nicht, was werden Sie tun?
- 3) Ich stelle der Verwaltung eine Frage mit dem Befehl / askq, dann warte ich auf eine Antwort.
3) Wozu dient der /coin-Befehl?
- zur Lösung aller strittigen Situationen
1) Was ist Metagaming?
- 2) Dies ist die Verwendung von Nicht-Rolleninformationen im Rollenspiel.
6) Der Spieler, dessen Charakter während der Schießerei technisch getötet wurde, beschloss, sich an den Tätern zu rächen und tötete ohne Rollenspielgrund einen der Gegner. Was sind hier die Verstöße seitens des Spielers?
- 3) Rache-Tötung.
10) Ist es erlaubt, die Gesundheit während eines Kampfes / einer Schießerei wieder aufzufüllen?
- 4) Nein.
8) Ist Feuer auf LSPD-Mitarbeiter erlaubt und was beinhaltet es?
- 4) Ja, ein gewöhnliches Feuergefecht endet mit einem PC für beide Seiten. Wenn es sich um eine Fallakte oder eine Razzia handelt, wird PK an die Polizei und IC an die Kriminellen ausgestellt.
6) Wie hoch ist der Höchstbetrag für einen Raubüberfall, bei dem keine Verwaltungskontrollen erforderlich sind?
- 1) $500
9) Welche Sprachen können auf unserem Server verwendet werden?
- 1) Russisch.
7) Nach langer und gründlicher Vorbereitung erfüllte der Mörder den Befehl - er tötete. Der Plan war bis ins kleinste Detail kalkuliert, wodurch der Kunde großzügig bezahlte. Was zählt in diesem Fall das Opfer?
- 1) Charaktertötung.
9) Ist es legal, Regierungsautos zu stehlen?
- 2) Ja, aber Sie müssen zuerst den Administrator fragen und auch gemäß Absatz 9 der Spielregeln handeln.
8) Wann können Sie sexuelle Übergriffe und Missbrauch ausleben?
- 2) Sexuelle Gewalt und Grausamkeit dürfen nur mit Zustimmung aller am RP teilnehmenden Personen gespielt werden.
10) Was sollten Sie tun, wenn Sie denken, dass das Spiel nicht nach den Regeln verläuft?
- 1) Schreiben Sie an / melden Sie sich, wenn der Administrator abwesend ist - schreiben Sie eine Beschwerde im Forum.
7) Wie viele Stunden muss ein Spieler haben, um ausgeraubt zu werden?
- 3) 8 Stunden.
8) Geben Sie die korrekte Verwendung des /coin-Befehls an. Nach:
- Ich hörte auf zu atmen, schlug den Ball und versuchte, ihn in das Loch zu werfen.
8) Geben Sie die korrekte Verwendung des /me-Befehls an:
- / Ich lächelte breit und sah Linda direkt in die Augen. Er kam näher und umarmte sie dann sanft.
VERKAUF VON VIRTUELLER WÄHRUNG AUF PACIFIC COAST PROJEKT- UND GRINCH-ROLLENSPIEL-SERVERN.
ALLE INFORMATIONEN IN DER GRUPPE!
vk.com/virtongarant
Bevor Sie einen Socket-Server entwerfen, müssen Sie einen Richtlinienserver erstellen, der Silverlight mitteilt, welche Clients eine Verbindung zum Socket-Server herstellen dürfen.
Wie oben gezeigt, lässt Silverlight das Laden von Inhalten oder das Aufrufen von Webdiensten nicht zu, wenn keine clientaccesspolicy .xml- oder domänenübergreifende Datei in der Domäne vorhanden ist. xml, in der diese Operationen explizit erlaubt sind. Eine ähnliche Einschränkung gilt für den Socket-Server. Wenn Sie dem Clientgerät nicht erlauben, eine clientaccesspolicy .xml-Datei zu laden, die den Fernzugriff ermöglicht, verweigert Silverlight die Verbindung.
Leider die Bereitstellung der Clientzugriffsrichtlinie. cml an eine Socket-Anwendung ist komplexer als die Bereitstellung über eine Website. Wenn Sie eine Website verwenden, kann die Webserver-Software eine .xml-Datei für die Clientzugriffsrichtlinie bereitstellen. Denken Sie daran, diese hinzuzufügen. Wenn Sie jedoch eine Socket-Anwendung verwenden, müssen Sie einen Socket öffnen, auf den Clientanwendungen mit Richtlinienanforderungen zugreifen können. Darüber hinaus müssen Sie den Code, der den Socket bedient, manuell erstellen. Um diese Aufgaben auszuführen, müssen Sie einen Richtlinienserver erstellen.
Im Folgenden wird gezeigt, dass der Policy-Server genauso funktioniert wie der Message-Server, nur etwas einfachere Interaktionen handhabt. Nachrichtenserver und Richtlinien können separat erstellt oder in einer einzigen Anwendung kombiniert werden. Im zweiten Fall müssen sie auf Anforderungen in verschiedenen Threads warten. In diesem Beispiel erstellen wir einen Richtlinienserver und kombinieren ihn dann mit einem Messaging-Server.
Um einen Richtlinienserver zu erstellen, müssen Sie zuerst eine .NET-Anwendung erstellen. Als Richtlinienserver kann jede Art von .NET-Anwendung dienen. Der einfachste Weg ist die Verwendung einer Konsolenanwendung. Nach dem Debuggen einer Konsolenanwendung können Sie Ihren Code in einen Windows-Dienst verschieben, sodass er jederzeit im Hintergrund ausgeführt wird.
Richtliniendatei
Es folgt die Richtliniendatei, die vom Richtlinienserver bereitgestellt wird.
Die Richtliniendatei definiert drei Regeln.
Ermöglicht den Zugriff auf alle Ports 4502 bis 4532 (dies ist der gesamte Portbereich, der vom Silverlight-Add-In unterstützt wird). Um den Bereich der verfügbaren Ports zu ändern, müssen Sie den Wert des Port-Attributs des Elements ändern.
Erlaubt den TCP-Zugriff (die Berechtigung wird im Protokollattribut des Elements angegeben).
Ermöglicht das Anrufen von jeder Domain. Daher kann die Silverlight-Anwendung, die die Verbindung herstellt, von jeder Website gehostet werden. Um diese Regel zu ändern, müssen Sie das uri-Attribut des Elements bearbeiten.
Zur Vereinfachung werden die Richtlinienregeln in die dem Projekt hinzugefügte Datei clientaccess-ploi.cy.xml eingefügt. In Visual Studio muss die Einstellung In Ausgabeverzeichnis kopieren der Richtliniendatei auf Immer kopieren festgelegt sein. Alles, was Sie tun müssen, ist die Datei auf Ihrer Festplatte zu finden, sie zu öffnen und den Inhalt an das Client-Gerät zurückzugeben.
PolicyServer-Klasse
Die Policy Server-Funktionalität basiert auf zwei Schlüsselklassen: PolicyServer und PolicyConnection. Die PolicyServer-Klasse wartet auf Verbindungen. Sobald die Verbindung hergestellt ist, übergibt es die Kontrolle an eine neue Instanz der PoicyConnection-Klasse, die die Richtliniendatei an den Client übergibt. Dieses zweiteilige Verfahren ist in der Netzwerkprogrammierung üblich. Sie werden es immer wieder sehen, wenn Sie mit Message-Servern arbeiten.
Die PolicyServer-Klasse lädt die Richtliniendatei von der Festplatte und speichert sie im Feld als Byte-Array.
Öffentliche Klasse PolicyServer
private Byte-Richtlinie;
public PolicyServer (string policyFile) (
Um mit dem Abhören zu beginnen, muss die Serveranwendung den PolicyServer aufrufen. Start (). Es erstellt ein TcpListener-Objekt, das auf Anfragen wartet. Der TcpListener ist so konfiguriert, dass er Port 943 überwacht. In Silverlight ist dieser Port für Richtlinienserver reserviert. Wenn Richtliniendateien angefordert werden, leitet die Silverlight-Anwendung diese automatisch an Port 943 weiter.
privater TcpListener-Listener;
public void Start ()
// Erzeuge ein Hörobjekt
Listener = neuer TcpListener (IPAddress.Any, 943);
// Beginne zuzuhören; die Methode Start() gibt II sofort nach dem Aufruf von listener.Start() zurück;
// Warten auf eine Verbindung; die Methode kehrt sofort zurück;
II Wait wird in einem separaten Thread durchgeführt
Um die vorgeschlagene Verbindung zu akzeptieren, ruft der Richtlinienserver die Methode BeginAcceptTcpClient() auf. Wie alle Beginxxx()-Methoden im .NET-Framework kehrt es sofort nach dem Aufruf zurück und führt die erforderlichen Operationen in einem separaten Thread aus. Dies ist ein wichtiger Faktor für vernetzte Anwendungen, da viele Anforderungen für Richtliniendateien gleichzeitig verarbeitet werden können.
Notiz. Neue Netzwerkprogrammierer sind oft überrascht, wie sie mehr als eine Anfrage gleichzeitig bearbeiten können, und denken, dass dies mehrere Server erfordert. Es ist jedoch nicht. Bei diesem Ansatz würden Clientanwendungen schnell die verfügbaren Ports ausgehen. In der Praxis verarbeiten Serveranwendungen viele Anfragen über einen einzigen Port. Dieser Prozess ist für Anwendungen unsichtbar, da das integrierte TCP von Windows Nachrichten automatisch erkennt und an die entsprechenden Objekte im Anwendungscode weiterleitet. Jede Verbindung wird anhand von vier Parametern eindeutig identifiziert: Client-IP-Adresse, Client-Portnummer, Server-IP-Adresse und Server-Portnummer.
Bei jeder Anfrage wird die Callback-Methode OnAcceptTcpClient() ausgelöst. Sie ruft die BeginAcceptTcpClient O-Methode erneut auf, um mit dem Warten auf die nächste Anforderung in einem anderen Thread zu beginnen, und beginnt dann mit der Verarbeitung der aktuellen Anforderung.
public void OnAcceptTcpClient (IAsyncResult ar) (
if (isStopped) return;
Console.WriteLine ("Richtlinienanfrage erhalten."); // Auf die nächste Verbindung warten.
listener.BeginAcceptTcpClient (OnAcceptTcpClient, null);
// Behandelt die aktuelle Verbindung.
TcpClient-Client = listener.EndAcceptTcpClient (ag); PolicyConnection policyConnection = neue PolicyConnection (Client, Richtlinie); policyConnection.HandleRequest();
catch (Ausnahme err) (
Jedes Mal, wenn eine neue Verbindung empfangen wird, wird ein neues PolicyConnection-Objekt erstellt, um diese zu verarbeiten. Darüber hinaus stellt das PolicyConnection-Objekt die Richtliniendatei bereit.
Die letzte Komponente der PolicyServer-Klasse ist die Methode Stop(), die das Warten auf Anforderungen beendet. Die Anwendung ruft es nach Abschluss auf.
privater bool isStopped;
public void StopO (
isStopped = wahr;
Hörer. Halt ();
catch (Ausnahme err) (
Console.WriteLine (err.Message);
Der folgende Code wird verwendet, um den Richtlinienserver in der Main()-Methode des Anwendungsservers zu starten.
static void Main (string args) (
PolicyServer policyServer = neuer PolicyServer ("clientaccesspolicy.xml"); policyServer.Start();
Console.WriteLine ("Der Richtlinienserver wird ausgeführt."); Console.WriteLine ("Drücken Sie die Eingabetaste zum Beenden.");
// Warten auf einen Tastendruck; Mit der Methode // Console.ReadKey() können Sie festlegen, dass auf eine bestimmte // Zeile gewartet wird (z. B. quit) oder eine beliebige Taste gedrückt wird Console.ReadLine();
policyServer.Stop();
Console.WriteLine ("Herunterfahren des Richtlinienservers.");
PolicyConnection-Klasse
Die PolicyConnection-Klasse erledigt eine einfachere Aufgabe. Das PolicyConnection-Objekt speichert einen Verweis auf die Richtliniendateidaten. Nach dem Aufrufen der HandleRequest()-Methode ruft das PolicyConnection-Objekt dann eine neue Verbindung aus dem Netzwerkstream ab und versucht, sie zu lesen. Das Client-Gerät muss eine Zeichenfolge mit dem Text übertragen Nach dem Lesen dieses Textes schreibt das Client-Gerät die Richtliniendaten in den Stream und schließt die Verbindung. Unten ist der Code für die PolicyConnection-Klasse.
öffentliche Klasse PolicyConnection (
privater TCPClient-Client; private Byte-Richtlinie;
public PolicyConnection (TcpClient-Client, Byterichtlinie) (
this.client = Kunde; this.policy = Richtlinie;
// Erstellen einer privaten statischen Zeichenfolge für die Client-Anforderung policyRequestString = "
public void HandleRequest () (
Stream s = client.GetStream (); // Lesen Sie die Richtlinienabfragezeichenfolge
Bytepuffer = neues Byte;
// Nur 5 Sekunden warten client.ReceiveTimeout = 5000; ’
s.Read (Puffer, 0, Puffer.Länge);
// Senden Sie die Richtlinie (Sie können auch prüfen, ob die Richtlinienanforderung // den erforderlichen Inhalt enthält) s.Write (Richtlinie, 0, Richtlinie.Länge);
// Verbindung schließen client.Close();
Console.WriteLine ("Richtliniendatei bereitgestellt.");
Wir haben also einen voll funktionsfähigen Richtlinienserver. Leider kann es noch nicht getestet werden, da das Silverlight-Add-In das Anfordern von Richtliniendateien nicht explizit zulässt. Stattdessen fordert es sie automatisch an, wenn versucht wird, eine Socket-Anwendung zu verwenden. Bevor Sie eine Clientanwendung für eine bestimmte Socketanwendung erstellen, müssen Sie einen Server erstellen.
In den vorherigen Artikeln dieser Serie haben Sie gelernt, wie Sie die Funktionalität lokaler Sicherheitsrichtlinien effektiv nutzen können, um die Infrastruktur Ihres Unternehmens vor Angriffen von außen sowie vor den meisten Handlungen Inkompetenter maximal zu schützen Mitarbeiter. Sie wissen bereits, wie Sie effektiv Kontorichtlinien einrichten können, mit denen Sie die Komplexität der Passwörter Ihrer Benutzer verwalten und Überwachungsrichtlinien für die anschließende Analyse der Authentifizierung Ihrer Benutzer im Sicherheitsprotokoll einrichten können. Darüber hinaus haben Sie gelernt, wie Sie Ihren Benutzern Rechte zuweisen, um Schäden an Ihrem System und sogar an Computern in Ihrem Intranet zu vermeiden, und Sie wissen auch, wie Sie Ereignisprotokolle, eingeschränkte Gruppen, Systemdienste, die Registrierung und das Dateisystem effektiv konfigurieren. In diesem Artikel werden wir unsere Erkundung lokaler Sicherheitsrichtlinien fortsetzen und Sie erfahren mehr über die Sicherheitseinstellungen für kabelgebundene Netzwerke für Ihr Unternehmen.
Ab Windows Server 2008 führten die Serverbetriebssysteme von Microsoft die Richtlinienkomponente Wired Networking (IEEE 802.3) ein, die eine automatische Konfiguration für die Bereitstellung von IEEE 802.1X-authentifizierten kabelgebundenen Zugriffsdiensten für Ethernet 802.3-Netzwerkclients bereitstellt. Um Sicherheitseinstellungen für kabelgebundene Netzwerke mithilfe von Gruppenrichtlinien zu implementieren, verwenden Betriebssysteme den Dienst Wired AutoConfig (DOT3SVC). Der aktuelle Dienst ist für die IEEE 802.1X-Authentifizierung verantwortlich, wenn eine Verbindung zu Ethernet-Netzwerken über kompatible 802.1X-Switches hergestellt wird, und verwaltet auch das Profil, das verwendet wird, um den Netzwerk-Client für den authentifizierten Zugriff zu konfigurieren. Beachten Sie auch, dass es bei Verwendung dieser Richtlinien ratsam ist, Benutzern Ihrer Domain zu verbieten, den Startmodus dieses Dienstes zu ändern.
Konfigurieren einer Richtlinie für kabelgebundene Netzwerke
Sie können die Richtlinieneinstellungen für kabelgebundene Netzwerke direkt über das Snap-In konfigurieren. Um diese Parameter zu konfigurieren, gehen Sie folgendermaßen vor:
- Öffnen Sie das Snap-In und wählen Sie einen Knoten in der Konsolenstruktur aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie den Befehl „Erstellen einer neuen Richtlinie für verkabelte Netzwerke für Windows Vista und höher“ wie in der folgenden Abbildung gezeigt:
Reis. 1. Erstellen Sie eine Richtlinie für kabelgebundene Netzwerke
- Im geöffneten Dialogfeld "Neue Richtlinie für kabelgebundene Netzwerkeigenschaften", auf der Registerkarte "Allgemein", können Sie die kabelgebundene Autokonfiguration verwenden, um LAN-Adapter für die Verbindung mit einem kabelgebundenen Netzwerk zu konfigurieren. Zusätzlich zu den Richtlinieneinstellungen, die für Windows Vista und höhere Betriebssysteme gelten, gibt es einige Optionen, die nur für die Betriebssysteme Windows 7 und Windows Server 2008 R2 gelten. Auf dieser Registerkarte können Sie Folgendes tun:
- Versicherungsname... In diesem Textfeld können Sie Ihre kabelgebundene Richtlinie benennen. Sie können den Namen der Richtlinie im Detailbereich des Knotens sehen Richtlinien für kabelgebundene Netzwerke (IEEE 802.3) schnappen Gruppenrichtlinienverwaltungs-Editor;
- Beschreibung... Dieses Textfeld dient zum Ausfüllen einer detaillierten Beschreibung des Zwecks der Richtlinie für kabelgebundene Netzwerke;
- Verwenden Sie den kabelgebundenen Autokonfigurationsdienst von Windows für Clients... Diese Option führt die eigentliche Konfiguration durch und verbindet Clients mit dem kabelgebundenen 802.3-Netzwerk. Wenn Sie diese Option deaktivieren, steuert das Windows-Betriebssystem die kabelgebundene Netzwerkverbindung nicht und die Richtlinieneinstellungen werden nicht wirksam.
- Verhindern, dass gemeinsame Benutzeranmeldeinformationen für die Netzwerkauthentifizierung verwendet werden... Diese Einstellung legt fest, ob dem Benutzer das Speichern gemeinsamer Benutzeranmeldeinformationen für die Netzwerkauthentifizierung verweigert werden soll. Lokal können Sie diesen Parameter mit dem Befehl ändern netsh lan set allowexplicitcreds;
- Sperrzeit aktivieren... Diese Einstellung legt fest, ob der Computer für die von Ihnen angegebene Anzahl von Minuten daran gehindert wird, sich automatisch mit dem kabelgebundenen Netzwerk zu verbinden. Der Standardwert beträgt 20 Minuten. Die Sperrzeit ist im Bereich von 1 bis 60 Minuten konfigurierbar.
- Auf der Registerkarte "Sicherheit" bereitgestellten Konfigurationsoptionen für die Authentifizierungsmethode und den kabelgebundenen Modus. Sie können die folgenden Sicherheitseinstellungen konfigurieren:
- Aktivieren Sie die IEEE 802.1X-Authentifizierung für den Netzwerkzugriff... Diese Option wird direkt verwendet, um die 802.1X-Nzu aktivieren oder zu deaktivieren. Standardmäßig ist diese Option aktiviert;
- Wählen Sie eine Naus... Mithilfe dieser Dropdown-Liste können Sie eine der Netzwerk-Client-Authentifizierungsmethoden angeben, die auf Ihre Richtlinie für verkabelte Netzwerke angewendet wird. Folgende zwei Optionen stehen zur Auswahl:
- Microsoft: Geschütztes EAP (PEAP)... Bei dieser Authentifizierungsmethode wird das Fenster "Eigenschaften" Enthält die Konfigurationsparameter der verwendeten Authentifizierungsmethode;
- Microsoft: Smartcards oder anderes Zertifikat... Für diese Authentifizierungsmethode im Fenster "Eigenschaften" Es werden Konfigurationsoptionen bereitgestellt, mit denen Sie eine Smartcard oder ein Zertifikat für die Verbindung sowie eine Liste vertrauenswürdiger Stammzertifizierungsstellen angeben können.
Standardmäßig ist die Methode ausgewählt Microsoft: Geschütztes EAP (PEAP);
- Authentifizierungsmodus... Diese Dropdown-Liste wird verwendet, um die Netzwerkauthentifizierung durchzuführen. Folgende vier Optionen stehen zur Auswahl:
- Benutzer- oder Computerauthentifizierung... Wenn diese Option ausgewählt ist, werden die Sicherheitsanmeldeinformationen basierend auf dem aktuellen Status des Computers verwendet. Auch wenn kein Benutzer angemeldet ist, wird die Authentifizierung mit den Anmeldeinformationen des Computers durchgeführt. Wenn sich ein Benutzer anmeldet, werden die Anmeldeinformationen des angemeldeten Benutzers verwendet. Microsoft empfiehlt, diese Einstellung für den Authentifizierungsmodus in den meisten Fällen zu verwenden.
- Nur Computer... In diesem Fall werden nur die Anmeldeinformationen des Computers authentifiziert;
- Benutzerauthentifizierung... Die Auswahl dieser Option aktiviert die erzwungene Benutzerauthentifizierung nur, wenn eine Verbindung zu einem neuen 802.1X-Gerät besteht. In allen anderen Fällen wird nur der Computer authentifiziert;
- Gastauthentifizierung... Mit diesem Parameter können Sie sich basierend auf dem Gastkonto mit dem Netzwerk verbinden.
- Maximale Anzahl von Authentifizierungsfehlern... Mit diesem Parameter können Sie die maximale Anzahl von Authentifizierungsfehlern angeben. Der Standardwert ist 1;
- Zwischenspeichern von Benutzerdaten für zukünftige Verbindungen zu diesem Netzwerk... Wenn diese Option aktiviert ist, werden die Anmeldeinformationen des Benutzers in der Systemregistrierung gespeichert; wenn sich der Benutzer ab- und wieder anmeldet, wird er nicht zur Eingabe von Anmeldeinformationen aufgefordert.
"Allgemein" Richtlinien für kabelgebundene Netzwerke:
Reis. 2. Die Registerkarte "Allgemein" des Dialogfelds für die Richtlinieneinstellungen für kabelgebundene Netzwerke
Die folgende Abbildung zeigt die Registerkarte "Sicherheit" dieses Dialogs:
Reis. 3. Registerkarte „Sicherheit“ des Dialogfelds „Richtlinieneinstellungen für kabelgebundene Netzwerke“
Eigenschaften der Authentifizierungsmodi
Wie im vorherigen Abschnitt erwähnt, gibt es für beide Authentifizierungsmethoden zusätzliche Einstellungen, die durch Klicken auf die Schaltfläche aufgerufen werden "Eigenschaften"... In diesem Abschnitt gehen wir alle möglichen Einstellungen für Authentifizierungsmethoden durch.
Microsoft: Einstellungen für die geschützte EAP (PEAP)-Authentifizierungsmethode
EAP (Extensible Authentication Protocol) ist ein erweiterbares Authentifizierungs-Framework, das das Sendeformat definiert. Die folgenden Optionen stehen zur Verfügung, um diese Authentifizierungsmethode zu konfigurieren:
Das Dialogfeld EAP-geschützte Eigenschaften wird in der folgenden Abbildung gezeigt:
Reis. 5. Dialogfeldeigenschaften des geschützten EAP
Einstellungen der Authentifizierungsmethode Smartcard oder anderes Zertifikat - EAP-TLS-Einstellungen
Die folgenden Parameter sind verfügbar, um diese Authentifizierungsmethode zu konfigurieren:
- Beim Verbinden meine Smartcard verwenden... Wenn Sie dieses Optionsfeld auswählen, präsentieren Clients, die Authentifizierungsanforderungen stellen, ein Smartcard-Zertifikat für die Netzwerkauthentifizierung.
- Verwenden Sie beim Herstellen einer Verbindung ein Zertifikat auf diesem Computer... Wenn diese Option ausgewählt ist, wird bei der Überprüfung der Client-Verbindung das Zertifikat verwendet, das sich im Speicher des aktuellen Benutzers oder des lokalen Computers befindet;
- Einfache Zertifikatsauswahl verwenden... Mit dieser Option kann das Windows-Betriebssystem Zertifikate herausfiltern, die die Authentifizierungsanforderungen nicht erfüllen.
- Serverzertifikat überprüfen... Mit dieser Option können Sie die Überprüfung des Serverzertifikats, das Clientcomputern bereitgestellt wird, auf das Vorhandensein einer gültigen, nicht abgelaufenen Signatur sowie auf das Vorhandensein einer vertrauenswürdigen Stammzertifizierungsstelle einstellen, die das Zertifikat für diesen Server ausgestellt hat
- Mit Servern verbinden... Diese Option ist identisch mit der gleichnamigen Option, die im vorherigen Abschnitt beschrieben wurde;
- Vertrauenswürdige Stammzertifizierungsstellen... Ähnlich wie im Dialogfeld mit den geschützten EAP-Eigenschaften finden Sie in dieser Liste alle vertrauenswürdigen Stammzertifizierungsstellen, die in den Benutzer- und Computerzertifikatsspeichern installiert sind.
- Benutzer nicht auffordern, neue Server oder vertrauenswürdige CAs zu autorisieren... Durch Aktivieren des Kontrollkästchens für diese Option wird bei einem falsch konfigurierten Serverzertifikat oder in der Liste für den Benutzer kein Dialogfeld zur Autorisierung eines solchen Zertifikats angezeigt. Diese Option ist standardmäßig deaktiviert;
- Verwenden Sie einen anderen Benutzernamen, um eine Verbindung herzustellen... Dieser Parameter gibt an, ob für die Authentifizierung ein anderer Benutzername als der Benutzername im Zertifikat verwendet werden soll. Wenn die Option zur Verwendung eines anderen Benutzernamens aktiviert ist, müssen Sie mindestens ein Zertifikat aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen auswählen.
Das Dialogfeld zum Einstellen von Smartcards oder anderen Zertifikaten ist in der folgenden Abbildung dargestellt:
Reis. 6. Dialog zum Einstellen von Smartcards oder anderen Zertifikaten
Wenn Sie sich bei der Auswahl des Zertifikats nicht sicher sind, klicken Sie auf die Schaltfläche "Zertifikat ansehen" können alle Details des ausgewählten Zertifikats wie unten gezeigt anzeigen:
Reis. 7. Anzeigen eines Zertifikats aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen
Zusätzliche Sicherheitseinstellungen für die Richtlinie für kabelgebundene Netzwerke
Das ist dir wahrscheinlich auf der Registerkarte aufgefallen "Sicherheit" Im Dialogfeld Richtlinieneinstellungen für verkabelte Netzwerke gibt es zusätzliche Sicherheitseinstellungen, um das Verhalten von Netzwerkclients zu ändern, die eine 802.1X-Authentifizierung anfordern. Die erweiterten kabelgebundenen Richtlinieneinstellungen können in zwei Gruppen unterteilt werden – IEEE 802.1X-Einstellungen und SSO-Einstellungen. Werfen wir einen Blick auf jede dieser Gruppen:
In der Einstellungsgruppe IEEE 802.1X können Sie die Eigenschaften von 802.1X-authentifizierten kabelgebundenen Netzwerkanforderungen festlegen. Die folgenden Parameter können geändert werden:
- Wenden Sie erweiterte 802.1X-Optionen an... Mit dieser Option können Sie die folgenden vier Einstellungen aktivieren;
- max. EAPOL-Nachrichten... EAPOL ist ein EAP-Protokoll, das verwendet wird, bevor ein Computer Zeit hat, sich zu authentifizieren, und erst nach einer erfolgreichen "Anmeldung" kann der gesamte andere Datenverkehr über den Switch-Port passieren, mit dem dieser Computer verbunden ist. Dieser Parameter ist für die maximale Anzahl der gesendeten EAPOL-Start-Nachrichten verantwortlich;
- Verzögerungszeit (Sek.)... Dieser Parameter ist für die Verzögerung in Sekunden verantwortlich, bevor die nächste 802.1X-Authentifizierungsanfrage gestellt wird, nachdem eine Benachrichtigung über einen Authentifizierungsfehler empfangen wurde.
- Startzeitraum... Dieser Parameter ist für die Wartezeit verantwortlich, bevor aufeinanderfolgende EAPOL-Start-Nachrichten erneut gesendet werden;
- Prüfzeitraum (Sek.)... Dieser Parameter gibt die Anzahl der Sekunden zwischen der erneuten Übertragung aufeinanderfolgender anfänglicher EAPOL-Nachrichten nach dem Initiieren des 802.1X-Passthrough-Zugriffs an;
- EAPOL-Startmeldung... Mit diesem Parameter können Sie folgende Merkmale für die Übertragung initialer EAPOL-Nachrichten festlegen:
- Nicht übertragen... Wenn diese Option ausgewählt ist, werden keine EAPOL-Nachrichten gesendet;
- Übertragen... Wenn diese Option ausgewählt ist, muss der Client die ersten EAPOL-Nachrichten manuell senden;
- IEEE 802.1X-Übertragung... Wenn diese Option ausgewählt ist (dies ist die Standardeinstellung), werden EAPOL-Nachrichten automatisch gesendet, bis die 802.1X-Authentifizierung gestartet wurde.
Bei Verwendung von Single Sign-On muss die Authentifizierung basierend auf der Netzwerksicherheitskonfiguration während der Benutzeranmeldung am Betriebssystem durchgeführt werden. Die folgenden Optionen sind verfügbar, um SSO-Profile vollständig anzupassen:
- Einmaliges Anmelden für das Web aktivieren... Wenn diese Option aktiviert ist, werden die Single Sign-On-Einstellungen aktiviert;
- Kurz vor der Benutzeranmeldung aktivieren... Wenn Sie diese Option aktivieren, wird die 802.1X-Authentifizierung durchgeführt, bevor sich der Benutzer am System anmeldet;
- Sofort nach Benutzeranmeldung aktivieren... Wenn Sie diese Option aktivieren, wird die 802.1X-Authentifizierung durchgeführt, nachdem sich der Benutzer am System angemeldet hat;
- max. Verbindungsverzögerung... Dieser Parameter gibt die maximale Zeit an, für die die Authentifizierung abgeschlossen werden muss, und dementsprechend, wie lange der Benutzer wartet, bevor das Benutzeranmeldungsfenster angezeigt wird;
- Anzeige zusätzlicher Dialogfelder beim Single Sign-On zulassen... Dieser Parameter ist für die Anzeige des Dialogfelds zur Benutzeranmeldung verantwortlich;
- Dieses Netzwerk verwendet verschiedene VLANs, um sich mit den Anmeldeinformationen von Computern und Benutzern zu authentifizieren. Bei dieser Einstellung werden beim Start alle Computer in ein virtuelles Netzwerk gelegt und nach erfolgreicher Benutzeranmeldung je nach Berechtigung in verschiedene virtuelle Netzwerke übertragen. Es ist nur sinnvoll, diese Option zu aktivieren, wenn Ihr Unternehmen mehrere VLANs verwendet.
Das Dialogfeld „Erweiterte Sicherheitseinstellungen für Richtlinie für verkabelte Netzwerke“ wird in der folgenden Abbildung gezeigt:
Reis. 8. Dialogfeld für zusätzliche Sicherheitseinstellungen für kabelgebundene Netzwerke
Abschluss
In diesem Artikel wurden alle Richtlinieneinstellungen für kabelgebundene IEE 802.1X-Netzwerke vorgestellt. Sie haben gelernt, wie Sie eine solche Richtlinie erstellen können, und Sie haben EAP-Authentifizierungs- und Verifizierungsmethoden mit Smartcards oder anderen Zertifikaten kennengelernt. Im nächsten Artikel erfahren Sie mehr über die lokalen Sicherheitsrichtlinien des Network List Managers.
Richtlinien in Exchange Server 2003 wurden entwickelt, um die administrative Flexibilität zu erhöhen und gleichzeitig die Belastung der Administratoren zu verringern. Eine Richtlinie ist eine Sammlung von Konfigurationsparametern, die für ein oder mehrere Objekte derselben Klasse in Exchange gelten. Sie können beispielsweise eine Richtlinie erstellen, die sich auf bestimmte Einstellungen für einige oder alle Exchange-Server auswirkt. Wenn Sie diese Einstellungen ändern müssen, müssen Sie nur diese Richtlinie ändern und sie wird auf die entsprechende Serverorganisation angewendet.
Es gibt zwei Arten von Richtlinien: Systemrichtlinien und Empfängerrichtlinien. Empfängerrichtlinien gelten für Objekte mit E-Mail-Zugriff und geben an, wie E-Mail-Adressen generiert werden. Empfängerrichtlinien werden unter "Empfänger erstellen und verwalten" erläutert. Systemrichtlinien werden auf Server, Postfachspeicher und Informationsspeicher für Öffentliche Ordner angewendet. Diese Richtlinien werden im Richtliniencontainer innerhalb der verantwortlichen Gruppe angezeigt Verwaltung diese Richtlinie (Abbildung 12.10).
Reis. 12.10. Systemrichtlinienobjekt
Notiz... Bei der Installation von Exchange Server 2003 wird kein Standardcontainer für Systemrichtlinien erstellt. Sie muss vor dem Erstellen von Systemrichtlinien erstellt werden. Klicken Sie mit der rechten Maustaste auf die Administrationsgruppe, in der Sie den Richtlinienordner erstellen möchten, zeigen Sie auf Neu, und wählen Sie Systemrichtliniencontainer aus.
Erstellung von Systemrichtlinien
Um eine Systemrichtlinie zu erstellen, navigieren Sie zum entsprechenden Systemrichtliniencontainer, klicken Sie mit der rechten Maustaste auf den Container, und wählen Sie dann den zu erstellenden Richtlinientyp aus: Serverrichtlinie, Postfachspeicherrichtlinie oder Speicherrichtlinie für öffentliche Ordner.
Stellen Sie beim Arbeiten mit Systemrichtlinien sicher, dass Sie ein Richtlinienobjekt in der Gruppe erstellen, die für die Verwaltung dieser Richtlinie verantwortlich ist. Andernfalls kann es zu einem Fehler bei der Auswahl von Personen kommen, die die administrative Kontrolle über kritische Politiker ausüben. Sehen wir uns an, wie jeder der drei Richtlinientypen erstellt wird, beginnend mit den Serverrichtlinien.
Erstellen einer Serverrichtlinie
Die Serverrichtlinie definiert die Optionen für die Nachrichtenverfolgung und die Protokolldateiwartung. Sie gilt nicht für Sicherheitseinstellungen oder andere Einstellungen von Servern in dieser Administrationsgruppe. Um eine Serverrichtlinie zu erstellen, klicken Sie mit der rechten Maustaste auf den Container Systemrichtlinien, zeigen Sie auf Neu, und wählen Sie dann die Option Serverrichtlinie aus. Das in Abbildung 4 gezeigte Dialogfeld Neue Richtlinie wird angezeigt. 12.11, das die Registerkarten angibt, die auf der Eigenschaftenseite für diese Richtlinie angezeigt werden. Es gibt nur eine Option für Serverrichtlinien: die Registerkarte Allgemein. Aktivieren Sie das Kontrollkästchen für diese Registerkarte und klicken Sie dann auf OK. Es erscheint ein Konfigurationsfenster, in dem diese Richtlinie erstellt wird.
Reis. 12.11.
Danach müssen Sie den Namen der Richtlinie im Registerkartenfenster Allgemein der Eigenschaftsseite dieser Richtlinie eingeben. Wie in Abbildung 12.12 gezeigt, gibt es tatsächlich zwei Registerkarten „Allgemein“. Auf der ersten Registerkarte wird der Name der Richtlinie eingegeben. Wählen Sie einen Namen aus, um die Aufgabe zu beschreiben, die diese Richtlinie ausführen soll, z. B. Richtlinie zur Nachrichtenverfolgung oder Richtlinie zur Betreffprotokollierung aktivieren. Die Auswahl eines geeigneten Namens zu diesem Zeitpunkt erspart Ihnen viel Arbeit, da Sie das Eigenschaftenblatt für diese Richtlinie nicht öffnen müssen, um ihren Zweck zu bestimmen.
Die Registerkarte Allgemein (Richtlinie), wie in Abbildung 1-4 gezeigt. 12.13 enthält die tatsächlichen Richtlinieneinstellungen, die für die Exchange-Server in der betreffenden Organisation gelten. Die Registerkarte wird als Allgemein (Richtlinie) bezeichnet, da sie potenziell die Registerkarte Allgemein der Eigenschaftenseiten für alle verfügbaren Server konfiguriert. (Später in diesem Kapitel sehen wir uns an, wie diese Richtlinie auf alle Server in einer Organisation angewendet wird.) Wenn Sie diese Registerkarte mit der Registerkarte Allgemein auf der Eigenschaftenseite eines Servers vergleichen, werden Sie feststellen, dass die Registerkarten gleich sind. mit Ausnahme der Identifizierungsinformationen oben auf der Registerkarte.
Die Registerkarte Allgemein (Richtlinie) aktiviert Betreffprotokollierung und Anzeige für alle verfügbaren Exchange 2003-Server aktivieren Diese Einstellung funktioniert in Verbindung mit der Option Nachrichtenverfolgung aktivieren, um Nachrichten zu verfolgen, die in der Organisation gesendet werden. Diese Optionen sind nützlich, um die Ursache von Problemen zu finden und zu beheben, die auftreten, wenn einige Benutzer keine Nachrichten von anderen Benutzern erhalten. Es ist möglich, den Durchgang einer Nachricht durch die Organisation zu verfolgen, um den Ort zu bestimmen, an dem es Probleme bei der Datenübertragung gibt. Weitere Informationen zur Nachrichtenverfolgung und Betreffprotokollierung finden Sie in Kapitel 6, Funktionalität, Sicherheit und Support von Exchange Server 2003.
Reis. 12.12.
Reis. 12.13.
Sobald die Richtlinie in Kraft ist, kann sie auf lokaler Serverebene nicht mehr geändert werden. Die von uns als Beispiel verwendete Nachrichtenverfolgungsrichtlinie wurde auf EX-SRV1 in der Arizona-Administrationsgruppe generiert. Auf
Die Funktionalität im Windows Server-Betriebssystem wird berechnet und verbessert sich von Version zu Version, Rollen und Komponenten werden immer mehr, daher werde ich im heutigen Material versuchen, es Ihnen kurz zu sagen Beschreibung und Zweck jeder Rolle in Windows Server 2016.
Bevor wir mit der Beschreibung der Serverrollen von Windows Server fortfahren, wollen wir herausfinden, was genau „ Serverrolle»Im Windows Server-Betriebssystem.
Was ist die Serverrolle in Windows Server?
Serverrolle Ist ein Softwarepaket, das sicherstellt, dass der Server eine bestimmte Funktion ausführt, und diese Funktion ist die wichtigste. Mit anderen Worten, " Serverrolle"Ist der Zweck des Servers, d.h. wofür ist das. Damit der Server seine Hauptfunktion erfüllen kann, d.h. eine gewisse Rolle in " Serverrolle»Inklusive aller dafür notwendigen Software ( Programme, Dienstleistungen).
Der Server kann eine Rolle haben, wenn er aktiv verwendet wird, oder mehrere, wenn jede von ihnen den Server nicht stark belastet und selten verwendet wird.
Eine Serverrolle kann mehrere Rollendienste umfassen, die die Funktionen der Rolle bereitstellen. Zum Beispiel in der Serverrolle " Webserver (IIS)"Eine ziemlich große Anzahl von Diensten ist enthalten, und die Rolle" DNS Server»Rollendienste sind nicht enthalten, da diese Rolle nur eine Funktion hat.
Rollendienste können je nach Bedarf zusammen oder separat installiert werden. Im Kern bedeutet die Installation einer Rolle die Installation eines oder mehrerer ihrer Dienste.
Windows Server hat auch „ Komponenten"Server.
Serverkomponenten (Funktion) Sind Softwaretools, die keine Serverrolle sind, aber die Funktionen einer oder mehrerer Rollen erweitern oder eine oder mehrere Rollen steuern.
Einige Rollen können nicht installiert werden, wenn der Server nicht über die erforderlichen Dienste oder Komponenten verfügt, die für das Funktionieren dieser Rollen erforderlich sind. Daher zum Zeitpunkt der Installation solcher Rollen “ Assistent zum Hinzufügen von Rollen und Funktionen»Fordert Sie selbst automatisch auf, die erforderlichen zusätzlichen Rollendienste oder Komponenten zu installieren.
Beschreibung der Windows Server 2016-Serverrollen
Sie kennen wahrscheinlich schon viele Rollen, die es in Windows Server 2016 gibt, da es sie schon lange gibt, aber wie gesagt, mit jeder neuen Version von Windows Server kommen neue Rollen hinzu, mit denen Sie vielleicht noch nicht gearbeitet haben Aber wir würden gerne wissen, wozu sie dienen, also schauen wir uns sie an.
Notiz! Die Neuerungen des Betriebssystems Windows Server 2016 können Sie im Artikel "Windows Server 2016 installieren und neue Features im Überblick" nachlesen..
Da die Installation und Verwaltung von Rollen, Diensten und Komponenten sehr oft über Windows PowerShell erfolgt, werde ich für jede Rolle und ihren Dienst einen Namen angeben, der in PowerShell verwendet werden kann, um sie zu installieren bzw. zu verwalten.
DHCP-Server
Mit dieser Rolle können Sie dynamische IP-Adressen und zugehörige Einstellungen für Computer und Geräte in Ihrem Netzwerk zentral konfigurieren. Die DHCP-Serverrolle hat keine Rollendienste.
Der Name für Windows PowerShell ist DHCP.
DNS Server
Diese Rolle dient der Namensauflösung in TCP/IP-Netzwerken. Die DNS-Serverrolle bietet und verwaltet die DNS-Funktionalität. Um die Verwaltung eines DNS-Servers zu vereinfachen, wird er normalerweise auf demselben Server wie die Active Directory-Domänendienste installiert. Die DNS-Serverrolle hat keine Rollendienste.
Der Rollenname für PowerShell ist DNS.
Hyper-V
Mit der Hyper-V-Rolle können Sie eine virtualisierte Umgebung erstellen und verwalten. Mit anderen Worten, es ist ein Tool zum Erstellen und Verwalten von virtuellen Maschinen.
Der Rollenname für Windows PowerShell ist Hyper-V.
Gerätezustandsbescheinigung
Rolle " »Ermöglicht Ihnen die Bewertung des Gerätezustands basierend auf gemessenen Sicherheitsmetriken wie dem Secure Boot-Status und Bitlocker auf dem Client.
Damit diese Rolle funktioniert, benötigen Sie viele Rollendienste und Komponenten, zum Beispiel: mehrere Dienste aus dem " Webserver (IIS)", Komponente" ", Komponente" .NET Framework 4.6-Funktionen».
Während der Installation werden alle erforderlichen Rollendienste und Funktionen automatisch ausgewählt. Die Rolle " Gerätezustandsbescheinigung»Es gibt keine eigenen Rollendienste.
Der Name für PowerShell ist DeviceHealthAttestationService.
Webserver (IIS)
Bietet eine zuverlässige, verwaltbare und skalierbare Webanwendungsinfrastruktur. Besteht aus einer ziemlich großen Anzahl von Diensten (43).
Der Name für Windows PowerShell ist Web-Server.
Enthält die folgenden Rollendienste ( in Klammern gebe ich den Namen für Windows PowerShell an):
Webserver (Web-WebServer) Ist eine Rollendienstegruppe, die Unterstützung für HTML-Websites, ASP.NET-Erweiterungen, ASP und Webserver bietet. Besteht aus folgenden Leistungen:
- Sicherheit (Web-Sicherheit)- eine Reihe von Diensten zum Sichern eines Webservers.
- Filtern von Anfragen (Web-Filtering) - Mit diesen Tools können Sie alle Anfragen, die auf den Server eingehen, verarbeiten und diese Anfragen nach speziellen Regeln filtern, die vom Administrator des Webservers festgelegt wurden;
- IP-Adress- und Domainbeschränkungen (Web-IP-Security) - Mit diesen Tools können Sie den Zugriff auf Inhalte auf einem Webserver basierend auf der IP-Adresse oder dem Domainnamen der Quelle in der Anfrage erlauben oder verweigern;
- URL-Autorisierung (Web-Url-Auth) - Mit Tools können Sie Regeln entwickeln, um den Zugriff auf Webinhalte einzuschränken und diese mit Benutzern, Gruppen oder HTTP-Header-Befehlen zu verknüpfen;
- Digest-Authentifizierung (Web-Digest-Auth) – Diese Authentifizierung bietet ein höheres Maß an Sicherheit als die Standard-Authentifizierung. Die Digest-Authentifizierung für die Benutzerauthentifizierung funktioniert, indem ein Kennwort-Hash an einen Windows-Domänencontroller übergeben wird.
- Basic Authentication (Web-Basic-Auth) - Diese Authentifizierungsmethode gewährleistet eine starke Webbrowser-Kompatibilität. Empfohlen für kleine interne Netzwerke. Der Hauptnachteil dieser Methode besteht darin, dass über das Netzwerk übertragene Passwörter leicht abgefangen und entschlüsselt werden können. Verwenden Sie diese Methode daher in Verbindung mit SSL.
- Windows-Authentifizierung (Web-Windows-Auth) – Dies ist eine Authentifizierung basierend auf der Windows-Domänenauthentifizierung. Mit anderen Worten, Sie können Active Directory-Konten verwenden, um Benutzer Ihrer Websites zu authentifizieren.
- Authentifizierung mit Clientzertifikatzuordnung (Web-Client-Auth) – Diese Authentifizierungsmethode verwendet ein Clientzertifikat. Dieser Typ verwendet Active Directory, um die Zertifikatszuordnung bereitzustellen.
- IIS-Clientzerti(Web-Cert-Auth) – Diese Methode verwendet auch Clientzertifikate für die Authentifizierung, verwendet jedoch IIS, um die Zertifikatzuordnung bereitzustellen. Diese Typen bieten eine bessere Leistung;
- Zentralisierte Unterstützung von SSL-Zertifikaten (Web-CertProvider) - Mit diesen Tools können Sie die SSL-Serverzertifikate zentral verwalten, was den Prozess der Verwaltung dieser Zertifikate erheblich vereinfacht.
- Servicefreundlichkeit und Diagnose (Web-Health)- eine Reihe von Diensten zur Gewährleistung der Kontrolle, Verwaltung und Beseitigung von Verstößen beim Betrieb von Webservern, Websites und Anwendungen:
- HTTP-Protokollierung (Web-Http-Protokollierung) - Tools ermöglichen die Protokollierung der Website-Aktivität auf einem bestimmten Server, d.h. Protokollierung;
- ODBC-Protokollierung (Web-ODBC-Protokollierung) - Diese Tools bieten auch die Protokollierung von Website-Aktivitäten, aber sie unterstützen die Protokollierung dieser Aktivitäten in einer ODBC-kompatiblen Datenbank;
- Request Monitor (Web-Request-Monitor) ist ein Tool, mit dem Sie den Zustand einer Webanwendung überwachen können, indem Sie Informationen zu HTTP-Anforderungen im IIS-Workerprozess abfangen.
- Web-Custom-Logging – Mit diesen Tools können Sie die Webserver-Aktivitätsprotokollierung in einem Format konfigurieren, das sich erheblich vom Standard-IIS-Format unterscheidet. Mit anderen Worten, Sie können Ihr eigenes Protokollierungsmodul erstellen;
- Logging Tools (Web-Log-Libraries) sind Tools zum Verwalten von Webserver-Logs und Automatisieren von Logging-Aufgaben;
- Tracing (Web-Http-Tracing) ist ein Werkzeug zur Diagnose und Behebung von Störungen im Betrieb von Webanwendungen.
- Allgemeine http-Funktionen (Web-Common-Http)- eine Reihe von Diensten, die die grundlegende Funktionalität von HTTP bereitstellen:
- Standarddokument (Web-Default-Doc) – Mit dieser Funktion können Sie Ihren Webserver so konfigurieren, dass er ein Standarddokument zurückgibt, wenn Benutzer kein bestimmtes Dokument in der Anforderungs-URL angeben, sodass Benutzer beispielsweise leichter auf eine Website zugreifen können , nach Domäne, ohne eine Datei anzugeben;
- Directory Browsing (Web-Dir-Browsing) – Dieses Tool kann verwendet werden, um einen Webserver so zu konfigurieren, dass Benutzer eine Liste aller Verzeichnisse und Dateien auf einer Website anzeigen können. Zum Beispiel für Fälle, in denen Benutzer keine Datei in der Anforderungs-URL angeben und Dokumente entweder standardmäßig abgelehnt oder nicht konfiguriert werden;
- HTTP-Fehler (Web-Http-Errors) - Mit dieser Funktion können Sie Fehlermeldungen anpassen, die an die Webbrowser der Benutzer zurückgegeben werden, wenn der Webserver einen Fehler erkennt. Dieses Tool wird verwendet, um den Benutzern Fehlermeldungen besser anzuzeigen.
- Statischer Inhalt (Web-Static-Content) - Mit diesem Tool können Sie Inhalte auf einem Webserver in Form von statischen Dateiformaten wie HTML-Dateien oder Bilddateien verwenden;
- http umleiten (Web-Http-Redirect) - Mit dieser Funktion können Sie eine Benutzeranfrage an ein bestimmtes Ziel umleiten, d.h. Dies ist die Weiterleitung;
- Publizieren von WebDAV (Web-DAV-Publishing) - ermöglicht Ihnen die Verwendung der WebDAV-Technologie auf dem IIS-WEB-Server. WebDAV ( Web Distributed Authoring und Versionierung) ist eine Technologie, die es Benutzern ermöglicht, zusammenzuarbeiten ( lesen, bearbeiten, Eigenschaften lesen, kopieren, verschieben) über Dateien auf entfernten Webservern, die das HTTP-Protokoll verwenden.
- Leistung (Web-Leistung)- eine Reihe von Diensten zur Erzielung einer höheren Webserverleistung durch Ausgabe-Caching und allgemeine Komprimierungsmechanismen wie Gzip und Deflate:
- Die Komprimierung statischer Inhalte (Web-Stat-Compression) ist ein Tool zum Konfigurieren der Komprimierung von statischen http-Inhalten. Es ermöglicht eine effizientere Nutzung der Bandbreite, ohne die CPU zu überlasten;
- Dynamic Content Compression (Web-Dyn-Compression) ist ein Tool zur Konfiguration der Komprimierung dynamischer HTTP-Inhalte. Dieses Tool nutzt die Bandbreite besser, aber in diesem Fall kann die mit der dynamischen Komprimierung verbundene Server-CPU-Last dazu führen, dass die Site verlangsamt wird, wenn die CPU-Last auch ohne Komprimierung hoch ist.
- Anwendungsentwicklung (Web-App-Dev)- eine Reihe von Diensten und Tools für die Entwicklung und das Hosten von Webanwendungen, d. h. Technologien zur Websiteentwicklung:
- ASP (Web-ASP) ist eine Umgebung zur Unterstützung und Entwicklung von Websites und Webanwendungen mit ASP-Technologie. Im Moment gibt es eine neuere und fortschrittlichere Technologie zum Entwickeln von Websites - ASP.NET;
- ASP.NET 3.5 (Web-Asp-Net) ist eine objektorientierte Entwicklungsumgebung für Websites und Webanwendungen, die die ASP.NET-Technologie verwenden;
- ASP.NET 4.6 (Web-Asp-Net45) ist auch eine objektorientierte Umgebung zum Entwickeln von Websites und Webanwendungen mit der neuen Version von ASP.NET;
- CGI (Web-CGI) ist die Möglichkeit, mit CGI Informationen von einem Webserver an ein externes Programm zu übertragen. CGI ist eine Art Schnittstellenstandard zur Anbindung eines externen Programms an einen Webserver. Es gibt einen Nachteil, die Verwendung von CGI beeinträchtigt die Leistung;
- Server Side Includes (SSI) (Web-Includes) ist die Unterstützung der SSI-Skriptsprache ( Serverseite beinhaltet), die verwendet wird, um HTML-Seiten dynamisch zu generieren;
- Anwendungsinitialisierung (Web-AppInit) - Dieses Tool führt die Aufgaben der Initialisierung von Webanwendungen vor dem Senden einer Webseite durch;
- WebSocket-Protokoll (Web-WebSockets) – Fügt die Möglichkeit hinzu, serverseitige Anwendungen zu erstellen, die über das WebSocket-Protokoll kommunizieren. WebSocket ist ein Protokoll, das gleichzeitig Daten zwischen einem Browser und einem Webserver über eine TCP-Verbindung übertragen und empfangen kann, eine Art Erweiterung des HTTP-Protokolls;
- ISAPI-Erweiterungen (Web-ISAPI-Ext) – Unterstützt die dynamische Entwicklung von Webinhalten mithilfe der ISAPI-API. ISAPI ist eine API für den IIS-Webserver. ISAPI-Anwendungen sind viel schneller als ASP-Dateien oder Dateien, die COM+-Komponenten aufrufen;
- Erweiterbarkeit .NET 3.5 (Web-Net-Ext) ist ein .NET 3.5-Erweiterungstool, mit dem Sie die Webserver-Funktionalität in der gesamten Anforderungspipeline, in der Konfiguration und in der Benutzeroberfläche ändern, hinzufügen und erweitern können.
- Erweiterbarkeit .NET 4.6 (Web-Net-Ext45) ist ein .NET 4.6-Erweiterungstool, mit dem Sie auch die Webserver-Funktionalität in der gesamten Anforderungspipeline, in der Konfiguration und in der Benutzeroberfläche ändern, hinzufügen und erweitern können.
- ISAPI-Filter (Web-ISAPI-Filter) - Unterstützung für ISAPI-Filter hinzufügen. ISAPI-Filter sind Programme, die aufgerufen werden, wenn der Webserver eine bestimmte HTTP-Anfrage empfängt, die von diesem Filter verarbeitet werden soll.
FTP - Server (Web-FTP-Server)- Dienste, die das FTP-Protokoll unterstützen. Wir haben im Artikel "Installieren und Konfigurieren eines FTP-Servers auf Windows Server 2016" ausführlicher über den FTP-Server gesprochen. Enthält die folgenden Dienste:
- FTP-Dienst (Web-Ftp-Dienst) - fügt Unterstützung für das FTP-Protokoll auf dem Webserver hinzu;
- FTP-Erweiterbarkeit (Web-FTP-Ext) – Erweitert die Standard-FTP-Funktionen, z. B. um Unterstützung für Funktionen wie benutzerdefinierte Anbieter, ASP.NET-Benutzer oder IIS-Manager-Benutzer.
Verwaltungstools (Web-Mgmt-Tools) Sind Tools zum Verwalten des Webservers IIS 10. Dazu gehören die IIS-Benutzeroberfläche, Befehlszeilentools und Skripts.
- Die Internetinformationsdienste-Verwaltungskonsole (Web-Mgmt-Console) ist die Benutzeroberfläche für die Verwaltung von Internetinformationsdiensten (IIS);
- Zeichensätze und Tools für Internetinformationsdienste (IIS) (Web-Scripting-Tools) sind Tools und Skripte zur Steuerung von Internetinformationsdiensten (IIS) über die Befehlszeile oder Skripte. Sie können beispielsweise verwendet werden, um die Steuerung zu automatisieren;
- Verwaltungsdienst (Web-Mgmt-Dienst) - Dieser Dienst bietet die Möglichkeit, einen Webserver von einem anderen Computer aus mithilfe des IIS-Managers remote zu verwalten;
- IIS 6-Kompatibilitätsverwaltung (Web-Mgmt-Compat) – Ermöglicht Anwendungs- und Skriptkompatibilität, die zwei IIS-APIs verwenden. Vorhandene IIS 6-Skripte können verwendet werden, um den IIS 10-Webserver zu verwalten:
- Die IIS 6 Compatibility Metabase (Web-Metabase) ist ein Kompatibilitätstool, mit dem Sie Anwendungen und Zeichensätze ausführen können, die aus früheren IIS-Versionen portiert wurden.
- IIS 6-Skripttools (Web-Lgcy-Scripting) – Mit diesen Tools können Sie dieselben IIS 6-Skriptdienste verwenden, die zum Verwalten von IIS 6 in IIS 10 erstellt wurden;
- IIS 6-Verwaltungskonsole (Web-Lgcy-Mgmt-Console) – Ein Tool zum Verwalten von IIS 6.0-Remoteservern;
- WMI-Kompatibilität IIS 6 (Web-WMI) ist eine Skriptschnittstelle der Windows-Verwaltungsinstrumentation (WMI) zum programmgesteuerten Steuern und Automatisieren von IIS 10.0-Webserveraufgaben mithilfe einer Reihe von Skripts, die in einem WMI-Anbieter generiert werden.
Active Directory-Domänendienste
Rolle " Active Directory-Domänendienste»(AD DS) bietet eine verteilte Datenbank, die Informationen über Netzwerkressourcen speichert und verarbeitet. Diese Rolle wird verwendet, um Netzwerkelemente wie Benutzer, Computer und andere Geräte in einer hierarchischen Struktur einer Schutzhülle zu organisieren. Die hierarchische Struktur umfasst Gesamtstrukturen, Domänen in einer Gesamtstruktur und Organisationseinheiten (OUs) in jeder Domäne. Der Server, auf dem AD DS ausgeführt wird, wird als Domänencontroller bezeichnet.
Der Rollenname für Windows PowerShell ist AD-Domain-Services.
Windows Server Essentials-Modus
Diese Rolle ist eine Computerinfrastruktur und bietet bequeme und effektive Funktionen, zum Beispiel: Speicherung von Clientdaten an einem zentralen Ort und Schutz dieser Daten durch Backup der Server und Clientcomputer, Remote-Webzugriff, mit dem Sie von fast jedem Gerät aus auf Daten zugreifen können . Diese Rolle erfordert mehrere Rollen- und Funktionsdienste, zum Beispiel: BranchCache-Features, Windows Server-Sicherung, Gruppenrichtlinienverwaltung, Rollendienst " DFS-Namespaces».
Der Name für PowerShell ist ServerEssentialsRole.
Netzwerk-Controller
Diese Rolle wurde in Windows Server 2016 eingeführt und bietet einen zentralen Automatisierungspunkt für die Verwaltung, Überwachung und Diagnose der physischen und virtuellen Netzwerkinfrastruktur im Rechenzentrum. Mit dieser Rolle können Sie IP-Subnetze, VLANs, physische Netzwerkadapter von Hyper-V-Hosts konfigurieren, virtuelle Switches, physische Router, Firewall-Einstellungen und VPN-Gateways von einem einzigen Punkt aus verwalten.
Der Name für Windows PowerShell ist NetworkController.
Wächterdienst des Gastgebers
Dies ist die Serverrolle Hosted Guardian Server (HGS) und stellt Attestierungs- und Schlüsselschutzdienste bereit, die es geschützten Hosts ermöglichen, abgeschirmte virtuelle Maschinen auszuführen. Damit diese Rolle funktioniert, sind mehrere zusätzliche Rollen und Komponenten erforderlich, zum Beispiel: Active Directory Domain Services, Webserver (IIS), Komponente " Failover-Clustering" und andere.
Der Name für PowerShell ist HostGuardianServiceRole.
Active Directory Lightweight-Verzeichnisdienste
Rolle " Active Directory Lightweight-Verzeichnisdienste(AD LDS) – Dies ist eine vereinfachte Version von AD DS, die weniger Funktionen bietet, aber keine Bereitstellung von Domänen oder Domänencontrollern erfordert und nicht die Abhängigkeiten und Domäneneinschränkungen aufweist, die AD DS erfordert. AD LDS läuft über LDAP ( Lightweight Directory Access Protocol). Mehrere Instanzen von AD LDS mit unabhängig verwalteten Schemas können auf einem einzelnen Server bereitgestellt werden.
Der Name für PowerShell ist ADLDS.
MultiPoint-Dienste
Es ist auch eine neue Rolle, die in Windows Server 2016 eingeführt wurde. MultiPoint Services (MPS) bietet grundlegende Remotedesktopfunktionen, die es mehreren Benutzern ermöglichen, gleichzeitig und unabhängig auf demselben Computer zu arbeiten. Um diese Rolle zu installieren und zu betreiben, müssen Sie mehrere zusätzliche Dienste und Komponenten installieren, zum Beispiel: Druckserver, Windows-Suchdienst, XPS-Viewer und andere, die alle automatisch bei der MPS-Installation ausgewählt werden.
Der Rollenname für PowerShell ist MultiPointServerRole.
Windows Server Update-Dienste
Systemadministratoren können diese Rolle (WSUS) verwenden, um Microsoft-Updates zu verwalten. Erstellen Sie beispielsweise separate Computergruppen für verschiedene Updates und erhalten Sie Berichte über die Konformität der Computer mit den Anforderungen und den zu installierenden Updates. Für das Funktionieren von " Windows Server Update-Dienste»Sie benötigen Rollendienste und Komponenten wie: Webserver (IIS), Windows Internal Database, Windows Process Activation Service.
Der Name für Windows PowerShell ist UpdateServices.
- WID-Konnektivität (UpdateServices-WidDB) - Installation in WID ( Interne Windows-Datenbank) der von WSUS verwendeten Datenbank. Mit anderen Worten, WSUS speichert seine Dienstdaten in WID;
- WSUS-Dienste (UpdateServices-Dienste) sind WSUS-Rollendienste wie Update Service, Reporting Web Service, API Remoting Web Service, Client Web Service, Internet Simple Authentication Web Service, Server Synchronization Service und DSS Authentication Web Service;
- SQL Server Connectivity (UpdateServices-DB) ist eine Komponenteninstallation, die es WSUS ermöglicht, eine Verbindung mit einer Microsoft SQL Server-Datenbank herzustellen. Diese Option ermöglicht das Speichern von Servicedaten in einer Microsoft SQL Server-Datenbank. In diesem Fall muss bereits mindestens eine Instanz von SQL Server installiert sein.
Volumenaktivierungsdienste
Mit dieser Serverrolle können Sie Volumenlizenzen für Microsoft-Software automatisieren, vereinfachen und verwalten.
Der Name für PowerShell ist VolumeActivation.
Druck- und Dokumentendienste
Diese Serverrolle dient der gemeinsamen Nutzung von Druckern und Scannern im Netzwerk, der zentralen Konfiguration und Verwaltung von Druck- und Scanservern sowie der Verwaltung von Netzwerkdruckern und -scannern. Mit Print and Document Services können Sie auch gescannte Dokumente per E-Mail, Netzwerkfreigaben oder Windows SharePoint Services-Sites senden.
Der Name für PowerShell ist Print-Services.
- Print-Server - Dieser Rollendienst beinhaltet die " Druckverwaltung", die verwendet wird, um Drucker oder Druckserver zu verwalten und Drucker und andere Druckserver zu migrieren.
- Print-Internet – Um das Drucken über das Internet zu implementieren, wird eine Website erstellt, damit Benutzer Druckaufträge auf dem Server verwalten können. Damit dieser Dienst funktioniert, müssen Sie, wie Sie verstehen, " Webserver (IIS)". Alle erforderlichen Komponenten werden automatisch ausgewählt, wenn Sie dieses Kontrollkästchen während des Installationsvorgangs des Rollendienstes aktivieren " Internetdruck»;
- Distributed Scan Server (Print-Scan-Server) ist ein Dienst, mit dem Sie gescannte Dokumente von Netzwerkscannern empfangen und an ihr Ziel senden können. Dieser Dienst enthält auch das Snap-In " Scan-Steuerung"Dies wird verwendet, um Netzwerkscanner zu verwalten und das Scannen zu konfigurieren;
- LPD-Dienst (Druck-LPD-Dienst) - LPD-Dienst ( Zeilendrucker-Daemon) ermöglicht UNIX-basierten Computern und anderen Computern, die den Dienst Line Printer Remote (LPR) verwenden, auf freigegebenen Druckern auf dem Server zu drucken.
Netzwerkrichtlinien- und Zugriffsdienste
Rolle " (NPAS) ermöglicht Ihnen die Verwendung von Network Policy Server (NPS), um Netzwerkzugriff, Authentifizierung und Autorisierung sowie Client-Integritätsrichtlinien festzulegen und zu erzwingen – mit anderen Worten, um Ihr Netzwerk zu schützen.
Der Name für Windows PowerShell ist NPAS.
Windows-Bereitstellungsdienste
Mit dieser Rolle können Sie das Windows-Betriebssystem remote über das Netzwerk installieren.
Der Rollenname für PowerShell ist WDS.
- Bereitstellungsserver (WDS-Bereitstellung) – Dieser Rollendienst dient der Remotebereitstellung und -konfiguration von Windows-Betriebssystemen. Es ermöglicht Ihnen auch, Bilder zur Wiederverwendung zu erstellen und anzupassen;
- Transportserver (WDS-Transport) - Dieser Dienst enthält die grundlegenden Netzwerkkomponenten, mit denen Sie Daten auf einem eigenständigen Server per Multicast übertragen können.
Active Directory-Zertifikatdienste
Diese Rolle dient zum Erstellen von Zertifizierungsstellen und zugehörigen Rollendiensten, mit denen Sie Zertifikate für verschiedene Anwendungen ausstellen und verwalten können.
Der Name für Windows PowerShell ist AD-Zertifikat.
Umfasst die folgenden Rollendienste:
- Zertifizierungsstelle (ADCS-Cert-Authority) - Mit diesem Rollendienst können Sie Benutzern, Computern und Diensten Zertifikate ausstellen und auch die Gültigkeit des Zertifikats verwalten;
- Zertifikatregistrierungsrichtlinien-Webdienst (ADCS-Enroll-Web-Pol) – Dieser Dienst ermöglicht es Benutzern und Computern, mithilfe eines Webbrowsers Informationen zur Zeabzurufen, selbst wenn der Computer nicht Mitglied einer Domäne ist. Für seine Funktion ist es notwendig „ Webserver (IIS)»;
- Zertifikatregistrierungs-Webdienst (ADCS-Enroll-Web-Svc) – Dieser Dienst ermöglicht Benutzern und Computern, Zertifikate mithilfe eines Webbrowsers über HTTPS zu registrieren und zu erneuern, selbst wenn der Computer kein Domänenmitglied ist. Für seine Funktion ist es auch notwendig “ Webserver (IIS)»;
- Online-Responder (ADCS-Online-Cert) - Dienst zur Überprüfung der Zertifikatsperrung für Clients. Mit anderen Worten, es akzeptiert eine Sperrstatusanfrage für bestimmte Zertifikate, wertet den Status dieser Zertifikate aus und sendet eine signierte Antwort mit Statusinformationen zurück. Damit der Dienst funktioniert, benötigen Sie „ Webserver (IIS)»;
- Registrierungsdienst für Internetzertifizierungsstellen (ADCS-Web-Enrollment) – Dieser Dienst bietet Benutzern eine Webschnittstelle zum Ausführen von Aufgaben wie Anfordern und Erneuern von Zertifikaten, Abrufen von Zertifikatsperrlisten und Registrieren von Smartcard-Zertifikaten. Damit der Dienst funktioniert, benötigen Sie „ Webserver (IIS)»;
- Network Device Enrollment Service (ADCS-Device-Enrollment) – Mit diesem Dienst können Sie Zertifikate für Router und andere Netzwerkgeräte ausstellen und verwalten, die keine Netzwerkkonten haben. Damit der Dienst funktioniert, benötigen Sie „ Webserver (IIS)».
Remotedesktopdienste
Eine Serverrolle, die verwendet werden kann, um Zugriff auf virtuelle Desktops, sitzungsbasierte Desktops und Remote-RemoteApps bereitzustellen.
Der Rollenname für Windows PowerShell ist Remote-Desktop-Services.
Besteht aus folgenden Leistungen:
- Remotedesktop-Webzugriff (RDS-Web-Access) - Dieser Rollendienst ermöglicht Benutzern den Zugriff auf Remote-Desktops und RemoteApp-Anwendungen über das " Start"Oder mit einem Webbrowser;
- Remotedesktoplizenzierung (RDS-Lizenzierung) ist ein Dienst, der die Lizenzen verwaltet, die zum Herstellen einer Verbindung mit einem RD-Sitzungshostserver oder virtuellen Desktop erforderlich sind. Es kann verwendet werden, um Lizenzen zu installieren, auszustellen und deren Verfügbarkeit zu verfolgen. Damit dieser Dienst funktioniert, benötigen Sie „ Webserver (IIS)»;
- Remotedesktop-Verbindungsbroker (RDS-Connection-Broker) ist ein Rollendienst, der die folgenden Funktionen bereitstellt: Erneutes Verbinden eines Benutzers mit einem vorhandenen virtuellen Desktop, einer RemoteApp-Anwendung und einem sitzungsbasierten Desktop und Lastverteilung zwischen den Desktops der Remotesitzungshostserver oder zwischen gepoolten virtuellen Desktops. Damit dieser Dienst funktioniert, muss die Komponente " »;
- Remotedesktop-Virtualisierungshost (DS-Virtualisierung) – Dieser Dienst ermöglicht es Benutzern, mithilfe von Remotedesktop- und RemoteApp-Verbindungen eine Verbindung zu virtuellen Desktops herzustellen. Dieser Dienst funktioniert in Verbindung mit Hyper-V, d.h. diese Rolle muss installiert sein;
- Remotedesktop-Sitzungshost (RDS-RD-Server) – Dieser Dienst kann Remote-RemoteApp-Anwendungen und sitzungsbasierte Desktops auf einem Server hosten. Für den Zugriff werden der Remotedesktopverbindungsclient oder RemoteApps verwendet;
- Remotedesktopgateway (RDS-Gateway) – Dieser Dienst ermöglicht es autorisierten Remotebenutzern, sich mit virtuellen Desktops, RemoteApps und sitzungsbasierten Desktops im Unternehmensnetzwerk oder über das Internet zu verbinden. Für das Funktionieren dieses Dienstes werden folgende zusätzliche Dienste und Komponenten benötigt: " Webserver (IIS)», « Netzwerkrichtlinien- und Zugriffsdienste», « RPC über HTTP-Proxy».
Active Directory-Rechteverwaltungsdienste
Es handelt sich um eine Serverrolle, mit der Sie Ihre Informationen vor unbefugter Verwendung schützen können. Es überprüft Benutzeridentitäten und erteilt autorisierten Benutzern Lizenzen für den Zugriff auf geschützte Daten. Damit diese Rolle funktioniert, sind zusätzliche Dienste und Komponenten erforderlich: " Webserver (IIS)», « Windows-Prozessaktivierungsdienst», « .NET Framework 4.6-Funktionen».
Der Name für Windows PowerShell ist ADRMS.
- Active Directory Rights Management Server (ADRMS-Server) - der Hauptrollendienst, der für die Installation erforderlich ist;
- Identitätsverbundunterstützung (ADRMS-Identity) ist ein optionaler Rollendienst, der es Verbundidentitäten ermöglicht, geschützte Inhalte mithilfe von AD FS zu nutzen.
Active Directory-Verbunddienste
Diese Rolle bietet einfache und sichere Identitätsföderation und Single Sign-On (SSO)-Funktionalität für Websites, die einen Browser verwenden.
Der Name für PowerShell ist ADFS-Federation.
Fernzugriff
Diese Rolle bietet Konnektivität über DirectAccess, VPN und Webanwendungsproxy. Auch die Rolle von " Fernzugriff»Bietet traditionelle Routing-Funktionen, einschließlich Network Address Translation (NAT) und andere Verbindungsparameter. Damit diese Rolle funktioniert, sind zusätzliche Dienste und Komponenten erforderlich: " Webserver (IIS)», « Interne Windows-Datenbank».
Der Rollenname für Windows PowerShell ist RemoteAccess.
- DirectAccess und VPN (RAS) (DirectAccess-VPN) - der Dienst ermöglicht es Benutzern, sich jederzeit mit Zugang zum Internet über DirectAccess mit dem Unternehmensnetzwerk zu verbinden sowie VPN-Verbindungen in Kombination mit Tunneling- und Datenverschlüsselungstechnologien zu organisieren;
- Routing - Der Dienst bietet Unterstützung für NAT-Router, BGP-Router, RIP und Multicast-Router (IGMP-Proxy);
- Web-Application-Proxy (Web-Application-Proxy) – Mit diesem Dienst können Sie HTTP- und HTTPS-basierte Anwendungen aus dem Unternehmensnetzwerk auf Client-Geräten außerhalb des Unternehmensnetzwerks veröffentlichen.
Datei- und Speicherdienste
Es handelt sich um eine Serverrolle, die Sie verwenden können, um Dateien und Ordner freizugeben, Freigaben zu verwalten und zu überwachen, Dateien zu replizieren, schnelle Dateisuchen bereitzustellen und Zugriff auf UNIX-Clientcomputer bereitzustellen. Im Artikel „Installieren eines Dateiservers auf Windows Server 2016“ haben wir auf Dateidienste und insbesondere den Dateiserver genauer eingegangen.
Der Name für Windows PowerShell ist FileAndStorage-Services.
Speicher-Services- Dieser Dienst bietet Speicherverwaltungsfunktionen, die immer installiert sind und nicht entfernt werden können.
Datei- und iSCSI-Dienste (Dateidienste) Sind Technologien, die die Verwaltung von Dateiservern und Speicher vereinfachen, Speicherplatz sparen, die Replikation und Zwischenspeicherung von Dateien in Zweigstellen ermöglichen und die Dateifreigabe über das NFS-Protokoll ermöglichen. Umfasst die folgenden Rollendienste:
- File Server (FS-FileServer) ist ein Rollendienst, der freigegebene Ordner verwaltet und Benutzern den Zugriff auf Dateien auf diesem Computer über das Netzwerk ermöglicht;
- Deduplizierung von Daten (FS-Data-Deduplication) – dieser Dienst spart Speicherplatz, indem nur eine Kopie identischer Daten auf einem Volume gespeichert wird;
- Dateiserver-Ressourcen-Manager (FS-Ressourcen-Manager) – Verwenden Sie diesen Dienst, um Dateien und Ordner auf einem Dateiserver zu verwalten, Speicherberichte zu generieren, Dateien und Ordner zu klassifizieren, Ordnerkontingente zu konfigurieren und Richtlinien zum Blockieren von Dateien zu definieren.
- ISCSI-Zielspeicheranbieter (VDS- und VSS-Hardwareanbieter) (iSCSITarget-VSS-VDS) – Dieser Dienst ermöglicht es Anwendungen auf einem Server, der an ein iSCSI-Ziel angeschlossen ist, Volumeschattenkopien auf virtuellen iSCSI-Festplatten durchzuführen.
- DFS-Namespaces (FS-DFS-Namespace) – Mit diesem Dienst können Sie freigegebene Ordner, die auf verschiedenen Servern gehostet werden, in einen oder mehrere logisch strukturierte Namespaces gruppieren;
- Arbeitsordner (FS-SyncShareService) - Der Dienst ermöglicht Ihnen die Verwendung von Arbeitsdateien auf verschiedenen Computern, einschließlich geschäftlicher und privater. In Arbeitsordnern können Sie Ihre Dateien speichern, synchronisieren und über Ihr lokales Netzwerk oder das Internet darauf zugreifen. Damit der Dienst funktioniert, muss die Komponente " IIS In-Process-Web-Kernel»;
- DFS-Replikation (FS-DFS-Replication) ist ein Multi-Server-Datenreplikationsmodul, mit dem Sie Ordner über eine LAN- oder WAN-Verbindung synchronisieren können. Diese Technologie verwendet das Remote Differential Compression (RDC)-Protokoll, um nur den Teil der Dateien zu aktualisieren, der sich seit der letzten Replikation geändert hat. Die DFS-Replikation kann in Verbindung mit DFS-Namespaces oder separat verwendet werden;
- Server für NFS (FS-NFS-Service) - Dieser Dienst ermöglicht diesem Computer die gemeinsame Nutzung von Dateien mit UNIX-basierten Computern und anderen Computern, die das Network File System (NFS)-Protokoll verwenden.
- ISCSI-Zielserver (FS-iSCSITarget-Server) – Bietet Dienste und Verwaltung für iSCSI-Ziele;
- BranchCache-Dienst für Netzwerkdateien (FS-BranchCache) – Der Dienst bietet BranchCache-Unterstützung auf diesem Dateiserver.
- Dateiserver-VSS-Agentendienst (FS-VSS-Agent) – Dieser Dienst ermöglicht das Volumeschattenkopieren für Anwendungen, die Datendateien auf diesem Dateiserver speichern.
Faxserver
Die Rolle sendet und empfängt Faxe und ermöglicht Ihnen die Verwaltung von Faxressourcen wie Jobs, Einstellungen, Berichte und Faxgeräte auf diesem Computer oder im Netzwerk. Für die Arbeit brauchst du " Druck Server».
Der Rollenname für Windows PowerShell ist Fax.
Damit ist die Übersicht über die Serverrollen von Windows Server 2016 abgeschlossen. Ich hoffe, das Material war bisher für Sie nützlich!
Anwenden von Gruppenrichtlinien (Teil 3)
In der Regel werden GPOs einem Container (Domäne, Site oder OU) zugewiesen und gelten für alle Objekte in diesem Container. Bei einer gut organisierten Domänenstruktur reicht dies völlig aus, aber manchmal ist es notwendig, die Anwendung von Richtlinien zusätzlich auf eine bestimmte Gruppe von Objekten zu beschränken. Es gibt zwei Arten von Filtern, die dafür verwendet werden können.
Sicherheitsfilter
Mit Sicherheitsfiltern können Sie die Anwendung von Richtlinien auf eine bestimmte Sicherheitsgruppe beschränken. Nehmen wir zum Beispiel GPO2, mit dem das Startmenü auf Workstations mit Windows 8.1 \ Windows 10 zentral konfiguriert wird. GPO2 wird OU-Mitarbeitern zugewiesen und gilt ausnahmslos für alle Benutzer.
Gehen wir nun zur Registerkarte "Bereich", wo im Abschnitt "Sicherheitsfilterung" die Gruppen angezeigt werden, auf die dieses GPO angewendet werden kann. Standardmäßig ist dies die Gruppe Authentifizierte Benutzer. Dies bedeutet, dass die Richtlinie angewendet werden kann auf irgendein ein Benutzer oder Computer, der sich erfolgreich bei der Domäne authentifiziert hat.
Tatsächlich verfügt jedes GPO über eine eigene Zugriffsliste, die auf der Registerkarte "Delegation" eingesehen werden kann.
Um eine Richtlinie anzuwenden, muss ein Objekt über die Gruppenrichtlinie Lesen und Anwenden verfügen, über die die Gruppe Authentifizierte Benutzer verfügt. Damit die Richtlinie nicht auf alle, sondern nur auf eine bestimmte Gruppe angewendet wird, ist es dementsprechend erforderlich, sie aus der Liste Authentifizierte Benutzer zu entfernen, dann die erforderliche Gruppe hinzuzufügen und ihr die entsprechenden Rechte zu gewähren.
In unserem Beispiel kann die Richtlinie also nur auf die Buchhaltungsgruppe angewendet werden.
WMI-Filter
Windows Management Instrumentation (WMI) ist eines der leistungsstärksten Tools zur Verwaltung des Windows-Betriebssystems. WMI enthält eine Vielzahl von Klassen, mit denen nahezu alle Parameter des Benutzers und des Computers beschrieben werden können. Sie können alle verfügbaren WMI-Klassen als Liste mit PowerShell anzeigen, indem Sie den folgenden Befehl ausführen:
Get-WmiObject -Liste
Nehmen wir zum Beispiel die Klasse Win32_Betriebssystem, die für die Eigenschaften des Betriebssystems verantwortlich ist. Angenommen, Sie möchten alle Betriebssysteme außer Windows 10 filtern. Gehen Sie zu dem Computer, auf dem Windows 10 installiert ist, öffnen Sie die PowerShell-Konsole und zeigen Sie den Namen, die Version und den Typ des Betriebssystems mit dem Befehl an:
Get-WmiObject -Class Win32_OperatingSystem | fl Name, Version, Produkttyp
Für den Filter verwenden wir die Version und den Typ des Betriebssystems. Die Version ist für Client- und Server-Betriebssysteme gleich und wird wie folgt definiert:
Windows Server 2016 \ Windows 10 - 10.0
Windows Server 2012 R2 \ Windows 8.1 - 6.3
Windows Server 2012 \ Windows 8 - 6.2
Windows Server 2008 R2 \ Windows 7 - 6.1
Windows Server 2008 \ Windows Vista - 6.0
Der Produkttyp ist für den Zweck des Computers verantwortlich und kann 3 Werte annehmen:
1 - Arbeitsplatz;
2 - Domänencontroller;
3 - Server.
Kommen wir nun direkt zur Erstellung des Filters. Öffnen Sie dazu das Snap-In Gruppenrichtlinienverwaltung und wechseln Sie zum Abschnitt WMI-Filter. Klicken Sie mit der rechten Maustaste darauf und wählen Sie im Kontextmenü den Punkt "Neu".
Geben Sie im sich öffnenden Fenster dem Filter einen Namen und eine Beschreibung. Dann drücken wir die Schaltfläche „Hinzufügen“ und geben im Feld „Abfrage“ die WQL-Abfrage ein, die die Grundlage des WMI-Filters ist. Wir müssen OS-Version 10.0 mit Typ 1 auswählen, damit die Anfrage wie folgt aussieht:
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE ″ 10,0% ″ AND ProductType = ″ 1 ″
Notiz. Windows Query Language (WQL) ist eine WMI-Abfragesprache. Sie können mehr darüber auf MSDN lesen.
Speichern Sie den resultierenden Filter.
Jetzt müssen Sie nur noch einem GPO einen WMI-Filter zuweisen, beispielsweise GPO3. Gehen Sie in die GPO-Eigenschaften, öffnen Sie die Registerkarte "Bereich" und wählen Sie im Feld "WMI-Filterung" den gewünschten Filter aus der Liste aus.
Analyse der Anwendung von Gruppenrichtlinien
Bei so vielen Möglichkeiten zum Filtern von GPOs müssen Sie in der Lage sein, ihre Verwendung zu diagnostizieren und zu analysieren. Der einfachste Weg, die Aktion von Gruppenrichtlinien auf einem Computer zu überprüfen, ist die Verwendung des Befehlszeilen-Dienstprogramms gpresult.
Gehen wir zum Beispiel zu dem wks2-Computer, auf dem Windows 7 installiert ist, und prüfen Sie, ob der WMI-Filter funktioniert hat. Öffnen Sie dazu die cmd-Konsole mit Administratorrechten und führen Sie den Befehl aus gpresult / r, das eine Zusammenfassung der auf den Benutzer und den Computer angewendeten Gruppenrichtlinien anzeigt.
Notiz. Das Dienstprogramm gpresult hat viele Einstellungen, die mit dem Befehl angezeigt werden können gpresult /?.
Wie Sie den empfangenen Daten entnehmen können, wurde die GPO3-Richtlinie nicht auf den Computer angewendet, da sie mit dem WMI-Filter gefiltert wurde.
Sie können die Aktion des Gruppenrichtlinienobjekts auch über das Snap-In "Gruppenrichtlinienverwaltung" mit einem speziellen Assistenten überprüfen. Um den Assistenten zu starten, klicken Sie mit der rechten Maustaste auf den Abschnitt "Gruppenrichtlinienergebnisse" und wählen Sie im sich öffnenden Menü den Punkt "Gruppenrichtlinienergebnisse-Assistent".
Wir geben den Namen des Computers an, für den der Bericht erstellt wird. Wenn Sie nur benutzerdefinierte Gruppenrichtlinieneinstellungen anzeigen möchten, müssen Sie keine Einstellungen für Ihren Computer erfassen. Aktivieren Sie dazu das Kontrollkästchen unten (nur Benutzerrichtlinieneinstellungen anzeigen).
Dann wählen wir den Namen des Benutzers aus, für den die Daten gesammelt werden, oder Sie können angeben, dass die Gruppenrichtlinieneinstellungen für den Benutzer nicht in den Bericht aufgenommen werden (nur Computerrichtlinieneinstellungen anzeigen).
Wir überprüfen die ausgewählten Einstellungen, klicken auf „Weiter“ und warten, während die Daten gesammelt und der Bericht erstellt wird.
Der Bericht enthält umfassende Informationen über die auf den Benutzer und den Computer angewendeten (oder nicht angewendeten) GPOs sowie die verwendeten Filter.
Lassen Sie uns als Beispiel Berichte für zwei verschiedene Benutzer erstellen und diese vergleichen. Öffnen wir zunächst den Bericht für den Kirill-Benutzer und gehen Sie zum Abschnitt Benutzereinstellungen. Wie Sie sehen, wurde die GPO2-Richtlinie auf diesen Benutzer nicht angewendet, da er nicht berechtigt ist, sie anzuwenden (Grund verweigert - Unzugänglich).
Öffnen wir nun den Bericht für den Benutzer Oleg. Dieser Benutzer ist Mitglied der Buchhaltungsgruppe, daher wurde die Richtlinie erfolgreich auf ihn angewendet. Dies bedeutet, dass der Sicherheitsfilter erfolgreich funktioniert hat.
Damit möchte ich vielleicht die "faszinierende" Geschichte über die Anwendung von Gruppenrichtlinien beenden. Ich hoffe, diese Informationen sind nützlich und helfen Ihnen bei der schwierigen Aufgabe der Systemadministration 🙂
GPResult-Dienstprogramm.exe- ist eine Konsolenanwendung, die entwickelt wurde, um Einstellungen zu analysieren und Gruppenrichtlinien zu diagnostizieren, die auf einen Computer und / oder Benutzer in einer Active Directory-Domäne angewendet werden. Mit GPResult können Sie insbesondere Daten zum Richtlinienergebnissatz (RSOP), eine Liste der angewendeten Domänenrichtlinien (GPOs), deren Einstellungen und detaillierte Informationen zu ihren Verarbeitungsfehlern abrufen. Das Dienstprogramm ist seit den Tagen von Windows XP im Windows-Betriebssystem enthalten. Mit dem Dienstprogramm GPResult können Sie die folgenden Fragen beantworten: Gilt eine bestimmte Richtlinie für einen Computer, bei dem das GPO eine bestimmte Windows-Einstellung geändert hat, und verstehen Sie die Gründe.
In diesem Artikel werden wir uns die Besonderheiten der Verwendung des GPResult-Befehls ansehen, um den Vorgang zu diagnostizieren und die Anwendung von Gruppenrichtlinien in einer Active Directory-Domäne zu debuggen.
Um die Anwendung von Gruppenrichtlinien in Windows zu diagnostizieren, wurde zunächst die grafische Konsole RSOP.msc verwendet, die es ermöglichte, die Einstellungen der resultierenden Richtlinien (Domäne + lokal), die auf den Computer und den Benutzer angewendet wurden, in ähnlicher grafischer Form zu erhalten in die Konsole des GPO-Editors (unten am Beispiel der Konsolendarstellung RSOP.msc sehen Sie, dass die Update-Einstellungen gesetzt sind).
Allerdings ist die Konsole RSOP.msc in modernen Windows-Versionen unpraktisch, weil Es spiegelt keine Einstellungen wider, die von verschiedenen clientseitigen Erweiterungen (CSE) wie GPP (Gruppenrichtlinieneinstellungen) angewendet werden, lässt keine Suchen zu und bietet nur wenige Diagnoseinformationen. Daher ist derzeit der Befehl GPResult das Hauptwerkzeug zur Diagnose der Verwendung von GPOs in Windows (in Windows 10 gibt es sogar eine Warnung, dass RSOP im Gegensatz zu GPResult keinen vollständigen Bericht ausgibt).
Verwenden des Dienstprogramms GPResult.exe
Der Befehl GPResult wird auf dem Computer ausgeführt, auf dem Sie die Anwendung der Gruppenrichtlinie testen möchten. Der Befehl GPResult hat die folgende Syntax:
GPRESULT]] [(/ X | / H)<имя_файла> ]
Um detaillierte Informationen zu den Gruppenrichtlinien zu erhalten, die für ein bestimmtes AD-Objekt (Benutzer und Computer) gelten, und andere Einstellungen in Bezug auf die GPO-Infrastruktur (d. h. die resultierenden GPO-Einstellungen - RsoP), führen Sie den Befehl aus:
Die Ergebnisse der Befehlsausführung sind in 2 Abschnitte unterteilt:
- RECHNER DIE EINSTELLUNGEN (Computerkonfiguration) - der Abschnitt enthält Informationen über GPOs, die auf dem Computer (als Active Directory-Objekt) wirken;
- BENUTZER DIE EINSTELLUNGEN - Benutzerbereich von Richtlinien (Richtlinien, die ein Benutzerkonto in AD betreffen).
Gehen wir kurz die wichtigsten Parameter / Abschnitte durch, die uns in der GPResult-Ausgabe interessieren könnten:
- Seite? ˅Name(Site-Name:) - Name der AD-Site, in der sich der Computer befindet;
- CN- vollständiger kanonischer Benutzer / Computer, für den RSoP-Daten generiert wurden;
- ZuletztZeitGruppePolitikwarangewandt(Gruppenrichtlinie zuletzt angewendet) – Der Zeitpunkt, zu dem die Gruppenrichtlinie zuletzt angewendet wurde;
- GruppePolitikwarangewandtvon(Seitdem wurde eine Gruppenrichtlinie angewendet) - Domänencontroller, von dem das neueste GPO heruntergeladen wurde;
- DomainNameund DomainTyp(Domänenname, Domänentyp) - Name und Version des Active Directory-Domänenschemas;
- AngewandtGruppePolitikObjekte(Angewandte Gruppenrichtlinienobjekte)- Listen aktiver Gruppenrichtlinienobjekte;
- DiefolgendesGruppenrichtlinienobjektewurdennichtangewandtdaSiewurdengefiltertaus(Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie gefiltert wurden) - nicht angewendete (gefilterte) Gruppenrichtlinienobjekte;
- DieBenutzer/ RechneristeinTeilvondasfolgendesSicherheitGruppen(Benutzer / Computer ist Mitglied der folgenden Sicherheitsgruppen) - Domänengruppen, in denen der Benutzer Mitglied ist.
In unserem Beispiel sehen Sie, dass für das Benutzerobjekt 4 Gruppenrichtlinien gelten.
- Standarddomänenrichtlinie;
- Aktivieren Sie die Windows-Firewall;
- DNS-Suffix-Suchliste;
Wenn die Konsole nicht gleichzeitig Informationen zu Benutzerrichtlinien und Computerrichtlinien anzeigen soll, können Sie mit der Option /scope nur den Abschnitt anzeigen, der Sie interessiert. Nur resultierende Benutzerrichtlinien:
gpresult / r / scope: user
oder nur angewandte Computerrichtlinien:
gpresult / r / Umfang: Computer
Weil Das Dienstprogramm Gpresult gibt seine Daten direkt an die Befehlszeilenkonsole aus, was für eine spätere Analyse nicht immer bequem ist, seine Ausgabe kann in die Zwischenablage umgeleitet werden:
Gpresult / r | Clip
oder eine Textdatei:
Gpresult / r> c: \ gpresult.txt
Um detailliertere RSOP-Informationen anzuzeigen, müssen Sie den Schalter / z hinzufügen.
HTML-RSOP-Bericht mit GPResult
Darüber hinaus kann das Dienstprogramm GPResult einen HTML-Bericht zu den angewendeten resultierenden Richtlinien erstellen (verfügbar in Windows 7 und höher). Dieser Bericht enthält detaillierte Informationen über alle Systemparameter, die durch Gruppenrichtlinien festgelegt werden, und die Namen der spezifischen GPOs, die sie festlegen (der resultierende Bericht ist wie die Registerkarte Einstellungen in der Domänengruppenrichtlinien-Verwaltungskonsole – GPMC strukturiert). Sie können einen HTML-GPResult-Bericht mit dem folgenden Befehl erstellen:
GPResult / h c: \ gp-report \ report.html / f
Führen Sie den folgenden Befehl aus, um einen Bericht zu generieren und ihn automatisch in einem Browser zu öffnen:
GPResult / h GPResult.html & GPResult.html
Der HTML-Bericht von gpresult enthält viele nützliche Informationen: Sie können Fehler beim Anwenden von GPOs, der Verarbeitungszeit (in ms) und der Anwendung bestimmter Richtlinien und CSEs (im Abschnitt Computerdetails -> Komponentenstatus) sehen. Im obigen Screenshot können Sie beispielsweise sehen, dass die Richtlinie mit 24 Passwörtern, die sich an Einstellungen erinnern, von der Standarddomänenrichtlinie angewendet wird (Winning-GPO-Spalte). Wie Sie sehen, ist ein solcher HTML-Bericht für die Analyse angewendeter Richtlinien viel bequemer als die Konsole rsop.msc.
Empfangen von GPResult-Daten von einem Remote-Computer
GPResult kann Daten von einem Remote-Computer sammeln, sodass sich ein Administrator nicht mehr lokal oder RDP an einem Remote-Computer anmelden muss. Das Format des Befehls zum Sammeln von RSOP-Daten von einem Remote-Computer ist wie folgt:
GPResult / s server-ts1 / r
Ebenso können Sie Daten zu Benutzerrichtlinien und Computerrichtlinien aus der Ferne sammeln.
Der Benutzername des Benutzers enthält keine RSOP-Daten
Wenn UAC aktiviert ist, werden beim Ausführen von GPResult ohne erhöhte Berechtigungen die Einstellungen nur für den benutzerdefinierten Gruppenrichtlinienabschnitt angezeigt. Wenn Sie beide Abschnitte (BENUTZEREINSTELLUNGEN und COMPUTEREINSTELLUNGEN) gleichzeitig anzeigen möchten, müssen Sie den Befehl ausführen. Wenn sich die Befehlszeile mit erhöhten Rechten von der des aktuellen Benutzers des Systems unterscheidet, gibt das Dienstprogramm eine Warnung aus DIE INFO: DieBenutzer"Domain\ Benutzer"Tutnichtverfügen überRSOPDaten ( Benutzer "Domäne \ Benutzer" hat keine RSOP-Daten). Dies geschieht, weil GPResult versucht, Informationen für den Benutzer zu sammeln, der es gestartet hat, aber da Dieser Benutzer hat sich nicht am System angemeldet, es liegen keine RSOP-Informationen für ihn vor. Um RSOP-Informationen für einen Benutzer mit einer aktiven Sitzung zu sammeln, müssen Sie sein Konto angeben:
gpresult / r / user: tn \ edward
Wenn Sie den Namen des Kontos, das auf dem Remote-Computer angemeldet ist, nicht kennen, können Sie das Konto wie folgt abrufen:
qwinsta / SERVER: remotePC1
Überprüfen Sie auch die Zeit(en) auf dem Client. Die Uhrzeit muss mit der Uhrzeit auf dem PDC (Primary Domain Controller) übereinstimmen.
Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie gefiltert wurden
Beachten Sie bei der Problembehandlung von Gruppenrichtlinien auch den Abschnitt: Die folgenden Gruppenrichtlinienobjekte wurden nicht angewendet, da sie herausgefiltert wurden. In diesem Abschnitt wird eine Liste von GPOs angezeigt, die aus dem einen oder anderen Grund nicht auf dieses Objekt zutreffen. Mögliche Optionen, für die die Richtlinie möglicherweise nicht angewendet wird:
Auf der Registerkarte Effektiver Zugriff (Erweitert -> Effektiver Zugriff) können Sie auch erkennen, ob die Richtlinie auf ein bestimmtes AD-Objekt angewendet werden soll.
Daher haben wir in diesem Artikel die Funktionen der Diagnose der Anwendung von Gruppenrichtlinien mit dem Dienstprogramm GPResult untersucht und typische Szenarien für deren Verwendung untersucht.
