Установка remote server administration tools (rsat) в windows 10 v1903 в offline-режиме

Удаленное управление узлами Hyper-V

Для управления удаленными узлами Hyper-V Включите удаленное управление как на локальном компьютере, так и на удаленном узле.

на Windows сервере откройте диспетчер сервера >>>> локальным сервером, а затем щелкните разрешить удаленные подключения к этому компьютеру.

или из любой операционной системы откройте Windows PowerShell от имени администратора и выполните команду:

Подключение узлам в том же домене

для Windows 8.1 и более ранних версий удаленное управление работает только в том случае, если узел находится в том же домене, а локальная учетная запись пользователя также находится на удаленном узле.

Чтобы добавить удаленный узел Hyper-V в Диспетчер Hyper-V, выберите другой компьютер в диалоговом окне Выбор компьютера и введите имя узла, NetBIOS или полное доменное имя удаленного узла.

диспетчер Hyper-V в Windows Server 2016 и Windows 10 предлагает больше типов удаленного подключения, чем предыдущие версии, описанные в следующих разделах.

Подключение Windows Server 2016 или Windows 10 удаленный узел от имени другого пользователя

Это позволяет подключиться к узлу Hyper-V, если вы не работаете на локальном компьютере как пользователь, являющийся членом группы администраторов Hyper-V или группы администраторов на узле Hyper-V. Выполните указанные ниже действия.

1. В левой области щелкните правой кнопкой мыши Диспетчер Hyper-V.
2. щелкните Подключение для сервера.
3. выберите Подключение в качестве другого пользователя в диалоговом окне выбор компьютера .
4. Выберите задать пользователя.

Примечание

это будет работать только для Windows Server 2016 или Windows 10 удаленных узлов.

Подключение на Windows Server 2016 или Windows 10 удаленный узел по IP-адресу

Выполните указанные ниже действия.

1. В левой области щелкните правой кнопкой мыши Диспетчер Hyper-V.
2. щелкните Подключение для сервера.
3. Введите IP-адрес в текстовое поле другой компьютер .

Примечание

это будет работать только для Windows Server 2016 или Windows 10 удаленных узлов.

Оглавление

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory

Прежде чем перейти к развёртыванию Active Directory, познакомимся с инструментами настройки сервера Windows. В настоящее время доступны новые возможности, которые особенно полезны для настройки сервера без графического интерфейса, поскольку сильно облегчают этот процесс — теперь вместо ввода команд достаточно нескольких кликов в веб-интерфейсе. Для сервера с графическим интерфейсом это также может оказаться полезным — систематизированный интерфейс, простое подключение, удалённое администрирование.

Вам необязательно повторять все показанные в этой части настройки. На этапе подготовки к установке Active Directory нам нужно, чтобы у компьютеров, входящих в Домен Windows, были статичные IP адреса и лаконичные имена. К настройке статичных IP адресов на роутере и рабочих станциях мы ещё вернёмся в следующей части

В этой части вам важно получить представление, какими средствами вы можете управлять сервером и каким инструментом воспользоваться в случае необходимости настроить или проверить текущее состояние.

Сводка

По умолчанию WinRM использует Kerberos для проверки подлинности, Windows никогда не отправляет пароль в систему с запросом проверки. Чтобы получить список параметров проверки подлинности, введите следующую команду:

Целью настройки WinRM для HTTPS является шифрование данных, отосланных по всему проводу.

WinRM HTTPS требует локального сертификата проверки подлинности сервера на компьютере с cn, совпадающий с установленным имям хост-сервера. Сертификат не должен быть просрочен, отозван или подписан самостоятельно.

Установка или просмотр сертификатов для локального компьютера:

1. Выберите Начните, а затем выберите run (или с помощью клавиши Windows клавиши+R)。
2. Введите MMC и нажмите кнопку Ввод.
3. Выберите Файл из параметров меню, а затем выберите Добавить или Удалить snap-ins.
4. Выберите Сертификаты и выберите Добавить.
5. Перейдите через мастер выбора учетной записи Компьютера.
6. Установка или просмотр сертификатов по сертификатам (локальному компьютеру) > > Персональные сертификаты.

Если у вас нет сертификата проверки подлинности сервера, обратитесь к администратору сертификата. Если у вас есть сервер сертификатов Майкрософт, вы можете запросить сертификат с помощью шаблона веб-сертификата из .

После установки сертификата введите следующее, чтобы настроить WINRM для прослушивания https:

Если у вас нет соответствующего сертификата, можно выполнить следующую команду с помощью методов проверки подлинности, настроенных для WinRM. Однако данные не будут зашифрованы.

Что такое удаленное взаимодействие PowerShell?

Функция удаленного взаимодействия PowerShell использует службу удаленного управления Windows (WinRM), которая является реализацией протокола веб-служб для управления (WS-Management), чтобы дать пользователям возможность использовать команды PowerShell на удаленных компьютерах. Дополнительные сведения об использовании удаленного взаимодействия PowerShell можно найти в статье Выполнение удаленных команд.

Удаленное взаимодействие PowerShell отличается от выполнения командлета с параметром ComputerName для запуска на удаленном компьютере, когда в качестве базового протокола используется удаленный вызов процедур (RPC).

Функции Azure не работают должным образом на границе

на границе есть известные проблемы , связанные с зонами безопасности, которые влияют на имя входа Azure в центре администрирования Windows. Если у вас возникли проблемы с использованием функций Azure при использовании ребра, попробуйте добавить https://login.microsoftonline.com https://login.live.com и URL-адрес шлюза в качестве доверенных сайтов и дочерние сайты для параметров блокирования всплывающих окон в браузере на стороне клиента.

Для этого:

1. поиск свойств Internet в Windows меню «пуск»
2. Перейдите на вкладку Безопасность .
3. В разделе Доверенные сайты нажмите кнопку Сайты и в открытом диалоговом окне добавьте нужные URL-адреса. Вам потребуется добавить URL-адрес шлюза, а также https://login.microsoftonline.com и https://login.live.com .
4. перейдите к параметрам блокирования всплывающих окон в Microsoft Edge через edge://settings/content/popups?search=pop-up.
5. Вам потребуется добавить URL-адрес шлюза, а также https://login.microsoftonline.com и https://login.live.com в список разрешений.

Групповые политики и скрипты

Если предыдущие варианты не требовали доменной среды, то в этом случае потребуется домен. Поддерживаются скрипты при входе и выходе пользователя из системы, а также при ее включении и выключении. Поскольку каждый администратор Windows сталкивался с ними, я не буду подробно расписывать как ими пользоваться ― лишь напомню, где их искать.

Скрипты, выполняющиеся при старте и завершении системы.

Скрипты, выполняющиеся при входе и выходе пользователя из системы.

Скрипты, настраиваемые в пользовательском разделе, выполняются от имени пользователя, а в разделе компьютера ― под аккаунтом SYSTEM.

Добавить редактор групповой политики в Windows Home Editions

Поскольку это была расширенная функция, Microsoft не включила ее в выпуски Windows и Windows. Но могут быть некоторые сценарии, в которых вы хотите изменить параметры политики в консоли управления Microsoft (MMC) из Home Edition Windows. В таких случаях вам понадобится использовать сторонний инструмент для этого. В этом сообщении мы поговорим об инструменте под названием « Policy Plus », который позволяет вносить изменения в параметры групповой политики даже из Домашних выпусков Windows 10/8/7.

Политика Plus Обзор

Политика Plus — это бесплатный инструмент с открытым исходным кодом, который позволяет редактировать объект локальной групповой политики в домашней редакции Windows. Но вы можете подумать, не была ли эта функция недоступна в домашней редакции, правильно ли использовать этот инструмент? Да, инструмент полностью соответствует лицензированию, и вы можете использовать его без каких-либо условий.

Редактировать объекты локальной групповой политики в Windows Home Editions

Если вы уже использовали редактор групповой политики, знающих административные шаблоны. Эти шаблоны на самом деле являются основой инструмента. Хотя некоторые из административных шаблонов доступны в Home Edition, вам нужно загрузить остальную часть из Интернета. Policy Plus поставляется с встроенной функциональностью для загрузки последнего пакета этих файлов из Microsoft. Все, что вам нужно сделать, — запустить инструмент, а затем перейти к « справке » и выбрать « Acquire AMDX Files ». Это загрузит полный набор определений политик из Microsoft.

Говоря об пользовательском интерфейсе, он специально разработан с учетом исходного редактора групповой политики. Интерфейс очень похож на оригинальный инструмент, и вы можете столкнуться с какими-либо проблемами, если знакомы с редактором групповых политик. Все доступные политики отображаются в левом столбце. Вы можете перемещаться по дереву и находить подходящую запись, которую вы хотите отредактировать.

Этот инструмент может легко просматривать и редактировать политики на основе реестра в локальных объектах групповой политики, объектах групповой политики для каждого пользователя, отдельных файлах POL, автономных пользователях пользователей реестра и в реальном времени.

Вы также можете использовать функцию поиска, чтобы найти определенную политику. Вы можете искать по идентификатору, разделам реестра или просто по тексту. Редактирование политики так же просто, нужно нажать кнопку «Открыть политику» и внести необходимые изменения. Подобно редактору групповой политики, Policy Plus также отображает описание политики и позволяет добавлять комментарии.

После внесения изменений в объект групповой политики вам необходимо перезагрузить компьютер, чтобы изменения вступили в силу.

Функции в двух словах:

• Работает и работает на всех выпусках Windows, а не только на Pro и Enterprise
• Совместим полностью с лицензированием (т. Е. Не пересаживает никакие компоненты в установках Windows)
• Просмотр и редактирование политик на основе реестра в локальные объекты групповой политики, объекты групповой политики для каждого пользователя, отдельные файлы POL, автономные пользовательские ульи реестра и резидентный реестр
• Перейдите к политикам с помощью идентификатора, текста или затронутых записей реестра
• Показать дополнительную техническую информацию об объектах (политиках, категориях, продукты)
• Предоставлять удобные способы совместного использования и импорта параметров политики.

Функция RefreshPolicyEx не работает в Home edition, поэтому перезагрузите компьютер, чтобы наблюдать за изменениями. Кроме того, вы можете создавать и редактировать объекты групповой политики для каждого пользователя, но их настройки игнорируются Windows. Итак, вам нужно отредактировать реестр самостоятельно, чтобы эти изменения произошли.

В целом, политика Plus — отличный инструмент. Он почти приносит полный редактор локальной групповой политики в Windows 10/8/7 Home Editions. Вы можете использовать этот инструмент свободно и даже скомпилировать исходный код с нуля. В этом случае могут возникнуть некоторые проблемы с этим инструментом, поскольку он все еще находится на стадии разработки, но вы можете сообщить о проблемах его разработчикам.

Посетите Github , чтобы загрузить Policy Plus для Windows.

Установщик GPEDIT — это еще один инструмент, который позволяет добавлять редактор групповой политики в редакции Windows Home.

Предоставление отзыва о проблемах

Перейдите в средство «Просмотр событий» > «Приложения и службы» > Microsoft-ServerManagementExperience и проверьте наличие каких-либо ошибок и предупреждений.

Отправьте сообщение об ошибке в разделе UserVoice с описанием проблемы.

Укажите все ошибки и предупреждения, которые удастся найти в журнале событий, а также следующие сведения:

• Платформа, на которой установлен Windows Admin Center (Windows 10 или Windows Server):
  • если установлен на сервере, то Windows компьютера, на котором работает браузер , для доступа к Windows центру администрирования:
  • Вы используете самозаверяющий сертификат, созданный установщиком?
  • Если вы используете свой собственный сертификат, соответствует ли имя субъекта компьютеру?
  • Если вы используете свой собственный сертификат, указано ли в нем альтернативное имя субъекта?
• Выполнена ли установка с настройками порта по умолчанию?
• Компьютер, где установлен Windows Admin Center, присоединен к домену?
• Windows, где установлен Windows Admin Center:
• Присоединен ли компьютер, который вы пытаетесь отладить, к домену?
• Windows AC на компьютере, который вы пытаетесь отладить:
• Какой браузер вы используете?

Используем Invoke-Command для параллельного запуска команд на нескольких компьютерах

Командлет Invoke-Command можно использовать для параллельного выполнения команд на нескольких удаленных компьютерах.

В самом просто случае имена компьютеров, на которых нужно выполнить команды указываются через запятую:

Invoke-Command server1, server2, server3 -ScriptBlock {get-date}

1	Invoke-Command server1,server2,server3-ScriptBlock{get-date}

Список компьютеров можно поместить в переменную (массив):

$servers = @(″server1″,″server2″,″server3″)
Invoke-Command -ScriptBlock { get-date} -ComputerName $servers

1 2	$servers=@(″server1″,″server2″,″server3″) Invoke-Command-ScriptBlock{get-date}-ComputerName$servers

Или получить из текстового файла:

Invoke-Command -ScriptBlock {Restart-Service spooler} -ComputerName(Get-Content c:\ps\servers.txt)

1	Invoke-Command-ScriptBlock{Restart-Service spooler}-ComputerName(Get-Contentc\ps\servers.txt)

Также можно получить список компьютеров в ADс помощью командлета Get-ADComputer из модуля AD PowerShell:

Чтобы выполнить команду на всех Windows Server в домене, исопльзуйте такой код:

$computers = (Get-ADComputer -Filter ‘operatingsystem -like «*Windows server*» -and enabled -eq «true»‘).Name
Invoke-Command -ComputerName $computers -ScriptBlock {get-date} -ErrorAction SilentlyContinue

1 2	$computers=(Get-ADComputer-Filter’operatingsystem -like «*Windows server*» -and enabled -eq «true»‘).Name Invoke-Command-ComputerName$computers-ScriptBlock{get-date}-ErrorAction SilentlyContinue

Если компьютер выключен, или недоступен, благодаря параметру SilentlyContinue скрипт не будет остановлен и продолжит выполнение на других компьютерах.

Чтобы понять с какого компьютера получены результаты, нужно использовать специальную переменную окружения PSComputerName.

$results = Invoke-Command server1, server2, server3 -ScriptBlock {get-date}
$results | Select-Object PSComputerName, DateTime

1 2	$results=Invoke-Command server1,server2,server3-ScriptBlock{get-date} $results|Select-ObjectPSComputerName,DateTime

При запуске команды через Invoke-Command на нескольких компьютерах она выполняется параллельно. В Invoke-Command есть ограничение на максимальное количество компьютеров, которыми можно управлять одновременно (ограничение на количество одновременных PSSession). Оно определяется параметром ThrottleLimit (по умолчанию 32). Если вам нужно выполнить команду одновременно более чем на 32 компьютерах (например, на 128), используйте параметр –ThrottleLimit 128 (но это вызывает повышенную нагрузку на ваш компьютер).

Для запуска команд на удаленных компьютерах через Invoke-Command в фоновом режиме используется специальный атрибут 
–AsJob. В этом случае результат выполнения команды не возвращается в консоль. Чтобы получить результаты нужно использовать командлет 
Receive-Job.

Подключение к удаленному рабочему столу

Для подключения к VDS с Windows Server используется протокол RDP. Встроенное приложение для его выполнения есть только на Windows. На других ОС для подключения через RDP потребуется установка сторонних приложений.

Подключение по RDP c Windows

Откройте меню «Пуск» и найдите утилиту «Подключение к удаленному рабочему столу». Например, на Виндоус 10 она находится в разделе «Стандартные Windows». Можно также воспользоваться встроенным поиском или утилитой «Выполнить»: нажать на сочетание клавиш Win+R и ввести запрос mstsc.

Введите в окне программы IP-адрес сервера, к которому хотите подключиться. Он указан в письме, которое прислал хостер. Нажмите «Подключить».

Выберите учетную запись для авторизации и введите пароль. Эти данные хостер присылает на почту. 

При первом подключении может появиться предупреждение о недостоверном сертификате. Причина такого поведения — шифрование соединения сертификатом, который выдает не авторизованный центр, а сам сервер. Однако это не значит, что у вас есть проблемы с безопасностью. Подключение по RDP зашифровано, так что можете спокойно пропускать предупреждение. Чтобы оно не раздражало, отметьте пункт «Больше не выводить запрос о подключениях к этому компьютеру».

Если нужно перенести небольшое количество файлов, то самый простой способ — использование буфера обмена. Вы копируете файл на локальной машине, затем подключаетесь к удаленному рабочему столу и вставляете файл.

Если нужно перемещать большое количество файлов, то гораздо удобнее подключить диск. На локальном компьютере с Win это делается так:

1. Подключитесь к удаленному рабочему столу с помощью встроенной утилиты.

2. Перейдите на вкладку «Локальные ресурсы».

3. Выберите диски или другие источники.

После выбора локальных источников вы можете получить к ним доступ с удаленного рабочего стола на VDS с Windows Server.

Подключение по RDP c Linux

На Linux нет официального протокола для подключения через RDP к Win-серверу. Однако это не проблема. Установить соединение можно с помощью клиента Remmina. 

В качестве примера установим утилиту на Ubuntu. Откройте терминал и выполните следующие команды:

sudo apt-add-repository ppa:remmina-ppa-team/remmina-next // Установка Remmina

sudo apt-get update // Установка апдейтов

sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standard // Установка плагина РДП

После установки клиент появится в списке приложений. Найдите его и запустите. Нажмите на плюсик для добавления нового подключения и введите уже знакомые данные: IP-адрес сервера, логин, пароль. Главное — выбрать в строке Protocol значение RDP (Remote Desktop Protocol). 

Нажмите на кнопку Save, чтобы сохранить новое подключение. Оно отобразится в списке. Чтобы использовать его, щелкните по нему два раза левой кнопкой.

При первом подключении может появиться предупреждение о недоверенном сертификате безопасности. Ситуация такая же, как в случае с WIndows. Никакой угрозы безопасности нет, поэтому просто игнорируйте предупреждение. Нажмите ОК в появившемся окне.

Подключение с macOS

На macOS для подключения к удаленному рабочему столу на Windows Server используется фирменное приложение Microsoft, которое называется Remote Desktop. Его можно установить из App Store.

1. Запустите программу и нажмите на кнопку New.

2. В Connection name укажите любое имя для подключения — например, VDS Windows.

3. В строке PC name пропишите IP-адрес сервера, к которому вы будете подключаться.

4. В разделе Credentials укажите логин и пароль для подключения к VDS.

После сохранения настроек в списке подключений появится новое соединение. Выделите его и нажмите на кнопку Start или используйте двойной клик. 

При первом подключении может появиться предупреждение о недоверенном сертификате. Нажмите на кнопку «Показать сертификат» и отметьте пункт «Всегда доверять». Больше предупреждение не будет появляться. Проблем с безопасностью из-за этого не возникнет.

RDP на Android и iOS

Подключиться к удаленному рабочему столу с Windows Server можно и с мобильного устройства. На Android и iOS для этого используется фирменное приложение Microsoft, которое называется Remote Desktop.

На обеих мобильных системах подключение через RDP настраивается одинаково.

1. Запустите приложение и нажмите на плюс для добавления нового соединения.

2. Выберите тип «Рабочий стол» (Desktop).

3. В поле «Имя ПК» укажите адрес сервера.

4. Впишите имя администратора и пароль.

5. При появлении предупреждения о недоверенном сертификате отметьте пункт «Больше не спрашивать» и нажмите «ОК».

После успешного подключения вы увидите удаленный рабочий стол, размещенный на VDS с Windows Server.