Недавно я перешел с использования Linux-сервера для частного хостинга (таких как WebServer, Teamspeak, Gameservers и т. Д.) На машину с Windows Server 2012 R2. В Debian я установил свои службы с помощью apt-get и запустил их под их собственным пользователем. Теперь под Windows мне, вероятно, придется полагаться на сочетание ручной установки и ролей и функций, я думаю, но выполнение различных служб под разными пользователями тоже хорошая идея? Не рекомендуется ли устанавливать службы, не предоставляемые диалоговым окном «Роли и функции», или существует ли даже возможность интегрировать внешнее программное обеспечение в это диалоговое окно? Кроме того, следует ли управлять всем программным обеспечением как службами Windows или при автоматическом запуске также используется «обычное» программное обеспечение?
Если в этой области нет конкретных рекомендаций, существуют ли какие-либо важные правила администрирования Windows Server?
В этом ... вопросе много вопросов.
«Роли и компоненты» существуют для установки ролей и компонентов, которые являются частью базовой ОС Windows Server, а не для того, чтобы все было предварительно установлено для вас. Он не предназначен для стороннего программного обеспечения или программного обеспечения с открытым исходным кодом.
Установка стороннего программного обеспечения и программного обеспечения с открытым исходным кодом прекрасно, даже если оно заменяет функцию, предоставляемую в ОС, например веб-сервер. Также существует множество различных способов автоматизации установки программного обеспечения в Windows, но это слишком широкая тема для этого вопроса. Если вам нужна дополнительная помощь в этой области, задайте отдельный вопрос, более конкретный.
Да, настоятельно рекомендуется запускать каждую службу как выделенную учетную запись с минимальными привилегиями. Вам может понадобиться установить вещи как пользователь-администратор, но вам никогда не нужно бегать их в качестве администратора, если программное обеспечение не написано очень плохо.
Если это сервер, предназначенный для работы в режиме «без головы», то да. Вы должны делать все возможное, чтобы все работало как собственные службы Windows. Даже программное обеспечение, которое изначально не поддерживает работу в качестве службы, можно заставить работать в качестве службы. Хотя опять же, конкретика потребует отдельного вопроса.
Самая важная «обязанность» администрирования сервера Windows - это исправление ошибок. Природа патчей безопасности в наши дни заключается в том, что к моменту выхода обновления Windows они часто используются в дикой природе. И патчи часто требуют перезагрузки. Создавайте свои службы так, чтобы они ожидали перезагрузок и могли восстанавливаться после них автоматически. Есть несколько способов сделать перезагрузку исправлений предсказуемой, чтобы вы могли заранее предупреждать пользователей о периоде обслуживания.
Некоторые хорошие практики "Не надо". Не выключайте UAC. Не выключайте брандмауэр. Не используйте свой сервер для обычного просмотра веб-страниц. Современные серверы Windows неплохо справляются с задачей обеспечения безопасности по умолчанию. Но есть много способов сделать себя менее защищенными.