Назад | Перейти на главную страницу

Удаленное администрирование Windows Server: как включить администрирование графического интерфейса пользователя с центрального сервера в Active Directory с минимальными изменениями?

Я хочу иметь возможность полностью управлять серверами в среде Active Directory с помощью графического интерфейса из центрального Windows Server.

Я обращаюсь с этим вопросом к Server Fault, потому что, похоже, существует несколько типов «удаленного управления» в Windows Server, и в различных статьях, которые я нашел, описывается его включение разными, запутанными способами.

Пример моего идеального рабочего процесса:

  1. Войдите на единственный центральный сервер с графическим интерфейсом.
  2. Перейдите во Все серверы и щелкните правой кнопкой мыши сервер, которым я хочу управлять.
  3. Нажмите «Управление компьютером» и вы сможете управлять тем, что для этого доступно, через эту MMC. например, Управление дисками, Диспетчер устройств, Планировщик задач и т. д.

Когда я исследую, как это сделать, меня смущают следующие вещи:

  1. Мне нужно включить исключения брандмауэра для удаленного управления определенными функциями. то есть для управления дисками требуется, чтобы была включена группа брандмауэра удаленного управления томами. Это отдельно от «Настроить удаленное управление», доступного в главном сервере. sconfig.cmd
  2. Я должен сделать это как на управляемом сервере, так и на сервере, выполняющем управление.
  3. Удаленное управление Windows не является универсальным средством для всех этих функций.

# 1 меня смущает, потому что sconfig.cmd в основной установке сервера, которым нужно управлять, говорится 4) Configure Remote Management Enabled. Так что, по-видимому, это уже должно быть сделано. Если он этого не делает, что он на самом деле позволяет?

# 2 меня смущает, потому что эти группы брандмауэра влияют только на входящие соединения. Почему это будет иметь отношение к управляющему серверу, я не знаю.

# 3 меня смущает, потому что кажется, что это что-то специально для управления Powershell / командной строкой и не имеет ничего общего с включением отдельных компонентов. Похоже, неправильный выбор наименования или отсутствие разъяснений. Однако я не уверен в этом.

Мой основной вопрос: как добиться желаемого с минимальными изменениями брандмауэра / настроек в Active Directory?

Я подхожу к этому с неправильной точки зрения или неправильно понимаю, как включить эти функции? Просто кажется, что это больше работы, чем нужно, и сбивает с толку, чем необходимо, учитывая, насколько широко используются эти функции.

Если я перейду к различным руководствам, которые я нашел, я, вероятно, включу / разрешу то, что не должно или не должно быть включено / разрешено.

Как добиться желаемого с минимальными изменениями брандмауэра / настроек в Active Directory?

Windows существует уже пару десятилетий. Есть много старых протоколов. Используется несколько протоколов и множество инструментов. Старые инструменты не были полностью переведены на новейшие протоколы.

К сожалению, это означает, что для разрешения управления с помощью всех различных инструментов вы собираетесь сделать множество исключений, связанных с WinRM, WMI, RPC, DCOM, SMB и так далее.

Конечно, если все ваше удаленное управление будет выполняться каким-то компьютером с привилегированным доступом, вы можете просто сделать большое исключение для этой привилегированной системы, вместо того, чтобы делать исключения для каждого протокола.

1) меня смущает, потому что захожу в sconfig.cmd при установке Core

Этот вариант в первую очередь предназначен для обеспечения работы удаленного взаимодействия ServerManager и Powershell. Это «новые / текущие» протоколы управления. Он не делает необходимых исключений для старых инструментов.

3) меня смущает, потому что кажется, что это что-то специально для управления Powershell / командной строкой и не имеет ничего общего с включением отдельных компонентов. Похоже, неправильный выбор наименования или отсутствие разъяснений

WinRM - это особая технология, которая является новой (иш) как часть среды управления Windows и Powershell. Вы можете возразить, что это двусмысленное название. Но старые методы связи с использованием RPC, DCOM и т. Д. Также имели раздражающие названия. Большинство новых функций было сосредоточено на использовании WinRM.