Задайтесь вопросом – а насколько сильно загружен ваш виртуальный сервер? Понятно, что не имеет смысла закупать ресурсы, которые вы не планируете задействовать. Избыточная частота процессора, неиспользуемый объём ОЗУ – это совсем не то, на что хочется тратить деньги. Именно поэтому ресурсы арендуемой виртуалки хочется использовать по максимуму. Ну, или почти по максимуму. Давайте посмотрим, какие есть инструменты, позволяющие оптимизировать работу сервера. Речь пойдёт о VPS, работающих на операционных системах семейства Windows Server. Многое из описанного в статье лежит практически на поверхности. Но всё же, вдруг кто-то о чём-то не знал.
Диспетчер задач
Один из способов найти источник медленной работы вашего сервера – использовать Диспетчер задач. Это – такая утилита, которая позволяет увидеть запущенные в операционной системе процессы, потребляемые ими ресурсы и многое другое. Самое главное – это то, что Диспетчер задач предоставляет администратору возможность управлять процессами и приложениями.
Чаще всего Диспетчер задач используют для завершения работы зависших приложений. Другими словами, если не получается закрыть какую-либо программу штатно, это можно сделать в Диспетчере задач.
Для его запуска существует несколько способов.
Во-первых, чтобы запустить Диспетчер задач, необходимо нажать правую кнопку мыши на Панели задач и выбрать соответствующий пункт:
Во-вторых, при работе с сервером через RDP запуск Диспетчера задач можно произвести используя комбинацию клавиш Ctrl Alt End, после чего необходимо также выбрать соответствующий пункт:
Ещё можно нажать значок поиска на Панели задач, набрать там taskmgr и система найдёт для вас то, что вы ищете:
Таким образом, запустив Диспетчер задач любым из этих способов, вы можете завершить работу любого работающего приложения. Для чего на закладке Процессы следует выбрать нужное приложение, нажать правую кнопку мыши и выбрать Снять задачу.
Здесь же можно увидеть, какова доля занимаемая каждым из приложений в использовании ресурсов процессора и физической памяти.
Во вкладке Производительность присутствует информация о занятости центрального процессора, использовании оперативной памяти и сетевого адаптера.
Внизу окна Диспетчера задач по кнопке Открыть монитор ресурсов доступна более детальная информация по использованию ресурсов сервера.
Используя данные из этих инструментов мониторинга можно определить, чем вызвана медленная работа сервера. Это может быть и стопроцентная загруженность центрального процессора, и нехватка свободной оперативной памяти, и большое количество работающих процессов и приложений, или какой-либо из процессов потребляет чрезмерное количество ресурсов, и тому подобное.
Дисковое пространство
Наличие достаточного свободного места на диске является одной из проблем поддержания производительности сервера на приемлемом уровне. Свободное дисковое пространство постепенно уменьшается на постоянной основе. Его занимают работающие процессы и приложения, создавая временные файлы и директории, файлы журналов событий и многое другое.
Оценить какой-либо том на предмет количества занятого места можно в проводнике. Нажав на строку Этот компьютер вы увидите количество свободного и занятого пространства на каждом из томов. На нашем скриншоте представлен только один раздел – Локальный диск (С:):
Увидеть объём какой-либо директории на диске можно нажав на ней правую кнопку мыши и выбрав Свойства:
Система покажет занимаемый директорией объём дискового пространства, количество файлов и папок:
Для того, чтобы оценить объём сразу нескольких (или даже всех) директорий, придётся использовать какой-либо сторонний софт, типа Folder Size.
Подобного рода программы предоставляют более полный набор данных и в более наглядном виде чем штатные средства Windows. Правда, что касается Folder Size, например, то бесплатный вариант этого софта не доступен для операционных систем семейства Windows Server.
Дополнительные рекомендации
Есть ещё некоторые правила, которые могут помочь увеличить быстродействие сервера:
- Достаточный размер должен иметь так называемый файл подкачки. Это – необходимая мера при нехватке виртуальной памяти. Увеличить размер файла подкачки можно в
Панель управления→Система→Дополнительные параметры системы→Дополнительно→Быстродействие→Параметры→Дополнительно:
- Проверьте Планировщик заданий. Если он содержит большое количество задач, это может влиять на работу виртуального сервера. Посмотрите, может быть имеет смысл отключить какие-то из них.
- Существует рекомендация отключить все уведомления на рабочем столе. Их работа может потреблять значительный объём системных ресурсов.
- При помощи GPO проверьте параметры перенаправления для клиентских устройств:
Win R→gpedit.msc→Конфигурация компьютера→Административные шаблоны→Компоненты Windows→Службы удаленных рабочих столов→Узел сеансов удаленных рабочих столов→Перенаправление устройств и ресурсов. Чем больше вы используете перенаправленных устройств, тем больше они поглощают пропускную способность сети. Перенаправление звука, например, создает устойчивый сетевой трафик. Отключите те компоненты, без которых вы сможете обойтись.
Вместо заключения
Если всё же завершение работы лишнего софта и размножившихся процессов, освобождение места на диске и другие меры по выведению виртуального сервера из ступора не возымели действия, было бы логично проверить соответствие конфигурации вашего VPS рекомендуемым требованиям программного обеспечения, которое вы используете. Убедитесь, что количество ядер вашей виртуалки, как и частота процессора и объём оперативной памяти достаточны для корректной работы развёрнутого софта. Может быть имеет смысл расширить конфигурационные характеристики сервера, чтобы комфортно использовать необходимое ПО? Возможность изменить конфигурацию виртуалки доступна в вашем личном кабинете.
И ещё. Если ничего не помогает, попробуйте следующее. Закажите переустановку чистой операционной системы, и после того, как сервер будет готов, пробуйте устанавливать программы по одной, тестируя каждую из них на предмет повышения задействованности серверных ресурсов. Таким образом, вы сможете понять, какое из используемых вами приложений чрезмерно нагружает сервер. И, может быть, следует искать решение в самом программном обеспечении.
Обновлено 2023 января: перестаньте получать сообщения об ошибках и замедлите работу вашей системы с помощью нашего инструмента оптимизации. Получить сейчас в эту ссылку
- Скачайте и установите инструмент для ремонта здесь.
- Пусть он просканирует ваш компьютер.
- Затем инструмент почини свой компьютер.
Microsoft выпустила Руководство по настройке производительности Windows Server 2016, Это всеобъемлющее руководство содержит набор технических статей, в которых содержатся рекомендации для ИТ-специалистов, отвечающих за развертывание, эксплуатацию и разработку Windows Server 2016 для наиболее популярных серверных рабочих нагрузок.
Руководство по настройке производительности Windows Server — это важная документация, созданная Microsoft для обеспечения полевых инженеров (PFE, CSS и др.) Канонической информацией, необходимой для настройки и оптимизации операционной системы.
Обновление за январь 2023 года:
Теперь вы можете предотвратить проблемы с ПК с помощью этого инструмента, например, защитить вас от потери файлов и вредоносных программ. Кроме того, это отличный способ оптимизировать ваш компьютер для достижения максимальной производительности. Программа с легкостью исправляет типичные ошибки, которые могут возникнуть в системах Windows — нет необходимости часами искать и устранять неполадки, если у вас под рукой есть идеальное решение:
- Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
- Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
- Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.
Важно, чтобы изменения настройки производились в зависимости от оборудования сервера, бюджета производительности, нагрузки и требований к производительности. В руководстве объясняется каждая среда и ее потенциальное влияние, чтобы помочь инженерам принимать обоснованные решения о ее значимости для системы, рабочей нагрузке, производительности и потреблении энергии.
Microsoft определила производительность Windows Server 2016 и советы по настройке для трех различных категорий настроек:
- Серверное оборудование и улучшение производительности
- Роль сервера
- Настройка подсистемы сервера
Понять важность учета этих советов
- Настройка оборудования сервера
Выбор правильного оборудования необходим для достижения ваших ожидаемых показателей производительности и производительности. Аппаратные блокировки часто ограничивают эффективность оптимизации программного обеспечения. Этот раздел содержит советы по аппаратному обеспечению, чтобы обеспечить хорошую основу для роли, которую будет играть сервер.
-
-
- Вопросы производительности оборудования — процессор, кэш, память, периферийная шина, жесткий диск, сеть и адаптеры памяти — все они играют важную роль в производительности вашего сервера. Поэтому важно учитывать все рекомендации по устранению узких мест в производительности, которые могут повлиять на производительность сервера.
- Вопросы производительности оборудования — Очень важно признать растущее значение энергоэффективности на предприятиях и в центрах обработки данных. Чтобы достичь правильного баланса между высокой производительностью и низким энергопотреблением, необходимо тщательно выбирать компоненты сервера. Microsoft перечисляет политики для характеристик и возможностей аппаратных компонентов сервера.
- Согласование роли сервера
-
Руководство очень полезно для таких ролей, как —
-
-
-
- Active Directory
- Серверы Hyper-V
- Файловые серверы
- Серверы удаленных рабочих столов
- Веб-серверы
- Контейнер Windows Server
- Подстройка серверной системы
- Управление кешем и памятью — исправлены проблемы с управлением кешем и памятью, а также подтверждены улучшения диспетчера кеша и памяти в Windows Server 2016.
- Программно определяемая сеть — сочетание сетевого контроллера, узлов Hyper-V, шлюзов программной балансировки нагрузки и шлюзов HNV создает программно определяемую сеть (SDN) в Windows Server 2016.
- Прямое хранилище — оптимизируйте пространство для хранения для максимальной производительности.
-
-
Для получения полной документации по Руководству по настройке производительности для Windows Server 2016 см. docs.microsoft.com, PDF-версию для автономного использования можно скачать здесь.
Вы также можете взглянуть на эти бесплатные электронные книги, технические документы, PDF, документы, документы, ресурсы Windows Server 2016. Вы также можете загрузить окончательное руководство по Windows Server 2016.
Совет экспертов: Этот инструмент восстановления сканирует репозитории и заменяет поврежденные или отсутствующие файлы, если ни один из этих методов не сработал. Это хорошо работает в большинстве случаев, когда проблема связана с повреждением системы. Этот инструмент также оптимизирует вашу систему, чтобы максимизировать производительность. Его можно скачать по Щелчок Здесь
Связанные видео
Сообщение Просмотров: 153
Обновлено 01.11.2014
1. Оптимизация служб.
Для web-сервера не требуются и могут быть отключены следующие службы:
Alerter
ClipBook
Computer Browser
DHCP Client
DHCP Server
Fax Service
File Replication
Infrared Monitor
Internet Connection Sharing
Messenger
NetMeeting Remote Desktop Sharing
Network DDE
Network DDE DSDM
Print Spooler
TCP/IP NetBIOS Helper Service
Telephony
Telnet
Uninterruptible Power Supply
2. Оптимизация дисковой подсистемы.
Устанавливаем статичный размер файла подкачки, по возможности выносим его за пределы системного раздела, а лучше на отдельный физический диск. Также выключаем индексирование и теневое копирование (бэкапы делаем другими средствами).
3. Оптимизация сети.
Перво-наперво отключаем поддержку всего, кроме TCP/IP, на сетевом интерфейсе(ах) сервера. После этого отключаем поддержку LMHOSTS Lookup и NetBIOS over TCP/IP.
Как оптимизировать web-сервер на базе Windows Server 2008r2-2012R2
Все. 2 потраченные минуты приводят к тому, что в чистом виде система потребляет порядка 300 Мбайт памяти при 0% загрузке процессора. Это при включенном мощном антивирусе (Symantec Endpoint Protection). Для пущей оптимизации можно также подкрутить реестр, разрегистрировать ненужные dll, удалить лишние компоненты системы, включить HTTP Keep-Alives и сделать еще кучу полезных вещей, доведя систему до состояния резвой анорексички.
Ноя 1, 2014 18:27
Эта статья актуальна для Windows Server 2019 в качестве сервера и Windows 10 в качестве клиента RDP. В статье мы рассмотрим шаги, которые следует предпринять для достижения максимальной производительности терминальных сессий RDP в Windows Server.
1. Коротко об основном
В Windows 10 вместе с стандартным клиентом удаленного стола (MSTSC), появился новый клиент для осуществления удаленных подключений Remote Desktop (MSRDC) client, проинсталлировать который можно из магазина Microsoft Windows 10.
Отметим, что изначально MSRDC поддерживал удаленные подключения с Windows Virtual Desktop (VDI). На данный момент существуют клиенты для Windows Desktop, Android, iOS, macOS.
Можно сравнить два типа клиентов для удаленных подключений – MSTSC и MSRDC.
Тестирование проводилось на виртуальных машинах с Windows Server 2019 и Windows 10.
В качестве теста копировался файл с клиента на сервер. По итогу тестирования имеем такие результаты – копирование с помощью MSTSC:
Для сравнения – скриншоты процесса копирования файла с помощью MSRDC:
Как видим, файл копируется быстрее с помощью mstsc, но при этом mstsc создает значительно более высокую нагрузку на сеть и ЦП, занимая практически все доступные ресурсы. При этом использование нового клиента MSRDC выглядит более предпочтительным, т.к. при большом количестве одновременных подключений будет создавать более пологий график нагрузки на системные ресурсы, чем MSTSC.
С другой стороны, хочется отметить «сырость» нового клиента для удаленных подключений. К примеру, копирование файлов с сервера на клиент попросту не работает. При этом оба клиента используют протокол TCP для подключения к серверу.
2. Сжатие передачи данных при подключении к серверу
Для клиентов RDP можно настроить сжатие передачи данных при подключении к серверу.
Для этого на сервере необходимо открыть объект локально групповой политики и изменить значение:
Конфигурация компьютера → Административные шаблоны → компоненты Windows→ Службы удаленных рабочих столов → Удаленный рабочий стол узле сеансов → Среда удаленного сеанса → Настроить сжатие для данных RemoteFX.
Есть возможность оптимизировать работу сервера за счет оптимизацию работы памяти, пропускной способности сети, баланс памяти и пропускной способности сети, либо отключить механизм сжатия.
Для эксперимента попробуем оптимизировать работу за счет оптимизации работы пропускной способности сети.
Меняем параметр и перезагружаем сервер:
Смотрим, что получилось для MSTSC:
Как видим – ничего не поменялось. Это потому, что данный механизм будет заметен только на большом количестве подключений. Тогда-то мы и увидим уменьшение потребления пропускной способности сети.
3. Отключение перенаправленных устройств
Настройка с помощью GPO находится в:
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Удаленный узел сеансов рабочего стола → Перенаправление устройств и ресурсов.
Здесь можно включить или отключить параметры перенаправления для клиентских устройств. В том числе – видеозахват, воспроизведение и запись звука, буфер обмена, перенаправление com портов, перенаправление LPT-портов, локальных дисков, самонастраивающихся устройств, устройств чтения смарт карт и перенаправления часового пояса.
Чем больше перенаправленных устройств используется, тем больше пропускной способности сети сервера они поглощают.
Перенаправленные принтеры и устройства Plug & Play потребляют ресурсы процессора также при входе в сеанс RDP.
Перенаправление звука создает устойчивый сетевой трафик. Приложения, использующие перенаправление звука, могут потреблять значительные ресурсы процессора.
4. Параметры интерфейса клиента
- Отключить фоновый рисунок, это значительно снизит потребление пропускной способности сети.
- Кеш точечных рисунков необходимо всегда включать, т.к. в этом случае создается клиентский кэш растровых изображений, отображаемых в сеансе, что значительно снижает использование пропускной способности.
- Имеет смысл выключать отображение содержимого окон при перетаскивании, т.к. это снижает нагрузку на сеть за счет отображения только рамки окна вместо всего содержимого.
- Точно так же стоит отключать анимацию меню и окон, поскольку она увеличивает нагрузку на сетевую подсистему
- ClearType нужно включать для систем более ранних, чем Windows 7 и Windows 2008 R2
- Стили оформления – параметр, актуальный для систем Windows 7 и более ранних. Если параметр отключен, пропускная способность снижается за счет упрощения чертежей, использующих классическую тему.
- Серьезно влияет на загрузку ЦП и пропускной способности сети и разрешение экрана, с которым клиент подключается к серверу.
- Корпорация Microsoft рекомендует оставлять параметры подключения клиента в автоматическом режиме, но есть смысл попробовать выставить параметры вручную.
Например, если вы выставите на клиенте настройку «Подключаться со скоростью модем 56 Кбит/с – это отключит множество визуальных эффектов и значительно ускорит работу сервера в контексте подключения большого числа клиентов RDP.
5. Параметры конфигурации сервера RDP
- Файл подкачки на сервере должен иметь достаточный размер. При нехватке виртуальной памяти в работе сервера могут возникать сбои.
- Антивирус может значительно замедлить работу системы. Особенно серьёзно он может влиять на загрузку ЦП. Есть рекомендация исключать папки с временными файлами, особенно те, которые создаются системой.
- Планировщик заданий может содержать большое количество заданий, ненужных на сервере RDS. Их есть смысл отключать.
- На сервере RDS рекомендуется отключать все уведомления рабочего стола, поскольку они могут потреблять значительное количество системных ресурсов.
Также читайте
Previous
Next
Microsoft выпустила Руководство по настройке производительности Windows Server 2016 . Это исчерпывающее руководство, в котором собраны технические статьи с указаниями для ИТ-специалистов, отвечающих за развертывание, эксплуатацию и настройку Windows Server 2016 для наиболее распространенных серверных рабочих нагрузок.
Руководство по настройке производительности Windows Server – это критически важный документ, созданный Microsoft для обеспечения того, чтобы инженеры в данной области (PFE, CSS и другие) располагали канонической информацией, необходимой для настройки и оптимизации ОС.
Советы по настройке производительности Windows Server 2016
Важно, чтобы изменения в настройке были сделаны с учетом аппаратного обеспечения, бюджетов энергопотребления, рабочей нагрузки и целей производительности сервера. Руководство объясняет каждый параметр и его потенциальное влияние, чтобы помочь инженерам принять обоснованное решение относительно его соответствия системе, рабочей нагрузке, производительности и целям использования энергии.
Microsoft определила советы по производительности и настройке Windows Server 2016 для трех различных категорий настройки:
- Серверное оборудование и настройка мощности
- Роль сервера
- Настройка подсистемы сервера
Давайте поймем важность рассмотрения этих советов
- Настройка аппаратного обеспечения сервера
Выбор правильного оборудования необходим для достижения ваших ожидаемых показателей производительности и мощности. Аппаратные блокировки часто ограничивают эффективность настройки программного обеспечения. В этом разделе приведены советы по аппаратному обеспечению, чтобы обеспечить хорошую основу для роли, которую будет играть сервер.
- Вопросы производительности оборудования . Процессор, кэш, память, периферийная шина, диск, сеть и адаптер хранения – все это играет важную роль в производительности вашего сервера. Поэтому важно учитывать все рекомендации по устранению узких мест в производительности, которые могут помешать работе сервера.
- Вопросы энергопотребления оборудования . Очень важно определить возрастающее значение энергоэффективности в средах предприятий и центров обработки данных. Для достижения правильного баланса между высокой производительностью и низким энергопотреблением необходимо тщательно выбирать компоненты сервера. Microsoft перечисляет рекомендации по характеристикам электропитания и возможностям компонентов серверного оборудования.
- Настройка ролей сервера
Руководство очень полезно для тех, кто использует такие роли, как –
- Active Directory
- Серверы Hyper-V
- Файловые серверы
- Серверы удаленного рабочего стола
- Веб-серверы
- Контейнеры Windows Server
- Настройка подсистемы сервера
- Управление кешем и памятью. Устранение неполадок, связанных с производительностью кеша и диспетчера памяти, и проверка улучшений диспетчера кеша и памяти в Windows Server 2016.
- Программно-определяемая сеть. Сочетание сетевого контроллера, хостов Hyper-V, программных шлюзов и шлюзов HNV обеспечивает программно-определяемую сеть (SDN) в Windows Server 2016. Для точной настройки каждого из этих компонентов доступны рекомендации.
- Storage Spaces Direct – Tweak Storage Spaces для получения максимальной производительности.
С полной документацией по рекомендациям по настройке производительности для Windows Server 2016 можно ознакомиться по адресу docs.microsoft.com . Для автономного использования PDF-версия той же версии доступна для скачивания здесь .
Возможно, вы также захотите взглянуть на эти бесплатные электронную книгу Windows Server 2016, Технический документ, PDF, Документы, Ресурсы. Вы можете также загрузить окончательное руководство по Windows Server 2016.
Серверное администрирование
Рекомендация: подборка платных и бесплатных курсов Smm — https://katalog-kursov.ru/
Предисловие
В первой части мы успешно развернули роль «терминальный сервер Windows» и приступили к его конфигурированию. Разобрались в методах организации хранения данных пользователей и определились что из этого мы будем использовать. Давайте приступим к настройке.
Конфигурирование хранения персональных данных пользователей
Для активации дисков профилей пользователя необходимо перейти в Службы удаленных рабочих столов > в разделе Свойства открываем меню Задачи > изменить свойства > Диски профилей пользователя
Ставим флаг напротив «Включить диски профилей пользователей».
Указываем путь до каталога на файловом сервере, где будут храниться VXDX диски профилей, и указываем размер 1 гб (Больше места нам не нужно, так как в диске будет храниться совсем мало данных но и меньше 1 гб сделать нельзя) и нажимаем применить
В результате в указанном каталоге будет создан базовый диск на основе которого будут создаваться диски профилей
Устраняем проблему с хромом
При использовании дисков профилей в Google Chrome возникает ошибка Error COULD NOT GET TEMP DIRECTORY, это связанно с тем что хром не может получить доступ к общей папке TEMP, потому переместим ее в другое место и дадим на нее права
Вам нужно настроить объект групповой политики, который выполняет две функции:
Для каждого пользователя, который входит в систему, создает личную папку в папке C: TEMP Изменить переменные среды TEMP и TMP Есть две настройки, которые можно применить на уровне пользователя.
1 — Создание личной папки в папке TEMP:
2 — Модификация переменных окружения:
Далее нам необходимо настроить миграцию профилей
Открываем «Управление групповой политикой «
Создаем объект Групповой политики и связываем его с Подразделением в котором расположены пользователи терминального сервера
Далее переходим Конфигурация пользователя > политики > Конфигурация Windows > Перенаправление папки
По каждому из представленных каталогов ПКМ > Свойства
В окне выбираем пункты
-
Перенаправлять папки для всех пользователей в одно расположение.
-
Создать папку для каждого пользователя на корневом пути
-
Указываем корневой путь (!Важно: данный путь должен быть доступен пользователям на запись)
На вкладке параметры снимаем все галочки и выбираем «После удаления политики оставить папку в новом расположении»
В результате данной настройки в указанном корневом пути будут создаваться каталоги с правами для своего владельца на изменение а для других с запретом чтения
Настройка политики ограниченного использования программ
Одним из важнейших аспектов настройки сервера является его безопасность . Потому нам необходимо ограничить список функций и программ которые имеет право использовать пользователь на сервере.
Спрячем логические диски от пользователей
Конфигурация пользователя > политики > Административные шаблоны > Компоненты windows > Проводник > выбираем политику Скрыть выбранные диски из окна мой компьютер > ставим включено и выбираем Ограничить доступ ко всем дискам
Убираем все лишнее с рабочих столов пользователей
Для этого создадим следующие групповые политики
-
Ограничение функционала проводника
-
Очищаем меню пуск
Ограничение функционала проводника
Идем Конфигурация пользователя > Политики > Административные шаблоны > Компоненты Windows > Проводник и включаем следующие политики
-
Запрашивать подтверждение при удалении файлов
-
Отключить возможности библиотеки Windows, использующие данные индексированных файлов
-
Запретить изменение видеоэффектов для меню
-
Скрыть значок «Вся сеть» в папке «Сеть»
-
Удалить меню «Файл» из проводника Удалить вкладку «Оборудование»
-
Скрыть команду «Управление» из контекстного меню проводника
-
Удалить «Общие документы» из окна «Мой компьютер»
-
Удалить команды «Подключить сетевой диск» и «Отключить сетевой диск»
-
Удалить ссылку «Повторить поиск» при поиске в Интернете
-
Удалить вкладку «Безопасность» Удалить кнопку «Поиск» из проводника
Набор правил Определяется в зависимости от ваших потребностей. Данные правила выбраны как хорошо зарекомендовавшие себя для нагруженного терминального сервера
Очищаем меню пуск
Идем Конфигурация пользователя > Политики > Административные шаблоны > Меню «Пуск» и панель задач
В данном разделе, все зависит от ваших потребностей. как показывает практика рядовой пользователь меню пуск особо не пользуется, так что зачем ему оставлять лишние кнопки, посему можно запретить все.
Запрет запуска программ
Для решения данной задачи есть 2 способа
1-й способ
При помощи политики «Выполнять только указанные приложения Windows» Указать список всех exe приложений которые будут доступны»
Данный метод проще в настройке, и однозначно блокирует все приложения кроме указанных (те что относятся к windows тоже)
У данного метода есть несколько недостатков
-
сложность администрирования, так как не всегда удается указать все необходимые EXE для корректной работы приложения (например с CryptoPro, или публикациями приложений и т.д)
-
назовем их «Энтузиасты » , которые пытаются запускать приложения переименовав их исполнительный файл в один из разрешенных
-
Проблема с обновлением приложений (Зачем же разработчикам ПО оставлять старые названия своих exe, и правда Зачем? )
-
Отсутствие какого либо журнала заблокированных политикой приложений
Настраивается следующим образом
Создаем объект Групповой политики и связываем его с Подразделением в котором расположены пользователи терминального сервера
Идем Конфигурация пользователя > Административные шаблоны > Система > Находим политику «Выполнять только указанные приложения Windows»
Включаем политику > Нажимаем кнопку «Показать» > В таблицу вносим разрешенное приложение. Крайне рекомендую для каждого приложения делать отдельную политику, для облегчения администрирования.
Далее нам Желательно на рабочем столе разместить ярлыки запуска приложения
Идем Конфигурация пользователя > Настройка > Конфигурация Windows > Ярлыки > Создать > Ярлык
После чего задаем параметры. !ВАЖНО на вкладке «Общие параметры поставить «Выполнять в контексте….»
Ура политика создана
Так как не всем пользователям нужны одни и те-же программы и права, то нацеливаем политику на группу безопасности В фильтрах безопасности удаляем группу «Прошедшие проверку» а на ее место добавляем группу в которую включены все пользователи данного приложения»
после чего ВАЖНО не забыть на вкладке Делегирование добавить группе «Прошедшие проверку» право на чтение политики (Иначе работать не будет)
2-й способ
Используем функцию AppLocker
Важно применять эту политику на подразделение где лежит ваш терминальный сервер. это позволит вам более оперативно редактировать список разрешенных приложений, так же когда она настроена работать под пользователем возникают непонятные баги. в данный момент я полностью перешел на использование данного метода для большинства внедрений
Создаем Групповую политику и связываем ее с подразделением, где лежит ваш терминальный сервер
идем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики управления приложениями >applocker > Исполняемые правила > Создать правила по умолчанию
после чего идем Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политики управления приложениями >applocker и тыкаем «Настроить применение правил»
в свойствах ставим настроено и выбираем только аудит для правил исполняемых файлов
в результате при заходе пользователя и попытке запуска программ в журнале просмотра событий на терминальном сервере расположенном
Журналы приложений и служб > Microsoft > Windows > AppLocker > EXE и DLL будут появляется события содержащие сведения о запускаемых приложениях, которые мы будем использовать для дальнейшей настройки политики
Вернемся в исполняемые правила и создадим правило на основе отчета журнала событий
ПКМ > Новое правило
выберем действие Разрешить, и в данном случае мы хотим чтобы под всеми пользователями данное приложение могло быть запущенно, но так же мы можем создать в домене группу безопасности в которую включим пользователей для которых данное правило будет применяться, тогда на этом шаге следует ее указать
Выберем условие Путь
Скопируем путь из отчета о событии
в исключения мы добавлять ничего не будем так что далее > Создать
Шаги следует повторить для каждого события из журнала, отсеивая те которые мы хотим запретить
После чего в свойствах applocker следует переключить «Только аудит» на «Принудительное применение правил»
В результате данных действий мы имеем эффективное хранение данных пользователей, и первично настроенную безопасность терминального сервера
И вновь у меня закончились буквы) продолжим в следующей части, рассмотрим настройку 1с , разграничения доступа к базам, поднимем производительность 1с на терминальном сервере фактически в двое, в обще продолжим в следующей части