Инфраструктура одноранговых подключений windows pnrp исходящий

Обновлено: 07.07.2024

Глава 5. Стандартные службы Windows Vista. Работа в сети - 5
Дата: 26 апреля 2009, воскресенье

У вас тоже есть сайт? Мы можем поговорить о сотрудничестве между нашими сайтами. Давайте вместе подумаем, как сделать наши сайты лучше. Предлагайте свои варианты сотрудничества. А может вы программист и хотите написать программу? Какую-нибудь программу, для которой очень подошла бы одна из наших баз данных? Пишите о своих предложениях и сути программы, которую вы хотите создать.

Также мы готовы рассмотреть другие варианты сотрудничества:

В общем, пишите нам: onestyle [СОБАЧКА] list [ТОЧКА] ru

Протокол PNRP

Тип запуска: вручную. Учетная запись: локальная служба. Дополнительные привилегии: SECHANGENOTIFYPRIVILEGE, SECREATEGLOBALPRIVILEGE, SEIMPERSONATEPRIVILEGE. Файлы службы: p2psvc.dll. Исполняемый файл: svchost.exe -k LocalServiceNetworkRestricted. Подраздел реестра: PNRPsvc. Службы, необходимые для работы данной: ДИСПЕТЧЕР УДОСТОВЕРЕНИЯ СЕТЕВЫХ УЧАСТНИКОВ (p2pimsvc).

Поддерживает механизм бессерверного однорангового разрешения имен через Интернет, без работы которого некоторые приложения, работающие с одноранговыми сетями (например, Windows Messenger), работать не будут.

Настройки групповой политики

Операционная система Windows Vista содержит ряд настроек групповой политики, при помощи которых можно изменить параметры работы в одноранговых сетях. Все они находятся в разделе КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/СЕТЬ/СЛУЖБЫ ОДНОРАНГОВЫХ СЕТЕЙ MICROSOFT, и подразделах, вложенных в него.

Данные политики изменяют значения параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Peernet.

  • IgnoreDomainPasswordPolicyForNewGroups. Если значение данного параметра равно 1, тогда при создании одноранговой группы и указании пароля, указанный пароль не будет проверяться согласно требованиям надежности, определенным операционной системой локального компьютера (то есть, можно будет указывать любой пароль).
  • Disabled. Если значение данного параметра равно 1, тогда службы одноранговой сети, реализованные в операционной системе Windows, будут запрещены.
  • Также вы можете воспользоваться параметрами REG_DWORD типа DisableMulticastBootstrap и строкового типа SeedServer, чтобы отключить возможность использования протокола PNRP для поиска компьютеров в сети и оповещения, а также для задания сервера инициализации. Эти параметры, в зависимости от области действия, могут находиться в одном из следующих подразделов ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Peernet\Pnrp: IPv6-Global (настройки для глобального облака), IPv6-LinkLocal (настройки для локального облака связи) и IPv6-SiteLocal (настройки для локального облака узла).

Параметры настройки службы

Параметры настройки протоколов PNRP, обслуживаемых данной службой, содержатся в подразделах ветви реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\PeerNet\PNRP\IPV6-LinkLocal. Например, ниже перечислены самые интересные параметры.

  • Disabled. Данный параметр REG_DWORD типа позволяет отключить сетевое подключение.
  • SeedServer. Данный параметр строкового типа содержит в себе список начальных серверов, перечисленных через запятую.
  • DisableMulticastPublish. Данный параметр REG_DWORD типа позволяет отключить использование широковещательных пакетов при публикации.
  • DisableMulticastSearch. Данный параметр REG_DWORD типа позволяет отключить использование широковещательных пакетов при поиске.
  • NumPeersToFlood. Данный параметр REG_DWORD типа позволяет указать количество одноранговых соединений, превышение которого будет считаться флудом (переполнением).
  • PeriodBetweenMaintenanceInSecond. Данный параметр REG_DWORD типа позволяет указать интервал (в секундах) между сохранением.
  • MaxStartupTimeInMillisecond. Данный параметр REG_DWORD типа позволяет указать максимальное время загрузки в миллисекундах.
  • MaxDelayForCPAAuthorizationInSecond. Данный параметр REG_DWORD типа позволяет указать максимальную задержу (в секундах) авторизации CPA.
  • MinCPALigeTime. Данный параметр REG_DWORD типа позволяет указать минимальное время жизни CPA.

Также параметры работы данной службы можно найти в ветви реестра HKLM\System\CurrentControlSet\Services\PNRPsvc\parameters. Например, в данной ветви реестра может содержаться параметр строкового типа SeedServer, содержащий в себе список начальных серверов для работы службы, перечисленных через запятую.

Группировка сетевых участников

Управляет групповыми службами одноранговой сети.

Диспетчер удостоверения сетевых участников

Управляет службой идентификации одноранговых сетей.

Служба публикации имен компьютеров PNRP

Эта служба публикует имена компьютеров, использующих протокол PNRP.

Quality Windows Audio Video Experience Service

Представляет собой новую сетевую платформу qWave, предназначенную для просмотра аудио и видео в домашней сети. В частности, с помощью данной платформы можно назначать приоритет для сетевого мультимедийного трафика.

Сведения об отладке данной службы заносятся в журнал, расположенный в разделе Журналы приложений и служб/Microsoft/Windows/QoS-qWAVE.

Диспетчер автоматических подключений удаленного доступа

Создает сетевое соединение с удаленной сетью всякий раз, когда программа ссылается на удаленное DNS или NetBIOS имя, или на IP-адрес удаленного компьютера.

Диспетчер подключений удаленного доступа

Данная служба управляет подключениями удаленного доступа (при помощи модема) и созданием VPN.

Операционная система Windows Vista позволяет просматривать сведения о работе данной службы при помощи счетчиков производительности объектов RAS Total и RAS Port. Данные объекты поддерживают одни и те же счетчики, только первый объект содержит общие сведения о работе службы, а второй объект — сведения отдельно для каждого порта. Например, с помощью счетчиков данного объекта можно узнать следующие сведения о работе службы.

Сведения о возникших при передаче данных ошибках четности (счетчик CRC Errors), выравнивания (счетчик Alignment Errors), переполнения порта (счетчик Serial Overrun Errors), истечения таймаута ожидания данных (счетчик Timeout Errors), переполнения буфера (счетчик Buffer Overrun Errors), общем количество ошибок (Total Errors). Также можно воспользоваться счетчиком Total Errors/Sec, чтобы просмотреть сведения о количестве возникших за последнюю секунду ошибок.

Сведения о байтах и кадрах, переданных или полученных либо во время работы данной службы (соответственно, счетчики Bytes Transmitted, Frames Transmitted, Bytes Received, Frames Received), либо за последнюю секунду (соответственно, счетчики Bytes Transmitted/Sec, Frames Transmitted/Sec, Bytes Received/Sec, Frames Received/Sec). Также можно просмотреть сведения о проценте полученных или переданных сжатых данных (счетчики Percent Compression Out и Percent Compression In).

Сведения об общем количестве соединений, обработанных службой (счетчик Total Connections).

Удаленный вызов процедур (RPC)

Представляет собой менеджер контроля обслуживания COM. Если эта служба будет остановлена, тогда программы, использующие COM или RPC, будут работать некорректно.

Сведения об отладке данной службы заносятся в журналы, расположенные в разделах Журналы приложений и служб/Microsoft/Windows/RPC и Журналы приложений и служб/Microsoft/Windows/Rpcss-EndpointMapper.

Локатор удаленного вызова процедур (RPC)

Управляет базой данных службы имен RPC.

Удаленный реестр

Предоставляет доступ к реестру данного компьютера удаленным пользователям и программам. После отключения данной службы сетевой доступ к реестру компьютера будет невозможен. Поэтому отключение данной службы не только повышает производительность компьютера, но и существенно повышает безопасность вашего компьютера.

Маршрутизация и удаленный доступ

Позволяет использовать ваш компьютер в качестве программного маршрутизатора между двумя сетями, к которым он подключен. Также данная служба используется при удаленном доступе к компьютеру с помощью модема.

Протокол Peer Name Resolution Protocol (PNRP)

Его можно применять для публикации и преобразования адресов равноправных участников сети.

Сервер People Near Me

Его можно применять для обнаружения локальных равноправных участников (и который в настоящее время доступен только в Windows Vista и Windows 7).

Протокол PNRP

Естественно, для реализации приложения P2P можно использовать любой имеющийся в распоряжении протокол, но при работе в среде Microsoft Windows имеет смысл хотя бы рассмотреть вариант применения протокола PNRP. К настоящему времени успело выйти две версии этого протокола. Первая версия предлагалась в составе Windows XP SP2, Windows XP Professional x64 Edition и Windows XP SP1 с пакетом Advanced Networking Pack for Windows XP. Вторая версия была выпущена вместе Windows Vista и сделана доступной для пользователей Windows XP SP2 в виде отдельного загружаемого компонента.

Первая и вторая версии PNRP не совместимы между собой, и потому здесь рассматривается только вторая версия.

Сам по себе протокол PNRP не предоставляет всего, что необходимо для создания приложения P2P. Скорее, он является лишь одной из основополагающих технологий, которые применяются для преобразования адресов равноправных участников сети P2P.

Протокол PNRP позволяет клиенту регистрировать конечную точку (называемую именем равноправного участника(peer name)), которая автоматически распространяется между остальными равноправными участниками в группе (облаке). Это имя инкапсулируется в идентификатор PNRP (PNRP ID). Любой равноправный участник, который обнаруживает идентификатор PNRP, может использовать PNRP для его преобразования в имя самого равноправного участника и затем начинать взаимодействовать с соответствующим клиентом напрямую.

Например, можно определить имя равноправного участника, представляющее конечную точку службы WCF, и воспользоваться PNRP для его регистрации в группе (облаке) в виде идентификатора PNRP ID. Равноправный участник, выполняющий подходящее клиентское приложение, которое применяет механизм обнаружения, способный распознавать имена равноправных участников для предоставляемой службы, тогда сможет обнаружить этот идентификатор PNRP ID. После обнаружения участник с помощью протокола PNRP установит местонахождение конечной точки службы WCF и начнет пользоваться этой службой.

Важным моментом является то, что PNRP не делает никаких предположений относительно того, что на самом деле скрывается за именем равноправного участника. Право решать, как использовать это имя после обнаружения оставляется за самими равноправными участниками.

Информация, которую равноправный участник получает от PNRP при преобразовании идентификатора PNRP, включает в себя адрес IPv6, а также обычно и адрес IPv4 участника, который опубликовал этот идентификатор, вместе с номером порта и, необязательно, небольшим количеством дополнительных данных. Если равноправный участник не знает, что означает имя другого равноправного участника, он вряд ли сможет сделать с этой информацией что-нибудь полезное.

Идентификаторы PNRP

Идентификаторы PNRP ID являются 256-битными значениями. Младшие 128 бит используются для обозначения уникальным образом индивидуального равноправного участника сети, а старшие 128 бит — для представления его имени. Старшие 128 бит представляют собой хеш-комбинацию, состоящую из хешированного значения открытого ключа, которое получается от осуществляющего публикацию равноправного участника, и строки длиной до 149 символов, которая представляет имя этого участника.

Хешированный открытый ключ (называемый авторитетным источником (authority)) в сочетании с этой строкой (называемой классификатором (classifier)) называются идентификатором P2P. Вместо хешированного открытого ключа также может использоваться значение 0, в случае чего имя равноправного участника считается незащищенным (если применяется открытый ключ, то имя считается защищенным).

На рисунке ниже схематично показана структура идентификатора PNRP:

Структура идентификатора PNRP

Служба PNRP на стороне равноправного участника отвечает за поддержание списка идентификаторов PNRP, как тех, которые публикует сама, так и тех, которые она получает в виде кэшированного списка от экземпляров служб PNRP, находящихся в других местах облака. Когда равноправный участник пытается преобразовать идентификатор PNRP, служба PNRP либо использует кэшированную копию конечной точки для выяснения адреса того равноправного узла, который опубликовал данный идентификатор PNRP, либо спрашивает его соседей, не могут ли они сделать это.

В конечном итоге с узлом, опубликовавшим идентификатор PNRP, устанавливается соединение, и служба PNRP получает возможность преобразовать его.

Обратите внимание, что все это не требует участия администратора. Все, что понадобится сделать — позаботиться о том, чтобы равноправные участники знали, что следует делать с именами после их преобразования с помощью своей локальной службы PNRP.

Равноправные участники сети могут применять PNRP для нахождения идентификаторов PNRP, совпадающих с определенным идентификатором P2P. Эту возможность можно использовать для реализации простейшего механизма, позволяющего обнаруживать незащищенные имена равноправных участников. Дело в том, что в случае отображения несколькими равноправными участниками незащищенного имени с одинаковым классификатором, их идентификатор P2P ID будет совпадать.

Конечно, из-за того, что любой равноправный участник может использовать незащищенное имя, нет никакой гарантии, что конечная точка, с которой будет устанавливаться соединение, будет именно той, которая ожидается, поэтому такое решение подходит лишь для реализации механизма обнаружения по локальной сети.

Облака PNRP

Выше было рассказано, как PNRP осуществляет регистрацию и преобразование имен равноправных участников в облаке (группе). Облако (или группа) поддерживается seed-сервером, которым может быть любой сервер с запущенной службой PNRP, которая поддерживает запись хотя бы об одном равноправном участнике. Для службы PNRP доступны облака двух типов:

Облака локальных соединений (Link local)

В такие облака входят компьютеры с подключением к локальной сети. Каждый ПК может подключаться к более чем одному облаку такого типа при условии наличия у него нескольких сетевых адаптеров.

Глобальные облака (Global)

В такие облака по умолчанию входят компьютеры с подключением к Интернету, хотя также можно определять приватное глобальное облако. Разница состоит в том, что для глобального облака с подключением к Интернету Microsoft поддерживает seed-сервер, а для определяемого самостоятельно приватного глобального облака должен использоваться собственный seed-сервер. В последнем случае необходимо позаботиться о том, чтобы все равноправные участники могли подключаться к нему, настроив соответствующим образом параметры политики.

В прошлых выпусках PNRP существовали облака еще и третьего типа, которые назывались облаками локальных сайтов (Site local). Они больше уже не применяются и потому не рассматриваются.

Для выяснения, в какие облака входит данный компьютер, служит следующая команда:

Ниже показано, как обычно выглядит результат запуска этой команды:

Типичный вывод команды netsh p2p

В данном случае результат указывает, что доступно два облака локальных соединений (Link local). Понять это можно как по значению в столбце Name(Имя), так и по значению в столбце Scope(Область), в котором для облаков локальных соединений всегда отображается значение 3, а для глобальных облаков — значение 1. Для подключения к глобальному облаку необходимо иметь глобальный адрес IPv6. Компьютер, на котором запускалась команда netshс p2p, таковым не обладал, потому для него оказалось доступным только локальное облако.

При наличии проблем с сетевой связью следует проверить, не препятствует ли брандмауэр передаче локального сетевого трафика через порты UDP 3540 или 1900. UDP-порт 3540 используется протоколом PNRP, а UDP-порт 1900 — протоколом SSDP (Simple Service Discovery Protocol — простой протокол обнаружения служб), который, в свою очередь, используется службой PNRP (а также устройствами UPnP).

Особенности PNRP в Windows 7

В Windows 7 протокол PNRP предусматривает использование нового компонента под названием .

Этот компонент отвечает за определение структуры используемых PNRP ключей, роль которой в реализации по умолчанию исполняет описанный выше идентификатор PNRP. С помощью API-интерфейса DRT можно определить альтернативную схему ключей при условии, что они представляют собой 256-битные целочисленные значения (подобно идентификаторам PNRP ID).

Это означает возможность использования любой схемы, но при этом, разумеется, нужно самостоятельно заботиться о генерации и защите ключей. За счет применения этого компонента можно создавать совершенно новые топологии облаков, выходящие за рамки действия PNRP.

В Windows 7 также появилась новая опция для подключения к другим пользователям в приложении Remote Assistance, которая называется Easy Connect. Эта опция использует PNRP для обнаружения пользователей, к которым необходимо подключиться. После создания сеанса с помощью Easy Connect или других средств (например, отправки приглашения по электронной почте) пользователи могут открыть общий доступ к своим рабочим столам и оказывать помощь друг другу через интерфейс Remote Assistance.

Служба People Near Me

Служба PNRP, как было показано в предыдущем разделе, применяется для определения местонахождения равноправных участников сети P2P. Очевидно, что она является важной действующей технологией при продумывании процесса обнаружения, подключения и взаимодействия в приложении P2P, но сама по себе она ни одного из этих этапов полностью не реализует.

В реализации этапа обнаружения ей помогает служба People Near Me (Соседние пользователи), которая позволяет находить равноправных участников, которые зарегистрировались в локальной сети (т.е. подключены к тому же локальному облаку, что и данный компьютер).

Эта служба наверняка уже попадалась на глаза, поскольку она является встроенным компонентом Windows Vista и Windows 7, а также используется в приложении Windows Meeting Space, которое позволяет открывать равноправным участникам общий доступ к различным приложениям. Для конфигурирования этой службы применяется элемент Change People Near Me (Изменить соседних пользователей) панели управления, быстро перейти к которому можно путем ввода следующей команды:

Этот элемент позволяет получить доступ к диалоговому окну, показанному на рисунке ниже. После регистрации эта служба становится доступной в любом приложении, которое построено с учетом возможности ее использования:

Конфигурирование службы People Near Me

На момент написания этих строк служба PNM было доступна только в семействе операционных систем Windows Vista и Windows 7. Возможно, в будущем появятся пакеты обновлений или дополнительные загружаемые модули, которые позволят сделать ее доступной в Windows XP.

3043090

Вы достаточно давно просили эту статью и старую её версию даже несколько раз обновляли. Это очередное обновление, где мы даже немного расскажем о том, почему, собственно, что-либо отключаем, а где-то промолчим.

В частности, Вы сможете научиться самостоятельно разбираться в этих нюансах и взаимодействовать с системой глубже, как это было в случае с брандмауэром, журналами, планировщиком заданийи всякими другими интересными штуками.

Полезная вводная

В виду бесконечных холиваров в прошлым, стоит пояснить несколько важных и простых тезисов.

  • Во-первых, здесь никто никого ни к чему не принуждает, не утверждает, что для Вас лично это будет полезно, даст прирост или безопасность на столько-то (конкретно) процентов и прочее прочее. Все действия Вы производите исходя из личных соображений, будь уже упомнятые цели или просто желание изучить систему глубже и лучше;
  • Во-вторых, как ни крути, польза от этого есть. Для кого, какая и в каких случаях, - как только что было сказано, - это вопрос второй.

Еще раз для тех, кто в танке, - статья написана потому, что на неё был спрос. Результативность зависит от ситуации и машины.

Отключить службы? А что это?

Не будем изобретать велосипед, процитируем Википедию:

Существует несколько режимов для служб:

  • Запрещён к запуску;
  • Ручной запуск (по запросу);
  • Автоматический запуск при загрузке компьютера;
  • Автоматический (отложенный) запуск (введён в Windows Vista и Windows Server 2008);
  • Обязательная служба/драйвер (автоматический запуск и невозможность (для пользователя) остановить службу).

Примерно такие дела. Теперь давайте посмотрим на это своими глазами, прежде, чем отключать службы.

Где службы обитают?

Службы обитают по адресу "Панель управления\Все элементы панели управления\Администрирование\Службы" (путь можно скопировать вставить в проводник и нажать в Enter):

Результатам будет окно (кликабельно) следующего вида:

Т.е как раз окно со списком служб, их состоянием и всякими другими разностями. По каждой службе можно два раза кликнуть мышкой и увидеть описание, статус запуска, используемые права, зависимости (другие службы) и другие хвосты:

Здесь же кстати можно настроить параметры для взаимодействию с оболочкой восстановления, точнее говоря, задать параметры указывающие, что делать, если служба не запустилась:

Это крайне полезная вещь, которую многие не знают, забывают или просто не используют. А зря, очень зря. Как раз из-за этого кстати иногда часто перезапускают компьютер, когда можно просто перезапустить службу при сбое или настроить автотическое выполнения каких-либо действий на этот счет.

Собственно, всё. Используя мозг и умея читать Вы можете обойтись без наших списков и создавать свои. Всё достаточно просто.

Но давайте перейдем к спискам. Так сказать, для халявщиков ;)

Первичный список служб для отключения

Для начала, еще раз предуреждаем, что Вы делаете всё на свой страх и риск, для своих целей и задач, под своей конфигурацией, версией системы и железом. Рекомендуем, во-первых, предварительно сохранить статью на диск (на случай проблем с интернетом), во-вторых, записывать, что Вы отключаете и почему. Лучше в тетрадочку.

Упрощенный, первичный список для отключения служб следующий (это вариант без комментариев, он мог устареть, он может пересекаться с обновленным списком ниже по тексту):

  • Windows CardSpace;
  • Windows Search;
  • Автономные файлы;
  • Агент защиты сетевого доступа;
  • Адаптивная регулировка яркости;
  • Архивация Windows;
  • Вспомогательная служба IP;
  • Вторичный вход в систему;
  • Группировка сетевых участников;
  • Дефрагментация диска;
  • Диспетчер автоматический подключений удаленного доступа;
  • Диспетчер печати (если нет принтеров);
  • Диспетчер подключений удаленного доступа (если нет VPN);
  • Диспетчер удостоверения сетевых участников;
  • Журналы и оповещения производительности;
  • Защитник Windows;
  • Защищенное хранилище;
  • Настройка сервера удаленных рабочих столов;
  • Политика удаления смарт-карт;
  • Программный поставщик теневого копирования (Microsoft);
  • Прослушиватель домашней группы;
  • Сборщик событий Windows;
  • Сетевой вход в систему;
  • Служба ввода планшетного ПК;
  • Служба загрузки изображений Windows (WIA) (если нет сканера или фотика);
  • Служба планировщика Windows Media Center;
  • Смарт-карта;
  • Теневое копирование тома;
  • Узел системы диагностики;
  • Узел службы диагностики;
  • Факс;
  • Хост библиотеки счетчика производительности;
  • Центр обеспечения безопасности;
  • Центр обновления Windows.

Для тем кому важна служба восстановления системы, я настоятельно рекомендую не отключать службы:

  • Теневое копирование тома;
    Программный поставщик теневого копирования (Microsoft).

Иначе не будет работать восстановление и создание контрольных точек.

Чуть более суровый список отключения служб + некоторые комментарии

Ниже чуть более полный и прокомментированный список служб Windows для отключения. Он составлен модератором нашего форума, - за что ему особенное спасибо.

Список, как и тот, что выше, не претендует на единственно верный, но, тем не менее, наиболее актуален и внятен на данный момент. Более того, он собран на основе Windows 10. Собственно:

Ну и.. Еще немного :)

Дополнительный список служб

Без особого количества комментариев, дополнительно стоит, вероятно, отключить следующее:

Служба загрузки изображений Windows (WIA) отключаем если нет сканера

  • Служба запросов на теневое копирование томов Hyper-V отключаем, если не пользуемся HV;
  • Служба инициатора Майкрософт iSCSI отключаем если не пользуемся iSCSI;
  • Служба кошелька;
  • Служба маршрутизатора AllJoyn;
  • Служба маршрутизатора SMS Microsoft Windows;
  • Служба перечисления устройств чтения смарт-карт;
  • Служба перечислителя переносных устройств;
  • Служба платформы подключенных устройств;
  • Служба предварительной оценки Windows, - отключаем, если не смотрим на оценки системы;
  • Служба пространственных данных;
  • Служба публикации имен компьютеров PNRP;
  • Служба пульса (Hyper-V);
  • Служба регистрации ошибок Windows;
  • Служба регистрации управления устройством;
  • Служба удаленного управления Windows (WS-Management);
  • Служба узла HV;
  • Служба установки Магазина Windows, - отключаем, если не нужен магазин;
  • Служба шифрования дисков BitLocker, - отключаем, если не пользуемся;
  • Смарт-карта;
  • События получения неподвижных изображений;
  • Сохранение игр на Xbox Live;
  • Стандартная служба сборщика центра диагностик;
  • Телефония;
  • Теневое копирование тома отключаем, если не пользуемся (в частности восстановлением системы);
  • Узел службы диагностики;
  • Хост библиотеки счетчика производительности.

Ну, пожалуй, как-то оно вот так. Пора переходить к послесловию.

Послесловие

Такой вот получился интересный списочек. Еще раз напоминаем, что рекомендуется читать описание того, что Вы отключаете, сохранить список того, что Вы отключаете и думать, что, почему и зачем Вы делаете, для каких целей и почему.

Если же Вам попросту это неинтересно, не нужно и кажется бесполезным, то просто не трогайте ничего и проходите мимо. Это полезно. Благо никого тут ни к чему не принуждали.

Спасибо, что Вы с нами.

Понравилась статья? Подпишитесь на канал, чтобы быть в курсе самых интересных материалов

CityCat4

В одноранговой сети - большая часть хотелок нереализуема.

Выход в тырнет обычно контролируется с помощью прокси и блокировки портов на роутере.

а прокси допустим на клиентских ос в каждом браузере надо прописывать? если это к примеру виндовс 7 ?

CityCat4

Тимур Шамсутдинов, А вот для этого и существуют групповые политики :) AD - это не только ценный мех централизованное хранение паролей и сертификатов.

Если не хотите АД, то легких путей не ждите. АД - это и есть легкий путь.

Для начала вам нужно на всех компах в сети:
1. Завести одного пользователя (с одним и тем же паролем) с правами администратора. На компах админов то же нужно завести такого же пользователя.
2. Настроить удаленный доступ по RDP на всех компах как минимум для админа
3. Дать четкие имена компам, что бы вы могли без труда по имени/фамилии сотрудника (номеру телефона или чему-то еще) определить проблемный комп. Можно в качестве wallpaper вывести IP адрес и другую инфу, для этого есть соответствующий софт.
4. Включить "доступ к файлам и принтерам"
5. Убрать права администратора у пользователей
6. Начиная от Windows Vista и дальше, нужно выключить UAC для удаленного запуска программ. Делается это правкой реестра:


В винде почти все администраторские операции на локальном компе можно делать удаленно. Вышеприведенные настройки позволят это делать (пп.1,3,4).
В винде почти все инструменты для удаленного администрирования уже есть из коробки.

П.2 позволит подключиться к рабочему столу и потрогать руками, не отрывая задницы от своего кресла.
В RDP есть такая штука как remote shadow - это дает возможность удаленно подключаться к рабочему столу пользователя одновременно с пользователем (т.е. пользователь будет видеть все ваши действия, так же как и вы его). Часто это бывает удобно, но требует специфической настройки. В инете есть информация, ищите.
П.5 - это обычная мера безопасности, которая обеспечит 50% безопасности вашей сети.
П,6 - без этого пункта вы не сможете удаленно выполнять программы, требующие админских прав, на компах. Сам UAC отключать не стоит, вещь достаточно полезная.

Имея эту базу, дальше вы уже можете прикручивать к сети прокси, фаерволы, почтовики и т.д. и т.п. не сильно отвлекаясь на поддержку пользователей и компов в сети.
Но не ждите, что кто-то или что-то сделает эту работу за вас. Таких чудесных программ не существует. Вам придется погружаться во все детали самому.
Изучите хотя бы один скриптовый язык программирования, встроенный в винду из коробки: cmd, powershell, JScript, VBScript. Сейчас, пожалуй, самый актуальный powershell. Это поможет частично автоматизировать ваши процессы.

PS: Если что я 10 лет админил одноранговую сеть из более чем 100 компов. АД там не разворачивалась по "идеологическим" причинам я в этом был не виноват :-)

Читайте также: