Я согласен с тем, что WinPE можно получить разными способами. Но одно из предназначений пакета ADK — предоставить дистрибутив WinPE и набор инструментов для подготовки собственного должным образом настроенного (кастомизированного) образа WinPE. Такой настроенный образ и используется в сценарии, описанном в статье.
Да, все перечисленные cab-ы входят в дистрибутив самого Nano Server, а утилита DISM входит в состав Windows, начиная с Windows 8. Пакет ADK в данном случае нужен, чтобы сформировать образ Windows PE. Если вы не планируете использовать Windows PE, вам не нужен ADK для развертывания Nano Server.
Если разворачивать Windows 7 с помощью ADK и DISM, то концептуально отличий действительно не много. Два момента отмечу. Первый, Nano Server, по крайней мере в текущей сборке, можно развернуть только путем сборки WIM- или VHD-файла, используя ADK и DISM. Второй, вы можете не добавлять в образ вот этот файл Microsoft-NanoServer-OEM-Drivers-Package.cab, содержащий все драйверы из обычного сервера, а добавить только нужные вам драйверы. Тогда размер образа будет еще меньше.
И да, и нет. Для доступа к приложению на устройстве должен быть сертификат. Если злоумышленник каким-то образом узнал ваш пароль (например, подсмотрел, сидя рядом в аэропорту), он все равно не сможет воспользоваться им со своего (любого) устройства. Пока не выполнит регистрацию устройства. Чтобы он не смог выполнить регистрацию своего устройства, зная только ваш логин и пароль, для процесса регистрации можно и даже нужно подключить MFA.
Теперь перейдем к ситуации с кражей устройства. Действительно, если регистрация устройства уже была выполнена, и сертификат в системе, от момента кражи до момента, когда об этом узнает служба ИТ, злоумышленник может получить доступ к приложению. В отличие от ситуации, когда сертификат находится на смарт-карте или USB-ключе, и для доступа нужно завладеть и планшетом, и смарт-картой. Но это неизбежное следствие использования личных устройств для доступа к корпоративным данным. И каждая организация решает для себя, приемлем ли такой компромисс между безопасностью и удобством.
Наконец, как только ИТ-отдел узнает о краже, путем блокировки сертификата, блокируется доступ с конкретного устройства. Это можно рассматривать исключительно как упрощение администрирования, либо как характеристику системы безопасности, благодаря которой, оценив риски, мы решим реализовать такой сценарий, либо же решим этого не делать.
ВМ в Azure по умолчанию имеют выход в Интернет. Поскольку IP виртуалки получают по DHCP, они сразу получают адрес DNS-сервера и адрес Default Gateway, благодаря которым имеют доступ к ресурсам Интернет.
Как настроить VPN-шлюз, можно почитать здесь. За полтора года внешний вид окон настройки слегка изменился, но суть осталась прежней.
Перенаправление USB-устройств для RemoteApp по умолчанию выключено. Оно может быть включено, но пока такая настройка не реализована в интерфейсе портала управления, поэтому надо писать в поддержку, они включат. Некоторые детали здесь.
1. Дискуссия перестает быть конструктивной, а потому интересной. Вот это "междусобойчик"? Так можно про любую организацию сказать.
2. Иван, так а зачем тулзы для PowerShell? Он сам и есть тулза. Что значит «запустил SSH и все»? Я от задач отталкиваюсь и поэтому говорю, что к примеру получить инфу о настройках, скажем IIS, на 10 серверах можно одним командлетом. Развернуть и поддерживать требуемую конфигурацию, не знаю, ADFS на ферме серверов можно одним скриптом. Есть библиотека готовых скриптов, которая поддерживается сообществом, есть инструменты отладки и анализа скриптов и пр. Вы пробовали хоть какую-то задачу решить с помощью PowerShell?
3. Графический интерфейс для многих гораздо удобнее. Но развернуть сервак только с командной строкой (Server Core) можно с Windows Server 2008, уже шесть лет как.
Два комментария выше говорят о том, что «практичность» может толковаться очень по-разному.
Я не уловил, где Вы не можете поменять шрифты, что означает «расширить RDP с возможностью эмуляции консоли», и для чего Вы хотите это использовать?
Открытые стандарты и открытый код — разные вещи. PowerShell использует вполне конкретный стандарт Web Services for Management (WS–Management). Впервые он реализован в Windows в версии Windows Server 2003 R2 в 2005 году. Так что постулаты Гейтса последовательно реализовываются.
С моей точки зрения «удобство» сравнивать бессмысленно. Это очень субъективная вещь. В конечном итоге, используйте то, что Вам нравится. SSH для Windows можно легко найти, Telnet входит в состав Windows. Можно сравнивать к примеру, что и как Вы сможете сделать в Windows Server с помощью одного или другого инструмента. Уверен, в этом смысле PowerShell выиграет. Но еще раз, это лишь одна из возможностей управления, которая есть у админа.
Начиная с Windows Server 2012, для любой службы ОС в обязательном порядке выпускается набор соответствующих командлетов PowerShell для управления и настройки службы. Это правило. В этом смысле PowerShell просто более универсален для управления конкретно Windows-серверами.
«Привычнее и понятнее» — понятия относительные. По моему опыту админам Windows-серверов вообще все равно, открытый код или закрытый. Что им от «открытости», они код полезут править? Им нужен инструмент для решения конкретных задач. Оснастками удобно решать одни задачи, скриптами PowerShell — другие, например, автоматизировать выполнение ряда задач на группе серверов. К этим серверам можно подключаться из консоли, находясь в сетке. В противном случае можно поднять в DMZ PowerShell Web Access и через него подключаться к нужным серверам с помощью практически любого браузера, где бы ты не находился. Такой вариант не претендует на единственное и абсолютное решение, но найдет и уже находит своих приверженцев.
Теперь перейдем к ситуации с кражей устройства. Действительно, если регистрация устройства уже была выполнена, и сертификат в системе, от момента кражи до момента, когда об этом узнает служба ИТ, злоумышленник может получить доступ к приложению. В отличие от ситуации, когда сертификат находится на смарт-карте или USB-ключе, и для доступа нужно завладеть и планшетом, и смарт-картой. Но это неизбежное следствие использования личных устройств для доступа к корпоративным данным. И каждая организация решает для себя, приемлем ли такой компромисс между безопасностью и удобством.
Наконец, как только ИТ-отдел узнает о краже, путем блокировки сертификата, блокируется доступ с конкретного устройства. Это можно рассматривать исключительно как упрощение администрирования, либо как характеристику системы безопасности, благодаря которой, оценив риски, мы решим реализовать такой сценарий, либо же решим этого не делать.
Как настроить VPN-шлюз, можно почитать здесь. За полтора года внешний вид окон настройки слегка изменился, но суть осталась прежней.
2. Иван, так а зачем тулзы для PowerShell? Он сам и есть тулза. Что значит «запустил SSH и все»? Я от задач отталкиваюсь и поэтому говорю, что к примеру получить инфу о настройках, скажем IIS, на 10 серверах можно одним командлетом. Развернуть и поддерживать требуемую конфигурацию, не знаю, ADFS на ферме серверов можно одним скриптом. Есть библиотека готовых скриптов, которая поддерживается сообществом, есть инструменты отладки и анализа скриптов и пр. Вы пробовали хоть какую-то задачу решить с помощью PowerShell?
3. Графический интерфейс для многих гораздо удобнее. Но развернуть сервак только с командной строкой (Server Core) можно с Windows Server 2008, уже шесть лет как.
Я не уловил, где Вы не можете поменять шрифты, что означает «расширить RDP с возможностью эмуляции консоли», и для чего Вы хотите это использовать?