Najćešći zadatak koji administratori obavljaju koristeći Windows Server 2008 Active Directory Domain Services (AD DS) je upravljanje objektima u aktivnom direktorijumu kao što su korisnički i kompjuterski nalozi i grupe tih naloga, štampači i deljeni resursi, podešavanje replikacije i topologije mreže, kao i uspostavljanje odnosa poverenja između domena (trust relations). Objekti u aktivnom direktorijumu su: korisnički nalozi, kompjuterski nalozi, grupe, printeri i Share-ovani folderi. Svi ovi objekti zahtevaju povremenu administraciju tj. upravljanje.

Ova lekcija objašnjava koncepte i procedure koje administrator treba da koristi da bi upravljao objektima u aktivnom direktorijumu. Diskutovaće se o tipovima objekata koji mogu da budu smešteni u aktivnom direktorijumu i dobićete objašnjenja kako možete da upravljate tim objektima.

Budući da Aktivni direktorijum (Active Directory) predstavlja bazu podataka resursa i konfiguracija u okviru informacionog sistema nekog preduzeća ili organizacije, niz servisa podržava i koristi informacije iz te baze podataka kako bi osigurale identitet i pristup tim resursima. U terminologiji baza podataka, svaki "zapis" (record) predstavlja objekat  Aktivnog direktorijuma, kao što su to na primer korisnici, grupe ili kompjuteri. Svako "polje" (field) u bazi podataka predstavlja atribut, ustvari osobine tog objekta. Atributi podrazumevaju ime objekta, lozinku, opis, članstvo u nekoj grupi ili SID - Security IDentifier. Security principals ili u slobodnom prevodu Sigurnosne glavnice, a koji se takođe nazivaju i nalozima, su specifični tipovi objekata u AD DS-u a mi ćemo ih u nastavku zvati u originalu. Security principals imaju jedinstvene atribute, od kojih je najvažniji SID. SID se koristi kako bi nekom nalogu (korisniku, kompjuteru) dodelili pristup nekom resursu (folder, štampač). 

Bazu podataka Aktivnog direktorijuma podržava i koristi mnoštvo servisa, uključujući Kerberos koji je odgovoran za autentifikaciju, DNS koji je odgovoran za razrešavanje imena, Directory Replication Agent - DRA koji je odgovoran za repliciranje baze podataka između domenskih kontrolera. Bazi podataka Aktivnog direktorijuma može da se pristupa na različite načine, korišćenjem različitih alatki i interfejsa, programabilno kroz APIs - Application Programming Interface ili koristeći LDAP - Lightweight Directory Access Protocol.


Podrazumevano postoji četiri konzole za upravljanje gore navedenim zadacima u okviru Aktivnog Direktorijuma, kojima možemo da pristupimo direktno preko menija Start>Administrative tools ili preko snap-in-ova iz MMC - Microsoft Management Console konzole, što omogućava udaljeni pristup domenskom kontroleru, kao i novi dodatni instrument Active Directory Administrative Center u verzijama Windows 7, Windows Server 2008 R2 i WindowsServer 2012.

  • Active Directory Users and Computers - Iz ove konzole se upravlja uobičajenim resursima na svakodnevnoj osnovi, a ti resursi podrazumevaju: korisnike tj. korisničke naloge, grupe korisnika, kompjuterske naloge, štampače i deljene foldere.
  • Active Directory Sites and Services - Ova konzola se koristi za upravljanje replikacijom, upravljanje mrežnom topologijom i povezanim servisima.
  • Active Directory Domains and Trusts - Iz ove konzole se podešavaju i održavaju odnosi poverenja (trust relationships) i funkcionalni nivo domena i šume
  • Active Directory Schema - Shema služi za izmenu atributa Aktivnog Direktorijuma i klasa objekata i predstavlja osnovni plan tj. shemu Aktivnog Direktorijuma. Ova konzola se retko otvara i viđa a još ređe koristi za izmene, pa zato podrazumevano nije ni instalirana.

 

Upravljanje korisnicima

Windows Server 2008 Active Directory rasppolaže sa tri različita objekta koji se koriste za predstavljanje individualnih korisnika u direktorijumu. Dva od ovih naloga, User Object & inetOrgPerson, su Security Principals koji mogu da se koriste za dodeljivanje pristupa resursima na mreži. Treći objekat Contact, nije Security Principal i koristi se za e-mail adresiranje. Jedan od najčešćih objekata u AD DS je objekat User. User objekat kao i svi drugi Class objekti, predstavlja kolekciju atributa. User objekat može imati preko 250 atributa koje je kreirao sistem i čak i više atributa koje je kreirala organizacija. Na ovaj način, Windows Server 2008 AD DS se mnogo razlikuje od veoma ograničene Lokalne sigurnosne baze koja se nalazi na serverima članovima domena (Member serverima), Windows radnim stanicama i na nekim Linux kompjuterima. U lokalnim sigurnosnim bazama podataka, korisnički objekti imaju samo nekoliko atributa kao što su lozinke i Home direktorijumi. Iz razloga što AD DS može da ponudi dodatne atribute za objekte, AD je koristan kao direktorijumski servis sa dodatkom da jednostavno može da bude baza podataka za smeštanje informacija za proces autentifikacije. Aktivni direktorijum je mesto ili lokacija na kojoj se nalaze sve korisničke informacije, kao što su brojevi telefona, adrese, informacije o organizaciji. Kada korisnici nauče kako da pretražuju AD, biće u mogućnosti da pronađu skoro sve informacije o drugim korisnicima, naravno, u zavisnosti od dozvola koje su im dodeljene.


Alatke za kreiranje User objekta: Administratori mogu da koriste standardne administrativne alatke kao što su Active Directory Users and Computers. Sistem administratori daju korisnicima pristup mrežnim resursima. Iz tog razloga, administratori moraju da kreiraju korisničke naloge da bi identifikovali i autentifikovali korisnike kako bi mogli da im dodele pravo da koriste određene resurse.

Vreme je da pređemo u samu suštinu administratorskog posla: kreiranje i upravljanje korisnicima i kompjuterima.


Šta je korisnički nalog?

Korisnički nalog je objekat koji sadrži sve informacije određenog korisnika u Windows Server 2003 operativnom sistemu. Nalog može biti lokalni i domenski. Svaki korisnički nalog sadrži korisničko ime i lozinku sa kojima se korisnik prijavljuje na mrežu, zatim spisak grupa čiji je član dati korisnik i sva korisnička prava i dozvole koje su neophodne za pristup kompjuteru i resursima na mreži.

Možemo da koristimo korisničke naloge da bismo:

  • Omogućili nekome da se prijavi na kompjuter.
  • Omogućili procesima i servisima da rade.
  • Da bismo mogli da upravljamo korisničkim pristupom resursima kao što su objekti aktivnog direktorijuma i njihovim postavkama, deljenim folderima, fajlovima, printerima.


Korisnička imena koja idu uz domenske korisničke naloge

Postoje četri tipa imena koja prate domenske korisničke naloge. U aktivnom direktorijumu, svaki korisnički nalog sadrži User Logon Name, PRE-Windows 2000 Logon Name, User Principal Logon Name i LDAP (Lightweight Directory Access Protocol)  Relative Distinguished Name.


User Logon Name

Kad kreiramo korisnički nalog, administrator ubacuje User Logon Name. Celo ime mora da bude jedinstveno u kontejneru u kom se korisnički nalog nalazi. Korisnik koristi ovo ime samo kad se prijavljuje, znači u toku Logon procesa. Korisnik ubacuje svoje Logon ime, lozinku i ime domena na koji se prijavljuje.

Korisnička Logon imena mogu:

  • da sadrže do 20 karaktera uključujući mala i velika slova 
  • da sadrže kombinaciju specijalnih alfanumeričkih karaktera, osim: " / \ [ ] : ; | = , + * ? < >


Pre-Windows 2000 Logon name

Možemo da koristimo ova imena (NETBIOS) kada se korisnik prijavljuje na domen sa kompjutera koji rade na starijim operativnim sistemima pre Windows 2000 koristeći ime sa (DomainName\UserName) formatom. Takođe, korisnik može da se prijavi na domen pomoću ovakvog tipa imena sa kompjutera na kome je instaliran Windows 2000 ili 2003 Server Windows Server 2008. Ime mora da bude jedinstveno u domenu.


User Principal Logon Name

UPN sadrži korisničko LOGON ime i korisnikov Principal Name Suffix, koji su spojeni znakom @. UPN mora biti jedinstven u celoj šumi. Drugi deo UPN-a je User Principal Name Suffix i on može da bude DNS domen ime bilo kog domena u šumi. Korisnici mogu da koriste ova imena za sekundarna prijavljivanja na mrežu uz RUN AS komandu.

Primer UPN naziva:  marko@linkgroup.co.yu


LDAP Relative Distinguished Name

Ovo ime identifikuje objekat u roditeljskom kontejneru. Korisnici nikada ne koriste ova imena. Administratori pomoću ovih imena kreiraju korisničke naloge iz skripti ili sa komande linije.

Primer:  LDAP Relative Distinguished Name

  • CN=jayadams,CN=users,dc=nwtraders,dc=msft  
  • CN=computer1,CN=users,dc=nwtraders,dc=msft

Sistem administratori upravljaju opcijama za lozinka u korisničkim nalozima. Ove opcije se postavljaju pri kreiranju korisničkih naloga ili u Properties boksu korisničkog naloga.

Postoje sledeće opcije:

  • User must change password at the next logon. Postavljanjem ove opcije korisnik se primorava da nakon prvog prijavljivanja na mrežu promeni svoju lozinku.
  • User cannot change password. Postavljanjem ove opcije korisnik ne može da menja svoju lozinku.
  • Password never expires. Postavljanjem ove opcije korisnikova lozinka ima neograničeno trajanje. 
  • Account is Disabled. Ova opcija se koristi kada administrator želi da onemogući nalog za određenog korisnika.


Kako se kreiraju korisnički nalozi?

Domenski korisnički nalozi omogućavaju korisnicima da se prijave u domen i pristupe resursima bilo gde na mreži.

Lokalni korisnički nalozi omogućavaju korisnicima da se prijave i koriste resurse na lokalnom kompjuteru na kom smo kreirali taj lokalni korisnički nalog. Sistem administrator kreira domenske i lokalne korisničke naloge da bi upravljao mrežnim okruženjem.

Lokalni korisnički nalozi ne mogu da se kreiraju na domenskim kontrolerima!

 

Šta je kompjuterski nalog?

Svaki kompjuter koji radi pod operativnim sistemima Microsoft Windows XP, Windows Vista, Windows 7 ili Windows Server 2003 i Windows Server 2008, a koji treba da bude član domena, ima svoj kompjuterski nalog u Aktivnom direktrijumu. Slično kao i korisnički nalog, kompjuterski nalog daje način za autentifikaciju i praćenje pristupa kompjutera mreži i domenskim resursima.

U aktivnom direktorijumu, kompjuterski nalozi su takođe SECURITY PRINCIPLES. Ovo znači da kompjuteri moraju da poseduju naloge i lozinke. Da bi bio potpuno autentifikovan u aktivnom direktorijumu, korisnik mora da ima validan korisnički nalog, ali isto tako, korisnik mora da se prijavi u domen sa kompjutera koji takođe mora da poseduje validan kompjuterski nalog.

Ne možemo da kreiramo kompjuterske naloge za kompjutere koji rade pod operativnim sistemima Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows Millennium Edition i Windows XP Home Edition zato što njihovi operativni sistemi ne ispunjavaju zahteve Aktivnog direktorijuma.

Kompjuteri su odgovorni za odrađivanje ključnih zadataka, kao sto su autentifikacija korisnika pri prijavljivanju na domen, za distribuciju Internet Protocol IP Addresses, za održavanje integriteta aktivnog direktorijuma i za postavljanje zaštitnih šablona (Security Templates). Da bismo imali kompletan pristup ovim mrežnim resursima, kompjuteri moraju imati validne kompjuterske naloge u aktivnom direktorijumu. Dve osnovne funkcije kompjuterskih naloga su:

  1. Sigurnost (Security) - Kompjuterski nalog mora biti kreiran u aktivnom direktorijumu za korisnike da bi mogli da iskoriste sve prednosti i karakteristike koje pruža aktivni direktorijum. Kada je kompjuterski nalog kreiran, kompjuter tada može da koristi napredan proces autentifikacije kao sto je KERBEROS autentifikacija i IP zaštita (IPSec) da bi mogao da šifruje IP saobraćaj.
  2. Menadžment (Management) - Kompjuterski nalozi pomažu sistem administratoru da upravlja mrežnom strukturom. Sistem administrator koristi kompjuterske naloge da upravlja funkcionalnošću desktop okruženja, automatizacijom instalacije softvera koristeći aktivni direktorijum.


Gde su kompjuterski nalozi kreirani u domenu?

Kada sistem administrator kreira kompjuterski nalog, može da izabere organizacionu jedinicu u koju će da ga postavi. Kada se kompjuter pridružuje domenu, kao i ako pri instalaciji samog operativnog sistema odredimo da kompjuter pristupa određenom domenu, taj nalog će se automatski postaviti u kontejneru Computers iz konzole Active Directory Users and Computers. Naravno, nakon toga, administrator može da premesti kompjuterski nalog iz kontejnera Computers u bilo koju organizacionu jedinicu.

Dodavanje kompjutera u domen sa prethodno napravljenim kompjuterskim nalogom u aktivnom direktorijumu naziva se Pre-staging što znači da će taj kompjuter biti smešten u bilo koju organizacionu jedinicu za koju određeni administrator ima dozvolu za dodavanje kompjuterskih naloga.

Kada korisnik doda kompjuter u domen, kompjuterski nalog je dodat u kontejner Computers u aktivnom direktorijumu. System nalog zapisuje koliko je određeni korisnik dodao kompjuterskih naloga. Po defoltu, svaki autentifikovani korisnik u domenu ima pravo da doda do 10 kompjutera u domen.


Kada treba modifikovati korisničke i kompjuterske naloge

Sistem administratori su odgovorni za kreiranje korisničkih i kompjuterskih naloga u aktivnom direktorijumu; odgovorni su i za održavanje korisničkih i kompjuterskih naloga. Da bi odradili ove zadatke, sistem administratori moraju da budu dobro upoznati sa različitim postavkama za svaki korisnički i kompjuterski nalog.

Postavke za korisnički nalog - Veoma je važno da sistem administratori budu upoznati sa postavkama korisničkih naloga tako da mogu da upravljaju mrežnom strukturom. Korisnici mogu da koriste postavke korisničkih naloga da bi došli do određenih informacija vezanih za druge korisnike, kao što su telefonski imenik ili da potraže korisnika na osnovu lokacije njegove kancelarije koja je navedena u postavkama korisničkog naloga. Sistem administrator može da iskoristi postavke korisničkih naloga da sazna kakvo je korisnikovo ponašanje: npr. na terminal serveru ili kako korisnik može da pristupi mreži preko Dial-up konekcije.

Postavke za kompjuterski nalog - Da bi sistem administrator mogao da održava kompjuterski nalog, mora da bude u stanju da pronađe fizičku lokaciju tog kompjutera. Najčešće korišćen parametar za naloge kompjutera u aktivnom direktorijumu je Location and Managed by Properties. Ova postavka za lokaciju je korisna jer pomoću nje možemo da dokumentujemo fizičku lokaciju kompjutera na mreži. Takođe, kartica Manage by u postavkama za kompjuterske naloge daje nam listu individua koje su odgovorne za taj računar.


Zašto omogućiti ili onemogućiti korisničke i kompjuterske naloge?

Nakon kreiranja korisničkih naloga, treba odrađivati povremene administrativne zadatke da bismo osigurali da mreža nastavi da ispunjava potrebe organizacije. Ovi administrativni zadaci uključuju omogućavanje i onemogućavanje korisničkih i kompjuterskih naloga. Kada omogućimo ili onemogućimo nalog, dajemo ili zabranjujemo pristup nalogu.

Da bismo obezbedili zaštićenu mrežu, sistem administratori moraju da onemoguće korisnički nalog u slučaju da korisniku nalog nije potreban na određeno vreme, ali će mu trebati kasnije. Dakle u tom slučaju sistem administrator treba da onemogući nalog korisnika (DISABLE ACCOUNT).

Primeri kad treba omogućiti (ENABLE) ili onemogućiti (DISABLE) korisničke naloge:

  • Ako će korisnik biti odsutan dva do tri meseca sa posla. Po odlasku korisnika  treba onemogućiti korisnički nalog, a omogućiti mu ga kad se ponovo vrati na posao.
  • Kad dodajemo korisničke naloge koji će se koristiti u budućnosti, ali iz bezbednosnih razloga ih treba onemogućiti dok ne budu potrebni.
  • Onemogućiti nalog kada ne želimo da se korisnik prijavi na mrežu sa deljenog kompjutera.


Kako omogućiti i onemogućiti korisničke i kompjuterske naloge?


Kada je nalog onemogućen (Disabled), korisnik ne može da se prijavi u domen. U aktivnom direktorijumu nalog koji je onemogućen se nalazi u desnom panelu i označen je malim crvenim krstićem.

Da bismo omogućili ili onemogućili korisničke ili kompjuterske naloge u domenu, koristimo alatku Active Directory Users and Computers (ADUC).



Kako se zaključavaju korisnički nalozi?


Korisnički nalog je uglavnom zaključan zbog pogrešnog unosa lozinke pri prijavljivanju korisnika. Ukoliko korinsnik nekoliko puta unese pograšnu lozinku, nalog će se zaključati i korisnik više nece moći da ga koristi sve dok sistem administrator ne otključa nalog. Korisnički nalog takođe može da bude napadnut od strane hakera (neautorizovanog korisnika) koji pokušava da „provali lozinku“. Haker će nekoliko puta pokušati da se prijavi u domen i ukoliko smo postavili LOCKOUT polise, nalog će se zaključati i više neće biti moguće prijaviti se na njega.

Zaštitne postavke u aktivnom direktorijumu određuju broj neuspešnih pokušaja prijavljivanja i mogu da izvrše zaključavanje korisničkog naloga. Korisnik ne može da koristi zaključani korisnički nalog sve dok sistem administrator ne resetuje nalog. Kada je korisnički nalog zaključan, pojavljuje se poruka greške i korisnik ne može da se prijavi na domen.

Dodaj komentar Sviđa mi se - (1) Ne sviđa mi se - (0)    

  • Konfiguracija objekata aktivnog direktorijuma 1
  • Konfiguracija objekata aktivnog direktorijuma 2
  • Konfiguracija objekata aktivnog direktorijuma 3
  • Konfiguracija objekata aktivnog direktorijuma 4