109.451.880 pregleda lekcija
26.973 pregleda lekcija danas
490.649 pokretanja testova
1.538.118 pregleda pdf dokumenata
109.451.880 pregleda lekcija
26.973 pregleda lekcija danas
490.649 pokretanja testova
1.538.118 pregleda pdf dokumenata
Najćešći zadatak koji administratori obavljaju koristeći Windows Server 2008 Active Directory Domain Services (AD DS) je upravljanje objektima u aktivnom direktorijumu kao što su korisnički i kompjuterski nalozi i grupe tih naloga, štampači i deljeni resursi, podešavanje replikacije i topologije mreže, kao i uspostavljanje odnosa poverenja između domena (trust relations). Objekti u aktivnom direktorijumu su: korisnički nalozi, kompjuterski nalozi, grupe, printeri i Share-ovani folderi. Svi ovi objekti zahtevaju povremenu administraciju tj. upravljanje.
Ova lekcija objašnjava koncepte i procedure koje administrator treba da koristi da bi upravljao objektima u aktivnom direktorijumu. Diskutovaće se o tipovima objekata koji mogu da budu smešteni u aktivnom direktorijumu i dobićete objašnjenja kako možete da upravljate tim objektima.
Budući da Aktivni direktorijum (Active Directory) predstavlja bazu podataka resursa i konfiguracija u okviru informacionog sistema nekog preduzeća ili organizacije, niz servisa podržava i koristi informacije iz te baze podataka kako bi osigurale identitet i pristup tim resursima. U terminologiji baza podataka, svaki "zapis" (record) predstavlja objekat Aktivnog direktorijuma, kao što su to na primer korisnici, grupe ili kompjuteri. Svako "polje" (field) u bazi podataka predstavlja atribut, ustvari osobine tog objekta. Atributi podrazumevaju ime objekta, lozinku, opis, članstvo u nekoj grupi ili SID - Security IDentifier. Security principals ili u slobodnom prevodu Sigurnosne glavnice, a koji se takođe nazivaju i nalozima, su specifični tipovi objekata u AD DS-u a mi ćemo ih u nastavku zvati u originalu. Security principals imaju jedinstvene atribute, od kojih je najvažniji SID. SID se koristi kako bi nekom nalogu (korisniku, kompjuteru) dodelili pristup nekom resursu (folder, štampač).
Bazu podataka Aktivnog direktorijuma podržava i koristi mnoštvo servisa, uključujući Kerberos koji je odgovoran za autentifikaciju, DNS koji je odgovoran za razrešavanje imena, Directory Replication Agent - DRA koji je odgovoran za repliciranje baze podataka između domenskih kontrolera. Bazi podataka Aktivnog direktorijuma može da se pristupa na različite načine, korišćenjem različitih alatki i interfejsa, programabilno kroz APIs - Application Programming Interface ili koristeći LDAP - Lightweight Directory Access Protocol.
Podrazumevano postoji četiri konzole za upravljanje gore navedenim zadacima u okviru Aktivnog Direktorijuma, kojima možemo da pristupimo direktno preko menija Start>Administrative tools ili preko snap-in-ova iz MMC - Microsoft Management Console konzole, što omogućava udaljeni pristup domenskom kontroleru, kao i novi dodatni instrument Active Directory Administrative Center u verzijama Windows 7, Windows Server 2008 R2 i WindowsServer 2012.
Windows Server 2008 Active Directory rasppolaže sa tri različita objekta koji se koriste za predstavljanje individualnih korisnika u direktorijumu. Dva od ovih naloga, User Object & inetOrgPerson, su Security Principals koji mogu da se koriste za dodeljivanje pristupa resursima na mreži. Treći objekat Contact, nije Security Principal i koristi se za e-mail adresiranje. Jedan od najčešćih objekata u AD DS je objekat User. User objekat kao i svi drugi Class objekti, predstavlja kolekciju atributa. User objekat može imati preko 250 atributa koje je kreirao sistem i čak i više atributa koje je kreirala organizacija. Na ovaj način, Windows Server 2008 AD DS se mnogo razlikuje od veoma ograničene Lokalne sigurnosne baze koja se nalazi na serverima članovima domena (Member serverima), Windows radnim stanicama i na nekim Linux kompjuterima. U lokalnim sigurnosnim bazama podataka, korisnički objekti imaju samo nekoliko atributa kao što su lozinke i Home direktorijumi. Iz razloga što AD DS može da ponudi dodatne atribute za objekte, AD je koristan kao direktorijumski servis sa dodatkom da jednostavno može da bude baza podataka za smeštanje informacija za proces autentifikacije. Aktivni direktorijum je mesto ili lokacija na kojoj se nalaze sve korisničke informacije, kao što su brojevi telefona, adrese, informacije o organizaciji. Kada korisnici nauče kako da pretražuju AD, biće u mogućnosti da pronađu skoro sve informacije o drugim korisnicima, naravno, u zavisnosti od dozvola koje su im dodeljene.
Alatke za kreiranje User objekta: Administratori mogu da koriste standardne administrativne alatke kao što su Active Directory Users and Computers. Sistem administratori daju korisnicima pristup mrežnim resursima. Iz tog razloga, administratori moraju da kreiraju korisničke naloge da bi identifikovali i autentifikovali korisnike kako bi mogli da im dodele pravo da koriste određene resurse.
Vreme je da pređemo u samu suštinu administratorskog posla: kreiranje i upravljanje korisnicima i kompjuterima.
Korisnički nalog je objekat koji sadrži sve informacije određenog korisnika u Windows Server 2003 operativnom sistemu. Nalog može biti lokalni i domenski. Svaki korisnički nalog sadrži korisničko ime i lozinku sa kojima se korisnik prijavljuje na mrežu, zatim spisak grupa čiji je član dati korisnik i sva korisnička prava i dozvole koje su neophodne za pristup kompjuteru i resursima na mreži.
Možemo da koristimo korisničke naloge da bismo:
Postoje četri tipa imena koja prate domenske korisničke naloge. U aktivnom direktorijumu, svaki korisnički nalog sadrži User Logon Name, PRE-Windows 2000 Logon Name, User Principal Logon Name i LDAP (Lightweight Directory Access Protocol) Relative Distinguished Name.
User Logon Name
Kad kreiramo korisnički nalog, administrator ubacuje User Logon Name. Celo ime mora da bude jedinstveno u kontejneru u kom se korisnički nalog nalazi. Korisnik koristi ovo ime samo kad se prijavljuje, znači u toku Logon procesa. Korisnik ubacuje svoje Logon ime, lozinku i ime domena na koji se prijavljuje.
Korisnička Logon imena mogu:
Pre-Windows 2000 Logon name
Možemo da koristimo ova imena (NETBIOS) kada se korisnik prijavljuje na domen sa kompjutera koji rade na starijim operativnim sistemima pre Windows 2000 koristeći ime sa (DomainName\UserName) formatom. Takođe, korisnik može da se prijavi na domen pomoću ovakvog tipa imena sa kompjutera na kome je instaliran Windows 2000 ili 2003 Server Windows Server 2008. Ime mora da bude jedinstveno u domenu.
User Principal Logon Name
UPN sadrži korisničko LOGON ime i korisnikov Principal Name Suffix, koji su spojeni znakom @. UPN mora biti jedinstven u celoj šumi. Drugi deo UPN-a je User Principal Name Suffix i on može da bude DNS domen ime bilo kog domena u šumi. Korisnici mogu da koriste ova imena za sekundarna prijavljivanja na mrežu uz RUN AS komandu.
Primer UPN naziva: marko@linkgroup.co.yu
LDAP Relative Distinguished Name
Ovo ime identifikuje objekat u roditeljskom kontejneru. Korisnici nikada ne koriste ova imena. Administratori pomoću ovih imena kreiraju korisničke naloge iz skripti ili sa komande linije.
Primer: LDAP Relative Distinguished Name
Sistem administratori upravljaju opcijama za lozinka u korisničkim nalozima. Ove opcije se postavljaju pri kreiranju korisničkih naloga ili u Properties boksu korisničkog naloga.
Postoje sledeće opcije:
Domenski korisnički nalozi omogućavaju korisnicima da se prijave u domen i pristupe resursima bilo gde na mreži.
Lokalni korisnički nalozi omogućavaju korisnicima da se prijave i koriste resurse na lokalnom kompjuteru na kom smo kreirali taj lokalni korisnički nalog. Sistem administrator kreira domenske i lokalne korisničke naloge da bi upravljao mrežnim okruženjem.
Lokalni korisnički nalozi ne mogu da se kreiraju na domenskim kontrolerima!
Svaki kompjuter koji radi pod operativnim sistemima Microsoft Windows XP, Windows Vista, Windows 7 ili Windows Server 2003 i Windows Server 2008, a koji treba da bude član domena, ima svoj kompjuterski nalog u Aktivnom direktrijumu. Slično kao i korisnički nalog, kompjuterski nalog daje način za autentifikaciju i praćenje pristupa kompjutera mreži i domenskim resursima.
U aktivnom direktorijumu, kompjuterski nalozi su takođe SECURITY PRINCIPLES. Ovo znači da kompjuteri moraju da poseduju naloge i lozinke. Da bi bio potpuno autentifikovan u aktivnom direktorijumu, korisnik mora da ima validan korisnički nalog, ali isto tako, korisnik mora da se prijavi u domen sa kompjutera koji takođe mora da poseduje validan kompjuterski nalog.
Ne možemo da kreiramo kompjuterske naloge za kompjutere koji rade pod operativnim sistemima Microsoft Windows 95, Microsoft Windows 98, Microsoft Windows Millennium Edition i Windows XP Home Edition zato što njihovi operativni sistemi ne ispunjavaju zahteve Aktivnog direktorijuma.
Kompjuteri su odgovorni za odrađivanje ključnih zadataka, kao sto su autentifikacija korisnika pri prijavljivanju na domen, za distribuciju Internet Protocol IP Addresses, za održavanje integriteta aktivnog direktorijuma i za postavljanje zaštitnih šablona (Security Templates). Da bismo imali kompletan pristup ovim mrežnim resursima, kompjuteri moraju imati validne kompjuterske naloge u aktivnom direktorijumu. Dve osnovne funkcije kompjuterskih naloga su:
Kada sistem administrator kreira kompjuterski nalog, može da izabere organizacionu jedinicu u koju će da ga postavi. Kada se kompjuter pridružuje domenu, kao i ako pri instalaciji samog operativnog sistema odredimo da kompjuter pristupa određenom domenu, taj nalog će se automatski postaviti u kontejneru Computers iz konzole Active Directory Users and Computers. Naravno, nakon toga, administrator može da premesti kompjuterski nalog iz kontejnera Computers u bilo koju organizacionu jedinicu.
Dodavanje kompjutera u domen sa prethodno napravljenim kompjuterskim nalogom u aktivnom direktorijumu naziva se Pre-staging što znači da će taj kompjuter biti smešten u bilo koju organizacionu jedinicu za koju određeni administrator ima dozvolu za dodavanje kompjuterskih naloga.
Kada korisnik doda kompjuter u domen, kompjuterski nalog je dodat u kontejner Computers u aktivnom direktorijumu. System nalog zapisuje koliko je određeni korisnik dodao kompjuterskih naloga. Po defoltu, svaki autentifikovani korisnik u domenu ima pravo da doda do 10 kompjutera u domen.
Sistem administratori su odgovorni za kreiranje korisničkih i kompjuterskih naloga u aktivnom direktorijumu; odgovorni su i za održavanje korisničkih i kompjuterskih naloga. Da bi odradili ove zadatke, sistem administratori moraju da budu dobro upoznati sa različitim postavkama za svaki korisnički i kompjuterski nalog.
Postavke za korisnički nalog - Veoma je važno da sistem administratori budu upoznati sa postavkama korisničkih naloga tako da mogu da upravljaju mrežnom strukturom. Korisnici mogu da koriste postavke korisničkih naloga da bi došli do određenih informacija vezanih za druge korisnike, kao što su telefonski imenik ili da potraže korisnika na osnovu lokacije njegove kancelarije koja je navedena u postavkama korisničkog naloga. Sistem administrator može da iskoristi postavke korisničkih naloga da sazna kakvo je korisnikovo ponašanje: npr. na terminal serveru ili kako korisnik može da pristupi mreži preko Dial-up konekcije.
Postavke za kompjuterski nalog - Da bi sistem administrator mogao da održava kompjuterski nalog, mora da bude u stanju da pronađe fizičku lokaciju tog kompjutera. Najčešće korišćen parametar za naloge kompjutera u aktivnom direktorijumu je Location and Managed by Properties. Ova postavka za lokaciju je korisna jer pomoću nje možemo da dokumentujemo fizičku lokaciju kompjutera na mreži. Takođe, kartica Manage by u postavkama za kompjuterske naloge daje nam listu individua koje su odgovorne za taj računar.
Nakon kreiranja korisničkih naloga, treba odrađivati povremene administrativne zadatke da bismo osigurali da mreža nastavi da ispunjava potrebe organizacije. Ovi administrativni zadaci uključuju omogućavanje i onemogućavanje korisničkih i kompjuterskih naloga. Kada omogućimo ili onemogućimo nalog, dajemo ili zabranjujemo pristup nalogu.
Da bismo obezbedili zaštićenu mrežu, sistem administratori moraju da onemoguće korisnički nalog u slučaju da korisniku nalog nije potreban na određeno vreme, ali će mu trebati kasnije. Dakle u tom slučaju sistem administrator treba da onemogući nalog korisnika (DISABLE ACCOUNT).
Primeri kad treba omogućiti (ENABLE) ili onemogućiti (DISABLE) korisničke naloge:
Kada je nalog onemogućen (Disabled), korisnik ne može da se prijavi u domen. U aktivnom direktorijumu nalog koji je onemogućen se nalazi u desnom panelu i označen je malim crvenim krstićem.
Da bismo omogućili ili onemogućili korisničke ili kompjuterske naloge u domenu, koristimo alatku Active Directory Users and Computers (ADUC).
Korisnički nalog je uglavnom zaključan zbog pogrešnog unosa lozinke pri prijavljivanju korisnika. Ukoliko korinsnik nekoliko puta unese pograšnu lozinku, nalog će se zaključati i korisnik više nece moći da ga koristi sve dok sistem administrator ne otključa nalog. Korisnički nalog takođe može da bude napadnut od strane hakera (neautorizovanog korisnika) koji pokušava da „provali lozinku“. Haker će nekoliko puta pokušati da se prijavi u domen i ukoliko smo postavili LOCKOUT polise, nalog će se zaključati i više neće biti moguće prijaviti se na njega.
Zaštitne postavke u aktivnom direktorijumu određuju broj neuspešnih pokušaja prijavljivanja i mogu da izvrše zaključavanje korisničkog naloga. Korisnik ne može da koristi zaključani korisnički nalog sve dok sistem administrator ne resetuje nalog. Kada je korisnički nalog zaključan, pojavljuje se poruka greške i korisnik ne može da se prijavi na domen.
Copyright © LINK group. Sva prava zadržana.
office@link.co.rs, +381.11.7856 140, +381.11.7856 100
Cara Dušana 34, 11080 Zemun, Beograd, Srbija
Powered by LINK CMS.