Korišćenje DEFAULT grupa
Ova lekcija nam predstavlja kako se koriste DEFAULT grupe. Nakon lekcije naučićete da:
· Objasnite kako se koriste defaultne grupe na Serveru koji je član domena.
· Objasnije kako se default grupe koriste u Aktivnom Direktorijumu.
· Objasnite kad treba da se koriste defaultne grupe.
· Objasnite kako obezbeđujemo defaultne grupe.
· Objasnite kako se koriste sistemske grupe.
Defaultne grupe na Serverima članovima domena
Na Windows Serveru 2003, koji je član domena nalazi se GROUP FOLDER u kome se nalaze sve ugrađene lokalne grupe i sve lokalne grupe koje administrator kreira. Ovaj folder se vidi iz alatke Computer Management u konzoli Local Users and Groups. Defoltne lokalne grupe na Serveru se kreiraju automatski kada instaliramo Windows Server 2003. Lokalne grupe mogu da sadrže lokalne korisničke naloge, domenske korisničke naloge, kompjuterske naloge i globalne grupe.
Defaultne Lokalne grupe na Serveru članu domena:
· Administrators – Članovi ove grupe imaju (Full Control) potpunu kontrolu nad serverom i mogu da dodeljuju korisnicima prava i dozvole za pristup resursima. Nalog Administrator je po defoltu član ove ugrađene grupe i ima potpunu kontrolu nad serverom. U ovu grupu nikako ne bi trebalo dodavati obične korisnike. Kada se Server doda u domen Domen Admins grupa automatski postaje član Administrators lokalne grupe na serveru.
· Guests – Kada se korisnik prijavi sa ovim nalogom na mrežu, ili lokalni kompjuter, kreira se trenutni (Temporary) profil. Kada se korisnik odjavi profil se automatski briše. Guest nalog je onemogućen po defoltu.
· Performance Log Users – Članovi ove lokalne grupe mogu da upravljaju brojačima, zapisima i uzbunama lokalno na Serveru i na udaljenim klijentima. Da bi sve to odradili članovi ove grupe ne moraju da budu članovi Admnistrators lokalne grupe.
· Performance Monitor Users – Član ove lokalne grupe može da nadgleda brojače performansi lokalno na serveru i takođe ne moraju da budu članovi Administrators lokalne grupe.
· Power Users – Članovi mogu da kreiraju korisničke naloge i nakon toga mogu te iste naloge da modifikuju i brišu. Takođe, članovi ove grupe mogu da kreiraju lokalne grupe na serveru i da dodaju i uklanjaju članove iz grupa koje su kreirali. Mogu da dodaju i uklanjaju članove u Power Users, Users, Guest grupama. Mogu da kreiraju deljene resurse i da upravljaju tim resursima. Članovi ne mogu da preuzimaju vlasništvo nad fajlovima, ne mogu da rade Backup i Restore, da instaliraju i deinstaliraju drajvere.
· Print Operators – Članovi ove grupe mogu da upravljaju Printerima.
· Users – Članovi ove lokalne grupe mogu da odrađuju jednostavne zadatke, kao što su startovanje aplikacija, koriste lokalne i mrežne printere, mogu da zaključaju Server. Članovi ove grupe ne mogu da kreiraju deljene direktorijume niti da kreiraju lokalne printere. Domen Users, Authenticated Users and Interactive grupe su članovi grupe Users. Stoga, kad kreiramo bilo koji korisnički nalog u domenu on automatski postaje član grupe Users.
Takođe postoji još nekoliko Defoltnih grupa na Serveru koji je član Domena, ali se one u pricipu retko koriste:
· Network Configuration Operators
· Remote Desktop Users
· Replicator
· HelpServicesGroup
· Terminal Server Users
Defoltne Grupe koje se koriste za upravljanje mrežnim servisima:
· DHCP Administrators – Članovi ove lokalne grupe imaju Administrativni pristup DHCP Servisu. Članovi grupe mogu da administriraju DHCP na serveru koristeći DHCP konzolu, ali ne mogu da odrađuju druge administrativne zadatke na serveru.
· DHCP Users – Članovi mogu samo da čitaju informacije DHCP servisa. Mogu da vide informacije i postavke DHCP Servera.
· WINS Users – Članovi mogu samo da čitaju informacije WINS servisa. Mogu da vide informacije i postavke WINS Servera
Defaultne grupe u Aktivnom Direktorijumu
Defoltne grupe su sigurnosne (security) grupe i kreirane su automatski pri instalaciji Domena Aktivnog Direktorijuma. Administratori mogu da koriste ove predefinisane grupe da bi uspešno administrirali resursima i da bi delegirali specifična administrativna prava.
Mnoge defoltne grupe sadrže automatski dodeljena korisnička prava koja određuju šta koja grupa i njihovi članovi mogu da odrađuju unutar domena ili šume. Korisnička prava daju članovima grupa dozvole za odrađivanje specifičnih akcija kao što su prijava na lokalni sistem, bekapovanje fajlova i foldera itd. Na primer, član Backup Operators grupe ima pravo da odrađuje bekap operacije na svim Domenskim Kontrolerima u domenu.
Nekolicina defoltnih grupa se nalaze u Users and Builtin kontejnerima u Aktivnom Direktorijumu. U Builtin kontejneru se nalaze Lokalne domenke Grupe. Users kontejner sadrži globalne i lokalne domenske grupe. Administratori mogu da grupe u Users and Builtin kontejnerima dodaju u druge grupe u organizacionim jedinicama ali ih ne mogu premeštati i ubacivati u druge domene.
Grupe koje se nalaze u BUILTIN kontejneru:
Sledi opis svih defoltnih grupa koje se nalaze u Builtin kontejneru u Aktivnom Direktorijumu. Svaka od ovih defoltnih ugrađenih grupa sadrži predefinisana korisnička prava.
· Account Operators – članovi ovih grupa mogu da kreiraju, modifikuju, i brišu naloge za korisnike, kompjutere koji se nalaze u Users ili Computers kontejnerima i organizacionim jedinicama u domenu, sa izuzetkom Domen Controllers organizacione jedinice. Članovi nemaju dozvole da modifikuju Administrators i Domen Admins grupe ili korisničke naloge koji članovi tih grupa. Članovi mogu da se prijave na Domen Kontroler lokalno i da ugase Server. Zbog toga što članovi ove grupe imaju zaista moćna prava u domenu u nju administratori treba da dodaju samo korisnike u koje imaju poverenje.
· Incoming Forest Trust Builders – Članovi mogu da kreiraju ONE-WAY, dolazeće poverenje u Forest Root Domain-u. Ova grupa nema defoltne članove.
· Pre-Windows 2000 Compatible Access – Članovi imaju READ dozvolu za sve korisnike i grupe u domenu. Grupa je napravljena za stare kompjutere koji rade pod Windows NT 4.0 i ranije operativne sisteme.
· Server Operators – Članovi mogu da te prijave na server lokalno, da kreiraju brišu i deljene resurse, mogu da startuju i stopiraju određene servise, da rade Backup and Restore fajlova, mogu da formatiraju hard diskove i da ugase kompjutere. Ova grupa nema defoltne članove. Iz razloga što grupa ima veliku moć nad Domen Kontrolerima, članove treba dodavati sa velikom opreznošću.
Grupe koje se nalaze u USERS kontejneru:
· Domain Controllers – U ovoj grupi se nalaze svi domen kontroleri u domenu.
· Domain Guests – Grupa sadrži sve goste domena
· Domain Users – Grupa sadrži sve korisnike u domenu. Svaki korisnički nalog koji je kreiran u domenu automatski postaje član ove grupe.
· Domain Computers – Grupa sadrži sve radne stanice i servere u domenu. Svaki kompjuterski nalog koji je kreiran u domenu automatski postaje član ove grupe.
· Domain Admins – Članovi imaju potpunu kontrolu pristupa u domenu. Ova grupa je član Administrators grupe na svim Domenskim Kontrolerima, na svim radim stanicama, na svim serverima članovima domena. Nalog Administrator je član ove grupe. Grupa poseduje kompletnu moc nad celim domenom i u njoj ne treba dodavati obične korisnike.
· Enterprise Admins – Članovi imaju potpunu kontrolu nad svim domenima u šumi. Ova grupa je član Administrators grupe na svim Domen Kontrolerima u celoj šumi. Nalog Administrator je član ove grupe. Zbog toga što ova grupa ima kompletnu moć nad celom šumom, članove ove grupe treba dodavati sa posebnom pažnjom.
Kada treba koristiti defoltne grupe?
Predefinisane grupe pomažu administratorima da kontrolišu pristup deljenim resursima i pri delegiranju posebnih prava i administrativnih rola. Mnoge defoltne grupe sadrže predefinisani skup korisničkih prava koja autorizuju člana grupe i omogoćavaju mu da odradi specifične zadatke u domenu. Kada administrator doda korisnika u grupu, korisnik dobija sva prava i dozvole koja su dodeljena grupi za deljene.
Kako obezbeđujemo defaultne grupe?
Administrator korisnike treba da ubacuje u defoltne grupe samo u slučaju kada je siguran da korisniku želi da dodeli:
· Sva korisnička prava koja su dodeljena defoltnoj grupi u Aktivnom Direktorijumu.
· Sve dozvole koje su dodeljene defaultnoj grupi za određeni deljeni resurs. U suprotnom, administrator treba da kreira novu sigurnosnu (security) grupu i da novoj grupi dodeli samo prava i dozvole koje su potrebne određenom korisniku.
Sistemske grupe (System Groups)
Administrator ne može da menja članstvo sistemskih grupa. Sistemske grupe kreira operativni sistem, i administrator nema prava da ih menja i da upravlja sa njima. Veoma je važno shvatiti Sistemske grupe, zato što one pružaju sigurnost.
Server koji radi na Windows Server 2003 operativnom sistemu, uključuje nekoliko specijalnih identiteta kao dodatak grupama koje se nalaze u Builtin and Users kontejnerima. Ovi identiteti se odnose na sistemske grupe.
Opseg grupa se ne dodeljuje sistemskim grupama. Korisnici su automatski dodati u Sistemske grupe kad god se prijave ili pristupe odgovarajućem resursu.
Sistemske Grupe:
· Anonymous logon – Ova grupa prestavlja korisnike i servise koji su pristupili kompjuteru i njegovim resursima kroz mrežu bez korišćenja korisničkog naloga i lozinke.
· Everyone – Ova sistemska grupa prestavlja sve trenutne mrežne korisnike, uključujući i goste i korisnike sa drugih domena. Kad se korisnik prijavi na mrežu on automatski postaje član ove grupe. Zbog toga što Anonymous Logon grupa automatski postaje član ove grupe, peporučuje se da se grupi Everyone daje samo READ-ONLY pristup resursima.
· Network – Ova sistemska grupa predstavlja korisnika koji trenutno pristupa resorsu preko mreže. Kad god korisnik pristupi nekom resorsu preko mreže, automatski postaje član Network Sistemske grupe.
· Interactive – Ova sistemska grupa prestavlja sve korisnike koji su trenutno prijavljeni na određeni kompjuter i pristupaju njegovim resursima. Kad god korisnik pristupi resursima na kompjuteru na kom je i prijavljen, automatski postaje član ove Sistemske grupe.
Authenticated Users – Ova sistemska grupa predstavlja sve korisnike u Aktivnom Direktorijumu koji su uspešno prošli proces autentifikacije. Uvek treba koristiti ovu grupu za dodeljivanje dozvola korisnicima u Aktivnom Direktorijumu pre nego Everyone grupu.