Modifikovanje dozvola za objekte u Aktivnom Direktorijumu.

Svaki objekat u Aktivnom Direktorijumu sadrži sigurnosni opis koji definiše koji korisnički nalozi imaju dozvolu za pristup objektu i koji tip pristupa je dozvoljen. Microsoft Windows Server 2003 familija koristi ove sigurnosne opise za kontrolu pristupa objektima.

Nakon ove lekcije naučićete da:

  • Objasnite šta su to dozvole za objekte u Aktivnom Direktorijumu.
  • Opišete karakteristike dozvola za objekte Aktivnog Direktorijuma.
  • Opišete nasleđivanje dozvola za objekte Aktivnog Direktorijuma.
  • Opišete efekte modifikovanja objekata na nasleđivanje dozvola.
  • Modifikujete dozvole za objekte aktivnog direktorijuma.

Šta su to dozvole za objekte u Aktivnom Direktorijumu?

Dozvole za objekte u Aktivnom Direktorijumu daju sigurnost resursima tako što nam omogućavaju takvu kontrolu da možemo da vidimo koji administratori i korisnici mogu da pristupe individualnom objektu i atributima objekta i koji tip pristupa je dozvoljen. Koristimo dozvole za dodeljivanje administrativnih privilegija za organizacione jedinice ili za hijerarhiju organizacionih jedinica da bi upravljali mrežnim pristupom. Možemo takođe da koristimo dozvole da, dodeljujemo administrativne privilegije za objekat određenoj grupi ili korisniku.

Standardne i specijalne dozvole. Standardne dozvole se najčešće dodeljuju i sastoje se od skupa specijalnih dozvola. Specijalne dozvole nam daju viši stepen kontrole nad tipom pristupa koji dodeljujemo za objekat.

Standardne dozvole uključuju sledeće:

  • Full Control
  • Write
  • Read
  • Create all Child Objects
  • Delete All Child Objects

Autorizovani pritup pomoću dozvola.

Administrator ili vlasnik objekta mora objektu da dodeli dozvole za objekat da bi korisnici mogli da pristupe objektu. Windows Server 2003 familija, smešta listu dozvola za pristup korisnika, koja se naziva Discretionary Access Control List (DACL), za svaki objekat u Aktivnom Direktorijumu. DACL za objekat daje listu onih koji mogu da pristupe objektu i koje akcije mogu da odrade vezano za objekat.

Za više informacija o dozvolama Aktivnog Direktorijuma, pogledajte: Best practices for assigning permissions on Active Directory objects at http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/datacenter/ACLUI_acl_BP.asp.

Karakteristike dozvola za objekte u Aktivnom Direktorijumu

Mada su NTFS dozvole i dozvole za objekte u Aktivnom Direktorijumu slične, određene karakteristike za dozvole za objekte Aktivnog Direktorijuma su specifične. Dozvole za objekte Aktivnog Direktorijuma mogu da budu dozvoljene ili zabranjene, eksplicitno ili implicitno zabranjene postavljanjem standardnih ili specijalnih dozvola, i postavljanjem (object level) ili nasleđivanja dozvola od roditeljskog objekta.

Omogućene ili zabranjene dozvole (allowing or denying).

Možemo da omogućimo ili zabranimo dozvole. Zabranjivanje dozvola ima prednost u odnosu na dozvole koje smo prethodno dozvolili korisničkom nalogu i grupi. Zabranjujemo dozvole samo kad je neophodno da uklonimo dozvolu za korisnika koji je tu dozvolu dobio time što pripada grupi kojoj je dozvola dodeljena.

Implicitne ili Eksplicitne dozvole.

Možemo da implicitno ili eksplicitno zabranimo (deny) dozvole:

  • Kada je dozvola koja je potrebna za određenu operaciju nije elsplicitno dodeljena ona je implicitno zabranjena.
  • Eksplicitno zabranjujemo (deny) dozvolu kada želimo da izuzmemo pojedinca iz grupe kojoj je dozvola omogućena. Standardne i Specijalne dozvole. Većina dozvola za objekte u Aktivnom Direktorijumu može biti konfigurisana kroz standardne dozvole. Ove dozvole se najčešće koriste, ali ipak ako moramo da dodelimo finije i određenije dozvole onda koristimo specijalne dozvole. Nasleđene dozvole. Kada su dozvole postavljene na roditeljskom objektu, novi objekat nasleđuje dozvole roditelja. Možemo da uklonimo nasleđene dozvole, ali takođe možemo da ih ponovo omogućimo ako želimo.

Nasleđivanje dozvola za objekte u Aktivnom Direktorijumu.

Prednosti nasleđivanja objekata.

Roditeljski objekat je bilo koji objekat koji je u vezi sa drugim objektom koga nazivamo dete objekat. Dete objekat nasleđuje dozvole koje su pripisane roditeljskom objektu. Proces nasleđivanja dozvola u Aktivnom Direktorijumu umanjuje posao sistem administratora, jer je dovoljno da jednom postavimo dozvole za roditeljski objekat i sva deca objekti će dobiti te dozvole. Nasleđivanje dozvola u Windows Server 2003 uprošćava zadatak, upravljanje dozvolama, na sledeći način:

  • Administrator ne treba da dodeljuje dozvole ručno za decu objekte kad su kreirani.
  • Dozvole koje su dodeljene roditeljskom objektu su automatski dodeljene i svim (Child) objektima.
  • Kada moramo da modifikujemo dozvole za sve objekte u kontejneru, treba samo da modifikujemo dozvole na roditeljskom objektu. Deca objekti automatski nasleđuju te dozvole.

Efekti modifikovanja objekata na nasleđivanje dozvola

Modifikovanje objekata u Aktivnom Direktorijumu utiče na nasleđivanje dozvola. Sistem administrator, je često pitan da premesti neke objekte iz jedne organizacione jedinice u drugu u Aktivnom Direktorijumu kada se menja administrativna ili organizaciona funkcija u kompaniji. Kada administrator premesti objekat iz jedne organizacione jedinice u drugu nasleđene dozvole se menjaju. Veoma je važno da ovo naučite pre nego što počnete da premeštate objekte u Aktivnom Direktorijumu. Efekti pomeranja objekata.

Kada premeštamo objekte iz jedne organizacione jedinice u drugu važe sledeći uslovi:

  • Dozvole koje su eksplicitno dodeljene ostaju iste.
  • Objekat nasleđuje dozvole koje su postavljene za organizacionu jedinicu u koju je premešten.
  • Objekat više ne nasleđuje dozvole od organizacione jedinice iz koje je premešten. Sprečavanje procesa nasleđivanja. Možemo da sprečimo proces nasleđivanja tako da dete objekat ne nasledi nijednu dozvolu koja je dodeljena roditeljskom objektu. Kada sprećimo nasleđivanje, samo dozvole koje su eksplicitno dodeljene vaze.

Kada sprečavamo nasleđivanje dozvola, Windows Server 2003 familija nam omogućava:

  • Iskopiramo nasleđene dozvole sa objekta.

Nove dozvole su eksplicitne dozvole za objekat. Imamo kopiju dozvola koje su ranije nasleđene od roditeljskog objekta. Nakon što su nasleđene dozvole kopirane možemo da odradimo određene promene na dozvolama.

  • Uklonimo nasleđene dozvole sa objekta.

Uklanjanjem ovih dozvola, eliminisali smo sve dozvole za taj objekat. Tada možemo da dodelimo nove dozvole koje želimo.

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Modifikovanje dozvola za objekte Aktivnog Direktorijuma 1
  • Modifikovanje dozvola za objekte Aktivnog Direktorijuma 2
  • Modifikovanje dozvola za objekte Aktivnog Direktorijuma 3
  • Modifikovanje dozvola za objekte Aktivnog Direktorijuma 4