+ All Categories
Home > Documents > Unitate Organizationala in Active Directory

Unitate Organizationala in Active Directory

Date post: 14-Oct-2015
Category:

Documents
Upload: evghenii-casian
View: 124 times
Download: 2 times
Download Report this document
Share this document with a friend

of 65

Download
Transcript

  • 4. Administrarea domeniilor Serviciul director Active Directory

    Creterea numrului de calculatoare existente la un moment dat ntr-o reea a impus necesitatea folosirii unui serviciu centralizat care s asigure efectuarea diverselor operaii de reea, modelul workgroup fiind greu de implementat i gestionat n astfel de situaii. Un serviciu director (directory service) cuprinde o colecie de informaii despre obiecte care sunt n legtur unele cu altele ntr-o anumit privin. Serviciul director furnizeaz un mod consistent de a identifica, localiza, organiza, securiza i simplifica accesul la resursele unei reele de calculatoare. Active directory este tehnologia creat de Microsoft pentru serviciul director Windows Server 2003. Active Directory pstreaz i pune la dispoziie informaii despre resursele unei reele, organizate n obiecte. Fiecare obiect are un set de atribute asociate, informaii care identific i descriu obiectul. Baza structurii logice n Active Directory este domeniul. Domeniul este n general o colecie de obiecte, unele dintre ele create de administratorul domeniului. Folosind o singur baz de date, Active Directory ofer posibilitatea administrrii centralizate a tuturor resurselor unei reele. Structura Active Directory este reprezentat printr-o ierarhie de obiecte, n care fiecare obiect reprezint o singur entitate: un computer, un utilizator, un grup, o imprimant. Obiectele au proprieti, numite i atribute. Unele obiecte sunt containere, deci conin alte obiecte, inclusiv alte containere. De aici structura ierarhic Active Directory. La nivelul cel mai nalt al ierarhiei Active Directory se afl forest (pdure). Un forest se compune din arbori (tree). La rndul lui un arbore este compus din domenii.

    Domeniul Conform terminologiei Microsoft, domeniul este reprezentat dintr-un grup de calculatoare care fac parte dintr-o reea i care folosesc n comun aceeai baz de date n care sunt reprezentate resursele reelei. Domeniul este administrat ca entitate distinct, cu reguli i proceduri comune pentru toate calculatoarele care l compun. Domeniile sunt recunoscute prin nume. Calculatoarele membre ale domeniului respect politica de securitate a domeniului. n plus, domeniul ofer i soluia administrrii centralizate a tuturor resurselor reelei, indiferent unde ar fi ele distribuite: administrarea bazei de date a domeniului este n fond soluia pentru administrarea tuturor

    resurselor reprezentate prin obiecte nscrise n aceast baz de date. O singur operaie de logon n domeniu (deschidere de sesiune) este suficient pentru ca un utilizator s fie recunoscut n domeniu i s aib acces la resursele domeniului, n limita permisiunilor i a privilegiilor de care dispune.

  • Reprezentarea grafic a domeniului este triunghiul care sugereaz frontiera de administrare, frontiera de securitate i aezarea ierarhic a componentelor sale. Domeniul este construit n jurul unui controler de domeniu (domain controller). ntr-un domeniu trebuie s existe cel puin un controler de domeniu. El deine toate informaiile despre domeniu, despre resursele reelei i este serverul folosit pentru autentificarea n domeniu (logon n domeniu). Crearea unui domeniu se obine prin crearea controlerului de domeniu. Instalarea serviciului Active Directory pe un server l transform n controler de domeniu. Active Directory se poate instala pe sistemele de operare Windows Server 2003, mai puin ediia Web Edition. Mai multe domenii pot fi organizate ierarhic i pot constitui structuri arborescente, numite tree. Un arbore (tree) este o grupare de domenii din acelai spaiu de nume, deci o convenie relativ la modul n care sunt denumite acestea. ntre domenii exist relaii de tip printe - copil: un subdomeniu este fiul domeniului printe.

    Fiecare domeniu are un nume propriu. n figura alturat este reprezentat o structur de domenii, n care avem un singur tree (arbore). Numele domeniului rdcin este microsoft.com, nume n formatul Domain Name System (DNS). Numele subdomeniului se formeaz prin concatenarea unui sufix la numele printelui, ca de exemplu uk.microsoft.com, care este un

    subdomeniu al domeniului microsoft.com. Liniile care unesc domeniile definesc relaiile dintre ele: n acest caz sunt relaii de genul printe-copil (parent-child) sau domeniu-subdomeniu. O pdure (forest) este o grupare de arbori (tree) care au spaii de nume distincte.

    n aceast figur este reprezentat un forest cu cu dou arborescene. Fiecare dintre ele are un spaiu de nume independent.

  • Numele forest-ului este dat de numele primului domeniu creat n forest numit i domeniul rdcin pentru forest (forest root domain). n cazul nostru este microsoft.com. n situaia n care structura unui Active Directory conine un singur domeniu atunci el este i domeniul rdcin. Cu alte cuvinte exist i n acest caz particular un arbore i un forest. ntre domenii exist relaii de ncredere (trust). Este cunoscut faptul c un utilizator autentificat n domeniu, deci cunoscut la nivelul acelui domeniu, are acces la resursele domeniului, n limita permisiunilor. Relaia de ncredere (trust) ntre domenii se refer la faptul c un utilizator autentificat ntr-un domeniu poate folosi o resurs ce aparine altui domeniu; fiind un utilizator cunoscut, domeniul are suficient ncredere n el i i pune la dispoziie resursele, presupunnd c utilizatorul are permisiunile necesare. Relaiile printe-copil sunt relaii de ncredere (trust) bidirecionale i tranzitive. ntre domeniile rdcin ale arborilor care formeaz pdurea exist o relaie de ncredere (trust) bidirecional. Caracteristicile domeniilor Windows Server 2003 sunt urmtoarele: Exist o singur baz de date care pstreaz toate conturile utilizatorilor

    din domeniu. Baza de date face parte din serviciul Active Directory. Pentru a avea acces la oricare resurs din domeniu, utilizatorul are nevoie de un singur cont de utilizator n domeniu. Este suficient o singur operaie de autentificare n domeniu pentru ca utilizatorul s fie recunoscut de fiecare resurs a domeniului.

    Administrarea resurselor i autentificarea utilizatorilor sunt centralizate. Domeniile sunt scalabile: pot conine un numr mic de calculatoare, dar

    pot gzdui la fel de bine mai multe mii de calculatoare. Un domeniu este gestionat prin cel puin un domain controller. Un controler de domeniu (domain controller) controleaz numai un singur

    domeniu. ntr-un domeniu pot s funcioneze mai multe controlere de domeniu. Toate exemplarele bazei de date a domeniului, aflate pe controlerele

    acelui domeniu, sunt modificabile. Modificrile realizate pe un exemplar sunt transmise ctre celelalte printr-un proces numit replicare. ntruct sunt acceptate modificri pe orice domain controller, replicarea este de tipul multi-master. n afar de transmiterea modificrilor, cu aceast ocazie se realizeaz i gestionarea eventualelor conflicte care ar putea s apar n urma efecturii simultane a unor modificri. Instalarea mai multor controlere de domeniu pentru acelai domeniu se justific prin asigurarea toleranei la erori sau pentru echilibrarea cererilor provenite de la clieni.

  • Un domain controller conine integral baza de date a domeniului. Nu exist posibilitatea meninerii unor exemplare pariale ale bazei de date asociate cu domeniul n cauz.

    La proiectarea Active Directory trebuie avut n vedere, ca principiu de design, minimizarea numrului de domenii. Fiind arii de securitate distincte, un numr ct mai mic de domenii, preferabil unul singur, permite gestionarea mai uoar a domeniului. Unul din motivele pentru care am dori mai multe controlere de domeniu este legat de echilibrarea cererilor de autentificare a utilizatorilor. n situaia n care, pentru acel domeniu funcioneaz dou controlere n aceeai reea, e de ateptat ca fiecare dintre ele s fie egal ncrcate (load balance) cu cereri de autentificare. Redundana informaiilor este alt motiv pentru care funcioneaz mai multe controlere n acelai domeniu. n cazul n care unul dintre ele nu mai funcioneaz toate rolurile i funciile i vor putea fi preluate de cele rmase n funciune, iar utilizatorii nu vor avea de suferit.

    Active Directory folosete serviciul Domain Name System (DNS): pentru fiecare domeniu Active Directory trebuie s existe un domeniu DNS cu acelai nume.

  • n figura alturat este prezentat corespondena dintre domeniile DNS i cele de tip Active Directory.

    Domeniul DNS poate s existe nainte de instalarea lui Active Directory sau poate fi instalat pe domain controller n timpul procesului de instalare a serviciului Active

    ea dinamic a nregistrrilor (dynamic update). nregistrrile DNS de tip SRV sunt folosite pentru ide

    ofer acest serviciu.

    omeniu este cel cruia i se va adresa i va rezolva cererea de autentificare.

    Directory.

    Cerina minimal a domeniului DNS este aceea de a permite nregistrri de tip SRV. Este recomandabil ca domeniul DNS s asigure i actualizar

    ntificarea serviciilor. De exemplu, n figura alturat este prezentat serviciul de catalog global care ruleaz pe portul 3268. nregistrarea SRV (service) indic numele host-ului care

    Utilizatorii care folosesc calculatoarele membre ale domeniului pot deschide sesiune local folosind un cont utilizator local calculatorului sau n

    domeniu. In vederea deschiderii de sesiune n domeniu, clientul Active Directory care este i client DNS, interogheaz mai nti serverul DNS n cutarea unui controler de domeniu. Controlerul de d

  • Instalarea Active Directory Serviciul director Active Directory (Active Directory Service) poate fi instalat pe calculatoare unde funcioneaz sisteme de operare Microsoft Windows Server 2003, ediii Standard, Enterprise i Data Center. Serviciul Active Directory are nevoie de o partiie NTFS cu minim 1 GB de spaiu liber, pentru nceput. n partiia NTFS se va afla baza de date a domeniului care va crete pe msur ce vor fi adugate obiecte n domeniu. n urma instalrii serviciului Active Directory serverul devine controler de domeniu. Serverul care va deveni controler de domeniu trebuie s aib de la nceput o adresa IP static i s fie client la serverul DNS responsabil cu rezolvarea numelor n domeniu. Microsoft recomand ca serverul controler de domeniu s ndeplineasc i rolul de server DNS. Mai mult dect att, Microsoft recomand ca instalarea serviciului DNS s aib loc o dat cu instalarea Active Directory.

    Promovarea unui server la rolul de controler de domeniu Comanda de promovare este dcpromo. Aceeai comand poate fi folosit i pentru retrogradarea controlerului de domeniu: dac serverul este deja controler de domeniu comanda dcpromo dezinstaleaz serviciul Active Directory. 1. Start -> Run i introducem dcpromo n caseta de dialog Run. 2. Vrjitorul (Wizard) Active Directory Installation Wizard a fost lansat n execuie i continum (Next). 3. n caseta de dialog Domain Controller Type, va fi ales tipul noului controler de domeniu: va fi el un controler pentru un domeniu nou (nc necreat) sau un controler de domeniu suplimentar ntr-un domeniu existent, creat cndva nainte. Domain Controller for a new domain este opiunea pentru crearea unui domeniu nou, implicit a unui controler de domeniu ntr-un nou domeniu.

  • 4. Noul domeniu trebuie plasat ntr-o ierarhie: este nceputul unei ierarhii noi (adic un forest nou), sau doar un arbore nou ntr-un forest existent, sau este un subdomeniu (domeniu copil child) al unui domeniu existent. ntruct acesta va fi primul domeniu Active Directory, selectm opiunea Create a New Domain in a new forest (crearea unui domeniu nou ntr-un forest nou).

    5. New Domain Name (numele noului domeniu) este locul unde va fi specificat numele n format DNS al noului domeniu. De aici n acolo, domeniul va purta dou nume: numele n format DNS i cel n format NetBIOS.

  • 6. Numele NetBIOS ale domeniilor sunt utilizate pentru compatibilitatea cu alte sisteme de operare. Implicit, numele NetBIOS al domeniului va fi prima parte a numelui n specificator DNS (pn la primul punct).

    7. n caseta de dialog Database and Log Folders (baza de date i fiiere log - jurnal) va fi specificat locul unde vor fi create baza de date a serviciului i fiierele jurnal. n mod implicit, este vorba despre calea C:\Windows\NTDS.

  • 8. Volumul Shared System Volume (volum sistem partajat) pstreaz politicile de securitate Active Directory. O replic a coninutului va fi transmis ctre toate celelalte controlere de domeniu. Acest folder se va afla ntr-o partiie NTFS i se numete SYSVOL. Calea implicit este C:\Windows.

    9. Serviciul Active Directory are nevoie de suportul DNS. Controlerul de domeniu trebuie s fie client al unui server DNS, unde exist un domeniu DNS cu acelai nume ca i numele domeniului Active Directory. n cazul n care nu exist deja un server DNS care s ndeplineasc aceste condiii, promovarea serverului la rolul de controler de domeniu poate conine i secvena de instalare i configurare a serviciului Domain Name System (DNS) Install and configure the DNS Server.

  • 10. Caseta de dialog Permissions (permisiuni): ca parte a procesului de promovare, sistemul de operare are nevoie de stabilirea permisiunilor pentru utilizatori i grupuri.

    11. Urmeaz stabilirea parolei administratorului pentru modul de lucru Directory Services Restore Mode (restaurarea serviciilor director). Este situaia cnd administratorul va ncerca s restaureze serviciul Active Diretory folosind pentru autentificare un cont special. Pentru restaurare administratorul va folosi o copie de siguran (backup) n timp de serviciul Active Directory nu va fi pornit.

    12. n baza opiunilor de instalare pe care le-am selectat, Active Directory Installation Wizard (vrjitorul pentru instalarea Active Directory) afieaz un sumar al alegerilor fcute i construiete apoi baza de date a serviciului.

  • Verificarea instalrii Active Directory

    I. Cea mai bun cale de verificare a operaiile legate de instalarea Active Directory este consultarea jurnalului Directory Service cu ajutorul utilitarului Event Viewer.

    II. Consola serviciului DNS arat nregistrrile specifice serviciului Active Directory, respectiv nregistrrile de tip SRV.

    III. n grupul de programe Administrative Tools sunt adugate o serie de programe pentru gestionarea Active Directory: Active Directory Users and Computers: permite crearea conturilor de

    utilizator, a grupurilor, conturilor de calculator, a unitilor organizaionale, a politicilor de securitate aferente domeniului i unitilor organizaionale. Este utilitarul folosit pentru administrarea tuturor obiectelor Active Directory.

  • Active Directory Domains and Trusts: pentru vizualizarea i modificarea relaiilor de ncredere dintre domeniile Active Directory.

    Active Directory Sites and Services: pentru crearea i coordonarea site-urilor i a serviciilor Active Directory.

    Includerea unui computer n domeniu Apartenena unui calculator (staie de lucru sau server) la un domeniu este o proprietate a sistemului. n acelai timp, calculatorul membru al domeniului trebuie s fie client la serverul DNS care controleaz domeniul DNS cu acelai nume ca i domeniul Active Directory.

    Introducerea calculatorului n domeniu, se obine prin System Properties.

  • De la calculatoarele incluse n domeniu, utilizatorii pot deschide sesiune folosind fie un cont din domeniu, fie un cont din baza de date local SAM. Exist posibilitatea alegerii uneia dintre cele dou opiuni n fereastra de logon:

    Administrarea unui domeniu se poate face, n calitate de administrator al domeniului, de la orice calculator membru al domeniului. Instrumentele de administrare sunt utilitare care pot fi instalate de pe kit-ul de instalare al sistemului de operare Windows Server 2003. Pachetul de instalare se numete adminpak.msi. Lansarea n execuie a acestui pachet instaleaz instrumentele de administrare. Pentru calculatoarele care au instalat Windows Server 2003 adminpak.msi poate fi gsit i n C:\Windows\System32.

  • Obiecte Active Directory

    Active Directory Users and Computers este utilitarul care afieaz structura logic, arborescent a unui domeniu. El asigur interfaa pentru crearea i administrarea obiectelor din Active Directory.

    Unitate organizaional O unitate organizaional (OU) este un container din domeniu folosit pentru a stoca i organiza obiecte. Unitile organizaionale pot fi folosite n vederea delegrii sarcinilor administrative distincte unor utilizatori care nu sunt administratorii domeniului. Ei vor primi numai sarcina administrrii unora dintre obiectele din acea unitate organizaional. Unitile organizaionale pot fi incluse unele n altele, ceea ce asigur o structur ierarhic a obiectelor. O unitate organizaional poate fi creat folosind utilitarul Active Directory Users and Computers (utilizatori i computere din Active Directory). Pentru creare folosim ntotdeauna comanda New (Nou). Obiectele, oricare ar fi ele, sunt recunoscute prin nume.

  • Nou creata unitate de organizare este un container, aa cum indic i pictograma care i este asociat. Se observ c pot fi crete aici obiecte noi.

  • Conturi pentru utilizatori Contul pentru utilizatori este un obiect Active Directory care conine toate informaiile necesare pentru definirea i identificarea unui utilizator n domeniu. Administratorul domeniului va crea cte un cont pentru fiecare utilizator din domeniu. Unele conturi sunt create automat, la instalarea serviciului Active Directory.

    n domeniu exist, de la bun nceput, contul Administrator pentru administratorul domeniului i respectiv contul Guest (oaspete, musafir), care este implicit dezactivat i care are drepturi limitate n sistem. Ambele conturi sunt plasate n containerul Users, care atenie nu este unitate organizaional.

  • Pentru crearea unui cont utilizator avem la ndemn comanda New -> User

  • Primele informaii despre noul utilizator sunt cele legate de identitatea lui i de numele folosit pentru deschiderea de sesiune. Urmeaz apoi parola i celelalte informaii.

    Odat contul de utilizator creat putem efectua diverse operaii asupra acestuia, ca de exemplu cele care apar dup un clic dreapta pe obiectul respectiv:

    Resetare Parol (Reset Password) i ofer administratorului posibilitatea stabilirii unei noi parole pentru acel utilizator.

    Dezactivare cont (Disable Account) - contul devine dezactivat, nefolosibil; nu se poate face deschidere de sesiune folosind un cont dezactivat. Operaia invers este Activare cont (Enable Accout)

    Adugare n grup (Add to a group)

    Copiere (Copy) Mutare (Move)

  • Obiectele Active Directory au proprieti, numite n alte situaii atribute. Valorile asociate proprietilor asigur identificarea unic a obiectelor.

    S examinm cteva dintre proprietile sau atributele conturilor utilizator:

    Pentru nceput remarcm categoria de proprieti de tipul Account (cont) unde apare data de expirare a contului sau, altfel spus durata de valabilitate a contului creat. Tot aici sunt i posibilele restricii legate de deschiderea de sesiune, i anume Logon hours (intervalul de timp n care este permis deschiderea de sesiune) i Log On To (calculatoarele care pot fi folosite pentru deschiderea de sesiune).

  • De exemplu n figura de mai sus, utilizatorul user1 nu poate deschide sesiune n zilele de smbt i duminic. Conturi pentru computere Fiecare calculator din domeniu este reprezentat printr-un cont de calculator. Conturile pentru calculatoare pot fi create manual sau automat. Promovarea unui server la rangul (rolul) de controler de domeniu se materializeaz prin crearea automat a unui cont calculator n containerul Domain Controllers

    (Controlere de domeniu). Includerea unui calculator n domeniu determin crearea automat a unui cont calculator n containerul Computers (Computere).

    Domain Controllers este un container de tip unitate organizaional pentru conturile controlerelor de domeniu.

    Containerul Computers conine calculatoarele membre n domeniu (Containerul Computers nu este unitate organizaional).

  • Identificarea obiectelor Active Directory Obiectele Active Directory pot fi identificate prin specificatorii lor LDAP. Lightweight Directory Access Protocol (LDAP) este un protocol standard, stabilit de Internet Engineering Task Force (IETF). Specificatorul LDAP complet calificat (numit conform protocolului distinguished name) asigur identificarea unic a unui obiect n Active Directory. Din structura unui specificator complet calificat fac parte:

    DC - Domain Component pentru componentele de nume ale domeniului OU - Organizational Unit pentru unitile organizaionale care compun

    calea pn la obiect CN - Common Name numele obiectului

    Specificatorul LDAP al contului utilizator user1 este: CN=user1, OU=OU1, DC=sinca, DC=ad Not: Numele CN al unui cont utilizator va fi First name Initials. Last name.

    Specificatorul LDAP OU=Cursuri, OU=OU1, DC=sinca, DC=ad se refer la obiectul unitate organizaional numit Cursuri aflat n OU1 care la rndul lui se afl n domeniul sinca.ad.

    Obiectele utilizator pot fi identificate prin aa-numitul User Principal Name (UPN). Formatul general al acestui specificator este sufix@domeniu, sau n cazul nostru [email protected].

  • Toate obiectele Active Directory pot fi identificate prin GUID Globally Unique Identifier identificatorul unic global. Identificatorul este creat odat cu obiectul i nu se va modifica niciodat pe toat durata existenei obiectului, indiferent dac obiectul se mut dintr-un loc n altul sau dac i se schimb numele. Utilitarul Active Directory Users and Computers permite cutarea i gsirea, localizarea obiectelor din Active Directory. Comanda este Find (caut). Vor trebui indicate criteriile de cutare.

    Grupuri Grupurile sunt colecii de utilizatori i calculatoare care pot fi tratate unitar. Grupurile au membrii i pot fi incluse n alte grupuri. Grupurilor le sunt de obicei asociate drepturi sau permisiuni, ceea ce face ca fiecare membru al grupului s beneficieze de acelai set de drepturi sau permisiuni. Crearea conturilor de grup se face printr-o comand New Group

  • Grupurile sunt caracterizate prin tip i arie de cuprindere sau arie de vizibilitate (scope). n funcie de tip, grupurile pot fi de distribuie, adic membrii grupului vor fi destinatarii mesajelor e-mail trimise ctre grup, sau de tip securitate (security). n acest ultim caz, grupului i se pot asocia drepturi, permisiuni, restricii, ceea ce va face ca fiecare membru al grupului s aib exact acelai set de drepturi, permisiuni i restricii. Dup aria de cuprindere sau aria de vizibilitate grupurile pot fi: Globale Locale domeniului Universale Diferenierea n funcie de scope apare cnd se analizeaz relaia dintre membrii grupului i resursele disponibile. n general, grupurile au membri care pot fi conturi de utilizator i/sau alte grupuri. Resursele disponibile, respectiv resursele pe care le pot folosi membrii grupului, sunt foldere, fiiere, imprimante distribuite pe calculatoarele din reea. n analiza ce urmeaz considerm o structur Active Directory cu cel puin dou domenii.

    Membrii Conturi (de utilizator sau de

    computer) i grupuri globale din acelai domeniu cu cel n care se afl

    grupul Grup Global

    Resursele disponibile Oriunde, n orice domeniu al pdurii

    Membrii Conturi (de utilizator sau de computer), grupuri globale i

    universale din orice domeniu al pdurii

    Grup

    Universal Resursele disponibile

    Oriunde, n orice domeniu al pdurii

    Membrii

    Conturi (de utilizator sau de computer), grupuri globale i

    universale din orice domeniu al pdurii i grupuri locale domeniului

    din acelai domeniu cu cel n care se afl grupul

    Grup local domeniului

    (Domain Local)

    Resursele disponibile

    Locale domeniului, din domeniul n care se afl grupul

  • n domeniu exist cteva grupuri preconstruite. Apartenena la aceste grupuri ofer membrilor drepturile asociate. Grupurile preconstruite exist n containerele Users i Builtin i pot fi vizualizate folosind Active Directory Users and Computers.

    Drepturile implicite pentru principalele grupuri predefinite din domeniu sunt urmtoarele:

    Grup Descriere Drepturi implicite

    Account Operators

    Membrii acestui grup pot crea, modifica, terge conturi pentru utilizatori n containere, altele dect Domain controllers

    Allow log on locally;

    Shut down the system.

    Administrators

    Membrii acestui grup au control deplin asupra tuturor controlerelor de domeniu

    Access this computer from the network;

    Back up files and directories;Change the system time;

    Debug programs;Enable computer and user accounts to be trusted for

    delegation; Force a shutdown from a

    remote system;

  • Grup Descriere Drepturi implicite

    Increase scheduling priority; Load and unload device

    drivers; Allow log on locally; Manage auditing and security

    log; Modify firmware environment

    values;Profile system performance;

    Remove computer from docking station;

    Restore files and directories; Shut down the system;

    Take ownership of files or other objects.

    Backup Operators

    Membrii acestui grup pot salva i restaura toate fiierele de pe controlere de domeniu, indiferent de permisiunile lor la fiiere

    Back up files and directories; Allow log on locally;

    Restore files and directories;Shut down the system.

    Print Operators

    Membrii pot controla imprimarea: creeaz, partajeaz, terg obiectele printer, gestioneaz obiectele printer din Active Directory

    Allow log on locally;Shut down the system.

    Server Operators

    Membrii pot crea pe controlerele de domeniu resurse partajate, le pot terge, pot starta i opri anumite servicii, pot salva i restaura fiiere

    Back up files and directories; Change the system time;

    Force shutdown from a remote system;

    Allow log on locally; Restore files and directories;

    Shut down the system.

    Users

    Membrii pot executa sarcini obinuite, care includ lansarea n execuie a aplicaiilor. Domain Users este membru aici

  • Grup Descriere Drepturi implicite

    Domain Admins

    Membrii acestui grup au control deplin asupra domeniului. Implicit este inclus n Administrators local domeniului

    Access this computer from the network; Back up files and

    directories; Change the system time; Debug programs; Enable computer and user accounts to

    be trusted for delegation; Force a shutdown from a remote system;

    Increase scheduling priority; Load and unload device drivers;

    Allow log on locally; Manage auditing and security log; Modify

    firmware environment values; Restore files and directories; Shut down the system; Take

    ownership of files or other objects.

    Domain Users

    Conine toi utilizatorii din domeniu. Orice cont utilizator creat este implicit membru n acest grup.

    Enterprise Admins (exista numai n domeniul rdcin)

    Dein controlul asupra ntregii pduri (forest) Implicit este inclus n grupul Administrators local domeniului

    Idem ca Domain Admins, dar pentru toate domeniile din

    forest.

    Frecvent, un cont utilizator este referit prin grupul de utilizatori cruia i aparine. De exemplu, un cont din grupul Domain Admins este denumit administrator de domeniu. Un cont poate fi membrul mai multor grupuri. n aceast situaie drepturile, permisiunile i restriciile contului sunt cele obinute prin nsumarea drepturilor, permisiunilor i restriciilor asociate grupurilor din care face parte contul.

    Grupurile sistem sunt create de sistemul de operare iar lista membrilor grupului este implicit, deci nu poate fi modificat explicit. Cele mai cunoscute grupuri sistem sunt :

  • Nume Descriere

    Everyone toi utilizatorii din reea.

    Anonymous Logon

    utilizatorii i serviciile care acceseaz prin reea computerul i resursele sale, fr a utiliza un nume de cont i parol.

    Interactive utilizatorii care au sesiune deschis n acel moment

    Network utilizatorii care acceseaz resursele de la acel calculator, prin reea

    Authenticated Users

    utilizatorii din Active Directory. Utilizatorii de tip guest nu fac parte din acest grup

    Creator Owner

    contul utilizator care a creat sau a luat n proprietate resursa (obiectul). Membrii acestui grup au n mod implicit permisiunea de a modifica permisiunile la obiectul pe care l dein n proprietate

    Nivelul funcional al unui domeniu

    n domeniile Windows 2003 Active Directory, controlerele de domeniu pot rula versiuni diferite de sisteme de operare Windows Server. n acest context, exist patru niveluri de funcionare a unui domeniu. Windows 2000 mixt (implicit) Windows 2000 nativ Windows Server 2003 interim (obinut numai n urma upgrade-ului direct

    de la Windows NT4.0 la Windows 2003 Server) Windows Server 2003

  • Domain Functional Level

    Controlere de domeniu

    Windows 2000 mixt Windows Server 2003 Windows 2000 Windows NT 4.0

    Windows 2000 nativ Windows Server 2003 Windows 2000

    Windows Server 2003 interim

    Windows NT 4.0 Windows Server 2003

    Windows Server 2003 Windows Server 2003

    Pentru crearea grupurilor universale este nevoie ca nivelul funcional al domeniului s fie Windows 2000 nativ sau Windows Server 2003. Dup promovarea unui server la rolul de controler de domeniu, n mod implicit nivelul funcional este Windows 2000 mixt. Ar fi nevoie deci de ridicarea nivelului funcional (raise functional level).

    Odat stabilit, ridicat nivelul funcional nu se mai poate reveni la un nivel inferior. n acest moment se pot crea grupuri de tip security universal.

  • Strategia A G DL P AGDLP (AccountGlobal groupsDomain Local groupPermission) este strategia recomandat de ctre Microsoft pentru acordarea de permisiuni pentru utilizatorii din reea. Conturile(A) sunt incluse n grupuri globale (G) din acelai domeniu. Resursele din domeniu vor fi protejate prin permisiuni/restricii acordate

    grupurilor locale domeniului (DL) Grupurile globale (G) sunt incluse n grupurile locale domeniului (DL) n

    conformitate cu permisiunile pe care trebuie s le aib utilizatorii. Publicarea resurselor partajate Resursele partajate ale unei reele directoare (foldere) sau imprimante partajate pot fi publicate n Active Directory. Prin publicare se creeaz n Active Directory un obiect nou de tipul shared folder (folder partajat), respectiv shared printer (imprimant partajat), corespunztor resursei existente i deja partajate. Obiectele din Active Directory sunt uor de localizat i de folosit de ctre utilizatorii din domeniu, la fel i resursele partajate reprezentate prin obiecte publicate (plasate) n Active Directory.

    Resursele partajate publicate n Active Directory sunt specificate prin numele UNC (Universal Naming Convention). Sintaxa general UNC este: \\NumeComputer\NumeResursPartajat Pentru publicarea dosarelor partajate se folosete Active Directory Users and Computers:

  • Obiectul din Active Directory care corespunde resursei partajate a fost creat n unitatea organizaional OU1 i se numete partajatu.

    Acest obiect va fi folosit la fel ca toate obiectele Active Directory. De la calculatoare membre ale domeniului i cu sesiune deschis n domeniu, utilizatorii se pot conecta la folderul partajat i vor avea acces n limita permisiunilor acordate. Utilizatorul i poate construi propriile proiecii de tip Map Network Drive prin care asociaz un nume de unitate logic (drive:) cu obiectul din Active Directory care corespunde resursei partajate.

  • Publicarea n Active Directory a unei imprimante partajate are loc chiar la partajarea ei. n mod implicit, imprimantele partajate sunt listate n Active Directory (List in the Directory).

    Containerul n care apare obiectul imprimant partajat este chiar calculatorul la care este conectat imprimanta. Pentru ca acest obiect s fie vizibil n ierarhia oferit de Active Directory Users and Computers va trebui activat opiunea Users, Groups, and Computers as containers din meniul View.

    n eventualitatea c publicarea n Active Directory nu se face automat poate fi folosit mecanismul tradiional, i anume NewPrinter

    Imprimanta va fi apoi identificat prin specificatorul UNC, de tipul

    \\servername\printername

  • Permisiuni la obiectele din Active Directory Fiecare obiect din Active Directory are asociat un descriptor de securitate care definete cine are permisiunea de a accesa obiectul i ce tip de acces

    este permis. La fel ca pentru foldere, fiiere sau imprimante, lista permisiunilor este definit prin Discretionary Access Control Lists (DACLs). Lista DACL nu este afiat prin Active DirectoryUsers and Computers dect dac modul de vizualizare (meniul View) este Advanced Features (caracteristici avansate).

    Lista permisiunilor este afiat n tab-ul Security din proprietile fiecrui obiect.

    Active Directory este o structur ierarhic de obiecte. Structura ierarhic este dat de obiectele de tip container. Domeniul este cel mai cuprinztor container. Urmeaz apoi unitile organizaionale sau alte obiecte cu rol de container; de exemplu, obiectul de tip computer este implicit container pentru imprimantele locale publicate.

  • Permisiunile acordate unui utilizator sau unui grup la nivelul unui container se propag, se motenesc la obiectele coninute de acel container. Tab-ul Security (securitate) din fereastra de proprieti ale unui obiect prezint setul de permisiuni standard la acel obiect. Permisiunile standard sunt seturi sau combinaii de permisiuni acordate unor grupuri i utilizatori. Permisiunile standard sunt urmtoarele: Full Control Control deplin, complet. Utilizatorul care are aceast

    permisiune poate avea acces deplin la obiect. n cazul n care este vorba despre un container, atunci utilizatorul care are aceast permisiune are acces deplin la toate obiectele din container.

    Read Citire. Cine are aceast permisiune poate citi, poate afia coninutul i proprietile obiectului.

    Write Scriere. Este permisiunea necesar n vederea modificrii coninutului i a proprietilor obiectului.

    Create All Child Objects Creare obiecte copil. Este o permisiune asociat containerelor i permite crearea obiectelor copil n acel container.

    Delete All Child Objects tergere obiecte copil. Este o permisiune asociat containerelor i permite tergerea din container a oricrui obiect copil.

    Permisiunile pot lua dou valori : Allow (permite) sau Deny (interzice). Reguli:

    Permisiunile sunt cumulative, n sensul ca se iau n consideraie toate permisiunile acordate utilizatorului i tuturor grupurilor de utilizatori din care acesta face parte, n mod explicit sau implicit.

    Permisiunea de tip Deny (interzis) are prioritate fa de orice permisiune de tip Allow (permite) acordat contului de utilizator sau grupurilor din care face parte acesta. Permisiunile Deny sunt primele evaluate i nu pot fi anulate prin alte permisiuni de tip Allow.

    Permisiune acordat n mod explicit la un anumit nivel are preceden fa de o permisiune motenit.

    Dac o permisiune nu este acordat nici direct nici prin motenire, deci dac nu se spune nimic despre valoare nici Allow nici Deny, atunci se consider implicit Deny.

    n figura de mai jos este prezentat tab-ul Security pentru un obiect i lista de permisiuni detaliate care poate fi vizualizat realiznd clic pe butonul Advanced (Avansat).

  • O detaliere suplimentar se poate obine mai departe prin clic pe butonul Edit; aici se vor vedea explicit permisiunile acordate.

    Permisiunile efective (Effective Permissions) sunt permisiuni calculate. n lista permisiunilor efective, acolo unde nu exist bif, nu exist nici permisiune.

  • Motenirea permisiunilor Exist dou tipuri de permisiuni: explicite i motenite. Permisiunile explicite sunt asignate direct la obiect, iar permisiunile motenite sunt propagate de la obiectul printe. n mod implicit, orice obiect motenete permisiunile de la

    containerul din care face parte, adic de la containerul printe. Permisiunile motenite nu pot fi modificate. Dac se dorete ca un obiect s aib alte permisiuni fa de cele motenite, trebuie mai nti dezactivat motenirea. n figura alturat, utilizatorul user1 are permisiunea Read acordat explicit, n timp de Deny pentru Write este o valoare motenit. Permisiunea motenit este afiat printr-o bif de culoare gri.

  • Mai departe, la Advanced Security, putem vedea explicit informaii despre permisiuni: Read nu este motenit (not inherited) iar Deny Write este motenit de la unitatea organizaional OU1. Unitatea organizaional printe este precizat prin specificatorul LDAP: OU=OU1, DC=sinca, DC=ad. Dezactivarea motenirii, adic renunarea la motenire, se poate face anulnd opiunea Allow Inheritable Permissions from Parent to Propagate to This Object and All Child Objects (Este permis propagarea de la printe la acest obiect i la toate obiectele copil a permisiunilor care pot fi motenite).

    Vor aprea trei variante de lucru: Copy pentru

    copierea, acordarea explicit, n clar a

    permisiunilor. Permisiunile existente la obiectul printe se vor copia la nivelul acestui obiect.

    Remove elimin, terge permisiunile motenite.

    Cancel nchide fereastra.

  • Acordarea unei permisiuni la nivelul unui container este nsoit de opiunea Apply Onto, prin care se va indica modul n care permisiunea va fi propagat, sau nu, la nivelul obiectelor din container.

    This object only Numai pentru acest obiect - , caz n care permisiunea nu va fi transmis mai departe; permisiunea este acordata numai obiectului curent.

    This object and all child Objects - Acest obiect i toate obiectele copil - , este situaia n care permisiunea se aplic obiectului container curent i tuturor obiectelor pe care le conine.

    Child Objects Only - Numai pentru obiecte copil - , se refer la permisiuni care se aplic numai obiectelor din container, nu i containerului nsui.

    Un anumit tip de obiect, caz n care permisiunea se acord numai obiectelor de tipul respectiv din acel container.

    Transmiterea permisiunilor n jos n arborescen este controlat prin opiunea Allow these permissions to objects and/or containers within this container only (Aceste permisiuni sunt acordate numai obiectelor i / sau containerelor din acest container). Dac opiunea este bifat atunci permisiunile se transmit numai la obiectele aflate n acel container nu i la obiectele aflate n subcontainerele pe care le conine containerul respectiv.

  • Mutarea obiectelor dintr-un container n altul poate afecta lista DACL asociat obiectului. Cu alte cuvinte, mutarea poate modifica permisiunile la obiectul respectiv. Urmtoarele tipuri de obiecte pot fi mutate n cadrul structurii Active Directory: Cont utilizator (User account) Cont contact (Contact account) Imprimant (Printer) Grup (Group) Folder partajat (Shared folder) Computer Controler de domeniu (Domain controller) Unitate organizaional (Organizational unit) Regulile aplicate obiectelor mutate sunt urmtoarele: Permisiunile stabilite n mod explicit rmn neschimbate. Obiectul motenete permisiunile de la unitatea organizaional n care

    este mutat. Obiectul nu mai motenete (pierde) permisiunile de la unitatea

    organizaional din care a fost mutat.

  • Delegarea controlului administrativ Structurarea ierarhic a domeniului se construiete prin unitile organizaionale. Ele sunt containere care conin obiecte. Administratorul domeniului poate delega ctre un alt utilizator competene administrative asupra unei uniti organizaionale i evident, asupra obiectelor din unitatea organizaional. Utilizatorul primete astfel capacitatea de a gestiona, de a controla obiectele aflate n acea unitate organizaional. Delegarea controlului administrativ se refer la atribuirea responsabilitilor legate

    de gestionarea unor obiecte dintr-o unitate de organizare. Unele dintre sarcinile administrative vor fi preluate astfel de un utilizator sau, eventual, de un grup de utilizatori. Vrjitorul Delegation of Control Wizard (Delegarea controlului) este modalitatea rapid prin care vor fi acordate permisiunile necesare efecturii sarcinilor uzuale de administrare la nivelul unitii organizaionale. Se vor construi n acest fel listele de permisiuni la nivelul unitii de organizare (liste DACL). Altfel spus, obiectului unitate de organizare i se asociaz perechi de informaii de tipul cine poate avea acces i ce acces este permis. Un efect similar cu cel obinut prin folosirea vrjitorului Delegation of Control Wizard obinem i prin acordarea manual de permisiuni pentru anumii utilizatori sau grupuri asupra obiectului unitate organizaional. n exemplul nostru utilizatorul user1 va primi competene administrative la nivelul unitii organizaionale OU1.

  • Sarcinile administrative care i-au fost delegate lui user1 sunt legate de modificarea parolelor pentru utilizatorii ale cror conturi se gsesc n unitatea organizaional OU1: user1 va putea folosi Active Directory Users and Computers pentru a schimba parolele utilizatorilor ale cror conturi sunt n unitatea de organizare OU1. Efectul delegrii sarcinilor administrative este acordarea permisiunilor. Lui user1 i s-au acordat permisiuni la unitatea organizaional OU1, ceea ce va aprea n tab-ul Security .

    Politica de grup Politica de grup (Group policy) ofer administratorilor posibilitatea de a controla mediul de lucru pentru fiecare utilizator i calculator din domeniu. Aceste politici pot conine setri care s modifice aspectul desktop-ului utilizatorului, s reconfigureze opiunile legate de securitate, s instaleze automat anumite pachete software pe un calculator i nc multe altele. Politicile de grup se pot aplica obiectelor computer i utilizator din ntreg domeniul sau numai dintr-o anumit unitate organizaional. Politicile de grup pot configura printre altele: Configurri din Registry Opiuni de securitate Opiuni de instalare i de ntreinere software

  • Opiuni pentru fiierele cu comenzi folosite n anumite situaii, cum ar fi la startarea sau oprirea funcionrii calculatoarelor, la deschiderea sau nchiderea sesiunii utilizatorilor Opiuni de redirectare a folderelor Not: Politicile de grup nu au efect asupra computerelor care au sisteme de operare mai vechi, cum ar fi Windows NT 4.0 sau Windows 98. Politicile de grup se aplic pentru calculatoare membre ale domeniului i care ruleaz sisteme de operare server sau staie de lucru ncepnd cu Microsoft Windows 2000. Politica de grup se poate defini att la nivelul calculatorului local ct i n domeniul Active Directory. Politica de grup conine urmtoarele dou ramuri majore:

    Computer Configuration Administratorii pot utiliza Computer Configuration pentru stabilirea politicilor care se aplic pentru computer, indiferent cine deschide sesiune (logon) folosind calculatorul. Computer Configuration conine subelemente pentru setri software, setri Windows i abloane administrative.

    User Configuration Administratorii pot utiliza User Configuration pentru configurarea

    politicilor care se aplic utilizatorilor, indiferent de computerul pe care acetia l folosesc. User Configuration conine subelemente pentru setri software, setri Windows i abloane administrative. Pe fiecare calculator exist Local Group Policy care conine setri locale pentru acel computer. Pentru calculatoarele care nu fac parte din domeniu acesta este singura politic aplicat. Pentru cele care fac parte din domeniu, aceasta se combin cu eventualele politici din domeniu. Group Policy Editor este utilitarul de editare pentru politicile de grup (Group Policy). Editorul pentru obiectele Group Policy poate fi invocat (apelat) n mai multe moduri:

    1.Group Policy pentru calculatorul local n consola mmc (Microsoft Management Console) poate fi adus utilitarul Group Policy Object Editor.

  • File Add/Remove Snap-inAdd i din fereastra Available Stand-alone Snap-ins se alege Group Policy Editor.

    Dac dorii s editai politica computerului local, alegei opiunea implicit Local Computer. Altfel, pentru a modifica o politic de domeniu, facei clic pe Browse pentru a identifica obiectul politic de grup (Group Policy Object) pe care l dorii. Furnizai numele de utilizator i parola dac vi se solicit, apoi, cnd revenii la caseta de dialog Select Group Policy Object, facei clic pe Finish.

    Gpedit.msc este numele utilitarului pe care l putei folosi pentru editarea politicii locale, Local Group Policy.

  • 2. Obiectele Group Policy din Active Directory Obiectele Group Policy din Active Directory sunt obiecte de un tip deosebit. Ele se prezint sub forma a dou componente separate, dup cum urmeaz: Containerul Group Policy Object (GPO ) este un obiect n Active Directory. Atributele acestui obiect includ numele GPO, permisiuni, respectiv cine poate modifica coninutul obiectului GPO i informaii de versiune. Macheta GPO (template), este un set de fiiere care se gsesc n folderul partajat Sysvol. Folderul partajat Sysvol exist pe fiecare controler de domeniu, coninutul su fiind replicat ntre toate controlerele de domeniu din domeniu, prin intermediul serviciului File Replication Service (FRS). Un obiect GPO conine informaii de configurare pentru calculator i pentru utilizator.

    Un GPO poate fi asociat la nivel de site, domeniu i unitate organizaional. Despre obiectele group policy se spune c sunt legate la nivelul site-ului, domeniului i al unitilor organizaionale.

  • Aplicarea unui obiect GPO la nivelul domeniului se traduce prin aceea c: (1) toate calculatoarele din domeniu vor fi afectate de configurrile asociate n partea de computer configuration i (2) toi utilizatorii care deschid sesiune n domeniu vor fi afectai de partea de configurare din user configuration. n situaia n care un obiect GPO este legat la nivelul unei uniti organizaionale vor fi afectate de configurrile specifice: (1) calculatoarele din unitatea organizaional i (2) utilizatorii care au conturi n unitatea organizaional. Obiectele GPO sunt evaluate n ordinea urmtoare: Local Policy Site GPO Domain GPO OU GPO Child OU GPO etc. Exist dou ci de evaluare. Prima este cea n care se afl obiectul de tip computer. A doua este cea n care se afl obiectul de tip user care va deschide sesiune pe acel computer. Ca parte a procedurii de autentificare, vor fi localizate n Active Directory mai nti obiectul computer i apoi contul utilizator al celui care deschide sesiunea. Cu alte cuvinte, la pornirea calculatorului se aplica nti setrile din politica local (local policy) i apoi componenta computer configuration din obiectele GPO legate, n ordine, de domeniu i de unitile organizaionale care reprezint calea pn la contul computer din Active Directory. La deschiderea de sesiune se vor aplica componentele user configuration, n ordine, din politica local (local policy) i din obiectele GPO legate la nivelul domeniului i al unitilor organizaionale care fac parte din calea pn la contul de utilizator folosit la deschiderea de sesiune. Aplicarea n succesiune a politicilor GPO poate conduce la suprascrierea (modificarea) configurrilor anterioare. In aceast situaie ultima valoare va fi cea care se va aplica. Valorile folosite pentru configurarea opiunilor din obiectele GPO sunt Enable (permis), Disable (nepermis, dezactivat) i Not Defined (nedefinit, nici permis, nici nepermis). Valoarea final a unei opiuni este calculat n modul urmtor: pentru valori de tipul single value. de genul enable sau disable se realizeaz suprascrierea. Pentru valori de tipul multiple value, cum sunt logon script sau instalare de software, se iau in considerare toate valorile care se cumuleaz.

  • Crearea, gestionarea i controlul asupra aplicrii obiectelor GPO n domeniu se face cu ajutorul utilitarului Active Directory Users and Computers. Printre proprietile unei uniti organizaionale se afl i Group Policy. Obiectele GPO legate la nivelul site-ului sunt create, gestionate, controlate folosind utilitarul Active Directory Sites and Services. Utilitarul specializat pentru managementul obiectelor Group Policy se numete Group Policy Management Console (GPMC). Dei nu este inclus n kit-ul de instalare Windows Server 2003, este utilitarul recomandat pentru crearea, gestionarea i controlul aplicrii politicilor construite prin obiecte GPO. Poate fi descrcat de pe site-ul Microsoft, eventual de la urmtoarea adres: http://www.microsoft.com/downloads/details.aspx?familyid=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

    n urma instalrii, se creeaz o intrare n Administrative Tools numit Group Policy Management.

    Fereastra Group Policy Management Console (GPMC - consola pentru managementul grup policy) prezint structura Active Directory i obiectele group policy existente. n mod implicit, n urma crerii unui domeniu, sunt construite dou politici

  • speciale: o politic aplicat domeniului i una aplicat containerului de tip OU Domain Controllers, containerul n care se gsesc controlerele de domeniu. Constatm deci, c exist o politic implicit aplicat tuturor calculatoarelor i tuturor utilizatorilor din domeniu. n plus, numai asupra controlerelor de domeniu este aplicat i o politic suplimentar. Crearea (construirea) unui obiect GPO i legarea unuia existent sunt operaii distincte. Aa cum se poate observa din ferestrele urmtoare:

    Gpo1 este, n exemplul nostru, numele noului obiect creat. Pentru a fi aplicat el va trebui legat (link). Un obiect GPO se poate afla n una dintre urmtoarele stri: legat sau nelegat. Acelai obiect GPO poate fi legat la mai multe uniti organizaionale.

    n exemplul nostru, obiectul Gpo1 a fost legat de unitatea organizaional OU1.

  • Utilitarul GPMC permite ns, concomitent, crearea i legarea obiectului GPO, dac se ncepe prin alegerea unitii organizaionale unde va fi legat, deci unde va fi aplicat noul obiect creat

    Imediat ce au fost create obiecte GPO, ele se constituie din machete de informaii n care ns nu este nimic configurat. Configurarea coninutului obiectului, respectiv configurrile pentru componentele Computer configuration i User configuration vor fi efectuate prin comanda Edit (editare, modificare).

  • S examinm fereastra de mai sus. Numele ferestrei este Group Policy Object Editor, ceea ce nseamn c n aceast fereastr se pot stabili configurrile pentru componentele computer configuration i user configuration. Obiectul GPO supus examinrii se numete Gpo1 i ceea ce examinm acum este coninutul obiectului aa cum se gsete n exemplarul de la controlerul de domeniu l304a5.sinca.ad, numele domeniului fiind sinca.ad. Componenta User configuration este cea n care por fi stabilite condiiile deosebite ale mediului de operare al utilizatorilor. Pentru moment se face referire la ecranul desktop. Conform acestora, utilizatorul cruia i se va aplica politica Gpo1 va avea dup deschiderea de sesiune o imagine desktop pe care nu mai apare nicio pictogram. Exist situaii n care la aceeai unitate organizaional sunt legate dou sau mai multe obiecte GPO. Ordinea n care vor fi aplicate aceste obiecte este foarte important.

    Imaginea alturat indic dou obiecte GPO legate la unitatea organizaional OU1. Ordinea aplicrii este de jos n sus: nti se va aplica Gpo2 i apoi Gpo1. Obiectul Gpo1 este mai prioritar dect cellalt i se aplic ultimul.

    Utilitarul GPMC conine i o component prin care pot fi vizualizate configurrile (setrile) existente ntr-un obiect GPO. Tab-ul folosit este Settings dup ce a fost ales obiectul pentru care se dorete vizualizarea coninutului.

  • Group Policy Modeling este componenta care permite simularea aplicrii setrilor GPO pentru utilizatori i computere, nainte de implementarea efectiv a politicii coninute de obiectul respectiv. Group Policy ManagementGroup Policy Modelingclick dreaptaGroup Policy Modeling WizardNext

    Va fi ales n continuare controlerul de domeniu pe care se va executa procedura de simulare. Trebuie s fie un controler de domeniu unde este instalat un sistem de operare Windows Server 2003.

  • Urmeaz alegerea contextului n care va avea loc simularea: pentru ce utilizator din domeniu i pentru ce calculator. Se poate specifica n clar att utilizatorul ct i calculatorul sau, pentru oricare dintre aceste obiecte se poate specifica containerul unde se afl obiectele pentru care se simuleaz efectele aplicrii configurrilor.

    Urmeaz cteva referiri la site i n final vor fi specificate grupurile din care fac parte conturile utilizator i computer pentru care se face simularea. Tab-ul Settings ofer rezultatele simulrii.

  • Group Policy Results este componenta folosit pentru vizualizarea rezultatelor. Formatul de prezentare este similar ce cel de la Group Policy Modeling. De data aceasta ns rezultatele sunt cele reale nu simulate. Sunt prezentate deci, efectele, rezultatele aplicrii obiectelor GPO construite i legate anterior. Pe calculatoarele pentru care se vor afia rezultatele trebuie s fie instalate

    sisteme de operare Windows XP sau Windows Server 2003. Cnd un utilizator pornete un calculator i deschide sesiune n domeniu, vor fi procesate pe rnd, setrile GPO asociate computerului i apoi cele pentru utilizator. Din timp n timp ns, aceste setri vor fi remprosptate, reaplicate. Pentru calculatoarele membre ale domeniului remprosptarea are loc la intervale prestabilite. Intervalul implicit este de 90 de minute cu abateri (plus sau minus) de maxim 30 de minute. Controlerele de domeniu au un regim diferit: remprosptarea are loc din 5 n 5 minute. Administratorii de domeniu pot fora aplicarea (mprosptarea) politicilor prin comanda gpupdate.

    n mod implicit, toate setrile din obiectele GPO legate la un container se aplic tuturor utilizatorilor i computerelor din acel container. Dac intenia administratorului de domeniu este ca politicile s se aplice numai anumitor utilizatori sau

    anumitor calculatoare, atunci vor intra n oper

    procedurile de filtrare, prin care vor fi selectate numai acele calculatoare i, respectiv, acei utilizatori crora trebuie s li se aplice politica. Filtrele sunt construite folosind tab-ul Delegation pentru fiecare obiect GPO n parte.

  • Filtrele sunt de fapt permisiuni acordate calculatoarelor i utilizatorilor pentru acel GPO. Pentru ca setrile dintr-un obiect GPO s se aplice unui cont utilizator sau unui cont de calculator, conturile trebuie s aib permisiunile Read (citire) i Apply Group Policy (aplic politica de grup) pentru acel GPO. n mod implicit grupul Authenticated Users dispune de permisiunile Read i Apply Group Policy pentru orice GPO din domeniu. Butonul Advanced rafineaz informaiile despre permisiunile necesare conturilor, n vederea aplicrii coninutului configurrilor din obiectul GPO.

    Replicarea Active Directory Serviciul Active Directory Service funcioneaz pe baza informaiile stocate pe controlerele de domeniu. Pentru existena unui domeniu este nevoie de un controler de domeniu. ntr-un domeniu pot funciona unul sau mai multe controlere de domeniu. Fiecare controler de domeniu deine un exemplar al bazei de date Active Directory. Modificrile efectuate ntr-un exemplar vor fi sincronizate cu celelalte exemplare Active Directory, n aa fel nct toate exemplarele de pe toate controlerele din domeniu s fie identice. Operaia de sincronizare a exemplarelor Active Directory este o replicare multi-master. Fiecare controler de domeniu deine un exemplar master al domeniului, adic fiecare exemplar poate fi modificat, prin crearea i tergerea de obiecte, prin modificarea valorilor asociate proprietilor (atributelor) unui obiect. Din timp n timp modificrile survenite ntr-un exemplar vor fi transmise celorlalte controlere de domeniu. Baza de date Active Directory este mprit, separat din punct de vedere logic n partiii. Fiecare partiie este o unitate de replicare i poate avea propria topologie de replicare.

  • Partiiile Active Directory sunt: schema partition (partiia schem) - conine definiiile tuturor obiectelor i

    atributele acestora precum i regulile pentru crearea i manevrarea obiectelor. ntr-un forest exist o singur schem i ea este stocat pe toate controlerele de domeniu din forest. n acest fel, toate obiectele din forest vor respecta aceleai reguli de creare, modificare i manevrare.

    configuration partition (configurare) - conine informaii despre structura fizic la nivel de forest. Sunt indicate domeniile din forest, unde se afl i cum pot fi localizate controlerele de domeniu din forest, serviciile pe care le pot oferi controlerele de domeniu. Fiecare controler de domeniu deine un exemplar al partiiei configurare.

    domain partition (partiia domeniului) - conine toate obiectele acelui domeniu: utilizatori, grupuri, computere, uniti organizaionale i nc multe altele. Fiecare domeniu are propria partiie de tip domeniu. Fiecare controler deine un exemplar al propriei partiii domeniu.

    application partition (partiia aplicaie) sunt stocate aici informaii despre aplicaii. Unele aplicaii pot stoca informaii n Active Directory. Un exemplu este serviciul DNS care i poate pstra informaii n Active Directory.

    Partiiile schem i configurarea sunt replicate pe toate controlerele de domeniu din forest. Partiiile de domeniu sunt replicare numai ntre controlerele din acelai domeniu. Legtura dintre structura logic Active Directory i structura fizic a reelei se obine prin folosirea conceptului i a obiectului site. Obiectul site din Active Directory descrie aezarea fizic, geografic a reelelor care gzduiesc resursele descrise prin obiecte din Active Directory. Site-urile conin obiecte numite subreele (subnets). Obiectele site sunt folosite n legtur cu obiectele Group Policy, uureaz descoperirea resurselor, controleaz replicarea Active Directory i gestioneaz traficul n reea. Site-urile pot fi legate unele de altele prin aa-numitele legturi ntre site-uri (site link). Din punct de vedere fizic un site const n general din una sau, eventual, mai multe subreele interconectate la vitez mare n care funcioneaz servere controlere de domeniu.

    Replicarea Active Directory poate avea loc, de la caz la caz, ntre controlere de domeniu care aparin aceluiai site situaie n care vorbim despre replicarea n interiorul site-ului (intrasite) sau ntre controlere care aparin de site-uri diferite situaie n care are loc replicare ntre site-uri (intersite).

  • Replicarea n interiorul aceluiai site pornete de la presupunerea c legturile dintre controlere sunt sigure, de vitez mare i permanent disponibile. Traficul de replicare nu este comprimat i se realizeaz prin change notification, partenerii de replicare fiind anunai imediat sau aproape imediat de producerea replicrii. Replicarea ntre site-uri presupune c legturile dintre site-uri nu sunt sigure, sunt de vitez mic i nu sunt disponibile permanent. Traficul de replicare este comprimat, nu este transmis pe msura apariiei modificrilor ci n conformitate cu un orar stabilit de ctre administratori. Topologia de replicare (replication topology) este calea prin care se desfoar traficul de replicare n reea. Topologia de replicare se refer la controlerele care comunic direct ntre ele, dou cte dou. Fiecare partiie Active Directory are propria topologie de replicare.

    Instalarea unui controler de domeniu suplimentar ntruct funcionarea Active Directory se bazeaz n mod esenial pe serviciul DNS, pentru instalarea unui controler de domeniu adiional, serverul care va deine acest rol trebuie s fie client al serverului DNS care deine domeniul DNS asociat domeniului Active Directory sau care poate rezolva numele n specificator DNS al domeniului Active Directory.

    Comanda folosit pentru instalarea controlerului adiional de domeniu este dcpromo.

    Vor fi specificate n continuare numele i parola pentru contul de utilizator care poate instala serviciul Active Directory Service.

    Pentru c este vorba despre instalarea unui controler de domeniu ntr-un domeniu existent, se alege opiunea Additional domain controller for an existing domain (controler de domeniu suplimentar pentru un domeniu existent). Opiunile i ferestrele sunt similare cu cele de la instalarea primului controler de domeniu.

  • Utilitarul Active Directory Sites and Services (Site-uri i servicii Active Directory), aflat n Administrative Tools, poate fi folosit pentru identificarea controlerelor de domeniu, a site-urilor i pentru verificarea efecturii replicrii ntre controlerele de domeniu.

    n fereastra de mai sus remarcm: Site-ul implicit Default-First-Site-Name. Containerul Servers unde sunt plasate servere NTDS (controlerele de

    domeniu). Obiectele de tip conexiune (connection) fac legtura ntre controlerele

    ntre care exist activitate de replicare. Cele dou controlere de domeniu dein fiecare cte un exemplar master al domeniului. Oricare dintre aceste exemplare poate fi modificat. Modificrile efectuate pe un exemplar vor fi transmise ctre partenerul de replicare prin aceast conexiune. n interiorul aceluiai site obiectele de tip conexiune sunt generate automat, n conformitate cu topologia de replicare construit automat de componentele sistemului de operare. Replicarea intrasite va fi la rndul ei automat.

  • Conexiunile pot fi ns construite i manual.

    Replicarea automat poate fi nlocuit cu replicarea la cerere, folosind comanda Replicate Now (Replicare acum).

    Serverul Catalog Global Serverul Catalog Global este un controler de domeniu care, pe lng partiiile obinuite, mai deine i exemplare de tip read-only (numai citire) ale tuturor partiiilor de tipul domain din forest. Exemplarul propriului domeniu este integral, n schimb pentru celelalte domenii exemplarele sunt read-only i sunt pariale. Exemplarele pariale conin toate obiectele din domeniu, ns nu cu toate atributele. Serverele catalog global sunt folosite pentru cutarea i gsirea obiectelor n ierarhia de domenii din forest. Cutrile efectuate n ntregul Active Directory (Entire Directory) au loc n catalogul global. Primul controler de domeniu din forest devine implicit i server catalog global. Rolul de server catalog global poate fi modificat prin Active Directory Sites and Services.

  • Salvarea i restaurarea Active Directory Active Directory conine urmtoarele fiiere, a cror locaie este stabilit la instalare (implicit folderul %systemroot%\NTDS).

    Ntds.dit - baza de date care stocheaz toate obiectele Active Directory.. Extensia .dit nseamn directory information tree. Edb.log - fiierul jurnal de tranzacii (transaction log) folosit de aceast baz de date. Dimensiunea maxim a acestui fiier este de 10M.

    Edb*.log cnd fiierul Edb.log atinge dimensiunea maxim, el va fi redenumit Edbnnnnn.log, unde nnnnn este un numr care va fi succesiv incrementat. Edb.chk fiierul de tip checkpoint, folosit pentru a identifica pn unde au fost efectuate tranzaciile n baza de date. Res1.log , Res2.log fiiere rezervate pentru transaction log; fiecare are cte 10M; spaiul ocupat de ele va fi alocat fiierului transaction log n cazul n care nu mai exist spaiu pe disc. Salvarea bazei de date Active Directory se realizeaz prin lansarea la controlerul de domeniu a utilitarului Backup procedura System State (starea sistemului). Componentele System State pentru controlerele de domeniu sunt urmtoarele: Active Directory folder-ul partajat SYSVOL

  • Registry System startup files COM + Class Registration database Baza de date pentru Certificate Services numai n cazul n care este

    instalat serviciul Certificate Services pe controlerul de domeniu StartAll ProgramsAccessoriesSystem ToolsBackup, modul Advanced Mode tab-ul Backup Alegem pentru salvare System State i locaia unde va fi salvat fiierul.

    Pentru restaurarea bazei de date Active Directory n urma unei salvri (backup) controlerul de domeniu trebuie pornit n modul Active Directory Restore Mode (mod restaurare Active Directory). Acest mod de lucru se obine prin apsarea tastei F8 la startarea serverului i alegnd din meniu intrarea cu acelai nume.

  • n acest caz serviciul Active Directory Service nu este pornit. Restaurarea se poate face folosind parola special stabilit pentru modul restaurare, la momentul instalrii Active Directory. Restaurarea se face folosind acelai utilitar Backup, componenta Restore (restaurare).

    n final suntem ntrebai dac dorim s restartm sau nu computerul. n cazul n care alegem Yes se va realiza un restore normal, adic se va restaura totul exact ca n momentul salvrii. Eventualele modificri n Active Directory efectuate dup momentul salvrii i existente pe un alt controler de domeniu vor fi actualizate prin replicare. Rspunsul NO (nu) la restartarea sistemului poate continua cu cererea pentru un restore authoritativ. Este vorba de restaurarea unei poriuni din Active Directory care nu va mai fi modificat prin propagarea replicrii. Pentru o restaurare de acest fel se continu prin lansarea utilitarului Ntdsutil.

  • Procedura de lucru este urmtoarea: folosind interfaa Command Prompt (linie de comand) se lanseaz utilitarul ntdsutil i dup prompterul ntdsulit se introduce de la tastatur authoritative restore.

    Dintre opiunile prezentate putem alege restore database pentru restaurarea ntregii baze de date sau restore object pentru restaurarea unei singure ramuri.

    Restore object nume_obiect_ldap

  • Propunere de tem practic Notai modul n care rezolvai temele propuse.

    1. Construii un domeniu Active Directory nou care se va numi curs.ro. Serverul DNS care va deine domeniul DNS cu acelai nume va fi instalat pe acelai server, n timpul instalrii Active Directory. 2. Verificai realizarea corect a instalrii folosind Windows Server 2003 Event Viewer i verificai existena domeniului DNS cu acelai nume. Identificai nregistrrile SRV. 3. Lansai n execuie cele trei utilitare din Administrative Tools specifice pentru lucrul cu Active Directory, i anume: Active Directory Users and Computers, Active Directory Sites and Services i Active Directory Domains and Trusts ______________________________________

    1. Includei un calculator n domeniul creat. 2. Deschidei sesiune de la calculatorul membru din domeniu, ca administrator al domeniului. 3. Instalai Administrative Tools folosind comanda adminpak.msi. 4. Verificai existena utilitarelor administrative nou instalate n Administrative Tools i lansai n execuie cele trei utilitare specifice pentru lucrul cu Active Directory, i anume : Active Directory Users and Computers, Active Directory Sites and Services i Active Directory Domains and Trusts. Identificai obiectele existente. _______________________________________

    1. Construii (creai) n domeniu o unitate organizaional i identificai proprietile noului obiect. Ce fel de obiecte noi pot fi create n unitatea organizaional pe care tocmai ai creat-o? _______________________________________

    1. n calitate de administrator al domeniului creai n unitatea organizaional un cont utilizator cu parola Pa$$w0rd. Utilizatorul (user) va avea dezactivat opiunea User must change password at next logon (utilizatorul trebuie s schimbe parola la urmtoarea deschidere de sesiune). 2. Modificai (reset) parola utilizatorului creat anterior, noua parola fiind Pa$$w0rd1. ncercai s deschidei sesiune de la controlerul de domeniu folosind numele i parola cea nou a utilizatorului. Not: pentru deschiderea de sesiune de la controlerul de domeniu sunt necesare drepturi deosebite.

  • 3. Deschidei sesiunea folosind acelai cont de utilizator dar de aceast dat de la calculatorul membru al domeniului. Creai un nou cont utilizator n unitatea de organizare pe care ai creat-o. Dac nu reuii explicai de ce! 4. Deschidei sesiune ca administrator al domeniului de la calculatorul membru al domeniului. ncercai din nou s construii un nou cont utilizator n unitatea dumneavoastr de organizare. Dac putei s ducei pn la capt operaia, explicai de ce ai reuit de aceast dat. 5. Cutai i gsii conturile utilizatorilor din domeniu al cror nume ncepe cu a. Identificai un criteriu prin care s putei cuta conturile de utilizator pe care le-ai creat. Cutai i gsii conturile de utilizator pe care le-ai creat anterior i identificai proprietile conturilor. __________________________________________

    1. Creai n containerul propriu (unitatea organizaional) un grup security de tip local domeniului i unul de tip global. Pentru identificarea uoar a tipului, numele fiecrui grup va ncepe cu dl_ n cazul grupului local domeniului i cu gl_ n cazul grupului global. 2. Ridicai nivelul funcional al domeniului la Windows Server 2003. 3. Creai un grup universal i avei grij s respectai regula stabilit pentru numele grupurilor. 4. Includei utilizatorii creai de dumneavoastr n grupurile global i local domeniului. Fiecare utilizator va fi inclus n alt grup. 5. Creai un folder nou n rdcina discului C: pe controlerul de domeniu. Oferii permisiunea full control grupului local domeniului i verificai permisiunile efective ale celor doi utilizatori creai anterior pentru accesul la acest folder. ____________________________________________

    1. Partajai folderul pe care l-ai creat i publicai-l n Active Directory n containerul propriu. Pstrai permisiunile de partajare implicite. Verificai dac utilizatorul membru al grupului local domeniului poate avea acces de la distan la acest folder. Pentru verificare va trebui s deschidei sesiune cu acel utilizator folosind computerul membru al domeniului. Construii o proiecie map prin care asociai o unitate logic (drive - eventual Z:) la obiectul partajat. Identificai i comentai alte modaliti prin care utilizatorul se poate conecta de la distan la acest folder. ____________________________________________

    1. Instalai i partajai o imprimant. Publicai-o n Active Directory. Cutai n Active Directory imprimanta publicat. Configurai tot ceea ce credei c ar mai trebui pentru ca unul dintre utilizatorii pe care i-ai creat s se poat conecta la aceast imprimant. Verificai c acel utilizator se poate conecta la imprimant.

  • _____________________________________________

    1. Deschidei sesiune ca administrator al domeniului i includei grupul global domeniului, creat anterior, n grupul local domeniului. 2. Creai in containerul dumneavoastr o subunitate organizaional. 3. Analizai permisiunile la cele dou uniti organizaionale pe care le deinei. Identificai permisiunile implicite. Identificai permisiunile la aceste obiecte ale celor doi utilizatori creai anterior. 4. Oferii permisiunea full control la subunitatea de organizare pentru membrii grupului local domeniului. Identificai permisiunile motenite i pe cele explicite. Amendai permisiunea full control stabilit anterior cu permisiunea deny write. Identificai din nou permisiunile efective pentru cei doi utilizatori. ____________________________________________

    1. Deschidei sesiune ca administrator al domeniului folosind chiar controlerul de domeniu. Instalai utilitarul GPMC (Group Policy Management Console) dac nu ai fcut-o cumva nainte. Identificai configurrile implicite ale politicilor de grup existente, respectiv Default Domain Policy i Default Domain Controllers Policy. Identificai configurrile legate de conturile i parolele utilizatorilor din domeniu i pe cele legate de drepturile utilizatorilor (user rights) asupra controlerelor de domeniu. 2. Deschidei sesiune ca administrator al domeniului folosind calculatorul membru din domeniu. Modificai condiiile de lucru locale acestui computer, astfel nct niciun utilizator care va folosi acest computer s nu mai poat avea acces la tab-ul Desktop din proprietile Display (Display este aplicaia din Control Panel). S se verifice efectul aplicrii acestor noi condiii de lucru.

  • 3. Lansai n execuie utilitarul GPMC i creai un nou obiect GPO (nelegat). Stabilii configurrile necesare pentru ca utilizatorii crora li se va aplica politica, s nu mai gseasc pe meniul Start, nici Run i nici Control Panel. Legai obiectul GPO de una dintre unitile organizaionale pe care le-ai creat. Verificai ca n acea unitate organizaional s existe conturi pentru utilizatori. Forai aplicarea politicii prin gpupdate. Verificai aplicarea politicii pentru utilizatori (deschidei sesiune ca un utilizator din unitatea organizaional i verificai aplicarea politicii). ____________________________________________

    1. Pe computerul membru al domeniului instalai al doilea controler de domeniu pentru domeniul curs.ro. Verificai informaiile legate de cele dou controlere de domeniu folosind Active Directory Sites and Services (Site-uri i servicii n Active Directory), inclusiv activitatea de replicare a Active Directory. Pornii o replicare la cerere (Replicate now). 2. Folosind utilitarul Active Directory Users and Computers i exemplarul Active Directory de pe un controler de domeniu, creai o unitate organizaional nou n domeniu. Verificai crearea ei i pe exemplarul de pe cellalt controler. 3. Salvai baza de date a domeniului (backup System state). 4. tergei unitatea organizaional pe care tocmai ai creat-o. Ateptai ca operaia s fie propagat pe ambele controlere. 5. Restaurai imaginea Active Directory salvat i ncercai o restaurare de tip autoritativ pe unul dintre controlerele de domeniu. Succes!

  • Ce ai nvat n acest modul? Ce este Active Directory Cum se instaleaz Active Directory Cum se creeaz obiecte n Active Directory Acordarea de permisiuni pentru obiectele din Active Directory Utilizarea Group Policy Objects (GPO) n vederea controlrii mediului de

    lucru Realizarea replicrii Active Directory Realizarea salvrii/restaurrii bazei de date Active Directory

    4. Administrarea domeniilorServiciul director Active DirectoryDomeniulInstalarea Active DirectoryPromovarea unui server la rolul de controler de domeniuVerificarea instalrii Active DirectoryIncluderea unui computer n domeniu

    Obiecte Active DirectoryUnitate organizaional Conturi pentru utilizatoriConturi pentru computereIdentificarea obiectelor Active DirectoryGrupuri

    Nivelul funcional al unui domeniuStrategia A G DL PPublicarea resurselor partajate

    Permisiuni la obiectele din Active DirectoryMotenirea permisiunilorDelegarea controlului administrativ

    Politica de grup Replicarea Active Directory Instalarea unui controler de domeniu suplimentarServerul Catalog GlobalSalvarea i restaurarea Active Directory

    Propunere de tem practicCe ai nvat n acest modul?


Recommended
prezentare comunicarea organizationala

prezentare comunicarea organizationala

Documents

analiza organizationala

analiza organizationala

Documents

la moarte - Directory listing of

la moarte - Directory listing of

Documents

Psihologie Organizationala

Psihologie Organizationala

Documents

ORGANIZATIONALA - SUBIECTE

ORGANIZATIONALA - SUBIECTE

Documents

schimbarea organizationala eseu

schimbarea organizationala eseu

Documents

Cultura organizationala Cricova

Cultura organizationala Cricova

Business

Increderea Organizationala 1

Increderea Organizationala 1

Documents

Cultura Organizationala Vodafone

Cultura Organizationala Vodafone

Documents

Active Directory

Active Directory

Documents

Psihologia organizationala

Psihologia organizationala

Documents

Cult Organizationala

Cult Organizationala

Documents

2 cultura organizationala

2 cultura organizationala

Business

Comunicarea organizationala

Comunicarea organizationala

Documents

Strategia organizationala

Strategia organizationala

Documents

Cultura Organizationala

Cultura Organizationala

Documents

rezumat organizationala

rezumat organizationala

Documents

Instalarea Active Directory Pe Windows Server

Instalarea Active Directory Pe Windows Server

Documents