VI čas
Upravljanje korisnicima i resursima 6.1 Administriranje korisnika U predhodnom poglavlju objasnili smo osnovne pojmove i termine koje svaki administrator mora da zna kako bi mogao da organizuje logi čku strukturu preduze ća – domen. Ali to nije dovoljno da bi organizovali jedan efikasan mrežni rad i omogu ćili korisnicima da nesmetano pristupaju svim mrežnim resursima. Da bi se to ostvarilo potrebno je da uradimo još jedan zadatak, koji neki nazivaju i „srce“ administratorskog posla, a to je kreiranje naloga za korisnike, grupe i ra čunare kao i upravljanje istim. Verovatno da je ovo jedan od najdosadnijih poslova koje administrator obavlja jer je sa jedne strane jako jednostavan, monoton i veoma sličan za mnoge korisnike tako da se rutinski obavlja. Sa druge strane je jako odgovoran jer se kreiranjem naloga daju odre đena prava za koriš ćenje mrežnih resursa i na taj na čin određuje rad mreže. To zna či da je potrebno da što više nau čimo o alatkama i resursima koje nam stoje na raspolaganju kako bi uspešno obavili posao i smanjili mogu ćnost nepravilnog korišćenja mrežnih resursa. Uprkos Microsoftovoj inicijativi za Windows bez administriranja ( Zero Administration Windows, ZAW), upravljanje korisnicima i grupama postalo je znatno složenije u Windows Serveru 2003. Uzroci tome leže dobrim delom u objektima tipa korisnik (user) i grupa (group), kao i u podršci aktivnog direktorijuma za njih, nasleđenoj od Windowsa 2000. Kada tome dodamo i probleme integrisanja Windowsa NT i postojećih mreža, posao koji nas kao administratora čeka u bliskoj budu ćnosti neće biti nimalo lak. Međutim, aktivni direktorijum i razne programske alatke drugih proizvo đača, nude nam mnoge alatke koje nam automatizuju rutinske poslove i olakšavaju pravljenje potrebnih naloga za rad. Moramo ista ći hvale vredne činjenice da je aktivni imenik otvoren i da podržava izuzetno upotrebljiv API (ADSI) i protokol za pristup (LDAP). 6.1.1 Pojam korisni čkog naloga Da bi smo mogli da napravimo korisni čke naloge i profile potrebno je da razumemo koji sve tipovi korisničkoh naloga postoje kao i njihove karakteristike. Korisni čki nalog predstavlja zapis koji obuhvata sve informacije koje definišu korisnika u sistemu mrežnog operativnog sistema. Ove informacije uključuju korisničko ime i lozinku koji su potrebni da bi se korisnik prijavio na sistem, grupe čiji je korisni čki nalog član i prava i dozvole koje korisnik ima za pristupanje mrežnim resursima. Korisnički nalog pruža korisniku mogu ćnost da se prijavi na ra čunar kako bi dobio pristup resursima na tom računaru, kao i da se prijavi na domen kako bi dobio pristup resusima mreže gde se taj domen nalazi. Po pravilu svaki korisnik ra čunara ili mreže trebalo bi da ima jedan jedinstven korisni čki nalog i bez njega niko ne može koristiti ra čunar, niti pristupati mreži. U mrežnom domenu Windows-a (kao i na lokalnom računaru) definicija korisnika obuhvata samostalne procese, mrežne objekte (ure đaje i računare) i ljude. Za svaki operativni sistem iz porodice Windows, korisnik je svaki proces, ra čunar ili tehnologija koja za obavljanje odre đenog posla mora da primeni drugi objekat u mreži ili drugi ra čunar. U suštini, podsistem za bezbednost Windows Servera 2003 ne pravi nikakvu razliku izme đu čoveka i uređaja koji security koriste resurse operativnog sistema. Svi korisnici se tretiraju kao bezbednosni subjekti ( security principals) koji inicijalno imaju sva ovlaš ćenja. Svi objekti tipa korisnik izvedeni su od iste klase User aktivnog direktorijuma, koja je izvedena od više roditelja. Objekti tipa mašina ( machine) izvedeni su od objekata tipa korisnik ( User ). ). Da biste pristupili odre đenom objektu tipa korisnik, u kodu programa ili skripta treba da zadate njegovo jedinstveno ime (distinguished name, DN). To automatski čine razni objekti grafičkog korisničkog okruženja, ali ako nameravate da pišete skriptove koji pristupaju objektu, treba da referencirate njegov GUID identifikator. Ovde treba pomenuti i jedan novi objekat koji se pojavio u Windows Server 2003 mrežama. To su kontakti (contacts) koji su izvedeni od iste hijerarhije klasa kao objekat tipa korisnik. Me đutim, objekat tipa kontakt ne nasle đuje od svog roditelja bezbednost atributa. Kontakt se koristi samo u komunikacijama: za razmenu poruka elektronskom poštom i faksom, za telefoniranje itd. Distribucione liste Windows Servera 2003 sa činjavaju kontakti. Kontaktima u aktivnom imeniku možete pristupati iz programa kao što su Outlook i Outlook Express ili iz svih drugih klijentskih programa koji su LDAP kompatibilni. Objekat tipa Contact je gotovo istovetan objektu u Windows-ovom adresaru ( Windows Address Book , WAB). U Windows Server 2003 razlikujemo tri osnovna tipa korisni čkih naloga: 1) Lokalni korisni čki nalozi – Izraz lokalni korisnik često opisuje dve vrste korisnika: jedne, koji su lokalni u odnosu na ra čunar i prijavljuju se na njega da bi koristili usluge lokalno radne stanice, i
druge koji su lokalni u odnosu na mrežu ili na domen. Smatramo da je logi čno da lokalni korisnik bude onaj koji koji se lokalno prijavljuje na radnu stanicu ili na server. Lokalni korisnik može može da se prijavi na mašinu ispred koje sedi, na kojoj postoji njegov nalog, ili na udaljenu mašinu za koju mu je dodeljeno pravo da se prijavljuje lokalno. Na primer, primer, to može da bude server za aplikacije aplikacije kome udaljeni klijent pristupa u okviru terminalske sesije. Kada se pravi lokalni korisni čki nalog on se formira samo u bezbedonosnoj bazi podataka ra čunara na kome se pravi i ta se baza naziva lokalnom bezbedonosnom bazom podataka. Informacije iz te baze se ne repliciraju na kontrolere domena u domenu. Te informacije se samo koriste da bi ra čunar proverio autenti čnost lokalnog korisni čkog naloga, što korisniku omogu ćava da se prijavi samo na taj ra čunar i da koristi samo njegove lokalne resurse. 2) Korisnički nalozi domena - Kada pominjemo generi čki korisnike u domenu ili korisnike uopšte logičnije je da o njima govorimo kao o korisnicima domena ili pripadnicima domena. Korisnik može istovremeno da pripada i lokalnom ra čunaru i domenu. Ovi nalozi omogu ćuju korisnicima da se prijave na domen i dobiju pristup resursima bilo gde na mreži. Proces prijavljivanja se ovde ne razlikuje od predhodnog slu čaja jer i ovde korisnik daje svoje korisni čko ime i lozinku. Koriš ćenjem ovih informacija operativni sistem potvr đuje autentičnost korisnika i zatim gradi token pristupa (access token) koji sadrži informacije o korisniku i bezbedonosne parametre i koji važi sve vreme dok je korisnik prijavljen. Ovaj nalog se pravi unutar nekog skladišta ili organizacione jedinice u bazi podataka Aktivnog direktorijuma na kontroleru domena. Ta se informacija obavezno replicira na sve ostale kontrolere domena iz domena, kako bi svi oni mogli da provere autenti čnost korisnika prilikom prijavljivanja. 3) Ugrađeni korisnički nalozi – predstavljaju naloge koji se automatski prave od strane operativnog guest ). sistema i obi čno su to dva naloga: Administrator i Gost ( guest ). Ugrađeni nalog Administrator koristi se da bi mogli da upravljamo celokupnom konfiguracijom ra čunara i domena. Ovom nalogu dodeljuje se inicijalna lozinka koju smo naveli prilikom instaliranja servisa Aktivnog direktorijuma i predstavlja neizbrisiv nalog. Kako ovaj nalog ima dozvole za obavljanje svih zadataka u domenu, moramo ga jako dobro zaštititi od nedozvoljene upotrebe. Preporuka je da se taj nalog uvek preimenuje u neko novo ime koje neće asocirati na nalog sa administrativnim zadacima. Tako đe za ovaj nalog treba koristiti veoma složenu lozinku koja se ne može lako razbiti i koju ne treba previše ljudi da zna. Uobi čajeni rad pod ovim nalogom treba izbegavati i koristiti ga samo kada se rade administrativni poslovi. Odnosno, na sistem se treba prijaviti sa standardnim korisni čkim nalogom a ako se želi da uradi neki administartorski posao treba korisititi program Run as. Namera drugog ugrađenog naloga Guest je da omogući korisnicima koji nemaju otvoren nalog, da se prijave i koriste mrežne resurse. Podrazumeva se da ovaj nalog nema nikakvu lozinku i da nije aktivan. I ovaj nalog možemo da preimenujemo ali ne da i obrišemo. Na primer: pretpostavimo da neko pokušava da pristupi deljenom štampa ču na serveru, ili domenu na kojem je omogu ćen Guest nalog. Student se na svoju lokalnu mašinu loguje kao student sa lozinkom student . Čak i bez naloga na serveru, ili u domenu, on može da radi na svom lokalnom ra čunaru. Windows 95/98 ra čunare ne zanima ko se loguje i oni uopšte nemaju korisni čke naloge. Na nekoj NT radnoj stanici on bi morao da se loguje na lokalnom računaru. Nijedan od serverskih operativnih sistema ne zahteva od korisnika da se loguje sa servera, ili domena da bi dobio pristup lokalnoj radnoj stanici. Pretpostavimo da ovaj server, ili domen nema nalog student. On radi na ra čunaru i pokušava da pristupi resursima iz domena i naravno pristupa. Iako eksplicitno logovanje na domen zahteva da se upotrebi korisničko ime Guest , eksplicitno korisnik ne mora da se loguje na domen, kako bi koristio privilegije gosta. Upravo iz ovog razloga treba biti veoma pažljiv kada se omogu ćuje Guest nalog.
6.1.2 Formiranje korisničkih naloga U Windows-u 2003, konzola Active Directory Users and Computers (DSA.MSC) predstavlja glavnu alatku koja nam služi za za rad sa korisni čkim nalozima, bezbednosnim grupama, organizacionim Microsoft Managment Console jedinicama i načelima, za jedan domen, ili više njih. Kako je re č o Microsoft Managment (MMC) aplikaciji, ovaj alat se može pokrenuti na svakom Windows 2000/2003 ra čunaru. Lokalni korisnički nalozi na usamljenom serveru, serveru članu, ili nekoj radnoj stanici se čuvaju u Security Accounts Manager (SAM) bazi podataka, koja se obi čno nalazi u C:\winnt\system32\congif. Za Aktivni direktorijum, fajl se zove NTDS.DIT i podrazumevano se nalazi u direktorijumu „ %system-
root%\NTDS“. U njoj su informacije o serverima i radnim stanicama, resursima, objavljenim aplikacijama i na čelima bezbednosti. NTDS.DIT i softver koji je pokreće obično se zovu servis direktorijuma, ili Aktivni direktorijum. Ova struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena, radi tolerancije greške i uravnoteženja optere ćenja. To je, u stvari, modifikovana Access baza podataka, kojoj je osnova Lightweight Directory Acess Protocol (LDAP). Baza se ne može otvoriti u Access-u, niti da se gleda na neki drugi na čin, ili edituje direktno, ali se nad njom mogu vršiti upiti i može se menjati pomo ću Active Directory Service Interface (ADSI). Korisničkim nalozima, kada se prvi put kreiraju, automatski se dodeljuje identifikator bezbednosti (security identificator – SID). SID je jedinstven broj koji identifikuje nalog. SID-ovi se koriste od kada je počeo NT, jer sistem i ne zna korisnika po imenu, ve ć po SID-u. Korisnički ID su tu samo radi lakšeg interfejsa. SID-ovi se nikada ne koriste ponovo, kada se nalog obriše i njegov SID se briše sa njim. Active Directory Users and Computers administratoru obezbeđuje sredstva za izvršavanje slede ćih zadataka: 1. Kreiranje, menjanje i brisanje korisni čkih naloga 2. Dodeljivanje Log On scriptova korisni čkim nalozima 3. Upravljanje grupama i članstvima u grupama 4. Kreiranje i upravljanje grupnim načelima Da bi se kreirao korisni čki nalog, u DSA.MSC selektuje se kontejner Users (ili neki drugi kontejner/organizaciona jedinica, gde se želi smestiti nalog), zatim se iz menija Action (slika 5.4) izabere New User . Pojavljuje se čarobnjak, sa okvirom za dijalog prikazanim na slici 5.5. Popunjavaju se polja First Name (ime), Last Name (prezime) i Full Name (puno ime). Potom se unosi korisni čko logon ime (npr. student) i izabere se Universal Principal Name (UPN) sufiks, koji će se dodavati korisni čkom imenu u trenutku logovanja. UPN sufiks je obično DNS ime domena i ne može se izabrati ništa osim podrazumevanog imena domena. UPN imena su pravljena prema e-mail imenima, znači sa @ simbolom. UPN sufiks je pointer na domen koji sadrži korisni čki nalog, tako da je važan kada se korisnik loguje u okruženju sa više domena.
Korisničko ime u Windows 2000/2003 sistemima mora poštovati slede ća pravila: 1. Ime mora biti jedinstveno na ra čunaru, za lokalne naloge (ili jedinstveno u domenu). Me đutim, ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na ra čunaru koji je član domena, a nije kontroler, što je činjenica koja unosi veliku konfuziju, jer je re č o potpuno različitim entitetima. 2. Korisničko ime ne može biti isto kao ime grupe na lokalnom ra čunaru, za lokalni nalog (ni isto kao
ime grupe u domenu). 3. Korisničko ime može biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji. 4. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisni čko ime ne sme sadržati : „ \ / [ ]:;|=,+*?<> 5. Ime može sadržati razmake i ta čke, ali se ne može u potpunosti sastojati od ta čaka i razmaka. Treba izbegavati razmake jer se u tom slu čaju ta imena moraju stavljati me đu znake navoda u slu čaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada se popune sva polja o korisni čkom imenu izabere se Next . U narednom ekranu prikazanom na slici 5.6, zadaje se lozinka za korisni čki nalog i potvr đuje se. Nijedna od opcija naloga nije potvr đena unapred, pa nije loše izabrati User must change password on Next logon (korisnik mora promeniti lozinku prilikom sledećeg logovanja). Opcije lozinke i naloga sumirane su u tabeli 5.1. Tabela 5.1: Opcije lozinke i naloga pri kreiranju novog korisni čkog naloga Opcija
Opis
User must change password on next logon (korisnik mora promeniti lozinku prilikom sledećeg logovanja) User cannot change password ( korisnik ne može da menja lozinku) Password never expires (lozinci nikad ne isti če rok trajanja)
Primorava korisnika da promeni lozinku slede ći put kada se prijavi.
Account is disabled (nalog je onemogu ćen)
Ako je potvr đeno, sprečava korisnika da promeni lozinku za nalog. Ako je potvr đeno, korisni čki nalog ignoriše politiku isticanja roka lozinke. Ovo je korisno za naloge koji pokre ću servise i naloge za koje želite stalnu lozinku (na primer Guest ). ). Ako je potvr đeno, nalog je onemogu ćen i niko ne može da se loguje na njega, dok se ne omogu ći (nalog nije uklonjen iz baze podataka). Ovo je korisno za naloge koji se koriste kao šabloni i za nove korisničke naloge koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje ne će početi da rade još neko vreme.
Poslednji ekran ovog Create New Object čarobnjaka, jednostavno potvr đuje sve informacije koje su date, uključujući kontejner/organizacionu jedinicu gde će se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Klikne se na Finish i korisnički nalog je kreiran. 6.1.3 Svojstva korisni čkih naloga Svakom korisničkom nalogu domena koji smo napravili pridružen je skup podataka koji bliže određuju taj nalog. Za korisni čke naloge ovi podaci predstavljaju atribute tih objekata koji nam omogućuju da korisnike možemo pronalaziti u direktorijumu po njima. Da bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisni čkog naloga i vidi se nekoliko opcija u kontekstualnom meniju. Odavde se brzo može kopirati nalog, upravljati članstvom u grupi, onemogu ćiti ili omogućiti nalog, resetovati korisni čku lozinku, premestiti nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati E-mail. U ovom meniju se može izabrati brisanje naloga i promena imena. Iz kontekstualnog naloga se izabere Properties, da bi se otvorile sve informacije o korisničkom nalogu. Na kartici General , može se dodati opis korisni čkog naloga, upisati ime odseka u školi, školi, studijske grupe itd, dodati brojevi telefona, e-mail adresa, čak i adresa web stranice. Kartica Address , prikazuje polje za korisnikovu poštansku adresu. Kartica Telephones nudi mesta za brojeve za kućni, mobilni, faks i IP telefon i pejdžer, kao i mesto za unošenje komentara. U Organizacionoj kartici mogu se uneti informacije o nazivu ne čijeg posla i poziciji u hijerarhiji organizacije. Ove četiri pomenute kartice se ne mogu smatrati svojstvima naloga ve ć su tu čisto informativnog karaktera. Ukoliko je potrebno promeniti korisnikovo logon ime, ili UPN sufiks, ide se na karticu Account . Na ovom mestu može se odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slično. Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali može se izabrati dugme Logon Hours, kako bi se zadali odre đeni sati i dani kada je dozvoljeno logovanje. Podrazumeva se da korisnik ne će biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad, ali
postoji parametar kojim se i ovo može postići. Parametar se zove Automatically Log Off Users When Logon Hour Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy Object Editor -u, -u, pod Computer Configuration\Windows Settings\ Security Settings\ Local Polices\Security Options .
6.2 Administriranje grupa Grupe predstavljaju skladišta više korisnika, kontakata, ra čunara ili drugih grupa (formiranje đivanje). i vanje). Grupe su podržane u aktivnom imeniku i u bezbednosnom grupe je poznato i kao ugnež đ podsistemu lokalnog računara. Slika 6.2.1 ilustruje filozofiju kontejnerskog objekta tipa grupa. Grupa umanjuje rad administratora, tako što omogu ćuje da se dozvole i prava dodele grupi korisnika umesto da ih pojedinačno dodeljujemo svakom korisni čkom nalogu. Sasvim je razumljivo ako se pitamo zbog čega je Microsoft za gra đenje struktura ponudio i grupe i organizacione jedinice (OJ). Grupe su zaostatak iz vremena Windows-a NT. Treba imati u vidu da je Windows Server 2003 sagrađen na temeljima tehnologije .NET, što zna či da su grupe nasle đene od ranije tehnologije i da su poboljšane u Windows Serveru 2003. Iako grupe nekome mogu da se čine suvišnim pored organizacionih jedinica, one su prisutne u Windows Serveru 2003 i tako će i ostati. Grupe su izuzetno moćni upravljački objekti. Grupe formiramo i koristimo prvenstveno da bismo prava pristupa objekata tipa korisnik i grupa ograni čili na određenu bezbednosnu celinu. Grupe mogu da sadrže objekte tipa korisnik koji svi imaju ista prava pristupa mrežnim objektima, kao što su deljeni resursi, direktorijumi, datoteke, štampači itd. To znači da grupe mogu da se koriste u ulozi bezbednosnog filtra, kroz koji se korisnicima i drugim grupama odobrava pristup odre đenim resursima. Tu ključnu ulogu grupa ilustruje slika 6.2.2.
Object (object name) 1 Read 2 Execute 3 Write Slika 6.2.1 Grupe su zbirke ili skupine korisnika, ra čunara i drugih grupa
Slika 6.2.2 Grupe predstavljaju bezbednosni filtar kroz koji se korisnicima i drugim grupama odobrava pristup resursima
Grupe možemo da koristimo i za formiranje distribucionih lista (to je još jedna nova vrsta grupe), odnosno lista za slanje. Na primer, možemo da formiramo grupu čiji će svi članovi pojedinačno dobijati svaku poruku koja grupi bude poslata elektronskom poštom. To je izuzetna olakšica za administratore elektronske pošte. Mnogi ljudi veruju da su objekti tipa grupa postali suvišni jer postoje organizacione jedinice. To bi bilo tačno kada bi bezbednosni podsistem i mehanizmi kontrole pristupa objektima prepoznavali organizacione jedinice, tj. kada bi one bile bezbednosni subjekti. Za razliku od OJ, grupa je složen kontejner koji omogu ćava sve vrste kontrola korisni čkih naloga i drugih objekata koje sadrži. Prednost grupe je to što ista grupa može da sadrži članove koji pripadaju razli čitim organizacionim jedinicama i domenima. S druge strane, jedna organizaciona jedinica uvek pripada samo jednom domenu. Firmama koje nastaju složenim spajanjem ili kupovinom drugih firmi i internacionalnim kompanijama, savršeno odgovara koriš ćenje grupa čiji članovi pripadaju organizacionim jedinicama kupljenih firmi ili njihovim podružnicama i službama.
6.2.1 Tipovi grupa Grupisanje mrežnih resursa u grupe naj češće se radi iz bezbedonosnih razloga, ali se to nekada radi zbog jedinstvenog slanja poruka više korisnicima. Shodno tome, kada se u Windows-u pravi grupa, ona se može klasifikovati kao bezbedonosna ili kao distributivna. Oba tipa grupa čuvaju se u komponenti baze podataka servisa Aktivnog Direktorijuma što nam omogućava da ih koristimo bilo gde na mreži. Bezbedonosne grupe su one koje se koriste za dodeljivanje prava i dozvola za pristup resursima. Ovaj tip grupe sadrži sve mogu ćnosti koje ima distributivna grupa, tako da Windows Server 2003 koristi samo bezbedonosi tip grupa. Kao i korisni čkim nalozima, bezbedonosnim grupama se dodeljuju SID-ovi koji jednoznačno određuju svaku grupu. Pri pravljenju grupe nije dovoljno da odredimo tip grupe ve ć i njen domet. Domet grupe omogu ćuje nam da koristimo grupe za dodeljivanje dozvola na razli čite načine. Poznata su tri osnovna tipa dometa grupa i to: 1) globalni – najčešće se koriste za organizovanje korisnika koji dele sli čne zahteve za pristup mreži. Dve su osnovne karakteristike ovih grupa: ograničeno članstvo-možemo da dodajemo članove samo iz domena u kojem smo napravili globalnu grupu, i pristup resursima u bilo kom domenu omogućava nam da grupu koristimo za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u stablu ili šumi. 2) lokalni u domenu - Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru, serveru koji je član domena, ili na WinXP radnoj stanici. Lokalne grupe su lokalne za taj ra čunar. To jest, one postoje i validne su samo na toj radnoj stanici ili serveru koji nije kontroler domena. Domain local group (Lokalna grupa domena) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedni čki Aktivni direktorijum koji je repliciran izme đu njih, tako da će lokalna grupa domena koja postoji na jednom ra čunaru, postojati i na drugom. karakteristike ovog tipa su: otvoreno članstvo-dodajemo članove iz bilo kog domena i pristup resursima u jednom domenu-ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u istom domenu u kome se i grupa pravi. 3) univerzalni – predstavljaju novu mogu ćnost, počevši od Win 2000, i omogu čuju da dodeljujemo dozvole povezanim resursima um više domena. Njih karakteriše otvoreno članstvo-dodajemo članove iz bilo kog domena, pristup resursima u bilo kom domenu -ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u šumi. Ovaj tip je dostupan je samo u domenima čiji je funkcionalni nivo doemna postavljen na Win 2000 po četni (native) ili Windows Server 2003. Globalne, univerzalne i lokalne grupe domena, su smeštene u Aktivnom direktorijumu kontrolera domena. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena. Univerzalne grupe mogu da vrše funkciju globalnih, daju ći prava i dozvole za objekat, unutar domena i između domena. One su mnogo korisnije od globalnih, ili lokalnih, jer su neuporedivo fleksibilnije po pitanju ugneždavanja, ali se mogu koristiti samo kada je domen native (prirodan), što zahteva da su svi kontroleri domena na Windows-u 2000/2003. Distribuciona grupa nije sigurnosna. One nemaju SID i ne pojavljuju se u ACL-u ( Acces Control List ). To su grupe sa adresama primalaca. Lakše je adresirati mail na, na primer, šefovi odseka škole, nego svakog od šefa selektovati posebno iz liste. Pretpostavlja se da su unete e-mail adrese korisnika. Sigurnosne grupe u Aktivnom direktorijumu su, tako đe, nezvani čne distribucione liste. Potrebno je samo kliknuti desnim tasterom ime grupe u DSA.MSC i pojaviće se opcija slanja e-maila članovima grupe, kao što se vidi opcija slanja maila nalogu korisnika, kada se na njega kilkne desnim tasterom. Ovo će izbaciti program za rukovanje poštom i sistem će pokušati da poštu pošalje na e-mail adresu dobijenu iz informacija naloga. Pretpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru škole i svi oni su smešteni u sigurnosnu grupu Administracija. Ne samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi članovima grupe pod pretpostavkom da je za svakog korisnika popunjena e-mail informacija. 6.2.2 Oblast rada grupa: lokalne, globalne i univerzalne Glavna pitanja u vezi lokalnih, globalnih i univerzalnih grupa su gde se prepoznaju i šta mogu da sadrže. Pošto se koriste za dodeljivanje prava i dozvola, potrebno je znati gde članstvo u toj grupi nešto znači ili gde se prihvata. Pošto grupe treba ugneždavati radi olakšanja davanja prava i dozvola, treba znati pravila i preporuke koje važe za ugneždavanje.
Obične lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima. Usamljeni server ili radna stanica, koji nisu članovi domena su kao usamljeni narod koji ne znaju za ostatak sveta. Oni prepoznaju samo svoje lokalne grupe i korisnike. Lokalne grupe su jedine kojima se mogu dodeliti prava za pristup resursima, a članstvo je ograni čeno na lokalne korisnike. Ipak, kada se računar priključi domenu usamljeni narod postaje član neke veće uprave, federacije. „Server- član“ ili „radna stanica-član“ zadržavaju svoje lokalne korisnike i grupe, ali će sada u članstvo svojih lokalnih grupa primati i članove iz „federacije“, koji nisu lokalni. Na globalne grupe i „federalne“ (domen) naloge se sada, mogu upu ćivati u listama dozvola za objekat (ACL). Lokalne grupe domena, koje žive u Aktivnom direktorijumu kontroleru domena, postoje u razli čitom kontekstu od lokalnih grupa na radnim stanicama, usamljenim ili serverima- članovima. Ovi računari su svesni svog ku ćnog domena i svih ostalih domena u šumi Aktivnog direktorijuma. Zbog toga lokalne grupe domena mogu da sadrže članove iz bilo kojeg od domena iz šume. Mogu da sadrže korisnike iz sopstvenog ili domena od poverenja ( trusted domain) i univerzalne. Iako su lokalne grupe domena fleksibilnije po pitanju članstva, one su validne samo u svom ku ćnom domenu, jer se koriste samo u ACLovima istog domena. Drugi domeni imaju sopstvene lokalne grupe domena. Kad bi lokalna grupa domena bila validna u drugom domenu, više ne bi bila „lokalna“. Osim toga, lokalne grupe domena se ne repliciraju u globalni katalog, iako se informacije o članstvu repliciraju između kontrolera domena u istom domenu. Članstvo u lokalnim grupama domena trebalo bi da je relativno malo i da koristi ugneždavanje. Globalne grupe mogu da sadrže samo članove iz istog domena. U globalnu grupu se ne može smestiti ni lokalna, ni univerzalna grupa, ve ć samo korisnički nalozi i globalne grupe iz istog domena. Članstvo u globalnoj grupi je suprotno od članstva u lokalnoj grupi domena; članstvo u globalnoj grupi je ograničeno, ali je njegovo prihvatanje široko. Globalne grupe se mogu koristiti u svakom ACL-u u šumi, čak i u drugim šumama, ako se ustanove stari odnosi poverenja. O globalnim grupama treba misliti kao o kontejnerima za korisnike i grupe kojima treba da ih drugi ra čunari i domeni prihvate. Informacije o globalnim grupama se repliciraju izme đu bratskih kontrolera domena, ali globalni katalog sadrži samo imena grupa, a ne i članova. Univerzalne grupe se mogu kreirati na svakom kontroleru domena. One mogu da sadrže članove iz bilo kog od domena šume i mogu se koristiti na objektovom ACL-u unutar šume. Članstvo u univerzalnoj grupi je neograničeno fleksibilno, a univerzalno je prihva ćeno u šumi. Univerzalne grupe se mogu koristiti samo u Native režimu. Ako se koriste samo univerzalne grupe, globalni katalog će se prepuniti i došlo bi do problema sa replikacijom. Imena univerzalnih grupa i njihovo članstvo se repliciraju na druge servere globalnih kataloga (po jedan za svako mesto), dok se, u slu čaju globalnih grupa, njihova imena pojavljuju u globalnom katalogu, ali članovi ne. Kad ima više domena, globalni katalog sadrži replike informacija o svakom domenu iz šume, pa će veličina i vreme potrebno za replikaciju eksponencijalno rasti ako univerzalna grupa sadrži veliki broj objekata. Zbog toga bi članstvo u univerzalnoj grupi trebalo da bude dosta stati čno. Poželjno je izbegavati direktno dodavanje korisnika a druge grupe treba samo ugnezditi. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da kopiraju informacije iz drugih domena čime se neizmerno smanjuje optere ćenje pri replikaciji. To zna či da bi u ovom slučaju mogle da se koriste isklju čivo univerzalne grupe. U slu čaju jednog domena verovatno će sve globalne grupe biti zamenjene univerzalnim. Globalne i univerzalne grupe mogu da spajaju domene, čak i šume. Domeni i ra čunari iz različitih šuma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo može posti ći ručno stvorenim odnosima poverenja. Dakle osnovna pravila su: Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Druge grupe treba stavljati u lokalne i tako zadržati malo članstvo. Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima će biti potrebne iste privilegije, ili pristup istim resursima. Ove globalne grupe treba stavljati u lokalalne, koje imaju željene privilegije i prava pristupa. Univerzalne grupe se koriste onako kako odgovara Administratoru, onda kada svi domeni budu na Windows 2000/2003 platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe (suprotno korisničkim nalozima) unutar univerzalnih grupa. Iako je moguće, nije preporučljivo ugneždavati grupe zbog zna čajnog pada performansi.
Na kraju treba sumirati i pravila ugneždavanja na Windows platformama. Lokalne grupe (počev od Windows 2000 do 2003 servera i radnih stanica) mogu da sadrže: Grupe lokalnih domena, univerzalne iz ku ćnog domena Globalne i univerzalne iz Windows pouzdanih domena Lokalne grupe domena (na kontroleru domena) mogu da sadrže: Korisničke naloge iz bilo kog domena šume Univerzalne i globalne iz bilo kog domena šume Lokalne, samo iz istog domena Globalne grupe mogu da sadrže: Korisnike iz istog domena Druge globalne grupe iz istog domena Univerzalne grupe mogu da sadrže: Korisničke naloge iz bilo kog domena šume Druge univerzalne grupe Globalne grupe iz bilo kog domena šume
6.2.3 Rad sa sigurnosnim grupama Veoma je važno unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo članova (kao što su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa, od tog trenutka treba samo da se premešta članstvo u globalnim i univerzalnim grupama. Tako se štedi vreme i pojednostavljuje dodeljivanje dozvola za objekte. Neki dobri primeri ugneždavanja se mogu precrtati iz šema ugneždavanja koje se automatski postavljaju u domenu. Jedan je ugneždavanje administratorskih grupa. Administrator nalog na Windows računaru svoju snagu crpe iz članstva u lokalnoj Administratorskoj grupi. Ako se izvu če Administrator izvan Administrators grupe, nalog više ne će imati specijalne mo ći ni mogućnosti. Aktivni direktorijum automatski pravi globalnu Domain Admins grupu, iako toj grupi ne dodeljuje široka administratorska prava, kao što se može pomisliti. Kada Windows postane kontroler domena, globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. Slika 5.24 prikazuje članstvo lokalne grupe domena Administrators, za domen vts.ni.edu.yu. Ukupan efekat ovog ugneždavanja je da je član Domain Admins, ili Enterprise Admins grupe lokalni administrator za svaki računar, člana domena. Ovakvo podrazumevano ponašanje se može zaobi ći tako što se Domain Admins, ili Enterprise Admins ukloni iz lokalne grupe na ra čunaru. Ali to nije preporuka. Članstvo grupe Domain Admins, ili Enterprise Admins u lokalnoj Administratorskoj grupi može se zameniti njihovim članstvom u specifi čnim globalnim grupama, administratorskog tipa, kao što su F&A Admins ili CS Admins. Drugi primer za ugneždavanje grupa je članstvo lokalne Users grupe. Na članu domena, ili kontroleru domena, Users automatski uključuje Domain Users . Kada se u domenu kreira novi korisni čki nalog, novi korisnik se automatski pridružuje Domain Users grupi. Efekat ovoga je da se korisni čkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaki ra čunar, člana domena. Korisni čki nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj su dodeljena lokalna prava i dozvole na sistemu. Nije loše pomenuti i par ostalih ugneždavanja. Domain Guests je automatski član lokalne grupe Guests na svim računarima, članovima domena, a Enterprise Admins (univerzalna grupa) je član lokalne Administrators grupe . 6.2.4 Ugrađene lokalne grupe domena Svi ugrađeni korisnički nalozi, podrazumevano su smešteni u kontejner Users. U kontejneru Users postoje i unapred definisane globalne grupe, ali neke od njih su smeštene u kontejner BuiltIn. Grupe koje su u BuiltIn kontejneru su ozna čene kao Builtin Local , a one koje su u Users kontejneru su Domain Local , Global , ili Universal . Sada se postavlja pitanje u čemu je razlika? Lokalne grupe su specifi čne za računar, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja, kao što je gore ve ć rečeno. Ugrađene lokalne grupe, radi administracije, imaju unapred odre đena prava i dozvole. Članstvo u ovoj grupi korisniku daje svu mo ć i mogućnosti koje su date grupi. Ovo je na čin da se brzo dodele dobro definisane administratorske uloge, umesto njihovog pravljenja od po četka. Na primer, Server Operators imaju skup urođenih prava koja im omogu ćavaju da prave deljene fajlove i upravljaju servisima. Backup
Operators imaju pravo da zaštitno kopiraju fajlove i direktorijume, čak i ako nemaju dozvolu da ih čitaju, ili menjaju. Tabela 5.2 daje spisak ugra đenih lokalnih grupa domena i njihove specijalne sposobnosti. Ugrađene lokalne grupe su zajedni čke za sve Windows sisteme iz istog mesta (server, radna stanica, DC) i pružaju pogodne kontejnere grupama za dodelu lokalnog administratorskog autoriteta. Ove grupe se ne mogu obrisati. Ipak, u kontejneru se mogu kreirati drugi korisnici i grupe, iako oni ne će imati nikakva posebna prava, osim ako im se ne dodele. Tabela 5.2: Ugrađene grupe i njihova prava Članovi mogu da Korisnička prava Grupa: Administrators Lokalno logovanje Kreiraju i upravljaju korisničkim nalozima Pristup ovom računaru sa mreže Kreiraju i upravljaju globalnim nalozima Preuzimanje vlasništva nad fajlovima Dodeljuju prava korisnicima Upravljanje revizijama i bezbednosnim Upravljaju načelima revizije i bezbednosti logom Promena sistemskog vremena Zaklju čavaju konzole servera Obaranje sistema Otključaju konzole Forsirano obaranje sa udaljenog sistema Formatiraju hard disk servera Povratak (restore) fajlova i Drže lokalne profile direktorijuma Dodavanje i uklanjanje drajvera ure đaja Dele i prestaju da dele direktorijum Davanje višeg prioriteta procesu Dele i prestaju da dele štampa č Zaštitno kopiranje (backup) fajlova i Kreiraju zajedničke programske grupe direktorijuma Grupa: Server Operators Lokalno logovanje Zaključavaju server Promena sistema vremena Prelaženje preko toga što je server zaklju čan Obaranje sistema Formatiranje hard diska servera Forsirano obaranje sa udaljenog sistema Kreiraju zajedni čke grupe Zaštitno kopiranje (backup) fajlova i Drže lokalni profil direktorijuma Povratak (restore) fajlova i Dele i prestaju da dele direktorijum direktorijuma Dele i prestaju da dele štampa č Grupa: Account Operators Lokalno logovanje Kreiraju i upravljaju korisničkim nalozima, globalnim grupama i lokalnim grupama Obaranje sistema Dele i prestaju da dele štampač Grupa: Print Operators Lokalno logovanje Drže lokalni profil Obaranje sistema Dele i prestaju da dele štampač Grupa: Backup Operators Lokalno logovanje Drže lokalni profil Obaranje sistema Zaštitno kopiranje (backup) fajlova i direktorijuma Povratak (restore) fajlova i direktorijuma Grupa: Everyone Pristup ovom računaru sa mreže Zaključavaju server Grupa: Users (Nema) Kreiraju i upravljaju lokalnim grupama Grupa: Guests (Nema) (Nema) Grupa: Replicator (Nema) (Nema)
Administrators.
Administratori imaju skoro sva ugra đena prava, pa su članovi u suštini, svemogu ći u vezi administracije sistema. Backup operators. Članovi Backup Operators imaju pravo da zaštitno kopiraju i vra ćaju fajlove, bez obzira na to da li na drugi način mogu da pristupaju tim fajlovima. Server Operators . Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. Članovi mogu da kreiraju, upravljaju i brišu deljene štampače na serverima, kreiraju, upravljaju i brišu deljene mrežne resurse na serverima, zaštitno kopiraju i vra ćaju fajlove na servere, formatiraju hard diskove servera, zaklju čavaju i otključavaju servere, otključavaju fajlove i menjaju sistemsko vreme. Osim toga, Server Operators mogu na mrežu da se loguju sa servera domena, kao i da obaraju servere. Accounts Operators. Članovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisničke naloge i grupe i da menjaju i brišu ve ćinu korisničkih grupa i naloga iz domena. Član Account Operators ne može da menja ni briše slede će grupe: Administrators, Domain Admins, Account Operators, Backup Operators, Print Operators i Server Operators. Slično, članovi ove grupe ne mogu menjati, ni brisati korisničke naloge administratora. Ne mogu administrirati bezbednosna na čela, ali mogu dodavati ra čunare u domen, mogu se logovati na servere i obarati ih. Print Operators. Članovi ove grupe mogu kreirati, upravljati i brisati štampa če koje deli server. Osim toga, mogu da se loguju na server i da obaraju server. Power Users . Ova grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. Članovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom Users, Power Users i Guests, kao i administrirati ostale korisnike i grupe koji su kreirali. Users. Korisnici mogu da pokre ću aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore i zaklju čaju radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. Guests. Gosti mogu da se loguju i pokre ću aplikacije. Mogu i da obore sistem, a u svakom drugom pogledu imaju ve ća ograničenja nego Users. Na primer, ne mogu da drže lokalni profil. Replicator. Ova grupa je strogo za replikaciju direktorijuma. Korisni čki nalog se koristi za pokretanje Replicator servisa i trebalo bi da je jedini član grupe. U kontejneru Users se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe, kao deo konfiguracije odre đenog servisa. Njihova namena može da bude da se korisnicima omogu ći pristup određenom servisu (kao DHCP Users, ili WINS Users), ili da obezbede kontejner grupe za administraciju servisa, kao u slu čaju DHCP Administrators i DNS Admins. Ove i druge predefinisane grupe mogu imati specijalna prava ili dozvole za odre đene stvari, ali nemaju široka prava i dozvole kao Administratori, Server Operateri . Windows 2003 ima nekoliko ugra đenih globalnih grupa, izme đu ostalih Domain Admins, Domain Usres i Domain Guests. One će se pojaviti samo na kontrolerima domena. Tabela 5.3 opisuje najvažnije ugrađene globalne grupe. Tabela 5.3: Ugrađene globalne grupe Grupa Šta radi Domain Postavljanjem korisničkog naloga u ovu grupu, korisniku se dodeljuju mogu ćnosti administratora. Članovi Domain Admins mogu da administriraju kućni domen, radne stanice Admins iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu Domain Admins globalnu grupu domena. Podrazumeva se da je Domain Admins grupa član i Administrators lokalne grupe domena i Administratorskih lokalnih grupa svake Windows radne stanice u domenu. Ugra đeni korisnički nalog Administrator za domen je automatski član Domain Admins globalne grupe. Ako je potvr đeno, sprečava korisnika da promeni lozinku za nalog. Domain Users
Članovi Domain
Users globalne grupe imaju normalan korisni čki pristup i sposobnosti kako za sam domen, tako i za svaku radnu stanicu u domenu. Ova grupa sadrži sve korisni čke naloge iz domena i podrazumeva se da je član svake lokalne Users grupe, na svakoj radnoj stanici u domenu.
Domain Guests
Ova grupa omogu ćava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili Administratori domena.
6.3 Alatke za upravljanje korisnicima i ra čunarima Windows Server 2003 se isporučuje zajedno sa alatkama koje omogućavaju upravljanje lokalnim nalozima i nalozima u aktivnom imeniku. Na samostalnim računarima i pridruženim serverima (kao i na radnim stanicama koje rade pod Windows XP) te alatke su Users and Passwords (korisnici i lozinke) i Local Users and Groups (lokalni korisnici i grupe); na upravljačima domena to je Active Directory Users and Computers (korisnici aktivnog imenika). MMC modul Active Directory Users and Computers je glavna alatka za formiranje korisnika i upravljanje njima u mrežnim domenima. Pokre će se biranjem Start>AdministrativeTools>ActiveDirecto ry Users and Computers . Na Slici 6.2.3 prikazan je modul Users and Computers. Slika 6.2.3 Modul Active Directory Users and Computers
U slučaju da Vaša_Win2K3 mašina nije kontroler domena i ne koristite Aktivni direktorijum, korisničke naloge kreirajte pomo ću alata Computer Management (COMPMGMT.MSC). Korisnici kreirani pomoću COMPMGMT.MSC su lokalni nalozi, što zna či da postoje i validni su samo na toj lokalnoj mašini. Ipak, COMPMGMT.MSC je alat koji može raditi i na daljinu, tako da ga možete koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na udaljenim usamljenim serverima. Da bi ste ovo radili treba samo da, iz menija Action, izaberete Connect to Another Computer . Ako je mašina na kojoj radite kontroler domena, za kreaciju naloga morate da koristite Active Directory Users and Computer (DSA.MSC). Na kontroleru domena, u COMPMGMT.MSC , onemogu ćen je čvor Local Users and Groups i postoji X u crvenom krugu preko funkcije, koje govori da je ona deaktivirana. U COMPMGMT.MSC otvorite Local Users and Groups, kao što je prikazano na Slici 6.2.4 Zapazite korisnike i grupe koji su kreirani tokom instalacije Win2K3. Na usamljenom serveru (standalone), na kojem nisu instalirani posebni mrežni servisi kakvi su IIS, Terminal services, DHCP ili DNS, jedini ugrađeni nalozi su Administrator i Guest . Podrazumeva se da je Guest onemogu ćen iz razloga predostrožnosti. Ovaj nalog se, na usamljenom serveru, ili u AD kontekstu, primarno koristi za bušenje velike rupe u bezbednosti sistema, omogu ćavanjem neproverenog pristupa. Ta čno, neproverenog pristupa. Za Guest nalog se ne traži lozinka. Možete da ga koristite bez poznavanja korisni čkog imena i lozinke i zbog toga se podrazumeva da je onemogu ćen. Dobra je stvar što je Guest nalog siromašan po pitanju snage i mogućnosti. Naravno, nalog Administrator ima snagu i mogu ćnosti koje daleko prevazilaze obične smrtnike. Ne može se obrisati ni onemogu ćiti, čak, ni ako postavite stroga lockout načela (koja zaključavaju nalog posle odre đenog broja neuspešnih pokušaja logovanja). Nalog Administrator nije običan subjekat za ova na čela i zato se ne može zaklju čati, čak, ni posle milion propalih pokušaja logovanja, što bi moglo da bude više nego dovoljno za razbijanje slabe lozinke.
Slika 6.2.4 Computer Management Local Users and Groups
Napomena: Uobičajena bezbednosna praksa je preimenovanje i Guest i Administrator naloga. Ovo sprečava potencijalnog uljeza da koristi opšte poznata korisni čka imena, kada pokušava da se loguje. Active Directory Users and Computers mrežnom administratoru obezbe đuje sredstva za izvršavanje sledećih zadataka: Kreacija, menjanje i brisanje korisni čkih naloga Dodeljivanje logon skriptova korisni čkim nalozima Upravljanje grupama i članstvima u grupama Kreacija i upravljanje grupnim na čelima
6.2.6 Kreacija novog korisni čkog naloga Da biste kreirali korisni čki nalog, u DSA.MSC selektujte kontejner Users (ili neki drugi kontejner/organizacionu jedinicu, gde želite da se nalog nalazi), zatim iz menija Action izaberite New > User. Pojaviće se čarobnjak, sa okvirom za dijalog prikazanim na slici 1.13. Popunite polja First Name (ime), Initials (inicijali), Last Name (prezime) i Full Name (puno ime), kao što je prikazano na slici (inicijali i prezime su opciona polja). Zatim, unesite korisni čko login ime (HePet) i izaberite Universal Principal Name (UPN) sufiks, koje će se dodavati korisni čkom imenu u trenutku logovanja. UPN sufiks je obično DNS ime domena i, osim ako ste podesili alternativne sufikse, ne ćete ni moći da izaberete ništa osim podrazumevanog imena domena (osveljkovlahovic.edu, u ovom slu čaju). UPN imena su pravljena prema e-mail imenima, znači sa @ simbolom. UPN sufiks je pokaziva č na domen koji sadrži korisni čki nalog, tako da je važan kada se korisnik loguje u okruženju sa više domena. Uskoro ćemo popričati o UPN imenima. Za logovanje na NT4, ili Windows 95/98 mašinu postoji i logon ime nižeg nivoa, koje koristi staru sintaksu IMEDOMENA\коrisničkoime. Korisničko ime u Win2K3 mora poštovati slede ća pravila: Ime mora biti jedinstveno na mašini, za lokalne naloge (ili jedinstveno u domenu,u slu čaju naloga domena). Međutim, ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na mašini koja je član domena, a nije kontroler, što je činjenica koja unosi veliku konfuziju, jer je re č o potpuno različitim entitetima. Korisničko ime ne može biti isto kao ime grupe na lokalnoj mašini, za lokalni nalog (ni isto kao ime grupe u domenu, u slu čaju naloga domena). Korisničko ime može biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisni čko ime nesme sadržati sledeće znakove: “ / \ [ ] : ; | = , + * ? < >
Ime može sadržati razmake i ta čke, ali se ne može u potpunosti sastojati od ta čaka i razmaka. Ipak, izbegavajte razmake, jer ovakva imena moraju da se stavljaju me đu znake navoda u slu čaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada popunite sve informacije o korisni čkom imenu, izaberite Next. U narednom ekranu, prikazanom na slici 1.14, zadajte lozinku za korisni čki nalog i potvrdite je. Postavite i opcije lozinke i naloga sumirane u Tabeli 1 i izaberite Next. Nijedna od opcija naloga nije postavljena unapred, pa je dobra ideja nastaviti i izabrati User Must Change Password at Next Logon (korisnik mora promeniti lozinku prilikom sledećeg prijavljivanja).
Slika 6.2.5 Kreacija novog korisnika
Slika 6.2.6 Zadavanje lozinke i opcija naloga
Tabela 1: Opcije lozinke i naloga pri kreiranju novog korisni čkog naloga Opcija User Must Change Password at Next Logon (Korisnik mora promeniti lozinku prilikom slede ćeg prijavljivanja) User Cannot Change Password (korisnik ne može da menja lozinku)
Password Never Expires (lozinci nikada ne sti če rok trajanja)
Account is Disabled (nalog je onemogu ćen)
Opis
Primorava korisnika da promeni lozinku slede ći put kada se prijavi. Ako je potrvr đeno, sprečava korisnika da promeni lozinku za nalog. Ako je potvr đeno, korisni čki nalog ignoriše politiku isticanja roka lozinke, a lozinka za nalog nikada ne zastareva. Ovo je korisno za naloge koji pokre ću seanse i naloge za koje želite stalnu lozinku (kao što je nalog Guest). Ako je potvr đeno, nalog je onemogu ćen i niko ne može da se loguje na njega, dok se ne omogu ći (međutim, nije uklonjen iz baze podataka). Ovo je korisno za naloge koji se koriste kao šabloni i za nove korisni čke naloge koje kreirate mnogo unapred, kao što su novi zaposleni koji neće početi da rade još nekoliko nedelja.
Poslednji ekran ovog Create New Object čarobnjaka, prikazan na slici 1.15 jednostavno potvr đuje sve informacije koje ste dali, uklju čujući kontejner/organizacionu jedinicu gde će se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Izaberite Finish i korisni čki nalog je kreiran.
Slika 1.15: Potvrda informacija o novom korisniku
Svojstva korisni čkog naloga Hajde da se sada vratimo i pogledamo svojstva naloga koji smo upravo kreirali. Kliknite desnim tasterom objekat korisničkog naloga i vide ćete nekoliko opcija u kontekstualnom meniju, odavde brzo možete da kopirate nalog, upravljate članstvom u grupi, onemogu ćite, ili omogućite nalog, resetujete korisnikovu lozinku, premestite nalog u drugi kontejner, ili organizacionu jedinicu, otvorite korisnikovu home stranicu ili mu pošaljete mail (dva poslednja zahtevaju da su URL home stranice i e-mail adresa specificirani u informacijama naloga). U ovom meniju možete i da izaberete da obrišete nalog, ili da mu promenite ime. Pri kreiranju, svakom korisni čkom i grupnom nalogu se dodeljuje jedinstven identifikator, koji se zove SID. Brisanje korisničkog, ili grupnog naloga briše jedinstven identifikator. Čak i ako ponovo kreirate nalog sa istim imenom, novi nalog ne će imati prava ni dozvole starog naloga. Iz kontekstualnog naloga izaberite Properties, da biste otvorili sve informacije o korisni čkom nalogu. Na kartici General, prikazanoj na slici 1.16, možete da dodate opis korisni čkog naloga, upišete ime kancelarije u kojoj korisnik radi i dodate brojeve telefona, e-mail adresu, čak i adresu web stranice. Kartica Address, sa slike 1.17, prikazuje polje za korisnikovu poštansku adresu. Kartica Telephones (slika 1.18) nudi mesta za brojeve za ku ćni, mobilni, faks i IP telefon i pejdžer, kao i mesto za unošenje komentara.
Slika 1.16: General svojstva korisnika
Slika 1.17: User Properties Address korisnika
Slika 1.18: User Properties Telephones kartica
Na slici 1.19 vidite Organization karticu, na koju možete da unesete informacije o nazivu ne čijeg posla i poziciji u hijerarhiji firme. Kartica Dial-In (slika 1.20) omogu ćava kontrolu pristupa udaljenoj mreži (VPN) ili internetu preko dial-in dozvola: Allow Access (omogu ćen pristup) odnosno Deny Access (zabranjen pristup) (direktan način kontrole sa ove kartice). Ukoliko kontrolu vršimo preko GPO-a potrebno je selektovati tre ću opciju: Control Access Through Remote Access Policy. Ova kartica Vam, tako đe, omogućuje biranje Callback opcija (smanjenje telefonskih ra čuna).
Slika 1.19: User Properties Organisation kartica
Slika 1.20: User Properties Dial-In kartica
Narednih nekoliko odeljaka će se pozabaviti upravljanjem parametrima naloga, informacijama o profilu i članstvima u grupama.
Parametri naloga Ako treba da menjate korisnikovo login ime, ili UPN sufiks, idite na karticu Account (slika 1.21). Na ovom mestu možete odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i sli čno. Podrazumeva
se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali Vi možete da izaberete dugme Logon Hours, da zadate odre đene sate i dane kada im je to dozvoljeno (vidi sliku 1.22). Napomena: Podrazumeva se da korisnik ne će biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad, ali postoji parametar kojim se i ovo može posti ći. Parametar se zove Automatically Log Off Users When Logon Hours Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy snap-inu, pod Computer Configuration\Windows Settings\ Security Settings\Local Policies\Security Options. Ovaj parametar se može postaviti i koriš ćenjem alata Domain Security Policy ili Local Security Policy (u zavisnosti od konteksta). U oba slu čaja parametar potražite pod Local Policies\Security Options.
Slika 1.22: Zadavanje vremena kada je logovanje dozvoljeno
Slika 1.21: Svojstva korisni čkog naloga
Podrazumeva se da korisnici sa svake radne stanice mogu da se loguju na domen, ali logon radne stanice se mogu zadati NetBIOS imenom (vidi sliku 1.23). Ipak, da bi se ovo moglo nametnuti, morate i dalje da koristite NetBIOS na Vašoj mreži.
Slika 1.23: Zadavanje mašina na koje korisnik može da se loguje
Ako ponovo pogledate karticu Account (slika 1.21), vide ćete polje za potvrdu Account is Locked Out (nalog je zaključan). Ako je zaključavanje naloga posledica loših pokušaja logovanja (može se konfigurisati nekim od raznih Policy alata, što ću objasniti kasnije), polje će biti potvr đeno i dostupno. Ako želite ručno da otključate nalog, samo ukinite znak potvrde iz polja. U dnu kartice Account vidite parametar za rok trajanja naloga. Podrazumeva se da nalog nikada na zastareva, ali ako opciju omogu ćite, podrazumevani interval je šest nedelja (prođite kroz Account Options okvir, da biste videli sve opcije). Većina njih, kao na primer User Must Change Password at Next Logon (korisnik mora promeniti lozinku pri sledećem logovanju) su same po sebi dosta jasne. Opcija Store Password Using Reversible Encryption (sačuvaj reverzibilno šifrovanje lozinke) se koristi za Windows 95/98 klijente. Smart card opcija se koristi ako izaberete infrastrukturu javnog klju ča kakva je, na primer, X.5O9. Potvrdite opciju Do Not Require Kerberos Preauthentication (ne zahteva Kerberos preautentifikaciju), ako će nalog koristiti neku od implementacija Kerberos protokola, umesto onog koji stiže uz Win2K3. Sve verzije Kerberos protokola ne koriste ovu opciju, ali je Windows 2003 koristi. Potvrdite opciju Use DES Encryption Types for this Account (koristi DES tipove šifriranja za ovaj nalog), ako Vam treba Data Encryption Standard (DES). DES podržava više nivoa šifriranja, uklju čujući MPPE Standard (40-bit), MPPE Standard (56-bit), MPPE Strong (128-bit), IPSec DES (40-bit), IPSec 56-bit DES i IPSec Triple DES (3DES). Zapazite da korisnikova lozinka ne može da se resetuje na kartici Account. Da biste lozinku resetovali, zatvorite list sa svojstvima naloga i, u oknu sa detaljima DSA.MSC, kliknite korisničko ime desnim tasterom. Izaberite opciju resetovanja lozinke i mo ći ćete da unesete i potvrdite novu lozinku, kao što je prikazano na slici 1.24. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku promeni pri slede ćem logovanju. Slika 1.24: Resetovanje korisnikove lozinke
Šta je u UPN imenu? Zapazite na slici 1.21 da postoje dva tipa korisnikovog logon imena. Win2K3 ime je
[email protected], a pre-Windows 2000 ime je OSVELJKOVLAHOVI\HePet. U NT-u 3 i 4, korisnička imena su se povinovala konvenciji IMEMAŠINE\korisni čkoime, ili IMEDOMENA\korisničkoime, ako je nalog korisnika bio u domenu. Korisni čka imena su, u Win2K3, zasnovana na Internet standardu (RFC 822), Standard za format ARPA Internet tekstualne poruke (Standard for the Format of ARPA Internet Text Message), što u prevodu zna či da Win2K3 korisnička imena poštuju uobi čajenu e-mail konvenciju imenovanja. Svaki korisni čki nalog ima Universal Principal Name (univerzalno glavno ime), koje se sastoji od prefiksa, koji je korisni čko ime i sufiksa, koji je ime domena. Prefiks i sufiks su spojeni @ znakom. UPN sufiks govori gde pri logovanju treba tražiti korisnički nalog i podrazumeva se daje to ime DNS domena. Me đutim, zapazićete da u zapisu korisničkog naloga ne možete proizvoljno da menjate UPN sufiks. To mora biti UPN sufiks koji je za domen određen u Domains and Trust Aktivnog direktorijuma. Alat Vam dozvoljava da odredite alternativne UPN sufikse za domen.Tek tada možete UPN sufiks da promenite od podrazumevanog na neki od alternativnih. Znači, alternativni UPN sufiks koji zadate u Domains and Trust Aktivnog direktorijuma ne mora da bude ime pravog domena. Možete mu dati ime domena po želji. Ovde je ideja re ći mašini u kom domenu da traži nalog. Na primer, Helenin nalog se može nalaziti u Ekop-Jug.com domenu, ali ona radi za kompaniju po imenu Ekop, koja ima Ekop-Jug.com i još tri domena. Njeno podrazumevano UPN ime bi moglo da bude
[email protected], ali ako EKOP ne želi celom svetu da objavi imena svojih različitih Win2K3 domena, ni da zbunjuje zaposlene, može odrediti Ekop.com kao "alternativni" UPN sufiks za Ekop-Jug.com. Tako, Helena se može logovati kao
[email protected] i to na vizit kartama imati kao svoju e-mail adresu. Ovo ćete uraditi tako što, u domenu Ekop-Jug.com, pokrenete Start>Administrative Tools>Active Directory Domains and Trusts i iz kontekstualnog menija opcije Active Directory Domains and Trusts izaberete Properties. Nakon ovoga mo ćićete da upišete alternativni sufiks za domen nakon čega ga aktivirate klikom na Add (vidi sliku 1.25).
Slika 1.25: Dodavanje UPN sufiksa
Takođe, osoba može menjati poslove unutar organizacije i njen korisni čki nalog se može seliti iz jednog domena u drugi, a nije neophodno svaki put menjati e-mail adresu i vrlo je nezgodno ako morate da menjate korisni čko ime samo zato što ste unapre đeni. UPN imena omogu ćavaju lako pronalaženje naloga, a njegovu lokaciju čine transparentnom za korisnika. Sve što oni treba da znaju je "Ja sam
[email protected]". Njih ne treba da zamara "Vaš korisni čki nalog je premešten u Ekop-Istok.com domen i od sada treba da se logujete kao... a, da, i Vaša e-mail adresa se menja, pa to recite svojim prijateljima i poslovnim partnerima...“
Informacije o profilu Kartica Profile, prikazana na slici 1.26, je mesto gde se zadaje putanja korisni čkog profila, login skript i osnovna (home) fascikla. Ove opcije su ve ćinom za klijente niskog nivoa (downlevel clients), što je novi, snishodljiv, termin za sve pre-Win2K klijente, jer se svi ovi parametri i mnogi drugi mogu zadati uz Group Policy parametre. Ipak, Group Policy radi samo na Win2K i Win2K3 sistemima. Parametri korisnikovog radnog okruženja, od sadržaja Start menija do šeme boja i orijentacije miša, se mogu čuvati na mreži, pa se korisnik može prijaviti sa bilo kog sistema i videti istu radnu površinu. U tu svrhu možete specificirati deljenu mrežnu lokaciju. Ovo je takode korisno ako želite da primorate korisnika (ili grupu) da zadrži iste parametre sve vreme. To se zove lutajući profil (roaming profile), ako nije nametnut korisniku i ako on može da ga menja. Ako je korisnik prisiljen da u čita profil i ne može da se loguje bez njega, onda je to obavezujući profil (mandatory profile), ili deljeni obavezujući profil ako je više korisnika vezano za njega. Grupna na čela Win2K3 omogućavaju da konfigurišete preusmeravanje fascikle i druge parametre radne površine, uveliko eliminišu ći potrebu za postojanjem lutaju ćih i obavezujućih profila NT 4 stila, tako da je ova mogu ćnost najkorisnija za NT 4 klijente. Logon ili login skript je onaj koji se izvršava u toku logovanja da bi konfigurisao korisnikovo okruženje i dodelio mrežne resurse, kao što su mapirani drajvovi i štampa či. Win2K3 ima podrazumevanu putanju za čuvanje login skriptova (u SYSVOL koji je podrazumevano u \WINDOWS direktorijumu, ali se može konfigurirati). Zbog toga je jedino što treba da odredite u okviru za dijalog ime skripta. Osnovna fascikla (home folder), takođe, poznata i kao osnovni direktorijum (home directory), je fascikla koja je dodeljena korisniku za privatnu upotrebu. Iako aplikacije mogu imati svoje podrazumevane fascikle za pamćenje i otvaranje fajlova, na komandnoj liniji će osnovna fascikla biti i podrazumevana radna fascikla za korisnika. Moguće je specificirati lokalnu putanju za korisnikovu
osnovnu fasciklu, ali to je korisno samo ako će se korisnik lokalno logovati na mašinu. Za korisnike koji se loguju preko mreže morate da izaberete opciju Connect i odredite mrežnu putanju, poštuju ći UNC konvenciju \\imemašine\\imeservera\\imedirektorijuma. Za ime fascikle možete da koristite i promenljive, %korisni čkoime%, da biste nazna čili da je ime osnovne fascikle isto kao i korisni čki ID. Kada za korisnika specificirate putanju osnovne fascikle, ako deoba na mreži ve ć postoji i ako imate prava da pišete u nju, Win2K3 će automatski kreirati osnovnu fasciklu za korisnika. Ovo administratorima štedi mnogo vremena. Tokom svake diskusije o osnovnim fasciklama se množe pitanja o tome kako ograni čiti zauzimanje prostora na disku. Win2K3 stiže sa jednostavnim sistemom za upravljanje kvotama; jednostavno treba da ih omogućite za volumen, podesite pragove za upozorenja i sli čno.
Slika 1.26: Svojstva korisni čkog profila Slika 1.27: Odre đivanje kvota za particiju Data (E:) Članstvo u grupama
Da biste korisničkom nalogu odredili članstvo u grupi, otvorite karticu Member Of, u listi sa svojstvima naloga. Kao što vidite na slici 1.28, podrazumeva se da je novi korisnik član grupe Domain Users. Korisnik, Helena Petkovi ć, je, u ovom slu čaju, takođe i član globalne sigurnosne grupe Nastavnici (vidi sliku). Desna kolona, Active Directory Folder (fascikli Aktivnog direktorijuma), govori o putanji do kontejnera ili OU grupe. Da biste korisnika dodali drugoj grupi, izaberite Add, a zatim upišite ime grupe ili kliknite na dugme Advanced > Find Now i grupu iz liste raspoloživih grupa (slika 1.29). Istaknite ime grupe i dva puta kliknite, ili kliknite na ime grupe pa na dugme OK. Ako Vas kretanje kroz listu zamara, samo otkucajte imena grupa, razdvojena ta čka-zarezom. Zatim iskoristite dugme Check names, da biste potvrdili da su imena koja ste ukucali važe ća. Izaberite OK i vratićete se na karticu Member Of, a nove grupe će biti prikazane u prozoru. Ponovo izaberite OK, i završili ste. Da biste korisnike uklonili iz grupa, upotrebite dugme Remove, na kartici Member Of.
Slika 1.28: Podešavanje članstva u grupama
Slika 1.29: Izbor korisnika i grupa
Upravljanje nalozima U DSA.MSC više naloga možete da selektujete u oknu sa detaljima, tako što ćete držati taster Shift dok pritiskate strelicu na dole, ili tako što ćete držati taster Ctrl dok klik ćete svaki od naloga. Zatim, dok su ti nalozi selektovani, kliknite desnim tasterom da biste videli kontekstualni meni. Odavde, možete da izaberete da ih sve premestite u drugi kontejner ili OU, da ih dodate grupi, da onemogu ćite ili omogućite naloge. Možete, tako đe, svima da pošaljete mail, pod pretpostavkom da ste za naloge specificirali e-mail adrese. Sve ove opcije su nasle đene iz Windows Servera 2000. Ono što je novost u Windows Serveru 2003 je mogućnost da se selektovani nalozi jednostavno prevuku u odgovaraju ći kontejner čime postaju članovi te grupe odnosno OU (drag and drop funkcija). Napomena: Promene korisničkih naloga, kao što je članstvo u grupama, ne će imati efekta sve dok se korisnik ne uloguje slede ći put. Slično, kod mašinskih naloga nova podešavanja će se primenjivati tek nakon restartovanja mašine. Možete da napravite i šablon za nalog i kopirate ga kako biste kreirali korisnike sa sli čnim parametrima. Svojstva koja se kopiraju uklju čuju parameter naloga (kao što je Password Never Expires), članstvo u grupi, rok isteka naloga i UPN sufiks. Informacije o profilu (osnovni direktorijum, putanja korisnikovog profila i logon script) se, takođe, kopiraju, a ako ste koristili promenljivu %username% za zadavanje korisni čke osnovne fascikle šablona, ona će se automatski kreirati za nove korisnike, kada se nalog kopira.
Razumevanje grupa Dodeljivanje korisnika grupama olakšava davanje kako prava za izvršavanje zadataka, tako i dozvola za pristup resursima kao što su štampa či i mrežne fascikle. U ovim nastojanjima Vam može pomo ći nekoliko ugrađenih grupa, sa ugra đenim pravima, koja bi trebalo da Vam budu bliska. Tako đe, Vi ćete želeti i da kreirate sopstvene grupe i da im dodeljujete odre đena prava i dozvole. Sa druge strane, članovima grupa koje kreirate može biti data mogu ćnost da administriraju druge grupe, ili objekte, čak i cele organizacione jedinice. Povrh svega, grupe u Win2K3 sada mogu da sadrže ra čunare i kontakte, kao i
korisnike i druge grupe. Mogu se koristiti i kao e-mail distribucione liste. Zbog toga je važno da razumete različite tipove grupa koje sada postoje u Win2K3 i kako da radite sa njima, da biste imali kontrolu, dali pristup potrebnim resursima i konfigurisali prava. Ovo je tema nekoliko narednih odeljaka.
Kreacija grupa Da biste napravili novu grupu, u Users and Computers Aktivnog direktorijuma, dođite do kontejnera u koji želite da smestite tu grupu. Grupe se mogu kreirati u korenu domena, u ugra đenom kontejneru, kao što je Users, ili u organizacionoj jedinici. Dok Vam je kontejner istaknut, u meniju Action izaberite New, a zatim Group. Dajte ime grupi (Administracija) i ime nižeg nivoa, ako će se razlikovati, zatim izaberite oblast rada grupe i njen tip, što je prikazano na slici 1.30. Podrazumeva se da je delokrug Global, a tip Security. Objašnjenje o tipovima grupa i njihovoj oblasti delovanja ćete naći u narednom odeljku. Izaberite OK, da biste grupu kreirali u selektovanom kontejneru. Slika 1.30: Informacije o novoj grupi
Hajde da sada popunimo ostale informacije i da novoj grupi dodamo korisnike. Prona đite i dva puta kliknite grupu koju ste upravo kreirali, da biste otvorili njen list sa svojstvima. Na kartici General, prikazanoj na slici 1.31, unesite opis, ako želite i e-mail adresu, ako postoji distribuciona lista za grupu. Da biste grupu naselili, idite na karticu Members i izaberite Add. Kao što možete da vidite na slici 1.32, Win2K3 dopušta da članovi grupe budu korisnici, druge grupe, čak i računari, mada postoje pravila za ugnježdavanje, što ćete čitati u narednim odeljcima. Članovi grupe mogu da dolaze i iz razli čitih organizacionih jedinica. Istaknite korisnike, ili grupe i izaberite Add, ili ukucajte imena razdvojena tačka-zarezima i zatim izaberite Check Names, kako biste ta imena proverili (imena nije neophodno proveravati, ako ste ih izabrali iz liste). Izaberite OK, da biste završili dodavanje i vratili se na list sa svojstvima.
Slika 1.31: General kartica lista sa svojstvima grupe Slika 1.32: Dodavanje korisnika u grupu
Da biste videli, ili promenili lokalne ili univerzalne gruge kojima grupa Administracija pripada, otvorite karticu Member Of (slika 1.33). Kartica Managed By je za opcione kontaktne informacije i ne mora obavezno da odražava direktno prepuštanje kontrole. Drugi način za dodavanje članova grupi je klik desnim tasterom na korisni čki nalog i izbor Add Member to a Group. Ako u jednu grupu želite istovremeno da dodate nekolicinu selektovanih korisnika, držite taster Ctrl, dok vršite selekciju više korisnika, zatim kliknite desnim tasterom i izaberite Add Members to a Group. I u paleti sa alatkama ćete pronaći dugme pomoću kojeg grupi možete da dodate jednog, ili više selektovanih objekata. Verovatno će u nekom trenutku biti neophodno premeštanje grupe iz jednog kontejnera u drugi, jer kada su grupe u organizacionim jedinicama, to olakšava delegaciju. Da bi ste to uradili, kliknite desnim tasterom ikonu grupe u oknu konzole koje sadrži detalje i izaberite Move. Do đite do kontejnera koji će biti novi dom za grupu (slika 1.34), selektujte ga i izaberite OK.
Slika 1.34: Premeštanje grupe u drugi kontejner Slika 1.33: Ugnježdene grupe
Tipovi grupa: Sigurnosne grupe nasuprot Distribucionim grupama Kada u Win2K3 pravite grupu, imate mogu ćnost da je klasifikujete kao sigurnosnu (security), ili kao distribucionu (distribution).
Pregled sigurnosnih grupa Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. Kao i korisni čki nalozima, sigurnosnim grupama se dodeljuju SID-ovi. Kada pregledate, ili editujete objektovu Access Control List (ACL), na primer, imena grupa koja se pojavljuju u listi su sigurnosne grupe (ponekad se one prikazuju kao SID-ovi ako su "prijateljska" imena takva da treba dugo vremena da se razreše). Ovi korisni čki i grupni SID ulazi u ACL su upareni sa korisnikovim akreditivima kojima je dozvoljen, ili zabranjen pristup objektu. Postoje tri glavna tipa sigurnosnih grupa, lokalne, globalne i univerzalne, iako možda više volite o njima da mislite kao o četiri različite grupe: lokalne, lokalne za domen, globalne i univerzalne . Lokalne grupe su vrsta kakvu nalazite na usamljenom serveru, serveru koji je član domena, ili na WinXP Professional radnoj stanici. Lokalne grupe su lokalne za mašinu. To jest, one postoje i validne su na toj radnoj stanici, ili serveru koji nije kontroler domena.
Lokalna grupa domena (domain local group) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedni čki aktivan direktorijum koji je repliciran izme đu njih, tako da će lokalna grupa domena koja postoji na jednom DC, postojati i na njegovom pobratimu. Globalne, univerzalne i, naravno, lokalne grupe domena, obitavaju u Aktivnom direktorijumu kontrolera domena.Globalne grupe se koriste za dodelu prava i dozvola izvan granica mašine (i domena). Univerzalne grupe mogu da vrše funkciju globalnih, daju ći prava i dozvole za objekat, unutar domena i između domena.
Distribucione grupe i kontakti U NT 4 svaka grupa je bila sigurnosna i mogla se koristiti za kontrolu pristupa resursima i dodeljivanje prava. Distribuciona grupa, jednostavno, nije sigurnosna. Distribucione grupe nemaju SID i ne pojavljuju se u ACL-u. Čemu onda one služe? Ako ste radili sa Exchange-om, ili nekim sli čnim proizvodom, bliske su Vam distribucione liste. To su grupe sa adresama primalaca. Lakše je adresirati mail na ACME Menadžeri, na primer, nego ime svakog od menadžera pojedina čno selektovati iz liste. Pretpostavljajući da ste uneli mail adrese Vaših korisnika, Vaše sigurnosne grupe u Aktivnom direktorijumuju su, takođe, nezvani čne distribucione liste. Samo treba da kliknete desnim tasterom ime grupe u DSA.MSC i videćete opciju slanja maila članovima grupe, kao što vidite opciju slanja maila nalogu korisnika, kada njega kliknete desnim tasterom. Za distibucione grupe se ne kreiraju identifikatori bezbednosti, pa članstvo u grupi nije uklju čeno u parametre korisnika koji se proveravaju pri logovanju. Distribucionoj listi ne možete da dodelite pravo na korišćenje štampača, jer se ona ne pojavljuje u ACL-u. Grupa je isklju čivo za e-mail. Napomena: Sigurnosnu grupu možete da pretvorite u distribucionu i da je ponovo vratite nazad. Slično, kontakti su objekti u kojima se č uvaju informacije o ljudima, uključ ujuću e-mail, telefon i sl . Kontakti mogu biti članovi sigurnosnih, ili distribucionih grupa, ali to nisu nalozi, tako da za kontakt ne postoji identifikator bezbednosti (SID) i ne mogu im se dodeliti korisni čka prava i dozvole.
Rad sa sigurnosnim grupama Kada jednom ugnezdite Vaše grupe sa mnogo članova (kao što su lokalne i univerzalne) i lokalnim grupama dodelite prava pri instalaciji resursa, od tog trenutka treba samo da preme ćete članstvo u globalnim i univerzalnim grupama. Tako ćete uštedeti vreme i pojednostaviti dodeljivanje dozvola za objekte. Neki dobri primeri ugnježdavanja se mogu precrtati iz šema ugnježdavanja koje se automatski postavljaju u domenu. Jedna je ugnježdavanje administratorskih grupa. Administratorski nalog na Win2K3 mašini svoju snagu crpe iz članstva u lokalnoj Administrators grupi. Izvucite Administrator izvan Administrators grupe, pa nalog više neće imati specijalnih moći ni mogućnosti. Active Directory automatski pravi globalnu Domain Admins grupu. Kada se Win2K3 mašina pridruži domenu (ili postane kontroler domena), globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. Slika 1.35 prikazuje članstvo lokalne grupe domena Administrators, za domen osveljkovlahovic.edu. Slika 1.35: Članovi lokalne grupe domena Administrators
Neto efekat ovog ugnježdavanja je da je član Domain Admins, ili Enterprise Admins grupe lokalni administrator za svaku mašinu, člana domena. Ovakvo podrazumevano ponašanje možete da pregazite tako što ćete Domain Admins, ili Enterprise Admins ukloniti iz lokalne na mašini. Članstvo grupe Domain Admins, ili Enterprise Admins u lokalnoj Administrators grupi možete da zamenite njihovim članstvom u specifi čnim globalnim grupama, administratorskog tipa. Drugi primer za ugnježdavanje grupa je članstvo lokalne Users grupe. Na članu domena, ili kontroleru domena, Users automatski uklju čuje Domain Users. Kada u domenu kreirate novi korisni čki nalog, novi korisnik se automatski pridružuje Domain Users grupi. To je vrsta “svi korisnici u domenu" grupe. Neto efekat je da se korisni čkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaku mašinu, člana domena. Korisni čki nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj su dodeljena lokalna prava i dozvole na sistemu. Takođe bi trebalo da znate i par ostalih ugnjež đavanja. Domain Guests je automatski član lokalne grupe Guests na svim mašinama - članicama domena, a Enterprise Admins (univerzalna grupa) je član lokalne Administrators grupe. Hajde da sada pogledamo zamišljeni slu čaj Green Onion Resources (GOR), nacionalne firme za IT konsalting i integracije. Green Onion koristi Win2K3 Active Directory sa Win2K i Win2K3 kontrolerima domena. GOR je kompanijske IT resurse grupisao u domene po regionima - na primer, GOR Jug domen, GOR Zapad domen i GOR Istok domen. Ljudi koji se bave finansijama i knjigovodstvom (Finance and Accounting - F&A) su, slično, grupisani u globalne grupe po regionima, kao i ostale funkcionalne jedinice GOR-a. Znači, postoje globalne grupe sa imenima F&A Jug, F&A Zapad i F&A Istok. Držanje ljudi koji se bave finansijama u razli čitim globalnim grupama, u razli čitim domenima, omogućava finiju kontrolu nad resursima karakteristi čnim za region i administraciju. Ali, postoje neki centralni resursi koji treba da budu dostupni svim F&A ljudima iz GOR-a. Ovi resursi se nalaze u Centralne Finansije, koji se deli sa Win2K3 servera po imenu GOR ALFA1. Pošto se domen nalazi u Native rešimu mogu će je sve tri globalne grupe smestiti u jednu univerzalnu grupu koja će se zvati GOR F&A. Administratori GOR preduzeća su tri grupe, F&A Jug, F&A Zapad i F&A Istok, smestili u univerzalnu grupu GOR F&A. Oni sada, umesto koriš ćenja tri globalne grupe, mogu univerzalnu grupu koristiti za direktno dozvoljavanje pristupa F&A resursima širom organizacije, kao što je centralna fascikla za finansije, iako se smeštanje univerzalne grupe u lokalnu i dodeljivanje prava lokalnoj i dalje smatra dobrim na činom. Slika prikazuje planiranu organizaciju: Domeni
Globalne grupe
GOR Jug
F&A Jug
GOR Za ad
F&A Za ad
GOR Istok
F&A Istok
Univerzalna grupa
Lokalna grupa
GOR F&A
F&A Cent rala
Deljeni resursi:
Centralne finansije
Ako za svoju organizaciju imate samo jedan domen i ne planirate ih više, strategija je savršeno prihvatljiva. Ipak, za slučaju više domena treba da se setite da globalni katalog mora replicirati imena i članove svih univerzalnih grupa iz šume, pa, ako je svih, na primer, 600 ra čunarskih naloga iz raznih domena u jednoj univerzalnoj grupi dolazimo do problema u replikaciji ( čitaj „performansama“).
Takođe, pristup deljenom resursu možete dodeliti direktno univerzalnoj grupi i potpuno premostiti smeštanje u lokalnu grupu. Trenutno važi mišljenje da je lakše jednom podesiti pristup resursu, a zatim ga menjati manipulacijama sa članstvom grupe koja ima taj pristup. Ovde je problem u tome što domeni i njihove globalne grupe mogu da dolaze i odlaze, posebno u Win2K3, pošto se ceo domen može izbrisati bez potrebe za reinstalacijom operativnog sistema. Ako ACL zapisi ukazuju na globalne, ili univerzalne grupe koje se više ne prepoznaju, što može biti posledica smrti domena, ili raskinutog odnosa poverenja, ACL će taj zapis prijaviti kao: "Account Unknown" (nalog nepoznat) i sile tame će ojačali i umnožiti se i haos će zavladati... dobro, možda i ne će. Ali je neuredno. Ako prava pristupa uvek dodeljujete lokalnim grupama, mašina će ih uvek prepoznavati. Onda možete dozvoliti, ili zabraniti pristup resursu tako što ćete manipulisali članstvom u lokalnoj grupi.
Ugrađene lokalne grupe domena Možda ste, u toku prethodne ture po DSA.MSC, zapazili da su svi ugra đeni korisnički nalozi, kao sto su Guest i Administrator, podrazumevano smešteni u kontejner Users. U kontejneru Users postoji i unapred definisane globalne grupe. Ali, neke grupe su u kontejneru Builtin. Kao sto ćete videli na slici 1.36, grupe koje su u Builtin kontejneru su ozna čene kao Builtin Local, a one koje su u Users kontejneru (slika 1.37) su Domain Local, Global, ili Universal. U čemu je razlika? Kao prvo, lokalne grupe su specifične za mašinu, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja. Ugra đene lokalne grupe, radi administracije, imaju unapred odre đena prava i dozvole. Članstvo u ovoj (ili bilo kojoj) grupi korisniku daje svu moć i mogućnosti koje su date grupi. Ovo je na čin da se brzo dodele dobro definisane administrativne uloge, umesto njihovog pravljenja od po četka. Na primer, Server Operators imaju skup urođenih prava koja im omogućavaju da prave deljene fajlove i upravljaju servisima. Backup Operators imaju pravo da zaštitno kopiraju fajlove i direktorijume, čak i ako nemaju dozvolu da ih čitaju, ili menjaju. U nastavku teksta ću Vas upoznati sa pravima i dozvolama ugrađenih lokalnih grupa domena. Ugrađene lokalne grupe su zajedni čke za sve Win2K3 sisteme iz istog mesta (server/DC/radnastanica) i pružaju pogodne kontejnere grupama za dodelu lokalnog administrativnog autoriteta. Zapazite da ove grupe ne možete obrisati. Ipak, u kontejneru možete da kreirate druge korisnike i grupe, iako oni ne će imati nikakva posebna prava, osim ako im ih dodelite.
Slika 1.36: DSA.MSC Builtin kontejner
U opštem slučaju, prava (rights) pružaju mogućnost da se nešto uradi, bilo u vezi sa administracijom, ili na drugi način ograničeno, a dozvole (permissions) pružaju mogu ćnost pristupa resursima, kao što su fajlovi, ili štampa či, kao i objektima Aktivnog direktorijuma, kao što su grupna načela.
Slika 1.37: DSA.MSC Users kontejner
Administrators Administratori imaju skoro sva ugra đena prava, pa su članovi, u suštini, svemogući u vezi administracije sistema. Backup Operators Članovi Backup Operators imaju pravo da zaštitno kopiraju i vra ćaju fajlove, bez obzira na to da li na drugi način mogu da pristupaju tim fajlovima. Server Operators Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. Članovi mogu da kreiraju, upravljaju i brišu deljene štampače na serverima; kreiraju, upravljaju i brišu deljene mrežne resurse na serverima; zaštitno kopiraju i vraćaju fajlove na servere; formatiraju fiksne diskove servera; zaklju čavaju i otključavaju servere; otključavaju fajlove i menjaju sistemsko vreme. Osim toga, Server Operators mogu na mrežu da se loguju sa servera domena, kao i da obaraju servere. Account Operators Članovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisničke naloge i grupe i da menjaju i brišu ve ćinu korisničkih grupa i naloga iz domena. Član Account Operators ne može da menja ni briše slede će grupe: Administrators, Domain Admins, Account Operators, Backup Operators, Print Operators i Server Operators. Sli čno, članovi ovi grupe ne mogu menjati, ni brisati korisničke naloge administratora. Ne mogu administrirati bezbednosna na čela, ali mogu dodavati računare u domen, mogu se logovati na servere i obarati ih. Print Operators Članovi ove grupe mogu kreirati, upravljati i brisati štampa če koje deli Win2K3 server. Osim toga, mogu da se loguju na, i da obaraju servere. Power Users Ova grupa postoji na XP Pro i serverima koji nisu kontroleri domena. Članovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom Users, Power Users i Guests, kao i administrirati ostale korisnike i grupe koje su kreirali. Users Korisnici mogu da pokreću aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore ili zaključaju radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima i pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. Guests Gmogu da se loguju i pokre ću aplikacije. Mogu i da obore sistem, a u svakom drugom pogledu imaju veća ograničenja nego Users. Na primer, ne mogu da drže lokalni profil.
Replicator Ova grupa je strogo za replikaciju direktorijuma. Korisni čki nalog se koristi za pokretanje Replicator servisa. Win2K3 ima nekoliko ugrađenih globalnih grupa, izme đu ostalih Domain Admins, Domain Users i Domain Guests. One će se pojaviti samo na kontrolerima domena. Slede ća tabela opisuje najvažnije ugrađene globalne grupe. Tabela 2: Ugrađene globalne grupe Grupa Šta radi Domain Admins Postavljanjem korisničkog naloga u ovu globalnu grupu, Vi tom korisniku dodoljujete mogućnosti administratora. Članovi Domain Admins mogu da administriraju ku ćni domen, radne stanice iz domena i svaki pouzdani domen koji u svoju lokalnu Administratore grupu ima dodatu Domain Admins globalnu grupu ovog domena. Podrazumeva se da je globalna Domain Admins grupa član i Administralors lokalne grupe domena i Adminislrators lokalnih grupa svake od NT, Win2K ili Win2K3 radne stanice u domenu. Ugra đeni korisnički nalog Administrator za domen je automatski član Domain Admins globalne grupe. Domain Users Članovi Domain Users globalne grupe imaju normalan korisni čki pristup i sposobnosti kako za sam domen, tako i za svaku NT/Win2K/WinXP radnu stanicu u domenu. Ova grupa sadrži sve korisni čke naloge iz domena i podrazumeva se da je član svake lokalne Users grupe, na svakoj NT/Win2K/WinXP radnoj stanici u domenu. Domain Guests Ova grupa omogućava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili administratori domena.
Neke predefinisane grupe, kao što su Domain Computers i Domain Controllers, su odre đene za mašinske naloge.
Specijalne ugrađene grupe Kao dodatak ugra đenim lokalnim i globalnim grupama, nekoliko specijalnih grupa, koje nisu izlistane u DSA.MSC (ili Computer Management and Groups) će se pojaviti u ACL-ovima resursa i objekata, uključujući sledeće: Interactive Svako ko računar koristi lokalno. Network Svi korisnici koji su preko mreže vezani na ra čunar. System Operativni sistem. Creator Owner Kreator i/ili vlasnik poddirektorijuma, fajlova i poslova štampe. Authenticated Users Svaki korisnik koji se predstavio sistemu. Koristi se kao sigurnija alternativa za Everyone. Anonymous Logon Korisnik koji se logovao anonimno, kao što je anonimni FTP korisnik. Batch Nalog koji se logovao kao batch posao. Service Nalog koji se logovao kao servis. Dialup Korisnici koji sistemu pristupaju preko Dial-Up Networkinga. Slučajno, grupe Interactive i Network zajedno formiraju lokalnu grupu Everyone.
Korisnička prava Pristup korisnika mrežnim resursima – fajlovima, direktorijumima, ure đajima – u Win2K3 se kontroliše na dva na čina: dodeljivanjem korisniku prava (rights) koja pružaju, ili uskra ćuju pristup određenim objektima (na primer, mogućnost da se loguju na server) i dodeljivanjem objektima dozvola (permissions) koje određuju kome je dozvoljeno da koristi objekat i pod kojim uslovima (na primer, davanje Read pristupa direktorijumu za odre đenog korisnika).
Pogledajte grupe Users i Administrators. Šta administratore čini različitim od korisnika? Administratori mogu da se loguju direktno na server; korisnici ne mogu. Administratori mogu da kreiraju korisnike i rade zaštitno kopiranje fajlova; korisnici ne mogu. Administratori se od korisnika razlikuju po tome što imaju prava koja korisnici nemaju. Konš ćenjem grupnih načela (Group Policy) Vi kontrolišete ko će u Win2K3 dobiti koja prava. Prava, u opštem slu čaju, korisniku daju ovlaš ćenje da izvrši odre đeni sistemski zadatak. Na primer, prose čan korisnik ne može jednostavno da sedne za Win2K3 server i da se loguje direktno na njega. Pitanje "mogu li lokalno da se logujem na server?" je primer prava. "Mogu li da uradim zaštitno kopiranje podataka i da ih povratim?" "Mogu li da menjam opcije štampa ča za deljeni štampač?" To su isto korisni čka prava. Korisnička prava se mogu dodeliti odvojeno jednom korisniku, ali iz razloga bezbednosti, bolje je korisnika smestiti u grupu i definisati prava koja su dodeljena grupi. Dozvole se, sa druge strane, primenjuju na odre đene objekte, kao što su fajlovi, direktorijumi i štamgači. "Da li mogu da menjam fajlove u OPERATIONS direktorijumu, na BlGMASHINE serveru?" je primer dozvole. Dozvole regulišu koji korisnici mogu imati pristup objektu i na koji na čin. Pravilo je da korisni čka prava imaju prednost nad dozvolama za objekat. Hajde da, na primer, pogledamo korisnika koji je član ugrađene Backup Operators grupe. Na temelju članstva u toj grupi korisnik ima pravo da zaštitno kopira server. Ovo zahteva mogu ćnost gledanja i čitanja svih direktorijuma i fajlova na serverima, uklju čujući i one čiji su kreatori i vlasnici izričito ukinuli Read dozvolu članovima Backup Operators grupe; tako da pravo da se izvodi zaštitno kopiranje gazi dozvole date za fajlove i direktorijume. Ali, ne brinite za svoju privatnost; prava Backup Operators grupe važe samo u saradnji sa backup rutinom; oni ne mogu tek tako da otvaraju fajlove na serveru i čitaju njihov sadržaj, na primer. Grupe ugrađene u Win2K3 već imaju neka prava koja su im dodeljena; Vi možete da kreirate nove grupe i da im dodeljujete skup korisni čkih prava po Vašoj želji. Kao što sam ve ć rekao, mnogo je lakše voditi računa o bezbednosti kada se korisni čka prava dodeljuju preko grupa, a ne pojedina čnim korisnicima. Da biste videli, ili menjali pridružena lokalna prava za korisnika, ili grupu koji nisu na kontroleru domena, otvorite alat Local Security Policy, iz Administrative Tools grupe, ili upotrebite alat Domain Controller Security Policy za kontroler domena. Otvorite Local Policies > User Rights Assignment. Spisak prava i korisnika, ili grupa kojima su prava dodeljena, prikaza će se u oknu sa detaljima, desno, kao što se vidi na slici 1.38. Da biste korisniku, ili grupi dodali, ili oduzeli pravo, dva puta kliknite pravo prikazano u oknu sa detaljima, ili izabrano pravo kliknite desnim tasterom i izaberite Security. Na slici 1.39 vidite Security informacije o pravu na promenu sistemskog vremena. Da biste pravo ukinuli grupi, istaknite ime grupe i izaberite Remove. Da biste grupu, ili korisnika dodali listi, izaberite Add i u okviru Add Users or Group, otkucajte ime, ili izaberite Browse, da biste ga selektovali.
Slika 1.38: Local Users Rights Policy
Slika 1.39: Zadavanje lokalnih na čela bezbednosti za korisni čko pravo
Kako se ovde uklapaju organizacione jedinice? Organizacione jedinice (organizational unit - OU) su logi čki kontejneri u domenu. One mogu da sadrže korisnike, grupe, ra čunare i druge OU, ali samo iz svog ku ćnog domena. Globalne grupe, ili računare iz drugog domena, na primer, ne možete smestiti u OU Vašeg domena. OU su korisne samo za administraciju. Administratori mogu da kreiraju i primenjuju grupna na čela na OU, a mogu i da delegiraju kontrolu nad OU. Ideja je imati delove domena, ali i dalje deliti zajedni čke sigurnosne informacije i resurse. Grupisanje korisnika, grupa i resursa u organizacione jedinice Vam pruža mogućnost da na čela primenjujete mnogo finije i da, takođe, odlučite ko čime upravlja i do kog nivoa. U čemu se razlikuju OU i kontejner? OU je kontejner, ali ne samo kontejner, kao što je to Users u DSA.MSC. Kontrolu nad kontejnerom možete delegirati (možete delegirati kontrolu nad bilo čime), ali na njega ne možete primeniti Group Policy (grupna načela). Po čemu su OU razli čite od grupa? Korisnik može biti član mnogo grupa, ali samo jedne OU u jednom trenutku. Kao i grupe, i OU mogu da sadrže druge OU. Imena grupa se pojavljuju u ACL-ovima, tako da grupama možete dodeliti, ili ukinuti prava. OU se ne pojavljuju u ACL-ovima, tako da ne možete, na primer, svima iz organizacione jedinice Finansije dodeliti pristup štampaču. S druge strane, ne možete svakome iz sigurnosne grupe pripisati odre đeni skup aplikacija, ali možete da objavite, ili pripišete knjigovodstveni tekst preduze ća celoj OU knjigovodstvo.
Mašinski nalozi Mašinski nalozi (engl. computer account) bezbednosni je subjekt i direktni je potomak objekta User. Da bi određeni računar mogao da učestvuje u Windows mreži (Windows Server 2003 ili Windows NT 4.0), treba da postoji bezbedan na čin da se on prijavi u domen. Windows Server 2003 pove ćava stepen bezbednosti i kontrole nad računarom tako što zahteva da on ima svoj nalog isto kao bilo koji korisnik. Kada računar pridružujete domenu, treba da za njega napravite nalog, a Windows mu dodeljuje SID). Postupak je isti kao kada pravite naloge za korisnike.
Prvi računari koje pridružujete Windows Server 2003 domenu jesu upravlja či domena. Ti serveri igraju ulogu stražara domena. Ne možete da formirate Windows Server 2003 domen ako prethodno u njemu ne „podignete" upravljač domena.
Promenom statusa servera u upravlja č domena, prestaju sve nadležnosti lokalne baze podataka SAM. Instaliraju se usluge imenika, a o svemu što se ti če bezbednosti domena stara se aktivni imenik. Kada domenu dodate prvi pridruženi server, samostalni server ili radnu stanicu pod Windows Serverom 2003, Windows formira dve nove grupe čija je namena da vam olakšaju upravljanje nalozima. To su grupe Domain Admins i Domain Users. Pravljenje mašinskog naloga jednostavnije je od pravljenja korisni čkog naloga. Samo odaberite organizacionu jedinicu u koju treba smestiti ra čunar i iz menija modula izaberite New > Computer. Razume se, treba vam i ovlaš ćenje da pravite naloge. Kada ra čunar postavite u organizacionu jedinicu, za njega počinju da važe odre đena grupna pravila (slika 1.40).
Slika 1.40: Mašinski nalog u OU
Rad sa Group Policies Posao administratora se nikada ne završava. Korisnici se stalno igraju sa svojim parametrima, teško je održati "standardne strukture", a postavljanje novih aplikacija zadaje glavobolje, kako na velikim, tako i na malim mrežama. Muka je pakovati aplikacije, sistemi za udaljeni menadžment, kao što je SMS, su nepotrebno složeni, a za instalaciju mnogih aplikacija na NT, ili Win2K3 mašine su potrebne Admin privilegije. Kada se radi o upravljanju konfiguracijom, treba se upoznati sa odre đenim terminima: System Policies (sistemska načela), Group Policy (grupno na čelo), Change and Configuration Management (CCM), Intellimirror. Šta ove reči znače običnom administratoru koji samo želi da zadrži neki kontinuitet u konfiguracijama stonih računara? CCM i Intellimirror su marketinški nazivi za grupu karakteristika upravljanja Win2K3 stonim računarom, uključujući lutajuće (roaming) profile i preusmeravanje fascikli, offline fascikle, distribuciju softvera i kontrolu konfiguracije desktop-a (mislim upravljanje). Uprkos modernim terminima, mnoge od ovih mogućnosti, uključujući preusmeravanje fascikli, distribuciju softvera i udaljenu konfiguraciju desktop-a, se lako primenjuju pomo ću grupnih načela. Šta možete da radite pomo ću grupnih načela? Evo kratke liste: Objavljivanje, ili dodeljivanje softverskih paketa korisnicima ili mašinama Dodeljivanje start-up, shutdown, logon i logoff skriptova Definisanje lozinke, zaklju čavanje i revizija na čela za domen. Standardizacija mnogih drugih parametara bezbednosti za udaljene mašine, parametara koje je ranije bilo moguće konfigurisati editovanjem Registra, ili koriš ćenjem alata za konfigurisanje bezbednosti drugih proizvođača. Neke karakteristike, kao što su mogu ćnosti nametanja članstva u grupi i konfiguracije servisa u potpunosti su nove.
Definisanje i nametanje parametara za Internet Explorer. Definisanje i nametanje ograni čenja za korisni čke stone računare. Preusmeravanje određenih fascikli iz korisničkih profila (kao što su Start Menu, ili Desktop) na neku centralnu lokaciju. Konfigurisanje i standardizacija parametara za nove mogu ćnosti, kao što su offline fascikle, disk kvote, čak i sam Group Policy. Ovde je ključna stvar da Group Policy pruža jedno mesto za administraciju, omogu ćavajući administratorima da lako instaliraju softver i primene standardizovane parametre na više korisnika i računara u celoj organizaciji. Pre Win2K, mnogo manji podskup svega ovoga, uglavnom samo ograni čenja za stone računare i nekoliko sigurnosnih parametara, se postizao pomo ću sistemskih načela. Prvo, sistemska na čela, kada se primene, u Registar upisuju permanentne promene. Ovaj fenomen se obi čno zove tetoviranje (tattooing). Uklonite načelo, parametri ostaju. Vi zapravo treba da "obrnete na čelo" (tako što ćete primeniti njemu suprotno), ili da parametre promenite ru čno. Sa druge strane, grupna na čela svoje informacije upisuju samo u određene delove Registra, tako da su u stanju da po čiste za sobom onda kada se na čelo ukloni. Sistemska načela se primenjuju samo jednom: za vreme logovanja za korisnič ke parametre, za vreme podizanja za parametre ra č unara. I grupna na čela se primenjuju na ovaj na čin, ali se ponovo primenjuju u zadatim intervalima, Kona čno, grupna na čela rade mnogo više od promene Registra. Napomena: Grupna načela možete da koristite samo za kontrolu WinXPPro i Win2000Pro mašina. Ako u domenu imate Win9x ili WinNT4 Workstation mašine mora ćete da koristite stare alate: Windows 9x profile i sistemska na čela i Windows NT profile i grupna načela. Grupna načela se delom čuvaju u Aktivnom direktorijumu, a delom u SYSVOL, tako da ne treba da brinete o njihovoj replikaciji. File Replication Service (FRS), automatski vrši replikaciju sadržaja Active Directory i SYSVOL između kontrolera domena.
Koncepti Group Policy Administratori konfigurišu i primenjuju grupna na čela tako što grade objekte grupnih nač ela (group policy object - GPO ). GPO su kontejneri za grupe parametara (na čela) koji se mogu primeniti na korisnike i grupe na mreži. Objekti na čela se prave pomoću Group Policy snap-ina, koji se obi čno poziva preko kartice Group Policy Object Editor iz DSA.MSC ili DSSITE.MSC. Isti GPO može da određuje skup aplikacija koje treba da se instaliraju na stonim ra čunarima svih korisnika, primeni surovu politiku disk kvota i restrikcija na Explorer shell i definiše lozinku za ceo domen i politiku zaklju čavanja naloga. Može da se napravi jedan sveobuhvatan GPO, ili više razli čitih, po jedan za svaki tip funkcije. U Group Policy Object Editor snap-inu postoje dva glavna čvora, User Configuration i Computer Configuration. User Configuration se primenjuju na parametre specifi čne za korisnika, kao što su konfiguracija aplikacije, ili preusmeravanje fascikli, a Computer Configuration na čela upravljaju parametrima specifičnim za mašinu, kao što su kvote za diskove, revizije (auditing) i Event Log menadžment. Ipak, postoji i prili čno preklapanje. Nije neobi čno videti isto načelo i u User Configuration i u Computer Configuration čvorovima. Suprotno svom imenu, grupna na čela uopšte nisu usmerena na grupe. Možda se zovu grupna, jer je gomila različitih konfiguracionih alata grupisana zajedno u jedan snap-in. Važno: ne možete ih primeniti direktno na grupe, ni korisnike, ve ć samoj na sajtove, domene i OU (što Microsoft skra ćuje u termin SDOU). Čin dodele GPO-a sajtu, domenu, ili OU se zove povezivanje (linking). GPO može biti povezan i sa lokalnim načelom određene WinXP mašine, što ćete uskoro videti. Veza GPO - SDOU može biti mnogo na jedan (mnogo na čela primenjeno na jednu OU, na primer) ili jedan na mnogo (jedno na čelo povezano sa nekoliko razli čitih OU). Kada se povežu sa sajtom, domenom, ili organizacionom jedinicom, korisnička načela se primenjuju za vreme logovanja, a ra čunarska za vreme podizanja sistema. I jedna i druga se periodi čno osvežavaju, uz nekoliko važnih izuzetaka. Kada sam rekao da se GPO čuvaju u AD, to nije bilo potpuno ispravno. Objekti grupnih na čela se čuvaju u dva dela, Group Policy Container (GPC) i struktura fascikli na čela u SYSVOL. Deo sa kontejnerom se čuva u Aktivnom direktorijumu i sadrži informacije o svojstvima, verziju, status i listu komponenata. Putanja strukture fascikle je WlNDOWS\SYSVOL\sysvol\Domainname\Policies\GUID\, gde je GUID Global Unique Identifier za GPO. Ova fascikla sadrži administrativne šablone (ADM
fajlove), parametre bezbednosti, informacije o dostupnim aplikacijama i imena skript fajlova sa komandnim linijama.
Načela su "sve ili ništa" Svaki objekat grupnih na čela sadrži mnoge mogu će parametre za mnoge funkcije; obi čno ćete konfigurisati samo neke od njih. Ostali će biti ostavljani "neaktivni", nešto kao stavljanje REM ispred komande u skriptu, ili korišćenje tačka-zareza na po četku linije u INF fajlu. Win2K3 i dalje mora da pročita celo načelo, ali reaguje samo na opcije koje ste omogu ćili. Ipak, kada jednom konfigurišete skup načela i kažete AD-u da je, na primer, "ovaj GPO povezan sa win2k3test.com domenom", individualni parametri, ili tipovi parametara se ne mogu primeniti selektivno. Svi korisni čki konfiguracioni parametri će se primeniti na sve korisnike na Win2K3 sistemima u povezanom domenu. Svi ra čunarski konfiguracioni parametri će se primeniti na sve Win2K i Win2K3/XP mašine u domenu. Setite se da se ništa neće primeniti ni na NT 4, ni na 95/98 klijente. Recimo da ste kreirali GPO koji razvija set standardnih desktop aplikacija, kao sto su Word, Excel i Outlook i da ste ubacili gomilu shell restrikcija kako biste sprečili korisnike da menjaju svoje konfiguracije. Ako ne želite da članovi grupe za IT podršku podležu ovim besmisleno strogim shell restrikcijama, možete da uradite par stvari. Možete za ova na čela da kreirate poseban GPO i povezete ga sa kontejnerom nižeg nivoa, kao što je OU koja sadrži sve regularne korisnike. Ali, ta OU će biti jedina koja dobija Office aplikacije. Alternativno možete da postavite dozvole za GPO, što će sprečiti da se na čelo primeni na grupu za IT podršku (ovo se zove filtriranje). Međutim, ako za rešenje ovog problema upotrebite filtriranje, na grupu za IT podršku uopšte neće biti primenjeno ništa iz GPO. Primena grupnih na čela je sve, ili ništa, tako da su Vam ponekad, za posebne funkcije, zaista potrebna posebna na čela. Možda je najbolji na čin pristupa ovome izrada GPO za raspored standardnog softvera i GPO za shell restrikcije. Oba se mogu primeniti na nivou domena, ali se shell restrikcije mogu filtrirati za grupu za IT podršku. Poenta je u tome da je nemogu će kreirati jedno monolitno načelo i onda odre đivati ko dobija koje parametre.
Načela su nasledna i kumulativna Parametri Group Policy su kumulativni i nasle đeni iz roditeljskih kontejnera Aktivnog direktorijuma. Na primer, domen win2k3test.com ima nekoliko različitih GPO. Postoji načelo na nivou domena koje postavlja restrikcije za lozinke, zaklju čavanje naloga i standardne parametre bezbednosti. Svaka OU ima načelo za širenje i održavanje standardnih desktop aplikacija, kao i preusmeravanje fascikli i restrikcije za desktop. Korisnici i računari koji su i u domenu i u OU, primaju parametre i od na čela na nivou domena i od onih na nivou OU. Tako, opšta na čela se mogu primeniti na ceo domen, a sitnija u zavisnosti od OU.
Redosled primene grupnih na čela Nasleđivanje i akumulacija su fini i jednostavni, sve dok na čela koja se primaju od domena uti ču na različite parametre od onih odre đenih OU načelom. A, šta ako su ista? Šta ako oba menjaju isti parametar i načelo domena tvrdi jednu stvar, a na čelo OU drugu? Načela se primenjuju slede ćim redosledom: lokalno načelo, sajtovi, domeni, organizacione jedinice, zatim OU unutar OU. Ako načelo domena kaže: "Moraš biti ulogovan, da bi mogao da oboriš mašinu", a OU načelo: "Dozvoli obaranje pre logovanja", OU na čelo je primenjeno poslednje i zato ima prednost. Ako jedno načelo kaže: "Zaključaj", a sledeće: "Nije konfigurisano", parametar ostaje zaključan. Ako jedno načelo kaže: "Nije konfigurisano", a slede će: "Zaključaj", parametar je, takođe, zaključan. Ako jedno na čelo kaže: "Ostavi ga", a slede će: "Isključi ga", isključen je. Ako jedno na čelo kaže: "Isključi ga", a slede će, bliže, kaže: "Uključi ga", a treće: "Isključi ga", pogodite šta biva? Na kraju je isključen. Ipak, poželjno je da izbegavate ovakva neslaganja medu na čelima, da biste sa čuvali zdrav razum.
No Override i Block Inheritance Kao što filtriranje može da se koristi za spre čavanje sveopšte primene na čela, Block Inheritance (blokiraj nasleđivanje) je specijalan parametar koji spre čava da na čela procure sa višeg nivoa na niže. Kada je uključen, vrednosti viših na čela se uopšte ne će primeniti u nižim kontejnerima. Ako, na primer, kreirate GPO za odre đenu OU, kao što je Knjigovodstvo i podesite sve parametre neophodne za tu OU, a
zatim želite da spre čite da GPO win2k3test domena uti ču na OU Knjigovodstvo, uklju čite Block Inheritance. Primeniće se samo načela organizacione jedinice Knjigovodstvo. Postoji i protivudarac za spre čavanje primene Block Inheritance. Kada je za na čelo uključeno No Override, vrednostima iz narednih na čela je onemogućeno da obr ću one iz načela sa uključenim No Override. Ako na primer, administratori domena imaju niz vrlo spornih parametara koje su uklju čili na nivou domena, a oni raspušteni, administratori iz ra čunovodstva su napravih sopstvenu OU, sa sopstvenim načelima i uključili Block Inheritance, organizaciona jedinica Knjigovodstvo će efektno izbegavati nametnute parametre... ali, samo dok se administratori domena ne opamete i dok ne uklju če No Override. U tom slučaju administratori domena pobe đuju i ljudi iz OU Knjigovodstvo moraju da poštuju ista ograničenja kao i svi ostali. No Override je ja č e od Block Inhentance. Kao i sva ostala tajna oružja i No Override i Block Inhentance je najbolje koristiti štedljivo. U suprotnom, u slučaju problematičnih situacija, postaje dosta komplikovano otkriti koja na čela su gde primenjena. To bi moglo da naškodi mentalnom zdravlju mrežnog administratora.
Intervali osvežavanja grupnih na čela Načela se ponovo primenjuju svakih 90 minuta. Na kontrolerima domena ona se osvežavaju na svakih pet minuta, ali postoji načelo koje konfiguriše sve ovo. Izuzeci za interval osvežavanja uklju čuju preusmeravanje fascikli i instalaciju softvera. Oni se primenjuju samo pri logovanju, ili pri podizanju sistema; u suprotnom bi moglo da Vam se desi da aplikaciju deinstalirate, dok neko pokušava da je koristi. Ili, korisnik može raditi u fascikli koja je preusmerena na novu lokaciju u mreži. To bi bilo loše.
Lokalna načela i objekti grupnih na čela Kada za izradu i povezivanje grupnih na čela koristite Active Directory Users and Computers, ili Active Directory Sites and Services, Vi radite sa objektima grupnih na čela da biste zadali skup parametara koji će biti primenjeni u trenutku logovanja korisnika, ili podizanja mašine. Group Policy Object Editor snap-in pruža mogućnost za gledanje postavke lokalnih na čela na mašini. Ako otvorite alat Group Policy Object Editor koji stiže uz Win2K3 (GPEDIT.MSC), on se automatski fokusira na lokalnu mašinu, kao što je prikazano na slici 1.41. Administratori mogu da ga koriste kao što bi koristili i alat Local Security Policy za konfigunsanje parametara naloga (kao što su minimalna dužina lozinke i broj propalih pokušaja logovanja pre zaključavanja naloga) i podešavanje pra ćenja (auditing). Uz izuzetak instalacije softvera i preusmeravanja fascikli, svi parametri Group Policy su dostupni i za konfigurisanje lokalnih načela.
Slika 1.41: Group Policy Object Editor snap-in
Da biste se fokusirali na lokalna na čela drugog računara, morate da imate Administrator prava za tu mašinu. Računar možete selektovati dok svojoj upravlja čkoj konzoli dodajete Group Policy snap-in, kao što je prikazano na slici 1.42. Ako znate ime ra čunara, samo ga ukucajte, ili izaberite dugme Browse. Snap-in se može fokusirati na lokalnu mašinu, ili na objekat grupnih na čela; dugme Browse Vam omogućava da locirate i prona đete objekte grupnih načela povezane na sajtove, domene, OU, ili ra čunare (Slika 1.43).
Slika 1.42: Dodavanje Group Policy Object Editor snap-in
Slika 1.43: Izbor objekata grupnih na čela
Osim toga, ako selektujete opciju kojom ćete omogućiti promenu fokusa kada se snap-in pokrene sa komandne linije, objekat na čela možete da selektujete kao argument kada pokre ćete konzolu. GPEDIT.MSC, konzola Group Policy Object Editor koja se isporu čuje sa Win2K3, ovu opciju ima uključenu. Sintaksa kojom se otvara GPEDIT.MSC i gleda lokalno na čelo na udaljenoj mašini je slede ća: GPEDIT.MSC /gpcomputer: imemašine Tako da možete da napišete, na primer: GPEDIT.MSC /gpcomputer: student2 ili, možete da napišete: GPEDIT.MSC /gpcomputer: student2.win2k3test.com Obavezno uključite razmak između /gpcomputer: i imena mašine. Pri korišćenju GPEDIT.MSC za menjanje na čela na udaljenoj mašini postoji jedno važno ograni čenje. Ekstenzija Group Policy Object Editor snap-ina sa parametrima bezbednosti ne će raditi kada je alat fokusiran na udaljenu mašinu. Ovo vredi ponoviti. Ne možete da otvorite GPEDIT.MSC sa prekida čem /gpcomputer: imeračunara i menjati parametre bezbednosti udaljene mašine. Izgleda da Microsoft to ne dozvoljava jer smatra da bi time bezbednost bila ugrožena. Još jedan primer toga da nam softver govori šta je najbolje za nas? Napomena: Ako koristite grupna na č ela, lokalno se uvek procesira pre grupnih na č ela sajta, domena, ili OU.
Izrada grupnih načela Da biste u DSA.MSC otvorili Group Policy Object Editor snap-in, kliknite desnim tasterom ime domena u korenu konzole i, iz kontekstualnog menija, izaberite Properties. Pre đite na karticu Group Policy, prikazanu na slici 1.36, da biste videli koji GPO su povezani na nivou domena. Ako do sada niste kreirali druga načela, videćete samo podrazumevano na čelo domena. Zapazite polje za potvrdu Block Policy Inheritance, u donjem levom uglu Group Policy kartice. Ono spre čava da se parametri grupnih načela višeg nivoa spuste na ovaj. Setite se redosleda kojim se na čela primenjuju: prvo na nivou sajta, zatim domena, zatim na čela za OU.
Slika 1.44: Group Policy kartica
Da biste uključili No Override, istaknite načelo i izabente Options, zatim potvrdite polje No Override (vidi sliku 1.45). Kada je ovo polje uklju čeno, ostala načela, primenjena na donjim nivoima ne mogu nadjačati vrednost ovog načela, čak ni sa Block Inheritance. Zapazite da je Block Inheritance uklju čeno na nivou linka (sajt, domen, ili OU), dok je No Override uključeno za načelo. Potvrdite polje Disabled, da biste načelo isključili, da se na tom nivou ne procesira, ili ne primenjuje. Onemogu ćavanje načela ne onemogu ćava i sam objekat. Na primer, isto na čelo, onemogućeno na nivou domena, teorijski bi moglo da se primeni na nivou sajta, ili OU. Ako je neka od opcija (No Override, ili Disabled) uklju čena, postojaće znak potvrde u odgovaraju ćoj koloni Group Policy kartice. Obe opcije se mogu aktivirati pomoću kontekstualnog menija na čela. Da biste videli kontekstualni meni, samo treba na čelo da kliknete desnik tasterom.
Slika 1.45: Group Policy opcije
U prozoru sa slike 1.44 izaberite New, da biste kreirali novi GPO. Win2K3 će kreirati načelo po imenu New Group Policy Object i dozvoliti Vam da mu promenite ime. Izaberite Properties, da biste videli i menjali svojstva novog objekta grupnih na čela. Kartica General, prikazana na slici 1.46, prikazuje informacije o izradi i reviziji, kao i opcije za onemogu ćavanje korisničkog, ili računarskog dela na čela. U zavisnosti od načina na koji ste podelili domen u organizacione jedinice, možete odlu čiti da neka načela kreirate samo sa ra čunarskim parametrima, a neka samo sa parametrima karakteristi čnim za korisnika. U tom slučaju, ako je neiskoriš ćeni deo GPO onemogu ćen u potpunosti, primena na čela i ažuriranja će se odvijati brže.
Kartica Links Vam pruža mogu ćnosti pretrage za sajtovima, domenima, ili OU koji koriste ovaj GPO, ako ima takvih. Kliknite dugme Find Now da biste pretragu pokrenuli.
Slika 1.46: Group Policy General svojstva
Kartica Security otkriva podrazumevane dozvole za GPO (sliku 1.47). Istaknite ime sa vrha, da biste u donjem delu videli dozvole. Zapazite da Domain Admins i Enterprise Admins imaju dozvole Read (čitanje) i Write (pisanje), kao i Delete (brisanje) i Create Child Objects (izrada podobjekata), dok Authenticated Users imaju samo Read i Apply Group Policy (primena grupnih na čela). Read i Write su neophodni za promenu na čela, a Read i Apply su neophodni primaocu na čela.
Slika 1.47: Lista dozvola za grupna na čelo
Vratite se na Group Policy karticu lista sa svojstvima domena. Ako istaknete novi GPO koji ste upravo kreirali i izaberete dugme Up (gore), ili Down (dole), na čelo možete da pomerite na gore, ili na dole u prozoru. Ovo je važna poslastica koju treba da znate: ako je na jedan kontejner povezano više GPO, kao što vidite na slici 1.48, oni će se primenjivati od dna ka vrhu, tako da se onaj sa vrha primenjuje poslednji. Znači da GPO koji je na višem mestu liste ima viši prioritet. Ako postoje parametri koji su u konfliktu, više načelo pobeđuje.
Da biste GPO obrisali, ili ga samo uklonili sa liste, istaknite na čelo i izaberite Delete. Win2K3 će Vam ponuditi opciju da ga potpuno obrišete (slika 1.49), ili da ga uklonite sa liste, čuvajući načelo koje onda u nekom trenutku možete povezati sa nekim drugim kontejnerom.
Slika 1.49: Uklanjanje objekta grupnih načela
Slika 1.48: Pove ćanje prioriteta objektima grupnih na čela
Na kartici Group Policy izaberite dugme Add, da biste postojeći GPO povezali sa željenim kontejnerom. Kao što možete da vidite na slici 1.50, možete da potražite i GPO koji su povezani sa drugim domenima/OU, ili drugim sajtovima, ili možete zatražiti listu svih GPO. Istaknite na čelo i izaberite OK, da biste ga dodali listi na kartici Group Policy.
Slika 1.50: Povezivanje grupnog na čela
Hajde da sada pogledamo i izmenimo naše novo na čelo. Na kartici Group Policy istaknite na čelo i izaberite Edit. Ovo će, u posebnom prozoru, otvoriti Group Policy Object Editor snap-in i vide ćete ime objekta načela u korenu prostora za ime, u ovom slu čaju Računovodstvo Policy [DC1.OSVeljkoVlahovic.edu] Policy. Ovo nam nagoveštava da je na čelo već gledano i editovano. Slika 1.51 prikazuje na čelo razvijeno u drvo konzole, da bi se videli glavni čvorovi objekta grupnih na čela.
Slika 1.51: Prostor za ime grupnog na čela
Kao što sam već pomenuo, postoje dva glavna tipa parametara. Parametri konfiguracije ra čunara se primenjuju na mašinu pri podizanju i u određenim intervalima osvežavanja. Parametri korisni čke konfiguracije se primenjuju na korisnikovo radno okruženje pri logovanju i u odre đenim intervalima osvežavanja. Kasnije ćemo, u skladu sa sadržajem, istražiti razli čita načela, ali treba da se pripremite za činjenicu da nisu sva na čela konfigurisana na isti na čin, bar što se interfejsa ti če. Biće Vam potrebno nekoliko primera, da biste shvatili na šta mislim: Da biste u Software Settings\Software Installation specificirali softverske pakete, otvorite fasciklu i izaberite New > Package iz Action menija. Okvir za dijalog Open će Vas pitati za lokaciju paketa. Kada ga locirate i selektujete, onda konfigurišete njegova svojstva. Da biste zadali interval koji može da protekne dok korisnik ne promeni lozinku, idite u Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy, u desnom oknu sa detaljima kliknite dva puta Maximum Password Age (maksimalna starost lozinke), omogu ćite ovaj parametar potvr đivanjem polja Define This Policy Setting i odredite vrednost vremenskog intervala. Da biste podesili na čelo koje ograni čava članstvo u grupi, idite u Restricted Groups, pod Security Settings, u Computer Configuration\Windows Settings i izaberite Add Group iz Action menija. Okvir za dijalog od Vas traži da unesete grupu, ili da je potražite. Kada se grupa doda spisku u desnom oknu sa detaljima, kliknite dva puta njeno ime, da biste otvorili okvir za dijalog i dajte imena korisnika koji moraju biti, ili im je dozvoljeno da budu članovi grupe. Članstvo u grupi možete definisati i za samu grupu. Da biste podesili preusmeravanje fascikle, idite u User Configuration\Windows Settings\Folder Redirection i izaberite fasciklu (na primer: Start Menu). Desno okno, sa detaljima, bi će prazno. Kliknite desni tasterom u prazan prostor okna (ili otvorite Action meni) i izaberite Properties. Pojavi će se list sa svojstvima i tu ćete moći da odredite lokaciju za Start Menu i konfigurišete parametre preusmeravanja . Kada završite sa konfigurisanjem parametara Group Policy, jednostavno zatvorite Group Policy prozor. Nema opcije Save, ni Save Changes. Promene se upisuju u GPO kada izaberete OK, ili Apply za određeni parametar, iako korisnik, ni ra čunar neće primetiti promenu sve dok se na čelo ne osveži.
Filtriranje grupnog na čela Vratimo se na karticu Security, u listu sa svojstvima objekata grupnih na čela: otvorite DSA.MSC (ili DSSITE.MSC), u zavisnosti od toga gde je link. Kliknite desnim tasterom kontejner povezan sa vašim GPO (u našem primeru, domen) i izaberite Properties. Izaberite karticu Group Policy i istaknite na čelo koje želite da filtrirate. Izaberite dugme Properties i idite na karticu Security (ponovo prikazana na slici 1.52). Sada vidite Access Control List (ACL) za objekat na čela. Može se desiti da ste napravili grupno načelo kojim se ograni čavaju stoni ra čunari, a ne želite da ga primenite na odre đenu grupu ljudi. Grupa Authenticated Users uključuje sve osim gostiju, tako da se podrazumeva da će se načelo primeniti na sve
osim gostiju, pa će čak i Domain Admins i Enterprise Admins primiti parametre na čela. Da biste sprečili da i Domain Admins i Enterprise admins prime ovo na čelo, morate u Deny koloni da potvrdite polje pored Apply group Policy (slika 1.53). Onima koji su članovi jedne grupe je potreban Deny samo za jednu grupu, ali Deny polje morate da potvrdite za obe grupe, za slu čaj da članovi Domain Admins i Enterprise Admins nisu isti ljudi. Da biste izuzeli ostale od primanja na čela, sve ih smestite u sigurnosnu grupu i tu grupu dodajte listi. Nije dovoljno „ne potvrditi“ polja za dodelu Read i Apply Group Policy; korisnici iz vaše specifi čne sigurnosne grupe su članovi i Authenticated Users, tako da Vi, zapravo, treba da izaberete Deny opciju i za njih. Deny ima prvenstvo u odnosu na Allow.
Slika 1.52: Security kartica grupnih na čela
Slika 1.53: Uskraćivanje Apply Group Policy dozvole
Ako načelo želite da filtrirate za određenu mašinu (ili grupu mašina), primenite istu strategiju. Dodajte računarske naloge u sigurnosnu grupu, dodajte tu grupu u ACL za objekat na čela, zatim grupi uskratite (Deny) Read i Apply Group Policy dozvole. Postoji alternativa dodavanju sigurnosne grupe u ACL i uskra ćivanju Read i Apply dozvola. Mogu će je u potpunosti ukloniti Authenticated Users iz ACL-a, čime se svi sprečavaju od prijema grupnih na čela. Zatim biste u ACL jednostavno dodali ulaze za sigurnosne grupe za koje želite da prime na čelo. Ipak, budite sigurni da ste im dodelili i Read i Apply Group Policy. Slika 1.54 prikazuje listu dozvola za Računovodstvo policy iz koje je uklonjeno Authenticated users i dodata je grupa Administracija. Ova strategija je korisna, ako ne želite da se na čelo primenjuje na sve ra čunare u povezanom kontejneru. Uzgred, listama dozvola možete dodati i pojedinačne korisnike. Napomena: I u slučaju User Configuration i Computer Configuration, Software Settings\ Software Installation se mogu upotrebiti za objavljivanje, dodeljivanje, ažuriranje, čak i uklanjanje aplikacija sa korisnikovog desktopa.
Slika 1.54: Group Policy ACL bez Authenticated Users
Specificiranje skriptova pomo ću Group Policy Možete da specificirate logon i logoff skriptove, kao i skriptove koji će se izvršavati pri podizanju, ili obaranju sistema, pomo ću Windows Settings u User Configuration čvoru, ili Computer Configuration čvoru, respektivno. Razvijte Windows Settings, da biste prikazali Scripts, zatim, u desnom oknu sa detaljima, selektujte tip skripta (start-up, shutdown, logon, ili logoff); slika 1.55 prikazuje skriptove koji su na raspolaganju u User Configuration. Ovde, kliknite dva puta na tip skripta (na primer Logon), ili ga istaknite i u Action meniju izaberite Properties. Skriptove dodajte u spisak pomo ću dugmeta Add (slika 1.56). Kada se to od Vas zatraži, navedite ime skripta i parametre. Da biste skriptu editovali ime i parametre (ne sam skript), izaberite Edit. Ako ste specificirali više skriptova, upotrebite dugmad Up (gore) i Down (dole), da biste odredili redosled kojim će se izvršavati. Skriptovi koje napravite i pripišete treba da budu iskopirani u slede ću putanju u SYSVOL direktorijumu: \WINDOWS\SYSVOL\SysVol\imedomena\Policies\{GUID}\Machine\Scripts\Startup(Shutdown) (ili User\Scripts\Logon, ili Logoff, u zavisnoti od toga da li skriptove dodeljujete Computer Configuration, ili User Configuration čvoru). Global Unique Identifier (GUID) za objekat grupnih na čela je dugačak string koji liči na {FA08AF4l-38AB-1lD3-BDlPC9B6902FA00B}. Ako želite da vidite skriptove smeštene u GPO i, po mogućstvu, ih otvorite za editovanje, upotrebite dugme Show Files, u dnu lista sa svojstvima. Ovo će fasciklu otvoriti u Exploreru. Postoji nekoliko parametara na čela koji definišu kako će se Group Policy skriptovi izvršavati. Ona se nalaze u Administrative Templates čvoru, u System\Scripts za konfiguraciju korisnika ili ra čunara.
Slika 1.55: Start-up skriptovi Group policy
Slika 1.56: Dodavanje skripta u Group Policy
Preusmeravanje fascikli Jedna od najkorisnijih stvari koju možete da uradite sa parametrima korisni čke konfiguracije u Group Policy Object Editor-u je da korisnikovim fasciklama Application Data, Desktop, Start Menu, ili My Documents kažete da ga prate od ra čunara do računara.Ove fascikle su važan element korisnikovog radnog okruženja. Application Data čuva korisničke informacije specifične za aplikacije dok Desktop može da sadrži važne fascikle i pre čice koje treba da su na samo jedan klik od korisnika. Start Menu sadrži programske grupe i prečice na programe, dok je My Documents podrazumevano mesto na koje pamtite i sa kojeg pozivate fajlove, neka vrsta lokalnog kućnog direktorijuma. Korisćenjem korisničkih profila možete unapred da konfigurišete sadržaj ovih fascikli i pripišete mrežne lokacije. Ali, za razliku od ponašanja Default User profila, preusmerene fascikle su sve vreme na jednom odre đenom mestu. One se ne kopiraju na mašinu na koju se korisnik loguje, prouzrokuju ći "gradnju" profila. Umesto korišćenja fascikle u korisnikovom lokalnom profilu, bi će preusmerena (redirect) na lokaciju odre đenu u grupnim načelima.
Ima više dobrih razloga za koriš ćenje preusmeravanja fascikli. Prvo, to je pogodnost za korisnika koji se loguje na različite mašine. Takođe, ako odredite mrežnu lokaciju za neke, ili sve ove fascikle, one se mogu redovno zaštitno kopirati i štititi od strane IT odeljenja. Ako se lutaju ći (roaming) profili i dalje koriste, uvođenje preusmeravanja fascikli ubrzava sinhronizaciju profila servera sa lokalnim profilima pri prijavljivanju (logon) i odavljivanju (logoff), jer preusmerene fascikle ne traže ažuriranje. Preusmeravanje fascikli Desktop i Start Menu na centralizovanu, deljenu lokaciju olakšava standardizaciju korisničkog radnog okruženja i pomaže udaljenu podršku, jer će osoblje za podršku znati da su sve mašine konfigurisane na isti na čin. Što je najlepše od svega, kombinujete i slažete. Mogu će je specificirati deljenu lokaciju za Desktop i Start Menu fascikle, a dozvoliti svakom korisniku da ima sopstvene My Documents i Application Data fascike. Hajde da pogledamo. Da biste za Start Menu fasciklu odredili mrežnu lokaciju u Group Policy, idite u User Configuration\Windows Settings\Folder Redirection\Start Menu, kliknite desnim tasterom istaknutu fasciklu Start Menu i, iz kontekstualnog menija, izaberite Properties. List sa svojstvima će prijaviti da nijedno načelo nije podrazumevano za Start Menu preusmeravanje. Iz padaju će liste izaberite Basic, da biste odredili jednu lokaciju za Start Menu fasciklu, ili izaberite Advanced, da biste lokacije zadali na osnovu članstva u sigurnosnoj grupi. Ako želite jednu lokaciju za Start Menu fasciklu samo otkucajte ciljnu lokaciju sa mrežnom putanjom, ili pretraživanjem dođite do nje. Za razli čite lokacije, prvo izaberite sigurnosnu grupu, a zatim zadajte mrežnu putanju. Slika 1.57 demonstrira preusmeravanje Start Menu fascikle za sve članove OSVeljkoVlahovic.edu\Računovodstvo, na serveru DC1. U našem slu čaju će celo Računovodstvo koristiti istu Start Menu fasciklu, a u drugim slu čajevima je mogu će postaviti individualne preusmerene fascikle, dodavanjem %imekorisnika% u putanju. Ovim se kreira podfascikla imenovana po korisniku. Zatim, kliknite karticu Settings, da biste konfigurisali parametre preusmeravanja. Potpunosti radi, parametri preusmeravanja za My Documents su prikazani na slici 1.57. Parametri za preusmeravanje svih ostalih fascikli su isti, osim sto My Document ima podfasciklu My Pictures, tako da postoji par dodatnih stavki koje treba konfigurisati. Opcije koje vidite na slici 1.58 prikazuju podrazumevane izbore. Samo korisnik će imati pristup fascikli, tako da, ako svi treba da dele fasciklu, treba da ukinete potvrde iz ovog polja (Grant the user the exclusive rights to My Documents). Podrazumeva se da će se sadržaj odgovaraju će fascikle kopirati na novu lokaciju. Čak i kad se na čelo ukloni, fascikla će ostati preusmerena sve dok joj ne kažete da "ukine preusmeravanje".
Slika 1.57: Na čelo za preusmeravanje korisnikove Start Menu fascikle
Slika 1.58: Na čelo za preusmeravanje My Documents fascikle
Parametri bezbednosti Security Settings (parametri bezbednosti), zajedno sa Administrative Templates (administrativni šabloni) čine veliki deo Group Policy. Pod pretpostavkom da ćete imati nekakvu standardizaciju na nivou organizacije, nekoliko škakljivih dozvola i parametara Registra ćete morati da promenite samo jednom, pomoću Group Policy. NTFS dozvole morate da podesite samo jednom. One se, čak, mogu podesiti za jedno načelo, a onda kopirati u ostala. Kada god Vam je potrebna visoka bezbednost, ili samo malo viša od podrazumevane, velike su šanse da ćete želeti da učinite bar neke standardizovane promene, a čvor Security Settings će Vam svakako olakšati život. Glavnina parametara bezbednosti se nalazi u Computer Configuration\Windows Settings\Security Settings, iako se na čela za javne ključeve nalaze i u User Configuration čvoru, na istoj putanji. Sledi rezime glavnih kategorija parametara iz Security Settings. Account Policies Određuje ograničenje lozinke, na čela zaključavanja i Kerberos načelo. Local Policies Konfiguriše praćenje i dodelu korisni čkih prava i razne parametre bezbednosti. Event Log Cenlralizuje konfiguracione opcije za Event Log. Restricted Groups Obavezuje i kontroliše članstvo u određenim grupama. System Services Standardizuje konfiguracije servisa i štiti od promena. Registry Kreira šablone bezbednosli Za ključeve Registra za dozvole koje kontrolišu ko može da menja koji ključ i kontrolišu Read pristup dolovima Registra. File System Kreira šablone bezbednosti za dozvole za fajlove i fascikle, radi obezbedjivanja da fajlovi i direktorijumi imaju i zadržavaju dozvole koje želite. Public Key Policies Upravlja parametrima organizacije, koriš ćenjem infrastrukture javnog klju ča.
Uvoz šablona bezbednosti Šabloni sa parametrima bezbednosti se instaliraju sa Win2K3 Serverom i na raspolaganju su nam kako bi olakšali teret prolaska kroz istraživanje i konfiguraciju ovih parametara. Takođe, mnogo je sigurnije parametre konfigurisati offline i zatim ih primeniti, nego se igrati živim grupnim na čelom, koje radi. Ovi šabloni imaju oblik INF fajlova i nalaze se u \WINDOWS\security\templates. Ima ih više, od osnovnih radnih stanica, ili servera, do sigurnosnih, vrlo sigurnih i konfiguracija namenjenih za kontrolere domena. Kada se primene direktno, ili preko Group Policy, ovi šabloni u inkrementima menjaju podrazumevane vrednosti. Možete ih gledati, ili menjati pomo ću Security Templates snap-ina, prikazanog na slici 1.59. Ovi parametri su isti kao i oni koji se nalaze u group policy Security Settings, sa izuzetkom Public Key Policies i IP Security Policies, koji se ne mogu konfigurisati pomo ću šablona. Vrednosti parametara su u svakom šablonu unapred konfigurisane kako bi odgovarale potrebnom nivou bezbednosti. Da biste šablon bezbednosti uvezli u Group Policy, idite u Computer Configuration\Windows Settings\Security Settings i kliknite desnim tasterom Security Settings. Iz kontekstualnog menija izaberite Import Policy, zatim selektijte načelo iz liste šablona. Group Policy šablon automatski traži u \WINDOWS\security\templates, a Vi mu možete re ći da traži negde drugde ako je potrebno. Bi će uvezen INF fajl, da bi promenio parameter selektovanog objekta grupnih na čela.
Slika 1.59: Security Templates snap-in
Administrativni šabloni Parametri iz Administrative Templates (administrativnih šablona) specificiraju izmene zapisa Registry-a kojima se podešavaju razni aspekti korisni čkog okruženja, ili konfiguracije mašine. Promene specificirane u administrativnim šablonima koje se odnose na korisnika se upisuju u HKEY_CURRENT_User\Software\Policies, a one koje se odnose na ra čunar u HKEY_LOCAL_Machine\Software\Policies. Ovi, .ADM fajlovi nalaze se u \WINDOWS\inf. Kada učitate Administrative Template, ADM fajlovi se kopiraju u \SYSVOL\Imedomena\Policies\GUID\Adm. Šta možete da radite sa parametrima iz Administrative Templates? Me đu njihovim glavnim funkcijama je “spreči korisnika da promeni X”, ili “onemogu ći, ili sakrij opciju Y”. Naveš ću nekoliko komentara o nekim od parametara koje ćete pronaći u Administrative Templates.
Windows komponente Zaista je veliki broj parametara koje možete konfigurisati u ovom čvoru. Svakako je korisno imati kontrolu parametara za Internet Explorer, Windows Explorer, Microsoft Management Console, Task Scheduler, Terminal Services.. Možete, na primer, ukloniti Run… iz Start menija ili “Entire network” u My Network Places kako bi odvratili korisnike od njuškanja po razli čitim serverima. Iako je zanimljivo igrati se postavljnjem restrikcija treba voditi ra čuna o svakoj polisi, manje li više zna čajnoj.
Control Panel parametri Control Panel čvor uključuje nekoliko opcija za onemogu ćavanje, ili uklanjanje celog, ili dela Add\Remove Programs apleta. Display sprečava korisnike da menjaju parameter prikaza. Kao što su rezolucija ekrana, screen-saver-i i pozadiski tapet – drugim re čima, da prilagođavaju prikaz. Takođe, korisna načela su ona koja spre čavaju korisnike da dodaju, ili brišu štampa če. Korisno je, takođe, specificirati putanju za štampače u Aktivnom Direktorijumu, kao pomoć pri pretraživanju.
Sistemski parametri Onemogućavanje alata za editovanje Registra spre čava korisnike da pokre ću REGEDT32.EXE i REGEDIT.EXE, što nije loša ideja, mada obi čni korisnici ionako nemaju Read pristup ve ćem delu Registra. Čuveni parameter Run Only Allowed Windows Application (izvršavaj samo dozvoljene Windows aplikacije) se nalazi u System čvoru, u User Configuration. Ako na čelo omogućite, morate da dodate listu dozvoljenih aplikacija, ili korisnik neće moći ništa da pokrene. Slika 52 prikazuje omogu ćeno načelo, sa primerom spiska dozvoljenih aplikacija.
Slika 1.60: Na čelo koje dozvoljava pokretanje samo dozvoljenih aplikacija
Upotreba Group Policy za podešavanje Set Password i Account Lockout na čela Važna primedba za lozinke, zaklju čavanje naloga i Kerberos grupna na čela: primenjuju se samo na nivou domena. Kontroleri domena će ove parametre primiti od na čela naloga nivoa domena i ignorisati parametre u načelima povezanim sa OU. U stvari, vide ćete grešku u Event Logu, ako na čelo OU nivoa sadrži ove parametre. Tako da, na nesre ću i dalje ne možete administratore da naterate da lozinke menjaju češće od svih ostalih (ne bez debele motke, u svakom slu čaju). Međutim, na OU se mogu primeniti različiti Local Policy parametri, tako da pra ćenje može da bude strože za "bezbednije" OU, a labavije za ostale. Password Policy sadrži sledeće opcije: Enforce Password History (obavezna istorija lozinke) Omogućite ovu opciju i dajte broj novih lozinki koje moraju biti jedinstvene, pre nego što se data lozinka može upotrebiti ponovo. Maximum Password Age (maksimalna starost lozinke) Ova opcija zadaje vremenski period u kojem se lozinka može koristiti, pre nego što sistem od korisnika zatraži da izabere novu. Minimum Password Age (minimalna starost lozinke) Ovde zadata vrednost je period u kojem se lozinka mora koristiti, pre nego što sistem korisnika dobije pravo da je promeni. Minimum Password Length (minimalna dužina lozinke) Ova opcija definiše najmanji broj karaktera koje korisnikova lozinka mora da sadrži. Osam karaktera je dobra dužina lozinke. Password Must Meet the Complexity Requirements of Installed Password Filter (lozinka mora da zadovolji zahteve složenosti koje odre đuje instalirani filter za lozinke) Filteri za lozinke definišu zahteve kao, na primer, broj dozvoljenih karaktera, da li moraju da se koriste slova i brojevi, da li je dozvoljen deo korisnikovog imena itd. Store Password Using Reversible Encryption (lozinke pamti koriš ćenjem obrnutog šifriranja) Windows 9x klijenti i Macintosh klijenti treba da se identifikuju šifriranjem nižeg nivoa. User Must Log On to Change Password (korisnik se mora logovati, da bi promenio lozinku) Ova opcija sprečava neidentifikovane korisnike da menjaju lozinku tokom brutalnog napada. Tako đe, sprečava korisnika da promeni svoju lozinku, ako je ona istekla. Accout Lockout Policy , kada se omogu ći, svakoga sprečava da se loguje na nalog posle odre đenog broja neuspešnih pokušaja: Account Lockout Threshold (prag zaklju čavanja naloga) Ova vrednost definiše koliko puta korisnik može pokušati da se loguje pre nego što se nalog zaklju ča. Reset Account Lockout Counter After (vrati broja č posle) Ovaj parametar definiše vreme posle kojeg će brojanje neuspelih pokušaja logovanja po četi ispočetka. Accout Lockout Duration (trajanje zaklju čavanja naloga) Ovaj parametar određuje interval u kojem će parametar biti zaključan. Kada to vreme istekne, korisni čki nalog više ne će biti zaključan i korisnik može ponovo da pokuša da se loguje.
Hajde da našu diskusiju o grupnim na čelima završimo ispitivanjem drugih Group Policy konfiguracionih opcija koje su stvarno uklju čene kao grupna na čela („načela grupnih na čela“).
Group Policy načela Načela koja kontrolišu Group Policy se nalaze u Administrative Templates, i u User Configuration i u Computer Configuration čvorovima (Administrative Templates\System\Group Policy). Slika 1.61 prikazuje Computer Configuration opcije za Group Policy. Informacije koje slede su rezime najvažnijih konfiguracionih opcija. Group Policy Refresh Intervals for Users/Computers/Domain controllers (Intervali osvežavanja Group Policy za korisnike/ra čunare/kontrolere domena) Ova odvojena načela određuju koliko često se GPO osvežavaju u pozadini, dok korisnici i ra čunari rade. Ovi parametri dozvoljavaju promene podrazumevanih pozadinskih intervala osvežavanja i dozvoljavaju fino podešavanje offset vremena. Disable Background Refresh (onemogu ći osvežavanje u pozadini) Ako dopustile ovaj parametar, načela će se osvežavati samo pri podizanju sistema i logovanju korisnika. Ovo bi moglo da bude korisno zbog performansi, jer ako imale 1,500 ra čunara koji na svakih 90 minuta osvežavaju na čela, na Ethernetu bi moglo do ći do zagušenja. Apply Group Policy for Users/Computers Synchronously during Start-up (sinhrono primeni grupna načela na korisnike/računare tokom podizanja) Omogućite ovaj parametar, da biste spre čili korisnike da se loguju dok se sva grupna na čela ne primene. U suprotnom, na čela se primenjuju u pozadini i korisnik će moći da se loguje dok se vrednosti na čela i dalje menjaju. Policy Processing Options (opcije procesiranja na čela) Ova načela, sa imenima kao Registry Policy Processing i Folder Redirection Processing, su na raspolaganju za prilagodjavanje ponašanja različitih GPO komponenata. Svako na čelo (vidi primer na Slici 54) predstavlja barem dve od slede će tri opcije: Allow Processing across a Slow Network Connection (dozvoli procesiranje preko spore mrežne veze) Neka načela se mogu isklju čiti kod sporih veza, da bi se pobojale performanse ("sporu vezu" možete da definišete pomo ću parametra Group Policy Slow Link Detection). Ipak, parametri bezbednosli i na čela procesiranja Registra će se uvek primenjivati i ne mogu se isklju čiti.
Slika 1.61: Computer Configuration parametri za Group Policy
Do Not Apply during Periodic Background Processing (ne primenjuje se tokom periodi čnih pozadinskih procesiranja) Određuje komponente koje će se periodično osvežavati. Instalacija softvera i preusmeravanje fascikli se nikada ne će osvežavati dok je korisnik logovan, tako da za njih opcija nije raspoloživa. Process Even If the Group Policy Objects Have Not Changed (procesira, čak, iako se GPO nisu promenili) Radi očuvanja mrežnih i sistemskih resursa, podrazumeva se da se GPO ne osvežavaju, ako nisu promenjeni. Ipak da biste pove ćali sigurnost i sprečili da korisnik menja parametre načela, omogućite ovo načelo, da biste se obezbedili da se svi parametri ponovo primene posle svakog intervala osvežavanja. Omogu ćavanje ovog na čela može da izazove primetno pogoršanje performansi. User Group Policy Loopback Processing Mode (režim za obrnuto procesiranje korisni čkih grupnih načela) Podrazumeva se da se korisni čka načela procesiraju posle na čela konfiguracije računara i da korisnička načela imaju prednost, ako postoje konflikti. Takođe se podrazumeva da korisnici primaju načela bez obzira na to koju mašinu upotrebe za logovanje. Ponekad to nije odgovaraju će i umesto toga, načela treba primeniti u skladu sa objektima ra čunarskih načela. Na primer, ako se logujem na server, da bih se bavio administracijom, ne odgovara mi da office aplikacije po čnu da se instaliraju. Drugi primer kada želite da ra čunarska načela pregaze korisni čka je ako želite da primenite stroža na čela za mašine koje su izložene anonimnoj publici, kao što su one u bibliotekama, univerzitetskim ra čunarskim labotarorijama i kioscima u tržnim centrima, ili turisti čkim atrakcijama. Postoje dva režima za kontrolu ovog ponašanja (vidi sliku 1.62); Merge i Replace režimi.
Slika 1.62: Opcije procesiranja skripta
Slika 1.63:User Group Policy loopback processing mode na čelo
Merge Mode Prvo procesira korisnička načela, zatim računarska. Zbog toga će računarska načela pregaziti konfliktna korisni čka. Replace Mode Zanemaruje korisni čka načela i procesira samo ra čunarska.
Grupna načela na sporim vezama Grupna načela i dalje rade preko sporih veza, kao što su dial-up konekcije. Još bolje, na čelo se primenjuje bez obzira na to da li se korisnik loguje koriš ćenjem Dial-Up Networkinga, ili se loguje sa keširanim akreditivima, pa tek onda inicira vezu. Ipak, primena grupnih na čela preko sporih veza može performanse da dovede u pitanje, zato Win2K3 sadrži načelo kojim se definiše spora veza i kojim se definiše kako se na čela primenjuju preko detektovane spore veze. Podrazumevana definicija spore veze, bar što se grupnih na čela tiče, je sve ispod 500 kilobita u sekundi. Sistem testira brzinu veze koriš ćenjem Ping uslužnog programa. Ako je vreme odziva Pinga ispod 2.000 milisekundi, veza je brza. Me đutim, Vi možete promeniti definiciju spore veze. Ovaj
parametar, po imenu Group Policy Slow Link Detection, je dostupan i u User Configuration i u Computer Configuration, u Administrative Templates\System\Group Policy (vidi Sliku 1.64, radi lista sa svojstvima načela). Da biste promenili podrazumevani parametar, unesite broj u Kb/s, ili 0, da biste potpuno onemogu ćili detekciju spore veze. Ako onemogu ćite detekciju spore veze, primenjiva će se sva na čela, bez obzira na brzinu veze. Kao što sam u prethodnom odeljku pomenuo, parametri procesiranja na čela za pojedina čne komponente (one imaju imena kao Folder Redirection Policy Processing i nalaze se na istoj putanji kao i detekcija spore veze, u Computer Configuration\ Administrative Templates\System\Group Policy) Vam omogućavaju da odredite da li će se delovi objekta na čela procesirati preko spore veze. Ponovo, ovo nije opcija za načela Registra, ni za parametre bezbednosti; oni će se uvek izvršiti, čak i preko spore veze. Podrazumeva se da se ostali moduli ne će primenjivari preko sporih veza. Da bi logon skriptovi radili preko sporih veza, na primer, otvorite načelo po imenu Scripts Policy Proccessing. Omogućite načelo, kao na Slici 57 i potvrdite polje pored Allow Processing across a Slow Network Connection. Izaberite OK i načelo je podešeno. Ako je potrebno, ponovite za ulaze za procesiranje ostalih na čela.
Slika 1.64: Group Policy Slow Link Detection svojstva
Slika 1.65: Opcije procesiranja na čela
Planiranje grupne strategije i otkrivanje i otklanjanje grešaka u njoj pomoću RSoP-a Ako imate iskustva u upravljanju grupnom strategijom u Windowsu 2000, onda znate da nema lakog načina otklanjanja grešaka u problemati čnim GP objektima, niti lake metode prognoziranja ili testiranja ponašanja GP objekta u radu. Windows XP ima ugrađenu alatku Rezultujući Skup Pravila (engl. Resultant Set of Policy, RSoP ), koja dobrim delom obezbeduje sredstva za planiranje grupne strategije i otkrivanje i otklanjanje problema u radnim stanicama na koje se primeni. Ona je ugra đena i u Windows Server 2003. RSoP pravi izveštaj o svim parametrima grupne strategije koji su primenjeni na korisnika i ra čunar. Time omogućava otkrivanje i otklanjanje grešaka u grupnoj strategiji i utvr đivanje promena radne površine i prostora korisnikovog ra čunara koje RSoP prouzrokuje. RSoP funkcije ugrađene u Windows XP i Windows Server 2003 omogu ćavaju izvlačenje podataka o rezultujućem skupu pravila koja su primenjena na ra čunar za kojim sedite ili na bilo koji drugi ra čunar u domenu. S komandne linije se pokre će program GPRESULT, koji otkriva sve parametre grupne strategije primenjene na korisnika i njegov računar. RSoP i GPRESULT su detaljno objašnjeni u datotekama ugrađene pomoći Windows Servera 2003, u odrednici Troubleshooting GP (otkrivanje i otklanjanje grešaka grupne strategije).
Da biste RSoP upotrebili za planiranje primene grupne strategije, pokrenite modul Active Directory Users and Computers (korisnici i računari aktivnog imenika) i u stablu izaberite bilo koju organizacionu jedinicu. Desnim tasterom miša pritisnite opciju All Tasks u meniju i u kontekstnom meniju izaberite stavku Resultant Set of Policy (Planning). Pokrenuće se čarobnjak RSoP, prikazan na slici 1.66.
Slika 1.66: Čarobnjak rezultuju ćeg skupa pravila (RsoP)
Pomoću ovog čarobnjaka simulirate primenu grupne strategije na ciljnu organizacionu jedinicu ili korisnike, računare i grupe, s raznim parametrima kao što su režim povratne petlje, spora veza s mrežom i Windows Management Instrumentation (WMI) filtri. Alatka RSoP je nezaobilazna prilikom otkrivanja i otklanjanja grešaka. Da biste dobili RSop-ov izveštaj o ciljnom korisniku i ra čunaru, na serveru otvorite RSoP konzolu (rsop.mmc), kliknite je desnim klikom i iz kontekstualnog menije pokrenite komandu Generate RsoP data. RSoP će prikupiti podatke o grupnoj strategiji primenjenoj na tekući računar i prijavljenog korisnika. Istom konzolom možete pregledati druge ra čunare (uglavnom radne stanice) i servere. Rezultat rada RSoP-a za moj kontroler domena DC1 možete videti na slici 1.67.
Slika 1.67: Rezultat rada RsoP-a za OU Uprava
RSoP konzola je na raspolaganju u Windowsu XP; njome sa Windows XP ra čunara za podršku možete pregledati i druge radne stanice i korisnike, ukoliko imate dozvolu da kao lokalni administrator ciljnog računara (a u njih podrazumevano spadaju svi članovi grupe Domain Administrators) pravite RSoP izveštaj. No, pravljenje sveukupne grupne stratgije, izveštaja radi otkrivanja i otklanjanja grešaka kao i simuliranje strategije iscrpljuje mogućnosti RSoP-a. Zato je i dalje lako napraviti grešku u grupnoj strategiji, ili je potpuno uništiti. Nije se jednom desilo da se potpuno funkcionalan GP objekat uništi primenom administrativnog šablona na strategiju. Možete li da poništite promenu, možete li da napravite kopiju strategije iz laboratorije, možete li da obnovite strategiju pomo ću rezervne kopije? Ukoliko koristite samo standardne alatke koje se isporu čuju sa operativnim sistemom, odgovor je negativan. S obzirom na ove nedostatke, pomo ć morate potražiti kod drugog proizvođača softvera.
Upravljanje grupnom strategijom pomoću FAZAM-a 2000 Ako imate problema s grupnom strategijom koristite alatku FAZAM 2000 za upravljanje grupnom strategijom. FAZAM je akronim od Full Armor Zero Administration. Nijedna druga alatka na tržištu ni približno ne omogućava tako lako i komforno upravljanje, kontrolu izmena i uvođenje u rad grupne strategije. Pre nego što malo detaljnije opišemo ovu alatku, treba da znate da je Microsoft stavio verziju FAZAM-a 2000 smanjene funkcionalnosti u direktorijum podrške na instalacionom CD-u operativnog sistema Windows Server 2003. Probnu verziju ovog softvera možete preuzeti s FullArmorove Web lokacije na adresi www. fullarmor. com. FAZAM-ov RSoP omogućava i interaktivno usmeravanje alatke na svaki ra čunar u domenu, i dobijanje izvanrednih HTML izveštaja o rezultuju ćoj (sveukupnoj) grupnoj strategiji primenjenoj na računar i na korisnika. Izveštaj se može i odštampati. Interfejs probne verzije Fazam-a vidite na slici 1.68.
Slika 1.68: FAZAM 2000 (probna verija)
Pravljenje rezervnih kopija i obnavljanje GP objekata Procedura izrade rezervnih kopija i obnavljanja celog aktivnog imenika trenutno je jedini način izrade rezervnih kopija GP objekata i njihovog obnavljanja. Ne postoji na čin da izaberete samo jedan objekat i obnovite ga u aklivnom imeniku, ukoliko se ošteti ili slu čajno obriše. Tu funkcionalnost pruža FAZAM 2000. Ulaganja u projektovanje i pravljenje grupne strategije veoma su velika. U taj proces možete uložiti dane i sedmice rada, i sve to uništiti jednim pritiskom na pogrešno radio-dugme u okviru za dijalog Delete. Ako oštetite, uništite ili na drugi način izgubite objekat grupne strategije (a mnogi admistratori Windowsa 2003 doživeli su da podrazumevana strategija domena ili upravlja ča domena jednostavno nestane), nemate izbora nego da ga obnovite s rezervne kopije, a s njim i deo operativnog sistema. Za obnavljanje podrazumevanih objekata grupne strategije možete, naravno, upotrebiti uslužni program DCGPOFIX s komandne linije, ali time ćete izgubiti parametre te grupne strategije. S druge strane, FAZAM 2000 omogu ćava veoma lako pojedina čno pravljenje rezervnih kopija i obnavljanje GP objekata. Implementiranje upravljanja izmenama Najkorisnija karakteristika alatke FAZAM 2000 jeste njena mogu ćnost pravljenja i testiranja GP objekata te snimanja definicija pravila u bazu podataka. FAZAM 2000 omogu ćava da napravite objekat i da ga snimite u lokalnu ili stonu verziju SQL Servera ili u najja či SQL Server 2000 za produkciju. Tako arhitektura skladišta omogu ćava potpuno obnavljanje objekata grupne strategije, jer GP objekat možete da učitate u domen iz njegove skladišne lokacije u SQL Serveru. Svaki GP objekat možete obnoviti u celosti. Ako se GP objekat ošteti ili uništi, povežite se sa SQL Serverom i obnovite ga za nekoliko minuta. Više ne morate trošiti dane i sedmice (za koje vreme mreža ne radi uopšte ili radi u ograničenom obimu) da biste obnovili GP objekat koji je nestao. Ova arhitektura je idealna i za implementaciju kontrole izmena i upravljanje izmenama grupne strategije u aktivnom imeniku. FAZAM 2000 omogu ćava pravljenje i testiranje grupne strategije u laboratorijskom domenu; kada stigne odobrenje komisije za kontrolu izmena, GP objekat se iz laboratorije može preseliti u radni domen (posle temeljnog testiranja, naravno). Premda Windows Server 2003 ima mnogo novih karakteristika koje omogu ćavaju bolje upravljanje grupnom strategijom, to i dalje predstavlja ogromno administrativno optere ćenje i rizičan poduhvat ukoliko nemate titanijumski oklop sli čan FAZAM-u 2000. Konačna razmišljanja o grupnim na čelima Pre nego što na Vašoj mreži po čnete da konfigurišete grupna na čela, postoje još dva velika pitanja kojih treba da budete vrlo svesni. Jedno je da grupna na čela utiču na performanse mreže i sistema. Drugo je da je probleme u vezi grupnih na čela teško rešavati, ako nešto po đe naopako. Pitanje performansi je dosta jednostavno: što više na čela treba da se primeni, logovanje duže traje. Svaki put kada se korisnik loguje (ili se ra čunar restartuje), čita se i primenjuje svaki od GPO pridruženih korisničkim, ili računarskim kontejnerima (SDOU). Ovo zna čajno može da uspori logovanje, pa bi korisnici mogli da po čnu da zovu tehni čku podršku, da bi pitali "šta nije u redu sa mrežom?". Zato bi broj načela trebalo da svedete na minimum. Slede ća stvar koja bi mogla da zako či mašinu, ili mrežu, je učestanost pozadinskog osvežavanja. Osvežavajte na čela suviše često, pa ćete videti da je mašina stalno zauzeta traženjem promene na čela. Razmislite o potpunom ukidanju pozadinskih osvežavanja, osim ako brinete da bi korisnici mogli da menjaju svoje parametre, da bi izbegli na čela. Ako su pozadinska na čela onemogu ćena, korisnička i računarska načela se ponovo primenjuju samo pri logovanju i pri podizanju, respektivno. Najgore što možete da uradite za performanse je da na snazi imate mnogo razli čitih načela i da Group Policy kažete da se ponovo primenjuju posle svakog intervala, čak i kada nema promena. Drugi način da ubrzate GPO procesiranje je da izbegavate dodelu GPO iz razli čitih domena. To što to možete da izvedete, ne zna či i da je dobra ideja. Teškoća u vezi sa rešavanjem problema poti če od nemogućnosti da vidite kumulativne parametre načela koji zapravo deluju na korisnika, ili mašinu. Mogu ćnost prikazivanja stvarne vrednosti na čela, koju trenutno zovemo Resultant Set of Policy (RSOP), je neophodna za upravljanje na čelima i rešavanje problema u vezi sa njima. Bez nje, morate da gledate svojstva svakog sajta/domena/OU, da biste videli koja načela su povezana sa kojim kontejnerima. Zatim morate da gledate ACL-ove, da biste videli da li
