Administriranje mreža
X čas
Deljenje i bezbednost datoteka
Microsoft je još u svom starom mrežnom operativnom sistemu,Windows 2000 Server, ubacio mnoge nove servise, karakteristike i funkcije f unkcije čija je osnovna namena bila da se obezbedi dobar fajl server. Windows 2000 je preuzeo solidne mogu ćnosti za deljenje fajlova od Windowsa NT, proširio ih sa distribuiranim fajl sistemom (Distributed File System - Dfs) i uveo dozvole i deljenje koje se lakše kontroliše - ne treba da pominjemo da je sve ovo bilo izvedeno na još stabilnijem i mo ćnijem operativnom sistemu. Verzija Server 2003 donosi nekoliko poboljšanja, me đu kojima je najzna čajnija činjenica da je novi podrazumevani skup dozvola mnogo sigurniji od odgovaraju ćeg u Windowsu 2000. U ovom poglavlju objasni ćemo šta je to deljenje fajlova, kako dozvole funkcionišu i kako se postavljaju. 10.1 Osnove deljenja fajla Osnovna namena bilo kog mrežnog servera jeste da omogu ći nesmetano koriš ćenje resursa na mreži koju kontroliše. U stvari, servis Server u celoj Windows NT familiji, uklju čujući Server 2003, kontroliše mogućnost servera da deli fajlove i resurse za štampanje. Ali, šta to u stvari zna či i zbog čega je toliko bitno? Sama činjenica da imate podignut server ne zna či da imate bilo šta raspoloživo za Vaše korisnike. Da bi bilo ko od njih dobio pristup resursima servera, resurse morate da u činite deljivim. Recimo da imate direktorijum na lokalnom drajvu I, pod nazivom APPS, sa tri aplikacije u poddirektorijumima, kao što je prikazano na na slici 1.
Slika 1. Poddirektorijumi u C: \APPS Kada ovaj direktorijum delite preko mreže pod nazivom APPS, klijenti na svojim kompjuterima mogu da mapiraju direktorijum I: \APPS sa novom oznakom drajva. Mapiranjem drajva postavljate virtuelni pokazivač direktno sa mesta sa kog se povezujete na mrežu. Ako za deljenje direktorijuma APPS sa servera na kiijentu koristite oznaku M: njihov drajv M: identi čan je direktorijumu na serveru I: \APPS, kao što je prikazano na slici 2
Slika 2. Drajv M:\ mapiran na I:\APPS
Administriranje mreža
10.1.1 Kreiranje deljenih direktorijuma Da biste mogli da kreirate deljeni direktorijum, morate da imate odgovaraju ća prava. To zna či da ste ili administrator ili Power User. Deljene direktorijume možete da kreirate na nekoliko na čina: možete da koristite Explorer, ako sedite za serverom, ili upravlja čku konzolu za kreiranje deljenih direktorijuma na serveru ili sa udaljene mašine. a.) Kreiranje deljenih direktorijuma iz Explorera Ako sedite za serverom, Explorer omogu ćava jednostavno i direktno kreiranje i kontrolu svih svojstava deljenih direktorijuma, Vratimo se na direktorijum I: \APPS, koji želite da u ćinite dostupnim preko mreže pod nazivom APPS. APPS. U okviru Explorera, desnim tasterom kliknite na direktorijum APPS i iz menija izaberite opciju Sharing and Security . Ovo otvara stranicu sa svojstvima direktorijuma APPS, sa već prikazanom karticom Sharing . Za deljenje ovog direktorijuma preko mreže kliknite radio dugme Share This Folder , kao što je prikazano na slici 3.
Slika 3. Svojstva deljenog direktorijuma APPS Opcija Share Name predstavlja najzna čajniji podatak na ovoj stranici. Svi korisnici mreže će za referenciranje tog direktorijuma koristiti taj naziv. Za naše potrebe, ostavi ćemo isti naziv, APPS. Polje Description omogućava unos detaljnijih opisnih informacija o ovom direktorijumu. Tehni čki posmatrano, opis nema stvarnu osnovu na serveru ili klijentu, ve ć jednostavno čini razumljivijim pretraživanje fajl sistema. Ovu informaciju korisnici mogu da vide u okviru polja Comments kada prikazuju deljene direktorijume u okviru My Netvvork Places , kao što je prikazano u prozoru Explorera sa slike 4. Kliknite OK i direktorijum će postati deljiv, tako da ga korisnici mogu koristiti preko mreže.
Slika 4. Pregled deljenih direktorijuma na mreži mreži
Administriranje mreža Kada direktorijum učinite deljivim, ponovo možete da posetite stranicu sa svojstvima, desnim klikom i biranjem opcije Sharing and Security . Iako izgleda kao i prethodna stranica sa svojstvima, sada nudi još jednu opciju, dugme New Share, što se vidi na slici 1. Ako kliknete dugme New Share, videćete okvir za dijalog sa slike 2. Odatle možete da postavite deljenje direktorijuma pod drugim nazivom i sa drugačijim dozvolama. Naravno, kada direktorijum učinite deljivim, morate da vodite ra čuna o njegovoj zaštiti. Klikom na dugme Permissions možete da definišete razli čite dozvole za deljenje direktorijuma. Slede ća karakteristika raspoloživa sa kartice Sharing jeste dugme Offline Settings (ranije poznato pod nazivom Casheing ). ). Verovatno ste čuli za keširanje ili offline fajlove i ovde je reč upravo o tome. Offline Settings je zgodna alatka koja korisnicima omogućava pristupa offline fajlovima i direktorijumima i kada se nalazite izvan kancelarije.
Slika 5. Deljenje direktorijumn direktorijumn sa drugim nazivom nazivom i drugač ijim ijim dozvolama 10.1.2 Postavljanj e ograni čenja za broj korisnika U oblasti User Limit kartice Sharing možete da konfigurišete i broj korisnika koji istovremeno mogu da koriste deljeni direktorijum. Ako su aplikacije smeštene unutar deljenog direktorijuma licencirane za 100 konkurentnih korisnika, možete da konfigurišete server tako da se održi ta granica, iako na mreži može da postoji 200 korisnika. Jednostavno, potvrdite radio dugme Allow This Number of Users i unesite odgovarajući broj (podrazumevana vrednost je 10). Kako se korisnici budu povezivali na deljeni direktorijum, broj će rasti, sve do definisane granice. Kada se korisnici izloguju ili prestanu da koriste deljeni direktorijum, broj se smanjuje. Ovakva vrsta uvo đenja licenciranja može biti zgodna za redukovanje cena koje se pla ćaju za licence. Ipak, budite pažljivi kada radite sa licencama. Sve aplikacije ne podržavaju konkurentni režim licenciranja, mada mogu da imaju licence za koriš ćenje na klijent mašinama. (Na žalost, kako je Microsoft napustio konkurentno licenciranje, sve ve ći broj kompanija prestaje da nudi ovu korisnu opciju.) Kod licenciranja klijent mašina, proizvo đač ne mora da vodi ra čuna o broju korisnika koji pristupaju aplikaciji u datom trenutku, ve ć se samo vodi ra čuna o ukupnom broju ljudi koji imaju instaliranu aplikaciju. Ova opcija za ograni čavanje broja korisnika u takvoj varijanti ne pruža nikakvu zaštitu. zaštitu. Sledeća stvar o kojoj treba voditi računa kod ograni čavanja broja konkurentnih korisnika jeste činjenica da se ograni čenje postavlja za celi direktorijum i da ne može da se menja za poddirektorijume. Ako je konkurentna granica za Application 1 postavljena na 100, a Application 2 i Application 3 ne treba da imaju ograničenje, one će ga praktično imati jer se nalaze u istom direktorijumu kao i aplikavija 1. Drugim rečima, to znači da moramo voditi ra čuna o tome da slu čajno ne postavimo ograni čenje i za aplikacije koje ne treba da ga imaju. Konačno, pre nego što postavimo ograni čenje za broj konkurentnih korisnika, moramo da uzmeno u obzir i način na koji će korisnici koristiti deljeni direktorijum. Ako se korisnici povezuju na deljeni direktorijum odmah po logovanju, a isklju čuju tek kada se izloguju, ograni čenje konkurentnog koriš ćenja može da bude zasnovano na tome ko se prvi pojavi, i ima ćete 100 ljudi u okviru ograni čenja, iako samo mali procenat stvarno koristi datu aplikaciju. S druge strane, ako se veza uspostavlja tek kada korisnik stvarno pokrene aplikaciju, ograni čavanje konkurentnog koriš ćenja dobija pravi smisao. 10.1.3 Upravljanje dozvolama Pošto smo podelili reserse sa ostatkom sveta, vreme je i da ih zaštititimo od sveta. Naravno, postoje brojni načini na koje možemo da zaštititimo server i njegove resurse od spoljašnjeg sveta - na primer, pomoću rutera i firewala - ali, veća je verovatnoća da ćemo postavljanjem dozvola za rad sa fajlovima i deljenim direktorijumima zaustaviti uljeza koji je uspeo da pre đe sve ostale barijere. Tako đe,
Administriranje mreža ovako se korisnicima koji se nalaze unutar mreže daju prava pristupa u onoj meri u kojoj treba da ih poseduju. Postoje dve vrste dozvola: dozvole za rad sa deljenim direktorijumima i dozvole za rad sa fajlovima i direktorijumima (NTFS). Pomoću ovih dozvola možemo da kontrolišemo ko ima pristup našim podacima i šta može da radi sa njima.
a.) Dozvole za rad sa deljenim direktorijumima Dozvole za rad sa deljenim direktorijumima predstavljaju najjednostavniji oblik kontrole pristupa kada radite sa Windows Serverom. Se ćate se da ove dozvole imaju efekat samo kada kompjuteru pristupate preko mreže. Dozvole Dozvole za rad sa deljenim direktorijumima direktorijumima možete da posmatrate kao neku vrstu ulaza u zgradu sa obezbe đenjem. Kada se pojavite na ulazu i pokažete svoju identifikatiju, služba obezbe đenja proverava Vaše ime i daje Vam propusnicu koja odre đuje nivo pristupa za ostatak zgrade. Ako na Vašoj propusnici stoji "Pristup prvog nivoa", mo ći ćete da uđete samo na vrata na kojima stoji oznaka Nivo 1 - nigde drugo. Kada se na đete u unutrašnjosti, pokušajte da u đete u prostoriju koja zahteva pristup sa Nivom 2 neće vam biti dozvoljeno. Definisanjem dozvola za deljene direktorijume sigurno možete da definišete nivo pristupa za sve korisnike još na samom ulazu. Ipak, treba imati na umu da ova ulazna vrata - ili nivo dozvole - ne predstavljaju celu sliku. Nivo dozvole predstavlja samo maksimalni nivo pristupa koji možete da dobijete kada dospete u unutrašnjost. Ako za deljeni direktorijum imate dozvolu za čitanje, najviše što možete da uradite kada se udaljeno povežete na taj direktorijum jeste da pročitate njegov sadržaj. S druge strane, sa dozvolom za promene, potvrda izvo đenja promena je najviše što možete da uradite. Ako želite punu kontrolu nad celim sadržajem deljenog direktorijuma, potrebna Vam je puna kontrola za deljeni direktorijum. lmajte na umu da, kada kažem da su dozvole za rad sa deljenim direktorijumom samo maksimalni nivo pristupa u okviru direktorijuma, to zna či da dalja ograničenja unutar direktorijuma možete da postignete dozvolama na nivou fajla (tj. NTFS dozvolama). Tako dobijate punu kontrolu nad direktorijumom, a pri tom se u direktorijumu mogu na ći objekti za koje zbog NTFS dozvola imate samo mogu ćnost čitanja. Definisanje dozvola za rad sa deljenim direktorijumima- Da bi se definisale dozvole za rad sa deljenim direktorijumom, koristi se upravljačka konzola. Desnim klikom selektujete deljeni direktorijum koji želite da zaštitite, birate opciju Properties, a zatim prelazite na karticu Share Permissions . Na isto mesto možete da stigete i iz Explorera, takođe desnim klikom na lokalni direktorijum, selektovanjem opcije Sharing and Security, a zatim klikom na dugme Permissions, obe metode u suštini daju isti okvir za dijalog, koji možete da vidite na slici broj 6.
Slika 6. Kartica Share Permissions Permissions U ovom okviru za dijalog prikazano je polje Group or User Names koje navodi listu korisnika i grupa dodeljenih deljenom direktorijumu; kada se selektuje korisnik ili grupa, prikazuju se i njima dodeljene dozvole. Tada možete da promenite nivo dozvola za razli čite korisnike i grupe. Na nivou deljenog direktorijuma, možete da postavite slede će tipove dozvola:
Dozvola Full Control Change Read
Administriranje mreža Nivo pristupa Dodeljena grupa može da izvršava sve funkcije nad svim fajlovima i direktorijumima u okviru deljenog direktorijuma. Dodeljena grupa može da čita i izvršava, kao i da menja i briše fajlove i direktorijume u okviru deljenog direktorijuma. Dodeljena grupa može da čita i izvršava fajlove i direktorijume, ali ne može da menja ili briše bilo šta što se nalazi u okviru deljenog direktorijuma.
Primer sa slike 6. pokazuje pristup radi čitanja za grupu Everyone. Iako na listi sa specifi čnim pravima nema naloga administratora, napomenimo da lokalni administratori uvek imaju punu kontrolu na deljenim direktorijumima na datom računaru. Ako želite da svi administratori na mreži imaju punu kontrolu nad deljenim direktorijumima, morate ih uklju čiti u grupu i dodeliti im odgovarajuća prava. Selektujte dugme Add i videćete okvir za dijalog sa slike.
Slika 7. Okvir za dijalog Select Users, Computers, or Groups Možete da unesete naziv naloga ili grupe koju želite da dodate, ili kliknite dugme Advanced , koje otvara drugi okvir za dijalog Select Users, Computers, or Groups , prikazan na slici broj 8. Ovaj okvir za dijalog omogućava pretraživanje direktorijuma.
Slika 8. Nabrajanje korisnika i grupa postižete klikom na dugme Find Now u okviru za dijalog Users, Computers, and Groups.
Slika 9. Dozvole za rad sa deljenin direktorijumom za grupu Domain Administrators postavljene su na Full Control
Sada možete da iskoristite funkcije pretraživanja u aktivnom direktorijumu sa kartice Common Queries radi sužavanja izbora, ili možete da selektujete dugme Find Now, koje nabraja sve korisnike u okviru direktorijuma. Odavde locirate grupu koju želite da dodate - na primer, grupa Domain Administrators - i kliknete OK, i ponovo OK. Ovo Vas vra ća nazad na karticu Share Permissions, gde je dodata, i već selektovana, grupa Domain Adminisrrators. Potvrdite polje Full Control, i kao što možete da vidite na slici, sva ostala polja su potvrdena automatski. Još jednom, imajte na umu da se dozvolama
Administriranje mreža za rad sa deljenim direktorijumom prvenstveno filtriraju korisnici koji fajlovima pristupaju preko mreže. Nivo dozvola postavljen za deljeni direktorijum predstavlja najviši nivo dozvola za rad sa fajlovima u direktorijumima (sećate se, primenjuje se najrestriktivniji?). Ako za deljeni direktorijum imate samo prava za čitanje, a punu kontrolu nad fajlom u okviru direktorijuma, dozvole za rad sa deljenim direktorijumom ograničavaju Vas samo na čitanje datog fajla. Razumevanje opcija Allow i Deny-Verovatno ste primetili da kada potvrdite polje Allow u okviru opcije Full Control za grupu Domain Administrators za svaku navedenu dozvolu postoji i polje Deny. Dozvole za rad sa deljenim direktorijumom predstavljaju najjednostavniji skup dozvola sa kojim ćete se sretati i zato je ovo sjajna prilika da objasnimo oznake allow i deny. Evo kako funkcionišu: • Administrator deljenog direktorijuma, fajla, korisni čkog naloga ili bilo čega drugog može da menja dozvole za rad sa tim objektom (u stvari, ovo bi bila skoro kompletna definicija uloge administratora). Postoji nekoliko vrsta dozvola - Full Control , Change ili Read u slučaju deljenog direktorijuma. Administrator može da odobri ili zabrani pristup za bilo koga, ili može da izbriše obe opcije, i Allow i Deny, ostavljajući korisnika i bez dopuštenja i bez zabrane konkretne dozvole. • Ako korisnik nema dozvolu, ni odobrenje ni zabranu, onda uopšte nema nikakav pristup objektu. • Ako je kod dozvole potvr đena opcija Allow, korisnik može da isproba dozvolu; ako je potvr đena opcija Deny, ne može. Znam da je ovo o čigledno, ali pogledajmo kako uti če na složenije primere. Objekti mogu da imaju više pridruženih dozvola. Slika broj 6. prikazuje samo jednu dozvolu Everyone/Read - ali na nekim dijalozima Security postoji više ulaza sa razli čitim dozvolama za različite pojedince ili grupe. Sećate se da se ti individualni ulazi nazivaju ulazima u listi za kontrolu pristupa ( Access Control List ) ili ACL. U tom slučaju može doći do konflikata. Na primer, pretpostavimo da želite da pristupite nekom deljenom direktorijumu i da postoji ACL za grupu Domain Users u kojoj nisu potvr đene opcije Allow i Deny (ja sam član te grupe). Pretpostavimo da postoji i ACL za grupu pod nazivom Managers (član sam i te grupe) u kom je potvr đena opcija Allow. Konačno, pretpostavimo da postoji ACL isključivo za moj nalog, i da je u okviru njega potvr đena opcija Deny. postavlja se pitanje koja će dozvola prevladati? Operativni sistem traži sve ACL ulaze relevantne za moj nalog i izra čunava ih na sledeći način: najpre se ignorišu svi ulazi bez potvr đenih opcija. U grupi Domain Users nisu potvr đene ni opcije dopuštenja ni zabrane. Zatim, traži sve potvr đene opcije Allow. Ako ih nema, onda ne dobijam pristup. Međutim, ja imam potvr đenu opciju Allow u okviru grupe Managers. Za sada, imam potvr đenu opciju Allow bez potvr đenih opcija Deny. Konačno, traže se sve potvr đene opcije Deny. Ako se prona đe makar jedna, pristup mi je zabranjen. Postoji jedna, u tre ćem ACL ulazu. Dakle: pristup dobijam samo ako imam barem jednu potvr đenu opciju Allow, bez potvr đenih opcija Deny. Znači, pristup mi je zabranjen ako nemam nijednu potvr đenu opciju Allow, ili ako je potvr đena barem jedna opcija Deny. Na primer, da bih nekome zabranio pristup nečemu, dovoljno je da dodam ACL sa njegovim imenom i da potvrdim opciju Deny. Isto tako, ako želim da samo jedna osoba ima pristup ne čemu, uklanjam sve ACL ulaze tog objekta i kreiram novi samo za tu osobu, sa potvr đenom opcijom Allow. Nemojte da potvr đujete opciju Deny u grupi Everyone nakon što ste postavili ulaz za tu osobu sa opcijom Allow - ta osoba je ujedno i član grupe Everyone, tako da će joj opcija Deny zabraniti pristup objektu. Sledi primer u kom stvari postaju opasne. Šta ako imate deljeni direktorijum koji je sa dozvolom za čitanje dodeljen grupi Domain Users , a nakon toga ste eksplicitno postavili zabranu za čitanje drugoj grupi, pod nazivom Employers? Ulogovao sam se kao korisnik koji je član obe grupe. Šta sad? Kada se povežem na taj deljeni direktorijum, proverava se lista dozvola svake grupe čiji sam član, uključujući moje korisničko ime. Ako je bilo kojoj od tih grupa, ili mom korisni čkom imenu potvr đena opcija Deny, pristup mi je zabranjen - kraj priče. Slično, ako pripadam grupi koja ima punu kontrolu, ali i grupi koja ima potvr đenu opciju Deny pored dozvole za promenama, mogu da čitam, ali ne mogu ništa da menjam. Zato budite pažljivi kada koristite opciju Deny sa dozvolama za rad sa deljenim direktorijumom. U praksi, opcija Deny može biti izuzetno korisna ako je potrebno isklju ćiti određene pojedince. Tako đe, možete da kreirate grupu posebnu grupu kojoj ćete blokirati pristup. Ipak, zabrana pristupa celoj grupi ponekad može da stvori noćnu moru za administratora. b.) Dozvole za rad sa fajlovima i direktorijumima U ranim danima umrežavanja (pre pojave NTFS fajl sistema), Microsoft je koristio samo dozvole na nivou deljenog direktorijuma. Kada se sa datim skupom dozvola povežete na deljeni direktorijum, iste dozvole važe i za sve što se nalazi u okviru tog direktorijuma. Ako ste imali 1000 korisnika koji su hteli da privatizuju podatke u okviru direktorijuma, morali ste da kreirate 1000 deljenih direktorijuma sa
Administriranje mreža specifičnim dozvolama za svaki od njih. Uvo đenjem Windowsa NT kao Microsoftove mrežne platforme, mogli ste da kreirate deljeni direktorijum za sve korisnike, i da prilagodite pristup fajlu pomo ću dozvola za rad sa fajlovima i direktorijumima - dozvolama koje su se mogle dodeljivati direktno za specifi čne fajlove i direktorijume. Ova nova karakteristika je obezbedila neograni čene mogućnosti za podešavanje zaštite podataka. Možda ste mogli čuti mišljenja da je NTFS, zajedno sa dozvolama za rad sa fajlovima i direktorijumima značajno pomogao u zaštiti samog servera od uljeza. Teorijski, to je ta čno. Pretpostavimo da ne znate korisni čko ime i lozinku administiatora; kada sednete za server, ne ćete moći da pristupite podacima sa servera. Ideja je da NTFS dopusti samo podizanje NT operativnog sistema i pregled fajlova. Ova karakteristika Vam uliva sigurnost po pitanju fizičke zaštite servera. Znate da niko ne može da se uloguje na server i da Vaše particije koriste NTFS fajl sistem. Podignite disk iz DOS-a, restartujte server i nećete moći da vidite ništa sa hard diska. Ali, to je samo pitanje vremena. Neko se setio da napiše program koji dopušta pristup NTFS particijama sa boot diska. Microsoftova Recovery konzola, objavljena u okviru Windowsa 2000, omogu ćava butovanje sa Windows 2000 Server ili Professional CD-a. U stvari, postoji sli čan paket još od ranije. Mark Russinovich i Bryce Cogswell napisali su program pod nazivom NTFSDOS, još 1996. godine, koji omogu ćava povezivanje na NTFS sistem sa boot diska. Ako niste znali, upravo je Mark otkrio da je jedina razlika izme đu koda za NT Workstation i NT Server samo jedan ulaz u Registry bazi podataka. Ovu alatku i dalje možete da pronađete, a i mnoge druge, u njihovoj kompaniji za freeware softver, Sysinternals ili sestrinskoj kompaniji Winternals (više informacija možete da prona đete na sajtu www.sysinternals.com). Zna či, ponovo se vraćamo na početak: ako želite da stvarno zaštitite server, zaklju čajte vrata. Vrste dozvola-Pre nego što fajlovima i direktorijumima postavite dozvole, morate da razumete šta koja od njih znači i kako funcionišu. Postoje dva razli čita nivoa dozvola. Da biste videli viši nivo, pre đite na bilo koji NTFS direktorijum, kliknite desnim tasterom, izaberite opciju Properties, a zatim pre đite na karticu Security. Videćete okvir za dijalog poput onog na slici.
Slika 10. Okvir za dijalog sa NTFS dozvolama najvišeg nivoa Uporedite sliku sa slikom, na kojoj je prikazan standardni okvir za dijalog sa dozvolama na nivou deljenog direktorijuma. Primećujete da za deljeni direktorijum postoje samo tri vrste dozvola - Full Control, Change i Read . Sasvim jednostavno, a prime ćujete i da u okviru dijaloga ne postoji dugme Advanced , kao na slici. Dozvole koje vidite na slici formirane su od dozvola nižeg nivoa. Na primer, dozvola višeg nivoa List Folder Contents sadrži pet dozvola nižeg nivoa - Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Read Extended Attributes i Read Permissions. Njih posmatramo kao "molekularne" i "atomske" dozvole. NTFS ima 13 atomskih dozvola. Vide ćete da ostale vrste objekata mogu da imaju manji ili ve ći broj atomskih dozvola; na primer, bilo koji objekat aktivnog direktorijuma (korisnički nalog, nalog mašine, organizaciona jedinica, objekat grupne polise i tako dalje) ima više od 35 atomskih dozvola. Svi AD objekti dele isti skup atomskih dozvola, čak i one koje su nebitne - slobodno dajte nekome pravo da kreira decu objekte za objekte grupne polise. Tabela pokazuje kako se grupisanjem atomskih dozvola kreiraju molekularne dozvole.
Administriranje mreža
Primećujete da u tabeli neke dozvole imaju dvostruke nazive, na primer Traverse Folder/Execute File ili Create Folders/Append Data . Šta to stvarno zna či? To je samo još jedna prepreka u razumevanju dozvola. NTFS dozvole se primenjuju i na direktorijume i na fajlove. Microsoft je ostavio toliko prostora za opisivanje dozvola za rad sa fajlom ili direktorijumom - preciznije, 13 bitova. Za opis nivoa pristupa fajlu i direktorijumu koristi se istih 13 bitova. Ali, ovo ne zna či da nad fajlovima i direktorijumima možete da izvodite iste operacije. Naravno, re č je o sličnim stvarima - možete da menjate dozvole za fajl ili direktorijum, da čitate atribute fajla ili direktorijuma - ali neke stvari se ipak razlikuju, i u nekoliko slučajeva dobijate operaciju nad fajlom za koju ne postoji odgovaraju ća operacija nad direktorijumom i obrnuto. Na primer, postoji dozvola za "izvršenje fajla". Ovu dozvolu koristite kada imate izvršivi fajl, kao što je winword. exe. Ako Vam zabranim dozvolu Execute File , sasvim jednostavno, ne ćete moći da pokrenete Word. Ovo je korisna dozvola i dobro je što ju je Microsoft uključio u skup dozvola. Ali, za direktorijume ne postoji ništa slično. Direktorijume ne izvršavate. Zbog toga su u Microsoftu rešili da identifikuju dozvole koje su korisne za primenu nad direktorijumima, a nemaju analognu dozvolu u slu čaju fajlova. To je dozvola Traverse Folder . Ideja je sledeća: pretpostavimo da postoji direktorijum sa nekoliko nivoa dubine, recimo pod nazivom C:\toplevel\level2\level3\level4. Zabranjen Vam je pristup u C:\toplevel , C:\toplevel\level2 i C:\toplevel\level2 \level3, ali imate punu kontrolu nad C:\toplevel\level2\level3\level4. Dakle, imali biste sva prava na nivou direktorijuma level4, ali samo ako biste uspeli da do đete tamo. Dozvola Traverse Folder omogućava zaobilazak zabrana na višim nivoima, tako da se direktno prebacite u direktorijum level4. Kao i Execute File, ovo je zaista korisna dozvola, ali nema nikakvu funkciju kada se radi sa fajlovima. Dešava se slede će: kada NTFS proučava dozvolu, uzima 13 bitova. Kada posmatra prvi bit, postavlja pitanje "Da li je ovo fajl ili direktorijum?" Ako je fajl, prvi bit interpretira kao dozvolu Execute File. Ako je direktorijum, smatra da se radi o dozvolu Traverse Folder . Kod nekih drugih dozvola je ovo izvedeno na jednostavniji na čin. Pogledajmo sada malo detaljnije i ostatak atomskih dozvola. Atomske dozvole-Počinjemo sa atomskog nivoa. Ove dozvole predstavljaju gradivne blokove za dozvole o kojima inače govorimo, kao što su Read, Modify i Full Control . Verovatno nikada ne ćete videti ove dozvole, a još je manja verovatno ća da ćete ih postavljati. Traverse Folder/Execute File Opisane su u prethodnoj sekciji. List Folder/Read Data Dozvola List Folder omogućava prikazivanje naziva fajlova i direktorijuma u okviru datog direktorijuma a dozvola Read Data omogućava prikazivanje sadržaja fajla. Ova atomska prava čine osnovu dozvole Read . Pokušajte da uočite razliku između ove dve atomske dozvole, Da li postoji stvarna razlika? Da, ali verovatno ne zadugo. Se ćate se dana kada se sve što je postojalo na disku zvalo fajlovima i direktorijumima? Sada je ta terminologija postala opšte prihva ćena. Baš kad smo se stvarno navikli na ovu terminologjju, javlja se novi pojam: objekti. Sve što se nalazi na mašini može da se nazove objektom - i fajlovi i direktorijumi. Sada se ova atomska dozvola može preina čiti u čitanje objekta. Bez obzira na to da li se radi o fajlu ili direktorijumu, ovo pravo podrazumeva prou čavanje sadržaja objekta. Read Attributes Osnovni atributi jesu svojstva fajla kao što su Read-Only, Hidden, System i Archive. Ova dozvola na atomskom nivou omogu ćava prikazivanje tih atributa.
Administriranje mreža Read Extended Attributes Određeni programi za svoje tipova fajlova uključuju i neke druge atribute. Na primer, ako je na Vašem sistemu instaliran Microsoft Word, i ako posmatrate atribute DOC fajla, prikazuju se sve vrste atributa, uklju čujući Author, Subject, Title i td. Nazivamo ih dodatnim atributima , i razlikuju se od programa do programa. Ova atomska dozvola omogu ćava prikazivanje tih atributa. Create Files/Write Data Atomska dozvola Create Files omogućava postavljanje novih fajlova u okviru direktorijuma, Dozvola Write Data omogućava prepisivanje postojećih podataka u okviru fajla. Ova atomska dozvola ne omogu ćava dodavanje podataka u postoje ći fajl. Create Folders/Append Data Dozvola Create Folders omogućava kreiranje direktorijuma u okviru postojećeg direktorijuma. Dozvola Append Data omogućava dodavanje podataka na kraj postoje ćeg fajla, ali ne i promenu postoje ćih podataka u fajfu. Write Attributes Ova dozvola omogu ćava izmenu osnovnih atributa fajla. Write Extended Attributes Ova dozvola omogućava izmenu dodatnih atributa fajla. Delete Subfolders and Files Ova atomska dozvola je pomalo ćudna. Slušajte ovo: pomo ću ove dozvole možete da brišete poddirektorijume i fajlove, č ak i ako nemate dozvolu Delete za taj poddirektorijum ili fajl. Kako je to moguće? Ako pročitate objašnjenje za slede ću atomsku dozvolu - Delete - vide ćete da Vam ta dozvola omogu ćava brisanje fajla ili direktorijuma. U čemu je onda razlika? Razmišljajte na sledeći način: ako se nalazite na odre đenom fajlu ili direktorijumu, Delete omogućava njegovo brisanje. Ali, Sta ako želite da izbrišete sadržaj direktorijuma, Ova atomska dozvola dopušta upravo tu operaciju. Razlika između ove dve operadje je prilično nejasna. Jedna omogu ćava brisanje određenog objekta, a druga omogućava brisanje njegovog sadržaja. Ako mi je dato pravo da brišem sadržaj direktorijuma, ne želim da izgubim to pravo samo zato što u okviru tog direktorijuma postoji neki objekat za koji nemam takvu dozvolu. Ipak je (o moj direktorijum i valjda mogu da radim sa njim šta god ho ću. Delete Ovog puta je sve jednostavno; dozvola Delete omogu ćava brisanje objekta. Ali, da li je sve tako jednostavno? Ako imate samo atomsku dozvolu za brisanje direktorijuma, ali ne i "bratsku" atomsku dozvolu za brisanje njegovih poddirektorijuma i fajlova, i uz to nemate pravo pristupa jednom fajlu u okviru tog direktorijuma, da li možete da brišete direktorijum? Ne. Ne ćete moći da izbrišete direktorijum sve dok ne bude prazan, što zna či da je neophpodno obrisati fajl. Fajl ne možete da izbrišete bez prava Delete za taj fajl, ili bez prava Delete Subfolders and Files za roditeljski direktorijum tog fajla. Read Permissions Atomska dozvola Read Permissions omogu ćava prikazivanje svih NTFS dozvola dodeljenih fajlu ili direktorijumu, ali bez mogućnosti za promenu bilo čega. Change Permissions Ova atomska dozvola omogu ćava promenu dozvola koje su dodeljene fajlu ili direktorijumu. Take Ownership Ova atomska dozvola omogu ćava preuzimanje vlasništva nad fajlom. Kada postanete vlasnik, nasleđujete prava za promenu dozvola za rad sa fajlom. Podrazumeva se da administratori uvek mogu da preuzmu vlasništvo nad fajlom ili direktorijumom. Molekularne dozvole - Potpuno razumevanje uloge atomskih dozvola i tabele 11.1, u kojoj je prikazano kako se od atomskih kreiraju molekularne dozvole, daje sjajan uvod u to šta su molekulane dozvole i kako one funkcionišu. Ova sekcija će pokušati da prikaže atomsku strukturu dozvola u boljem svetlu, ali u svakom slu čaju, ne bi bilo loše da se povremeno vratite na tabelu dok budete čitali objašnjenja za ove dozvole. Tako ćete imati solidnu osnovu za kasnije upravljanje dozvolama. Read Dozvola Read predstavlja najosnovnije pravo pristupa. Omogu ćava prikazivanje sadržaja, dozvola i atributa dodeljenih objektu. Ako je re č o fajlu, možete da prikažete fajl, što uklju čuje mogućnost pokretanja fajla, ako se radi o izvršivom programskom fajlu. Ako je reč o direktorijumu, dozvola Read omogućava prikazivanje sadržaja direktorijuma. Sada dolazi do izražaja pomalo nezgodna strana čitanja direktorijuma. Recimo da imate direktorijum za koji Vam je dodeljena dozvola Read. U okviru direktorijuma postoji poddirektorijum kom nemate pravo pristupa, uklju čujući i pravo pristupa radi čitanja. Logički posmatrano, ovo bi zna čilo da ne možete ni da vidite ovaj poddirektorijum. Me đutim, morate da uzmete u obzir, pre razmatranja atributa za poddirektorijum, da se radi o integralnom delu originalnog direktorijuma. Pošto čitate sadržaj prvog direktorijuma, možete da vidite da poddirektorijum postoji. Tek kada pokušate da promenite taj poddirektorijum, i samo tada, dobijate poruku Access Denied . Write Dozvola Write, iako zvuči jednostavno, ima malu za čkoljicu. Za početak, dozvola Write za direktorijum omogućava kreiranje novog poddirektorijuma u okviru datog direktorijuma. Ali, šta ako se radi o dozvoli Write za fajl? Da li to zna či da možete da menjate fajl? Šta se dešava kada menjate fajl? Da bi se fajl izmenio, morate imati mogućnost otvaranja ili čitanja fajla. Dakle, za promenu fajla, pored
Administriranje mreža dozvole Write morate imati i dozvolu Read . Postoji jedan mali prolaz: možete jednostavno da pridodate nove podatke u fajl, bez potrebe za otvaranjem fajla - dozvola Write funkcioniše i na taj na čin. Read and Exccute Dozvola Read and Execute je identična dozvoli Read, ali dodaje atomsku privilegiju prolaska do direktorijuma. Modify Prosto rečeno, dozvola Modify predstavlja kombinaciju dozvola Read and Execute i Write, ali omogućava i dodatni luksuz dozvole Delete. I kada imate dozvolu da menjate fajl, nikada ne ćete moći da ga izbrišete. Primetićete da se, ako prilikom biranja dozvola za rad sa fajlom ili direktorijumom najpre selektujete samo dozvolu Modify, dozvole Read, Read and Execute i Write selektuju automatski. Full Control Dozvola Full Control predstavlja kombinaciju prethodno pominjanih dozvola, sa mogućnošću da menjate dozvole i preuzimate vlasništvo nad objektom. Tako đe, dozvola Full Control omogućava brisanje poddirektorijuma i fajlova, čak i ako ne postoji specifična dozvola koja Vam dopušta tu operaciju. List Folder Contents Dozvola List Folder Contents primenjuje sli čna prava kao i dozvola Read and Execute, ali važi samo u slu čaju direktorijuma. Pomoću dozvole List Folder Contents možete da pregledate sadržaj direktorijuma. Značajno je pomenuti da je jedino dozvola List Folder Contents nasledena od direktorijuma i prikazuje se samo kada prikazujete svojstva zaštite direktorijuma. Takođe, pomoću ove dozvole možete da vidite da li postoje fajlovi u okviru direktorijuma - sli čno dozvoli Read ali to ne znači da dobijate dozvolu Read za te fajlove. Pore đenja radi, ako za direktorijum dodelite dozvolu Read and Exccute, imate iste mogu ćnosti za prikaz direktorijuma i njihovih sadržaja, ali dobijate i prava Read and Execute za fajlove u okviru tih direktorijuma. Special Permissions je jednostavno prilagođena grupa atomskih prava koju kreirate kada neka od standardnih atomskih dozvola nije prikladna za datu situaciju. Iako možda izgleda da je karakteristika Special Permissions novina u Serveru 2003, ona je postojala i u Windowsu 2000. Razlika je u tome što je bila vidljiva kao molekularna dozvola. U stvari, u Win2K nije postojao nikakav na čin da se utvrdi da li direktorijum ima podešene atomske dozvole ukoliko ne pre đete na karticu Advanced stranice sa svojstvima Securities. U Serveru 2003 možete da utvrdite da li je ACL ulaz bio modifikovan jednostavno proverom opcija Allow/Deny koje se koriste za Special Permissions. Ako su polja za potvrdu zasen čena, onda klikom na karticu Advanced možete da prikažete i editujete te modifikacije. Nasleđene dozvole - Alatka izdata u okviru Windowsa 2000 predstavlja karakteristiku nasleđ ivanja dozvola (inherited permissions). Do sada ste se verovatno ve ć navikli na ovu sjajnu karakteristiku, ali ipak ću objasniti o čemu je reč, zbog korisnika koji nisu čuli za nju ili možda tek sada prelaze sa NT4 na Windows Server 2003. U Windowsu NT, kada želite da postavite dozvole za sve fajlove i direktorijume u celom stablu direktorijuma, morali ste da potvrdite polje za primenu dozvola od root direktorijuma pa na dole. U tom slu čaju, server bukvalno prolazi kroz svaki fajl i postavlja date dozvole - ovo je zaista mukotrpan posao. Sada nastupa nasle đivanje. Ako su za fajl ili direktorijum postavljene nasleđene dozvole, on ustvari nema sopstvene dozvole; jednostavno koristi dozvole roditeljskog direktorijuma. Ako i roditeljski direktorijum koristi nasleđene dozvole, nastavljate da se krećete kroz lanac direktorijuma sve dok ne dođete do direktorijuma koji ima sopstvene dozvole. Zna či, jedino root direktorijum ne može da ima nasle đene dozvole. Na primer, uzmimo direktorijum pod nazivom APPS, sa tri poddirektorijuma i fajlovima. Svi poddirektorijumi i fajlovi imaju nasleđene dozvole. Ako za direktorijum APPS postavim dozvolu za čitanje i izvršavanje u okviru grupe Users, svi poddirektorijumi i fajlovi automatski preslikavaju nove dozvole. Šta ako želim da podesim dozvole za Application 1 tako da korisnici mogu i da upisuju podatke? Desnim tasterom kliknem na Application 1 , selektujem opciju Properties, a zatim kliknem na karticu Security kako bi se prikazale dozvole direktorijuma. Ako su sva polja za potvrdu zasenčena, osim onih pored opcije Special Permissions, znači da su dozvole ovog direktorijuma nasle đene od njegovog roditelja. Odavde treba selektovati karticu Advanced , kako bi se prikazala opcija Allow Inheritable Permissions from Parent to Propagate to This Object and All Child Objects. Ova opcija pokazuje da li objekat nasle đuje dozvole i njenom potvrdom ili brisanjem odlučujete da li će se nasleđivanje primenih. Ako ne želite da koristite nasleđene dozvole, jednostavno uklonite potvrdu iz polja u okviru dijaloga sa slike.
Administriranje mreža
Slika11. Kada uklanjate nasleđ ene dozvole dobijate poruku upozorenja Nakon ove akcije, objekat više ne će koristiti nasleđene dozvole, ve ć dozvole koje mu dodelite. Problem je u tome što on još uvek nema nikakve dozvole. Na samom po četku nudi Vam se izbor polazne osnove. Da li želite da kao osnovu koristite originalne roditeljske dozvole, ili želite da krenete od po četka, bez ikakvih dozvola? Ako ve ć imate iskustva u podešavanju dozvola, verovatno ćete se odlučiti za prvu opciju i podesiti postojeće dozvole. Dakle, izabrao bih kopiranje originalnih dozvola i samo na vrhu dodao dozvolu za upis. Naravno, ako ve ć imate kombinaciju nasleđenih dozvola sa dodatnim dozvolama koje su primenjene direkmo na direktorijum, možete da izaberete drugu opciju, kojom uklanjate nasleđene dozvole, ali zadržavate dozvole koje su se direktno primenjivale na direktorijum. Obuhvatio sam uklanjanje nasleđenih dozvola, ali šta ako u nekom trenutku rešim da se sve resetuje i vrati nazad na dozvole postavljene na nivou direktorijuma APPS ? Jednostavno. Ponovo potvrdim polje Allow Inheritable Permissions from Parent to Propagate to This Object and All Child Objects. Ovo zadržava sve eksplicitno definisane dozvole za objekte i uklju čuje nasleđene dozvole od roditeljskog direktorijuma. U Windowsu 2000, ovakvom akcijom bi se uklonile sve postavljene dozvole i primenile samo nasle đene dozvole. Nova karaktcristika u Serveru 2003 omogu ćava uočavanje tačaka od kojih po činju specifičnosti. Na slici možete da vidite da se specifi čne dozvole, ili ACL ulazi, javljaju u koloni Inherited From, koja prikazuje ove dragocene informacije.
Slika 12. U koloni Inherited From možete da vidiie da li su dozvole nasle đ ene ili ne, na osnovu direktorijuma iz kog dozvole poti č u
Administriranje mreža
Slika 13. Definisane dozvole možete da primenjujete na razne nač ine u donjem delu stabla Osim toga, na osnovu informacija iz kolone Apply To, možete da vidite da li će se ACL ulazi primenjivati i na poddirektorijume. Takođe, kao što se vidi sa slike 13, možete da selektujete ulaz i izaberete Edit, kako biste nazna čili gde se u okviru stabla data dozvola primenjuje.
10.2 Objekti aktivnog direktorijuma i nasleđivanje Iako sam rekli da pomo ću karakterisfike Apply Onto možete da definišete decu objekte za koje će važiti definisane dozvole, u okruženju aktivnog direktorijuma stvari stoje nešto druga čije. Iako će se dozvole koje ste kreirali primenjivati samo na podskup fajlova, direktorijuma i poddirektorijuma koje izaberete u okviru funkcionalnosti Apply Onto, svaki dete objekat dobija kopiju ACL ulaza, bez obzira na to da li ste izabrali da se dozvole primenjuju ili ne, a stvarno se implementira samo ako ste odlu čili da primenite dozvole. 10.2.1 Opcije Deny ili Allow kod nasleđivanja Kada se nasleđene dozvole pomešaju sa ve ć postojećim, stvari mogu postati pomalo čudne. Sećate se da sam rekao da opcija Deny uvek pobe đuje, i da ako postoji barem jedan Deny ulaz, ne možete da pristupite objektu, bez obzira na to da li postoji eksplicitna potvrda pomoću opcije Allow Ovo nije sasvim tačno kod objekata koji lmaju i nasle đene dozvole od svog roditelja. Ako objekat ima eksplicitnu potvrdu pomoću opcije Allow, onda i pored Deny dozvole nasle đene od roditelja, opcija Allow pobe đuje. Jednostavno, zar ne? Postoji jedna interesantna stvar kod nasle đivanja koju treba pomenuti. Imajte na umu da ovi ACL ulazi mogu biti prili čno složeni, sa mnoštvom razli čitih dozvola. Kada objekat prima nasleđene dozvole od više roditelja, preovladavaju dozvole nasle đene od najbližeg roditelja. Da li ovo zvuči komplikovano? Ne brinite, Microsoft je pomalo olakšao uvtr đivanje krajnjeg rezultata primenjenih dozvola uvođenjem alatke pod nazivom Effective Permissions, koju ću uskoro detaljnije objasniti. .
10.2.2 Dodela dozvola za rad sa fajlovima i direktorijumima Kada jednom razumete šta zna če različite dozvole, primena na konkretne fajlove i direktorijume postaje sasvim jednostavna. Krenite iz Explorera, Pronađite fajl ili direktorijum kome želite da dodelite prava, kliknite desnim tasterom, izaberite opciju Properties, a zatim predite na karticu Security. Pogledajte sliku.
Administriranje mreža
Slika 14. Kartica Security
Slika 15. Select Users, Computers, or Groups
Gornji prozor prikazuje različite grupe i korisnike kojima možete da dodelite dozvole, dok se u donjem prozoru prikazuju dozvole koje su dodeljene izabranom korisniku ili grupi. Po činjem od direktorijuma APPS. Idealno, pošto direktorijum sadrži aplikacije, svi korisnici treba da imaju dozvolu Read and Execute, ali ne i mogu ćnost promene, dodavanja ili brisanja bilo čega u okviru direktorijuma. Takođe, želim da administratori imaju punu kontrolu, kako bi mogli da održavaju podatke, a postoji i grupa menadžera baze podataka kojima treba dodeliti i dozvolu Modify. Kako se podrazumeva da ve ć posloje ulazi za grupe Users i Administrators, po čeću dodavanjem grupe Database Managers i dodeliću joj dozvolu Modify. Klikom na dugme Add prikazuje se okvir za dijalog Select Users, Computers, or Groups , kao što je prikazano na slici 15. Možete da unesete naziv korisnika ili grupe, ili selektujte dugme Advanced i kliknite na Find Now, ili ručno postavite upit za nabrajanje svih naloga u domenu. Pošto znam naziv grupe koju želim da dodam (Database Managers), jednostavno unosim taj naziv, a zatim potvr đujem polje Check Names. Ovim se unet ulaz poredi sa nazivima u okviru liste. Kada naziv postane podvu čen, kliknite OK za povratak na karticu Security u okviru stranice sa svojstvima direktorijuma APPS. Sada je dodata grupa Database Managers, i okvir za dijalog treba da izgleda poput onog sa slike.
Slika 16. Dodata je grupa Database Managers
Slika 17. Nove dozvole
Nakon dodavanja grupe Database Managers, treba da izvršimo dodelu odgovaraju ćih dozvola za tu grupu, a rekli smo da će to biti dozvola Modify. Selektujte grupu Database Managers i potvrdite polje Modify u koloni Allow. Kartica Security sada treba da izgleda kao na slici Nove dozvole. Kako se
Administriranje mreža podrazumeva da su grupe Users i Administrators dodate prilikom kreiranja deljenog direktorijuma, pogledajmo unapred primenjene dozvole, kako bismo videli da li su potrebna neka podešavanja. Kliknite na Users ACL ulaz i vide ćete okvir za dijalog sa slike.
Slika 18. Unapred postavljene dozvole za grupu Users Slika 19. Advanced Security Settings for APPS Na slici 18. možete da vidite da su grupi Users unapred dodeljene neke dozvole, uklju čujući Read and Execute, List Folder Contents i Read . Takođe, možete da zaključite da su nasle đene, jer su polja Alow zasenčena. Međutim, sećate se da zasen čena polja pored opcije Special Permissions ne zna če da su dozvole nasleđene (mada mogu da budu). U ovom slu čaju, polja su zasen čena samo zbog toga što postoji više dozvola; kliknite na karticu Advanced i vide ćete detaljnije informacije. Ako pogledate sliku 19., primetićete mnogo složeniju verziju ulaza sa dozvolama od one na slici 18 . Nisam sasvim siguran zašto se Microsoft odlučio za ovakav raspored kada se radi o dozvolama, umesto da se sve prikaže odjednom. Na kraju krajeva, ne pri čamo o "Ratu i miru". Imajte na umu da je prvi ekran samo opšti pregled, i da je za prikazivanje više detalja potrebno izvesti još neki korak. Polje Permission Entries omogućava selektovanje grupa i korisnika, sa opisom njihovih prava. Isto važi i za polje Allow Inheritable Permissions from Parent to Propagate to This Object , i u ovo polje možete kako da dodajete nove ulaze tako i da uklanjate postoje će. Dakle, šta je ovde druga čije? U ovom prostoru imate malo više detalja. Kao prvo, možete da vidite da je jedan ulaz (ACL) sa prethodnog ekrana ovde prikazan sa dva ili više detaljnijih ulaza, tako da ta čno možete da vidite koja su prava nasle đena i odakle, ili da li se ulazi specijalno kreiraju za ovaj resurs. Na primer, prime ćujete da grupa Users ima dva ulaza, i da su oba nasle đena od sistema. Tako đe, možete da vidite gde se ove dozvole prenose, pra ćenjem kolone Apply To. Naravno, ovi detalji su izuzetno korisni kod otklanjanja grešaka, jer dobijate sve potrebne informacije na jednom mestu. Biranjem ulaza i klikom na dugme Edit dobijate mogućnost za podešavanje dodatnih dozvola na atomskom nivou. Ipak, budite pažljivi. Sa tolikim brojem dozvola koje dolaze sa raznih mesta (a još uvek nismo uzeli u obzir dozvole za rad sa deljenim direktorijumom!), otklanjanje eventualnih grešaka može biti zaista mukotrpno. Pokušajte da pojednostavite resurse i korisnike u najve ćoj mogućoj meri, prema prostoru na disku, grupi ili mašini, i mnogo ćete lakše regulisati dodelu dozvola. Da biste proverili da li grupa Users ima odgovaraju ća prava pristupa u okviru direktorijuma APPS, selektujte ulaz Users sa dozvolom Read and Execute, a zatim kliknite dugme Edit . Dobijate opcije sa slike 20.
Administriranje mreža
Slika 20. Prikazivanje i editovanje atomskih dozvola pruža najdetnljnije informacije
Slika 21. Editovanje opcije Special Permissions za grupe Users
Ove dozvole rastavljaju dozvolu Read and Execute na manje delove. Ako želite da korisnici imaju sve prednosti dozvole Read and Execute, ali ne želite da im dopustite prikazivanje, jednostavno izbrišite potvrdu iz polja Read Permissions. Naravno, i dalje imate na raspolaganju 13 atomskih dozvola. Možda je pomalo neobično to što nije kreiran prozor sa svim dozvolama, jer u NTFS-u oduvek postoji 13 atomskih dozvola. Međutim, dozvole koje su potvr đene na slici 20. predstavljaju sve primenljive opcije za dozvolu Read and Execute koje važe za grupu Users. To je dozvola Read and Execute. Sastoji se iz ovih pet atomskih dozvola. Smatrajte to pravilom. Ali, zar grupa Users nije imala dva ulaza? Podrazumevane postavke u Serveru 2003 zasigurno su mnogo interesantnije (i bezbednije) od onih u Win2K. (Sećate se, u Win2K, grupa Everyone je imala dozvolu Full Conrrol za sve!) Proučimo atomske dozvole drugog ulaza grupe Users. Ako ste i dalje na okviru za dijalog sa slike 20, kliknite Cancel - ne morate da modifikujete ulaz Read and Execute jer je to upravo ono što želite za direktorijum APPS. Vratite se na prozor 19., kliknite na drugi ulaz grupe Users, a zatim kliknite Edit. Vide ćete okvir za dijalog sa slike 21. Podrazumevane dozvole grupe Users uklju čuju mogućnost kreiranja fajlova i direktorijuma na disku, kao i mogućnost upisa i dodavanja podataka u fajlove u okviru diska - naravno, osim ako ne želite da se striktno zabrani mogu ćnost korišćenja bilo kog resursa sa diska. Dakle, ovde imate skup dozvola koje se nalaze negde izme đu dve prethodno opisane grupe molekularnih dozvola. Prvi skup dozvola za grupu Users bio je sastavljen od Read and Execute molekularnih dozvola. Ako dodate ova dva skupa atomskih dozvola, dobijate molekularni skup dozvola koji se nalazi izme đu Read and Execute i Modify. U celini, dozvola Modify uključuje i dozvole Write Attributes, Write Extended Attributes i Delete za fajlove i direktorijume. Ako želite da zabranite ove dve dodatne atomske dozvole za grupu Users, bilo gde na disku, jednostavno možete da promenite postavke na stranici sa svojstvima diska, tako što ćete ukloniti ovaj ulaz za grupu Users. Međutim, ako se na disku nalaze direktorijumi u kojima želite da zadržite ove dozvole, možete da promenite svojstva specifi čnih direktorijuma u kojima želite da dozvole budu ukinute, Kako je ovaj direktorijum namenjen isključivo za smeštanje aplikacija, i znamo da članovi grupe Users ne treba da kreiraju ništa novo, na raspolaganju su Vam dve opcije. Možete da isklju čite nasleđivanje za ovaj direktorijum i da sami definišete dozvole, ili jednostavno možete da zabranite ove dve dozvole za grupu Users u okviru direktorijuma. Zbog par stvari, lakše je iskoristiti funkciju Deny. Kao prvo, ne morate da vodite računa o nasleđenim dozvolama na ostatku diska, jer možda želite da zadržite neke od njih - kada uklanjate nasleđivanje, možete da iskopirate postoje će nasleđene dozvole i promenite ih po želji. Kao drugo, uklanjanjem nasleđivanja gubite mogućnost postavljanja tih dozvola na globalnom nivou diska, što
Administriranje mreža je bila prilično zgodna karakteristika. Kao što sam ve ć pomenuo, dodelu dozvola možete da pojednostavite definisanjem stvari na globalnom nivou, jer tako štedite i vreme i energiju. Da biste grupi Users zabranili da kreira fajiove ili direktorijum ili da upisuje ili dodaje podatke u okviru direktorijuma APPS, jednostavno potvrdite polje Deny kod ulaza obe atomske dozvole i kliknite OK.
10.2.3 Konflikti među dozvolama Dozvole možete da dodeljujete i fajlovima i direktorijumima. Baš kao što može do ći do konflikata između dozvola za rad sa deljenim direktorijumom i dozvola na nivou fajla i direktorijuma, tako može doći i do konflikata između dozvola za rad sa fajlovima i dozvola za rad sa direktorijumima. Kod konflikata sa deljenim direktorijumom, pobe đuju dozvole na nivou deljenog direktorijuma; kod konflikata dozvola između fajlova i direktorijuma, pobeđuje fajl. Ako ste za direktorijum dodelili samo pravo za čitanje, a za fajl u okviru tog direktorijuma postavijate prava za izmenu fajla, i dalje ćete moći da menjate fajl. Evo interesantne misterije u vezi dozvola, koja se pojavila tek odnedavno. Recimo da imate pravo da čitate i izvršavate fajl i direktorijum u kom se fajl nalazi. Otvarate fajl i modifikujete ga. Zvu či jednostavno? Otkrio sam da neke aplikacije u stvari brišu originalni fajl kada snimate fajl sa modifikacijama, Čak i kada se naziv fajla ne menja. Imate dozvolu da otvorite fajl, da ga pro čitate i izvedete izmene, ali kada pokušate da ga snimite, dobijate poruku o zabrani pristupa. Čudno, zar ne? Ako želite da isprobate ovo o čemu govorim, pokrenite Microsoft Word. Znam da se ova aplikacija ponaša tako, a možda je to slu čaj i sa nekim drugim aplikacijama. 10.2.4 Višestruke dozvole Evo novog problema. Grupi Administrators dali ste punu kontrolu nad direktorijumom APPS, a grupa Everyone ima samo dozvolu za čitanje i izvršavanje. Ovde ponovo dolazi do konflikta izme đu dozvola. Grupi Evervone pripadaju korisnici, zar ne? I administratori su korisnici. Hm, kako ovo funkcioniše? U slučaju višestrukih dozvola, prevlada će najmanje restriktivna dozvola, sve dok se ne uzmu u obzir i dozvole deljenog direktorijuma. Recimo da imate administratora Boba. Bob je član grupe Users, koja ima samo prava za čitanje fajla. Bob je član i grupe Administrators, koja ima punu kontrolu. U ovom slučaju, Bob dobija punu kontrolu, jer je to manje restriktivna dozvola. 10.2.5 Zabrana dozvola O zabranama dozvola je ve ć bilo reći kod dozvola za rad sa deljenim direktorijumima, i ukratko je pomenut efekat nasleđenih dozvola u odnosu na opcije Allow i Deny. Isto važi i za dozvole za rad sa fajlom i direktorijumima, ali na malo složeniji način, jer je uključen veći broj opcija za zaštitu. Uzmimo za primer tabelu u kojoj se pamte podaci o nagradnim bonusima u čenika u projektu. Želite da svi vide sadržaj fajla, ali samo menadžeri imaju pravo da menjaju fajl. Ima smisla postavih slede ća prava: grupa Employees ima prava za čitanje, a grupa Managers punu kontrolu. Zamislite sada da me đu njima postoji neko ko je član obe grupe. Zbog nekih stvari uklju čen je u grupu Managers, mada se za ve ćinu svojih aktivnosti tretira kao član grupe Employees. Ako se dozvole tretiraju na malo čas pomenuh na čin, ova osoba dobija punu kontrolu nad datim fajlom. Zbog toga ste odlu čili da za sve članove grupe Employers zabranite punu kontrolu nad fajlom. Sta sad? Jednostavno, jer prosto zabranite suvišne dozvole. Treba samo pronaći koje dozvole želite da zabranite članovima grupe Employers i da ih potvrdite u koloni Deny; ovako možete biti sigurni da će članovi grupe Employers imati samo dozvolu za čitanje. Dakle, iz Advanced interfejsa (videti sliku 22.), desnim tasterom kliknite na fajl i izaberite opciju Properties. Kliknite na karticu Security, a zatim Advanced. Se ćate se ovog interfejsa sa slike Advanced security setings? Ovde selektujte ulaz za grupu Employees i kliknite Edit, tako da dobijete mogu ćnost za modifikovanje atomskih dozvola datog fajla. Potvrdite kolonu Deny za ulaze sa slike.
Administriranje mreža
Slika 22. Zabrana dozvola
Slika 23. Napredne dozvole za direktorijum APPS
Potrebno je potvrditi polja Deny za sve individualne atribute. Me đutim, ako potvrdite polje Deny pored Full Control, automatski se selektuje sve u koloni Deny, jer Full Control uključuje sve dozvole. U ovom primeru, želite da dopustite dozvolu Read, a zabranite dozvolu Write. Kada kiiknete OK, uzimaju se u obzir nove postavke, i dobijate upozorenje koje kaže da će dozvole sa potvrdom u polju Deny prepisati sve dozvole sa potvrdom u polju Allow. Sada, u slu čaju višestrukih dozvola, Deny ima ve ću prednost, i mada je korisnik član obe grupe, i Managers i Employees, bi će sprečen opcijom Deny.
10.2.6 Efektivne dozvole Šta je krajnji rezultat svih ovih dozvola, ako su neke od njih nasle đene, neke nisu, neke se primenjuju na korisnike, druge pak na grupe? Sta će ko moći da uradi i nad kojim fajlovima? Do sada ste mogli da vidite da može do ći do konflikta između dozvola i da morate da intervenišete da bi se odredilo koja će dozvola prevladati. Kako da utvrdite krajnji rezultatovih dozvola za bilo koju grupu, korisnika ili objekat? Microsoft je u okviru Servera 2003 objavio novu alatku koja omogu ćava određivanje efektivnih dozvola za bilo kog korisnika, grupu ili dati objekat. Pogledajte okvir za dijalog sa slike. Ponovo dobijate obrazac sa svojstvima direktorijuma APPS, kog ste do sada verovatno odli čno upoznali. Sećate se da grupa Administrators ima dozvolu Full Control, grupa Database Managers ima dozvolu Modify, a grupa Users ima dozvolu Read and Execute? Da biste videli kako ove dozvole funkcionišu, kliknite na karticu Effective Permissions i videćete okvir za dijalog sa slike 24. Jednostavno je. Samo selektujete korisnika ili grupu čije dozvole želite da vidite, na osnovu dozvola globalnih i lokalnih grupa, lokalnih dozvola i lokalnih privilegija.
Slika 24. Kartica Effective Permissions
Administriranje mreža Naravno, morate da posedujete odgovaraju ća prava da biste mogli da pregledate dozvole bilo kog resursa, a postoje i neka ograni čenja sa stanovišta faktora koji se koriste za utvr đivanje efektivnih dozvola. Primera radi, možda ne ćete moći da pregledate dozvole svakog korisnika ili grupe. Posmatrajmo grupu lokalnih korisnika na serveru pod nazivom Storage, na kom se nalazi deljeni direktorijum APPS. Pošto server pripada domenu aktivnog direktorijuma, globalna grupa pod nazivom Domain Users automatski je uključena u lokalnu grupu Users. Efekhvne dozvole grupe lokainih korisnika možete da dobijete selektovanjem lokalne lokacije pod nazivom Storage (umesto direktorijuma) nakon klika na dugme Select na ekranu sa slike iznad. Rezultati su prikazani na slici slede ćoj, i predstavljaju izračunavanje efektivnih dozvola za dva ulaza grupe Users sa slike 23. Kako je grupa Domain Users ugnjež đena u grupu lokalnih korisnika, korisnici domena imaju ista prava za direktorijum, izuzimaju ći postojanje bilo kog drugog skupa dozvola koji bi došao u konflikt sa ovim dozvolama. Ali, kada pomo ću ove alatke pokušavate da utvrdite efektivne dozvole za grupu Domain Users, dobijate prazan okvir jer ova alatka ne može da izra čuna efektivne dozvole za grupe domena koje su ugnježdene u lokalne grupe. Evo još nekih ograni čenja: • Ova alatka ne uzima u obzir dozvole za rad sa deljenim direktorijumom. • Nije uzeto u obzir koliko SID-a korisnik ima, u zavisnosti od toga kako se loguje. Primera radi, ova alatka ne uzima u obzir Netvvork SID, Terminal Service SID i mnoge druge. Ovo značajno ograničava efikasnost alatke, ali i dalje je možete koristiti za izra čunavanje više ACL ulaza nekog korisnika ili grupe, kao što je prikazano u prethodnom primeru.
Slika 25. Kartica Effective Permissions za grupu Users 10.3 Obezbeđivanje fajl sistema Windows 2003 sve svoje podatke smešta u fajl sistem. Svi korisni čki podaci, podaci aplikacije i fajlovi operativnog sistema nalaze se u fajl sistemu. Da bi Windows 2003 bio bezbedan, ovi fajlovi se moraju obezbediti. Spoljašnje pretnje mreži, slu čajno brisanje fajl sistema ili pristup neke od neovlaš ćenih internih grupa mogu rezultirati gubitkom podataka ili ugrožavanjem poverljivih podataka. Windows 2003 podržava mnoge mehanizme za obezbeđivanje fajl sistema. Blokiranje fajl sistema preko NTFS-a - Još u Windowsu NT 3.1, Microsoft je uveo NT File System (NTFS). NTFS je predstavljao veliku prekretnicu u odnosu na FAT fajl sistem, u mnogim oblastima. Podržavanje većih diskova, podržavanje nestandardnih veli čina bloka za dodeljivanje memorije i mogućnost definisanja bezbednosti na nivou fajla ili direktorijuma - sve su to velike prednosti NTFS-a u odnosu na FAT. Mogu ćnost obezbeđivanja pojedinačnih fajlova i direktorijuma preko NTFS dozvola predstavlja osnovu Windowsa 2003 kao bezbednog fajl servera. Windows 2003 je napravio veliki korak napred u oblasti standardno podešenih sistemskih NTFS dozvola u fajl sistemu. Windows više ne podrazumeva postojanje grupe Everyone kojoj su se mogle dodeliti dozvole za sve resurse. Umesto toga, on podrazumeva dozvoljavanje mogu ćnosti identifikovanim korisnicima da čitaju i prelistavaju fajlove i direktorijume. Po standardnom podešavanju, Windows 2003 će dozvoliti identifikovanim korisnicima da premoste poprečno proveravanje. To funkcioniše "ruku pod ruku" sa nadogra đivanjem klijent operativnih sistema kao što su Windows 2000 Professional i Windows XP Professional koji sada dozvoljavaju mapiranje diskova na ta čki ispod pristupne tačke. Mada deljenje može da postoji u obliku ÐÐServerÐusers$ sa direktorijumima odeljenja i stotinama korisni čkih direktorijuma ispod njih, korisnik
Administriranje mreža sada može da bude mapiran u sopstvenom direktorijumu bez obaveze da eksplicitno deli korisni čki direktorijum i bez obaveze da garantuje korisni čka prava bilo čemu osim sopstvenom direktorijumu. Mada korisnik možda ne će mo ći da čita ili prelistava direktorijume odeljenja, to i nije neophodno ako je jedini cilj omogućiti korisniku pristup sopstvenom osnovnom direktorijumu. To će u velikoj meri pojednostaviti primenu NTFS dozvola. Blokiranje grupnog članstva Jedan od najbitnijih na čina za obezbeđivanje mreže je da se korisnicima ne garantuje članstvo u grupama koje bi im obezbedile više prava nego što im je zaista neophodno. Sli čno tome, ne sme se upasti u zamku proglašavanja svih administratora domena administratorima samo da biste bili sigurni da oni imaju "dovoljno" prava za izvršavanje dnevnih obaveza. Windows 2003 je nastavio da pravi velike korake unapred kada se došlo do dodeljivanja prava administratorima. Oblast grupnog članstva, koju naj češće nadgledaju administratori, predstavljaju lokalne administrativne grupe na serverima članovima i radnim stanicama. Pošto za grupe ne postoji centralno upravljanje, veoma je lako zaboraviti da one uopšte postoje. Administratori obi čno dodaju korisničke naloge domena u svoje lokalne administratorske grupe, tako da korisnici mogu da rade na instaliranju novog softverskog paketa, ali često zaborave da uklone članstvo nakon završetka projekta. Rezultat toga je veliki broj korisnika koji imaju veća prava na njihovim radnim stanicama. Tako može da do đe do nesvesnog instaliranja špijunskih programa ili drugih aplikacija koje mogu da ugroze mrežu. Jedan od na čina za kontrolisanje članstva lokalnih grupa je primena Group Policy Objectsa. Odre đivanjem grupe Administrators kao Restricted Group (zabranjene grupe), možete da odredite kojim nalozima je dozvoljeno da budu prisutni u toj grupi. Ako lokalni administrator unese dodatni nalog, ta izmena ne će biti trajna. Ovaj parametar ćete pronaći u Computer Configuration/Windows Settings/Restricted Groups. Potrebno je samo da dodate grupu kojoj želite da zabranite pristup i dodate članstvo kojim je prisustvo dozvoljeno. Držanje korisnika dalje od sistemskih fajlova Fajlovi operativnog sistema predstavljaju njegov krvotok. Korumpiranje ili brisanje ovih fajlova vrlo brzo može da onesposobi server. Ako ne ra čunamo bezbednosne zakrpe, ne postoji nijedan drugi razlog da administrator ima pravo upisivanja za sistemske fajlove. Takva mogućnost bi samo u činila administratora pretnjom po stabilnost sistema. Slu čajno brisanje fajlova ili njihovo preimenovanje kroz grešku operatora ili "zlonamerne" skriptove, može se sprečiti blokiranjem pristupa sistemskim fajlovima. Dozvolite nalogu Administrator da zadrži Full Control (potpunu kontrolu) nad fajlovima u direktorijumu %systemroot%, ali nemojte da dozvolite opštim administratorskim grupama da pristupaju ovim fajlovima. Nemojte da ohrabrujete administratore da se prijavljuju u sistemima kao Administrator. Umesto toga, ponudite im da koriste njihove regularne naloge i osobinu "ran as" ako je potrebno da pokrenu program koji zahteva ve ća prava. Održavanje tajnosti fajlova pomo ću EFS-a Windows 2003 podržava Encrypting File System na NTFS volumenima. EFS omogućava korisniku da šifruje fajl tako da samo on može da mu pristupi. Kada po čne da koristi EFS za šifrovanje fajla, korisniku se dodeljuje par klju čeva (javni i privatni ključ). Ključevi se generišu pomoću servisa sertifikata ili ih EFS samostalno potpisuje, u zavisnosti od toga da li je CA prisutan. Javni ključ se koristi za šifrovanje, a privatni klju č za dešifrovanje. Kada korisnik šifruje fajl, fajlu se dodeljuje slučajni broj, pod nazivom File Encryption Key (FEK). Za šifrovanje fajla se koristi DES ili DESX algoritam sa FEK-om kao tajnim ključem. FEK se, takođe, šifruje pomoću javnog ključa, koristeći RSA algoritam. Na ovaj način se veliki fajl može šifrovati koriš ćenjem relativno brzog kriptovanja tajnim ključem, dok se FEK šifruje sporijim, ali bezbednijim kriptovanjem javnim klju čem. Tako se obezbe đuje visok nivo bezbednosti, sa manjim uticajem na sve ostale preformanse. Samostalna upotreba EFS-a Windows 2000, 2003 i XP podržavaju EFS. Oni imaju sposobnost da generišu sopstveni par klju čeva za EFS ukoliko nemaju na raspolaganju sertifikat na nivou domena. EFS na mašini koja ne pripada domenu se dosta razlikuje od onog na mašini koja je član domena. Na primer, Windows 2000 ima standardno podešen parametar koji dozvoljava svakom lokalnom nalogu Administrator da dešifruje svaki šifrovan fajl korisnika na toj mašini. To ra čunare čini veoma ranjivim na napade, jer lokalni spremnik lozinke može biti ugrožen. Windows XP i Windows Server 2003 nemaju ovo ponašanje. Ako korisnik šifruje fajl i izgubi oba spremišta sertifikata, korisni čkog i lokalnog DRA-a, neće mo ći da dešifruje fajl. Sli čno tome, usled nedostatka centralne baze podataka klju čeva za korisnike EFS-a na računaru koji ne pripada domenu, korisnik može namerno da izbriše DRA sertifikat i spremište sertifikata, pa će takvi fajlovi biti neupotrebljivi.
Administriranje mreža
XI čas Bezbedonosna pitanja u mrežnim operativnim sistemima 11.1 Pojam bezbednosti mrežnog ra čunarskog sistema Prvi i osnovni zadatak svake mreže jeste da obezbedi pouzdano i bezbedno izvršenje odre đenog servisa. Ona predstavlja centralno mesto za skladištenje jednostavnih objekata, kao što su fajlovi, i nekih kompleksnijih objekata, kao što su baze podataka, deljeni štampa či ili faks servisi. Sve ovo ima za cilj da ljudima omogući različite oblike komunikacije,poput e-maila,video konferencije i drugih tehnologija koje će se pojaviti u budu ćnosti. Međutim,odmah iza ovog prvog zadatka nalazi se i slede ći zadatak računarske mreže: bezbednost. U po četku većina računarskih mreža bila je slabo obezbe đena, čak bi se moglo reći potpuno neobezbeđena,ali je sama ljudska priroda neizbežno dovela do korenitih promena na ovom planu, tako da je sad apsolutno nemogu ć povratak na staro.Na isti na čin kao što vlasnici radnji zaklju čavaju uazna vrata, ormare sa dokumentima ili registar kase da bi sa čuvali svoja fizička dobra, tako i moderne kompanije nastoje da sa čuvaju svoja informaciona dobra. Sistem bezbednosti jedne ra čunarske mreže sastoji se iz više aspekata i u mnogome zavisi od mrežnog softvera koji se primenjuje. Ali bez obzira na to, ko je proizvođač mrežnog softvera koji koristimo, bezbednost ra čunarskih mreža se tipi čno svodi na dva osnovna elementa: provera autentičnosti (authentication) - kao prvo, želeli bismo mogu ćnost identifikacije korisnika koji ulaze u našu mrežu koja se postiže proverom autenti čnosti. autorizacija (authorization) tj. dodela odgovarajučih dozvola ( permissions) korisnicima - kad nedvosmisleno utvrdimo sa kim razgovaramo – odnosno, kad smo proverili njegovu autenti čnost, moramo biti u stanju da na odgovaraju ćem mestu pronađemo podatke o tome šta je toj osobi dozvoljeno da uradi, to jest koje dozvole on poseduje. Drugim re čima, sama činjenica da je provera autentičnosti uspešno obavljena ne zna či da će toj osobi automatski biti dozvoljen pristup. Podaci jednog preduzeća ključni su za njegov opstanak i moraju da budu veoma dobro zašti ćeni. Administratori mreža moraju da obezbede da podaci uvek budu pouzdani i nepristupa čni za druge. Postoje mnogobrojni mehanizmi koji se mogu upotrebiti kao pomo ć za očuvanje integriteta i tajnosti podataka. U opseg tih mehanizama spada sve, od definisanja strogih pravila pristupa podacima do šifrovanja, pravljenja rezervnih kopija i obezbeđivanja stalne raspoloživosti podataka. Podaci su podložni napadu i krađi od trenutka kada korisnik upiše svoje ime i lozinku. Koliko često ste morali da upisujete lozinku dok vam je neko virio preko ramena? Bez obzira na brzinu kojom kucate, zlonamernici će pokupiti vaše lozinke brže nego što možete zamisliti. Kada ne budete za svojim radnim stolom, oni će prepisati vaše korisničko ime iz prijavnog ekrana i prijaviti se pod njim s nekog drugog ra čunara. Postoje i neke druge metode prijavljivanja na sistem koje spadaju u znatno sigurnije na čine prijavljivanja za mrežni rad kao što su: pametne kartice ( smart card ), identifikacija putem otiska prsta ili kontrole o čne zenuice. Kod ovih metoda korisnik se loguje bez rizika odavanja tajnih podataka, pošto je kradljivcu potrebna ili sama kartica ili lično prisustvo, da bi ostvario svoju nameru. Zato se smatra da ove metode predstavljaju jedno od najsofisticiranijih rešenja za utvr đivanje identiteta unutar domena Windowsa 2003. Međutim za bezbednost sistema to nije dovoljno. Slede ći problem koji se javlja je kako da se obezbedi pouzdan prenos tih podataka do kontrolera domena gde oni treba da se provere. Operativni sistem računara ili uređaja za unošenje podataka mora da prosledi podatke, najpre, nadole kroz slojeve mrežnih protokola do mrežnog interfejsa kontrolera domena. Podaci mogu da budu presretnuti bilo gde duž cele te putanje. Ako nisu šifrivani ili ako su vrlo slabo šifrovani, postoji mogu ćnost da neko ko prisluškuje saobraćaj na mreži presretne razmenu podataka izme đu vašeg ulaznog ure đaja i kontrolera domena, ili bilo kog drugog sagovornika. Da bi se to spre čilo, u Windowsu 2003 se koriste složene tehnologije šifrovanja prilikom prenosa podataka i mrežnih komunikacija, kao i pri upisivanju datoteka na diskove i za njihovu zaštitu. Sledeći korak u stvaranju bezbednog mrežnog ra čunarskog sistema je da se svi podaci koji se čuvaju na mrežnim diskovima, kako sistemski tako i korisni čki, obezbede od potencijalnih hardverskih kvarova ili prirodnih nepogoda. Jedno od mogu ćih rešenja ovog problema predstavlja svakodnevno redovno pravljenje rezervnih kopija i njihovo čuvanje na sigurnim mestima ( backup serivce ). Windows Server 2003 nudi nam veliki spektar rešenja ovog problema koji su u mnogome unapredili ovaj servis i
Administriranje mreža olakšali rad administratorima u jednom veoma važnom segmentu obezbe đivanja bezbednog i pouzdanog mrežnog računarskog sistema.
11.2 Šta ugrožava bezbednost sistema? Postoji mnogo razloga zbog kojih bi neko ugrozio bezbednost našeg ra čunarskog sistema. Ona može da bude ugrožena spolja i iznutra. Opasnost dolazi iz spoljnog okruženja kada bezbednost ugrožavaju ljudi koji nisu u ugovornom odnosu sa firmom. To su potpuni stranci, a njihovi napadi dolaze spolja. Opasnost može sti ći iz unutrašnjeg okruženja ako bezbednost sistema ugrožavaju ljudi koji su povezani sa firmom. To mogu da budu zaposleni, ljudi u ugvornom odnosu sa firmom ili klijenti firme. Napade obično izvode unutar sistema. Ponekad to čine spolja, koristeći unutrašnje informacije, a ponekad bezbednost sistema nije ugrožena zbog nečije osvete ili zle namere, ve ć zbog neznanja. Spoljno okruženje - Do nedavno, jedini na čin da ugrozite bezbednost neke organizacije ili da napadnete nju, zaposlene u njoj ili njeno poslovanje, bio je da ugrozite neku njenu fizi čku imovinu. Više nije tako. Hakeru je neuporedivo jeftinije i bezbednije da iz svog skrivenog kutka pokuša da upadne u mrežu kroz ulaz za daljinsko pristupanje ili vezu sa Internetom. Pošto danas i mnogo manje kompanije mogu sebi da priušte stalne veze sa Internetom, mogu ćnosti upada u njihove mreže postale su još privlačnije. Iako smo još daleko od kancelarije bez papira, gotovo svi podaci se čuvaju negde u mreži u deljenim datotekama i bazama podataka. To zna či da su mreža i server prepuni dragocenih podataka. Više nije ni neophdno da napada či unapred odaberu svoje ciljeve. Oni pišu štetan kod koji korisnici nepažnjom preuzimaju sa Interneta. Takav kod se može pokrenuti na više na čina, npr. ponovnim pokretanjem operativnog sistema ili samim raspakivanjem komprimovane datoteke. Kod, zatim, može da prikupi poverljive podatke i pošalje ih svom vlasniku. Prema tome, zaista je navažnije definisati pravila koja obezbe đuju da kod preuzet sa Interneta bude proverenog porekla, da mu je pridružen digitalni potpis (javni ključ) pouzdanog proizvođača softvera. Poruke elektronske pošte danas imaju status korespodencije koja je vlasništvo firme i mogu da se koriste kao dokaz u sudskim sporovima ili kao izvor informacija pri planiranju napada na odre đenu osobu ili organizaciju. Iako ve ćina među nama više komunicira elektronskom poštom nego obi čnom, ipak se prema porukama elektronske pošte odnosima kao prema razglednicama. Ne stavljamo ih u zape čaćene koverte, već ih puštamo u promet tako da svako može da pročita njihov sadržaj. Poruke elektronske pošte treba da budu zašti ćene na dva nivoa. Moramo biti sigurni da su osobe sa kojima komuniciramo zaista one za koje se izdaju. Osim toga, moramo se uveriti i da sadržaj poruka koje šaljemo ne će biti pročitan ili izmenjen dok one putuju mrežom. Veoma se lako može pratiti put kojim je poruka prošla Internetom dok nije stigla do sistema za elektronsku poštu. Zaštita poruka elktronske pošte postaje izuzetno važna; problem spada u oblast šifrovanja metodom javnog ključa. Unutrašnje okruženje - Pretnje po bezbednost iz untrašnjeg okruženja poti ču od zaposlenih u firmi, koji mogu da budu zlonamerni, neznalice ili da prave nenamerne greške. Bezbednost sistema može da bude ugrožena na razne na čine, od namerne zloupotrebe dodeljenih prava, do potpunog neznanja ili gluposti. Na primer: neko kome su data ovalaš ćenja administratora mreže može ih zloupotrebiti da bi sebi obezbedio pristup tajnim podacima. Neznanje čini da korisnici često nemaju ažurne kopije antivirusnog softvera, ili da preuzimaju sve vrste „sme ća“ sa Interneta, uvode ći na taj način iz spoljašnjeg okruženja potencijalno opasan sadržaj u mrežu. Potpuno neznanje ili nenamerne greške često su uzrok glavobolja adminstratora. Njihove posledice mogu da budu izbrisane datoteke, ošte ćenje baze podataka, izbrisani direktorijumi za elektronsku poštu i tome sli čno. Izbrisane datoteke možete da obnovite iz rezervnih kopija, pod uslovom da se u vašoj firmi strogo poštuju pravila za izradu rezervnih kopija. U ve ćini slučajeva, obnavljanje izbrisanih datoteka administratoru je izgubljeno vreme, jer to mora sam da uradi. Često uzrok nema nikakve veze sa korisnicima, ve ć je rezultat lošeg rada lenjog administratora servera ili mreže. Navešćemo neke od osnovnih pretnji koje mogu da ugroze bezbednost ra čunarskog sistema: Špijuniranje: Neki ljudi bi rado provalili u vašu „zabranjenu zonu“ da bi saznali poslovne tajne vaše organizacije, lične tajne zaposlenih, nacrte proizvoda preduze ća, finansijske podatke, poslovnu strategiju itd. Ovo je najopasnija pretnja po bezbednost. Napada či su izuzetno motivisani da uspešno ostvare napad. Oni ne žele da budu otkriveni i nastavi će da se kriju u vašem okruženju dok to bude potrebno. Ukoliko napadači ostanu neotkriveni, šteta je često nepopravljiva. Odbrana od ovakve vrste
Administriranje mreža napada je najteža, jer naj češće ne znate gde napadaju niti šta traže. Iako rukovanje prislušnim uređajima i špijuniranje obično nisu deo zadatka administratora mreže ili servera, špijuniranje putem mreže postaje svakim danom sve verovatnije, jer je toliko jednostavno i neprimetno, a za uzvtrat omogućava da se na taj na čin dođe do navećih dragocenosti. Hakeri, putem mreže, čitaju sadržaj datoteka i poruke elktronske pošte i gde god mogu, pokušavaju da upadnu u baze podataka da bi ukrali brojeve kreditnih kartica, brojeve bankovnih ra čuna itd. Obaranje sistema: Svrha ove vrste napada je da se potpuno uništi napadnuti ra čunar. Cilj napadača mogu da budu računari na vašoj fizi čkoj lokaciji ili cela vaša mreža, jer ste povezani Internetom ili korisnicima dozvoljavate daljinski pristup. Ovo ubrzano postaje najjpopularniji na čin uništavanja vašeg truda: prvo, zbog zavisnosti vaše organizacije od mreže i drugo, zato što napada č ne mora da bude fizički prisutan u vašoj mreži da bi izveo napad. Napad kojim se sistem toliko zaguši da ne može da obavlja svoje funkcije ( Denial of Service, DoS) može da bude u obliku zatrpavanja vašeg mrežnog prolaza (cilj je vaš prolaz na Internet) ogromnim brojem elektronske pošte, ili u obliku syn napada, odnosno postavljanjem komunikacionih zapreka niskog nivoa koje troše resurse servera dok ga potpuno ne obore. Ponekad se server obara samo da bi se prilikom ponovnog podizanja pokrenuo skriveni kod, koji pokreće određene procese. U mreži ima milion mesta na kojima može da se sakrije blok koda, koji se izvršava kada se u čitaju određene datoteke. Dobar primer toga su datoteke koje se izvršavaju prilikom podizanja sistema kao što je AUTOEXEC.BAT. Neprijateljske aplikacije: Na Internetu postoje „neprijateljski nastrojene“ aplikacije koje posetioci Web lokacija preuzimaju ništa ne sute ći. Kada tu vrstu aplikacije pokrenete unutar svoje mreže, ona počinje da obavlja svoj prljavi posao, što ne mora da bude nešto po čemu biste je odmah otkrili, sa ciljem da pronađe podatke koji bi mogli da budu korisni napada ču. Ova vrsta aplikacije poznata je i pod nazivo trojanski konj. Napadi virusa: Svakako naj češća vrsta napada na mrežu obavlja se putem virusa. Suprotno tvrdnjama da postoje desetine hiljada potpuno razli čiti virusa, samo vrlo mali broj ljudi može da tvrdi da su sami napisali odre đeni virus od početka do kraja. Na Internetu postoji velika količina virusnog koda koji možete slobodno preuzeti, prepraviti ili poboljšati svojim kodom. Zbog toga se svakog meseca pojavljuju nove varijacije postoje ćih virusa. Neke možete da otkrijete i o čistite omoću antivirusnog softvera; druge su mnogo opasnije, npr. zloglasni Backdoor-G, koji antivirusni softver otkriva nakon što ovaj izvrši svoj kod. Ne samo što time obara vaš PC pre nego što ga otkrijete, nego najpre napada antivirusni softver. Jedan od najve ćih zadataka danas predstavlja bezbedno okruženje. Kompanije su mnogo otvorenije u dozvoljavanju partnerima da pristupe podacima na njihovim mrežama. Istovremeno, kompanije su mnogo strože kada se radi o bezbednosti tih podataka i komunikacija. Izazov za IT profesionalca je pronaći ravnotežu između upotrebljivosti i bezbednosti. Nekada Microsoft nije bio od velike pomoći u ovoj oblasti. Ranije verzije Windowsa su imale brojne nedostatke u bezbednosti, što je računarska industrija sa zadovoljstvom reklamirala. S obzirom na to da se ogroman broj Windows računara koristi širom sveta, hakeri koji su znali kako ovi ra čunari rade, zadavali su najja či udarac kada bi napali Windows. Microsoft je napravio ogroman napredak u unapre đivanju bezbednosti sopstvenih operativnih sistema i aplikacija. Svi softveri moraju da pro đu rigorozne testove da bi se proverile sve poznate pukotine, osetljivost bafera i ostala potencijalna pitanja u vezi sa bezbednošću pre nego što se proizvod pojavi na tržištu. Windows 2003 je pravljen na samom početku ovog fokusiranja na bezbednost, tako da je pokupio sve prednosti izazvane pove ćanjem "svesti" Microsofta o potrebi bezbednog softvera.
11.3 Važnost fizičke bezbednosti Bezbednost mreže je potpuno beskorisna ako serveri nisu fizi čki bezbedni. Ra čunari ne prepoznaju razliku između lokalne "provale" i legitimne upotrebe lozinke. Mada su poverljive informacije smeštene u aktivni direktorijum, ipak se aktivni direktorijum sastoji od baza podataka smeštenih na serverima. Ove informacije su postavljene u specifi čnoj strukturi i osoba koja ima fizički pristup hard disku gde je smešten NTDS.DIT fajl i editor sektora može da ugrozi bezbednost baza podataka. Serveri moraju uvek da budu smešteni u zaklju čanim centrima za bezbedne podataka. Pristup tim centrima mora da bude ograni čen i nadgledan. Bezbednosni protocol [%systemroot%\System32\config\SecEvent.Evt] mora biti kopiran na dve odvojene lokacije da bi se spre čilo "provaljivanje". Aplikacije kao što je
Administriranje mreža Microsoft Operations Manager , koja centralizuje upravljanje evidencijom doga đaja, su pogodne za ovakave zadatke. Implementacija servera za sistemsko evidentiranje, tako đe, može biti od pomo ći. Pristup centrima sa bezbednim podacima mora da zahteva više oblika provere identiteta. Na primer, umesto da se oslonite samo na čitanje propusnice, brava bi mogla da se sastoji od kombinacije čitanja propusnice i unošenja PIN koda. Na taj na čin, krađa propusnice ne bi bila dovoljna za ugrožavanje centra sa bezbednim podacima.
11.3.1 Najbolji na čini Integritet servera sertifikata Stvaranje internog servera sertifikata nije bezna čajan događaj i mada se može uraditi kroz 11 relativno jednostavnih koraka zabeleženih u ovom poglavlju, organizacije moraju shvatiti veoma ozbiljno bezbednost servera sertifikata. Autoritet za sertifikate pruža bezbednost samo kada je integritet procesa stvaranja sertifikata osiguran. Ako svako može da do đe do servera sertifikata organizacije i napravi sertifikat, onda niko ne može znati da li je sertifikat koji poseduje izdao pravi administrator ili neki neovlašćen pojedinac. Ako niko nije siguran u valjanost sertifikata, onda su bezbednost prenošenja podataka, provera identiteta prijave ili šifrovanje podataka veoma ugroženi. Pošto je server glavnog sertifikata nadležan za ime domena organizacije, ta organizacija nikako ne želi da njen server glavnog sertifikata bude ugrožen. Ako niko nije siguran da li je valjana provera identiteta zasnovana na sertifikatu za tu organizaciju, onda organizacija nema kredibilitet za bezbednost zasnovanu na sertifikatu zato što neko ko nema ovlaš ćen pristup serveru sertifikata može da objavi sertifikate izvan organizacije. Kada stvaraju servere glavnog sertifikata, mnoge velike organizacije dele taj zadatak na kreiranje sertifikata, upravljanje hardverom i sistemske operacije. Hardver je bezbedan na mestu gde je pristup strogo ograni čen. Kreiranje sertifikata se mora obavljati na konzoli servera, bez podešavanja za udaljeno pristupanje. Pristup serveru zahteva prijavljivanje dva ili tri pojedinca koji će pristupiti odgovarajućim pomoćnim programima za kreiranje sertifikata. Svi koraci se snimaju kamerom i smeštaju na bezbedno mesto. Iako ceo ovaj postupak izgleda veoma složeno, uobi čajen je za svaku organizaciju zato što štiti integritit sertifikata organizacije. Velika pažnja se mora posvetiti osiguravanju da je proizvod Root CA-a ura đen na bezbedan i proveren na čin. Ugrožavanje Root CA-a suštinski ugrožava svaku kompaniju i podre đeni CA, koji su izgrađeni pomoću sertifikata objavljenih od strane Root CA-a. To, sa druge strane, ugrožava svaki sertifikat koji je objavljen u CA hijerarhiji. 11.3.2 Identifikacija konekcije pomoću dva faktora provere identiteta Korisničko ime i lozinka ve ć dugo predstavljaju standarde za proveru identiteta korisnika. U Windowsu NT je ovaj proces unapre đen dodavanjem naloga mašine koji je potrebno prijaviti domenu. Mada je to bilo dobro za prijavljivanje na domen, ipak se moglo zaobi ći spajanjem na mrežne resurse i izbegavanjem provere identiteta. Većini kompanija su potrebne strože metode provere identiteta. Posebno je kriti čno kada su u pitanju udaljeni korisnici. Skupove modema i VPN ure đaje je relativno jednostavno pronaći. Zlonamerni hakeri mogu relativno nekažnjeno pro ći kroz ove uređaje. To nas dovodi do koncepta provere identiteta pomo ću dva faktora kao što su: Upotreba inteligentnih kartica - Inteligentna kartica je lako prenosiv programabilan ure đaj koji se sastoji od integrisanog kola gde se informacije smeštaju i obra đuju. Inteligentne kartice su obi čno u formi uređaja veličine kreditne kartice, koje se smeštaju u čitač, ali isto tako mogu biti uređaji zasnovani na USB-u ili integrisane u propusnice zaposlenih. Windows 2003 i Windows XP podržavaju inteligentne kartice kao metodu provere identiteta. Inteligentne kartice se kombinuju sa PIN-om, koji se može smatrati lozinkom, pa se tako dobija provera identiteta na osnovu dva faktora. Fizi čko posedovanje inteligentne kartice i znanje PIN-a se moraju iskobinovati u uspešnu proveru identiteta. Da bi koristio inteligentnu karticu, korisnik domena mora da ima sertifikat inteligentne kartice. Administrator mora da pripremi autoritet za sertifikate (CA) za izdavanje sertifikata pre nego što CA po čne sa njihovim izdavanjem. Za CA je neophodno instalirati oba šablona sertifikata, Smart Card Logon i Enrollment Agent. Ako će se sertifikati inteligentne kartice koristiti za bezbedne e-mail poruke, onda administrator mora da instalira i šablon sertifikata Smart Card User. Da biste konfigurisali Enterprise CA zasnovan na Windowsu za izdavanje sertifikata inteligentne kartice, uradite slede će: 1. Prijavite se u Enterprise CA. Potrebno je da koristite nalog administratora domena. 2. U meniju Start izaberite Programs, Administrative Tools, Certification Authority.
Administriranje mreža 3. U konzoli Certification Authority proširite Vaš domen, kliknite desnim tasterom miša kontejner Certificate Templates i izaberite New, Certificate Template to Issue. 4. U okviru za dijalog Enable Certificate Template ozna čite Smartcard User i kliknite OK. 5. Kliknite desnim tasterom miša kontejner Certificate Template, a zatim kliknite Manage. Otvori će se Certificate Templates MMC. 6. U Select Certificate Template MMC-u kliknite desnim tasterom miša Smartcard User i ozna čite Properties. 7. Kliknite karticu Security. Kliknite dugme Add i izaberite grupu kojoj želite da omogu ćite pristup pomoću inteligentne kartice (u ovom primeru, grupa Smartcard Users, čiji su članovi zaposleni koji poseduju inteligentne kartice, biće dodata aktivnom direktorijumu). 8. Označite Read i Enroll iz Permissionsa, a zatim kliknite OK. Upotreba biometrike za poboljšanje bezbednosti - Biometrika se odnosi na jedinstvene biološke informacije koje se koriste za određivanje identiteta korisnika. Biometrika, kombinovana sa proverom identiteta pomoću korisničkog imena/lozinke, predstavlja autentifikaciju sa dva faktora, koja se ne može kopirati. Otisak prsta, gustina kostiju i izgled mrežnja če oka se naj češće koriste kao biometri čke metode provere identiteta. Dodatna biometri čka rešenja predstavljaju dozvoljene mehanizme autentifikacije, koji funkcionišu zajedno sa postoje ćim protokolima provere identiteta u mrežnim operativnim sistemima. Tehnologije, kao što je skeniranje mrežnja če, su obično samostalni uređaji, dok čitači otisaka prstiju mogu biti ugrađeni u tastasturu korisnika.
11.4 Bezbednost u Windowsu 2003 Da bi se poboljšala bezbednost Windows Servera 2003, Microsoft je smanjio potencijalnu oblast napada u operativnom sistemu. To je ura đeno: • Određivanjem strožih pravila standardnog podešavanja Access Control Lists (ACL) fajl sistema • Redizajniranjem IIS-a ( Internet Information Server-a) • Pružanjem sistematskih načina za konfigurisanje servera zasnovanih na prethodno odre đenim funkcijama • Smanjivanjem ukupnog broja servisa • Smanjivanjem broja servisa koji se pokreću po standardnom podešavanju • Smanjivanjem broja servisa koji se pokreću kao sistem U Windows Serveru 2003, Microsoft je isklju čio 19 servisa i modifikovao nekoliko servisa tako da se pokreću sa nižim privilegijama. Na primer, instaliranjem Windows Servera 2003 neće se automatski instalirati i IIS 6. Morate izričito da ga označite i instalirate ili da izaberete Web Server kao sistemsku funkciju preko Configure Your Server Wizard . Kada se server nadogradi Windows Serverom 2003, IIS 6 će, po standardnom podešavanju, biti isklju čen. Ako je IIS 6 instaliran, po standardnom podešavanju će biti blokiran. Nakon instaliranja, IIS 6 će prihvatati zahteve samo za stati čne fajlove. Ako želite da IIS 6 radi sa dinamičkim sadržajem, morate ga na taj na čin instalirati. Svi tajm-auti i parametri su podešeni na vrlo agresivni nivo zaštite. IIS 6 se, tako đe, može isključiti korišćenjem grupnih pravila Windows Servera 2003, kako bi "nevaljali" administratori bili sprečeni da otvore neautorizovane web servere. Windows 2003 ima "snažnije" standardno podešavanje ACL-a u fajl sistemu. To, sa druge strane, rezultira "snažnijim" standardnim podešavanjem ACL-a u deljenju fajlova. Na primer, grupa Everyone je uklonjena iz standardnog podešavanja ACL-a. Napravljena su dva nova korisni čka naloga za pokretanje servisa sa nižim nivoima privilegija. Na taj na čin se sprečava "ranjivost" servisa pri pokušaju da ga neko upotrebi za preuzimanje sistema. DNS Client i svi IIS Worker Processes se sada pokre ću pomoću novog Network Service naloga. Telnet se pokreće pomoću novog Local Service naloga. Windows 2003 je napravljen kao bezbedan sistem. Sistem instalira samo one komponente koje su neophodne za njegov rad, bez instaliranja dodatnih servisa po standardnom podešavanju. Windows 2003 je podešen tako da eliminiše veliki broj potencijalnih rupa u bezbednosti, a to zna či ne podržava "zaostavštinu" operativnih sistema koji su poznati po tome što im je bezbednost vrlo niska. 11.4.1 Nove bezbednosne tehnologije uvedene u Windows 2003 Jedna od novih tehnologija uvedena u Windows 2003 je Internet Information Services 6 . IIS je redizajniran u Windows Serveru 2003 radi unapre đivanja bezbednosti web orijentisanih transakcija. IIS 6
Administriranje mreža omogućava izdvajanje pojedinačne web aplikacije u poseban web servis. Tako se spre čava da jedna aplikacija ometa druge aplikacije koje se izvršavaju na istom web serveru. Isto tako, IIS omogu ćava ugrađenoj sposobnosti monitoringa da prona đe, popravi ili izbegne greške u web aplikaciji. U IIS-u 6, kodovi dodatne aplikacije se izvršavaju u izdvojenom postupku obrade, za koji se sada koristi prijavni nalog sa manjim privilegijama, Network Service. Izdvajanje postupka obrade omogu ćava ograničavanje web sajta ili aplikacije na njihov osnovni direktorijum, kroz Access Control Lists (ACL). Tako se sistem štiti od pokušaja da neko "u đe" u fajl sistem i pokrene izvršavanje skripta ili drugih ugrađenih kodova. Windows 2003, takođe, ima poboljšanu bezbednost mrežne komunikacije, a ostvaruje se kroz podršku strožeg protokola provere identiteta kao što su 802.1 (WiFi) i Protected Extensible Authentication Protocol (PEAP). Internet Protocol Security (IPSec) je unapređen i dalje integrisan u operativni sistem da bi se poboljšalo LAN i WAN šifrovanje podataka. Microsoft je uveo Common Language Runtime (CLR) softverski mehanizam u Windows Server 2003 da bi unapredio pouzdanost i stvorio sigurnije okruženje za programiranje i upotrebu ra čunara. CLR utvr đuje da li aplikacije mogu da se izvršavaju bez grešaka i proverava njihovu bezbednost kako bi bilo sigurno da kodovi ne će izvršavati nedozvoljene operacije. CLR smanjuje broj bagova i rupa u bezbednosti prouzrokovanih uobi čajenim greškama u programiranju. To rezultira manjim mogu ćnostima da hakeri ugroze sistem. Još jedna tehnologija uvedena u Windows 2003 je koncept Forest Trusts . Windows Server 2003 podržava me đu-forest trusts, omogućavajući kompanijama da se bolje integrišu sa ostalim kompanijama koje koriste aktivni direktorijum. Podešavanje među-forest trustsa sa partnerskim aktivnim direktorijumom omogućava korisnicima bezbedan pristup izvorima informacija bez gubljenja pogodnosti jednog prijavljivanja. Ova osobina Vam omogućava upotrebu ACL-a zajedno za korisnicima ili grupama iz partnerskog aktivnog direktorijuma. Ova tehnologija predstavlja veliku prednost u situacijama kada jedna kompanija preuzima drugu. Postavljanje među-forest trustsa omogućava da obe kompanije po čnu odmah da dele izvore informacija na potpuno bezbedan na čin. Ideja jednog prijavljivanja je unapređena uvođenjem Credential Managera. Ova tehnologija obezbe đuje bezbedno smeštanje korisni čkih imena i lozinki, kao i linkova do sertifikata i klju čeva. Tako je korisnicima omogućena doslednost jednog prijavljivanja. Jedno prijavljivanje omogu ćava korisnicima da pristupaju izvorima informacija preko mreže, a da pri tom ne moraju stalno da dokazuju svoj identitet. Windows Server 2003 podržava Constrained Delegation. Delegacija (Delegation) u ovom kontekstu podrazumeva dozvoljavanje servisu da predstavlja korisni čki ili računarski nalog da bi pristupio izvorima informacija na mreži. Ova nova osobina Windows Servera 2003 Vam omogu ćava da ovoj vrsti delegacije ograničite pristup samo na određene servise ili izvore informacija. Na primer, servis koji koristi delegaciju da bi pristupio sistemu u ime korisnika, sada može biti ograni čen tako da predstavlja korisnika samo pri povezivanju sa jednim odre đenim sistemom, a ne i sa ostalim ra čunarima ili servisima u mreži. Ovo je sli čno konceptu ograničavanja korisnika da se "zaka či" na neku od zabranjenih listi u sistemu. Protocol Transition je tehnologija koja dozvoljava servisu da identitet korisnika konvertuje tako da bude zasnovan na Kerberosu, a da pri tom ne mora da zna lozinku korisnika ili da zahteva od korisnika proveru identiteta preko Kerberosa. Tako se korisniku Interneta omogućava provera identiteta pomo ću uobičajenih metoda i dobijanje Windows identiteta. Ova tehnologija je sada dostupna u Windowsu 2003. To može biti veoma korisno za kompanije koje planiraju da koriste Kerberos kao centralnu ta čku provere identiteta za oba operativna sistema, Windows i Linux. Windows Server 2003 sada nudi .NET Passport Integration sa aktivnim direktorijumom. Tako se omogućava Passport orijentisana provera identiteta koja će obezbediti partnerima klijentima jedno prijavljivanje za izvore informacija i aplikacije zasnovane na Windowsu. Upotrebom .NET Passport servisa kompanije će smanjiti troškove upravljanja korisničkim imenima i lozinkama za aplikacije koje imaju veliki broj spoljašnjih korisnika. Miscrosoft je uložio puno napora da bi osigurao da .NET Passport informaciju budu bezbedno smeštene, kako bi unapredio pouzdanost i pomogao u razvijanju tehnologije. Mada Windows 2000 podržava šifrovanje direktorijuma, Windows Server 2003 sada dozvoljava šifrovanje offline fajlova i direktorijuma upotrebom EFS -a ( Encrypting File System). Offline Files, ili keširanje na strani kljienta, postoji u Windowsu 2000 i omogu ćava mobilnim korisnicima da rade na lokalnim kopijama fajlova kada nisu povezani sa mrežom. Kada se korisnik ponovo poveže sa serverom,
Administriranje mreža sistem usklađuje izvršene izmene sa starom verzijom dokumenta na serveru. Tako se obezbe đuje konstantna zaštita fajlova dok su oni keširani lokalno, na mobilnom ra čunaru. U Windowsu 2003 je obezbe đena bolja tehnologija šifrovanja za EFS. Windows Server 2003 sada podržava šifrovanje za EFS koje je "jače" od standardno podešenog Data Encryption Standard (DESX) algoritma. Po standardnom podešavanju, EFS će koristiti Advanced Encryption Standard (AES-256) za sve šifrovane fajlove. Klijenti, takođe, mogu da koriste Federal Information Processing Standards (FIPS) 140-1 algoritme, kao što je 3DES algoritam, koji se tako đe nalazi u Windowsu XP Professional.
11.5 Bezbednost svih ulaza Danas je ceo svet u potrazi za bezbednoš ću. Kako u svetu sve više dolazi do povezivanja informacija, tako se sve više pojavljuje pitanje privatnosti tih informacija. Vlada se u više mandata bavila pitanjima bezbednosti informacija identiteta u oblasti medicine, odnosno istorija bolesti informacija koje se odnose na decu. Trgovina na Webu je u prvi plan izbacila pitanja da li su informacije o kreditnim karticama bezbedno smeštene i da li su online transakcije sigurne. Ova pitanja su "izrodila" mnoštvo tehnologija, a svetske korporacije su ih prihvatile zbog sopstvene unutrašnje bezbednosti. Kako pristup informacijama postaje sve lakši i lakši, tako postaje sve teže i teže zaštiti podatke i njihovo prenošenje. Ako kompanija želi da zadrži klijente na današnjem tržištu, onda klijenti moraju da veruju toj kompaniji. Velike online trgovine zavise od toga da li klijenti imaju poverenja u njihovu bezbednost,kako bi nastavili da posluju sa njima. Sve dok klijenti veruju da se informacije o njihovim finansijama bezbedno prenose i smeštaju,oni će nastaviti da posluju sa tom kompanijom. Ukoliko neka od online trgovina bude ugrožena, na primer krađom brojeva kreditnih kartica, to može da uništi tu kompaniju. Reputacija kompanije je direktno povezana sa njenom bezbednoš ću i greške u bezbednosti najčešće vode do sloma kompanije. 11.5.1 Transport Layer Security Koncept Transport Layer Security (TLS) podrazumeva da komunikacija izme đu mrežnih uređaja treba da se obavlja na takav na čin koji će sprečiti svaki drugi uređaj, koji može da prekine tu komunikaciju, da upotrebi informacije. TLS, koji je sli čan SSL-u, se zasniva na x.509 sertifikatu koji mora biti objavljen od strane priznatog Certificate Authority (CA) - autoriteta za sertifikate. TLS može da uradi sledeće: . • Da otkrije neispravnu poruku . • Da otkrije presretnutu poruku . • Da otkrije falsifikovanu poruku Da biste upotrebili TSL za klijent/server komunikaciju, prođite kroz sledeće korake: 1. Potvrdite spremnost za prenos i stvaranje šifrovanog kanala. 2. Proverite identitet strana. 3. Razmenite informacije o ključu. 4. Razmenite podatke aplikacije. Po standardnom podešavanju, TLS će prihvatiti bilo koju šifru; zato ga možete zaklju čati pomoću GPO-a, da bi se ograni čio mogući izbor šifara, kroz modifikaciju sledećeg Registry ključa: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciph ers Pronaći ćete listu sa više mogućih šifara koje možete uklju čiti ili isključiti, u zavisnosti od toga šta Vam odgovara. TLS Handshake Protocol podrazumeva sledeće korake: 1. "Klijentov pozdrav" se šalje iz računara klijenta do servera, zajedno sa slu čajnom vrednošću i listom podržanih šifara. 2. "Serverov pozdrav" se šalje kao odgovor klijentu, zajedno sa slu čajnom vrednošću servera. 3. Server šalje svoj sertifikat klijentu da bi potvrdio autentičnost, a isto tako može da zahteva sertifikat od klijenta. To rezultira porukom o "završenom pozdravu servera". Klijent šalje sertifikat ukoliko je server to zahtevao. 4. Klijent zatim stvara slučajni Pre-Master Secret i šifruje ga preko javnog klju ča iz sertifikata servera. Ovaj šifrovani Pre-Master Secret se šalje serveru. 5. Nakon prijema Pre-Master Secreta i server i klijent generišu ključeve sesije i Master Secret na osnovu Pre-Master Secreta.
Administriranje mreža 6. Klijent šalje serveru poruku o "promeni specifikacije šifre" da bi ukazao da klijent počinje da koristi nove ključeve sesije za šifrovanje poruka. Klijent, takođe, šalje poruku da je "klijent završio". 7. Server dobija poruku o "promeni specifikacije šifre" i menja stanje svog sloja zaštite tako da koristi simetrično šifrovanje na osnovu klju čeva sesije. Server šalje klijentu poruku da je "server završio". 8. Klijent i server sada mogu da razmenjuju podatke preko sigurnog kanala koji su uspostavili. Svi podaci i komunikacije koji se šalju od klijenta do servera i od servera do klijenta su šifrovani pomo ću ključa sesije.
11.5.2 Zahtevanje digitalnog potpisa Starija implementacija Small Message Block (SMB) komunikacija je bila osetljiva na nešto što se naziva posredni čki napad (man-in-the-middle attack). Posredni čki napadi se pojavljuju kada napada č, maskiran kao jedna od legitimnih strana, ubacuje poruke u komunikcioni kanal. To napada ču omogućava da šalje sopstvene akreditive, tako da ostali hostovi prihvataju njegovu konekciju. Postavljanjem digitalnog potpisa u svaki SMB, koji verifikuju i server i klijent, stvara se uzajamna identifikacija koja proverava validnost i servera i klijenta. Ako ovakvo obezbeđenje postoji na serveru, klijenti moraju da podrže digitalno potpisivanje komunikacija, jer u suprotnom neće moći da komuniciraju sa serverom. Ovakvo podešavanje bezbednosti se može konfigurisati u Default Domain Controller Security Settingsu odabiranjem Security Settings/Local Policies/Security Options/Microsoft Network Server: Digitally Sign Communications - Enabled (uvek). 11.5.3 Upotreba PKI-a Naravno da nije iznenađujuće što tehnologije zasnovane na sertifikatima zahtevaju pristup sertifikatima. Još određenije, sertifikatima koje je objavio autoritet za sertifikate kojem se veruje. Kompanije mogu da izaberu neki od spoljašnjih autoriteta za sertifikate kao što su Verisign, SecureNet ili Globalsign. Jedna od prednosti koriš ćenja spoljašnjih autoriteta za sertifikate je što sa njima, kao glavnim autoritetima kojima verujete, dobijate već učitan Internet Explorer. To znači da klijenti ne moraju da kontaktiraju ove glavne (Root) CA-e i nude korisnicima da prihvate sertifikat. Kompanija ima i drugu opciju, a to je da ustanovi sopstveni autoritet za sertifikate. To može biti Root CA (osnovni) ili Enterprise CA (CA preduzeća), koji su napravljeni na osnovu sertifikata dobijenog od drugog Root CA-a. Ako kompanija želi da objavi sopstvene sertifikate, u ra čunar klijenta se prethodno može u čitati sertifikat preko parametra GPO. Na primer, ako kompanija želi da koristi digitalne sertifikate u svom intranetu, ona može da pošalje sertifikat servera do klijenata i odredi server kao Intermediate Certification Authority. Da biste poslali sertifikat klijentima, uradite sledeće: 1. Pokrenite editor GPO. 2. Izaberite User Configuration, Windows Settings, Internet Explorer Maintenance, Security, Authenticode Settings. 3. Izaberite Import Exsisting Authenticode Settings. 4. Kliknite Modify Settings. 5. Kliknite Import. Pokrenućete Import Certificates Wizard. 6. Kliknite Next. 7. Kliknite Browse, a zatim potražite fajl sertifikata. Izaberite Open, a onda kliknite Next. 8. Izaberite Browse i označite odgovarajuće mesto gde ćete smestiti sertifikat. 9. Izaberite Next, a zatim kliknite Finish. Čarobnjak će Vas obavestiti da ćete upravo instalirati sertifikat, navode ći određeni izvor. Ako je ta informacija tačna, označite "yes". Čarobnjak će Vas obavestiti da je sertifikat uspešno instaliran. 11.5.4 Instaliranje servisa sertifikata Instaliranje servisa sertifikata u Windows Server 2003 zahteva server Windows 2003 dodavanje komponente Certificate Services na server. Proces dodavanja Certificate Servecesa Windowsu 2003 podrazumeva sledeće: 1. Izaberite Start, Control Panel, Add or Remove Programs. 2. Kliknite Add/Remove Windows Components. 3. Potvrdite polje Certificate Services.
Administriranje mreža 4. Pojaviće se okvir za dijalog sa upozorenjem da ne ćete moći da promenite ime računara ili naziv domena nakon instaliranja Certificate Servicesa. Kliknite "yes" da bi se proces instaliranja nastavio. 5. Kliknite Next. 6. Sledeći ekran, prikazan na slici 1.2, omogu ćava Vam da napravite vrstu CA-a, koja se zahteva. U ovom primeru izaberite Enterprise Root CA i kliknite Next. 7. Unesite neko uobi čajeno ime za CA - na primer, CompanyABC Enterprise Root CA. 8. Unesite rok važnosti za Certificate Authority i kliknite Next. Nakon toga će biti napravljen kriptografski ključ. (Ako je na serveru instaliran IIS, pojavi će se okvir za dijalog sa obaveštenjem da će IIS biti privremeno zaustavljen. Kada se pojavi pitanje da li se slažete da se IIS servis zaustavi i ponovo pokrene, izaberite Yes, osim ako je servis aktivan u trenutku instaliranja servisa sertifikata ) 9. Unesite lokaciju za bazu podataka sertifikata, a zatim dnevnik rada baze podataka. Lokacija koju izaberete mora da bude bezbedna, da bi se spre čilo neovlašćeno pristupanje CA-u. Kliknite Next. CA komponente će biti instalirane. 10. Ako IIS nije instaliran, pojaviće se poruka obaveštavaju ći Vas da će Web Enrollment biti isključen dok ne instalirate IIS. Ako se ova poruka pojavi, kliknite OK. 11. Kliknite Finish da biste završili postupak instaliranja.
11.6 Korišćenje šablona za poboljšanje upotrebe i upravljanja Jedan od glavnih ključeva uspešne bezbednosti je standardizacija aplikacije u pogledu pravila bezbednosti u okruženju. Windows 2003 nastavlja da podržava ovaj koncept koriste ći Security Configuration i plug-in Analysis MMC . Ovaj plug-in Vam omogućava da konvertujete sopstvena pravila bezbednosti u fajl šablona koji se može primeniti na ostale servere. Tako ćete biti sigurni da su serveri identično konfigurisani. To je posebno korisno za sisteme koji su konfigurisani tako da se nalaze izvan zaštitnog zida i nisu članovi domena aktivnog direktorijuma, pa se zbog toga njima ne može upravljati pomoću Group Policy Object-a. 11.6.1 Upotreba alata Security Configuration and Analysis Alat Security Configuration and Analysis , kojem u Windowsu 2003 pristupate iz MMC Snap-ina, je dizajniran tako da čita specifične bezbednosne informacije sa servera i upore đuje ih sa fajlom šablona. To Vam omogućava da stvarate standardne šablone i posmatrate da li serverima u njihovom okruženju odgovaraju takva podešavanja. Da biste izvršili analizu sistema, uradite slede će: 1. Izaberite Start, Run, mmc.exe, a zatim kliknite OK da biste pokrenuli MMC Snap-in. 2. Dodajte alat Security Configuration and Analysis. 3. Kliknite desnim tasterom miša stavku Security Configuration and Analysis i izaberite Open Database. 4. Izaberite naziv baze podataka i kliknite Open. 5. Izaberite bezbednosni šablon, a zatim ga otvorite. 6. Kliknite desnim tasterom miša stavku Security Configuration and Analysis i izaberite Analyze Computer Now, a zatim kliknite OK. Sistem će prikazati lokalno podešavanje bezbednosti, kao i preporuku šablona iz baze podataka. Upoređivanjem lokalnog podešavanja sa standardnim šablonom koji je napravio administrator, podešavanje može biti doslednije, bez poništavanja bilo kojeg od zahtevanih lokalnih podešavanja bezbednosti. 11.6.2 Upotreba bezbednosnih šablona Grupe kao što su National Security Agency (NSA) ili National Institute of Standards and Tehnology (NIST) su napravile ono što su, po njihovom mišljenu, bezbednosni šabloni za funkcije kakve su Domain Controller, Web Server, Aplication Server i druge. Koriste ći ove šablone kao po četnu tačku, možete da napravite prilago đene šablone uzimaju ći u obzir savete NIST-a ili NSA-a. To će Vam puno olakšati pravljenje bezbednosnog šablona, jer su ove grupe specijalizovane u poznavanju i razumevanju bezbednosti računara.
Administriranje mreža 11.7 Rezervne kopije podataka kod Windows Server 2003 11.7.1 Standardne opcije za pravljenje rezervnih kopija podataka Da bi se lakše zaštitila najdragocenija imovina kompanije, Server 2003 dolazi sa verzijom paketa Windows Backup, koji ima podršku za široko podru č je odredišta za bekapovanje i ima integrisani planer akcija. Pomoću ovog programa za bekapovanje, podatke možete da bekapujete ili u fajlove ili na trake, a možete da kreirate i fajlove za oporavak sistema. Opcija Backup nalazi se u sekciji System Tools direktorijuma Accessories. Otvaranjem aplikacije Backup startujete Backup ili Restore Wizarda. Nakon inicijalnog ekrana prikazuje se ekran koji pita da li želite da bekapujete ili obnovite fajlove. Izaberite bekapovanje. Zatim, morate da izaberete opseg podataka koji će se bekapovati. Kao što se vidi sa slike 1, kod Servera 2003 imate dve opcije - bekapovanje svega i kreiranje diska za oporavak sistema, ili biranje individualnih fajlova koji će se bekapovati. (Kod kontrolera domena postoji i tre ća opcija - bekapovanje samo podataka o stanju sistema.) Za sada selektujemo opciju koja omogu ćava biranje fajlova.
Slika 1 Bekapovanje selektovanih fajlova
Slika 2 Bekapovanje sadržaja direktorijuma Win2K
U sledećem prozoru možete da prona đete fajlove i direktorijume koji će se bekapovati, bilo na lokalni kompjuter, negde na mreži, ili čak na povereničkim domenima (videti sliku 2). Ovo je lista sa oznakama drajvova dodeljenih svim particijama. Navedeni su logič ki, a ne fizički drajvovi. Raspoložive drajvove možete da sortirate po razli čitim kriterijumima, klikom na zaglavlja kolona Name (naziv), Total Size (ukupna veličina) ili Free Space (slobodan prostor). Ova lista uklju čuje sve drajvove na serveru, ne samo fiksne ili lokalne drajvove. Možda ćete pre konačne odluke o tome šta treba bekapovati morati da sprovedete manja istraživanja. Možda mislite da drajv Applications (drajv D:) sadrži podatke koje želite da zaštitite, ali niste sigurni. Dvoklikom možete da proverite koje direktorijume sadrži. Ako želite da idete dublje, možete da proverite i sadržaj tih direktorijuma, i tako redom sve do nivoa fajlova. Kada pronađete odgovarajući direktorijum, možete da deselektujete objekte iz tog direktorijuma i tako ih isključite iz planiranog bekapa. Ako to uradite, oznaka potvrde u okviru direktorijuma ima sivu boju, umesto plave boje kojom se ukazuje na to da se bekapuje kompletan sadržaj direktorijuma. Sli čno, okvir pored logičkog drajva na kom se nalazi selektovani direktorijum tako đe ima sivi znak potvrde, ukazuju ći na to da se bekapuje samo delimični sadržaj drajva, a ne u celini. Prilikom izbora sadržaja za bekapovanje možete da selektujete proizvoljan broj razli čitih fajlova i direktorijuma sa različitih drajvova. Ne moraju da budu smešteni jedni pored drugih, niti ure đeni po bilo kakvoj logi čkoj formi, ali će zadržati svoju lokaciju na finalnom mediju za bekapovanje. Ipak, ne možete da izaberete bekapovanje svih fajlova određenog tipa, bez obzira na lokaciju. Bekapovanje se organizuje po lokaciji, ne po tipu fajlova. Ne možete da potvrdite polja pored bilo kakvih struktura osim fajlova ili direktorijuma - tako, na primer, nećete doći u situaciju da slučajno bekapujete sve deljene fajlove na domenu. Zatim, iz okvira za dijalog prikazanog na slici 3 izaberete lokaciju na kojoj će se čuvati bekapovani podaci. Ako imate drajv za magnetnu traku, moći ćete da bekapujete na traku; u suprotnom, morate da izaberete lokaciju za fajl bekapa (koristi ekstenziju .BKF).
Administriranje mreža
Slika 3 Biranje lokacije za smeštanje bekap
Slika 4 Tekuće postavke za bekapovanje
Podrazumevani naziv fajla bekapa je Backup.bkf i smešta se u direktorijum My Documents korisnika koji je ulogovan i koji vrši bekapovanje, ali možete da kliknete i dugme Browse kako biste izabrali alternativnu lokaciju za fajl bekapa. Kada prvi put pokrenete aplikaciju Backup, mora ćete da izaberete lokaciju za smeštanje bekapa. Kada programu Windows Backup kažete gde da postavi fajl bekapa, kliknite Next kako bi se prikazao finalni ekran sa izabranim opcijama za bekapovanje (videti sliku 4). Ako kliknete dugme Finish, startova ćete bekap. Ovo je osnovno bekapovanje, sa podrazumevanim opcijama. Ako želite malo ve ću kontrolu nad izvršavanjem bekapa (tj. opcije za "Kako" i "Kada"), kliknite dugme Advanced pre klika na Finish, za startovanje drugog dela čaarobnjaka u kom odlučujete da li će biti uključene opcije iz tabele 1.
Tabela 1: Napredne opcije za bekapovanje Podrazumevana Opcija Šta označ ava postavka What type of backup Možete da izaberete normalno Normal should be performed? bekapovanje,kopiranje, inkrementalno, (Koju vrstu bekapovanja bi Normal diferencijalno ili dnevno bekapovanje. Ove trebalo izvršiti?) vrste bekapovanja opisujemo kasnije, u sekciji "Biranje tipa bekapovanja Verifikovanje bekapovanih podataka podrazumeva poređenje podataka na medijumu za bekapovanje sa podacima iz izvornog Verify data? (Da li je medijuma, kako bi se proverilo da li su podaci potrebno verifikovati No ispravno iskopirani. Verifikovanje zahteva podatke?) dodatno vreme, ali ja ga uvek izvodim - to je način da se proveri da li su svi podaci zapisani onako kako se o čekivalo. What is the name of the Time and date backup Navedite naziv bekapa. Ako koristite novi backup and the media? (Koji was created (Vreme i medijum, ili menjate podatke na postojećem je naziv fajla bekapa i na kom datum kada je bekap medijumu, možete da izaberete novi naziv za se medijumu skladišti?) kreiran) traku ili fajl. Use hardware compression? opcija je dostupna samo kod bekapovanja na (Da li bi trebalo koristiti No magnetnu traku. Ako uklju čite ovu opciju, onda hardversku kompresiju?) traka ima veći kapacitet nego inače. Append or replace existing backup sets? (Dodati ili zameniti postojeće bekape? )
Append
Ako se na medijumu za bekapovanje nalaze raniji bekapi, možete da izaberete da li će se zameniti novim bekapom ili će se novi bekap uključiti u katalog. Izbor zavisi od toga šta je za Vas značajnije: zadržati preglednost medijuma
Restrict access? (Ograničavanje pristupa?)
When should the backup run? (Kada bi trebalo startovati bekapovanje?)
No
Now
Back up migrated remote Nostorage data? (Da li bi trebalo bekapovati podatke sa No udaljene lokacije za arhiviranje podataka?)
Administriranje mreža za bekapovanje tako da lako prona đete podatke za obnavljanje, ili održavanje ve ćeg broja bekapa. Ja predlažem zamenu bekapa (iako bi uvek trebalo zadržati barem jedan kompletan bekap od ranije, u slučaju da se nešto nepredviđeno desi sa novim) i dodavanje inkrementalnih i diferencijalnih bekapa Ako ste odlučili da se postojeći bekapi menjaju novim, možete da izaberete da li će pristup tim bekapovanim skupovima podataka imati samo članovi grupe Administrators ili osoba zadužena za kreiranje bekapa Može da izaberete da li će se bekapovanje startovati odmah, ili birate vreme u koje bi trebalo da počne. Ako bekapujete server, onda je skoro sasvim sigurno da ćete bekapovanje isplanirati za kasnije, kada niko ne bude koristio podatke sa servera. Ova opcija bekapuje retko koriš ćene fajlove koji su automatski arhivirani na udaljenoj
Disable volume shadow Kopiranje "senke" volumena omogu ćava copy? (Da li osposobiti No bekapovanje fajlova koji se trenutno koriste. kopiranje "senke" volumena?) Jedina napredna opcija za bekapovanje koja može da uzrokuje neke probleme jeste alatka za planiranje, koju detaljnije obrađujemo u sekciji "Planiranje automatizovanog bekapovanja". Kada završite sa biranjem opcija, ponovo ćete videti finalni ekran, sa ažuriranim skupom opcija.
11.7.2 Napredne opcije za bekapovanje Pogledajmo malo detaljnije napredne opcije za bekapovanje. Otvorite alatku Backup u Advanced modu i izaberite opciju Tools/Options za otvaranje okvira za dijalog Options organizovanog u više kartica.
Slika 5 Izaberite novi tip bekapovanja,
ako ne želite da bekapujete sve fajlove
Slika 6 Biranje opcije za beleženje informacija o bekapu
Administriranje mreža Podrazumevani tip bekapovanja koji izvodi Windows Backup jeste Normal, što jasno ne govori da se izvršava kompletno bekapovanje (kopiranje svih fajlova i resetovanje bit arhive za sve kopirane fajlove), ukoliko nije naznačeno drugačije. Ako pređete na karticu Backup Type prikazanu na slici 5, možete da izaberete neku od opcija iz tabele 2. Tabela 2: Podržani tipovi bekapovanja
Tip bekapovanja Normal (Normalno) Incremental (Inkrementalno) Differential (Diferencijalno)
Daily (Dnevno) Copy (Kopiranje)
Opis Kopira sve selektovane fajlove, a zatim resetuje bit arhive. Kopira sve selektovane fajlove sa postavljenim bitom arhive, a zatim resetuje bit arhive. Kopira sve selektovane fajlove sa postavljenim bitom arhive, ali ne resetuje bit. Kopira sve selektovane fajlove koji su bili editovani u danu kada je izvršeno bekapovanje. Kopira sve selektovane fajlove, ali ne resetuje bit arhive.
Možete da kombinujete ove tipove bekapovanja, kako bi se obezbedilo kompletno i efikasno bekapovanje fajlova. Najduži interval između dva bekapovanja verovatno iznosi jedan dan - ako izgubite više od jednog radnog dana, bi ćete u nevolji. (Gubitak i samo jednog radnog dana dovoljno je loš, i zato kompanije sa zaista kritičnim podacima koriste RAID za zaštitu svojih podataka). Dnevno izvršavanje normalnog bekapovanja oduzima mnogo vremena i prostora, tako da se normalno bekapovanje preporučuje u regularnim intervalima, recimo jednom nedeljno, a dopunjava se dnevnim diferencijalnim ili inkrementalnim bekapovanjem. Pokretanjem dnevnog diferencijalnog bekapovanja dobijate dnevne kopije svih fajlova koji su se promenili od poslednjeg kompletnog bekapa; inkrementalnim bekapovanjem kreirate kopije svih fajlova koji imaju postavljen bit arhive. I diferencijalno i inkrementalno bekapovanje predstavljaju dobru dopunu regularnom normalnom bekapovanju. Ja smatram da je diferencijalno bekapovanje jednostavnije za izvršavanje i obnavljanje, jer se u tom slu čaju obnavljanje servera sastoji u obnavljanju najskorijeg normalnog bekapa i poslednjeg diferencijalnog. Obnavljanje inkrementalnih bekapa ide nešto sporije, jer morate individualno da obnovite sve inkrementalne bekape izvršene od poslednjeg kompletnog bekapa. Ipak, inkrementalni bekapi se izvršavaju kra će od diferencijalnih. Dnevno bekapovanje u suštini ne predstavlja na čin za očuvanje podataka, ve ć više metod koji omogu ćava brzo pronalaženje fajlova koji se trenutno ne koriste, i zato se prebacuju na drugi medijum. Dnevno bekapovanje može da se pokaže korisnim ako se prebacuju korisni čki fajlovi na laptop zbog odlaska na put, ako klijent ne koristi Win2K Pro ili Windows XP (ili koristi neki uobičajeni kompjuter), tj. nema na raspolaganju opciju korišćenja komponente Offline Files. Kopiranje fajlova je korisno samo ako želite da kreirate kompletnu kopiju svih selektovanih fajlova bez resetovanja bita arhive. Ovakva akcija kopiranja predstavlja kopiranje fajlova na novu lokaciju.
11.7.3 Biranje načina na koji se beleže informacije o izvo đenju bekapa Log fajlovi bekapa predstavljaju korisnu alatku za otklanjanje grešaka. Ako nešto po đe naopako, možete da proučite ovaj tekstualni log fajl i tako otkrijete šta nije u redu. U stvari, nije loše barem pregledati log fajlove bekapa kreirane nakon bekapovanja, kako biste bili sigurni je da procedura protekla onako kako se o čekivalo. Koliko bi informacija trebalo zabeležiti? Pod normalnim okolnostima, alatka Backup beleži samo greške i zna čajne događaje, ali ako pre đete na karticu Backup Log okvira za dijalog Options (videti sliku 6), možete da isključite beleženje (loša ideja, jer time onesposobljavate alatku za otklanjanje grešaka) ili možete da izaberete beleženje svega (takođe loša ideja, osim ako nije reč o dnevnom ili možda inkrementalnom bekapu, jer bi log fajl mogao da bude toliko veliki da bi bilo izuzetno teško pronaći eventualne greške). Osim ako Vam iz nekog razloga nije potreban kompletan zapis, opcija sa zaključnim informacijama ( summary log option), inače podrazumevana opcija, verovatno predstavlja najbolji izbor.
Administriranje mreža 11.7.4 Koje bi fajlove trebalo uključiti u bekap? Čak i ako izvršavate kompletno bekapovanje, ne morate da snimite baš sve. Na primer, da li je zaista potrebno sa čuvati sadržaj fajla za strani čenje? Verovatno ne. Zbog toga, Windows Backup obi čno ne bekapuje fajlove koji ne sadrže stvarne podatke - korisni čki keš, fajl stranice, privremene Internet fajlove za osobu koja izvršava bekapovanje i sli čno. Ovu listu možete da korigujete sa kartice Exclude Files u okviru za dijalog Options (videti sliku 7). Dugmad Add New i Remove na ovoj kartici jasna su sama po sebi. Osim ako zaista nemate valjan razlog za uklanjanje nekog od ve ć isključenih fajlova iz liste, predlažem da listu ostavite takvu kakva jeste, jer su na njoj navedeni fajlovi koji u suštini ne sadrže nikakve podatke koje bi vredelo bekapovati. Ako želite da dodate još neke fajlove koje bi trebalo isključiti iz bekapa, klikom na dugme Add New otvarate okvir za dijalog prikazan na slici 8. Lista u gornjoj polovini okvira za dijalog sadrži sve tipove fajlova koje server prepoznaje. Morate da znate ekstenziju fajla koji bi trebalo da bude isključen iz bekapa, ali ozna čen je veliki broj ekstenzija, tako da možete biti sigurni da ste izabrali odgovaraju ću. (Ako ekstenzija nije ozna čena i ne prepoznajete je kao ekstenziju traženog aplikacionog fajla, fajlovi tog tipa su verovatno deo operativnog sistema i mogu se preinstalirati. Bitno je samo da proverite šta ste isključili pre nego što bekapovanje po čne.) U listi Registered File Type kliknete na tip fajla koji ne želite da bekapujete, a pomo ću kombinacije Ctrl+klik možete da selektujete više tipova istovremeno. Kada kliknete OK, vide ćete da se selekcija(e) dodala u listu isključenih tipova fajlova. Na primer, ako ne želite da bekapujete nikakve aplikacione fajlove (u principu, uvek možete da preinstalirate aplikaciju ako se ukaže potreba), onda u listi prona đite ekstenziju .exe, selektujete je i kliknete OK.
Slika 7 Promenite listu fajlova koji se isključ uju iz bekapa, ili promenite postavke za isključ ene fajlove
Slika 8 Izaberite neki od registrovanih tipova fajlova, ili unesite korisnič ki kreiranu ekstenziju
Tekstualno polje Custom File Mask služi za ekstenzije koje se ne nalaze me đu registrovanim tipovima fajlova (one koje ste sami kreirali za odre đene fajlove) ili za filtriranje fajlova po nazivu. Sintaksa za ovo maskiranje fajlova zavisi od toga da li se filtrira naziv fajla ili ekstenzija. Ako želite da iz bekapa eliminišete sve fajlove pod nazivom abc.*, onda bi u polje trebalo uneti abc - zvezdica nije neophodna. Ako želite da eliminišete sve fajlove sa ekstenzijom .abc, onda u polje unesite .abc (prime ćujete tačku). Podrazumeva se da se maska fajla primenjuje na ceo drajv C:. Ako želite da se primeni na neki drugi drajv, ili samo na određeni direktorijum, unesite novu putanju ili kliknite dugme Browse za otvaranje stabla fajlova iz kog možete da izaberete putanju na kojoj će se maska primenjivati. Možete da izaberete drajvove na lokalnoj mašini ili drajvove dostupne preko mreže . Kada kliknete OK za izlazak iz okvira za dijalog Add Excluded Files, informacije o putanju navode se zajedno sa tipovima fajlova koji će biti isključeni, na kartici Exclude Files. Tipovi fajlova koje ste isklju čili primeniće se na sve korisnike. Ako želite da izaberete tipove fajlova koji se isklju čuju samo u slu čaju trenutno ulogovanog korisnika (ne postoji način da naznačite nekog drugog korisnika ili grupu), kliknite na dugme Add New pri dnu prozora na kartici Exclude Files. Otvoriće se isti okvir Add Excluded Files koji ste viđali i ranije, i funkcionisa će na potpuno isti na čin. Jedina razlika se ogleda u tome što će se isključivati samo fajlovi tekućeg korisnika. Na primer, ako izaberemo da za sebe isključimo .doc fajlove, onda će se bekapovati svi .doc fajlovi drugih korisnika, ali naši fajlovi (koje smo kreirali i koje posedujemo) ne će. Primećujete da alatka za
Administriranje mreža isključivanje u suštini isključuje samo fajlove - ne možete da je koristite za uklju čivanje određenih tipova fajlova (ekstenzija) u bekap. Na žalost, izgleda da ne postoji nikakav metod koji bi omogu ćio definisanje bekapa samo za odre đene tipove fajlova. Čak ni pomoćni program NTBACKUP koji se izvršava iz komandne linije ne prihvata džoker znakove.
11.7.5 Opšte opcije za bekapovanje Na kartici General u okviru za dijalog Options nalaze se opcije koje su objašnjene u tabeli 3. Ove opcije kontrolišu postavke koje se ne uklapaju ni u jednu drugu kategoriju opcija. Tabela 3: Opšte opcije za bekapovanje i operacije obnavljanja Opcija Podrazum Znač enje
Enabled
Ovo je pomalo konfuzan na čin da se kaže da Backup broji fajlove i direktorijume koji će se bekapovati ili obnoviti pre preduzimanja konkretne operacije. Ja obično ostavljam podrazumevanu vrednost; ne će značajno produžiti vreme potrebno za izvršavanje operacije, a zahvaljujući ovoj informaciji nećete greškom bekapovati ili obnavljati pogrešan volumen ili za bekapovanje koristiti medijum nedovoljnog kapaciteta.
Enabled
Ovo je najbrži način da se Windows Backupu kaže da kreira listu svih fajlova i direktorijuma u bekapu. Ovu opciju bi trebalo onesposobiti samo ako obnavljate podatke sa više traka i nemate onu sa katalogom (prva traka) ili ako je katalog ošte ćen. Kada je ova opcija onesposobljena, Windows Backup skenira celu kopiju i pokušava da formira sopstveni katalog. Kako se trake sporo čitaju, ovo može da potraje kod velikih bekapa - možda i satima.
Disabled
Uključivanjem ove opcije nalažete pore đenje podataka na disku sa onima na medijumu za bekapovanje nakon kompletiranja bekapa i beleže se sve razlike. Iako verifikovanje produžava vreme potrebno za bekapovanje, preporu čuje se. Tako možete da otkrijete da li su fajlovi ispravno zapisani.
Back up the contents of mounted Enabled drives. (Bekapovanje sadržaja montiranih drajvova.)
Enabled
Normalno, montirani drajvovi (logički drajvovi mapirani za putanju drugog logi čkog drajva - više o njima možete da pročitate u Poglavlju 10) mogu da se bekapuju kao i svi ostali medijumi. Ako potvrdite ovo polje, podaci se ne će bekapovati - samo informacije o putanji
Show alert message when I start
Enabled
Ako servis Removable Storage Management (RSM)
Compute selection information before backup and restore operations. (Proračunavanje selektovanih informacija pre bekapovanja i operacija obnavljanja.)
Use the catalogs on the media to speed up building restore catalogs on disk. (Korišćenje kataloga na medijumu kako bi se ubrzalo formiranje kataloga za obnavljanje na disku.)
Verify data after the backup completes.(Verifikovanje podataka nakon kompletiranja bekapa.)
Enabled Backup and Removable Storage Management is not running. (Prikazivanje poruke upozorenja kada se startuje bekapovanje, a pri tome nije pokrenut servis Removable Storage Management.) Show alert message when I start Enabled Backup and there is compatible Import Media available. (Prikazivanje poruke upozorenja kada se startuje bekapovanje i registruje se kompatibilni medijum u Import poolu.) Show alert message when new Enabled media is inserted into Removable Storage. (Prikazivanje poruke upozorenja kada se novi medijum postavi u Removable Storage.) Always move new import media Disabled to the Backup media pool. (Uvek se novopostavljeni medijum prebacuje u logičku kolekciju medijuma za Backup.)
Administriranje mreža nije pokrenut, možete ga startovati iz objekta Services u direktorijumu System Tools u Local Computer Managementu. Ovaj servis mora da bude pokrenut ako se podaci bekapuju na RSM medijume kao što su magnetne trake.
Enabled
Enabled
Disabled
Ako je ovo polje potvr đeno i dodat je novi RSM medijum za skladištenje, Backup prikazuje poruku prilikom startovanja u kojoj kaže da je pronašao novi medijum za Import pool (na kom će se fajlovi arhivirati).
Ako je ovo polje potvr đeno, Backup prikazuje okvir za dijalog kada detektuje novi RSM medijum.
Ako je ovo polje potvr đeno, Backup pretpostavlja da bi trebalo svaki novodetektovani medijum dodati u logičku kolekciju medijuma za Backup, tako da bude raspoloživ za skladištenje bekapa
11.7.6 Snimanje opcija za bekapovanje Možete da definišete postavke za bekapovanje i da ih snimite tako da se mogu koristiti i kasnije. Pre snimanja najpre bi trebalo proveriti da li su izabrani fajlovi koji će se bekapovati. Nakon toga, u prikazu Advanced alatke Backup izaberite opciju Job/Save Selections. Otvori će se okvir za dijalog Save Selections koji pita da li želite da se skript za bekap snimi (normalno se snima u %systemroot%\Documents and Settings\%user-name%\LocalSettings\Application Data\ Microsoft \Windows NT\NT Backup\data). Ako u čitate snimljeni skript za bekap kada selektujete fajlove i direktorijume za bekapovanje, Backup pita da li želite da koristite trenutno selektovane direktorijume ili želite da se otkaže trenutna selekcija. Otkažite je radi u čitavanja skripta za bekap i bi ćete spremni za pokretanje novog bekapa. 11.7.7 Planiranje automatizovanog bekapovanja Da bi Vaši podaci bili sigurni, bekapovanje servera bi trebalo izvršavati barem jednom dnevno. Problem je to što je bekapovanje najbolje izvoditi kasno no ću, kada niko ne koristi mrežu. Kod NT-a 4, mogli ste da koristite komandu AT ili pomoćni program WinAT za planiranje bekapovanja kreiranog iz komandne linije. Počevši od Windowsa 2000, na raspolaganju su dva metoda za planiranje bekapovanja, jedan pomoću grafičkog korisničkog interfejsa, a drugi pomo ću komande AT koja izvršava skriptovani bekap kreiran sa ažuriranom verzijom programa NTBackup.exe za komandnu liniju. Postoje četiri načina za planiranje poslova iz Windows Backupa:
Administriranje mreža
Slika 9 Kada se kreira posao bekapovanja, možete da ga startujete odmah ili da ga isplanirate za kasnije U okviru Backup Wizarda jedna od naprednih opcija pita da li želite odmah da pokrenete bekapovanje ili ćete ga isplanirati za kasnije. Ako se odlu čite za planiranje, otvara se okvir za dijalog Schedule Job, kog ću uskoro objasniti. U okviru Windows Backupa, kada kreirate posao bekapovanja sa kartice Backup i kliknete dugme Start Backup, videćete okvir za dijalog koji traži da unesete naziv bekapa i omogu ćava startovanje odmah po kreiranju, ili planiranje za kasnije (videti sliku 9). Ako kliknete dugme Schedule, prelazite na okvir za dijalog Schedule Job. Ako se kreira novi posao bekapovanja, pre nego što snimite postavke za bekapovanje morate da snimite bekap i da navedete korisni čko ime i lozinku naloga koji se koristi za pokretanje operacije. Ako kreirate novi posao bekapovanja, možete da pre đete na karticu Schedule Jobs, gde ćete videti mesečni kalendar. Da bi se posao bekapovanja kreirao i isplanirao sa kartice Schedule Jobs, kliknite dugme Add Job u donjem desnom uglu ekrana čime se startuje Backup Wizard sličan onome koji je opisan u sekciji "Osnovne procedure bekapovanja" - jedina razlika izme đu ova dva čaarobnjaka tiče se naprednih opcija koje su uklju čene u glavni deo čaarobnjaka, umesto da ih dobijate klikom na dugme Advanced u njegovom finalnom ekranu. Me đu predstavljenim opcijama nalaze se opcije za pokretanje bekapa odmah po kreiranju i kasnije, s tim da se pod "kasnije" podrazumeva ponoć dana kada se posao bekapovanja kreira. Da biste isplanirali posao, selektujte opciju Later i kliknite dugme Set Schedule za otvaranje planera Bez obzira na koju se opciju odlučite, kartica Schedule okvira za dijalog Schedule Job izgleda kao na slici 10. Osnovne opcije su prilično jednostavne. Birate interval na osnovu kog želite da se bekapovanje pokreće (jednom, dnevno, nedeljno, mese čno, prilikom startovanja sistema, kada se dati korisnik uloguje ili kada je kompjuter neaktivan) i startni datum i vreme. Ako selektujete polje za potvrdu Show Multiple Schedules pri dnu ekrana, pri vrhu ovog okvira za dijalog pojavi će se nova padajuća lista, sa različitim intervalima i startnim vremenima koje ste izabrali za ovaj posao.
Slika 11 Napredne opcije za planiranje bekapovanja
Slika 10 Izaberite vreme i uč estalost izvođ enja posla bekapovanja
Administriranje mreža Dugme Advanced vodi Vas u okvir Advanced Schedule Options (videti sliku 11), i ove opcije se primenjuju samo ako želite da ponovite bekapovanje, zasebno od intervala postavljenog u glavnom ekranu planera. U ve ćini slučajeva ove opcije neće biti potrebne. Ne morate da ih koristite za planiranje poslova u regularnim intervalima; ove opcije su korisnije za kraće zadatke i u stvari najviše mogu biti potrebne ako zadatak izvršavate svakih 10 minuta ili sli čno. (Dobro je često bekapovati podatke, ali ipak ne treba preterivati.) Verovatnije je da ćete koristiti karticu Settings u glavnom okviru za dijalog Schedule Job (videti sliku 14). Odatle možete da definišete koliko bi dugo trebalo da se izvršava posao (bekapovanje koje traje više od 72 sata nije optimalno) i da li se posao briše iz liste zadataka kada se završi, osim ako nije planirano da se ponovo pokrene. Postavke Idle Time primenjuju se u slu čaju interakcije sa konzole - ulaz preko tastature ili miša - tako da ne bi trebalo da spre če pokretanje bekapovanja na serveru kom se pristupa sa mreže.
Slika 14 Konfigurisanje postavki posla za planirano bekapovanje Finalne opcije na kartici Settings, za napajanje sa baterije, verovatno se ne će primenjivati na server, osim ako često ne koristite laptopove kao servere. Ove postavke pomažu o čuvanje baterije tako što se manje bitni zadaci ne pokreću ako je koli čina napajanja ograni čena. Pristup hard disku zahteva dosta napajanja, tako da je bekapovanje izuzetno "skup" zadatak kada je napajanje slabo. Kada završite sa dodavanjem poslova u planer, oni će se prikazati na kalendaru u okviru kartice Schedule Jobs ( slika 15 ).
Slika 15 Planirani poslovi se prikazuju u kalendaru
Administriranje mreža Niste prinuđeni da uvek koristite iste opcije isplaniranog posla nakon njegovog kreiranja. Da biste izmenili postavke isplaniranog posla, samo kliknete na ikonicu u kalendaru i otvori će se okvir za dijalog Scheduled Job. Ako želite da izbrišete posao, samo kliknete dugme Delete. Klikom na dugme Properties menjate tajming i postavke za posao bekapovanja. Kartice Schedule i Settings iste su kao i kartice koje se prikazuju prilikom planiranja posla. Ipak, prikazuje se i potpuno nova kartica Task. Ovde možete da izaberete pokretanje drugog posla u planirano vreme, možete da nazna čite drugi korisnički nalog u čijem se kontekstu posao pokre će, a moguće je i kreirati neke identifikacione informacije za posao.
11. 8 Obnavljanje podataka Bekapovani podaci nemaju veliku korist ako se ne mogu vratiti na server odakle su potekli. Da biste obnovili fajlove, ponovo otvorite Windows Backup. Možete da pokrenete Restore Wizarda ili možete da pre đete na karticu Restore. NTFS 5 koristi neke atribute fajlova koji ne postoje kod FAT-a ili Windows NT verzije NTFS-a. Možda nećete moći da obnovite neke podatke koji su originalno bili snimljeni na NTFS 5 volumenu na volumene nižeg nivoa (FAT, FAT32 ili NTFS sa NT-om 4). Na primer, ako bekapujete šifrovane fajlove i kasnije pokušate da ih obnovite na FAT volumenu, dobi ćete poruku greške koja kaže da odredišna lokacija ne podržava neke sistemske karakteristike originalne, tako da se neki fajlovi (šifrovani) ne će obnoviti. U stvari, fajl se obnavlja, ali više nema atribut za šifrovanje. 11.8.1 Osnovne tehnike Da bi se fajlovi obnovili iz Restore Wizarda, startujte Backup i izaberite opciju za obnavljanje fajlova, ili (pomoću opcije Advanced View) pre đite na karticu Restore and Manage Media u okviru alatke Backup. Videćete uobičajeni pozdravni ekran. Nakon klika za prelazak na slede ći ekran, traži se da izaberete medijum sa kog želite da obnovite podatke (videti sliku 16). Raspoložive opcije zavise od vrste medijuma na koju ste bekapovali podatke.
Slika 16 Raspoloživi medijumi sa kojih se podaci Skupovi bekapa na medijumu navode se kao direktorijumi, opisani u skladu sa volumenom koji je bekapovan, veli činom, tipom bekapa i kraćim opisom. Ako je operacija bekapovanja bila prekinuta iz bilo kog razloga - od strane Windows Backupa ili samog korisnika - ne ćete moći da obnovite podatke. Takvi bekapi se i dalje prikazuju u okviru kataloga, ali će na mestu gde treba da stoji veli čina imati znak pitanja. Ovo je još jedan razlog više da proverite da li možete da obnovite bekape pre nego što Vam stvarno zatrebaju. Izvedite dvoklik na skup kako bi se kreirao katalog za njega, i nakon toga ćete moći da pretražujete njegov sadržaj. Potvrdite polja pored fajlova i direktorijuma u bekapu koje želite da obnovite. Kao i prilikom selektovanja fajlova koji će biti uključeni u bekap, potvr đeni direktorijum sa kompletnim sadržajem ima plavi znak potvrde; ako selektujete samo odre đene fajlove iz direktorijuma, potvrda će biti sive boje. Ako postoje bilo kakve greške unutar direktorijuma bekapa, direktorijum će imati crveni uskličnik, a isto važi i za konkretni ošte ćeni fajl. Nećete moći da obnovite bilo koji ošte ćeni fajl. Kada završite sa biranjem fajlova koji će se obnoviti, čarobnjak prikazuje ekran sa trenutno izabranim opcijama za obnavljanje podataka. Kliknite Back za promenu bilo kojih postavki za fajl ili medijum, ili kliknite dugme Advanced kako biste nazna čili novu lokaciju za obnavljanje fajlova ili promenili opcije za obnavljanje postojećih fajlova i informacije o prenosivom uređaju za skladištenje podataka. Napredne opcije koje izaberete primenjuju se na sve budu će operacije obnavljanja podataka, sve dok se ponovo ne promene. Na primer, ako promenite opcije tako da se fajlovi na hard disku uvek menjaju fajlovima iz bekapa, ta opcija ostaje važeća sve dok je ru čno ne promenite.
Administriranje mreža 11.8.2 Gde treba obnavljati fajlove? Ukoliko ne naznačite drugačije, Windows Backup obnavlja fajlove na njihovoj originalnoj lokaciji. Ali, šta ako obnavljate podatke na novi drajv sa oznakom drajva koja se razlikuje od originalnog? Ili, šta ako želite da se sadržaj dnevnog bekapa prebaci na Zip disk? Iz prvog ekrana u naprednoj sekciji Backup Wizarda možete da izaberete jednu od tri mogu će lokacije: Originalna lokacija Alternativna lokacija (fajlovi i direktorijumi će biti obnovljeni, struktura direktori-juma netaknuta, u odnosu na lokaciju koju nazna čite) Jedan direktorijum (svi fajlovi se postavljaju u okviru jednog direktorijuma u direktorijumu koji naznačavate, a struktura originalnog direktorijuma se gubi) Ako Windows Backupu kažete da obnovi fajlove na alternativnu lokaciju ili u jedan direktorijum, čarobnjak prikazuje tekstualno polje u koje unosite (ili tražite) putanju za obnavljanje. Na alternativnu lokaciju možete da postavite samo obi čne podatke, ne i sistemske konfiguracione informacije kao što su informacije Registryja. Svi sistemski konfiguracioni fajlovi moraju da se vrate na svoje originalne lokacije. Da biste promenili ovu opciju bez pokretanja Restore Wizarda, pre đite na karticu Restore and Manage Media u okviru alatke Backup. U donjem levom uglu ove kartice postoji padaju ća lista sa opcijama za lokacije na kojima će se podaci obnavljati. Sistemski podaci se moraju obnoviti na originalnu lokaciju. Postavlja se pitanje ‚‚Šta ako fajl sa takvim nazivom ve ć postoji?‚‚ Drugi ekran u sekciji sa naprednim opcijama Backup Wizarda govori Windows Backupu šta da radi ako na volumenu ve ć postoji fajl sa istim nazivom kao i fajl koji se obnavlja. Normalno, Windows Backup ne će zameniti fajl na postojećem medijumu, po principu da ako ve ć imate fajl, ne bi ga trebalo menjati. Me đutim, ponekad Vam je potreban fajl iz bekapa, a ne onaj sa hard diska. Na primer, na hard disku može da postoji Word dokument sa virusom, i sigurno ne ćete hteti da zadržite inficirani fajl.Da biste izašli na kraj sa situacijama u kojima je potrebno zameniti postojeći fajl sa hard diska, Backup podržava tri opcije za zamenu: Fajl na disku se ne menja onim iz bekapa (podrazumevana opcija). Fajl sa diska se menja onim iz bekapa ako je stariji od njega. Fajl sa diska se uvek menja onim iz bekapa. Na žalost, Windows Backup nema opciju na osnovu koje biste bili obavešteni o dupliranju fajla na medijumu na kom obnavljate podatke, ili da eventualno obezbedite novi naziv za fajl ukoliko ve ć postoji takav. Ovo će biti zgodno u slu čajevima kada obnavljate ošte ćene fajlove, ali ne morate da menjate baš sve fajlove koji ve ć postoje na disku. 11.8.3 Koje još podatke treba obnoviti? Sledeći ekran u sekciji sa naprednim opcijama Restore Wizarda pita koje sistemske informacije želite da zamenite (videti sliku 17). Ako obnavljate podatke sa NTFS 5 volumena na NTFS 5 volumen, Backup normalno obnavlja sve podatke vezane za NTFS: bezbednosne postavke, ta čke montiranja i spojne ta čke koje ukazuju na eksterno snimljene podatke. Replicirani ili klasterovani podaci normalno zadržavaju svoje postavke. Sta se dešava ako Windows Backupu kažete da ne obnavlja te postavke? Zavisi od toga da li se fajl ve ć nalazi na disku: Ako fajl postoji na lokaciji sa koje je bekapovan, onda će se primeniti bezbednosne postavke pridružene fajlu, čak i ako menjate fajl. Ako fajl ne postoji na disku (na primer, ako menjate izbrisani fajl) i odlu čite se da ne obnavljate bezbednosne postavke, onda obnovljeni fajl daje punu kontrolu za administratora lokalnog servera i za sistemski nalog - prethodne postavke se brišu. • •
•
• • •
•
•
Administriranje mreža
Slika 17 Sistemske informacije koje možete da obnovite zavise od fajl sistema sa kog su podaci bekapovani. FAT volumeni omogu ćavaju obnavljanje samo RSM baze podataka. Primećujete da zbog na čina na koji se bezbednosne postavke obnavljaju, ako odlu čite da se ne obnavljaju postavke za fajl koji je garantovao pristup grupi Everyone, mora ćete da ponovo ekslicitno potvrdite tu dozvolu. Spojne tač ke (junction points) predstavljaju fizičke lokacije na montiranom NTFS volumenu koje ukazuju na drugu oblast diska ili na drugi disk. Koriste se kada izaberete da montirate novi volumen na prazan direktorijum na NTFS volumenu umesto da tom direktorijumu dodelite oznaku drajva. Normalno, Backup obnavlja obe spojne ta čke i za fajlove i za direktorijume na koje ukazuju. Ako potvrdite polje koje kaže da treba obnoviti samo tačke, ne i podatke, možete izgubiti pristup podacima. Kada izaberete sve napredne postavke, kliknite dugme Finish na poslednjoj stranici čarobnjaka. Ako obnavljate podatke iz fajla, Windows Backup traži naziv fajla, a zatim kompletira obnavljanje. Za vreme procesa obnavljanja fajlova na disku, Windows Backup prikazuje okvir za dijalog Restore Progress. Kada se operacija obnavljanja podataka završi, okvir za dijalog Restore Progress ostaje otvoren. Klikom na dugme Report otvarate izveštaj o obnavljanju u okviru Notepad fajla. Tako đe, možete da izaberete i opciju Report iz menija Tools, a zatim birate izveštaj iz liste raspoloživih izveštaja. Izveštaj o obnavljanju podataka dodaje se na kraj izveštaja o bekapovanju koji je originalno kreiran za taj posao, tako da ako odmah ne vidite informacije koje ste tražili, skolujte stranicu na dole.
11.8.4 Obnavljanje konfiguracionih postavki Proces obnavljanja konfiguracionih podataka u suštini je isti kao i proces za obnavljanje bilo kojih drugih podataka - kada se to zatraži, izaberite direktorijum System State iz bekapa i startujte obnavljanje. Međutim, obnavljanje sistemskih podataka nije toliko jednostavno kao obnavljanje korisni čkih podataka. Ako ih obnavljate na njihovu originalnu lokaciju (tj. ne navodite alternativnu lokaciju), onda Windows Backup menja trenutne podatke o stanju sistema sa onima koje obnavljate. Ipak, ako ih obnavljate na alternativnoj lokaciji, na njoj će se smestiti samo Registry fajlovi, fajlovi SYSVOL direktorijuma i fajlovi za podizanje sistema. Na alternativnoj lokaciji ne možete da obnovite bazu podataka aktivnog direktorijuma, bazu podataka za Certificate Services ili za COM+ Class Registration. Da biste obnovili sistemske podatke na kontroleru domena, najpre morate da pokrenete kompjuter u Directory Services Restore modu, dostupnom iz menija Advanced Start kada se operativni sistem butuje. Za više detalja pogledajte narednu sekciju "Bekapovanje i obnavljanje aktivnog direktorijuma". 11.8.5 Bekapovanje i obnavljanje aktivnog direktorijuma Kao što sam ve ć rekao u ovom poglavlju, kada se odlu čite za bekapovanje sistemskih podataka sa kompjutera, sadržaj direktorijuma System State zavisi od uloge kompjutera koji se bekapuje. Ako kompjuter ima ulogu kontrolera domena, onda direktorijum System State uklju čuje aktivni direktorijum.
Administriranje mreža Bekapovanje aktivnog direktorijuma je prili čno jednostavno - birate bekapovanje sistemskih podataka na kontroleru domena. Međutim, obnavljanje nije toliko jednostavno kao kada je re č o korisničkim podacima, posebno ako je potrebno obnoviti podatke iz bekapa koji je stariji od teku ćih podataka u aktivnom direktorijumu. U ovoj sekciji ću govoriti o bekapovanju aktivnog direktorijuma, koliko dugo možete da čuvate te podatke i kako ih možete obnoviti - ili samo neki deo tih podataka. Bekapovanje aktivnog direktorijuma- Snimak stanja aktivnog direktorijuma možete da dobijete u bilo kom trenutku, bekapovanjem sistemskih podataka na kontroleru domena, bilo iz komandne linije ili pomoću grafičke alatke Backup. Da biste bekapovali aktivni direktorijum, morate da budete član grupe Backup Operators, lokalne grupe Administrators ili grupe koja ima pravo za bekapovanje sistemskih podataka. Obnavljanje aktivnog direktorijuma- Da biste počeli sa obnavljanjem informacija aktivnog direktorijuma, podižete kompjuter u Directory Services Restore Modu (pritiskate F8 dok se kontroler domena restartuje i birate opciju iz menija Advanced Options). Možete da obnovite ili celi ili samo deo aktivnog direktorijuma. O meniju Advanced Options ću diskutovati nešto kasnije u ovom poglavlju, a kako je jedna od njegovih stvaki od krucijalnog zna čaja za obnavljanje aktivnog direktorijuma, sada ću malo skočiti unapred, ali ću se kasnije vratiti na tu temu. Kada izaberete ovu opciju, vrati će Vas na glavni boot meni, prikazujući tekst pri dnu ekrana koji kaže da ste u DSRM-u Sistem se podiže u safe modu sa umrežavanjem (Safe Mode with Networking), pokre će CHKDSK za sve volumene i prikazuje ekran preko kog se možete ulogovati kao administrator lokalne mašine. Kada se ulogujete, pokrenite Restore Wizarda, birajući bekap u kom se nalaze sistemski podaci. Većim delom ova operacija podseća na obnavljanje korisničkih podataka. Međutim, dok budete prolazili kroz ponuđene napredne opcije, do ći ćete do ekrana prikazanog na slici 18. Nemojte samo na slepo da klik ćete kroz ovaj ekran, jer ovde izabrane opcije - posebno poslednja - određuju vrstu operacije obnavljanja koju izvršavate.
Slika 18 Napredne opcije za obnavljanje sistemskih podataka Dopustite da napravim malu digresiju. Normalna operacija obnavljanja fajla podrazumeva obnavljanje svih fajlova, uključujući objekte aktivnog direktorijuma, sa njihovim originalnim USN brojevima (update sequence numbers). Sistem za replikaciju aktivnog direktorijuma koristi USN brojeve za detektovanje i replikaciju aktivnog direktorijuma na svim kontrolerima domena na mreži. Sistem za replikaciju aktivnog direktorijuma ažurira stare podatke novijim podacima sa drugih kontrolera domena. Kod normalnih operacija, ovo je sasvim dovoljno. Ipak, postoji jedna nezgodna ta čka: svi podaci aktivnog direktorijuma koje obnavljate zadržavaju svoj originalni USN broj koji je sistem za replikaciju aktivnog direktorijuma koristio za detektovanje i prenošenje promena u AD-u izme đu kontrolera domena na Vašem domenu. Zbog toga, svi podaci koji se obnove u neautoritativnom modu (da li bi to bio "peša čki mod"?) izgledaju kao stari podaci i ne će se preneti na ostale kontrolere domena. Osim toga, sistem za replikaciju aktivnog direktorijuma odmah menja obnovljene podatke sa "novijim" podacima koji se nalaze na drugim kontrolerima domena, ukoliko postoje. Ako pokušavate da zamenite loše teku će podatke sa starijim ispravnim, ovo sigurno nije poželjan scenario. Autoritativno obnavljanje rešava ovaj problem, primoravajući domen da prihvati starije podatke i da prepiše nove. Pre autoritativnog obnavljanja, razmotrite kakav efekat ima na domen. Kada obnavljate bazu podataka aktivnog direktorijuma, između ostalog, obnavljate slede će stvari: Naloge korisnika i mašine Lozinke za naloge korisnika i mašine Grupe i organizacione jedinice Povereničke (trust) relacije (ili njihov nedostatak) sa drugim domenima • • • •
Administriranje mreža Međutim, ono što ne želite da uradite jeste uklanjanje novih naloga koji su kreirani nakon poslednjeg bekapovanja aktivnog direktorijuma. AD nije velika grudva sa jednim USN brojem, ve ć direktorijum objekata koji imaju sopstvene USN brojeve. Zato možete da izaberete obnavljanje samo delova aktivnog direktorijuma. Takođe, ako izvršavate autoritativno obnavljanje na domenu sa više kontrolera domena, svi objekti koji su kreirani u imenovanom kontekstu (u ovom primeru, kontekstu imenovanog domena) nakon kreiranja bekapa ostaju u okviru aktivnog direktorijuma. Na primer, recimo da ste u ponedeljak kreirali nalog ChristaA (koji je nakon toga repliciran na druge kontrolere domena), a zatim se kreirali bekap. U utorak ste kreirali nalog Christa - tako đe je repliciran na ostatak domena. U sredu ste izbrisali nalog ChristaA. U četvrtak izvodite autoritativno obnavljanje iz bekapa koji je kreiran u ponedeljak. Na domenu postoje oba naloga, i ChristaA i Christa, ne samo nalog ChristaA koji je bekapovan, jer dva naloga imaju jedinstvene USN brojeve - to su različiti objekti.
11.8.6 Vrste akcija za obnavljanje podataka Način na koji obnavljate podatke aktivnog direktorijuma zavise od vrste obnavljanja koje želite da izvedete. Obnavljanje celog domena od samog po četka i repliciranje podataka na sve kontrolere domena? Obnavljanje jednog kontrolera domena, bez repliciranja podataka na druge kontrolere domena? Obnavljanje određenih podataka iz aktivnog direktorijuma? Svaka od ovih akcija zahteva razli čitu vrstu procesa obnavljanja podataka. Da bi se obnovio ceo domen iz po četka - obnavljanje prve kopije svih repliciranih podataka i korišćenje tih podataka kao osnove za dalju replikaciju - izvršavate primarno obnavljanje. Na ekranu prikazanom na slici 25, podatke koji će se obnavljati obeležavate kao primarne podatke za sve replike. Na osnovu toga svi obnovljeni podaci aktivnog direktorijuma prepisuju sve ostale informacije direktorijumskog servisa na domenu. Da bi se kontroler domena ponovo u činio funkcionalnim, obnovite njegove sistemske podatke, ali nemojte da potvr đujete polje koje bi ovaj kontroler domena učinilo primarnim izvorom podataka za replikaciju. Ovo se naziva normalnim obnavljanjem. Svaki objekat u aktivnom direktorijumu zadržava svoj originalni USN broj. (U slu čaju da nije očigledno zašto obnavljate podatke koje može da prepiše neki drugi kontroler domena, uzmite u obzir činjenicu da je malo verovatno da se svaki objekat u aktivnom direktorijumu promenio od poslednjeg bekapovanja sistemskih podataka, i da je mnogo brže ovde replicirati nekoliko promena nego replicirati ceo aktivni direktorijum.) Do sada smo razmatrali scenarije tipa "sve ili ništa": obnavljanje celog aktivnog direktorijuma tako da postane primarni izvor podataka, ili ništa od toga. Me đutim, ponekad je potrebno obnoviti deo aktivnog direktorijuma; na primer, ako neko slu čajno obriše organizacionu jedinicu i sa njom sve objekte kompjutera ili korisnika u okviru te organizacione jedinice. Da bi se delovi aktivnog direktorijuma selektivno obnovili tako da postanu primarni izvori za replikaciju, potrebno je izvesti autoritativno obnavljanje. To je proces iz dva dela. Najpre izvršavate normalno obnavljanje. Zatim - a pre nego što restartujete server - pokre ćete NTDSUTIL, pomoćni program iz komandne linije koji omogućava selektivno ozna čavanje delova aktivnog direktorijuma za primar no obnavljanje. 11.8.7 Razumevanje "životnog veka spomenika" i trajanje bekapa Životni vek spomenika (tombstone lifetime) zvuči pomalo kontradiktorno. U stvari reč je o svojstvu objekta direktorijumskog servisa aktivnog direktorijuma (ista stvar kao i NTDS - NT Directory Service), koji predstavlja broj dana za koje izbrisani objekat postoji kao "duh" u aktivnom direktorijumu pre nego što se stvarno izbriše. Ovako obeleženi objekti se i dalje repliciraju, ali se u aktivnom direktorijumu prikazuju kao izbrisani. Proces održavanja pod nazivom "sakuplja č đubreta" (garbage collector) pokreće se svakih 12 sati na svakom serveru radi brisanja objekata čiji je "životni vek spomenika" istekao. (Ja bih ga li čno, čisto zbog nastavka metaforičnog izražavanja, nazvao "crkvenjakom" - "sakupljači đubreta" obično nemaju mnogo toga da urade sa spomenicima, ili ako imaju, ja ne znam za to.) Podrazumevana vrednost "životnog veka spomenika" iznosi 60 dana. Dakle, kakve ovo ima veze sa korisnim životnim vekom bekapa aktivnog direktorijuma? Prosto re čeno, ne možete da obnavljate podatke iz bekapa koji je stariji od "životnog veka spomenika". Ako to uradite, obnovljeni objekti će biti toliko stari da će inicirati replikaciju aktivnog direktorijuma i tako se nikada neće replicirati na ostale kontrolere domena, a obnovljeni kontroler domena nikada ne će dobiti replicirane podatke potrebne za brisanje objekata - zapise u kojima stoji da su objekti izbrisani uklonio je "sakuplja č đubreta". Krajnji rezultat je nekonzistentni aktivni direktorijum na lokalnom serveru, koji nema uvid u