Predavanja - Admnistriranje Mreza-novi

Administriranje mreža

1. Čas Mrežni operativni operativni sistemi i osnovni osnovni zadaci zadaci administriranja U oblasti računarstva nove tehnologije se uvode vrtoglavom brzinom. Kompanije su u stalnoj trci za svojim delom tržišta i za povećanjem profita zbog čega sve brže plasiraju inovacije u hardveru, softveru i modelima obrade podataka. vaki !" profesionalac, koji je u poslu duže od #$ minuta, zna da je jedina konstanta u ovom svetu % promena. &stati 'up%to%date( sa kompjuterskim tehnologijama je neumoljiv proces. )anas, ljudi iz ove struke moraju konstantno da vode računa o ogromnoj količini podataka koja koja je iz dana u dan dan sve veća i veća. veća. *edna od revolucionarnih promena u računarskoj tehnologiji dogodila se u zadnjoj deceniji. +irenje upotrebe mini i mikroračunara dovelo je do nastanka tehnologije obrade podataka po modelu klijent%server. Uvoenje mini računara stvorilo je uslove za ekonomsku opravdanost decentralizacije računarskih resursa do nivoa sektora preduzeća. U oblasti informacionih tehnologija, server predstavlja računarski sistem koji pruža usluge drugim računarskim sistemima - klijentima - klijentima.. Komunikacija izmeu servera i klijenta odvija se preko računarske mreže. mreže. aziv server najčešće se odnosi na ceo računarski sistem, ali se ponekada koristi i samo za hardver ili softver ili softver takvog takvog sistema. Klijent i server zajedno obrazuju klijent%server mrežnu arhitekturu. Kad se pod pojmom server podrazumeva računar, to se uglavnom odnosi na računar koji obavlja serverske poslove. erver se može sastojati od standardnih računarskih komponenti koje se ugrauju u obične desktop računare, računare, u slučaju da programi programi /aplikacije0 koji se izvršavaju na serverima serverima nisu složeni, odnosno hardverski zahtevni. erveri koji opslužuju složene progame, ili veliki broj korisnika, zahtevaju specijalizovan hardver koji je optimizovan za upotrebu na serverima. 1oseban hardver podrazumeva i hard diskove visokih performansi, prvenstveno brzine i pouzdanosti. 1rocesorska brzina nije od ključne važnosti pošto se većina servera bavi ulazno2izlaznim /!2& - input2output0 operacijama i ne koristi grafički korisnički interfejs /3U! - graphic user interface0. 1od serverom se podrazumeva i program koji od klijenta preko mreže prima zahteve, obrauje ih i opet preko mreže šalje odgovore klijentu. 1rogrami koji se koriste na serverima su posebno razvijani za serverske operativne sisteme i potrebe server%klijent okruženja. 1rimeri serverskih programa su )451, ), mail server, ruter i drugi. &perativni sistemi koji se koriste na serverima su specijalno dizajnirani za servere. a serverima se najviše koriste 6inu7, olaris i 8ree9) operativni 8ree9) operativni sistemi koji su razvijeni po uzoru na operativni sistem Uni7. Koriste Uni7. Koriste se i serveri iz :icrosoft ;indo???, erver >??@, erver >??A. Ba operativne sisteme za server karakteristično je= bezbednost bezbednost i pouzdanost, mogućnost rekonfigurisanja softvera i hardvera bez zaustavljanja sistema fleksibilnost mrežnog povezivanja. • • •

1.1 1.1

Svrh Svrhaa raču računa nars rski kih h mrež mrežaa i umre umreža žava vanj njaa 1rvo i najvažnije, umrežavanje vršimo pri pokušaju rešavanja odreenih problema, jer smatramo da nam kompjuterske mreže mogu u tome pomoći. 1rimera radi, kompanija u kojoj radimo će možda poželeti da postavi dopadljiv ;C9 sajt ili da stekne mogućnost slanja i primanja e%mail poruka, ili da instalira jednostavan server za štampanje u nekoj manjoj kancelariji. ve su ovo pojedinačni ciljevi, dok mreža predstavlja način, odnosno alat za njihovo postizanje. 1. Osnovni cilj svakog mrežnog projekta projekta sastoji se u pružanju pružanju neke vrste servisa. )rugo, postoji mnogo različitih servisa koje mreža može pružiti, pri čemu je za svaku vrstu servisa neophodan drugačiji softver, kako kako bi se ovi servisi uopšte mogli izvršiti. 1retpostavimo, na primer, da želite da postavite neki

ovog ??@ kompjuterskim mrežama, nosi naziv 'protokol za kontrolu prenosa2 !nternet protokol( /"ransmission 5ontrol 1rotocol2 !nternet 1rotocol - "512!10. "512!1 je osnovni mrežni protokol koji se upotrebljava na !nternetu, ali je isto tako činjenica da uopšte ne moramo biti na !nternetu da bismo koristili ovaj protokol. %. &kratko' klijenti i serveri serveri moraju govoriti istim mrežnim protokolom. protokolom. 1eto, kada jednom uspostavimo komunikacijske kanale i neposredno pre nego što informacije krenu da teku u oba smera, skoro je sigurno da ćemo morati malo ozbiljnije da se pozabavimo bezbednošću. bezbednošću. Dko Dko smo se već već opredili za upotrebu upotrebu takvog alata kao kao što su kompjuterske kompjuterske mreže, logično logično je da želimo biti sigurni da time nećemo povećati rizike svog poslovanja, a činjenica je da se ovaj alat može oblikovati tako da svi mogući rizici r izici budu maksimalno redukovani. (. Mrežama je potre)na sigurnost. +esto i poslednje, kada konačno podesimo svoj fantastični mrežni servis, biće neophodno da ljudima omogućimo način za pronalaženje tog sjajnog servisa. "o se može postići upotrebom takozvanog 'nazivnog( /naming 0 sistema. 1rema tome, naša poslednja mrežna definicija glasi= *. Mreže moraju korisnicima o)ez)editi o)ez)editi način za pronalaženje pronalaženje željenog servisa.

1.2 1.2

+užno užnost stii ad admin ministr istrat ator oraa sis siste tema ma )a bi se efikasno iskoristio neki mrežni operatvni sistem potrebno je mnogo više nego sesti za računar, uključiti ga i pokrenuti neku aplikaciju. )a bi sve to funkcionisalo na pravi način neko je prethodno morao da pripremi pripremi kako naš računar tako tako i računarsku mrežu na koju koju je on priključen. "aj "aj neko nije niko drugi nego administrator sistema. 3eneralno gledano svaki računar kao i svaka mreža mora da ima administartora sistema. Gećina adminstratora sistema su oni koji su instalirali i podesili softver i periferne ureaje u vreme isporuke računara. U večini slučajeva računari i ostaju u prvobitnom stanju jer većina korisnika retko menja te pšostavke. :eutim, ako korisnik odluči da svoj računar priključi na !nternet ili da promeni pozadinu svog desktopa, on automatski preuzima ulogu administratora sistema. "a "a nova titula donosi i neke obaveze, jer bilo kakva promena na računaru može izazvati njegov pogrešan rad ili još gore, dati mogućnost nekom nepoznatom uljezu da pristupi našem računaru. ijedan korisnik čiji je računar povezan sa !nternetom, nije imun na posledice lošeg administriranja sistema, kao što su to pokazali distribuirani napadi za uskarćivanje usluga usluga /))o% Distributed Denial of Service0 ili virusi i crvi koji su potresali !nternet zadnjih godina. 1osledice svih ovih napada bile bi mnogo manje da su administratori sistema bolje razumeli svoje obaveze i pravilno odradili svoj posao. Ddministratori Ddministratori sistema verovatno bolje razumeju potrebu da sa administracija sistema vrši gotovo svakog dana, za razliku od običnih korisnika koji smatraju da je dovoljno da se jednom podesi računar i da se više ništa ne dira. >


1o definiciji, administrator sistema predstavlja osobu koja ima pun pristup sistemu ili osoba koja je superuser 0 ili osnovni korisnik / root user 0. superkorisnik / superuser 0. :ogučnosti svih ostalih korisnika sistema koji nisu administratori su ograničena za razliku od administratora koji ima neograničena prava na sistemu= svim korisničkim nalozima, njihovim matičnim datotekama, svim konfiguracionim parametrima i svim sistemskim datotekama. &pšte je uvaženo pravilo da niko ne treba da se prijavljuje da radi sa sistemom kao administrator jer mnogi poslovi vezani za sistema mogu bezbednije da se obave na drugi način, o čemu ćemo govoriti kasnije. Kako administartor sistema ima sva prava na sistemu postoje mnoge njegove dušnosti ali je njegova prva i osnovna da zna šta radi sa sistemom. &bavljanjem tih dužnosti administrator može potpuno da prilagodi instalaciju potrebama sistema i omogući njen ispravan i efikasan rad. ve naredne pobrojane dužnosti javljaju se prilikom administracije bilo kog sistema i važe gotovo za sve mrežne operativne sisteme. 1. ,nsta ,nstalira liranje nje i pode pode-av -avanj anjee server serveraa Gećina serverskih operativnih sistema dolazi sa velikim brojem usluga i dodatnih programa koji omogučavaju instaliranje različitih serverskih opcija. U prvobitnim operat ope rativn ivnim im sistem sistemima ima pod podraz razume umeval valoo se da sve te usluge usluge i do dodat datni ni progra programi mi bud budii aktivi aktiviran rani. i. :eutim, :eutim, kako je rastao rastao broj računara računara tako su se i menjala menjala pravila ponašanja ponašanja ljudi koji su sa njima radili. *avio se jedan sloj takvih korisnika, slobodno ih možemo nazvati računarskim kriminalcima, čija je jedina zabava i svrha korišćenja računara da nekome nanesu neku vrstu štete= da umanje performanse rada drugih računara ili mreža, izbrišu podatke ili potpuno onesposobe tue računare. "akva realnost zahtevala je od mrežnih operativnih sistema da prilikom osnovne instalacije isključe sve usluge, osim one osnovne, dok se one ne aktiviraju i odgovarajuće podese. podese. )užnost adminstartora sistema je da odredi koje usluge su potrebne da se koriste, da ih omogući i pravilno podesi. epotrebne usluge, koje se u sistemu ne koriste ne treba omogućavati omogućavati jer to predstavlja potencialni rizik po bezbednost celog sistema. "akoe, usluge koje nam trebaju a ne znamo da ih pravilno konfigurišemo, bolje je isključiti nego nepravilno podesiti i omogučiti drugima da uu u naš sistem. 2. ,nsta ,nstalira liranje nje i podepode-ava avanje nje aplik aplikaci acija ja 1odešavanje i prilagoavanje aplikacija je u izvesnoj meri posao korisnika, korisnika, ali ne sasvim. Kostur konfiguracije konfiguracije / skeleton0 predstavljaju podrazumevani podrazumevani parametri neke neke aplika aplikacij cije, e, ko koje je defini definiše še i pos postav tavlja lja admin administ istrat rator or.. "i parame parametri tri predst predstavl avljaj jajuu osnov osnovuu za korišćenje aplikacije i bez njihovog postavljanja, aplikacije ne može da radi. Gećina kompanija podržava politiku da se ne dozvoli instaliranje aplikacija za koje dozvolu nije dao administrator sistema. )va su osnovna razloga= bezbedonost sistema i nelegalno korišćenje kopiranog /piratskog0 softvera. U doba kada se u računarskom svetu svakog dana pojavljuju neki zaraženi softveri /virusi, crvi, trojanci, ...0, postoji velika verovatnoća, da se nekim neovlašćenim programom, naruši integritet celok celokupn upnog og siste sistema ma,, sa nesagl nesagledi edivim vim pos posled ledica icama ma po njega njega.. a druge druge strane strane treba treba spreć sprećiti iti i instaliranje nelegalnog softvera za koji nije kupljena licenca. Korišćenje nelegalnog softvera podleže krivičnoj odgovornosti, kako administartora sistema, tako i kompanije u kojoj se taj softver koristi. Kako je administrator sistema najodgovorniji za pouzdan rad sistema kao i korišćenje legalnog softvera, jasno je da on treba da preduzme sve potrebne mere da obezbedi pouzdan i legalan rad sistem. 9aš zbog toga gotovo svi administratori sistema se slažu da kod administriranja sistema važi jedno HHsurovoH HHsurovoHHH ali zlatno pravilo= što se manja prava daju korisnicima to je sistem bezbedniji, pouzdanije radi, radi, a samim tim je smanjen smanjen posao administratora administratora.. !. ravlj ravljenje enje i održav održavanj anjee korisnič korisničkih kih nalog nalogaa Ba svakog korisnika koji želi da radi se računarom i mrežnim sistemom, mora da postoji korisnički nalog. !sti je slučaj i za svaki računar gde imamo računarski nalog. 1ravila dobrog ponašanja podrazumevaju da niko ko se nije prijavio na sistem ne može da radi sa njim. 1re nego što napravi naloge za korisnike, administrator mora da donese neke odluke koje se odnose na taj nalog. Kao prvo to se odnosi na politiku lozinki. Ko ih kreira, kako se menjaju, koliki vremenski period važe, koliko su složene i td. Batim koja prava treba dodeliti tom korisničkom nalogu= sa kojim programskim paketima mu dozvoliti da radi, koliki prostor na disku ima taj nalog, kojim datotekama mu omogućiti pristup i kakav, u kom vremenskom periodu mu omogućiti rad i td. Dko ima više sličnih korisnika korisnika bolje napraviti grupni nalog koji će važiti za sve njih. njih. )ono )onošenje šenje ovih ovih i nekih drugih drugih odluka, odluka, deo je dužnosti dužnosti administrato administratora ra sistema u upravljanju upravljanju korisničkim nalozima. 9ez obzira na to da li ova pravila utvruje administrator ili rukovodstvo preduzeća, preduzeća, njih svakako treba propistai radi zaštite svih zainteresovanih. &bično važi pravilo da se to uradi u pisanoj formi. @


%. ,nstaliranje' pode-avanje i održavanje korisničkih servisa i opreme Geć smo ranije pomenuli da svaki mrežni operativni sistem u sebi poseduje i veliki broj dodatnih servisa i usluga koje nudi klijentima. &vde se prevashodno misli na 1I!", 8"1, ;C9, i :D!6 servise koji su danas u najširoj upotrebi. "eško je zamisliti neku mrežnu instalaciju koja ne podržava ove dodatne usluge. 9roj tih usluga sve više raste tako da nije redak slučaj da se vide i mnogi multimedijalni servisi kao što su !1 telefonija, !1 televizija i video konferencije. &vde možemo da svrstamo i instaliranje G1 / Virtual Privaty Network 0, jedne lepe mogučnosti koja nam omogućava da u okviru zajedničke mrežne strukture postavimo i privatne mreže. a toj mreži biće samo oni računari za koje administrator da odobrenje, dok će sva ostala infrastruktura ostati potpuno ne promenjena. &državanje hardvera računara kao i aktivne2pasivne mrežne opreme takoe sa smatra kao jedan od zadataka administratora. (. ravljenje rezervnih kopija i njihovo vra$anje 1otreba za pravljenjem rezervnih kopija postojaće sve dok oprema ne postane savršena i dok ljudi ne izgube želju za uništavanjem tuih resursa. 9ez kopija podataka teško možemo da vratimo neki sistem ukoliko doe do neke greške u hardveru sistema, bude narušena bezbednost sistema ili doe do greške u administraciji sistema. &vaj zadatak takoe spada u isključivu nadležnost administratora. amo on može da napravi rezervne kopije kao i da iz njih restauira sistem. "o pred njim postavlja novi zadatak jer je potrebno da se napravi celokupna strategija pamćenja i vraćanja podataka koja podrazumeva sledeće= šta, koliko često, kako, gde i kada pamtiti rezervne kopije. ve podatke koji se nalaze u računarskom sistemu možemo podeliti na tri velike grupe= sistemske podatke /operativni sistem, drajveri0, programske podatke /instalirane aplikacije0 i prikupljeni podaci/baze podataka koje popunjavaju korisnici0. 1ostavlja se pitanje šta od toga treba pamtiti J U kojim vremenskim intervalima to treba raditi i da li su ti intervali isti za sve vrste podataka J )a li je potrebno pamtiti kompletno sve podatke ili samo izmene od prethodnog pamčenja J Koji je medijum bolji za pamćenje podataka= magnetni medijum /trake ili hard diskovi0 ili optički medijum /5) i )G)0 kao i da li je bolje to imati u sastavu samog računara%servera ili imati posebne zasebne magnetne jedinice za pamčenje J Koje je vreme najbolje za pravljenje rezervnih kopija J ve su to pitanja na koja administrator mora da ima odgovor. 1oseban problem se javlja kada je potrebno vratiti rezervne kopije nazad u sistem. &bično se tada i dešavaju najveći propusti jer se to radi pod dosta velikim pritiskom. Bato se preventivno prave planovi oporavka sistema kojih se u kriznim situacijama treba držati. *. /adgledanje i pode-avanje perormansi 1odešavanje sistema je stalan proces u kome se koriste razne dijagnostičke alatke kao i alti za nadgledanje rada sistema. eke od odluka donose se pri samoj instalaciji sistema a neke je potrebno doneti nakon odreenog perioda rada. 1ravilno nadgledanje omogućava administratoru sistema da na vreme otkrije neke nepravilnosti u radu i pravovremeno ih otkloni. 1ored toga mnogi dijagnostički programi mogu da nam ukažu na loš rad neke od komponenti koju tada treba preventivno zameniti da ne bi u potpunosti otkazala. ekada je potrebno i ispravnu komponentu zameniti sa nekom robusnijom i efikasnijom kako bi ubrzali rad sistema. Ukoliko želimo da izvučemo maksimum iz našeg sistema neophodno je da pažljivo nadgledam naš sistem i primenimo dijagnostičke programe za pravovremeno pronalaženje problema. 0. O)ez)e#ivanje sistema Gerovatno da je bezbednost računar i integritet podataka jedan od najvažnijih zadataka administracije sistema. &n mora da obezbedi da se nijedan podatak sa računara ili mreže ne ošteti, bilo to iz razloga da otkaže neka hardverska komponenta, bilo greškom u podešavanju sistema, namernom ili slučajnom greškom korisnika sistema ili pak zlonamernim upadom spolja. tepen zaštite sistema u mnogome zavisi od toga na kojoj se mreži nalazi naši računari, od osetljivosti podataka kao i potreba za koje se oni koriste. &na može da bude fizička i tehnička. 1od fizičkom bezbednošću podrazumevamo da osiguramo računar da radi u optimalnim vremenskim uslovima, da ga obezbedimo od fizičkog pritupa neovlašćenih lica kao i da sprečimo njgovo moguće fizičko oštećenje. "ehnička bezbednost podrazumeva podizanje softverskih barijera / firewall 0 i proxy servera, koji treba da spreče neovlaćeni pristup spolja, kao i da onemoguće korišćenje sumnjivih sajtova na !nternetu. provoenje bezbedonosnih mera je trajan proces. 1ostoji čuvena izreka da je jedino potpuno bezbedan računar onaj koji nema nikakvih podataka, nije priključen na nikakvu mrežu, nije priključen na električno napajanje i nema prikačene nikakve ulazne ureaje /miš i tastaturu0. Dko bi sve ovo bilo ispunkeno postavlja se pitanje za šta bi koristio takav računar. 1osao administratora je da 


pronae pravu meru izmeu maksimalne koristi i najstrože bezbednosti, imajući u vidu da bezbednost računara danas ne znači i njegovu bezbednost sutra. . ra$enje dodataka i novih verzija *edan od zadataka administratora sistema je da spreči da se računar koristi u nedobronamerne svrhe kao i da se odbrani od spoljašnjih upada. vedoci smo da je broj nelegalnih upada u sistem kao i raznolikih destruktivnih softvera iz dana u dan sve veći i veći. :nogi proizvoači bezbedonosnog softvera daju nam svakodnevno nove definicije tih napada kao i odgovarajućih alata da se oni spreće ili otklone. a druge strane i proizvoači mrežnih operativnih sistema pronalaze mnoge propuste u svome softveru tako da sa vremena na vreme objavljuji svoje dodtake tkz. service pack . Ddministrator koji pretenduje da mu njegov sistem bude maksimalno zaštićen, mora sve to da prati i preuzima odgovarajuće mere kako bi preventivnio zaštitio svoj sistem.

,, čas &vod u ,/+OS S34534 266! 2.1

&vod u ,/+OS S34534 266! U samim začetcima računarske industrije samo su neke velike firme mogle da priušte sebi privilegiju da imaju glomazne centralne računare koji su bili jako skupi. U to vreme, veoma mali broj kompanija /!9: i )igital CLuipment 5orp 0 je proizvodio računare pa su samim tim i držali monopol nad njima. &samdesetih godina prošlog veka dolazi do velike ekspanzije malih personalnih računara koji drastično menjaju odnose na računarskom tržištu. 1ojavljuje se sve veći broj kompanija koje prave te računare, konkurencija je sve veća, što doprinosi smanjivanju cene sa jedne strane i nevienog napretka u jačini tih računara sa druge strane. Iačunari nisu više privilegija velikh firmi, već su postali sastavni deo svakog domaćinstva kao normalna potrebština. )anas, gotovo svako može da kupi računar, da se poveže sa mrežom svih mreža !nternetom, i da mu velika moć bude na dohvat ruke. ! ono što fascinira u svemu tome, je neverovatna brzina kojom računari zahvataju gotovo svaku poru ljudskog stvaralaštva. 3otovo da ne postoji ni jedna ljudska delatnost u kojoj oni nisu pronašli neku upotrebu. :eutim, sa velikim razvojem računarske industrije, razvio se i onaj drugi, tamniji deo, a to je računarski kriminal. ve je veći broj ljudi koji pokušavaju da na nelegalan način dou do zarade ili unušte mukotrpan rad drugih ljudi. 4iljade novih računarskih virusa koji se pojavljuju svakog meseca čine da rat virusa i antivirusnih programa besni nezamislivom žestinom. 4akeri upadaju u privatne mreže firmi širom sveta. ije redak slučaj da pojedine kompanije unajmljuju softveraše, čiji je prevashodni zadatak da od konkurencije ukradu najnovije pronalaske ili da na bilo koji način usporavaju ili onesposobljavaju njihove računare. Bloupotreba i prevara vrebaju svuda na mreži. Ianije smo naveli da pouzdana #??M zaštita računarskog sistema, a da se očuva njegova upotrebna vrednost, ne postoji. :eutim, mi možemo da obezbedimo svoj računar tako da bar učinimo nedostupne neke stvari ili pak da znatno otežamo pristup nekim resursima koji ne mogu da se obezbede. igurno da odlučujuću ulogu u tome igra jedan pouzdan mrežni operativni sistem. e postoji ni jedan aplikacioni softver koji će bolje zaštititi vaš sistem od operativnog sistema koji to može da uradi na najnižem nivou - fizičkom, jer neposredno upravlja svih hardverskim komonentama u sistemu. U izboru mrežnog operativnog sistema odlučuju i mnoge druge komponente, ali je ova bezbedonosna, sigurno jedna od odlučujućih. 1revashodna uloga administratora mreža je da u tom mrežnom ratu, u kome konkurencija uspeva da obezbedi sve jača i moćnija oružja, pravilnim izborom operativnog sistema, njegovim postavljenjem kao i njegovim stalnim preventivnim održavanjem, ako ne spreči, bar maksimalno oteža neovlašćen pristup. U izboru mrežnih operativnih sistema izdvojila su se dva pravca koja danas gospodare gotovo svim mrežama i to su U!N26!UN i ;!)&;. "eško je podvući crtu i opredeliti se za neki od njih, tj. da je neki mnogo bolji od drugog. ! jedan i drugi pravac stalno prate najnovija dogaanja i stalno unapreuju svoje operativne sisteme novim verzijama koje nude sve bolja i bolja rešenja i dodatne servise. 2.2

indo7s server 266!8kratka istorija !storija ;indo godine sa pojavom prvog operativnog sistema koji je imao integrisanu podršku za umrežavanje više računara= indows for orkgroups @.#. *ednostavnost u instaliranju i korišćenju mrežnih resursa, donelo je revoluciju u upotrebi mreže meu 15 računarima. Korisnici su mogli samostalno da podešavaju mrežne servise= da dele štampač i da odreuju koje fajlove će deliti sa ostalim korisnicima koji koriste isti operativni sistem ili :%)&. &va verzija $


operativnog sistema je imala je i programe za elektronsku poštu / !icrosoft !ail 0 i organizator za radne grupe /Schedule P0. ledeće godine izašla je poboljšana verzija, indows for orkgroups @.## koja je doživela još veću popularnost. :eutim, mnogi smatraju da je tek sa pojavom ;indo???. godine izlaze indows !) i indows *'''. indows !) je nastavak na seriju ;indo??@ još u beta verziji. 9eta verzija ovog dugo očekivanog operativnog sistema pokazala se kao veoma stabilna, administratorima sistema pruža mnogo novih mogućnosti, a poboljšanje performansi u odnosu na ;indo??? je neverovatna. erver >??@ predstavljen je >.aprila >??@ godine, kao naslednik indows Servera >???, koji je smatran od strane :icrosofta za kamen temeljac njihove indows Server System linije. ova unapreena verzija indows Server >??@ se pojavila decembra >??$, a njegov naslednik indows Server >??A izašao je februara >??A. indows Server >??@ je složen operativni sistem, koji se znatno razllikuje od indowsa >??? i ranijih mrežnih operativnih sistema. )obra osobina je da indows >??@ dolazi sa takozvanim kompatibilnim modom koji omogućava da se starije aplikacije izvršavaju sa većom stabilnošću. indows >??@ Server je prvi operativni sistem koji je objavljen od strane !icrosoft korporacije posle objavljivanja "rustworthy (omputing publikacije /publikacija koju je objavio "he (ommittee on +nformation Systems "rustworthiness , kojom se definiše sigurnost i pouzdanost operativnog sistema S$T0. Kao rezultat ovoga indows >??@ Server je izašao sa brojnim sigurnosnim izmenama i dodacima. indows Server >??@ nije svemoćan čim se (izvadi iz kutije, ali ima sve alatke potrebne za efikasno administriranje mreže. :eu tim alatkama su one za integrisanje sa razvojnim okruženjem .C" 8rame???. godine, pod razvojnim imenom ' histler Server (, potom je naziv promenjen u 'indows *''* Server ( za kratko vreme tokom >??#. godine. 1otom je preimenovan u 'indows.N)" Server ( kao deo !icrosoft % ovog truda da promoviše svoj novi razvojni alat, !icrosoft.N)" . !pak, zbog straha da će napraviti konfuziju na tržištu o tome šta .N)" znači, :icrosoft je uklonio . N)" iz naziva tokom >??>. godine u pretposlednjoj beta verziji. Konačno >??@. godine je izašla poslednja verzija :icrosoftovog serverskog operativnog sistema pod nazivom !icrosoft Server *''#.

R


2.!

,zdanja indo7s Server 266! a pojavom ;indo???, :icrosoft je uveo jednu novinu jer je objavio i čitavu familiju novih server operativnih sistema. "radicija se nastavila i u ;indo??@. 1ostoji, zapravo, veliki broj različitih verzija ervera >??@, ako računamo R%bitnu verziju, ugneždene /embedded0 verzije, itd., ali prema zvaničnoj specifikaciji ovaj softverski proizvod može se nabaviti u sledeća četiri 'proizvodna izdanja(= ;indo??@, tandard Cdition ;indo??@, Cterprise Cdition ;indo??@, )atacenter Cdition ;indo??@, ;eb Cdition • • • •

indo7s Server 266! 9 Standard 3dition ;indo??@ - tandard Cdition je pouzdan, multifunkcionalni mrežni operativni sistem koji ima sve osnovne funkcije koje su potrebne za podršku malih do srednjih mreža. 1održava servise direktorijuma, datoteka, štampanja, aplikacija, multimedije i ;eb servise. :eutim ova verzija ima i sledeća ograničenja= :ogu se koristiti maksimaslno četri procesora na jednom serveru ije dozvoljeno više 39 memorije, od toga operativni sistem rezerviše >39 za sopstvene potrebe, što znači da za aplikacije na serveru ostaje >39. Bbog ovih osobina tandard Cdition je pogodan za manja preduzeća • •

indo7s Server 266! 9 3nterprise 3dition Cnterprise Cdition predstavlja nadgradnju na tandard Cdition. !ma sve mogućnosti kao i tandard Cdition plus alate koji poboljšavaju pouzdanost, dostupnost i sigurnost na mreži. 3lavna razlika je u tome što Cnterprise Cdition podržava rad sa serverima visokih performansi= 1održava do osam mikroprocesora na serveru 1održava @> 39 ID:%a, gde se za operativni sistem rezerviše samo #39 memorije omogućavajući ostalim aplikacijama na serveru da koriste do @39. 1održava :icrosoft :etadirectorE ervices /::0, koji omogučavaju integraciju više direktorijuma, baza podataka i datoteka u aktivni imenik • •

•

V


1oseduje ;indo??@ - Cnterprise Cdition namenjen je za upotrebu u srednjim i velikim poslovnim sistemima. &vaj operativni sistem karakterišu visoka pouzdanost i performanse. •

•

indo7s server 266! 9 +atacenter 3dition ;indo??@ - )atacenter Cdition je najmoćnija verzija u ;indo??@ familiji. Kao i Cnterprise erver Cdition, )atacenter Cdition predstavlja nadgradnju na tandard Cdition. Iazlika je u tome što )atacenter Cdition podržava mnogo više procesora i memorije u jednom serveru= 1održava i do @> procesora na jednom serveru :ože se ugraditi ID: memorija od R39 kod @>%bitnih i $#>39 kod R%bitnih platformi. :icrosoft je projektovao )atacenter Cdition tako da bude najstabilnija, najpouzdanija i najmoćnija verzija ;indo??@. Kao takav, ovaj operativni sistem je i najskuplji u familiji i ujedno i jedina verzija koju na možemo kupiti i instalirati sami. 1rodaje se samo kao &C: verzija, uz vrhunske serverske platforme i u potpunosti podržava @>%bitne, R%bitne i #>A%bitne /dve R%bitne0 platforme. )atacenter je namenjen velikim preduzećima kojima su potrebni najmoćniji i najskuplji serveri koji retko 'pucaju( i retko se moraju restartovati. • •

indo7s Server 266! 9 e) 3dition &snovna ideja kod izdavanja ove verzije je bila da se ue na sve veće tržište ;C9 servera. ;indo??@, ;eb Cdition, je specijalno dizajniran da omogućujući korisnicima jednostavan razvoj ;C9 stranica, prezentacija, lokacija i servisa.. ;eb Cdition je optimizivan za :icrosoftov !nternet !nformation ervices / ! !  0 ;eb server platformu. ;eb server izdanje ne podržava neke od naprednih servisa, kao što su= apredni alati koji obezbeuju sigurnost na mreži, kao na primer !nternet Duthorization erver /!D0 8a7 servise 3ate 39 ID: memorije neograničen broj anonimnih ;C9 povezivanja, ali samo do #? dolazećih :9/erver :essage 9lock0 eza ;eb edition je, kao što mu i samo ime kaže, idealno za servere koji se koriste kao !nternet ili intranet serveri. •

• • • •

• • •

2.%

riprema za instaliranje indo7s Servera 266! 1re nego što krenemo sa instalacijom potrebno je isplanirati neke stvari kako kasnije ne bi došli u situaciju da nešto ne možemo da uradimo, pa moramo da ponovimo postupak iz početka. ajčešće teškoće pri instalaciji nastaju zbog greške u planiranju /pogrešno definisanje particija, kreiranje server člana kada on treba da bude kontroler domena ili neka druga jednostavna stvar0. !nicijalno svaka instalacija počinje sa instalacijom osnovnog serverskog programa. Kada se jednom pokrene stabilan server, on može da se promoviše u kontroler domena. 1roširenja, poboljšanja i nove osobine povećavaju mogućnost da proces protekne glatko, ali i dalje je potrebno da se unapred definiše neki plan. 1laniranje ne služi samo za sprečavanje grešaka, već može da se od instalacije učini i nešto više od prostog postavljanja ;indo??@. 1ravilnim planiranjem, mogu da se prilagode osobine i proširenja A


;indo??@, tako da se buduće instalacije obave brže i lakše. Bato treba uraditi sledeće stvari= 1roverimo 1roverimo minimalne minimalne sistemske sistemske zahteve, zahteve, tako što ćemo posetiti :icrosoftov :icrosoftovuu ;eb ;eb lokaciju lokaciju i pročitati odeljak Estem Estem IeLuirements IeLuirements za ;indo??@. >??@. 1ročitamo uputstva za instaliranje i napomene uz konkretno izdanje ;indo??@, koja se nalaze na njegovim kompakt diskovima. &dlučimo da li ćemo da nadograditi postojeći ili instalirati novi operativni sistem. &dlučimo kako ćemo plaćati korišćenje /licencu0= po serveru ili po radnom mestu. &dluč &dlučimo imo da li nam nam je potreb potrebna na mogućn mogućnost ost biran biranja ja ope operat rativn ivnog og sistem sistemaa prilik prilikom om svakog svakog pokretanja računara. računara. Utvrdimo da li nam za instalaciju treba posebna particijaJ !zaberemo komponente koje ćemo instalirati, odnosno odredimo namenu servera. &dlučimo kako ćemo rešiti umrežavanje, !1, "512!1 i razrešavanje imena. &daberemo radne grupe ili domene. !zvadimo kablove svih U1 ureaja. 1ostupak instaliranja pokušava da prepozna sve ureaje priključene ne serijske priključke računara, pa bi U1 mogao da izazove poteškoće u procesu prepoznavanja. prepoznavanja. 2.%.1 2.%.1 Sistems Sistemski ki zahtev zahtevii i iz)or iz)or hardve hardvera ra •

•

• • •

• • • • •

U bilo kojoj primeni računara sistemski resursi igraju glavnu ulogu i u osnovi odreuju kvalitet aplikacije koja se izvršava. izvršava. Kod mrežnih mrežnih operativnih operativnih sistema taj resurs, resurs, možda i najviše najviše dolazi do izražaja. izražaja. U suštini suštini ne postoji neka tačna podela na serverski i klijentski hardver, tj. bilo koji računar može biti i server i klijent. 1itanje se postavlja samo sa mo na kvalitet usluge koji računar sa takvim resursima može da daje. Bato got ovo svaki proizvoač

mrežnih operativnih sistema, preporučuje odgovarajuče sistemske resurse u zavisnosti od namene servera na kome će taj softver raditi. "ri resursa tu igraju glavnu ulogu i to su= :rzina ;& !ako se erver >??@ može pokrenuti i na nečemu što je tako sporo kao računar koji radi na >RR:4z, po preporuci proizvoača minimalna brzina koju procesor treba da poseduje jeste ,##!-. !pak, preporučljivo !pak, preporučljivo je koristiti procesore koji funkcioniše na većim frekvencijama od bar #34z. pa na više. aravno, da jači i brži procesor daje i mnogo bolje rezultate, kao i upotreba višestrukih procesora. 5eličina operativne memorije 8 4$R ID:%a, dok će računari na kojima se izvšavaju W6 erver, C7change erver, !! i slične aplikacije, zahtevati bar nekoliko gigabajta ID:%a za nesmetani rad. 1reporuka proizvoača je da ;indo??@ radi na minimumu od $#>:9. a druge strane, veća količina memorije otvara veći prostor za pojavu hardverskih otkaza u memorijskim čipovima, te je upravo zbog toga neophodno upotrebiti memoriju sa takozvanim 'kodom za ispravljan ispravljanje je grešaka( grešaka( )(( /3rror ;orrecting ;ode0. 3ubitak podataka može da nastane zbog lošeg memorijskog čipa, ali do gubitka podataka mogu da dovedu i slučajni dogaaji /statički elektricitet, kolebanje kolebanje elek.nap elek.napajanj ajanja0. a0. )(( je je dobar zato što ne samo da detektuje greške u memoriji, nego ih automatski i koriguje. U slučaju da doe do promene napona, )(( detektuje detektuje problem i rešava ga bez ikakvog upozorenja korisniku. 5eličina sekundarne memorije =>++? 9azična, ogoljena / bare/bones 0 instalacija operativnog sistema ;indo??@, tandard Cdition, progutaće oko #.$39 #.$39 slobodnog prostora na hard disku. aravno, aravno, na svoj hard disk možemo možemo poželeti da, osim &%a, instaliramo i neke druge programe, tako da će nam trebati znatno više od toga - koliko tačno više zavisiće prvenstveno od toga šta želite da postignete sa svojim serverom. !pak, preporuka je da ne bi čak ni trebalo započinjati instalaciju bez minimum 39 raspoloživog prostora na disku. 1o preporuci proizvoača, zahtevi koje ;indo??@ postavlja pred čvrsti disk su minimun &01 O


slobodnog prostora plus dodatnih 201 za svakih *$3!1 ID:%a. &vo opet može da varira od budućih namena servera, ukoliko će server imati dosta instaliranih aplikacija veličina diska može i da se utrostruči. Kao što se iz prethodno navedenog vidi jako je teško specificirati neku optimalnu konfiguraciju za rad ;indo??@. Ukoliko će računar služiti za prosto deljenje datoteka i štampača onda nije potrebno mnogo resursa, ali ako sa druge strane postoji potreba za ;eb ;eb serverom, mail serverom ili upravljanjem korisničkim nalozima za hiljade korisnika, onda je potrebna velika količina memorije kako operativne tako i sekundarne kao i procesor sa dosta velikim radnim taktom. :euti :eutim, m, za pou pouzda zdann rad jednog jednog mrežn mrežnog og ope operat rativn ivnog og sistem sistemaa nisu nisu bitne bitne samo samo njegov njegovee performanse u vidu veličine i brzine. 1uno puta bolje je instalirati komponentu od proverenog proizvoača smanjenih performansi, u odnosu na neku nesugurnu komponentu koja može da izazove mnoge probleme. U tom pogledu kompanija :icrosoft se pobrinula da pomogne svojim korisnicima. Iadi Iadi potpun potpunog og uvida uvida u sve hardve hardversk rskee zahte zahteve ve ope operat rativn ivnog og sistem sistema, a, potreb potrebno no je pog pogled ledati ati listu listu -ardware (ompatibility 4ist 0. hardverske kompatibilnosti 456 / -ardware 0. Dko želimo dobar i pouzdan računar% server, potrebno je da svaka hardverska komponenta koja je instalirana na njemu, bude prisutna na ovoj listi. 9ilo koji hardverski ureaj koji se ne nalazi na listi, može prouzrokovati različite probleme, od neispravnog rada aplikativnih programa, sve do pada čitavog operativnog sistema, pa čak i eventualne nemogućn nemogućnosti osti njegove instalacije instalacije.. Ukoliko Ukoliko hardver nije na listi mora se imati njen 5)! drajver koji !icrosoft nije dolazi sa hardverom, ali opet postoji rizik, jer !icrosoft nije testirao testirao kako kako to radi. radi. &vu listu listu možemo možemo pronaćai na svom instalacionom 5)%u za ;indo??@ /XupportX456.t7t0 ili na
2.%.2 riprema :,OS8a ajlakši način da se pokrene instalacija je taj da se u 1+5S Setup%u namesti da se računar pokreće sa (D%a. :eu mnoštvom opcija treba naći onu koja govori sa kog ureaja će se startovati računar. aravno to se razlikuje od računara do računara i od proizvoača 1+5S %a. %a. Uglavnom to treba da izgleda otprilike ovako= %dvanced 1+5S Setup6155" devices i ond ondaa ovd ovdee treba treba izabrati izabrati (D/75! kako kako bi se naglasilo računaru da je to prvi butabilni medijum. 1ri nameštanju ove opcije treba biti oprezan jer kasnije u fazi podizanja sistema, kada Setup zatraži da se sistem restartuje, treba vratiti opciju tako da se sistem podiže sa čvrstog diska. Ukoliko se ovo ne odradi može desiti da se stalno vrtite u krug tj. da ostane u stalnoj inicijalnoj fazi rada sa 5)%om. *oš jedan deo priprema 1+5S %a %a jeste konfiguracija i rezervacija prekida / interrupt reservation 0. 1ošto je većina sistema na kojima može da se pokrene ;indo??@ savremena ovaj korak bi trebalo da bude lak. 1roblem se javlja pri pokušaju da se doda stara komponenta, koja ne podržava Plug and Play u sistem koji to podržava. U slučaju da se poseduje neki stari mrežni adapter koji ne podržava Plug and Play koji je podešen za prekid od #?. Kada se postavlja neki ureaj koji podržava Plug and Play , možda će hteti da prekid inicijalizuje na #?, ne znajući da stara komponenta ima isti zahtev. Fim drajver inicijalizuje karticu dolazi do problema. toga bilo bi najbolje da se u 1+5S %u %u podesi da interrupt od #? bude rezervisan za kartice koje ne podržavaju Plug and Play. &vim se naglašava nekom ureaju koji podržava Plug and Play da to područje ostavi na miru. 2.%.! odela na particije 1laniranje šeme podela na particije može biti deo koji se često zaboravlja prilikom instalacije. ;indo??@ pruža neke napredne mogućnosti za upravljanje particijama prilikom instalacije i ono što se tada odluči najverovatnije će ostati i u toku njegovog rada. ajbolje je znati kakav tip servera se pravi i na osnovu te odluke odlučiti kolike će biti particije. Ukoliko je server jednostavan i predstavlja nekoliko deljivih direktorijuma i štampača preporuka bi bila čuvanje podataka na jednoj a sistema na drugoj particiji. U ovom slučaju na sistemskoj particiji bi bio dovoljan minimum od *01. Dko je server 7emote +nstallation Services0 biće potrebna i treća particija koja je namen namenjen jen za korišć korišćen enje je 7+S/a / 7emote pripremljena samo za ovaj servis. 7+S ne ne može da čuva slike sistema na boot particiji. Uglavnom sa današnjim cenama hard diskova sistemska particija ne bi trebalo biti manja od *'01 jer će sigurno na serveru biti instalirano dosta aplikacija, pogotovo na serveru koji je namenjen za potrebe škole. )ruga particija treba služiti za skladištenje skladištenje podataka podataka i njena veličina veličina takoe ne sme sme preći cifru manju od *'01. #?


"reba pomenuti i odabir sistema datoteka. "u se ne postavlja pitanje jer je N"8S / / N" 8ile System0 danas postao nezamenljiv fajl sistem. Dli ukoliko se na server povezuje neki računar sa )& operativnim 8%" fajl sistemom biće potreban 8% fajl sistem. )anas su takvu slučajevi retki i gotovo nemogući ali ipak treba imati i ovu stvar na umu.

2.%.% @ip i ime servera i veze na mreži erver može biti instaliran ili kao samostalni server ili kao server koji pripada nekom domenu. standalone server 0 ne pripad amost amostala alann server server / standalone pripadaa nijedn nijednom om do dome menu, nu, već već odre odreeno enojj radnoj radnoj grupi. grupi. Korisnici koji se nalaze u radnoj grupi mogu da koriste resurse sa servera ali ne mogu da koriste prednosti aktivnog direktorijuma. Kod instalacije servera koji pripadaju nekom domenu on može biti instaliran kao upravljač tog domena ili kao pridruženi server. erver koji je konfigurisan kao upravljač nekog domena učestvuje kod svih prijavljivanja klijenata na taj domen i stara se o potpunoj bezbenosti tog domena. e postoji neko ograničenje ograničenje u pogledu pogledu ovog izbora, jer se se i kasnije, nakon nakon instalacije, moguće moguće prebaciti status status servera iz jednog u drugog. 1laniranje imena servera je potrebno samo u slučaju da se na mreži koja se projektuje nae više servera servera pa se može doći u situaciju da se se ne zna koji server nosi koje ime. Ukoliko Ukoliko je 4ocal %rea Network 0 mreži i tu je jedini, onda ovaj korak nije potrebno planirati. server na maloj 4%N / 4ocal e treba davati isto ime serveru i korisnicima. korisnicima. Ukoliko postoji namera namera da se prijavi na na server koji ima isto ime kao i neko od korisnika, javiće se nekoliko grešaka. e zaboravimo da korisnici ne treba da brinu o imenu servera. +ta ako se server nalazi u drugoj zgradi ili u drugom graduJ Iezultat svega ovoga je da o ovome treba razmisliti, uključiti i korisnike i ljude koji će upravljati mrežom. "reba postignuti sporazum o tome šta je bitno a šta ne. !ako postoji mogućnost da se kasnije lako promeni ime servera, nije lako promeniti stotine korisničkih korisničkih radnih stanica koje su povezane povezane sa njim. 2.%.% Aicenciranje servera &snovna uloga bilo kojeg servera, a samim tim i mrežnog operativnig sistema je da pruži usluge velikom broju korisnika. :icrosoft je tu video još jednu mogućnost da zaradi, pa je uveo jedan potpuno novi način mogućnosti da se sa njim radi - licenciranje servera za rad. )va su osnovna režima izdavanja per/server . licenci za rad i to per/seat i i per/server # % 6icenca po korisniku / per/seat9 zahteva da svaki klijent na mreži koji pristupa ;indo??@ serveru, ima svoju licencu. &vo je najlakši metod za dodavanje licence, zato što se jedino broji koliko klijenata ima. e treba brinuti o uporednim vezama za te klijente sa jednim serverom ili o tome sa koliko servera klijent uspostavlja vezu. per/server9 se razlikuje u tome da svaka veza klijenta i servera zahteva > % 6icenca po serveru / per/server9 licencu. Dko je klijent povezan sa >$ različitih servera, tada je njemu potrebna po jedna licenca za svaki server, dakle >$ licenci, ali postoji i uporedno korišćenje licence što je jednostavnije, jer je lakše za praćenje. per/device0 omogućuje prijavljivanje računara @ % 6i 6 icenca po ureaju / per/device r ačunara na server. 6icenciranje per%server je jednostavnije. Kaže se serveru da je kupljen odreen broj licenci. erverov servis za licence /deo ;indo??@0 tada prati koliko je ljudi povezano na računar u odreenom trenutku. Dko je kupljeno N licenci i NP#%va osoba pokuša da se poveže, onda je njoj zabranjen pristup. 6icenciranje per%seat podrazumeva licenciranje svake mašine, što znači da svaki računar mora da ima svoju licencu. 3eneralno licenciranje per/seat je je jevtinije. 2.( /ačini za instaliranje operativnog operativnog sistema 1ostoji nekoliko načina da se instalira ;indo??@= ,nstal ,nstalaci acija ja sa sistems sistemskih kih disket disketaa % ukoliko ne posedujemo butabilni 5)%I&: drajv onda instalaciju možemo pokrenuti i sa flopi diskete. ,nstalacija sa kompakt diska % ako je naš kompjuter kompjuter podeše podešenn tako da se butuje butuje sa 5)%I&: 5)%I&: ureaja, onda ;indo??@ instalacioni program možemo direktno podići sa 5)%a. ,nstalacija sa kompakt diska iz operativnog sistema - ukoliko nam postojeći operativni sistem na našem računaru to omogućava, instalaciju možemo pokrenuti i sa 5)%I&: drajva, bez korišćenja butabilnih disketa. •

•

•

##

Administriranje mreža •

•

,nstalacija sa mreže - ovu vrstu instalacije možemo primeniti ako su ;indo??@ instalacioni fajlovi smešteni na nekom kompjuteru koji nam j dostupan kroz mrežu. &vi fajlovi se mogu nalaziti na deljenom 5)%I&:%u ili se njihova kopija može nalaziti u nekom zajedničkom folderu. 4emote instalacija - :icrosoft poseduje proceduru koja administratorima omogućava instaliranje &%a na udaljenim računarima, bez potrebe da fizički budu pored mašine kako bi pokrenuli instalaciju, koja se naziva 7emote +nstallation Services /I!0.

2.(.1 ,nstalacija sa sistemskih disketa &va instalacaji je postala deo istorije ali je zadržana ovde radi kompatibilnosti sa ranijim instalacijama ;indo??@. Kod u memoriji sadrži funkcije koje pokreću program etup. 1osle ponovnog pokretanja računara, podiže se tekstualna verzija programa etup. >. a ekranu se pojavljuju uobičajeni uslovi licence, a od nas se očekuje da ih prihvatimo. ledeći korak je podela diska. @. 1rogram etup će od nas zatražiti da zadamo particiju na kojoj treba da bude inastaliran operativni sistem. :ožemo da izaberemo postojeću particiju ili napravimo novu. . ad bi trebalo izabrati sistem datoteka /8D"#R, 8D" @> ili "80. 1ošto zadamo sistem datoteka, program etup će formatirati izabranu particiju. Fim završi formatiranje, program etup odmah počinje instaliranje datoteka u particiju. Dko na sistemu imamo više diskova, a hoćemo da sistem bude instaliran samo na jednom, onda ne bi trebalo da pravimo particije na drugim diskovima niti da ih formatiramo. $. 1rogram etup zatim snima početnu konfiguraciju na disk i ponovo pokreće računar. 1rilikom podizanja, prvo se pojavljuje ekran etup ;indo??@. )atoteke opoerativnog sistema ;indo??@ instaliraju se u direktorijum 5=X;innt. 2.(.2 ,nstalacija sa kompakt diska Iačunar možemo da podesimo i tako da se operativni sistem podiže s kompakt diska ili da izvršavanje datoteke ??@ /završnu ili beta verziju0, datoteku .e7e možemo okrenuti iz direktorijuma !@AR na instalacionom kompakt disku, ili prosto pokrenemo setup.exe iz korenskog direktorijuma s 5)%a. 1ostupak instaliranja sa kompakt diska sastoji se od više koraka, unošenja podataka koji se od nas traže i ponovnog pokretanja &%a. !nstaliranje se završava programom +nstallation Server iard , koji nas vodi kroz podešavanje servera. 1ošto se radi o načinu koji je najviše zastupljen, u narednom poglavlju posvetićemo mu više pažnje i na njegovom primeru objasnićemo detaljnu instalaciju. 2.(.! ,nstalacija sa mreže erver možemo da instaliramo i sa deljenih direktorijuma u mreži, koji se zovu distribuconi direktorijumi /eng. distribution drives9 ili serveri. Iazume se, da bi ovaj način instaliranja trebalo primenjivati samo unutar svoje lokalne mreže, jer sve što je sporije od standardnih #?:92s prouzrokovaće mučno spor proces instaliranja. Ukoliko na mreži ne postoji distribucioni direktorijum onda bi trebalo sa instalacionog kompakt diska direktorijuma ;indo??@ kopirati direktorijum !@AR ili iaR /za sisteme sa procesorom !tanium0 na neki disk, a zatim taj direktorijum podesiti za deljeno korišćenje. )a bi se sprečilo da neovlašćeni korisnici pristupaju distribucionim datotekama treba postaviti neophodna ograničenja pristupa. 1ošto je distribucioni dierktorijum pripremljen, postupak je sledeći= #. a ciljnom računaru pravimo 8D" particiju. &va particija trebalo bi da bude usklaena sa prethodno preporučenim parametrima. )a bi smo napravili particiju, možemo da koristimo staru dobru )&%ovu komandu 8)!K, ali ako nam je disk dovolj o velik /više od >390, samo 8)!K ;indo omogućava da ceo prostor formatiramo kao edan veliki disk. #>


>. Batim, podižemo računar pod operativnim sistemom koji može da radi klijent u mreži. Ba to mogu da posluže sistemske diskete ;indo??@, koriteći kao odredište našu lokalnu disketnu jedinicu D=. >. ;innt.e7e na ciljnom računaru pravi privremeni direktorijum Y;inZntY. @. ;innt.e7e kopira neke instalacione datoteke u privremeni direktorijum na ciljnom serveru. 1ostupak koji se potom nastavlja isti je kao pri instaliranju sa sistemskih disketa. • • •

2.* roces instalacije indo7s Serevr 266! akon procesa planiranja instalacije, kreće se sa samom instalacijom. !nstalacija sistema se može podeliti u više faza. 1rva faza je predinstalacioni Setup gde se definišu opcije kako će se odvijati instalacija. )ruga faza je Setup koji se zasniva na tekstu, koji odreuje gde će se izvršiti instalacija. "reća faza je grafička faza i predstavlja najdužu fazu instalacije. &vde se prilogoavaju gotovo sve hardverske komponente, servisi, imena računara u domenu itd. akon ove faze sledi faza podešavanja mrežnih komponenti i prilagožavanje našeg servera za rad u mreži. Bavršna faza obuhvata kopiranje datoteka, fino podešavanje sistema i uklanjanje privremenih datoteka.Kada se završi i ova faza, server je spreman za rad. 2.*.1 redinstalacijaB Daza , 1rva faza ili predinstalacija kreće tako što treba da se poveže na izvor instalacije. U ovom slučaju to je (D. Bnači, podesi se 1+5S Setup za pokretanje računara sa (D%a. Iestartuje se računar. 1ri startovanju postavlja se pitanje da li se sigurno želi da se računar startuje sa (D%a. &dgovara se potvrdno i kreće se sa instalacijom. U izvesnim slučajevima ukoliko se želi pokretanje instalacije sa mreže, treba imati )& operativni sistem, drajvere za mrežnu karticu, preko kojih se treba povezati na mrežu i povezati sa izvorom instalacije, i tada se pravi boot disketa. U ovom slučaju instalacija se pokreće sa 5)% a što će verovatno i biti u OOM slučajeva. #

2.*.2 @ekstualni deo Setup8aB Daza ,, )ruga faza je tekstualni deo instalacije. !nstalacija počinje ekranom dobrodošlice. "reba izabrati da li se podešava ;indo??@, popravlja neka postojeća instalacija, ili neće ništa da se preduzima. Ukoliko se pritisne 8@, opcija :uit će biti dostupna sve vreme instalacije. Ba nastavak Setup%a pritiska se )nter taster nakon čega se pojavljuje ekran sa ugovorom o korišćenju softvera / 4icence %greemnet/om0. Ba nastavak instalacije i potvrdu o slaganju sa ugovorom pritisne se 8;. Batim se pojavljuje ekran Disk Partition and +nstallation 4ocation. 1ostoje dve stvari koje treba uraditi. ajočiglednije je da treba odabrati particiju na koju se želi da instalirati ;indo??@. !zabere se ova opcija i pritisne se )nter . !spod ovog ekrana nalazi se vrlo koristan program za podelu diska na particije. &davde se može kompletno menjati šema podele diska na particije. :ogu se obrisati postojeće particije, kreirati nove kao i formatirati iste bilo da su sa N"8S ili 8%" sistemom. 1re nego što se krene sa podelom diska na particije, potrebno je setiti se planiranja o podeli diska. "reba znati da se kod brisanja particija i kreiranja novih, gube svi podaci na disku. akon toga potrebno je da se novoformirane particije formatiraju. "reba izabrati New <=nformated9> izabrati koji fajl sistem se želi / N"8S 0 i pritisnuti )nter . 1o završetku formatiranja instalacija se nastavlja. Setup potom ispituje diskove i nakon toga se kopiraju sve ;indo??@ datoteke na particiju koju smo označili kao sistemsku. 1o završetku kopiranja sam sistem se priprema za grafički deo Setup%a i restartovanje. #

#@


2.*.! Eraički deo Setup8aB Daza ,,, Fim se ue u grafički deo Setup%a, ;indo??@ pokreće Plug and Play fazu detekcije da bi konfigurisao hardver. &vo je često i najduži deo Setup%a. Plug and Play faza detekcije pokušava da poveže pravi drajver sa svakim ureajem u sistemu, tako da mora postojati drajver za svaki ureaj. Dko nema drajvera, dobiće se poruka o nepoznatom ureaju / =known Device0 , ili će biti instaliran neki opšti drajver. &vde dolazi do izražaja važnost -(4 / -ardware (opmatibility 4ist 0 liste. Kada je Plug and Play faza detekcije završena, prvi okvir za dijalog koji se javlja je 7egional (onfiguration. "u se definišu formati brojeva, valuta, vreme, datum, kao i lokalni format tastature. ledeći okvir je za unos imena i organizacije / /ame 0. !me je već poznato. 6ozinka administratora, naročito ako se instalacija vrši iz početka, je veoma važna. &vo polje nikako ne bi trebalo da se ostavi prazno. alog administratora je moćan i opasan i on se ne može zaključati. "o znači da neko može da razbije sistem tako što će pokušati da se prijavi sa administratorskim nalogom. Bato lozinka mora da zadovolji odre[ene kriterijume. 6ozinka mora imati najmanje R karaktera. e sme da sadrži reč 'administrator( ili 'admin(. :ora sadržati velika slova /D, 9, 5 itd...0, mala slova /a, b, c itd...0, brojeve /?, #, > itd...0 i ne alfa numeričke karaktere /\, 2,],M itd0. Ukoliko kriterijum nije ispunjen ;indo??@ će dati upozorenje da šifra nije dovoljno jaka. Ukoliko instalacija pronae modem, sledeći ekran će biti za podešavanje modema. &vde treba podesiti opcije za zvanje, odnosno, kod oblasti i broj sa kojim se želi povezivanje. &ve opcije su ubačene u Setup%u tako da nije potrebna kasnija konfiguracija svake Dial/up sesije. akon toga sledi poslednja mogućnost da se podesi sistemsko vreme preko podešavanja datuma, vremena i vremenske zone /slika @.@0. 1odešavanje zona je posebno bitno u mrežama koje funkcionišu u različitim vremenskim zonama. :nogi programi automatski uzimaju u obzir vremensku zonu i prilago[avaju vreme koje se prikazuje. Dko je server konfigurisan sa pogrešnom vremenskom zonom, čak i kad je vreme tačno podešeno, prikazivaće pogrešno vreme. &vaj program nas sada voditi kroz drugi korak postupka instaliranja. &d nas će se tražiti da unesemo podatke o sebi, o kompaniji ili organizaciji koja je vlasnik licence za softver i o računaru. ;indo??@ će preuzeti te podatke i započeti neinteraktivni deo postupka instaliranja, u kome kopira softver za podešavanje računara, za podršku instaliranim ureajima itd. 1osle ove faze, ;indo??@ će od nas zatražiti sledeć podatke= Aanguage Options =Opcije koje se odnose na lokalni jezik?B &vde treba da zadamo jezik, lokalitet i odgovarajuću tastaturu. erver možemo podesiti i tako da koristi više jezika i regionalnih parametara. Dko izaberemo više jezika, ;indo (%40 koje smo platili. Ukoliko želimo da aplikacije koristimo na serveru, pomoću terminalskih usluga, onda u aplikativnom režimu biramo opciju 5D6. ;omputer /ame =,me računara?B &vde se upisuje Net1ios ime. ;indo??@ će nam predložiti ime, koje bi trebalo da izmenimo u ime koje će nam nešto značiti. :nogo je korisnije da se osmisli podesan sistem dodeljivanja imena, koji će naši korisnici prepoznavati. ;indo
•

•

•

•

•

#


indo7s Server 266! ;omponents =Gomponente indo7s Servera 266!?B ledeći korak jeste da dodajemo opcione komponente i usluge. U mrežnim opcijama treba da zadamo podatke važne za )451, adresu ) servera i ostalo. eke usluge će biti standardno izabrane, npr. "ransaction Server i !!. Dko ne planiramo da koristimo uslugu poput servera za transakcije trebalo bi da uklonimo znak potvrde pored njegovog imena. @erminal Services =@erminalske usluge?B &d nas će se tražiti da zadamo režim rada ovih usluga. +isplaF Serrings =arametri ekrana?B &vi parametri odreuju rezoluciju ekrana, broj prikazanih boja i elemente kao što je učestalost osvežavanja. @ime and +ate =5reme i datum?B &vi parametri nam omogućavaju da podesimo vremensku zonu i podatke o prelasku na letnje i zimsko računanje vremena. 1ošto unesemo i ove podatke, ;indo??@ će preći na treći korak instalacionog postupka, a to je instaliranje podrške za rad na mreži. •

• •

2.*.% ,nstaliranje za rad u mreži pod indo7somB Daza ,5 Kod podešavanja mreža postoje dve mogućnosti= custom i tipical ."ipične vrednosti pretpostavljaju da se žele programi (lient for !icrosoft Networks> "(P6+P using D-(P addresing i 8ile Print Sharing. Ukoliko se izabere korisničko / custom0 podešavanje, mogu se dodati ili ukloniti ili prilagoditi protokoli, klijenti i servisi. Ukoliko se radi o maloj mreži, kao u ovom slučaju, dodeliće se statičke +P adrese. Ddresa servera će biti #O>.#RA.?.#. &vo je adresa 5 klase koja je rezervisana za 4%N mreže male veličine. Ddrese ostalih računara će ići po sledećem rasporedu #O>.#RA.7.7. ledeći okvir je podešavanje radne grupe i domena. U ovom slučaju ovo će se preskočiti jer će naš server biti registrovan na domenu. 1odešavanje domena vršiće se preko Dktivnog direktorijuma. U ovoj fazi instaliraju se mrežne komponente. ;indo??@ će pokušati da prepozna mrežne kartice koje u ugraene u sistem. aredna lista sadrži korake postupka, i one automatske i one koji zahtevaju naše učešće. repoznavanje mrežne karticeB 1ošto prepozna mrežnu karticu i instalira upravljačke programe za nju, ;indo??@ će potražiti )451 server u našoj mreži. &n to čini tako što šalje poziv na )451 priključku broj V$, a zatim čeka odziv )451 servera. Dko ;indo??@ ne dobije !1 adresu od )451 servera, pokreće protokol za automatsko podešavanje i sam sebi dodeljuje !1 adresu. 1otom možemo nastaviti postupak instaliranja tako što ćemo instalirati novu radnu grupu i kasnije uspostaviti odgovarajuće mrežne veze. ,nstaliranje mrežnih komponenataB ada se od nas traži da izaberemo mrežne komponente. &snovne opcije koje treba zadati jesu 5lient for :icrosoft et??@ instalira samo "(P6+P /@ransmission ;ontrol rotocol2,nternet ptorokol0 protokol. Kod ovog protokola postoje neke stvari koje se odnose na konfiguraciju, a koje mogu puno da utiču na mogućnost kasnijeg povezivanja na mrežu. Dko se koristi "(P6+P , pitanje je da li na mreži postoji D-(P /+inamic >ost ;oniguration rotocol? SRT server. Dko ne postoji D-(P server, potrebne su statičke informacije. ajkritičniji element su +P adrese i neka vrsta rešavanja imena, bilo da je u pitanju +NS /indo7s ,nternet /ame Service 0SRT, DNS /+omain /et7ork SFstem0SRT ili -5S"S SRT datoteka. 9ez ovih komponenti ne postoji mogućnost da se ode negde sa "(P6+P/a. >

•

•

•

2.*.( oslednji korak postupka instaliranjaB Daza 5 "o je peta i poslednja faza postupka instaliranja koja obuhvata završno kopiranje datoteka, podešavanje sistema i uklanjanje privremenih datoteka. !nstalaciono program kopira sve preostale #$


datoteke na čvrsti disk. :eu njima su datoteke s bitmapiranim slikama, razni dodaci i datoteke koje su potrebne za rad usluga ili komponenata koje će odmah biti korišćene ili koje će ostati 'uspavane( dok ne zatrebaju. !nstalacioni program će zatim prieniti vrednosti parametara koje smo zadali u prethodnim fazama. 1odaci o novoj konfiguraciji biće smešteni u baze podataka registra i na disk, kako bili dostupni kad sledeći put pokrenemo računar. U ovoj fazi se sve privremene datoteke uklanjaju sa računara. Kad se to završi, računar se ponovo pokreće. &vim se završava instalacija. iard završava kopiranje datoteka, konfigurisanje sistema i obavlja finalno prećišćavanje. )atoteka boot.ini se menja kako bi se sledeći put pri startovanju računara pokrenuo ;indo??@. istem se restartuje /slika @.0.

#R


,,, čas
!.1 indo7s Server 266! okruženje U računarskoj mreži serveri igraju višestruku ulogu i njima se postavljaju mnogi zadaci koje oni moraju da izvrše sa velikim stepenom pouzdanosti. 9ilo kakva greška može da prouzrokuje veoma opasne posledice po čitavu mrežu. eki serveri su konfigurisani da obezbede identifikaciju klijenata /proveru autetntičnosti0, a drugi da pokreću aplikacije. eki serveri samo predstavljaju prolazne računare koji omogućavaju korisnicima da komuniciraju sa drugim serverima i resursima na mreži. Geć smo ranije napomenuli da svaki mrežni operativni sistem koji pretenduje da bude vodeći operativni sistem, mora da poseduje alate i servise koji će uspeti da odgovore na sve te složene zadatke koji stoje pred njima. "ako i ;ido??@ poseduje mnoge mogućnosti, koje mu omogućavaju da uspešno obavi ulogu jednog složenog a pouzdanog servera na mreži. eke od njih ćemo prikazati u narednom poglavlju.

!.1.1 +omen kontroler = Domain controller ? )omen kontroleri / Domain controllers0 čuvaju direktorijume sa podacima, kako sistemskim tako i korisničkim, i upravljaju komunikacijom izmeu korisnika i domena, uključujući i proces logovanja korisnika, dokazivanje autentičnosti i pretragu po direktorijumima. Kada se na računaru, na kome je već pokrenut ;indo??@, instalira %ctive Directory taj kompjuter automatski postaje domen kontroler. *edna od najboljih odlika ;indo??@ je njegova mogućnost da postane )omen% Kontroler, čiji je glavni zadatak da skladisti korisnička imena i lozinke na centralni računar /)omen% Kontroler0 ili na računare /više )omen%Kontrolera0 i da na osnovu toga omogućava klijentima strogo kontrolisani rad na domenu tj. delu računarske mreže. &sobine domena dosežu daleko izvan ovog pasusa pa ćemo njemu posvetiti posebno poglavlje, gde ćemo se detaljno upoznati sa njegovim karakteristikama. "reba napomenuti da u ;indo??@ mreži svi serveri koji su na domenu, a nisu domen kontroleri, nazivaju se pridruženi / member 0 serveri. erveri koji nisu na domenu nazivaju se samostalni /workgroup ili standalone0 serveri. !.1.2 indo7s Server kao aktivni imenik = Active Directory? Ba logičku i hijerahijsku organizaciju informacija u imeniku koristi se struktuirano skladište podataka / datastore0, koje se još naziva imenikom ili direktorijumom. &no sadrži podatke o objektima i deljenim resursima u okviru jednog domena a to su= serveri, štampači, volumeni, klijent računari, korisnički nalozi i td. a taj način je administratoru mreže olakšano upravljanje celokupnom mrežom, jer on na jednom mestu ima sve potrebne i bitne detalje vezane za mrežno administriranje. a druge strane Dktivni direktorijum je tesno povezan i sa bezbednošću, putem provere identiteta prilikom prijavljivanja i kontrole pristupa objektima, što, još više podiže značaj ove komponente. ve ove osobine aktivnog direktorijuma, omogućavaju da se mreža jednog preduzeća izvede sa samo jednim domenom i upravljačkim mestom, što u mnogome smanjuje troškove eksplatacije= manji broj servera, manje ljudstvo kao i smanjeni troškovi adminstriranja takvih mreža. Kako se ovde radi o bitnoj karakteristici ;indo??@, koja je dosta kompleksna u narednim poglavljima biće više reći o njoj. !.1.! Serveri ajlova =File servers ? &va usluga verovatno spada u najstarije usluge koje bilo koji server pruža. &snovna usluga sastoji se u obezbeuju prostora na mreži gde možemo da smestimo i delimo fajlove sa drugim korisnicima na mreži. Kada više korisnika zahteva jedan isti fajl, taj fajl se može smestiti na server, tako da mu mogu pristupiti svi korisnici, umesto da fajl prebacuju sa računara na računar. erveri fajlova /file servers0, dakle, igraju ulogu skladišta za smeštaj fajlova sa podacima. 1ostavlja se pitanje zašto ih uopšte smeštati na server, umesto da ih čuvate na svom lokalnom kompjuteruJ U pojedinim slučajevia radi se o fajlovima koje kreirao neko drugi, pa njihovo postavljanje na centralni server predstavlja način da se oni učine dostupnim svim zainteresovanim korisnicima na mreži. )ruga važna prednost skladištenja podataka na jednoj centralnoj lokaciji, leži u tome da je na taj način najjednostavnije kreirati njihovu rezervnu kopiju /backup0. ;indo??@ se isporučuje zajedno sa odgovarajućim softverom servera fajlova, koji predstavlja sastavni deo ovog operativnog sistema. #V


!.1.% Directory Service vaki korisnik koji je logovan na mreži, ima potrebu da koristi mrežne resurse, bilo da pristupi deljenom folderu ili da odštampa nešto na mrežnom štampaču. Directory Service je mrežni servis koji prepoznaje sve deljene resurse na mreži i tu informaciju čini dostupnom svim korisnicima na mreži. Directory Services su bitni zato što obezbeuju način da se imenuje, opiše, pristupi, rukuje i zaštiti informacija o mrežnim resursima. Kada korisnik zatraži deljeni folder na mreži, Directory Service prepoznaje taj resurs na mreži i daje tu informaciju korisniku. !.1.( +>; server )451 server / Dynamic -ost (onfiguration Protocol 0 ili protokol za dinamičko konfigurisanje hosta, je zadužen za konfigurisanje specifičnih parametara "512!1 protokola na svakom kompjuteru u mreži. 1rotokol "512!1 postao je standardni protokol povezivanja ureaja ne samo na !nternetu već i na bilo kojoj računarskoj mreži. &snova njegovog funkcionisanja je da svaki čvor u mreži poseduje jedinstveni !1 broj, preko kojeg je taj čvor jednoznačno definisan na mreži. Fvor može biti bilo koji mrežni ureaj= server, klijent računar, štampač ili komutator / swich0. )odeljivanje adresa može biti organizovano na dva načina statički i dinamički. Kod statičkog dodeljivanja adresa, čvoru se dodeljuje fiksna adresa koju samo korisnik može da promeni. a gledišta administratora sistema ovakav način predstavlja HHnoćnu moruHH, jer je potrebno pojedinačno na svakom računaru podesiti !1 adresu. 1ored toga statičko dodeljivanje !1 adresa može da izazove mnoge konflikte na mreži, jer jednu istu !1 adresu mogu da imaju više različitih čvorova. :eutim, postoje neki ureaji koji zahtevaju fiksne !1 adrese, koje se neće menjati, kao ;C9 serveri, 8"1 serveri i štampači. )rugi način dodeljivanja !1 adresa je mnogo efikasniji i praktičniji, jer se o dodeljivanju adresa stara poseban )451 server koji dinamički dodeljuje slobodne !1 adrese pojedinim čvorovima u mreži. ! ovom servisu biće detaljnije reći u narednim poglavljima. !.1.* ,/S i +/S serveri Geć smo ranije napomenuli da se svi čvorovi na mreži prepoznaju po jedinstvenim !1 adresama. :eutim, te adrese nije ni malo lako pamtiti, sa obzirom na broj cifara od kojih se one sastoje /treba upamtiti #> dekadnih cifri0. )odatan problem tu stvaraju i !1 adrese iz tkz. rezervisanog prostora /#O>.#RA.7.70 koje se koriste u !ntranet mrežama. igurno da je mnogo lakše pratiti pojedine čvorove putem njihovih simboličkih imena koja su uz to i hijerahijski organizovana. kup usluga ;! i ) rešava ovaj problem tako što omogućava da se umesto !1 adresa, koriste simbolička imena za čvorove. 1ronalaženje !1 adrese za dato simboličko ime naziva se preslikavanje imena / name resolution 0 i to predstavlja glavni zadatak ovih servera. ) server / Domain Namig System0 ili nazivni sistem domena, služi za praćenje svih čvorova na mreži putem njihovih simboličkih imena u ;indo???2>??@ mrežama. )omain ame Estem /)0 je !nternet i "512!1 standarni servis za imena. ervis ) omogućava čvorovima na mreži da se registuju i dobiju svoja imena na domenu. Iačunar konfigurisan tako da obezdi ) usluge na mreži naziva se ) server. )a bi smo u našu mrežu ugradili %ctive directory moramo prvo imati ) server. ;! server /indows +nternet Name Server 0 ili ;indo???2>??@ mrežama, jer je njegov osnovni zadatak da pruži podršku nekim starijim :icrosoftovim operativnim sistema /;in O70. 1re pojave "512!1 protokola, glavno sredstvo za povezivanje dva mrežna resursa bio je et9!& servis. &n je dodeljivao et9!& imena svakom čvoru i na osnovu toga vršio povezivanje dva čvora. )olaskom "512!1 mnogi stariji klijenti nisu mogli da vide ni imena !1 čvorova, niti njihove adrese, jer su zadržali stari način komunikacije putem et9!&%a. )a bi i takvi čvorovi bili deo jedinstvene "512!1 mreže, rešenje je naeno u ;! servisu čiji je osnovni zadatak bio da vrši preslikanje et9!& imena u odgovarajuču !1 adresu. !.1.0 Server aplikacija = Application server ? Dpplication server obezbeuje infrastrukturu i servise neophodne za aplikacije u našem sistemu. U njemu su napravljena mnoga poboljšanja koja olakšavaju razvoj aplikacija, smanjuju ukupne troškove korišćenja i daju bolje performanse. eke od tih prednosti su= efikasno uvoenje u rad i upravljanje, #A


pojednostavljena integracija i meuoperativnost, veća proširivost i pouzdanost. Iad programera je u mnogome olakšan pa samim tim oni postižu produktivnost jer su im na raspolaganju mnoge nove pogodnosti u vidu= D1.C", automatsko upravljanje memorijom, Gisual tudio .C", :icrosoft .C" 8rame??@ obično imaju bolji odziv i veći stepen raspoloživosti jer njima može da upravlja malobrojno osoblje."ime se smanjuju ukupni troškovi korišćenja i dobijaju bolje performanse.

!.1. e) server ;indo??@ u svom paketu nudi ;C9 server pod nazivom +nternet +nformation Services /!!0 R. &vde se pod serverom podrzumeva specijalan program koji se izvršava na računaru, koji može da prihvati, prepozna i izvrši 4""1 zahteve. Ba razliku od ranijih verzija ovaj servis više nije uključen u osnovnu instalaciju , već je sakriven pod stavkom %pplication Server . "o znači da !! možemo instalirati samo kao podopciju ili kao deo uloge servera aplikacija. "ime instaliramo i ostale gore nabrojane usluge servera aplikacija= D1, .C", 5&:P, )"5 i td. &vakav način spustio je !! jedan nivo niže, što je za posledicu imalo da se radni procesi !!, kao i sve D1 ugraene funkcije, izvršavaju u korisničkom kontekstu sa niskim privilegijama. "akav način izvršavanja znatno je umanjio opasnost od spoljašnjih napada hakera na naš sistem kao i smanjen prodor virusa. @.#.O D@ server =File Transfer Protocol ? 1rotokol za prenos podataka omogućava korisnicima da preuzimaju datoteke sa servera i da ih šalju na server. !ako je zadnjih godina 4""1 je postao dominantno sredstvo za prenos podataka, 8"1 servis još uvek ima važnu ulogu u davanju usluge prenosa podataka. Gažna je činjenica da nam za razliku od 4""1 prenosa ovde ne treba nikakav poseban ;C9 čitač. )ovoljno nam je da imamo 8"1 komandnu liniju ili neke pomoćne 8"1 programe nezavisnih proizvoača.ledeća prednos 8"1 prenos je da !! može da ponovo pokrene prekinuti 8"1 prenos, gde se tada prenos započinje od one tačke na kojoj je nastao prekid. a taj način nema dupliranja u prenosu već se prenosi samo onaj deo datoteke koji nije prenet. @.#.#? Server za -tampanje = Print server ? Usluge štampanja predstavljaju jednu od osnovnih usluga po kojoj vrednujemo neki mrežni operativni sistem. Ukoliko ta usluga ne funkcioniše dobro, većina korisnika će odbaciti takav operativni sistem. ove tehnologije kao što su elektronska pošta i globalna mreža, nisu bitno doprinele uklanjanju potrebe za dostavu pisanih, tj. štampanih dokumenata. Fak šta više, one su samo prebacile opterećenje koje čine papirne kopije, sa pošiljaoca na primaoca. Bato su i potrebe za lokalnim ureajima koji će moći da odštampaju te dokumente znatno porasle. 1rint serveri upravo predstavljaju ureaje koji omogućavaju korisnicima da štampaju dokumenta preko mreže, iako nemaju štampać koji je fizički povezan za njihov računar. &vaj server se brine o svim zadacima za štampanje putem skupa usluga spulera / spooler service0 kao i o sigurnosti dokumenata koja treba da odštampa. erveri za štampanje / print servers0 omogućavaju deljenje / sharing 0 štampača. ije baš svako voljan da na svoj sto postavi ureaj za štampanje, a osim toga, ukoliko štampač na ovaj način konfigurišete za 'zajedničku upotrebu od strane većeg broja korisnika(, moći ćete sebi da priuštite kupovinu nekog skupljeg / a time, verovatno, i boljeg0 modela štampača. erver >??@ u sebi, takoe, sadrži ugraeni / buit/in0 softver servera za štampanje. &n obuhvata podršku za preko @??? različitih štampača, te industrijskih ureaja visokih performansi za podršku štampanju.

!.1.11 Server elektronske po-te = Email server ? C%mail serveri su apsolutno neophodni ukoliko planiramo da pružamo usluge elektronske pošte. 1ritom, jedan od računara /ili više njih0 mora igrati ulogu poštanske centrale, tako što će prikupljati e% mail poruke od lokalnih korisnika na mreži i vršiti njhovo slanje ka drugim mail serverima preko !nterneta i, istovremeno, služiti kao prijemna tačka, kako bi sa drugih mail servera mogao primiti poruke upućene ka našoj organizaciji. )oduše, ovu funkciju možemo prepustiti svom !1%u /!nternet provajderu0, koji će na taj način igrati ulogu našeg mail servera, mada je činjenica da će nam instaliranje sopstvenog #O


mail servera pružiti znatno veću fleksibilnost. a druge strane, to će zahtevati postojanje stalne veze sa !nternetom. U okviru ;indo??@ ova usluga je podržana kroz :"1 / Simple !ail "ransport Protocol 0 servis koji je sadržan u sklopu !!%a. &vaj servis ne pretvara naš server u praviserver elektronske pošte sa svim funkcijama. &n samo nudi sredstva pomoću kojih možemo da napravimo virtuelne servere elektronske pošte, preko koji mi možemo da šaljemo poštu na zadate namenske C%mail servere. 1rednost ovakve organizacije je da mi možemo da definišemo više identiteta i servera za elektronsku poštu koji će biti pridruženi svakom domenu na serveru. kup :"1 usluga može da obrauje poštu koja stiže od klijenata na !nternetu ili poštu generisanu na ;C9 lokaciji.

!.1.12 @erminal server "erminalske usluge predstavljaju najveći obrt u računarstvu uopšte, a posebno u klijent2server arhitekturi. &n podrazumeva da se usluge jakih servera mogu ponuditi i računarima sa ograničenim resursima tkz. tankim klijentima. U početku je softver tankih klijenata bio namenjen samo da radi kao emulacija glupog terminala. 9ilo je predvieno da se ograniči na primanje ekranskih prikaza i slanje unosa sa tastature i pritisaka miša, dok se kompletna obrada, izvršavanje i skladištenje odigravaju na serveru. &bim podataka koji se prenosio na takav način bio je jako skroman i nije zahtevao veliki propusni opseg /prenosilo se od #? do @? Kb2s0. "o je korisnicima omogućavalo zadovoljavajući pristup računarskim resursima servera čak i preko sporih telefonskih linija. :eutim, današnji terminalni servis je znatno izmenjen kako bi omogućio korisnicima udobniji i produktivniji rad. )anas, terminal server omogućava pored pristupa programima na udaljenilm računarima, da korisnici mogu preko svojih zvučnika da preslušavaju zvučne zapise koji stižu na server, kopiraju tekst iz dokumenata otvorenog u udeljenoj sesiji i ubacuju ga u drugi, lokalni dokumenat ili da štampaju udaljeni dokumenat na nekom lokalnom štampaču. 1omoću terminal servera instaliramo aplikaciju na jednom mestu, na jednom serveru, a više korisnika onda može pristupiti aplikaciji bez instaliranja na svojim računarima. Korisnici mogu da pokrenu programe, čuvaju fajlove i koriste resurse na mreži kao da su instalirani na njihovim računarima. !.1.1! !onfi"ure #our Server alat Kada je ;indo??@ instaliran, i korisnik se prvi put uloguje kao administrator sistema, automatski se pokrene !anage ?our Server alat. &vaj alat se koristi da dodamo ili uklonimo neke od funkcija servera kao što su aktivni imenik, )451, ;!, ), !! i td. :eutim, ukoliko ne želimo da koristimo ovaj alat, ;indo??@ nas neće sprećiti da to uradimo. Uvek nam ostaje mogućnost da kasnije, iz operativnog sistema, pristupimo raznim konzolama iz menija %dministrative "ools ili da sa komandne linije uradimo isto. !.1.1% Gomunikacioni server &no što posebno izdvaja ;indo??@ od ostalih mrežnih operativnih sistema je njegova jednostavna integracija i saradnja sa drugim serverima na računarskoj mreži. "u se pre svega izdvajaju ;indo??@ nam omogućuje veoma lako povezivanje sa serverom baze podataka i korišćenjem njegovih usluga. !.1.1( 4emote ,nstallation Services =4,S? I! je alat koji omogućava efikasno kopranje slike sa jedne radne stanice na desetine, stotine pa čak i hiljade drugih kompjutera, istovremeno omogučavajući da svaka od tih mašina dobije jedinstveni !) / security identifier - bezbednosni identifikator0. 1ored toga, rešava još jedan veliki instalacioni problem % problem tipa 'kako da kompjuter, sa potpuno praznim hard diskom, konektujem na mrežu, da bih na njemu, preko mreže instalirao operativni sistemJ )akle, I! servisi nam omogućavaju da neki server, ili čitav skup serverskih računara, označimo kao 7+S servere. *edan I! server sadrži sve fajlove koji su neophodni da bi na nekom kompjuteru moglo, preko mreže, biti izvršeno instaliranje operativnog sistema ;indo???,N1 ili erver >[email protected]! ne možemo upotrebiti za daljinsko instaliranje >?


operativnog sistema na serveru koji igra ulogu )451 ili I! servera, kao ni na serveru koji predstavlja kontroler domena. 1rilikom kreiranja prototip%kompjutera čija će slika zatim biti iskopirana na veliki broj kompjutera širom preduzeća, treba voditi računa o tome da na hard disk tog kompjutera kreiramo samo jednu, 5= particiju. aime, I! može kopirati samo 5= drajv i sve što se nalazi na njemu.

!.2 Microsot upravljačka konzola = $icrosoft mana"ement console? *edna od velikih promena na polju administracije mrežnih operativnih sistema, prelazak na ujednačeniji pristup programima za postavljanje i kontrolu rada mreže, koja je započeta sa pojavom ;indo???, nastavljena je i sa ;indo??@. 3otovo svi programi koji su učestvovali u inicijalizaciji i kontroli rada mrežne strukture prebačeni su u jednu novu alatku nazvanu !icrosoft !anagement (onsole - ::5. &na je postala osnovni administrativni alat za upravljanje ;indo??@ i sve one omogućavaju obavljanje različitih administrativnih poslova. Gećina datoteka tih konzola nalaze se u direktorijumu @systemroot@System#* , a nastavak imena im je .msc /skračenica od :icrosoft 5onsole0. amo neke od tih konzola su smeštene u %dministrative "ools. Ddministrator može da startuje bilo koju od ponuenih konzola jednostavnim odabirom imena konzole. akon toga se automatski učitava ::5 koji ustvari otvara izabranu konzolu. Konzole možemo otvoriti i iz naših konzola što nam omogučava da napravimo namensku konzolu sa grupom modula koje najćešće koristimo. avešćemo neke važnije konzole koje dolaze sa ;indo??@. Konzola (omputer !anagement - Gerovatno predstavlja konzolu koja je najviše eksploatisana jer omogućava da upravljamo većim skupom sistemskih podataka kako na lokalnim tako i na udaljenim računarima. "ri su osnovne grane u ovoj konzoli= System "ools /alati za održavanje sistema0, Storage /memorisanje podataka0 i Services and %plications /usluge i aplikacije0. •

•

•

•

•

>#

Administriranje mreža •

•

•

•

Konzola (omponent Services - glavna funkcija ove konzole je da nam omogući alatke za upravljanje 5&:P aplikacijama. 5&:P predstavlja standard koji obezbeuje strukturu za razvoj distribuiranih aplikacija u klijent%server okruženju. Konzola nam omogućava podešavanje sistema za korišćenje usluga koje se odnose na komponente aplikacija, podešavanje početnih parametara tih usluga, instaliranje i podešavanje 5&:P aplikacije kao i nadgledanje i podešavanje komponenata. Konzola (luster %dministrator - omogućava korisniku da može da grupiše više mrežnih čvorova u jedinstvene celine /cluster 0, koje se dalje u radu ponašaju kao jedna logička jedinica. ve operacije koje se izvode nad grupom automatski se prenose na sve čvorove mreže. Konzola (ertification %uthority - usluge izdavanja sertifikata omogućuju serveru da može da pravi sertifikate za sebe i za druge servere, radne stanice i korisnike na mreži, bilo lokalno, bilo negde na !nternetu. &vom konzolom možemo da upravljamo uslugama izdavanja sertifikata= podešavati pravila za izdavanje sertifikata, prikazivati primljene i odbijene zahteve za sertifikate kao i same sertifikate koje smo izdali. Konzola !anage ?our Server - podešavanje specifičnih serverskih uloga, kao što su server aplikacija, !!, server datoteka, ) server i td. namenjena su ovoj konzoli. Kada se pokrene ova konzola ona prikazuje sve trenutne aktivne servere i omogučava brzi pristup dodatnim lokalnim ili udaljenim informacijama o svakoj ulozi tog servera i njegovom podešavanju. &va konzola ne nudi neke nove svoje alatke, već se oslanja na one koje već postoje u ;indo??@. &snovna prednost je da ona sve te različite servise koje obavljaju serveri okuplja na jednom mestu i omogućuje administratoru pregledan i konforan rad na podešavanju tih servisa.

!.! ??@ su zasnovani na istom kodu i predstavljaju klijent i server izdanja istog operativnog sistema, kao što su to pre njih bili ;indo??? 1rofesional i ;indo??? erver. !.!.1 4ežimi rada operativnog sistema ;indo??@ je modularni operativni sistem koji se satoji od komponenata, a sagraen je na osnovu ;indo??? ervera. vi objekti operativnog sistema imaju interfejse pomoću kojih drugi objekti i procesi obezbeuju njihovu funkcionalnost ili usluge. Komponente meusobno sarauju prilikom obavljanja konkretnih zadataka operativnog sistema. Drhitektura ;indo??@ podeljena je u dva glavna sloja= korisnički sloj /eng. user mode0 i sloj jezgra /eng. kernel mode0. lojevi i razni podsistemi prikazani su na slici >.#. Gorisinički sloj AorisniBki sloj ;indo??@ u suštini je sloj za podršku aplikacijama, kako za :icrosoftov softver, tako i za softver drugih proizvoača. astoji se od ugraenih podsistema okruženja i od dodatnih /nezavisnih0 podsistema. "o je deo operativnog sistema koji omogućava drugim proizvoačima softvera da koriste usluge operativnog sistema pozivajući objavljene D1! funkcije i objektno orijentisane komponente. ve usluge i aplikacije instaliraju se u korisničkom sloju. Sloj jezgra Sloj jegra ;indo??@ ima pristup sistemskim podacima i hardveru, a sastoji se od nekoliko komponenata, koje suprikazane na slici @.#. •

•

>>


;in@> aplikacija

ezav. podsist .

1&!N aplikacija

;!@ > podsist .

&2> aplikacija

1&!N podsist .

&2> podsist .

Korisnički režim

Usluge koje se izvršavaju u režimu jezgra

C7ecutive ervices !2& :ana ger 8ile Este ms

I:

15 :ana ger

:em. :ana ge

1roc. :ana ger

1n1 :ana ger

&bject :anager )evice drivers

:icrokernel

1o
;indo < :an. 3raph )evic )riv.

loj apstrakcije hardera /4D60

4ardver

Slika !.1 Sistemska ahitektura indo7s servera 266!

>@

Administriranje mreža ,5 čas ojam Microsot8ovog servisa HH
.# &poznavanje sa ??? pa na dalje. &n predstavlja značajno poboljšanje u odnosu na domenski model kakav je imao ;indo


'pravljanje direktorijumima. vaki operativni sistem, čak i onaj koji se odlikuje najminimalnijom bezbedošću, poseduje u sebi jedan ili više fajlova, koji zajedno čine bazu podataka poznatih korisničkih naloga. Ianije verzije "%a, od @.# do , u tu svrhu su koristile jedan jedini fajl pod naazivom D: /ecuriti Dccounts :anager0. &vaj fajl je sadržao= korisničko ime korisnika, njegovo kršteno ime i prezime, lozinku, dozvoljeno vreme prijavljivanja, rok trajanja naloga, opis, naziv primarne grupe i informacije o korisničkom profilu. aravno, sadržaj ovog fajla je bio šifrovan. )o današnjeg dana, svi operativni sistemi iz " familije, uključujući i ;indo??? 1rofessional i N1, upotrebljavaju D: fajlove na radnim stanicama. 1o podrazumevanoj vrednosti, ;indo??@ serveri takoe sadrže i upotrebljavaju D:. !pak, na jednom malom broju kompjutera biće smeštena centralizovana baza podataka aktivnog direktorijuma. &vakvi serveri se nazivaju kontrolerima domena i na njima nema D: fajlova. )oduše, u vreme " i starijih operativnih sistema, kontroleri domena su takoe koristili D:, ali od trenutka kada je ;indo??? ugledao svetlost dana, oni koriste nešto drugo - nešto što se zove akivni direktorijum. ;indo??@ najveći deo svojih informacija o korisnicima čuva u datoteci pod imenom N"DS.D+" . &va datoteka je modifikovana baza %ccess%a, tako da ;indo??@ u suštini i sadrži jednu varijantu %ccess%ove mašine za rad sa bazama podataka. Dktivni direktorijum je, dakle, naslednik D:%a, koji većinu svojih korisničkih informacija čuva u pomenutom fajlu. :eutim ").)!" se po mnogo čemu razlikuje od D:%a. Kao prvo, ").)!" predstavlja modifikovanu bazu podataka, koja je u osnovi kreirana pomoću iste tehnologije kao i :icrosoft Dccess, tako da kontroleri domena aktivnog direktorijuma obično sadrže jednu varijantu Dccessove data base mašine /engine0 u svojoj mašineriji. )rugo, ").)!" fajl sadrži u sebi znatno širi spektar različitih informacija o korisnicima, nego što je to ikada bio slučaj sa D: fajlovima. !nformacije iz ").)!" fajla i program koji upravlja ovim fajlom nazivaju se jednim imenom direktorijumski servis / directory service 0. ada se postavlja pitanje šta je direktorijum. &čigledno je da je direktorijum dobijen iz baze podataka o korisnicima i informacijama o njima. &pet se postavlja pitanje zašto se to ne zove baza podataka. ema prihvatljivog razloga, verovatno po navici. 1rema nekima baze podataka o korisnicima se mnogo češće čitaju, nego što se u njih piše. "o omogućava da se na izvestan način smanji količina funkcija koje su potrebne iz baza podataka. &vaj podskup klasa baze podataka dobio je ime direktorijumi. !entralizovano skladištenje podataka - vi bitni podaci koji se odnose na funkcionisanje jedne mreže, nalaze se u jednom distribuiranom skladištu podataka. a taj način omogučen je jednostavan pristup informacijama sa bilo koje lokacije u mreži a samim tim smanjili smo zahteve za administriranjem iste. 1ored toga jedno distribuirano skladište podataka poboljšava raspoloživost i organizaciju podataka, smanjuje mogućnost dupliranja podataka i omogučava jednostavan back/up tih podataka. Kada neko pokuša da pristupi deljivoj datoteci, ili da odštampa neki dokument preko deljivog štampača, Dktivni direktorijum će ga proveriti. Kada se implementira u potpunosti, Dktivni direktorijum može da uštedi mnogo posla oko administracije i ostalih mrežnih funkcija. avedimo jedan primer. !mamo računar koji je servis baze podataka, drugi koji je server za štampanje, zašto onda ne bismo imali centralizovani server za prijavljivanje, centralizovani server za proveru autentičnostiJ "ada bi korisnici morali da upamte samo jednu lozinku /i da je menjaju0 kao i samo jedno korisničko ime umesto prethodna dva. Pronala(enje servera. )anas se posao obavlja na principu klijent%server. 1ošto se u najvećem broju slučaja mail proverava preko 5utlooka /klijent0, koji dobija poruku od računara za razmenu /server0. Kada računar pristupa serveru datoteka on je njen klijent, dok je server server. Kada se proverava prijava ispita sa svog računara u gore pomenutom primeru web browser je klijent. Kopija 5utlook %a na računaru mora da zna gde da nae odgovarajući server, ne može se dobiti datoteka sa servera datoteka ako se ne zna gde da se traži i ne mogu se proveriti prijavljeni ispiti sve dok se ne pronae adresa škole. U svakom slučaju klijent%server veza ne radi osim ako se klijentu ne pomogne da pronae server. U slučaju 5utlook % a, on zna gde da nae mail server, zato što je to podešeno na odgovarajućem mestu, stavljajući ime servera u 5utlook %u. Uglavnom Dktivni direktorijum pojednostavljuje ovaj proces. Iačunar treba da zatraži od direktorijuma imena kontrolera domena. :ože se pretražiti Dktivni direktorijum u potrazi za ključevima koji su relevantni za konkretne deljive datoteke. 'pravljanje klijentskom konfi"uracijom - Uvode se savremenije tehnologije za upravljanje klijentskim računarima, kao što su mobilnost korisnika i otkaz diska, koje nam omogućavaju da uz minimum administriranja i bez prekida rada klijenta podešavamo parametre tih računara. >$


Podesivost - 1odrazumeva laku prilagodljivost i proširivost objekata u Dktivnom direktorijumu. "o je uraeno tako što je on organizovan u više sekcija u koje može da se smesti ogroman broj objekata, pa čak i do nekoliko miliona objekata po jednom domenu. Iezultat takve organizacije je da Dktivni direktorijum može da se širi kako organizacija raste. &rganizacija koja ima jedan server sa par stotina objekata može da izraste u organizaciju sa hiljadama servera i milionima novih objekata, bez nekog dodatnog menjanja strukture Dktivnog direktorijuma. Ba ubrzanje rada ovde se koristi tehnika indeksiranja i napredne tehnike repliciranja. Fleksibilna provera autenti%nosti - 1rovera autentičnosti i davanje ovlašćenja korisnicima, obezbeuje zaštitu podataka i minimizuje prepreke izlaska na !nternet i nesmetanog rada na njemu. Dktivni direktorijum podržava nekoliko protokola za proveru autentičnosti kao što su= Aerberos, 6 /Secure Socket 4ayer 0 i "6 /"ransport 4ayer Security 0 koji koristi certifikate N $?O. )ezbedonosna inte"racija - istem bezbednosti ;indo??@ je direktno zavisan od bezbednosti Dktivnog direktorijuma. Kontrola pristupa može biti definisana za svaki objekat u direktorijumu, ali može biti i definisana i za svako svojstvo objekta pojedinačno. "akoe, bezbedonosna politika može biti primenjena na lokalnom nivou ili na nivou lokacije, domena ili organizacione jedinice. Dele"irana administracija % 4ijerarhijska struktura aktivnih direktorijuma omogućava dodeljivanje administratorskih prava po segmentima mreže. Korisnik kome su dodeljena prava od strane višeg administratorskog autoriteta može izvršavati administratorske zadatke za taj specifični segment hijerarhijske strukture. a primer korisnik može imati ograničena prava nad svojim kompjuterom a da mu u isto vreme budu dodeljena prava dad kreira nove korisnike u organizacionoj jedinici. *nte"racija sa sistemom domena +DS- % ervis ) / Domain Network System0 omogućava razrešavanje imena klijentima koji imaju neki od ;indo.#RA.?.#. Korelacija imena i !1 adrese čuva se u ) distribuiranoj bazi podataka. %ctive Directory koristi ) konvencije da bi stvorio hijerarhisku strukturu koja obezbeuje poznat, ureen i podesiv pogled na mrežne odnose. Administriranje na bazi politike - &va karakteristika omogućava nam da unapred definišemo dozvoljene akcije i parametre za korisnike i računare na nekoj odreenoj lokaciji, domenu ili organizacionoj jedinici. Upravljanje na osnovu te politike pojednostavljuje zadatke kao što su ažuriranje operativnog sistema, instaliranje aplikacija, kao i zadatke koji se odnose na korisničke profile i blokade datih objekata. .eplikacije podataka - "ehnika repliciranja predstavlja automatsko ažuriranje podataka na dva ili više objekta u mreži. "o znači da u jednoj mreži možemo da imamo dva ili više kontrolera domena, svaki sa svojim aktivnim direktorijumom, koji zahvaljujuči tehnici repliciranja stalno meusobno razmenjuju informacije i na taj način u svakom trenutku raspolažu pravim informacijama. "o nam omogućava veću raspoloživost informacija, veću otpornost na greške, usklaivanje opterečenja kao i druga poboljšanja performansi sistema. Primena standardno" interfejsa - Geliki deo proizvoača softvera nisu voljni da pišu programe koji zavise od slabo dokumentovanog sigurnosnog interfejsa, zato što se boje da kada se pojavi naredna verzija operativnog sistema u kojoj će se promeniti programski interfejs, oni ostaju na cedilu. Bbog toga je !icrosoft izabrao da postavi jedan industrijski standardni interfejs u svoj Dktivni direktorijum, pod imenom 4D%P / 4ightweight Directory %ccess Protocol 0. 1ostavljanjem 4D%P interfejsa u Dktivni direktorijum !icrosoft je omogućio proizvoačima da integrišu sigurnost svojih proizvoda u sigurnost ;indoR


predstavlja protokol koji se koristi kod :icrosoft C7change ervera. Bahvaljuči njima Dktivni direktorijum može da komunicira i sa drugim servisima direktorijuma koji koriste ove protokole. Potpisan i šifrovan &DAP saobra/aj - &va opcija obezbeuje verodostojnost podataka koji se šalju na mrežu. 1otpisan i šifrovan 6)D1 saobraćaj podrazumeva da paketi podataka stižu od poznatog izvora i da nisu neovlašćeno menjani.

.> regled servisa home directory> itd. vaki objekat u Dktivnom direktorijumu primerak je klase objekta. Komplet osnovnih klasa i atributa već se nalazi u samom ;indo??@.

.@ Gomponente V


njegovog imena, a ne na osnovu njegove fizičke lokacije. 1ošto se resursi grupišu logički, fizička struktura mreže korisniku može da bude nebitna. 6ogička struktura Dktivnih direktorijuma je fleksibilna i daje nam mogućnost projektovanja hijerarhije, unutar Dktivnih direktorijuma, koja je razumljiva i korisnicima i administratorima. 6ogičko grupisanje objekata omogućava nam da grupišemo objekte na osnovu njihove logičke pripadnosti a ne na osnovu fizičke lokacije. &vakvo grupisanje omogučava nam potpunu transparentnost fizičke strukture mreže, jer se resursi ne nalaze po njihovoj lokacije već na osnovu njihovih imena. ledeće komponente pripadaju logičkoj strukturi Dktivnih direktorijum= #. +omen / Domain0 % *edan od najvažnijih kocepata u teoriji i praksi :icrosoftovih mreža jeste pojam domena /domain0. a najjednostavniji način rečeno, domen predstavlja grupu servera i radnih stanica, koje su se složile oko centralizovanog čuvanja naziva i lozinki za korisničke i kompjuterske naloge, u jednoj deljenoj / shared 0 bazi podataka. "o je veoma važno - ustvari, to je od zaista suštinskog značaja za kompjuterske mreže svih dimenzija - jer se time korisnicima pruža mogućnost da, uz pomoć jednog naloga i lozinke, pristupe desetinama, stotinama pa čak i hiljadama drugih kompjutera unutar domena konkretne organizacije. Dli, centralizovano čuvanje korisničkih i kompjuterskih naloga i lozinki je samo početak. Kako se " tokom godina razvijao, " domeni su postali skladišta za čuvanje i nekih drugih objekata. ajpre su se, u " @.$#, pojavili korisnički profili, alat koji omogućava da izgled svog desktopa i ostala sistemska podešavanja ponesemo sa sobom, gde god da se ulogujemo. Batim su, pod operativnim sistemom ", domeni postali mesto za centralizovano čuvanje tzv. 'sistemskih polisa( /sEstem policies0, odnosno, čitavog jednog seta instrukcija, koj kompjuteri koriste za izgradnju i kontrolu korisničkih okruženja.. a pojavom ;indo???, u domenima su se već mogle centralizovati ) informacije, a predstavljen je i usavršeni naslednik sistemskih polisa, pod nazivom 'grupne polise( /group policies0. )omen u stvari predstavlja srž logičke strukture Dktivnih direktorijuma u okviru koga možemo smestiti milione različitih objekata. Geć smo napomenuli da objekti smešteni u jednom domenu, predstavljaju resurse koji se smatraju neophodnim za pravilno i bezbedno funkcionisanje mreže. "o su stavke koje su članovima mreže potrebne da bi obavljali svoje poslove= štampači, dokumenta, e%mail adrese, baze podataka, korisnici, distribuirane komponente i drugi resursi. Dktivni direktorijum može imati jedan ili više domena. *edan domen može sadržati više fizičkih lokacija. 3rupisanje objekata u jedan ili više domena omogućava da mreža odslikava realnu strukturu organizacije. )omen je i skup sigurnosnih principa kao što su korisnički i kompjuterski nalozi ali i drugih, poput dozvola za deljive štampače ili dozvola za pristup deljenim folderima. &bjekti na domenu su definisani od strane administratora i koriste zajedničku bazu podataka i jedinstveno ime. vaki domen treba da izvrši sledeće zadatke= vi objekti mreže postoje unutar domena &ni pružaju mogućnost upotrebe grupe serverskih računara, koji igraju ulogu 'servera za proveru autentičnosti( ili 'prijavnih servera(, poznatijih pod nazivom kontroleri domena. a domenima se čuva čuva i neprekidno ažurira indeks svih objekata na domenu, sa mogućnošću efikasnog pretraživanja, čime je korisnicima znatno olakšano pretraživanje željenih resursa na mreži. )omen skladišti informacije samo o objektima koji se u njemu nalaze. )irektorijum domena može da sadrži do deset miliona objekata teoretski, ali u praksi mnogo je realniji broj od jednog miliona objekata. &ni omogućavaju kreiranje korisničkih naloga sa različitim nivoima snage, od skoro potpuno obespravljenih 'gostujućih( naloga, preko običnih korisničkih naloga, do svemoćnih administratora domena. 1ored toga, na domenima se mogu kreirati i tzv. nalozi pod%administratora, korisničkih naloga, koji se, prema nivou dozvoljenih prava, nalaze negde izmeu administratora domena i običnih korisnika. )omeni se dalje mogu deliti na subdomene, koji se još nazivaju organizacionim jedinicama /organization units - &Us0. akon toga, različitim pojedincima mogu se dodeliti različiti stepeni kontrole i moći nad ovim organizaacionim jedinicama. a ovaj način može se kreirati nešto što bi se moglo nazvati 'adminstratorima odeljenja( - odnosno, korisnike sa velikim stepenom moći, ali samo nad jednom manjom grupom kompjutera i korisnika. )omen predstavlja granicu bezbednosti jer se na njemu čuva jedna centralna lista korisnika i pripadajućih lozinki.Aiste za kontrolu pristupa / %cces (ontrol 4ist ' D560 kontrolišu pristup • •

•

•

•

•

>A


objektima domena. %(4 sadrži dozvole koje su povezane sa objektima i kontrolišu koji korisnici mogu dobiti pristup objektu i odreuju samu vrstu pristupa. U ;indo??@ termin objekat obuhvata= datoteke, deljenja, štampače i ostale objekte u Dktivnom direktorijumu. ve bezbednosne politike i parametri, na primer administrativna prava, bezbednosne politike i liste za kontrolu pristupa, ne mogu da prelaze iz jednog domena u drugi. Ddministrator domena ima apsolutna prava da formira politiku samo u okviru tog domena. >. Organizaciona jedinica /5rganiational unit 0 je jedna vrsta skladišta - kontejner, koju koristimo da bi smo organizovali objekte u okviru domena. &rganizaciona jedinica može sadržati objekte kao što su korisnički nalozi, grupe, računari, aplikacije, deljene datoteke, aplikacije i druge organizacione jedinice iz istog domena. U jednom domenu hijerahija organizacionih jedinica je potpuno nezavisna tj. ne zavisi od hijerahije u drugom domenu, već svaki domen uspostavlja svoju sopstvenu hijerarhiju. . &rganizaciona jedinica omogučava administratoru mreže da se prema većem skupu objekata odnosi kao prema jednom. U aktivnom direktorijumu podrazumeva je opcija da svi podreeni objekti nasleuju dozvole od svojih nadreenih objekata. a taj način, administrator samo jednom dodelom dozvola na višem nivou, rešava dodelu istih dozvola svim podreenim objektima. @. Sta)lo /"ree0 predstavlja način za grupisanje jednog ili više domena. 3rupisanje se vrši tako što jedan ili više domena dodajemo na postojeći nadreeni domen. vi domeni koji pripadaju stablu dele jedinstven prostor imena kao i hijerahijsku strukturu imena. 4ijerahija domena u stablu omogućava nam da povećamo bezbednost domena kao i da kompletno administriranje svedemo na jednu organizacionu jedinicu ili na jedan domen u stablu. a druge strane ovakva organizacija omogućava nam fleksibilnost u organizaciji mrežne strukture jer se lako prilagoava svim promenama. 3eneralno gledano sva stabla imaju neke zajedničke osobine i to= !mena podreenih domena u stablu sadrže imena nadreenih domena. "o se uklapa sa standardom koji je definisao ). vim domenima unutar jednog stabla pripada zajednička šema koja predstavlja formalnu definiciju svih tipova objekata koje se smeštaju u servis Dktivnog direktorijuma. U okviru stabla postoji zajednički globalni katalog koji predstavlja centralno skladište svih objekata koji pripadaju tom stablu. vi domeni unutar tog stabla mogu da nesmetano pristupe tom skaldištu. . Iuma / 8orest 0 predstavlja grupu ili hijerahijsko ureenje jednog ili više potpuno nezavisnih stabala. ve šume imaju sledeće zajedničke karakteristike= va stabla u šumi imaju zajedničku šemu. tabla u šumi imaju različite strukture imena koje su u skladu sa njihovim domenima. vi domeni u šumi imaju zajednički globalni katalog. )omeni u šumi dejstvuju nezavisno, ali postojanje šume omogućava komunikaciju kroz celu organizaciju. !zmeu domena i stabala domena postoji implicitni dvosmerni odnos poverenja. a primer= !ako stabla vtsnis.edu.yu i vets.edu.yu formiraju jednu šumu, prostor imena je jedinstven samo u okviru svakog stabla u šumi. %.!.2 Dizička struktura Komponente koje se koriste da bi se uspostavila struktura direktorijuma koja će u potpunosti održavati fizičku strukturu jedne organizacije nazivaju se fizičkim komponentama. U fizičke komponente Dktivnog direktorijuma spadaju lokacije i kontroleri domena. #. Aokacija / site0 predstavlja kombinaciju jedne ili više podmreža, na bazi !1 komunikacije, a koje su povezane visoko pouzdanom i brzom vezom u cilju lokalizovanja što je moguće više mrežnog saobraćaja. 3ranice lokacije obično se poklapaju sa granicama 4%N %a. Kada grupišemo podmreže u lokaciju, potrebno je voditi računa da to budu samo one mreže koje imaju brze, jeftine i pouzdane meusobne veze. ;indo??@ koristi ove podatke da bi pronašao sve moguće ;D veze, da odredi koje su od tih veza sporije i koja je cena prenosa podataka na tim vezama. &n onda radi dve veoma korisne stvari= prvo, on kompresuje saobraćaj za replikaciju i drugo, on koristi informacije o cenama puta, koje nam omogućavaju da pronaemo koja je najbolja ruta za replikacioni saobraćaj, uz najmanju cenu. U Dktivnom direktorijumu lokacije nisu deo prostora imena. Kada se pretražuje logički prostor imena, vide se računari i korisnici koji su grupisani u domene i organizacione jedinice, ali ne i lokacije. 6okacije sadrže samo >O •

•

•

• • • •

•


objekte računare i objekte veze koji se koriste da bi se konfigurisala replikacija izmeu lokacija. *edna lokacija može da obuhvati korisničke naloge i računare koji su iz različitih domena. >. Gontroler +omena /domain controller 0 je računar čiji je operativni sistem ;indo???, >??@ erver i na kome je smeštena replika direktorijuma domena /baza podataka lokalnog domena0. Kako jedan domen može da ima jedan ili više kontrolera domena, svi kontroleri domena unutar domena imaju kompletnu repliku dela direktorijuma koji pripada tom domenu. Kontroler domena može da održava samo jedan domen i zadužen je za njegovu bezbedonosnu politiku. Kontroler domena ima sledeće funkcije= vaki kontroler domena sadrži potpunu kopiju svih podataka Dktivnog direktorijuma za taj domen, upravlja izmenama tih podataka i replicira ih na druge kontrolere domena koji su u istom domenu. Kontroleri domena unutar jednog domena automatski jedan drugom repliciraju sve promene koje mogu da se dogode nad objektima koje oni kontrolišu. Kada se izvrši neka operacija koja uzrokuje ažuriranje Dktivnog direktorijuma, u stvari se vrši izmena na jednom od kontrolera domena. "aj kontroler domena zatim replicira izmenu na sve druge kontrolere domena unutar domena. Ieplikacioni saobraćaj izmeu kontrolera domena može da se kontroliše tako što će se odrediti koliko često će se replikacija obavljati i koliko će podataka ;indo??@ replicirati u jednom postupku. Kontroleri domena vrše trenutnu replikaciju kada su u pitanju ažuriranja nekih važnih podataka, na primer onemogućavanje korisničkog naloga. Dktivni direktorijum primenjuje repliciranje sa više glavnih primeraka, pri čemu nijedan kontroler domena nije glavni. vi kontroleri domena u domenu su ravnopravni i svaki kontroler domena sadrži kopiju baze podataka direktorijuma u koju se može vršiti upis. Kontroleri domena me[usobno mogu imati različite podatke samo jedan kratak vremenski period, dok se svi kontroleri domena ne sinhronizuju sa Dktivnim direktorijumom. 1ostojanje više kontrolera domena u domenu daje otpornost na greške. Ukoliko je jedan kontroler domena u oflajn stanju, drugi kontroler domena izvršava sve potrebne funkcije. Kontroleri domena upravljaju svim aspektima interakcije korisnika u domenu, na primer pokušaj prijave korisnika na sistem. Kontroleri domena zaduženi su da detektuju i kolizije u radu kontrolera domena. &ne mogu da nastanu kada neki od kontrolera domena izmeni atribute nekog objekta pre nego što se izmena tih atributa u potpunosti ne prenese na drugi kontroler domena. %.!.! Elo)alni katalog 3lobalni katalog predstavlja centralno skladište informacija o objektima koji se nalaze u stablu ili šumi. &n se automatski kreira na inicijalnom kontroleru domena u prvom domenu u šumi. Kontroler domena koji čuva kopiju globalnog kataloga naziva se server globalnog kataloga. a njemu je smeštena potpuna replika svih atributa objekata u direktorijumu mnjegovog matičnog domena i delimična replika svih atributa objekata sadržanih u direktorijumu svakog domena u šumi. )elimična replika podrazumeva one atribute koji se najčešće koriste u postupcima pretraživanja. Dtributi objekata koji su replicirani u glavnom katalogu nasleuju dozvole kao u izvornom domenu, osiguravajući na taj način bazbednost podataka u globalnom katalogu. )ve su osnovne funkcije koje treba da izvrši globalni katalog i to= da omogući korisniku da može da se prijavi na mrežu tako što će mu dati informaciju o članstvu u unuverzalnim grupama. da omogući pronalaženje informacija direktorijuma nezavisno od toga koji domen u šumi sadrži tražene podatke. 3lobalni katalog treba da odgovara na upite korisnika ili programa o objektima koji su bilo gde na stablu ili šumi i to maksimalnom brzinom i uz najmanji mogući mrežni saobraćaj. vaki kontroler domena opciono može da se konfiguriše kao server globalnog kataloga i preporuka je da svaka lokacija u mreži obavezno ima barem jedan server globalnog kataloga. •

•

•

•

•

•

•

•

•

%.!.% 4epliciranje ve informacije koje se nalaze u okviru Dktivnog direktorijuma moraju svakog trenutka da budu dostupne svim korisnicima i servisima na tom domenu, stablu domena ili šumi domena. Kako u okviru ovih konfiguracija možemo imati više kontrolera domena, gde svaki kontroler nadgleda svoj deo oblasti, potrebno je obezbediti da se sve informacije budu dostupne svim korisnicima bez obzira na koji kontroler @?


domena su povezani. Iepliciranje upravo obezbeuje da se sve izmene u okviru jednog kontrolera domena reflektuju na sve ostale kontrolere doemna u okviru tog domena. !nformacije direktorijuma se repliciraju na kontrolerima doemna kako unutar, tako i izmeu lokacija. ve informacije koje se čuvaju u Dktivnom )irektorijumu /fajl ntds.dit 0 mogu se podeliti u četiri osnovne kategorije. vaka od tih kategorija informacija ima naziv particija direktorijuma ili kontekst imenovanja. Iepliciranje se upravo vrši na osnovu ovih particija jer one predstavljaju osnovne jedinice na osnovu kojih se radi repliciranje. Fetiri osnovne particije informacija u Dktivnom direktorijumu su= 1articija šeme - sadrži informacije o objektima koji se mogu napraviti u direktorijumu kao i njihove atribute i oni su zajednički za sve domene u šumi. &va particija se replicira na svim kontrolerima domena u šumi. 1articija konfiguracije - podaci o logičkoj strukturi postavljanja, uključujući i podatke kao što su struktura domena ili topologija repliciranja nalaze se u ovoj particiji. Kao i kod prethodne particije i ovi podaci su zajednički za sve domene u šumi i repliciraju se na svi kontrolerima domena. 1articije domena - ova particija sadrži podatke o svim objektima u jednom domenu i ti podaci pripadaju samo jednom doemnu pa se ne repliciraju na druge domene. :eutim, replikacija važi za sve kontrolere domena u okviru tog domena. 1articija direktorijuma za aplikacije - podaci koji se nalaze u ovoj particiji odnose se na dinamičke podatke pojedinačnih aplikacija u Dktivnom )irektorijumu. a osnovu ovih podataka omogućeno nam je da kontrolišemo područje smeštanja kopija i proces repliciranja. U ovu particiju smeštaju se podaci za bilo koji tip objekta osim za one objekate koji se odnose na principe bezbednosti /korisnici, grupe i računari0. )a bi se izbegao nepotreban saobraćaj usled repliciranja omogućeno je da se ovi podaci eksplicitno preusmere na kontrolere domena koje administrator odredi u okviru šume domena. Kontroler domena uskladištava i replicira sledeće podatke= particije šeme za šumu, particije konfiguracije za sve domene u šumi i particije domena za svoj domen. 3lobalni katalog skladišti i replicira sledeće podatke= particije šeme za šumu, particije konfiguracije za sve domene u šumi, delimičnu repliku koja sadrži često korišćene atribute za sve objekte direktorijuma u šumi i potpunu repliku koja sadrži sve atribute svih objekata direktorijuma u domenu gde se nalazi globalni katalog. •

•

•

•

%.!.( Odnosi poverenja &dnos poverenja predstavlja vezu dva ili više domena koji veruju jedan drugom. "o znači da ako je postavljena veza poverenja izmeu domena, provera autentičnosti prijavljivanja korisnika se vrši samo na jednom doemnu. vi ostali domeni koji imaju poverenje priznaju tu proveru i korisnik može nesmetano bez ponovne provere autentičnosti da radi sa resursima na tim domenima. U familiji ;indo??@ provera autentičnosti korisnika i aplikacija vrši se putem jednog ili dva protokola poverenja= Aerberus verzija $ ili N" 4%N !anager /"6:0. &dnos poverenja čine dva domena= domen koji ima poverenje i domen u koga se ima poverenje. :ožemo da definišemo neke opšte karakteristike poverenja i to= :etod pravljenja - postoje dva načina pravljenja poverenja i to implicitno/automatsko0 i eksplicitno/ručno0. ije moguće da se prave sva poverenja na oba načina. "ranzitivnost - poverenja mogu biti vezana za domene koji su u odnosu /netranzitivna0 i nevezana /tranzitivna0. "o znači da ako domen D ima poverenje u domen 9, a domen 9 ima poverenje u domen 5, kažemo da imamo tranzitivno poverenje ako domen D ima poverene u domen 5. Ukoliko domen D nema poverenje u domen 5, tada se radi o netranzitivnom poverenju. mer - postoje jednosmerna i dvosmerna poverenja. *ednosmerno poverenje znači da domen D ima poverenje u domen 9 ali obrnuto ne važi. *ednosmerni odnos može biti tranzitivan ili netranzitivan, što zavisi od tipa poverenja koje se pravi. U dvosmernom poverenju domen D ima poverenje u doemn 9 i obrnuto. "o znači da zahtevi za proveru autentičnosti mogu da se prenose izmeu dva domena u oba smera. :ožemo da razlikujemo sledeće oblike poverenja koja se pojavljuju u ;indo??@ familiji= 1overenje na nivou korena stabla - ovo poverenje pravi se implicitno kada se šumi doda osnovni domen novog stabla. &vaj tip poverenja može se uspostaviti samo izmeu korena dva stabla u istoj šumi i predstavlja tranzitivno i dvosmerno poverenje. •

•

•

@#


1overenje roditelj2dete - takoše se implicitno postavlja kada pravimo novi podreeni domen u stablu. &vo poverenje stavlja sve objekte u domenima na raspolaganju svim drugim domenima iz istog stabla i ono je tranzitivno i dvosmerno. 1rečica poverenja - pravi se eksplicitno od strane administratora sistema izmeu dva domena u šumi. Korisno je kada treba skratiti vreme prijavljivanja korisnika ako oni pripadaju različitim domenima koji su logički udaljeni u hejerahiji čume ili stabla.1overenje je tranzitivno i može biti jednosmerno ili dvosmerno. poljni odnos poverenja - administrator sistema eksplicitno pravi ovo poverenje izmeu dva domena koji pripadaju različitim šumama ili dva domena pod različitim operativnim sistemima. 1overenje je netranzitivno a može biti jednosmerno ili dvosmerno &dnos poverenje šume -takoe ga pravi administrator izmeu dva osnovna domena šuma, i omogučava nam da svi domeni u jednoj šumi imaju tranzitivno poverenje u sve domene druge šume. &vo poverenje nije tranzitivno na tri i više šuma, već samo na dve šume i može biti jednosmerno ili dvosmerno. 1overenje u području - pravi ga eksplicitno administrator sistema izmeu područja van ;indo??@. &vo nam omogučava da uspostavimo oblik poverenja i sa nekim drugim operativnim sistemima koji koriste sistem bezbednosti Kerberus. 1overenje može biti tranzitivno ili netranzitivni i jednosmerno ili dvosmerno.

%.!.* &pravljanje izmenama i koniguracijama Upravljanje izmenama i konfiguracijama predstavlja skup funkcija preko kojih je moguće upravljati korisničkim i računarskim podacima i parametrima kao i instalirati i održavati softver na njima.kup funkcija preko kojih je moguće pojednostavniti sve te zadatke treba da obuhvate sledeće zadatke= upravljanje konfiguracijom radne površine svakog korisnika upravljanje načinom primene i instaliranja softvera instaliranje inicijalnog klijentskog operativnog sistema zamena računara • • • • •

%.!.0 Erupne politike 3rupne politike predstavljaju zbirke korisničkih i računarskih parametara konfiguracije koji se mogu povezati sa računarima, lokacijama, domenima i organizacionim jedinicama da bi odredili ponašanje radne površine korisnika. &va opcija omogućava nam, da se na više računara koji pripadaju jednoj grupi, odredi kako će izgledati radna površina, koji će programi biti na raspolaganju korisnicima kao i definisanje različitih opcija u meniju tart.)a bi to ostvarili potrebno je da se naprave objekti grupne politike/0roup Policy 5bject - 31&0 koji će definisati radnu površinu svake grupe. 1ostoje dve vrste 31& lokalni i nelokalni. 6oakalni 31& imaju svi računari koji rade pod ;indo??@ dok su nelokalni 31& povezani sa objektima servisa Dktivnog )irektorijuma= lokacijama, domenima ili organizacionim jedinicama. elokalni 31& mogu biti primenjeni ili na korisnike/nezavisno na kom računaru oni rade0 ili na računare. U skladu sa svojstvima nasleivanja u servisu Dktivnog )irektorijuma, nelokalni 31& se primenjuju hijerahijski od najmanje restriktivne grupe /lokacije0 do najrestrijktivnije grupe /organizacione jedinice0. Kod njih važi princip kumulativnosti. Kako se nelokalni 31&%i primenjuju hijerahijski, korisnićka ili računarska konfiguracija predstavlja rezultat 31&%a povezanih sa njihovom lokacijom, domenom ili organizacionom jedinicom. %.!. rostor imena =+/S i imenovanje o)jekata? Dktivni )irektorijum koristi ) kao servis za imenovanje i lociranje domena. &n nam donosi sledeće prednosti= ) imena su lako čitljiva, pa se lakše pamte od brojčanih !1 adresa, ) imena su stalnija od !1 adresa. !mena servera se retko menjaju za razliku od !1 adresa koje su promenljive veličine. "o naročito važi za mreže gde je aktivirano dinamičko dodeljivanje adresa /)4510. ) ima ista pravila kod dodeljivanja adresa kao i !nternet servis pa nam je princip povezivanja sa lokalnim resursima potpuno isti kao i sa !nternet resursima. • •

•

@>


vaki objekat u Dktivnom )irektorijumu identifikuje se po imenu, po principima koje odrežuje 6)D1 protokol. 1ri tome Dktivni )irektorijum se koristi nizom konvencija za imenovanje objekata= Karakteristična imena - svaki objekat u Dktivnom )irektorijumu ima svoj karakteristično ime /distinguished name%)0 koje na jedinstven način identifikuju objekat. U okviru ovog imena nalazi se ime domena koji sadrži taj objekat kao i kompletnu putanju kroz hijerahiju skladišta do objekta. Uobičajeno je da se koriste tri vrsta skraćenica kod ) imena= 5%ime objekta, &U%organizaciona jedinica i )5%ime komponete domena. Ielativno karakteristično ime - I)/ 7elative distinguished name0 predstavlja deo imena objekta koje je atribut samog objekta. Kako Dktivni )irektorijum podržava upite po atributima objekata, tako nam je omogućeno da pronaemo neki objekat i ako neznamo ) ime. 3lobalno jedinstveni identifikator - svi objekti u Dktivnom )irektorijumu imaju svoj jedinstveni 3U!) / globally uniCue identifier 0 identifikator. &n se uvek formira pri pravljenju objekta i predstavlja #>A bitni heksdecimalni broj koji je garantovano jedinstven. 3U!) broj se nikada ne menja, čak i kada objekat promeni svoju lokaciju, pree iz jednog domena u drugi domen, ili se preimenuje. ve aplikacije obraćaju se objektima preko tog 3U!) identifikatora a ne aktuelnofg ) imena. 3lavno korisničko ime - U1 /user principal name 0 se sastoji od imena korisničkog naloga i imena domena koje identifikuje domen u kome se korisnički nalog nalazi. vaki otvoreni korisnički nalog ima jedno takvo ime poznato kao glavno korisničko ime /mirko^vtsnis.edu.rs0.. •

•

•

•

5 čas ,mplementiranje servisa
(.1 laniranje
(.1.1 lan domena Kada planiramo strukturu domena potrebno je da počnemo od fizičkog okruženja mreže, da odredimo osnovni domen u mreži, odredimo broj domena kao i njihovo hijerahijsko organizovanje. 8izičko okruženje uključuje lokacije objekata u mreži, broj korisnika na svakoj lokaciji, broj potrebnih servera kao i servisa na tim serverima, vrstu mreže, brzinu veze, broj i kvalitet ;D konekcija, lokacije mrežnih barijera i td. &sim sagledavanja fizičkog okruženja, potrebno je da se razmotre i druge infrastrukture koje organizacija već koristi. a primer, ako postoji već ) struktura, verovatno će biti dobro da se ona i zadrži. lično ovome, ako se koristi :icrosoft C7change, potrebno je da strukturu domena zasnivamo na njemu. Kada počnemo da instaliramo Dktivni )irektorijum moramo da izaberemo kakav kontroler domena želimo da instaliramo= da li je to prvi kontroler domena za novi domen ili samo želimo da dodamo nov kontroler domena u postojeći domen. Dko izaberemo da to bude prvi kontroler domena za novi domen, istovremeno ćemo formirati i kontroler domena i novi domen. akon toga treba odrediti da li taj novi domen pripada novoj šumi, da li je on podreen domen u postojećem stablu domena ili predstavlja jedno novo stablo domena u postojećoj šumi. )odavanje novog kontrolera u već postojeći domen pravimo ravnopravni kontroler domena. Iavnopravni kontroleri domena obezbeuju redudantnost i smanjuju opterećenje postoječih kontrolera domena. &vaj izbor se najčešće koristi kada @@


imamo neki domen koji se nalazi na više različitih geografskih lokacija. "ada se formira kontroler domena na svakoj lokaciji, kako bi se smanjio saobraćaj pristupanja servisu Dktivnog )irektorijuma. Kad odreujemo osnovni domen moramo da vodimo računa da je on prvi domen koji pravimo u Dktivnom )irektorijumu, pa samim tim predstavlja i najvažniji domen koji kreiramo. jegova osnovna uloga je da definiše infrastrukturu cele mreže i da upravlja istom. )obro bi bilo da taj osnovni domen šume bude namenski i da bude postavljen isključivo za administriranje infrastrukture celokupne šume. "o se preporučuje iz sledećih razloga= mogućnost kontrolisanja broja administratora koji mogu da prave izmene u šumi domena, osnovni domen je jako mali pa je jednostavno izvršiti njegovo repliciranje, osnovni domen retko može da zastari jer je njegova uloga samo da služi kao osnova, vlasništvo nad osnovnim domenom se lako može preneti bez premeštanja resursa. akon što smo odredili namenski osnovni domen šume, planiranje strukture domena treba da započnemo od jednog podreenog domena ispod osnovnog. 1reporučuje se da se doda samo taj jedan domen a da druge domene dodamo samo u slučaju kada taj prvi podreeni model domena više ne može da ispuni naše zahteve. Ba pravljenje više domena mora postojati nekoliko opravdanih razloga kao što su očuvanje postojeće strukture, administrativna i fizička podeljenost, potreba da se zadovolje posebni parametri bezbedonosne politike, potreba da se optimizuje replikacijski promet kao i potreba da se postavi zaseban prostor imena. "reba imati u vidu da veći broj domena povećava troškove održavanja mreže, najčešće zbog dodatnog upravljanja. U većini slučajeva jedan domen može da zadovolji naše potrebe jer on može da se prostire preko više lokacija i da sadrži milione objekata. e treba praviti posebne domene koji bi održavali sektore i odelenja u okviru jedne organizacije, jer se te strukture često menjaju. :nogo je bolje da se to reši putem organzacionih jedinica jer su one jednostavnije za delegiranje i administriranje. 1ored toga svakoj organizacionoj jedinici možemo dodeliti neku grupnu politiku a onda na osnovu toga smeštati korisnike, računare ili grupe u nju. Dko ipak doemo do zaključka da nam treba organizacija sa više domena onda njih moramo organizovati u vidu jedne hijerahijske strukture, stabla domena ili šume domena, u zavisnosti šta najbolje odgovara potrebama naše mrežne strukture. &snovna razlika izmeu ove dve strukture odnosi se na strukturu ) imena. vi domeni u stablu domena imaju susedne ) prostore imena, dok kod šume domena svako stablo domena ima svoj sopstveni jedinstveni prostor imena. &no što je zajedničko za obe strukture je dele istu konfiguraciju, šemu i globalni katalog. • • • •

(.1.2 lan prostora imena domena U servisu Dktivnog )irektorijuma domeni imaju imena koja podležu ) pravilima. :eutim, pre nego što počnemo da koristimo ) u našoj mreži potrebno je da isplaniramo ) prostor imena. Iazlikujemo dva prostora imena i to unutrašnji /interni naš prostor imena0 i spoljašnji /eksterni prostor imena0. a raspolaganju imamo dva izbora= #. da je unutrašnji prostor imena isti kao i spoljašnji= dobra strana je da su imena domena potpuno ista i na internoj privatnoj mreži kao i na spoljašnjem javnom !nternetu. 6oša strana je da zahteva mnogo složeniju strukturu konfigurisanja mreže sa dodatnim zaštitnim serverima / firewall i proxy serveri0, klijenti se moraju konfigurisati da razlikuju interne od eksternih resursa, problem da se interni resursi ne objave na eksternom javnom !nternetu i duplirano održavanje podataka o internim i eksternim resursima na mreži. !ako je prostor imena isti, korisnici imaju različit pogled na interne i eksterne resurse. >. da su unutrašnji i spoljašnji prostor imena razdvojeni= pvde postoji jasna razlika izmeu internih i eksternih resursa, upravljanje je olakšano jer nema poklapanja ili dupliranja održavanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednoznačno odreeni. Dli, i ovakva realizacija ima svoje mane koje se ogledaju u dvostrukim imenima za prijavljivanje= jedno za interni a drugo za ekstreni prostor imena koje je potrebno registrovati u oba domena. Kod dodeljivanja imena novokreiranim domenima važe neka pravila koje treba poštovati= )ato ime treba da je jednostavno i da asocira na namenu domena. *ednostavna i precizna imena korisnici lakše pamte i omogućavaju korisnicima da potrebne resurse pronalaze intuitivno. Kod davanja imena osnovnom domenu treba voditi računa da se ono neće menjati, jer svaka izmena •

•

@


•

•

•

•

tog imena može kasnije biti nemoguća ili će tražiti dodatni mukotrpni rad a samim tim i povećane troškove. "reba koristiti standardne D5!! karaktere koji podležu ) pravilima /I85 #?@$0, a izbegavati neke specijalne karaktere koji nisu standardni. 9roj nivoa domena treba ograničiti. 1reporučuje se da dubina domena bude tri do četri od vrha ) hijerahije, a maksimalno pet. +to je veći broj nivoa to je i obiv administriranja komplikovaniji. )a bi se postiglo da ime domena bude jedinstveno u celom ) okruženju potrebno je da svaki domen ima jedinstveno ime unutar sebi nadreenog domena. 1otrebno je da dužina imena domena bude što manja, ne duža od >$$ znaka.

(.1.! lan strukture organizacionih jedinica &rganizacija jedinica predstavlja skladište koje definiše strukturu unutar nekog domena. &ne se mogu hijerahijski organizovati u vidu ugnježdavanja. "o znači da unutar domena možemo napraviti hijerahijsku strukturu stabla, gde u okviru jedne organizacine jedince možemo da imamo druge organizacine jedinice, a u okviru njih druge i td. &rganizacione jedinice predstavljaju najmanje jedinice na kojima se može dodeliti grupna strategija ili delegirati administriranje. Bato nam ona služi za upravljanje resursima na osnovu modela organizacije, tako da administratori mogu da delegiraju administrativne zadatke svim ili samo jednoj organizacionoj jedinici. Bato, planiranje organizacionih jedinica podrazumeva da smo se dobro upoznali sa funkcionalnom organizacijom i strukturom preduzeća, kao i njihovim administrativnim potrebama. 1ostoji više razloga zašto se prave organizacione jedinice i to su= 4ake odrEavanje resursa - organizacione jedinice predstavljaju neku vrstu skladišta u kojima smo smestili različite mrežne resurse= korisnike, računare, štampače, deljene datoteke, grupe i ostale organizacine jedinice. *ednostavnim odeljivanjem odreenih prava samo toj oraganizacionoj jedinici mi smo dodeli ta ista prava i svim resursima koji su smešteni u tu organizacinu jedinicu. 4ake delegiranje administrativnih adataka % grupsanjem više računarskih resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje. 4ake deljenje korisnika prema grupnim strategijama - zahvaljujući organizacionim jedinicama lakše se drže na okupu svi resursi sa identičnim bezbedonosnim potrebama. 9roj organizacionih jedinica u domenu nije ograničen i isključivo zavisi od potreba organizacije preduzeća. &no što je neophodno, to je da organizacione jedinice prvog nivoa budu jedinstvene u domenu. 1reporućuje se da hijerahijska organizacija bude što plića kaoko bi bila lakše shvatljivija. 1ostoji nekoliko uobičajenih modela koji nam pomažu da odredimo hijerahiju koja nam najviše odgovara i to= 0eografski model - resursi se ovde organizuju prema mestu gde se oni nalaze. Upotrebom mesta kao faktora koji odreuje organizacionu jedinicu, mi postavljamo čvrste temelje za dalju nadgradnju ka stablu domena. Kako su geografske granice stabilne, prednost ovog modela je da administratorima znatno olakšava pronalaženje resursa na mreži. &vaj model ne mora potpuno da odražava način poslovanja organizacije za koju se organizaciona jednica pravi, ali se uz manje modifikacije može uspešno primeniti. 5rganiacioni model - ovde se organizacione jedinice prave upravo prema strukturi jedne organizacije, prema odelenjima i sektorima. Ddministratori često upotrebljavaju ovaj model organizovanja jer je lako prihvatljiv i shvatljiv. &n olakšava jednostavno delegiranje zadataka, dodelu prava i zabrana, jer su resurs upravo tako i razdeljeni po organizacionim jedinicama sa istim interesima. 1roblem menjanja organizacije odelenja u preduzeću ne predstavlja neki problem jer se organizacione jedinice lako reorganizuju. 5bjektni model - podela resursa po organizacionim jedinicama ovde je definisano na osnovu klasa tih resursa. Klase predstavljaju skup resursa sa istim osobinama kao= korisnici, računari, grupe, štampači i td. 1rednos ovog modela je da olakšava administriranje resursa, jer svaka organizacina jedinica ima jednoobrazne objekte, ali se zato može dobiti veliki broj organizacionih jedinica. •

•

•

•

•

•

(.1.% lan strukture lokacije =sajta? Kao što smo već rekli, lokacija /sajt0 predstavlja deo fizičke strukture servisa Dktivnog @$


)irektorijuma i predstavlja kombinaciju jedne ili više podmreža na bazi !1 protokola koje su povezane vrlo brzim i pouzdanim vezama. truktura lokacije se ovde održava potpuno odvojeno od logičkog okruženja, strukture domena. *edan domen može da obuhvati više lokacija kao što i jedna lokacija može da obuhvati više domena ili njegovih delova. 3lavna uloga lokacije je da obezbedi dobru povezanost na mreži. ačin njegove realizacije najviše utiče na proces prijavljivanja korisnika i provere njihove autentičnosti, kao i na replikaciju direktorijuma. 1rojektovanje lokacije za mrežu koja se sastoji od jedne lokalne računarske mreže/6D0 je veoma jednostavno. Kako su mrežne veze u jednoj 6D mreži po pravilu jako brze, cela ta mreža može da bude jedan lokacija. "ek ako primetimo da kontroler domena ne odgovara dovoljno brzo na zahteve korisnika treba formirati posebnu lokaciju. ajveću pažnju treba posvetiti kod projektovanja strukture lokacije2sajta za neku mrežu koja se prostire na nekoliko različitih fizičkih lokacija. &vde treba obratiti pažnju na fizičke karakteristike tih lokacija, tačno definisati fizičke lokacije koje ćine domene, odrediti oblasti mreže koje bi mogle da se povežu u sajtove, identifikujete fizičke veze koje poveziju te sajtove, obezbedite otpornost na greške konfigurisanjem mosta za povezivanje sajtova i odrediti način, vreme i cenu replikacije.

(.2 ??@ poseduje moćne i fleksibilne alatke koje nam olakšavaju administriranje jedne složene i velike baze podataka kao što je to baza kod Dktivnog )irektorijuma. ve te alatke možemo podeliti na dve velike grupe i to= #0 Dlatke za Dktivni )irektorijum iz paketa indows Support "ools - ove alatke većinom služe za konfigurisanje, upravljanje i uklanjanje grešaka u servisu Dktivnog )irektorijuma.. >0 Ddministrativne konzole za Dktivni )irektorijum - ove alatke se instaliraju automatski na računarima koji su konfigurisani kao kontroleri domena kada se instalira Dktivni )irektorijum. Ddministrativne konzole mogu biti instalirane i na drugim serverima, ali za to nam je potreban opcioni paket %dministrative "ools. a taj način omogućeno nam je da vršimo administriranje Dktivnog )irektorijuma i sa računara koji nisu kontroleri domena. a raspolaganju su nam sledeće administrativne konzole= %ctive Directory Domains %nd "rusts - ova konzola obezbeuje interfejs za upravljanje domenima i odnosima poverenja izmeu šuma i domena. "o znači da uz pomoć ove konzole možemo da obezbedimo interoperatibilnost sa drugim domenima, promenimo funkcionalni nivo domena /režimi domena0, promenimo funkcionalni nivo šume, da dodamo ili uklonimo alternativne sufikse glavnog korisničkog imena /U10 koje se koriste za pravljenje korisničkih imena i da prenesemo glavnu ulogu za operaciju imenovanja domena sa jednog kontrolera domena na drugi. %ctive Directory Sites %nd Services - pomoću ove konzole Dktivnom )irektorijumu se daju informacije o fizičkoj konfiguraciji naše mreže. "e informacije Dktivni )irektorijum koristi da bi mogao da odredi kao da vrši repliciranje direktorijuma izmeu kontrolera domena. %ctive Directory =sers %nd (omputers - kao što samo ime ove konzole kaže ona nam omogućava da dodamo, izmenimo, obrišemo i organizujemo korisničke naloge, računarske naloge, bezbedonosne i distributivne grupe i prijavljene resurse u okviru našeg domena."akoe vam omogućava da upravljamo i kontrolerima domena kao i organizacionim jedinicama. %ctive Directory Schema - &va konzola je takoe na raspolaganju računaru konfigurisanom kao kontroler domena, ali je potrebno da se naknadno instalira iz komandne linije. &vaj postupak je zamišljen tako, da bi se izbeglo slučajno menjanje šeme. 1rema tome osnovni zadatak ove konzole je da pregledamo i menjamo šemu Dktivnog )irektorijuma. •

•

•

•

(.! &pravljanje
(.!.1 O)ez)e#ivanje integriteta )aze podataka Dktivni )irektorijum predstavlja jednu vrstu transakcione baze podataka. "ransakciona baza podataka predstavlja bazu podataka kod koje se ažuriranje podataka vrši iz nekoliko koraka. *edna @R


transakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi podataka i ona zaokružuje kompletno izvršenje te radnje. Dko se desi da nije moguće izvršiti sve predviene radnje za tu transakciju potrebno je poništiti sve one radnje koje su se izvršile i vratiti se na stanje pre početka izvršenja te transakcije. )a bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam omogućava poništavanje operacija po segmentima i sigurno završavanje transakcija u bazi. Ba kontrolu semantičkog integriteta baze podataka Dktivnog )irektorijuma postoji posebna alatka tj. program ntdutil.exe koji nam omogučava da proverimo broj aktivnih referenci i veza, broj obrisanih objekata, ispravnost ) strukture imena, bezbedonosnih deskriptora i proverava replikaciju podataka. $.@.> ravljenje rezervnih kopija servisa ??@. Kada smo sve ove zadatke uradili možemo pristupiti pravljenju rezervne kopije putem posebnog čarobnjaka 1ackup 5r 7estore. &n automatski kopira sve sistemske komponente i sve distribuirane servise koji su potrebni servisu Dktivni )irektorijum. &ve komponente i servisi poznati su pod jedinstvenim imenom podaci o stanju sistema. Kod ;indo??@ ovi podaci uključuju bazu 7egistry, bazu podataka (5!F (lass 7egistration , datoteke za podizanje sistema, datoteke pod zaštitom indows 8ile Protection i bazu podataka (ertificate Services. Dko je server i kontroler domena onda ovi podaci uključuju i Dktivni )irektorijum i direktorijum Sysvol . vi ovi podaci su nedeljivi kada se rade rezervne kopije. "o znači da nije izvodljivo da biramo pojedinačne komponente podataka stanja sistema jer su svi oni meusobno povezani i zavisni jedni od drugih. Iezervne kopije možemo praviti samo za stanje sistema lokalnog računara, a ne i za udaljene računare. amo članovi grupa %dministrators i 1ackup 5perators mogu da prave rezervne kopije.

(.!.! reme-tanje sati potpuno samostalno i to radi u sklopu svog procesa uklanjanja smeća / 0arbage (ollection0. &va defragmentacija je veoma delotvorna jer optimizuje skladištenje podataka u bazi podataka. a ovaj način se ne vrši fizićka promena veličine baze podataka, tj. ona se ne smanjuje, već se samo oslobaa prostor u kome je moguće upamtiti nove podatke za resurse mreže. &vaj postupak defragmetiranja otklanja probleme sa skladištenjem, ali ako baza podataka previše naraste moramo da primenimo drugi način a to je defragmentiranje van veze. "aj način nam daje potpuno novu, kompaktnu verziju datoteke, ali zato traje dosta duže od prvog načina. Bato se on primenjuje samo u velikim mrežama koje su podložne čestim i velikim promenama.9aza podataka /fajl Ntds.dit 0 je kod takvih mreža dosta veliki i ima dosta HHprazninaHH ako se primenjuje samo prvi način defragmentacije a to može dosta da uspori rad našeg Dktivnog )irektorijuma.

(.!.( ,ntegrisanje

apomenućemo samo nekoliko osnovnih proizvoda i objasniti šta nam oni donose. Dktivni )irektorijum i W6 erver - :ehanizam baze podataka Dktivnog )irektorijuma zove se Get , koju koristi i :icrosoftov Dccess. :eutim, Dktivni )irektorijum može sasvim lepo da koristi i W6 erver kao svoj mehanizam baze podataka. "ako da ako nam trebaju i kontrola pristupa i dobre performanse, koje samo W6 erver može da nam pruži, preporučuje se da zajedno koriste i Dktivni )irektorijum i W6 erver. Dktivni )irektorijum i :icrosoft C7change - 1rogram :icrosoft C7change omogućuje nam da u okviru mreže pouzdano razmenjujemo gotovo sve podatke. 1osebna pogodnost je ta da se on može vrlo lako integrisati sa Dktivnim )irektorijumom. a taj način on u njemu podrazumevano skladišti sve podatke o korisnicima i njihovim nalozima. "ime smo obezbedili da se podaci ne dupliraju i da su uvek sinhronizovani. Dktivni )irektorijum i ) - ) je osnovni način pronalaženja usluga i servera Dktivnog )irektorijuma u domenu. Klijenti i različiti servisi koriste ) za pronalaženje osnovnog domena radi prijavljivanja i administriranja mreže. 3eneralno je pravilo da barem jedan ) mora biti instaliran u šumi domena da bi Dktivni )irektorijum ispravno radio. U jednostavnim kofiguracijama instaliranje ) servera predstavlja trivijalan zadatak. Uz ;indo??@ dolazi i :icrosoftov ) server ali se može instalirati i bilo koji drugi ) server /na primer 9!) server na U!N%u0. *edini preduslov koji treba da ispuni taj novi ) server, je da podržava protokol za dinamičko ažuriranje. adgledanje povereničkih odnosa i replikovanje - %ctive Directory 7eplication !onitor / 7eplmon.exe0 predstavlja grafički alat za nadgledanje operacija niskog nivoa i performansi replikovanja osnovnog domena - upravljača u kompletnom domenu. •

•

•

•

(.% ,nstalacija ??@ erver u kontroler domena, bira se opcija Start  7un i unosi se D!P.0$01 "ime se pokreće čarobnjak za instalaciju %ctive Directory +nstallation iard /slika .R0. &vaj program ne samo da konvertuje server u kontroler domena, već i obratno, vraća kontroler domena u server. !nstalacija Dktivnog direktorijuma je veoma jednostavna. Farobnjak postavlja niz pitanja i na osnovu odgovora, podešava nova stabla, šumu ili domen, kreira kopiju kontrolera domena u nekom postojećem domenu. ačin na koji se kreira domen je jednostavan. 1osle ekrana dobrodošlice pojaviće se okvir kao na slici .V. Farobnjak nudi opcije da li se želi kreirati novi domen ili da se napravi kontroler u postojećem domenu. U ovom slučaju biramo da želimo da kreiramo novi kontroler domena. ;indo??@ erver omogućava da se domeni postavljaju u stabla, a stabla u šume, tako da je logično da iard treba da zna gde da stavi novo stablo, u potpuno novu šumu, u neku postojeću ili da to bude neki poddomen. ledeći okvir /slika .A0 nudi upravo ove opcije= da li se želi kreirati domen u novoj šumi, ili kreirati dete domen u već postojećoj šumi i da li se želi kreirati domen u postojećoj šumi. :i biramo prvu opciju tj. novi domen u novoj šumi. Klikne se na dugme Next . ada je potrebno uneti ime domena koji se želi kreirati /slika .O0. U našem slučaju to je vtsnis.edu.yu. &vde se dakle unosi ime koje će se registrovati kao zvanično ime. Klikne se na Next . ledeći okvir nam daje mogućnost upisa Net1+5S imena domena /slika .#?0. Ukoliko ste sigurni da mreža na kojoj se instalira kontroler domena radi #??M pod ;indo???, >??@ /uključujući i servere i radne stanice0 ime ne treba unositi. :reža će verovatno sadržati neke računare koji rade pod mrežnim softverom koji je pisan u danima ;indo??@ ima dva imena, svoje DNS ime /tj. vtsnis.edu.yu0 i ime prema starom stilu označavanja domena / V"S 0. Kako su ova stara imena bila izabrana, da bi se prilagodila jednom starom mrežnom programskom interfejsu pod imenom Net1+5S , to je i stil označavanja imena domena nazvan Net1+5S . akon ovoga se klikne na Next i pojavljuje se ekran sa slike .##. @A


;indo??@ čuva bazu podataka Dktivnog direktorijuma u dva dela, kao što je slučaj sa bazama podataka, samom bazom i dnevnikom transakcija. )ve stvari koje treba imati na umu su, da baza podataka Dktivnog direktorijuma treba da bude na N"8S delu, radi postizanja boljih performansi i da je dobra ideja da se dnevnik transakcija čuva na drugom fizičkom disku. tavljanje dnevnika transakcija i D) baze podataka na različite diskove dovodi do toga da sistem može da ih istovremeno ažurira što opet dovodi do značajnog poboljšanja performansi. )a bi se to prilagodilo, klikne se na Next i pojavljuje se okvir sa slike .#>. Ianije je navedeno da na serveru Dktivnog direktorijuma treba imati najmanje jedan N"8S disk. &vo je trenutak kada se to koristi. Ianije verzije servera su sve informacije o konfiguraciji korisnika, kao i kontrolere domena čuvale na direktorijumu pod imenom N)"4505N , koji se nalazio na primarnom kontroleru domena. "o su bile na primer datoteke sistemskih polisa, podrazumevani profili i skriptovi za prijavljivanje. N)"4505N informacije su bile potrebne i backup kontrolerima domena, pa su administratori mreže morali da nekako osiguraju da sve datoteke N)"4505N %a budu kopirane. Kod ;indo??@ nema ovakvih problema. vi ovi podaci idu na direktorijum pod imenom Sysvol> koji se automatski kopira do drugih kontrolera domena. &vim se smanjuje posao čuvanja. &pet se klikne na Next i dolazi se do okvira sa slike .#@ gde se treba pobrinuti o DNS %u. &vde je D(P75!5 pokušao da prona[e i kontaktira DNS server za vtsnis.edu.yu. 1ojavile su se neke teškoće koje su dovele do ove nevolje. &vaj ekran može da znači jednu od dve stvari= # D(P75!5 ne može da dobije odgovor od DNS servera za vtsnis.edu.yu. U konkretnom slučaju za vtsnis.edu.yu, treba registrovati domen kod neke od organizacija koje se bave time /;eb hosting kompanije0. )a bi se registrovao domen mora se reći toj organizaciji +P adresa za dva računara koji će služiti kao DNS serveri domena. 1rimarni DNS će se nalaziti na ovom računaru, koji još uvek nije podešen, tako da nema DNS servera koji radi. U slučaju da je DNS server konfigurisan pre pokretanja programa D(P75!5, sprečio bi se prikaz ovog ekrana. &vaj ekran će izaći i ukoliko računar nije povezan sa internetom. # D(P75!5 je dobio odgovor od DNS servera za vtsnis.edu.yu, ali je pronašao da oni nisu prihvatili dinamičko ažuriranje. 1retpostavlja se sada da je računar konfigurisan kao DNS server, ali je računar bio "  server ili neki server koji ne podržava I85 >#@R SVT /dokument u kojem je opisan DNS 0, jer je "  izašao pre I85 >#@R dokumenta. I85 >#@R podržava ideju dinamičkog ažuriranja, koja je bitna za način na koji ;indo???, >??@ upravlja informacijama o domenima i drugim ;indo#@R definiše protokol za dodavanje, modifikaciju i brisanje DNS zapisa u letu. Dktivni direktorijum se zasniva na ovome tako da on mora imati I85 >#@R kompatibilan server za svoje domene. Iezultat je da kad D(P75!5 prona[e DNS server domena, prva stvar koju ga pita je 'da li podržavaš dinamičko ažuriranjeJ(. Dko to ne učini, D(P75!5 izbacuje grešku. Uglavnom Dktivni direktorijum neće raditi bez konfigurisanog DNS %a, ipak biramo opciju da želimo da ga kasnije konfigurišemo i kliknemo na Next . ledeći okvir sa slike .# omogućava serverima, koji su generacijski izašli pre ;indo???, proveru autentičnosti korisnika, gde je ;indo??? morao malo da izgubi od svoje sigurnosti. &vo nije prijatno jer donosi mnoštvo sigurnosnih problema koji su postojali kod "%a . toga, ukoliko ste sigurni da nema servera sa ranijim verzijama druga opcija je bolja. Kliknemo na Next i pojavljuje se ekran sa slike .#$ *edna od opcija ;indo??@ je da prepravi oštećene baze Dktivnog direktorijuma. ije poželjno da to može svako da uradi, jer ako se kaže ;indo??@ da ponovo napravi svoju bazu podataka, to je u osnovi isto kao da mu se kaže da je uništi. Bbog ovoga ;indo??@ traži lozinku koju će koristiti da prihvati onog ko želi da ponovo napravi bazu D)%a. 1opuni se i klikne se na Next , nakon čega će se pojaviti ekran kao na slici .#R. 



@O


&vaj poslednji ekran, treba pažljivo pročitati i ako nešto nije kako smo želeli, postoji još uvek mogućnost da se vratimo i ispravimo ono što ne valja, pre nego što kliknemo na 8inish. 1otom se pojavljuje okvir kao na slici .#V. "aj okvir će potrajati na ekranu. 1o nekim iskustvima najmanje #? do @? minuta. &vaj proces može da se ubrza sa dva S(S+ /Small ;omputer SFstem ,nterace 0SAT diska. Iazlog zašto se mora biti u potpunosti siguran, pre nego što se klikne na 8inish je što ukoliko se želi da se nešto promeni, najpre mora da se pro[e kroz ceo proces kreiranja Dktivnog direktorijuma, zatim da se restartuje server, nakon čega treba da se pokrene čarobnjak %ctive Directory +nstallation iard , da se uništi domen, a nakon toga treba da se ponovo restartuje računar i na kraju ponovo pokrene čarobnjak %ctive Directory +nstallation iard , po treći put. &vog puta treba zadati tačne vrednosti i naravno kada se sve to odradi, potrebno je opet #?%@? minuta čekanja i još jedno restartovanje. U svakom slučaju, kada je direktorijum jednom spreman, čarobnjak završava sa ekranom koji je prikazan na slici .#A čime je završena instalacija Dktivnog direktorijuma.

(.%.1 ružanje Jservisa za proveru autentičnostiKB kontroleri domena Kada pokušamo da pristupimo nekom deljenom direktorijumu ili deljenom štampaču, aktivni direktorijum će izvršiti proveru naše validnosti. 1reciznije govoreći, ako sedimo za kompjuterom D i pokušavamo da pristupimo odreenom fajlu sa deljenog direktorijuma na članskom serveru 9, onda će 9 zatražiti od D odgovor na pitanje ko smo mi uopšte, kako bi 9 mogao da odluči da li da nam dozvoli pristup željenom fajlu ili ne. D i 9 će na kraju zajedno otići do kontrolera domena, kako bi proverili našu validnost. 1rema tome, D) obezbeuje jednu centralnu bazu podataka o korisničkim nalozima, na koju se svi :icrosoftovi fajl serveri oslanjaju po pitanju provere autentičnosti. 1retpostavimo da imamo #?.??? korisnika, #?.??? radnih stanica /meu kojima je i naš kompjuter D0 i $?? servera /meu kojima je i naš server 90. vaki od ovih #?.??? korisnika trebalo bi da ima mogućnost da doe do bilo kog od ovih servera i potencijalno fajlovima ili štampačima na tom serveru, osim ukoliko smo mu eksplicitno zabranili pristup odreenim resursima. 1ored toga, svaki od ovih #?.??? korisnika trebalo bi da može da sedne za bilo koju od #?.??? radnih stanica, da se na njoj prijavi za rad /loguje0 i da obavi neki posao. Kako bi to postigli bez upotrebe domenaJ :orali bi da odgovarajuće zapise, za svih #?.??? korisnika, ručno da unosimo u D: fajlove na svakoj radnoj stanici posebno i u D: fajlove na serverima. 6epota upotrebe domena sastoji se u tome što jednom malom broju servera možemo dati blagoslov za čuvanje podataka o korisnicima i njihovim lozinkama - ")=)!" fajl - pa zatim, ostatku mreže omogućiti upotrebu odgovarjućih servisa, tako da bilo koji kompjuter može reći, na primer, sledeće= '4ej, ja sam server 9, a jedan momak koji sedi za radnom stanicom D tvrdi da je :ark, da li je on zaista :arkJ( Iadi se , dakle, o jednom centralnom servisu, koji je veoma sličan f ajl servisu, ili servisu za štampanje, ili servisu baze podataka, ili ??@ računarima. a kojima se čuva baza podataka o domenskim informacijama. Koji obezbeuju da njihove kopije domenskih informacija budu veoma kozistente= ako na svojoj mreži imamo pet )5%a , onda će jedan od zadatka koji ovi )5%i obavljaju odnositi na proces pod nazivom replikacija /replication0, u kome )5%i jedan drugog meusobno ažuriraju po pitanju izmena u njihovim bazama podataka, koje nastaju kada kreiraamo neki novi korisnički nalog, kreiramo novu lozinku i sl. Koji pružaju servis za proveru autentičnosti, no koji se ostali kompjuteri oslanjaju prilikom prijavljivanja korisnika. (.1.1 +einisanje domena JpoverenjeK ada, dakle, imamo server koji može vršiti proveru autentičnosti korisnika, to jest, imamo )5. Dli,čiju će proveru autentičnosti on vršitiJ vakako, on to neće vršiti za bilo koji kompjuter. eki 15 /bilo da je u pitanju server ili radna stanica0 može upotrebit )5 na nekom domenu radi prover ? •

• •

•


autentičnoti, jedino ukolikko se taj 15 'pridruži( /join0 domenu i postane 'član domena( /domani member0. Kompjuteri koji nisu članovi njednog domena, proveru autentičnosti mog vršiti upotrebm korisničkih naloga iz svog lokalnog D: fajla_ nasuprot tome, kompjuter koji su punopravni članovi nekog domena, proveru autentičnosti nekog korisnika mogu vršiti bilo upotrebom ovih lokalnih D: naloga, ili tako što će od kontrolera tog domena zatražiti proveru autentičnosti tog korisnika. U svetu :icrosoftovih mreža, kažemo da kompjuteri koji nisu članovi nijednog domena, veruju /trust0 samo svom lokalnom D:%u, dok kompjuteri koji su članovi nekog domena veruju svom D: fajlu, kao i )5%ima na svom domenu. 1rilikom pridruživanja domenu, uspostavlja se 'odnos poverenja( /trust relationship0 izmeu 15%ja i )5%a. 1re nego što radna stanica poveruje kontroleru domena koji će joj obezbediti korišćenje prijavnih servisa, i pre nego što domen kontroler bude dovoljno verovao radnoj stanici da bi joj pružio ove prijavne servise, :!crosoftov softver zahteva postojanje dogovora izmeu administratora na nivou domena i administratora na nivou radne stanice. Kada neku mašinu prijavljujete domenu, obično smo na nju prijavljeni preko jednog naloga, koji radna stanica prepoznaje kao nalog lokalnog administratora, ali kad zaista uspostavimo zahtev za nje prijem u članstvo domen> domen će nam odgovoriti= 'ada želim da mi pokažete nalog administratora koji može biti prepoznat na domenu(. Dli, odnosi poverenja mogu ići dalje od toga, moguće je kreirati odnose poverenja ne samo izmeu mašina i domena, već i izmeu domena i nekog drugog domena. )akle, )omen predstavlja grupu kompjutera koji veruju )5%ima datog domena, i Iazličiti domeni mogu biti konfigurisani tako da veruju jedan drugom. "ako dolazimo do još jedne prednosti aktivnog direktorijuma= automatski odnosi poverenja. Dktivni direktorijum omogućava izgradnju većih mreža, tako što kreiranje i održavanje multi domenskih mreža čini znatno jednostavnijim. )ok je, nekada, adminidtrator neke multidomenske mreže morao da izgradi i stalno održava kompleksan sistem meusobnih odnosa poverenja, aktivni direktorijum nam sada daje mogućnost da kreiramo sistem domena pod nazivom uma /forest0. &snovna prednost šuma se sastoji u tome što će, kad neka grupa domena bude jednom ugraena u šumu, kreiranje i održavanje njihovih odnosa biti potpuno automatizovano. 1ored toga, postoje i manje multi%domenske strukture, pod nazivom stabla /trees0, kod kojih se takoe koristi karakteristika auatomatskog uspostavljanja poverenja. (.1.2 ,zgradnja multi8domenskih struktura Sta)la 1raktično iskustvo u upotrebi "%a , pokazalo je da su ljudi prilikom izgaradnje multidomenskih mreža, obično kreirali hjerarhije domena, koje kompjuterski stručnjaci nazivaju strukturom stabla> uprkos činjenici da se kod ovih kompjuterskih stabala korenje nalazi na vrhu, a 'lišće( na dnu. 1rvi domen koji kreiramo naziva se korenom /root0 stabla. 1retpostavimo da naziv roota galsi bigfirm.biz. domeni ispod njega nazivaju se deca/domeni /child domains0. 1rilikom podele organizacije, to možemo učiniti, na primer, po geografskom principu - istocni.bigfirm.biz i zapadni.bigfirm.biz. 1rema tome, pravilo za davanje naziva deci%domenima glasi= dete%domen mora imati naziv u obliku naiv.naivroditeljskogdirektorijuma. &snovna prednost upotrebe stabala odnosi se, pre svega, na automatsko uspostavljanje odnosa poverenja, što je zaista sjajna osobina. Iume 1retpostavimo, sada, da je naša kompanija Root(.) podeljena na domene bigfirm.bi i apex.com. a dalje,ome pretpostavimo da smo odlučili da zadržimo multi%domensku strukturu, pri čemu želimo da jedan njen deo zadrži naziv bigfirm.biz, a da drugi nastavi da egzistira pod nazivom bigfirm.biz apex.com ape7.com. alazimo se, dakle, u sledećoj situaciji= prvo, imamo dav domena, i drugo, ova dva domena se ne mogu uklopiti u jedno stablo. &d ova dva domena možemo, doduše, kreirati jednu jedinstvenu strukturu, ali ona ne može imati istocni.bigfirm.biz zapa dni.bigfirm.biz oblik stabla, zbog njihovih različitih naziva. • •

#


Umesto toga, trebalo bi da kreiramo takozvanu umu. Kao što se vidi sa slike, šuma ne predstavlja ništa drugo do grupu stabala. Slika !.! Iematski prikaz -ume a slici je prikazana šuma koja je izgraena od bigfirm.biz i ape7.com stabala. !zuzev različitih nazivnih hijerarhija, sva stabla u šumi se,sa aspekta meusobnih odnosa poverenja, mogu posmatrati kao jedno stablo - aktivni direktorijum će automatski kreirati tranzitivne odnose poverenja. "ako, na primer, pošto istocni.bigfirm.biz veruje domenu bigfirm.biz, a bigfirm.biz veruje domenu ape7.com, to će i istocni.bigfirm.biz - potpuno automatski - verovati domenu ape7.com. (.1.! rovera auentičnosti za veliki )roj različitih proizvo#ača :icrosoft je odlučio da svoj aktivni direktorijum opremi standardnim interfejsom, pod nazivom 6ight??? i erver >??@ kontrolerima domena saopčtimo koliko su oni meusobno dobro konektovani. !deja se saatoji u tome da svoje preduzeće opisujemo uz pomoć termina sajtovi /sites0, koji u osnovi ne predstavljauju ništa drugo do grupu servera sa brzom meusobnom konekcijom - odnosno, grupu servera koji egzistiraju na istoj 6D mreži. akon toga, možemo definisati koliko su brze /ili, verovatnije, spore0 konekcij izmeu ovih sajtova, kako bi D) mogao pametnija da koristi ove konekcije. Konkretno, serveri aktivnog direktorijuma ;indo??? će obaviti kompresiju podataka pre nego što ih pošalje preko sporih ;D linkova. )oduše, ova kompresija će oduzeti malo procesorske snage ali će se višestruko isplatiti, jer D) može postići stepen kompresije od čak #?=#. Dli, neki ljudi ne bi voleli da D) ne troši uludo snagu svog procesora na kompresiju i dekompresiju podataka, jer poseduju dovoljno veliki propusni opseg ;D linka. ! za ovakve korisnike, D) servera >??@ nudi adekvaatno poboljšanje= sada imamona raspolaganju opciju za isključenje kompresije. e samo što se često suočavamo sa sporim linkovima, već često moramo da se pomirimo sa neminovnošću upotrebe nepouzdanih linkova, onih koji čas rade čas ne rade, odnosno onih koji svakog dana rade samo tokom kratkog vremenskog perioda. Dktivni direktorijum omogućava da definišemo ne samo brzinu ;D linka, već i vreme kada je on obično dostupan. (.1.( <+ podržava upotre)u direktorijumskih servisa na mreži >


;indo???, N1 i server >??@ omogućavaju da kontrolišemo propusni opseg /band??@, ali njegovu ulogu lagano preuzima centralna lista servera i deljnih resursa, koja se čuva u aktivnom direktorijumu. &va lista sadrži nazive servera, raspoložive deljene resurse /shares0 u sistemu, kao i listu raspoloživih mrežnih štampača. 5, čas &pravljanje korisnicima i resursima *.1 BD;0, upravljanje korisnicima i grupama postalo je znatno složenije u ;indo??@. Uzroci tome leže dobrim delom u objektima tipa korisnik /user0 i grupa /group0, kao i u podršci aktivnog direktorijuma za njih, nasleenoj od ;indo???. Kada tome dodamo i probleme integrisanja ;indo??@ ne pravi nikakvu razliku izmeu čoveka i ureaja koji koriste resurse operativnog sistema. vi korisnici se tretiraju kao bebednosni subjekti / security principals0 koji inicijalno imaju sva ovlašćenja. vi objekti tipa korisnik izvedeni su od iste klase =ser aktivnog direktorijuma, koja je izvedena od više roditelja. &bjekti tipa mašina / machine0 izvedeni su od objekata tipa korisnik /=ser 0. )a biste pristupili odreenom objektu tipa korisnik, u kodu programa ili skripta treba da zadate njegovo jedinstveno ime /distinguished name, )0. "o automatski čine razni @


objekti grafičkog korisničkog okruženja, ali ako nameravate da pišete skriptove koji pristupaju objektu, treba da referencirate njegov 3U!) identifikator. &vde treba pomenuti i jedan novi objekat koji se pojavio u ;indo??@ mrežama. "o su kontakti /contacts9 koji su izvedeni od iste hijerarhije klasa kao objekat tipa korisnik. :eutim, objekat tipa kontakt ne nasleuje od svog roditelja bezbednost atributa. Kontakt se koristi samo u komunikacijama= za razmenu poruka elektronskom poštom i faksom, za telefoniranje itd. )istribucione liste ;indo??@ sačinjavaju kontakti. Kontaktima u aktivnom imeniku možete pristupati iz programa kao što su &utlook i &utlook C7press ili iz svih drugih klijentskih programa koji su 6)D1 kompatibilni. &bjekat tipa 5ontact je gotovo istovetan objektu u ;indo??@ razlikujemo tri osnovna tipa korisničkih naloga= #0 Aokalni korisnički nalozi - !zraz lokalni korisnik često opisuje dve vrste korisnika= jedne, koji su lokalni u odnosu na računar i prijavljuju se na njega da bi koristili usluge lokalno radne stanice, i druge koji su lokalni u odnosu na mrežu ili na domen. matramo da je logično da lokalni korisnik bude onaj koji se lokalno prijavljuje na radnu stanicu ili na server. 6okalni korisnik može da se prijavi na mašinu ispred koje sedi, na kojoj postoji njegov nalog, ili na udaljenu mašinu za koju mu je dodeljeno pravo da se prijavljuje lokalno. a primer, to može da bude server za aplikacije kome udaljeni klijent pristupa u okviru terminalske sesije. Kada se pravi lokalni korisnički nalog on se formira samo u bezbedonosnoj bazi podataka računara na kome se pravi i ta se baza naziva lokalnom bezbedonosnom bazom podataka. !nformacije iz te baze se ne repliciraju na kontrolere domena u domenu. "e informacije se samo koriste da bi računar proverio autentičnost lokalnog korisničkog naloga, što korisniku omogućava da se prijavi samo na taj računar i da koristi samo njegove lokalne resurse. >0 Gorisnički nalozi domena % Kada pominjemo generički korisnike u domenu ili korisnike uopšte logičnije je da o njima govorimo kao o korisnicima domena ili pripadnicima domena. Korisnik može istovremeno da pripada i lokalnom računaru i domenu. &vi nalozi omogućuju korisnicima da se prijave na domen i dobiju pristup resursima bilo gde na mreži. 1roces prijavljivanja se ovde ne razlikuje od predhodnog slučaja jer i ovde korisnik daje svoje korisničko ime i lozinku. Korišćenjem ovih informacija operativni sistem potvruje autentičnost korisnika i zatim gradi token pristupa /access token 0 koji sadrži informacije o korisniku i bezbedonosne parametre i koji važi sve vreme dok je korisnik prijavljen. &vaj nalog se pravi unutar nekog skladišta ili organizacione jedinice u bazi podataka Dktivnog direktorijuma na kontroleru domena. "a se informacija obavezno replicira na sve ostale kontrolere domena iz domena, kako bi svi oni mogli da provere autentičnost korisnika prilikom prijavljivanja. @0 &gra#eni korisnički nalozi - predstavljaju naloge koji se automatski prave od strane operativnog sistema i obično su to dva naloga=

servera, ili domena da bi dobio pristup lokalnoj radnoj stanici. 1retpostavimo da ovaj server, ili domen nema nalog student. &n radi na računaru i pokušava da pristupi resursima iz domena i naravno pristupa. !ako eksplicitno logovanje na domen zahteva da se upotrebi korisničko ime 0uest , eksplicitno korisnik ne mora da se loguje na domen, kako bi koristio privilegije gosta. Upravo iz ovog razloga treba biti veoma pažljiv kada se omogućuje 0uest nalog. *.1.2 Dormiranje korisničkih naloga U ;indo??@, konzola %ctive Directory =sers and (omputers /+S<.MS;0 predstavlja glavnu alatku koja nam služi za za rad sa korisničkim nalozima, bezbednosnim grupama, organizacionim jedinicama i načelima, za jedan domen, ili više njih. Kako je reč o !icrosoft !anagment (onsole /MM;0 aplikaciji, ovaj alat se može pokrenuti na svakom ;indo???2>??@ računaru. 6okalni korisnički nalozi na usamljenom serveru, serveru članu, ili nekoj radnoj stanici se čuvaju u Security %ccounts !anager /S. )odeljivanje 4og 5n scriptova korisničkim nalozima @. Upravljanje grupama i članstvima u grupama . Kreiranje i upravljanje grupnim načelima )a bi se kreirao korisnički nalog, u DS%.!S( selektuje se kontejner =sers /ili neki drugi kontejner2organizaciona jedinica, gde se želi smestiti nalog0, zatim se iz menija %ction /slika $.0 izabere New=ser . 1ojavljuje se čarobnjak, sa okvirom za dijalog prikazanim na slici $.$. 1opunjavaju se polja 8irst Name /ime0, 4ast Name /prezime0 i 8ull Name /puno ime0. 1otom se unosi korisničko logon ime /npr. student0 i izabere se =niversal Principal Name /&/0 sufiks, koji će se dodavati korisničkom imenu u trenutku logovanja. =PN sufiks je obično DNS ime domena i ne može se izabrati ništa osim podrazumevanog imena domena. =PN imena su pravljena prema e%mail imenima, znači sa ^ simbolom. =PN sufiks je pointer na domen koji sadrži korisnički nalog, tako da je važan kada se korisnik loguje u okruženju sa više domena.

$


Korisničko ime u ;indo???2>??@ sistemima mora poštovati sledeća pravila= #. !me mora biti jedinstveno na računaru, za lokalne naloge /ili jedinstveno u domenu0. :eutim, ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na računaru koji je član domena, a nije kontroler, što je činjenica koja unosi veliku konfuziju, jer je reč o potpuno različitim entitetima. >. Korisničko ime ne može biti isto kao ime grupe na lokalnom računaru, za lokalni nalog /ni isto kao ime grupe u domenu0. @. Korisničko ime može biti do >? karaktera, malim, ili velikim slovima, ili u kombinaciji. . )a bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisničko ime ne sme sadržati = ' X 2 ST=_`,PJ $. !me može sadržati razmake i tačke, ali se ne može u potpunosti sastojati od tačaka i razmaka. "reba izbegavati razmake jer se u tom slučaju ta imena moraju stavljati meu znake navoda u slučaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada se popune sva polja o korisničkom imenu izabere se Next . U narednom ekranu prikazanom na slici $.R, zadaje se lozinka za korisnički nalog i potvruje se. ijedna od opcija naloga nije potvrena unapred, pa nije loše izabrati =ser must change password on Next logon /korisnik mora promeniti lozinku prilikom sledećeg logovanja0. &pcije lozinke i naloga sumirane su u tabeli $.#. @a)ela (.1B &pcije lozinke i naloga pri kreiranju novog korisničkog naloga 0pcija 0pis =ser must change password on 1rimorava korisnika da promeni lozinku sledeći put kada se prijavi. next logon /korisnik mora promeniti lozinku prilikom sledećeg logovanja0 =ser cannot change password Dko je potvreno, sprečava korisnika da promeni lozinku za nalog. / korisnik ne može da menja lozinku0 Password never expires /lozinci Dko je potvreno, korisnički nalog ignoriše politiku isticanja roka nikad ne ističe rok trajanja0 lozinke. &vo je korisno za naloge koji pokreću servise i naloge za koje želite stalnu lozinku /na primer 0uest 0. %ccount is disabled /nalog je onemogućen0

Dko je potvreno, nalog je onemogućen i niko ne može da se loguje na njega, dok se ne omogući /nalog nije uklonjen iz baze podataka0. &vo je korisno za naloge koji se koriste kao šabloni i za nove korisničke naloge koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje neće početi da rade još neko vreme.

1oslednji ekran ovog (reate New 5bject čarobnjaka, jednostavno potvruje sve informacije koje su date, uključujući kontejner2organizacionu jedinicu gde će se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Klikne se na 8inish i korisnički nalog je kreiran. R


*.1.! Svojstva korisničkih naloga vakom korisničkom nalogu domena koji smo napravili pridružen je skup podataka koji bliže odreuju taj nalog. Ba korisničke naloge ovi podaci predstavljaju atribute tih objekata koji nam omogućuju da korisnike možemo pronalaziti u direktorijumu po njima. )a bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisničkog naloga i vidi se nekoliko opcija u kontekstualnom meniju. &davde se brzo može kopirati nalog, upravljati članstvom u grupi, onemogućiti ili omogućiti nalog, resetovati korisničku lozinku, premestiti nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati C%mail. U ovom meniju se može izabrati brisanje naloga i promena imena. !z kontekstualnog naloga se izabere Properties, da bi se otvorile sve informacije o korisničkom nalogu. a kartici 0eneral , može se dodati opis korisničkog naloga, upisati ime odseka u školi, studijske grupe itd, dodati brojevi telefona, e%mail adresa, čak i adresa 2V0, ali može se izabrati dugme 4ogon -ours, kako bi se zadali odreeni sati i dani kada je dozvoljeno logovanje. 1odrazumeva se da korisnik neće biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad, ali postoji parametar kojim se i ovo može postići. 1arametar se zove %utomatically 4og 5ff =sers hen 4ogon -our )xpire /automatski izloguj korisnika kada isteknu logon sati0 i nalazi se u 0roup Policy 5bject )ditor %u, pod (omputer (onfiguration@indows Settings@ Security Settings@ 4ocal Polices@Security 5ptions. *.2 .# ilustruje filozofiju kontejnerskog objekta tipa grupa. 3rupa umanjuje rad administratora, tako što omogućuje da se dozvole i prava dodele grupi korisnika umesto da ih pojedinačno dodeljujemo svakom korisničkom nalogu. asvim je razumljivo ako se pitamo zbog čega je :icrosoft za graenje struktura ponudio i grupe i organizacione jedinice /&*0. 3rupe su zaostatak iz vremena ;indo??@ sagraen na temeljima tehnologije .C", što znači da su grupe nasleene od ranije tehnologije i da su poboljšane u ;indo??@. !ako grupe nekome mogu da se čine suvišnim pored organizacionih jedinica, one su prisutne u ;indo??@ i tako će i ostati. 3rupe su izuzetno moćni upravljački objekti. 3rupe formiramo i koristimo prvenstveno da bismo prava pristupa objekata tipa korisnik i grupa ograničili na odreenu bezbednosnu celinu. 3rupe mogu da sadrže objekte tipa korisnik koji svi imaju ista prava pristupa mrežnim objektima, kao što su deljeni resursi, direktorijumi, datoteke, štampači itd. "o znači da grupe mogu da se koriste u ulozi bezbednosnog filtra, kroz koji se korisnicima i drugim grupama odobrava pristup odreenim resursima. "u ključnu ulogu grupa ilustruje slika R.>.>.

V


bject !object name" 1 #ead 2 $%ecute & 'rite

Slika 6.2.2 Grupe predstavljaju bezbednosni filtar kroz koji se korisnicima i drugim grupama odobrava pristup resursima Slika 6.2.1 Grupe su zbirke ili skupine korisnika, računara i drugih grupa

3rupe možemo da koristimo i za formiranje distribucionih lista /to je još jedna nova vrsta grupe0, odnosno lista za slanje. a primer, možemo da formiramo grupu čiji će svi članovi pojedinačno dobijati svaku poruku koja grupi bude poslata elektronskom poštom. "o je izuzetna olakšica za administratore elektronske pošte. :nogi ljudi veruju da su objekti tipa grupa postali suvišni jer postoje organizacione jedinice. "o bi bilo tačno kada bi bezbednosni podsistem i mehanizmi kontrole pristupa objektima prepoznavali organizacione jedinice, tj. kada bi one bile bezbednosni subjekti. Ba razliku od &*, grupa je složen kontejner koji omogućava sve vrste kontrola korisničkih naloga i drugih objekata koje sadrži. 1rednost grupe je to što ista grupa može da sadrži članove koji pripadaju različitim organizacionim jedinicama i domenima.  druge strane, jedna organizaciona jedinica uvek pripada samo jednom domenu. 8irmama koje nastaju složenim spajanjem ili kupovinom drugih firmi i internacionalnim kompanijama, savršeno odgovara korišćenje grupa čiji članovi pripadaju organizacionim jedinicama kupljenih firmi ili njihovim podružnicama i službama. *.2.1 @ipovi grupa 3rupisanje mrežnih resursa u grupe najčešće se radi iz bezbedonosnih razloga, ali se to nekada radi zbog jedinstvenog slanja poruka više korisnicima. hodno tome, kada se u ;indo??@ koristi samo bezbedonosi tip grupa. Kao i korisničkim nalozima, bezbedonosnim grupama se dodeljuju S+D%ovi koji jednoznačno odreuju svaku grupu. 1ri pravljenju grupe nije dovoljno da odredimo tip grupe već i njen domet. )omet grupe omogućuje nam da koristimo grupe za dodeljivanje dozvola na različite načine. 1oznata su tri osnovna tipa dometa grupa i to= #0 globalni - najčešće se koriste za organizovanje korisnika koji dele slične zahteve za pristup mreži. )ve su osnovne karakteristike ovih grupa= ograničeno članstvo%možemo da dodajemo članove samo iz domena u kojem smo napravili globalnu grupu, i pristup resursima u )ilo kom domenu % omogućava nam da grupu koristimo za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u stablu ili šumi. >0 lokalni u domenu % 6okalne grupe su vrsta kakva se nalazi na usamljenom serveru, serveru koji je član domena, ili na ;inN1 radnoj stanici. 6okalne grupe su lokalne za taj računar. "o jest, one postoje i validne su samo na toj radnoj stanici ili serveru koji nije kontroler domena. Domain local group /6okalna grupa domena0 je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajednički Dktivni direktorijum koji je repliciran izmeu njih, tako da će lokalna grupa domena koja postoji na jednom računaru, postojati i na drugom. karakteristike ovog tipa su= otvoreno članstvo%dodajemo članove iz bilo kog domena i pristup resursima u jednom domenu%ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u istom domenu u kome se i grupa pravi. @0 univerzalni - predstavljaju novu mogućnost, počevši od ;in >???, i omogučuju da dodeljujemo dozvole povezanim resursima um više domena. jih karakteriše otvoreno članstvo%dodajemo članove iz bilo kog domena, pristup resursima u )ilo kom domenu %ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u šumi. &vaj tip je dostupan je samo u domenima čiji je funkcionalni nivo doemna postavljen na ;in >??? početni /native0 ili ;indo??@. A


3lobalne, univerzalne i lokalne grupe domena, su smeštene u Dktivnom direktorijumu kontrolera domena. 3lobalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena. Univerzalne grupe mogu da vrše funkciju globalnih, dajući prava i dozvole za objekat, unutar domena i izmeu domena. &ne su mnogo korisnije od globalnih, ili lokalnih, jer su neuporedivo fleksibilnije po pitanju ugneždavanja, ali se mogu koristiti samo kada je domen native /prirodan0, što zahteva da su svi kontroleri domena na ;indo???2>??@. )istribuciona grupa nije sigurnosna. &ne nemaju S+D i ne pojavljuju se u %(4%u / %cces (ontrol 4ist 0. "o su grupe sa adresama primalaca. 6akše je adresirati mail na, na primer, šefovi odseka škole, nego svakog od šefa selektovati posebno iz liste. 1retpostavlja se da su unete e%mail adrese korisnika. igurnosne grupe u Dktivnom direktorijumu su, takoe, nezvanične distribucione liste. 1otrebno je samo kliknuti desnim tasterom ime grupe u DS%.!S( i pojaviće se opcija slanja e%maila članovima grupe, kao što se vidi opcija slanja maila nalogu korisnika, kada se na njega kilkne desnim tasterom. &vo će izbaciti program za rukovanje poštom i sistem će pokušati da poštu pošalje na e%mail adresu dobijenu iz informacija naloga. 1retpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru škole i svi oni su smešteni u sigurnosnu grupu %dministracija. e samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi članovima grupe pod pretpostavkom da je za svakog korisnika popunjena e%mail informacija.

*.2.2 O)last rada grupaB lokalne' glo)alne i univerzalne 3lavna pitanja u vezi lokalnih, globalnih i univerzalnih grupa su gde se prepoznaju i šta mogu da sadrže. 1ošto se koriste za dodeljivanje prava i dozvola, potrebno je znati gde članstvo u toj grupi nešto znači ili gde se prihvata. 1ošto grupe treba ugneždavati radi olakšanja davanja prava i dozvola, treba znati pravila i preporuke koje važe za ugneždavanje. &bične lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i ;indo

koristiti samo u Native režimu. Dko se koriste samo univerzalne grupe, globalni katalog će se prepuniti i došlo bi do problema sa replikacijom. !mena univerzalnih grupa i njihovo članstvo se repliciraju na druge servere globalnih kataloga /po jedan za svako mesto0, dok se, u slučaju globalnih grupa, njihova imena pojavljuju u globalnom katalogu, ali članovi ne. Kad ima više domena, globalni katalog sadrži replike informacija o svakom domenu iz šume, pa će veličina i vreme potrebno za replikaciju eksponencijalno rasti ako univerzalna grupa sadrži veliki broj objekata. Bbog toga bi članstvo u univerzalnoj grupi trebalo da bude dosta statično. 1oželjno je izbegavati direktno dodavanje korisnika a druge grupe treba samo ugnezditi. Dko u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da kopiraju informacije iz drugih domena čime se neizmerno smanjuje opterećenje pri replikaciji. "o znači da bi u ovom slučaju mogle da se koriste isključivo univerzalne grupe. U slučaju jednog domena verovatno će sve globalne grupe biti zamenjene univerzalnim. 3lobalne i univerzalne grupe mogu da spajaju domene, čak i šume. )omeni i računari iz različitih šuma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo može postići ručno stvorenim odnosima poverenja. )akle osnovna pravila su= 6okalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. )ruge grupe treba stavljati u lokalne i tako zadržati malo članstvo. 3lobalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima će biti potrebne iste privilegije, ili pristup istim resursima. &ve globalne grupe treba stavljati u lokalalne, koje imaju željene privilegije i prava pristupa. Univerzalne grupe se koriste onako kako odgovara Ddministratoru, onda kada svi domeni budu na ;indo???2>??@ platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe /suprotno korisničkim nalozima0 unutar univerzalnih grupa. !ako je moguće, nije preporučljivo ugneždavati grupe zbog značajnog pada performansi. a kraju treba sumirati i pravila ugneždavanja na ;indo??? do >??@ servera i radnih stanica0 mogu da sadrže= 3rupe lokalnih domena, univerzalne iz kućnog domena 3lobalne i univerzalne iz ;indo
•

•

•

• •

• • •

• •

• • •

*.2.! .ad sa si"urnosnim "rupama Geoma je važno unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo članova /kao što su lokalne i univerzalne0 i lokalnim grupama se dodele prava pri instalaciji resursa, od tog trenutka treba samo da se premešta članstvo u globalnim i univerzalnim grupama. "ako se štedi vreme i pojednostavljuje dodeljivanje dozvola za objekte. eki dobri primeri ugneždavanja se mogu precrtati iz šema ugneždavanja koje se automatski postavljaju u domenu. *edan je ugneždavanje administratorskih grupa. %dministrator nalog na ;indo

%dmins i univerzalna grupa )nterprise %dmins se automatski postavljaju u lokalnu %dministrators grupu. lika $.> prikazuje članstvo lokalne grupe domena %dministrators, za domen vts.ni.edu.yu. Ukupan efekat ovog ugneždavanja je da je član Domain %dmins, ili )nterprise %dmins grupe lokalni administrator za svaki računar, člana domena. &vakvo podrazumevano ponašanje se može zaobići tako što se Domain %dmins, ili )nterprise %dmins ukloni iz lokalne grupe na računaru. Dli to nije preporuka. Flanstvo grupe Domain %dmins, ili )nterprise %dmins u lokalnoj %dministratorskoj grupi može se zameniti njihovim članstvom u specifičnim globalnim grupama, administratorskog tipa, kao što su 8% %dmins ili (S %dmins. )rugi primer za ugneždavanje grupa je članstvo lokalne =sers grupe. a članu domena, ili kontroleru domena, =sers automatski uključuje Domain =sers. Kada se u domenu kreira novi korisnički nalog, novi korisnik se automatski pridružuje Domain =sers grupi. Cfekat ovoga je da se korisničkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaki računar, člana domena. Korisnički nalog ide u globalnu grupu Domain =sers, a globalna grupa Domain =sers u lokalnu grupu =sers, kojoj su dodeljena lokalna prava i dozvole na sistemu. ije loše pomenuti i par ostalih ugneždavanja. Domain 0uests je automatski član lokalne grupe 0uests na svim računarima, članovima domena, a )nterprise %dmins /univerzalna grupa0 je član lokalne %dministrators grupe.

*.2.% &gra#ene lokalne grupe domena vi ugraeni korisnički nalozi, podrazumevano su smešteni u kontejner =sers. U kontejneru =sers postoje i unapred definisane globalne grupe, ali neke od njih su smeštene u kontejner 1uilt+n. 3rupe koje su u 1uilt+n kontejneru su označene kao 1uiltin 4ocal , a one koje su u =sers kontejneru su Domain 4ocal , 0lobal , ili =niversal . ada se postavlja pitanje u čemu je razlikaJ 6okalne grupe su specifične za računar, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja, kao što je gore već rečeno. Ugraene lokalne grupe, radi administracije, imaju unapred odreena prava i dozvole. Flanstvo u ovoj grupi korisniku daje svu moć i mogućnosti koje su date grupi. &vo je način da se brzo dodele dobro definisane administratorske uloge, umesto njihovog pravljenja od početka. a primer, Server 5perators imaju skup uroenih prava koja im omogućavaju da prave deljene fajlove i upravljaju servisima. 1ackup 5perators imaju pravo da zaštitno kopiraju fajlove i direktorijume, čak i ako nemaju dozvolu da ih čitaju, ili menjaju. "abela $.> daje spisak ugraenih lokalnih grupa domena i njihove specijalne sposobnosti. Ugraene lokalne grupe su zajedničke za sve ;indo
Flanovi mogu da Kreiraju i upravljaju korisničkim nalozima Kreiraju i upravljaju globalnim nalozima )odeljuju prava korisnicima Upravljaju načelima revizije i bezbednosti Baključavaju konzole servera &tključaju konzole 8ormatiraju hard disk servera )rže lokalne profile )ele i prestaju da dele direktorijum )ele i prestaju da dele štampač Kreiraju zajedničke programske grupe Baključavaju server $#


1romena sistema vremena &baranje sistema 8orsirano obaranje sa udaljenog sistema Baštitno kopiranje /backup0 fajlova i direktorijuma 1ovratak /restore0 fajlova i direktorijuma ErupaB Account 0perators 6okalno logovanje

1relaženje preko toga što je server zaključan 8ormatiranje hard diska servera Kreiraju zajedničke grupe )rže lokalni profil )ele i prestaju da dele direktorijum )ele i prestaju da dele štampač Kreiraju i upravljaju korisničkim nalozima, globalnim grupama i lokalnim grupama )ele i prestaju da dele štampač

&baranje sistema ErupaB Print 0perators 6okalno logovanje )rže lokalni profil &baranje sistema )ele i prestaju da dele štampač ErupaB )ackup 0perators 6okalno logovanje )rže lokalni profil &baranje sistema Baštitno kopiranje /backup0 fajlova i direktorijuma 1ovratak /restore0 fajlova i direktorijuma ErupaB Everyone 1ristup ovom računaru sa mreže Baključavaju server ErupaB 'sers /ema0 Kreiraju i upravljaju lokalnim grupama ErupaB Euests /ema0 /ema0 ErupaB .eplicator /ema0 /ema0 Administrators. Ddministratori imaju skoro sva ugraena prava, pa su članovi u suštini, svemogući u vezi administracije sistema. )ackup operators. Flanovi 1ackup 5perators imaju pravo da zaštitno kopiraju i vraćaju fajlove, bez obzira na to da li na drugi način mogu da pristupaju tim fajlovima. Server 0perators. Server 5perators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. Flanovi mogu da kreiraju, upravljaju i brišu deljene štampače na serverima, kreiraju, upravljaju i brišu deljene mrežne resurse na serverima, zaštitno kopiraju i vraćaju fajlove na servere, formatiraju hard diskove servera, zaključavaju i otključavaju servere, otključavaju fajlove i menjaju sistemsko vreme. &sim toga, Server 5perators mogu na mrežu da se loguju sa servera domena, kao i da obaraju servere. Accounts 0perators. Flanovima lokalne grupe %ccount 5perators je dozvoljeno da u domenu kreiraju korisničke naloge i grupe i da menjaju i brišu većinu korisničkih grupa i naloga iz domena. Flan %ccount 5perators ne može da menja ni briše sledeće grupe= %dministrators> Domain %dmins, %ccount 5perators> 1ackup 5perators> Print 5perators i Server 5perators . lično, članovi ove grupe ne mogu menjati, ni brisati korisničke naloge administratora. e mogu administrirati bezbednosna načela, ali mogu dodavati računare u domen, mogu se logovati na servere i obarati ih. Print 0perators. Flanovi ove grupe mogu kreirati, upravljati i brisati štampače koje deli server. &sim toga, mogu da se loguju na server i da obaraju server. Po2er 'sers . &va grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. Flanovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom =sers> Power =sers i 0uests, kao i administrirati ostale korisnike i grupe koji su kreirali. 'sers. Korisnici mogu da pokreću aplikacije /ali ne i da ih instaliraju0. &ni mogu i da obore i zaključaju radnu stanicu. Dko korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. 3uests. 3osti mogu da se loguju i pokreću aplikacije. :ogu i da obore sistem, a u svakom drugom $>


pogledu imaju veća ograničenja nego =sers. a primer, ne mogu da drže lokalni profil. .eplicator . &va grupa je strogo za replikaciju direktorijuma. Korisnički nalog se koristi za pokretanje 7eplicator servisa i trebalo bi da je jedini član grupe. U kontejneru =sers se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe, kao deo konfiguracije odreenog servisa. jihova namena može da bude da se korisnicima omogući pristup odreenom servisu /kao D-(P =sers, ili +NS =sers0, ili da obezbede kontejner grupe za administraciju servisa, kao u slučaju D-(P %dministrators i DNS %dmins. &ve i druge predefinisane grupe mogu imati specijalna prava ili dozvole za odreene stvari, ali nemaju široka prava i dozvole kao %dministratori, Server 5perateri . ;indo??@ ima nekoliko ugraenih globalnih grupa, izmeu ostalih Domain %dmins, Domain =sres i Domain 0uests. &ne će se pojaviti samo na kontrolerima domena. "abela $.@ opisuje najvažnije ugraene globalne grupe. @a)ela (.!B Ugraene globalne grupe 3rupa +ta radi Domain 1ostavljanjem korisničkog naloga u ovu grupu, korisniku se dodeljuju mogućnosti %dmins administratora. Flanovi Domain %dmins mogu da administriraju kućni domen, radne stanice iz domena i svaki pouzdani domen koji u svoju lokalnu Ddministratorsku grupu ima dodatu Domain %dmins globalnu grupu domena. 1odrazumeva se da je Domain %dmins grupa član i %dministrators lokalne grupe domena i Ddministratorskih lokalnih grupa svake ;indo
Flanovi Domain =sers globalne grupe imaju normalan korisnički pristup i sposobnosti kako za sam domen, tako i za svaku radnu stanicu u domenu. &va grupa sadrži sve korisničke naloge iz domena i podrazumeva se da je član svake lokalne =sers grupe, na svakoj radnoj stanici u domenu.

Domain 0uests

&va grupa omogućava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili Ddministratori domena.

*.! ??@ se isporučuje zajedno sa alatkama koje omogućavaju upravljanje lokalnim nalozima i nalozima u aktivnom imeniku. a samostalnim računarima i pridruženim serverima /kao i na radnim stanicama koje rade pod ;indo.@ prikazan je modul Users and 5omputers. lika R.>.@ :odul Dctive )irectorE Users and 5omputers $@


U slučaju da GašaZ;in>K@ mašina nije kontroler domena i ne koristite Dktivni direktorijum, korisničke naloge kreirajte pomoću alata (omputer !anagement /()*)G)+.)S(0. Korisnici kreirani pomoću 5&:1:3:".:5 su lokalni nalozi, što znači da postoje i validni su samo na toj lokalnoj mašini. !pak, 5&:1:3:".:5 je alat koji može raditi i na daljinu, tako da ga možete koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na udaljenim usamljenim serverima. )a bi ste ovo radili treba samo da, iz menija %ction, izaberete (onnect to %nother (omputer . Dko je mašina na kojoj radite kontroler domena, za kreaciju naloga morate da koristite %ctive Directory =sers and (omputer /S-.)S(0. a kontroleru domena, u 5&:1:3:".:5 ' onemogućen je čvor 4ocal =sers and 0roups i postoji N u crvenom krugu preko funkcije, koje govori da je ona deaktivirana. U 5&:1:3:".:5 otvorite 4ocal =sers and 0roups, kao što je prikazano na lici R.>. Bapazite korisnike i grupe koji su kreirani tokom instalacije ;in>K@. a usamljenom serveru /standalone0, na kojem nisu instalirani posebni mrežni servisi kakvi su !!, "erminal services, )451 ili ), jedini ugraeni nalozi su %dministrator i 0uest . 1odrazumeva se da je 3uest onemogućen iz razloga predostrožnosti. &vaj nalog se, na usamljenom serveru, ili u D) kontekstu, primarno koristi za bušenje velike rupe u bezbednosti sistema, omogućavanjem neproverenog pristupa. "ačno, neproverenog pristupa. Ba 3uest nalog se ne traži lozinka. :ožete da ga koristite bez poznavanja korisničkog imena i lozinke i zbog toga se podrazumeva da je onemogućen. )obra je stvar što je 3uest nalog siromašan po pitanju snage i mogućnosti. aravno, nalog Ddministrator ima snagu i mogućnosti koje daleko prevazilaze obične smrtnike. e može se obrisati ni onemogućiti, čak, ni ako postavite stroga lockout načela /koja zaključavaju nalog posle odreenog broja neuspešnih pokušaja logovanja0. alog Ddministrator nije običan subjekat za ova načela i zato se ne može zaključati, čak, ni posle milion propalih pokušaja logovanja, što bi moglo da bude više nego dovoljno za razbijanje slabe lozinke.

lika R.>. 5omputer :anagement 6ocal Users and 3roups

/apomenaB Uobičajena bezbednosna praksa je preimenovanje i 3uest i Ddministrator naloga. &vo sprečava potencijalnog uljeza da koristi opšte poznata korisnička imena, kada pokušava da se loguje. %ctive Directory =sers and (omputers mrežnom administratoru obezbeuje sredstva za izvršavanje sledećih zadataka= Kreacija, menjanje i brisanje korisničkih naloga )odeljivanje logon skriptova korisničkim nalozima Upravljanje grupama i članstvima u grupama Kreacija i upravljanje grupnim načelima • • • •

$


*.2.* Greacija novog korisničkog naloga )a biste kreirali korisnički nalog, u )D.:5 selektujte kontejner Users /ili neki drugi kontejner2organizacionu jedinicu, gde želite da se nalog nalazi0, zatim iz menija Dction izaberite e/ 0 ser. 1ojaviće se čarobnjak, sa okvirom za dijalog prikazanim na slici #.#@. 1opunite polja 8irst ame /ime0, !nitials /inicijali0, 6ast ame /prezime0 i 8ull ame /puno ime0, kao što je prikazano na slici /inicijali i prezime su opciona polja0. Batim, unesite korisničko login ime /4e1et0 i izaberite Universal 1rincipal ame /U10 sufiks, koje će se dodavati korisničkom imenu u trenutku logovanja. U1 sufiks je obično ) ime domena i, osim ako ste podesili alternativne sufikse, nećete ni moći da izaberete ništa osim podrazumevanog imena domena /osveljkovlahovic.edu, u ovom slučaju0. U1 imena su pravljena prema e%mail imenima, znači sa ^ simbolom. U1 sufiks je pokazivač na domen koji sadrži korisnički nalog, tako da je važan kada se korisnik loguje u okruženju sa više domena. Uskoro ćemo popričati o U1 imenima. Ba logovanje na ", ili ;indoK@ mora poštovati sledeća pravila=  !me mora biti jedinstveno na mašini, za lokalne naloge /ili jedinstveno u domenu,u slučaju naloga domena0. :eutim, ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na mašini koja je član domena, a nije kontroler, što je činjenica koja unosi veliku konfuziju, jer je reč o potpuno različitim entitetima.  Korisničko ime ne može biti isto kao ime grupe na lokalnoj mašini, za lokalni nalog /ni isto kao ime grupe u domenu, u slučaju naloga domena0.  Korisničko ime može biti do >? karaktera, malim, ili velikim slovima, ili u kombinaciji.  )a bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisničko ime nesme sadržati sledeće znakove= “ / \ [ ] : ; | =  ! " # $ %  !me može sadržati razmake i tačke, ali se ne može u potpunosti sastojati od tačaka i razmaka. !pak, izbegavajte razmake, jer ovakva imena moraju da se stavljaju meu znake navoda u slučaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada popunite sve informacije o korisničkom imenu, izaberite e7t. U narednom ekranu, prikazanom na slici #.#, zadajte lozinku za korisnički nalog i potvrdite je. 1ostavite i opcije lozinke i naloga sumirane u "abeli # i izaberite e7t. ijedna od opcija naloga nije postavljena unapred, pa je dobra ideja nastaviti i izabrati ser )ust (hange *ass/ord at e%t ogon /korisnik mora promeniti lozinku prilikom sledećeg prijavljivanja0.

lika R.>.$ Kreacija novog korisnika

lika R.>.R Badavanje lozinke i opcija naloga

"abela #= &pcije lozinke i naloga pri kreiranju novog korisničkog naloga $$

Administriranje mreža 5pcija 5pis &ser Must ;hange ass7ord at /eLt Aogon 1rimorava korisnika da promeni lozinku sledeći put /Korisnik mora promeniti lozinku prilikom sledećeg kada se prijavi. prijavljivanja0 Dko je potrvreno, sprečava korisnika da promeni &ser ;annot ;hange ass7ord /korisnik ne može da menja lozinku0 lozinku za nalog. Dko je potvreno, korisnički nalog ignoriše politiku isticanja roka lozinke, a lozinka za nalog nikada ne ass7ord /ever 3Lpires /lozinci nikada ne stiče rok zastareva. &vo je korisno za naloge koji pokreću seanse trajanja0 i naloge za koje želite stalnu lozinku /kao što je nalog 3uest0. Dko je potvreno, nalog je onemogućen i niko ne može da se loguje na njega, dok se ne omogući /meutim, nije uklonjen iz baze podataka0. &vo je korisno za naloge
1oslednji ekran ovog 5reate e< &bject čarobnjaka, prikazan na slici #.#$ jednostavno potvruje sve informacije koje ste dali, uključujući kontejner2organizacionu jedinicu gde će se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. !zaberite 8inish i korisnički nalog je kreiran.

Slika 1.134 *otvrda informacija o novom korisniku

Svojstva korisničkog naloga 4ajde da se sada vratimo i pogledamo svojstva naloga koji smo upravo kreirali. Kliknite desnim tasterom objekat korisničkog naloga i videćete nekoliko opcija u kontekstualnom meniju, odavde brzo možete da kopirate nalog, upravljate članstvom u grupi, onemogućite, ili omogućite nalog, resetujete korisnikovu lozinku, premestite nalog u drugi kontejner, ili organizacionu jedinicu, otvorite korisnikovu home stranicu ili mu pošaljete mail /dva poslednja zahtevaju da su UI6 home stranice i e%mail adresa specificirani u informacijama naloga0. U ovom meniju možete i da izaberete da obrišete nalog, ili da mu promenite ime. 1ri kreiranju, svakom korisničkom i grupnom nalogu se dodeljuje jedinstven identifikator, koji se zove !). 9risanje korisničkog, ili grupnog naloga briše jedinstven identifikator. Fak i ako ponovo kreirate nalog sa istim imenom, novi nalog neće imati prava ni dozvole starog naloga.

$R


!z kontekstualnog naloga izaberite 1roperties, da biste otvorili sve informacije o korisničkom nalogu. a kartici 3eneral, prikazanoj na slici #.#R, možete da dodate opis korisničkog naloga, upišete ime kancelarije u kojoj korisnik radi i dodate brojeve telefona, e%mail adresu, čak i adresu
Slika 1.164 General svojstva korisnika

Slika 1.154 ser *roperties -ddress korisnika

Slika 1.14 ser *roperties +elephones kartica

a slici #.#O vidite &rganization karticu, na koju možete da unesete informacije o nazivu nečijeg posla i poziciji u hijerarhiji firme. Kartica )ial%!n /slika #.>?0 omogućava kontrolu pristupa udaljenoj mreži /G10 ili internetu preko dial%in dozvola= -llo/ -ccess /omogućen pristup0 odnosno en7 -ccess /zabranjen pristup0 /direktan način kontrole sa ove kartice0. Ukoliko kontrolu vršimo preko 31&%a potrebno je selektovati treću opciju= $V


(ontrol -ccess +hrough #emote -ccess *olic7 . &va kartica Gam, takoe, omogućuje biranje 5allback opcija /smanjenje telefonskih računa0.

Slika 1.184 ser *roperties rganisation kartica

Slika 1.294 ser *roperties ial:;n kartica

arednih nekoliko odeljaka će se pozabaviti upravljanjem parametrima naloga, informacijama o profilu i članstvima u grupama.

arametri naloga Dko treba da menjate korisnikovo login ime, ili U1 sufiks, idite na karticu Dccount /slika #.>#0. a ovom mestu možete odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slično. 1odrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana />2V0, ali Gi možete da izaberete dugme 6ogon 4ours, da zadate odreene sate i dane kada im je to dozvoljeno /vidi sliku #.>>0. /apomenaB 1odrazumeva se da korisnik neće biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad, ali postoji parametar kojim se i ovo može postići. 1arametar se zove -utomaticall7 og ff sers 'hen ogon

6okalne grupe su vrsta kakvu nalazite na usamljenom serveru, serveru koji je član domena, ili na ;inN1 1rofessional radnoj stanici. 6okalne grupe su lokalne za mašinu. "o jest, one postoje i validne su na toj radnoj stanici, ili serveru koji nije kontroler domena. 6okalna grupa domena !domain local group" je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajednički aktivan direktorijum koji je repliciran izmeu njih, tako da će lokalna grupa domena koja postoji na jednom )5, postojati i na njegovom pobratimu. 3lobalne, univerzalne i, naravno, lokalne grupe domena, obitavaju u Dktivnom direktorijumu kontrolera domena.3lobalne grupe se koriste za dodelu prava i dozvola izvan granica mašine /i domena0. Univerzalne grupe mogu da vrše funkciju globalnih, dajući prava i dozvole za objekat, unutar domena i izmeu domena.

+istri)ucione grupe i kontakti U "  svaka grupa je bila sigurnosna i mogla se koristiti za kontrolu pristupa resursima i dodeljivanje prava. )istribuciona grupa, jednostavno, nije sigurnosna. )istribucione grupe nemaju !) i ne pojavljuju se u D56%u. Femu onda one služeJ Dko ste radili sa C7change%om, ili nekim sličnim proizvodom, bliske su Gam distribucione liste. "o su grupe sa adresama primalaca. 6akše je adresirati mail na D5:C :enadžeri, na primer, nego ime svakog od menadžera pojedinačno selektovati iz liste. 1retpostavljajući da ste uneli mail adrese Gaših korisnika, Gaše sigurnosne grupe u Dktivnom direktorijumuju su, takoe, nezvanične distribucione liste. amo treba da kliknete desnim tasterom ime grupe u )D.:5 i videćete opciju slanja maila članovima grupe, kao što vidite opciju slanja maila nalogu korisnika, kada njega kliknete desnim tasterom. Ba distibucione grupe se ne kreiraju identifikatori bezbednosti, pa članstvo u grupi nije uključeno u parametre korisnika koji se proveravaju pri logovanju. )istribucionoj listi ne možete da dodelite pravo na korišćenje štampača, jer se ona ne pojavljuje u D56%u. 3rupa je isključivo za e%mail. /apomenaB igurnosnu grupu možete da pretvorite u distribucionu i da je ponovo vratite nazad. lično, kontakti su objekti u kojima se Buvaju informacije o ljudima> ukljuBujuu e/mail> telefon i sl . Kontakti mogu biti članovi sigurnosnih, ili distribucionih grupa, ali to nisu nalozi, tako da za kontakt ne postoji identifikator bezbednosti /!)0 i ne mogu im se dodeliti korisnička prava i dozvole.

4ad sa sigurnosnim grupama Kada jednom ugnezdite Gaše grupe sa mnogo članova /kao što su lokalne i univerzalne0 i lokalnim grupama dodelite prava pri instalaciji resursa, od tog trenutka treba samo da premećete članstvo u globalnim i univerzalnim grupama. "ako ćete uštedeti vreme i pojednostaviti dodeljivanje dozvola za objekte. eki dobri primeri ugnježdavanja se mogu precrtati iz šema ugnježdavanja koje se automatski postavljaju u domenu. *edna je ugnježdavanje administratorskih grupa. Ddministratorski nalog na ;in>K@ mašini svoju snagu crpe iz članstva u lokalnoj Ddministrators grupi. !zvucite Ddministrator izvan Ddministrators grupe, pa nalog više neće imati specijalnih moći ni mogućnosti. Dctive )irectorE automatski pravi globalnu )omain Ddmins grupu. Kada se ;in>K@ mašina pridruži domenu /ili postane kontroler domena0, globalna grupa )omain Ddmins i univerzalna grupa Cnterprise Ddmins se automatski postavljaju u lokalnu

RR


Ddministrators grupu. lika #.@$ prikazuje članstvo lokalne grupe domena Ddministrators, za domen osveljkovlahovic.edu.

Slika 1.&34 lanovi lokalne grupe domena -dministrators

eto efekat ovog ugnježdavanja je da je član )omain Ddmins, ili Cnterprise Ddmins grupe lokalni administrator za svaku mašinu, člana domena. &vakvo podrazumevano ponašanje možete da pregazite tako što ćete )omain Ddmins, ili Cnterprise Ddmins ukloniti iz lokalne na mašini. Flanstvo grupe )omain Ddmins, ili Cnterprise Ddmins u lokalnoj Ddministrators grupi možete da zamenite njihovim članstvom u specifičnim globalnim grupama, administratorskog tipa. )rugi primer za ugnježdavanje grupa je članstvo lokalne Users grupe. a članu domena, ili kontroleru domena, Users automatski uključuje )omain Users. Kada u domenu kreirate novi korisnički nalog, novi korisnik se automatski pridružuje )omain Users grupi. "o je vrsta (svi korisnici u domenuQ grupe. eto efekat je da se korisničkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaku mašinu, člana domena. Korisnički nalog ide u globalnu grupu )omain Users, a globalna grupa )omain Users u lokalnu grupu Users, kojoj su dodeljena lokalna prava i dozvole na sistemu. "akoe bi trebalo da znate i par ostalih ugnježavanja. )omain 3uests je automatski član lokalne grupe 3uests na svim mašinama % članicama domena, a Cnterprise Ddmins /univerzalna grupa0 je član lokalne Ddministrators grupe. 4ajde da sada pogledamo zamišljeni slučaj 3reen &nion Iesources /3&I0, nacionalne firme za !" konsalting i integracije. 3reen &nion koristi ;in>K@ Dctive )irectorE sa ;in>K i ;in>K@ kontrolerima domena. 3&I je kompanijske !" resurse grupisao u domene po regionima % na primer, 3&I *ug domen, 3&I Bapad domen i 3&I !stok domen. 6judi koji se bave finansijama i knjigovodstvom /8inance and Dccounting % 8D0 su, slično, grupisani u globalne grupe po regionima, kao i ostale funkcionalne jedinice 3&I%a. Bnači, postoje globalne grupe sa imenima 8D *ug, 8D Bapad i 8D !stok. )ržanje ljudi koji se bave finansijama u različitim globalnim grupama, u različitim domenima, omogućava finiju kontrolu nad resursima karakterističnim za region i administraciju. Dli, postoje neki centralni resursi koji treba da budu dostupni svim 8D ljudima iz 3&I%a. &vi resursi se nalaze u 5entralne 8inansije, koji se deli sa ;in>K@ servera po imenu 3&I D68D#. 1ošto se domen nalazi u ative rešimu moguće je sve tri globalne grupe smestiti u jednu univerzalnu grupu koja će se zvati 3&I 8D. Ddministratori 3&I preduzeća su tri grupe, 8D *ug, 8D Bapad i 8D !stok, smestili u univerzalnu grupu 3&I 8D. &ni sada, umesto korišćenja tri globalne grupe, mogu univerzalnu grupu koristiti za direktno dozvoljavanje pristupa 8D resursima širom organizacije, kao što je centralna fascikla za finansije, iako se smeštanje univerzalne grupe u lokalnu i dodeljivanje prava lokalnoj i dalje smatra dobrim načinom. lika prikazuje planiranu organizaciju= &omeni

'R 0)g

'R 4apad

'(oba(ne gr)pe

*ni+erza(na gr)pa

,o-a(na gr)pa

&e(.eni res)rsi:

'R 123

123 5entra( a

5entra(ne finansi.e

123 0)g

123 4apad

RV


'R 6sto-

123 6sto-

Dko za svoju organizaciju imate samo jedan domen i ne planirate ih više, strategija je savršeno prihvatljiva. !pak, za slučaju više domena treba da se setite da globalni katalog mora replicirati imena i članove svih univerzalnih grupa iz šume, pa, ako je svih, na primer, R?? računarskih naloga iz raznih domena u jednoj univerzalnoj grupi dolazimo do problema u replikaciji /čitaj 'performansama(0. "akoe, pristup deljenom resursu možete dodeliti direktno univerzalnoj grupi i potpuno premostiti smeštanje u lokalnu grupu. "renutno važi mišljenje da je lakše jednom podesiti pristup resursu, a zatim ga menjati manipulacijama sa članstvom grupe koja ima taj pristup. &vde je problem u tome što domeni i njihove globalne grupe mogu da dolaze i odlaze, posebno u ;in>K@, pošto se ceo domen može izbrisati bez potrebe za reinstalacijom operativnog sistema. Dko D56 zapisi ukazuju na globalne, ili univerzalne grupe koje se više ne prepoznaju, što može biti posledica smrti domena, ili raskinutog odnosa poverenja, D56 će taj zapis prijaviti kao= Q -ccount nkno/n Q /nalog nepoznat0 i sile tame će ojačali i umnožiti se i haos će zavladati... dobro, možda i neće. Dli je neuredno. Dko prava pristupa uvek dodeljujete lokalnim grupama, mašina će ih uvek prepoznavati. &nda možete dozvoliti, ili zabraniti pristup resursu tako što ćete manipulisali članstvom u lokalnoj grupi.

&gra#ene lokalne grupe domena :ožda ste, u toku prethodne ture po )D.:5, zapazili da su svi ugraeni korisnički nalozi, kao sto su 3uest i Ddministrator, podrazumevano smešteni u kontejner Users. U kontejneru Users postoji i unapred definisane globalne grupe. Dli, neke grupe su u kontejneru 9uiltin. Kao sto ćete videli na slici #.@R, grupe koje su u 9uiltin kontejneru su označene kao 9uiltin 6ocal, a one koje su u Users kontejneru /slika #.@V0 su )omain 6ocal, 3lobal, ili Universal. U čemu je razlikaJ Kao prvo, lokalne grupe su specifične za mašinu, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja. Ugraene lokalne grupe, radi administracije, imaju unapred odreena prava i dozvole. Flanstvo u ovoj /ili bilo kojoj0 grupi korisniku daje svu moć i mogućnosti koje su date grupi. &vo je način da se brzo dodele dobro definisane administrativne uloge, umesto njihovog pravljenja od početka. a primer, erver &perators imaju skup uroenih prava koja im omogućavaju da prave deljene fajlove i upravljaju servisima. 9ackup &perators imaju pravo da zaštitno kopiraju fajlove i direktorijume, čak i ako nemaju dozvolu da ih čitaju, ili menjaju. U nastavku teksta ću Gas upoznati sa pravima i dozvolama ugraenih lokalnih grupa domena. Ugraene lokalne grupe su zajedničke za sve ;in>K@ sisteme iz istog mesta /server2)52radnastanica0 i pružaju pogodne kontejnere grupama za dodelu lokalnog administrativnog autoriteta. Bapazite da ove grupe ne možete obrisati. !pak, u kontejneru možete da kreirate druge korisnike i grupe, iako oni neće imati nikakva posebna prava, osim ako im ih dodelite.

RA


Slika 1.&64 S-.)S( Huiltin kontejner

U opštem slučaju, prava / rights0 pružaju mogućnost da se nešto uradi, bilo u vezi sa administracijom, ili na drugi način ograničeno, a dozvole / permissions0 pružaju mogućnost pristupa resursima, kao što su fajlovi, ili štampači, kao i objektima Dktivnog direktorijuma, kao što su grupna načela.

Slika 1.&54 S-.)S( sers kontejner

K@ server. &sim toga, mogu da se loguju na, i da obaraju servere. RO


o7er &sers &va grupa postoji na N1 1ro i serverima koji nisu kontroleri domena. Flanovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom Users, 1oK@ ima nekoliko ugraenih globalnih grupa, izmeu ostalih )omain Ddmins, )omain Users i )omain 3uests. &ne će se pojaviti samo na kontrolerima domena. ledeća tabela opisuje najvažnije ugraene globalne grupe. @a)ela 2= Ugraene globalne grupe 0rupa Qta radi +omain K ili ;in>K@ radne stanice u domenu. Ugraeni korisnički nalog Ddministrator za domen je automatski član )omain Ddmins globalne grupe. +omain &sers Flanovi )omain Users globalne grupe imaju normalan korisnički pristup i sposobnosti kako za sam domen, tako i za svaku "2;in>K2;inN1 radnu stanicu u domenu. &va grupa sadrži sve korisničke naloge iz domena i podrazumeva se da je član svake lokalne Users grupe, na svakoj "2;in>K2;inN1 radnoj stanici u domenu. +omain Euests &va grupa omogućava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili administratori domena.

eke predefinisane grupe, kao što su )omain 5omputers i )omain 5ontrollers, su odreene za mašinske naloge.

Specijalne ugra#ene grupe Kao dodatak ugraenim lokalnim i globalnim grupama, nekoliko specijalnih grupa, koje nisu izlistane u )D.:5 /ili 5omputer :anagement and 3roups0 će se pojaviti u D56%ovima resursa i objekata, uključujući sledeće= ,nteractive vako ko računar koristi lokalno. /et7ork vi korisnici koji su preko mreže vezani na računar. SFstem &perativni sistem. ;reator O7ner Kreator i2ili vlasnik poddirektorijuma, fajlova i poslova štampe.

Service alog koji se logovao kao servis. +ialup Korisnici koji sistemu pristupaju preko )ial%Up et
Gorisnička prava 1ristup korisnika mrežnim resursima - fajlovima, direktorijumima, ureajima - u ;in>K@ se kontroliše na dva načina= dodeljivanjem korisniku prava !rights" koja pružaju, ili uskraćuju pristup odreenim objektima /na primer, mogućnost da se loguju na server0 i dodeljivanjem objektima dovola !permissions" koje odreuju kome je dozvoljeno da koristi objekat i pod kojim uslovima /na primer, davanje Iead pristupa direktorijumu za odreenog korisnika0. 1ogledajte grupe Users i Ddministrators. +ta administratore čini različitim od korisnikaJ Ddministratori mogu da se loguju direktno na server_ korisnici ne mogu. Ddministratori mogu da kreiraju korisnike i rade zaštitno kopiranje fajlova_ korisnici ne mogu. Ddministratori se od korisnika razlikuju po tome što imaju prava koja korisnici nemaju. Konšćenjem grupnih načela !Group *olic7 0 Gi kontrolišete ko će u ;in>K@ dobiti koja prava. 1rava, u opštem slučaju, korisniku daju ovlašćenje da izvrši odreeni si% stemski zadatak. a primer, prosečan korisnik ne može jednostavno da sedne za ;in>K@ server i da se loguje direktno na njega. 1itanje Qmogu li lokalno da se logujem na serverJQ je primer prava. Q:ogu li da uradim zaštitno kopiranje podataka i da ih povratimJQ Q:ogu li da menjam opcije štampača za deljeni štampačJQ "o su isto korisnička prava. Korisnička prava se mogu dodeliti odvojeno jednom korisniku, ali iz razloga bezbednosti, bolje je korisnika smestiti u grupu i definisati prava koja su dodeljena grupi. )ozvole se, sa druge strane, primenjuju na odreene objekte, kao što su fajlovi, direktorijumi i štamgači. Q)a li mogu da menjam fajlove u &1CID"!& direktorijumu, na 9l3:D4!C serveruJQ je primer dozvole. )ozvole regulišu koji korisnici mogu imati pristup objektu i na koji način. 1ravilo je da korisnička prava imaju prednost nad dozvolama za objekat. 4ajde da, na primer, pogledamo korisnika koji je član ugraene 9ackup &perators grupe. a temelju članstva u toj grupi korisnik ima pravo da zaštitno kopira server. &vo zahteva mogućnost gledanja i čitanja svih direktorijuma i fajlova na serverima, uključujući i one čiji su kreatori i vlasnici izričito ukinuli Iead dozvolu članovima 9ackup &perators grupe_ tako da pravo da se izvodi zaštitno kopiranje gazi dozvole date za fajlove i direktorijume. Dli, ne brinite za svoju privatnost_ prava 9ackup &perators grupe važe samo u saradnji sa backup rutinom_ oni ne mogu tek tako da otvaraju fajlove na serveru i čitaju njihov sadržaj, na primer. 3rupe ugraene u ;in>K@ već imaju neka prava koja su im dodeljena_ Gi možete da kreirate nove grupe i da im dodeljujete skup korisničkih prava po Gašoj želji. Kao što sam već rekao, mnogo je lakše voditi računa o bezbednosti kada se korisnička prava dodeljuju preko grupa, a ne pojedinačnim korisnicima. )a biste videli, ili menjali pridružena lokalna prava za korisnika, ili grupu koji nisu na kontroleru domena, otvorite alat 6ocal ecuritE 1olicE, iz Ddministrative "ools grupe, ili upotrebite alat )omain 5ontroller ecuritE 1olicE za kontroler domena. &tvorite ocal *olicies 0 ser #ights -ssignment . pisak prava i korisnika, ili grupa kojima su prava dodeljena, prikazaće se u oknu sa detaljima, desno, kao što se vidi na slici #.@A. )a biste korisniku, ili grupi dodali, ili oduzeli pravo, dva puta kliknite pravo prikazano u oknu sa detaljima, ili izabrano pravo kliknite desnim tasterom i izaberite ecuritE. a slici #.@O vidite ecuritE informacije o pravu na promenu sistemskog vremena. )a biste pravo ukinuli grupi, istaknite ime grupe i izaberite Iemove. )a biste grupu, ili korisnika dodali listi, izaberite Ddd i u okviru Ddd Users or 3roup, otkucajte ime, ili izaberite 9ro
V#


Slika 1.&4 ocal sers #ights *olic7

Slika 1.&84 >adavanje lokalnih načela bezbednosti za korisničko pravo

Gako se ovde uklapaju organizacione jedinice &rganizacione jedinice /organizational unit % &U0 su logički kontejneri u domenu. &ne mogu da sadrže korisnike, grupe, računare i druge &U, ali samo iz svog kućnog domena. 3lobalne grupe, ili računare iz drugog domena, na primer, ne možete smestiti u &U Gašeg domena. &U su korisne samo za administraciju. Ddministratori mogu da kreiraju i primenjuju grupna načela na &U, a mogu i da delegiraju kontrolu nad &U. !deja je imati delove domena, ali i dalje deliti zajedničke sigurnosne informacije i resurse. 3rupisanje korisnika, grupa i resursa u organizacione jedinice Gam V>


pruža mogućnost da načela primenjujete mnogo finije i da, takoe, odlučite ko čime upravlja i do kog nivoa. U čemu se razlikuju &U i kontejnerJ &U je kontejner, ali ne samo kontejner, kao što je to Users u )D.:5. Kontrolu nad kontejnerom možete delegirati /možete delegirati kontrolu nad bilo čime0, ali na njega ne moEete primeniti 3roup 1olicE /grupna načela0. 1o čemu su &U različite od grupaJ Korisnik može biti član mnogo grupa, ali samo jedne &U u jednom trenutku. Kao i grupe, i &U mogu da sadrže druge &U. !mena grupa se pojavljuju u D56%ovima, tako da grupama možete dodeliti, ili ukinuti prava. &U se ne pojavljuju u D56%ovima, tako da ne možete, na primer, svima iz organizacione jedinice 8inansije dodeliti pristup štampaču.  druge strane, ne možete svakome iz sigurnosne grupe pripisati odreeni skup aplikacija, ali možete da objavite, ili pripišete knjigovodstveni tekst preduzeća celoj &U knjigovodstvo.

Ma-inski nalozi !ainski naloi /engl. computer account9 bezbednosni je subjekt i direktni je potomak objekta User. )a bi odreeni računar mogao da učestvuje u ;indo??@ ili ;indo??@ povećava stepen bezbednosti i kontrole nad računarom tako što zahteva da on ima svoj nalog isto kao bilo koji korisnik. Kada računar pridružujete domenu, treba da za njega napravite nalog, a ;indo??@ domenu jesu upravljači domena. "i serveri igraju ulogu stražara domena. e možete da formirate ;indo??@ domen ako prethodno u njemu ne 'podigneteQ upravljač domena. 1romenom statusa servera u upravljač domena, prestaju Slika 1.C94 )a?inski nalog u 

sve nadležnosti lokalne baze podataka D:. !nstaliraju se usluge imenika, a o svemu što se tiče bezbednosti domena stara se aktivni imenik. Kada domenu dodate prvi pridruženi server, samostalni server ili radnu stanicu pod ;indo??@, ;indo
4ad sa Eroup olicies 1osao administratora se nikada ne završava. Korisnici se stalno igraju sa svojim parametrima, teško je održati Qstandardne struktureQ, a postavljanje novih aplikacija zadaje glavobolje, kako na velikim, tako i na malim mrežama. :uka je pakovati aplikacije, sistemi za udaljeni menadžment, kao što je :, su V@


nepotrebno složeni, a za instalaciju mnogih aplikacija na ", ili ;in>K@ mašine su potrebne Ddmin privilegije. Kada se radi o upravljanju konfiguracijom, treba se upoznati sa odreenim terminima= S7stem *olicies !sistemska načela" , Group *olic7 /grupno načelo0, (hange and (onfiguration )anagement !(()", ;ntellimirror. +ta ove reči znače običnom administratoru koji samo želi da zadrži neki kontinuitet u konfiguracijama stonih računaraJ 55: i !ntellimirror su marketinški nazivi za grupu karakteristika upravljanja ;in>K@ stonim računarom, uključujući lutajuće /roaming0 profile i preusmeravanje fascikli, offline fascikle, distribuciju softvera i kontrolu konfiguracije desktop%a /mislim upravljanje0. Uprkos modernim terminima, mnoge od ovih mogućnosti, uključujući preusmeravanje fascikli, distribuciju softvera i udaljenu konfiguraciju desktop%a, se lako primenjuju pomoću grupnih načela. +ta možete da radite pomoću grupnih načelaJ Cvo kratke liste=  &bjavljivanje, ili dodeljivanje softverskih paketa korisnicima ili mašinama  )odeljivanje start%up, shutdoK, mnogo manji podskup svega ovoga, uglavnom samo ograničenja za stone računare i nekoliko sigurnosnih parametara, se postizao pomoću sistemskih načela. 1rvo, sistemska načela, kada se primene, u Iegistar upisuju permanentne promene. &vaj fenomen se obično zove tetoviranje !tattooing". Uklonite načelo, parametri ostaju. Gi zapravo treba da Qobrnete načeloQ /tako što ćete primeniti njemu suprotno0, ili da parametre promenite ručno. a druge strane, grupna načela svoje informacije upisuju samo u odreene delove Iegistra, tako da su u stanju da počiste za sobom onda kada se načelo ukloni. istemska načela se primenjuju samo jednom= a vreme logovanja a korisniBke parametre> a vreme podianja a parametre raBunara . ! grupna načela se primenjuju na ovaj način, ali se ponovo primenjuju u zadatim intervalima, Konačno, grupna načela rade mnogo više od promene Iegistra. /apomenaB 3rupna načela možete da koristite samo za kontrolu ;inN11ro i ;in>???1ro mašina. Dko u domenu imate ;inO7 ili ;in" ;orkstation mašine moraćete da koristite stare alate= ;indo
Goncepti Eroup olicF Ddministratori konfigurišu i primenjuju grupna načela tako što grade objekte grupnih naBela !group polic7 object : G* ). 31& su kontejneri za grupe parametara /načela0 koji se mogu primeniti na korisnike i grupe na mreži. &bjekti načela se prave pomoću 3roup 1olicE snap%ina, koji se obično poziva preko kartice 3roup 1olicE &bject Cditor iz S-.)S( ili SS;+$.)S(. !sti 31& može da odreuje skup aplikacija koje treba da se instaliraju na stonim računarima svih korisnika, primeni surovu politiku disk V


kvota i restrikcija na C7plorer shell i definiše lozinku za ceo domen i politiku zaključavanja naloga. :ože da se napravi jedan sveobuhvatan 31&, ili više različitih, po jedan za svaki tip funkcije. U 3roup 1olicE &bject Cditor snap%inu postoje dva glavna čvora, &ser ;oniguration i ;omputer ;oniguration. User 5onfiguration se primenjuju na parametre specifične za korisnika, kao što su konfiguracija aplikacije, ili preusmeravanje fascikli, a 5omputer 5onfiguration načela upravljaju parametrima specifičnim za mašinu, kao što su kvote za diskove, revizije /auditing0 i Cvent 6og menadžment. !pak, postoji i prilično preklapanje. ije neobično videti isto načelo i u User 5onfiguration i u 5omputer 5onfiguration čvorovima. uprotno svom imenu, grupna načela uopšte nisu usmerena na grupe. :ožda se zovu grupna, jer je gomila različitih konfiguracionih alata grupisana zajedno u jedan snap%in. 5ažnoB ne možete ih primeniti direktno na grupe, ni korisnike, već samoj na sajtove, domene i &U /što :icrosoft skraćuje u termin )&U0. Fin dodele 31&%a sajtu, domenu, ili &U se zove poveivanje /linking0. 31& može biti povezan i sa lokalnim načelom odreene ;inN1 mašine, što ćete uskoro videti. Geza 31& % )&U može biti mnogo na jedan /mnogo načela primenjeno na jednu &U, na primer0 ili jedan na mnogo /jedno načelo povezano sa nekoliko različitih &U0. Kada se povežu sa sajtom, domenom, ili organizacionom jedinicom, korisnička načela se primenjuju za vreme logovanja, a računarska za vreme podizanja sistema. ! jedna i druga se periodično osvežavaju, uz nekoliko važnih izuzetaka. Kada sam rekao da se 31& čuvaju u D), to nije bilo potpuno ispravno. &bjekti grupnih načela se čuvaju u dva dela, Group *olic7 (ontainer !G*(" i struktura fascikli načela u G&6. )eo sa kontejnerom se čuva u Dktivnom direktorijumu i sadrži informacije o svojstvima, verziju, status i listu komponenata. 1utanja strukture fascikle je 'l'S=SISJ=s7svol=omainname=*olicies=G;= , gde je 3U!) Global niAue ;dentifier za 31&. &va fascikla sadrži administrativne šablone /D): fajlove0, parametre bezbednosti, informacije o dostupnim aplikacijama i imena skript fajlova sa komandnim linijama.

/ačela su Nsve ili ni-taN vaki objekat grupnih načela sadrži mnoge moguće parametre za mnoge funkcije_ obično ćete konfigurisati samo neke od njih. &stali će biti ostavljani QneaktivniQ, nešto kao stavljanje IC: ispred komande u skriptu, ili korišćenje tačka%zareza na početku linije u !8 fajlu. ;in>K@ i dalje mora da pročita celo načelo, ali reaguje samo na opcije koje ste omogućili. !pak, kada jednom konfigurišete skup načela i kažete D)%u da je, na primer, Qovaj 31& povezan sa [email protected] domenomQ, individualni parametri, ili tipovi parametara se ne mogu primeniti selektivno. vi korisnički konfiguracioni parametri će se primeniti na sve korisnike na ;in>K@ sistemima u povezanom domenu. vi računarski konfiguracioni parametri će se primeniti na sve ;in>K i ;in>K@2N1 mašine u domenu. etite se da se ništa neće primeniti ni na " , ni na O$2OA klijente. Iecimo da ste kreirali 31& koji razvija set standardnih desktop aplikacija, kao sto su ;ord, C7cel i &utlook i da ste ubacili gomilu shell restrikcija kako biste sprečili korisnike da menjaju svoje konfiguracije. Dko ne želite da članovi grupe za !" podršku podležu ovim besmisleno strogim shell restrikcijama, možete da uradite par stvari. :ožete za ova načela da kreirate poseban 31& i povezete ga sa kontejnerom nižeg nivoa, kao što je &U koja sadrži sve regularne korisnike. Dli, ta &U će biti jedina koja dobija &ffice aplikacije. Dlternativno možete da postavite dozvole za 31&, što će sprečiti da se načelo primeni na grupu za !" podršku /ovo se zove filtriranje0. :eutim, ako za rešenje ovog problema upotrebite filtriranje, na grupu za !" podršku uopšte neće biti primenjeno ništa iz 31&. 1rimena grupnih načela je sve, ili ništa, tako da su Gam ponekad, za posebne funkcije, zaista potrebna posebna načela. :ožda je najbolji način pristupa ovome izrada 31& za raspored standardnog softvera i 31& za shell restrikcije. &ba se mogu primeniti na nivou domena, ali se shell restrikcije mogu filtrirati za grupu za !" podršku. 1oenta je u tome da je nemoguće kreirati jedno monolitno načelo i onda odreivati ko dobija koje parametre.

/ačela su nasledna i kumulativna 1arametri 3roup 1olicE su kumulativni i nasleeni iz roditeljskih kontejnera Dktivnog direktorijuma. a primer, domen [email protected] ima nekoliko različitih 31&. 1ostoji načelo na nivou domena koje postavlja restrikcije za lozinke, zaključavanje naloga i standardne parametre bezbednosti. vaka &U ima načelo za širenje i održavanje standardnih desktop aplikacija, kao i preusmeravanje fascikli i restrikcije za V$


desktop. Korisnici i računari koji su i u domenu i u &U, primaju parametre i od načela na nivou domena i od onih na nivou &U. "ako, opšta načela se mogu primeniti na ceo domen, a sitnija u zavisnosti od &U.

4edosled primene grupnih načela asleivanje i akumulacija su fini i jednostavni, sve dok načela koja se primaju od domena utiču na različite parametre od onih odreenih &U načelom. D, šta ako su istaJ +ta ako oba menjaju isti parametar i načelo domena tvrdi jednu stvar, a načelo &U druguJ ačela se primenjuju sledećim redosledom= lokalno načelo' sajtovi' domeni' organizacione jedinice' zatim O& unutar O& . Dko načelo domena kaže= Q:oraš biti ulogovan, da bi mogao da oboriš mašinuQ, a &U načelo= Q)ozvoli obaranje pre logovanjaQ, &U načelo je primenjeno poslednje i zato ima prednost. Dko jedno načelo kaže= QBaključajQ, a sledeće= Qije konfigurisanoQ, parametar ostaje zaključan. Dko jedno načelo kaže= Qije konfigurisanoQ, a sledeće= QBaključajQ, parametar je, takoe, zaključan. Dko jedno načelo kaže= Q&stavi gaQ, a sledeće= Q!sključi gaQ, isključen je. Dko jedno načelo kaže= Q!sključi gaQ, a sledeće, bliže, kaže= QUključi gaQ, a treće= Q!sključi gaQ, pogodite šta bivaJ a kraju je isključen. !pak, poželjno je da izbegavate ovakva neslaganja medu načelima, da biste sačuvali zdrav razum.

/o Override i :lock ,nheritance Kao što filtriranje može da se koristi za sprečavanje sveopšte primene načela, 9lock !nheritance /blokiraj nasleivanje0 je specijalan parametar koji sprečava da načela procure sa višeg nivoa na niže. Kada je uključen, vrednosti viših načela se uopšte neće primeniti u nižim kontejnerima. Dko, na primer, kreirate 31& za odreenu &U, kao što je Knjigovodstvo i podesite sve parametre neophodne za tu &U, a zatim želite da sprečite da 31& k@test domena utiču na &U Knjigovodstvo, uključite 9lock !nheritance. 1rimeniće se samo načela organizacione jedinice Knjigovodstvo. 1ostoji i protivudarac za sprečavanje primene 9lock !nheritance. Kada je za načelo uključeno o &verride, vrednostima iz narednih načela je onemogućeno da obrću one iz načela sa uključenim o &verride. Dko na primer, administratori domena imaju niz vrlo spornih parametara koje su uključili na nivou domena, a oni raspušteni, administratori iz računovodstva su napravih sopstvenu &U, sa sopstvenim načelima i uključili 9lock !nheritance, organizaciona jedinica Knjigovodstvo će efektno izbegavati nametnute parametre... ali, samo dok se administratori domena ne opamete i dok ne uključe o &verride. U tom slučaju administratori domena pobeuju i ljudi iz &U Knjigovodstvo moraju da poštuju ista ograničenja kao i svi ostali. No 5verride je jaBe od 1lock +nhentance. Kao i sva ostala tajna oružja i o &verride i 9lock !nhentance je najbolje koristiti štedljivo. U suprotnom, u slučaju problematičnih situacija, postaje dosta komplikovano otkriti koja načela su gde primenjena. "o bi moglo da naškodi mentalnom zdravlju mrežnog administratora.

,ntervali osvežavanja grupnih načela ačela se ponovo primenjuju svakih O? minuta. a kontrolerima domena ona se osvežavaju na svakih pet minuta, ali postoji načelo koje konfiguriše sve ovo. !zuzeci za interval osvežavanja uključuju preusmeravanje fascikli i instalaciju softvera. &ni se primenjuju samo pri logovanju, ili pri podizanju sistema_ u suprotnom bi moglo da Gam se desi da aplikaciju deinstalirate, dok neko pokušava da je koristi. !li, korisnik može raditi u fascikli koja je preusmerena na novu lokaciju u mreži. "o bi bilo loše.

Aokalna načela i o)jekti grupnih načela Kada za izradu i povezivanje grupnih načela koristite Dctive )irectorE Users and 5omputers, ili Dctive )irectorE ites and ervices, Gi radite sa objektima grupnih načela da biste zadali skup parametara koji će biti primenjeni u trenutku logovanja korisnika, ili podizanja mašine. 3roup 1olicE &bject Cditor snap%in pruža mogućnost za gledanje postavke lokalnih načela na mašini. Dko otvorite alat 3roup 1olicE &bject Cditor koji stiže uz ;in>K@ /31C)!".:50, on se automatski fokusira na lokalnu mašinu, kao što je prikazano na slici #.#. Ddministratori mogu da ga koriste kao što bi koristili i alat 6ocal ecuritE 1olicE za konfigunsanje parametara naloga /kao što su minimalna dužina lozinke i broj propalih pokušaja VR


logovanja pre zaključavanja naloga0 i podešavanje praćenja /auditing0. Uz izuzetak instalacije softvera i preusmeravanja fascikli, svi parametri 3roup 1olicE su dostupni i za konfigurisanje lokalnih načela.

Slika 1.C14 Group *olic7 bject $ditor snap:in

)a biste se fokusirali na lokalna načela drugog računara, morate da imate Ddministrator prava za tu mašinu. Iačunar možete selektovati dok svojoj upravljačkoj konzoli dodajete 3roup 1olicE snap%in, kao što je prikazano na slici #.>. Dko znate ime računara, samo ga ukucajte, ili izaberite dugme 9ro
Slika 1.C&4 ;zbor objekata grupnih načela Slika 1.C24 odavanje Group *olic7 bject $ditor snap:in

&sim toga, ako selektujete opciju kojom ćete omogućiti promenu fokusa kada se snap%in pokrene sa komandne linije, objekat načela možete da selektujete kao argument kada pokrećete konzolu. 31C)!".:5, konzola 3roup 1olicE &bject Cditor koja se isporučuje sa ;in>K@, ovu opciju ima uključenu. intaksa kojom se otvara 31C)!".:5 i gleda lokalno načelo na udaljenoj mašini je sledeća= GPEDIT.MSC

/gpcomputer:

imemašine

"ako da možete da napišete, na primer= GPEDIT.MSC /gpcomputer:

student2

ili, možete da napišete= GPEDIT.MSC /gpcomputer:

student2.win2ktest.com

&bavezno uključite razmak izmeu 2gpcomputer= i imena mašine. VV


1ri korišćenju 31C)!".:5 za menjanje načela na udaljenoj mašini postoji jedno važno ograničenje. Ckstenzija 3roup 1olicE &bject Cditor snap%ina sa parametrima bezbednosti neće raditi kada je alat fokusiran na udaljenu mašinu. &vo vredi ponoviti. e možete da otvorite 31C)!".:5 sa prekidačem Kgpcomputer4 imeračunara i menjati parametre bezbednosti udaljene mašine. !zgleda da :icrosoft to ne dozvoljava jer smatra da bi time bezbednost bila ugrožena. *oš jedan primer toga da nam softver govori šta je najbolje za nasJ /apomenaB %ko koristite grupna naBela> lokalno se uvek procesira pre grupnih naBela sajta> domena> ili 5=.

,zrada grupnih načela )a biste u )D.:5 otvorili 3roup 1olicE &bject Cditor snap%in, kliknite desnim tasterom ime domena u korenu konzole i, iz kontekstualnog menija, izaberite 1roperties. 1reite na karticu 3roup 1olicE, prikazanu na slici #.@R, da biste videli koji 31& su povezani na nivou domena. Dko do sada niste kreirali druga načela, videćete samo podrazumevano načelo domena. Bapazite polje za potvrdu 9lock 1olicE !nheritance, u donjem levom uglu 3roup 1olicE kartice. &no sprečava da se parametri grupnih načela višeg nivoa spuste na ovaj. etite se redosleda kojim se načela primenjuju= prvo na nivou sajta, zatim domena, zatim načela za &U.

Slika 1.CC4 Group *olic7 kartica

)a biste uključili o &verride, istaknite načelo i izabente &ptions, zatim potvrdite polje o &verride /vidi sliku #.$0. Kada je ovo polje uključeno, ostala načela, primenjena na donjim nivoima ne mogu nadjačati vrednost ovog načela, čak ni sa 9lock !nheritance. Bapazite da je 9lock !nheritance uključeno na nivou linka /sajt, domen, ili &U0, dok je o &verride uključeno za načelo. 1otvrdite polje )isabled, da biste načelo isključili, da se na tom nivou ne procesira, ili ne primenjuje. &nemogućavanje načela ne onemogućava i sam objekat. a primer, isto načelo, onemogućeno na nivou domena, teorijski bi moglo da se primeni na nivou sajta, ili &U. Dko je neka od opcija /o &verride, ili )isabled0 uključena, postojaće znak potvrde u odgovarajućoj koloni 3roup 1olicE kartice. &be opcije se mogu aktivirati pomoću kontekstualnog menija načela. )a biste videli kontekstualni meni, samo treba načelo da kliknete desnik tasterom. VA


Slika 1.C34 Group *olic7 opcije

U prozoru sa slike #. izaberite e<, da biste kreirali novi 31&. ;in>K@ će kreirati načelo po imenu e< 3roup 1olicE &bject i dozvoliti Gam da mu promenite ime. !zaberite 1roperties, da biste videli i menjali svojstva novog objekta grupnih načela. Kartica 3eneral, prikazana na slici #.R, prikazuje informacije o izradi i reviziji, kao i opcije za onemogućavanje korisničkog, ili računarskog dela načela. U zavisnosti od načina na koji ste podelili domen u organizacione jedinice, možete odlučiti da neka načela kreirate samo sa računarskim parametrima, a neka samo sa parametrima karakterističnim za korisnika. U tom slučaju, ako je neiskorišćeni deo 31& onemogućen u potpunosti, primena načela i ažuriranja će se odvijati brže. Kartica 6inks Gam pruža mogućnosti pretrage za sajtovima, domenima, ili &U koji koriste ovaj 31&, ako ima takvih. Kliknite dugme 8ind o< da biste pretragu pokrenuli.

Slika 1.C64 Group *olic7 General svojstva

Kartica ecuritE otkriva podrazumevane dozvole za 31& /sliku #.V0. !staknite ime sa vrha, da biste u donjem delu videli dozvole. Bapazite da )omain Ddmins i Cnterprise Ddmins imaju dozvole Iead /čitanje0 i ;rite /pisanje0, kao i )elete /brisanje0 i 5reate 5hild &bjects /izrada podobjekata0, dok Duthenticated Users imaju samo Iead i DpplE 3roup 1olicE /primena grupnih načela0. Iead i ;rite su neophodni za promenu načela, a Iead i DpplE su neophodni primaocu načela.

VO


Slika 1.C54 ista dozvola za grupna načelo

Gratite se na 3roup 1olicE karticu lista sa svojstvima domena. Dko istaknete novi 31& koji ste upravo kreirali i izaberete dugme Up /gore0, ili )oK@ će Gam ponuditi opciju da ga potpuno obrišete /slika #.O0, ili da ga uklonite sa liste, čuvajući načelo koje onda u nekom trenutku možete povezati sa nekim drugim kontejnerom.

Slika 1.C84 klanjanje objekta grupnih načela

Slika 1.C4 *oveLanje prioriteta objektima grupnih načela

a kartici 3roup 1olicE izaberite dugme Ddd, da biste postojeći 31& povezali sa željenim kontejnerom. Kao što možete da vidite na slici #.$?, možete da potražite i 31& koji su povezani sa drugim domenima2&U, ili drugim sajtovima, ili možete zatražiti listu svih 31&. !staknite načelo i izaberite &K, da biste ga dodali listi na kartici 3roup 1olicE. A?


Slika 1.394 *ovezivanje grupnog načela

4ajde da sada pogledamo i izmenimo naše novo načelo. a kartici 3roup 1olicE istaknite načelo i izaberite Cdit. &vo će, u posebnom prozoru, otvoriti 3roup 1olicE &bject Cditor snap%in i videćete ime objekta načela u korenu prostora za ime, u ovom slučaju Iačunovodstvo 1olicE S)5#.&GeljkoGlahovic.eduT 1olicE. &vo nam nagoveštava da je načelo već gledano i editovano. lika #.$# prikazuje načelo razvijeno u drvo konzole, da bi se videli glavni čvorovi objekta grupnih načela.

Slika 1.314 *rostor za ime grupnog načela

Kao što sam već pomenuo, postoje dva glavna tipa parametara. 1arametri konfiguracije računara se primenjuju na mašinu pri podizanju i u odreenim intervalima osvežavanja. 1arametri korisničke konfiguracije se primenjuju na korisnikovo radno okruženje pri logovanju i u odreenim intervalima osvežavanja. Kasnije ćemo, u skladu sa sadržajem, istražiti različita načela, ali treba da se pripremite za činjenicu da nisu sva načela konfigurisana na isti način, bar što se interfejsa tiče. 9iće Gam potrebno nekoliko primera, da biste shvatili na šta mislim=  )a biste u Soft/are Settings=Soft/are ;nstallation specificirali softverske pakete, otvorite fasciklu i izaberite e/ 0 *ackage iz Dction menija. &kvir za dijalog &pen će Gas pitati za lokaciju paketa. Kada ga locirate i selektujete, onda konfigurišete njegova svojstva.  )a biste zadali interval koji može da protekne dok korisnik ne promeni lozinku, idite u (omputer (onfiguration='indo/s Settings=Securit7 Settings=-ccount *olicies=*ass/ord *olic7 , u desnom oknu sa detaljima kliknite dva puta :a7imum 1ass
Diltriranje grupnog načela Gratimo se na karticu ecuritE, u listu sa svojstvima objekata grupnih načela= otvorite )D.:5 /ili )!"C.:50, u zavisnosti od toga gde je link. Kliknite desnim tasterom kontejner povezan sa vašim 31& /u našem primeru, domen0 i izaberite 1roperties. !zaberite karticu 3roup 1olicE i istaknite načelo koje želite da filtrirate. !zaberite dugme 1roperties i idite na karticu ecuritE /ponovo prikazana na slici #.$>0. ada vidite -ccess (ontrol ist !-(" za objekat načela. :ože se desiti da ste napravili grupno načelo kojim se ograničavaju stoni računari, a ne želite da ga primenite na odreenu grupu ljudi. 3rupa Duthenticated Users uključuje sve osim gostiju, tako da se podrazumeva da će se načelo primeniti na sve osim gostiju, pa će čak i )omain Ddmins i Cnterprise Ddmins primiti parametre načela. )a biste sprečili da i )omain Ddmins i Cnterprise admins prime ovo načelo, morate u en7 koloni da potvrdite polje pored DpplE group 1olicE /slika #.$@0. &nima koji su članovi jedne grupe je potreban )enE samo za jednu grupu, ali )enE polje morate da potvrdite za obe grupe, za slučaj da članovi )omain Ddmins i Cnterprise Ddmins nisu isti ljudi. )a biste izuzeli ostale od primanja načela, sve ih smestite u sigurnosnu grupu i tu grupu dodajte listi. ije dovoljno 'ne potvrditi( polja za dodelu Iead i DpplE 3roup 1olicE_ korisnici iz vaše specifične sigurnosne grupe su članovi i Duthenticated Users, tako da Gi, zapravo, treba da izaberete )enE opciju i za njih. )enE ima prvenstvo u odnosu na Dllo<.

Slika 1.324 Securit7 kartica grupnih načela

Slika 1.3&4 skraLivanje -ppl7 Group *olic7 dozvole

Dko načelo želite da filtrirate za odreenu mašinu /ili grupu mašina0, primenite istu strategiju. )odajte računarske naloge u sigurnosnu grupu, dodajte tu grupu u D56 za objekat načela, zatim grupi uskratite /)enE0 Iead i DpplE 3roup 1olicE dozvole. 1ostoji alternativa dodavanju sigurnosne grupe u D56 i uskraćivanju Iead i DpplE dozvola. :oguće je u potpunosti ukloniti Duthenticated Users iz D56%a, čime se svi sprečavaju od prijema grupnih načela. Batim biste u D56 jednostavno dodali ulaze za sigurnosne grupe za koje želite da prime načelo. !pak, A>


budite sigurni da ste im dodelili i Iead i DpplE 3roup 1olicE. lika #.$ prikazuje listu dozvola za Iačunovodstvo policE iz koje je uklonjeno Duthenticated users i dodata je grupa Ddministracija. &va strategija je korisna, ako ne želite da se načelo primenjuje na sve računare u povezanom kontejneru. Uzgred, listama dozvola možete dodati i pojedinačne korisnike. /apomenaB ! u slučaju User 5onfiguration i 5omputer 5onfiguration, Soft/are Settings= Soft/are ;nstallation se mogu upotrebiti za objavljivanje, dodeljivanje, ažuriranje, čak i uklanjanje aplikacija sa korisnikovog desktopa.

Slika 1.3C4 Group *olic7 -( bez -uthenticated sers

Speciiciranje skriptova pomo$u Eroup olicF :ožete da specificirate logon i logoff skriptove, kao i skriptove koji će se izvršavati pri podizanju, ili obaranju sistema, pomoću ;indo8D??9. Dko želite da vidite skriptove smeštene u 31& i, po mogućstvu, ih otvorite za editovanje, upotrebite dugme ho< 8iles, u dnu lista sa svojstvima. &vo će fasciklu otvoriti u C7ploreru. 1ostoji nekoliko parametara načela koji definišu kako će se 3roup 1olicE skriptovi izvršavati. &na se nalaze u Ddministrative "emplates čvoru, u S7stem=Scripts za konfiguraciju korisnika ili računara.

A@


Slika 1.334 Start:up skriptovi Group polic7

Slika 1.364 odavanje skripta u Group *olic7

reusmeravanje ascikli *edna od najkorisnijih stvari koju možete da uradite sa parametrima korisničke konfiguracije u 3roup 1olicE &bject Cditor%u je da korisnikovim fasciklama -pplication ata, esktop, Start )enu, ili )7 ocuments kažete da ga prate od računara do računara.&ve fascikle su važan element korisnikovog radnog okruženja. -pplication ata čuva korisničke informacije specifične za aplikacije dok esktop može da sadrži važne fascikle i prečice koje treba da su na samo jedan klik od korisnika. Start )enu sadrži programske grupe i prečice na programe, dok je )7 )ocuments podrazumevano mesto na koje pamtite i sa kojeg pozivate fajlove, neka vrsta lokalnog kućnog direktorijuma. Korisćenjem korisničkih profila možete unapred da konfigurišete sadržaj ovih fascikli i pripišete mrežne lokacije. Dli, za razliku od A


ponašanja )efault User profila, preusmerene fascikle su sve vreme na jednom odreenom mestu. &ne se ne kopiraju na mašinu na koju se korisnik loguje, prouzrokujući QgradnjuQ profila. Umesto korišćenja fascikle u korisnikovom lokalnom profilu, biće preusmerena /redirect0 na lokaciju odreenu u grupnim načelima. !ma više dobrih razloga za korišćenje preusmeravanja fascikli. 1rvo, to je pogodnost za korisnika koji se loguje na različite mašine. "akoe, ako odredite mrežnu lokaciju za neke, ili sve ove fascikle, one se mogu redovno zaštitno kopirati i štititi od strane !" odeljenja. Dko se lutajući /roaming0 profili i dalje koriste, uvoenje preusmeravanja fascikli ubrzava sinhronizaciju profila servera sa lokalnim profilima pri prijavljivanju /logon0 i odavljivanju /logoff0, jer preusmerene fascikle ne traže ažuriranje. 1reusmeravanje fascikli )esktop i tart :enu na centralizovanu, deljenu lokaciju olakšava standardizaciju korisničkog radnog okruženja i pomaže udaljenu podršku, jer će osoblje za podršku znati da su sve mašine konfigurisane na isti način. +to je najlepše od svega, kombinujete i slažete. :oguće je specificirati deljenu lokaciju za esktop i Start )enu fascikle, a dozvoliti svakom korisniku da ima sopstvene )7 ocuments i -pplication ata fascike. 4ajde da pogledamo. )a biste za Start )enu fasciklu odredili mrežnu lokaciju u 3roup 1olicE, idite u ser (onfiguration='indo/s Settings=Eolder #edirection=Start )enu , kliknite desnim tasterom istaknutu fasciklu Start )enu i, iz kontekstualnog menija, izaberite 1roperties. 6ist sa svojstvima će prijaviti da nijedno načelo nije podrazumevano za tart :enu preusmeravanje. !z padajuće liste izaberite 9asic, da biste odredili jednu lokaciju za tart :enu fasciklu, ili izaberite Ddvanced, da biste lokacije zadali na osnovu članstva u sigurnosnoj grupi. Dko želite jednu lokaciju za tart :enu fasciklu samo otkucajte ciljnu lokaciju sa mrežnom putanjom, ili pretraživanjem doite do nje. Ba različite lokacije, prvo izaberite sigurnosnu grupu, a zatim zadajte mrežnu putanju. lika #.$V demonstrira preusmeravanje tart :enu fascikle za sve članove &GeljkoGlahovic.eduXIačunovodstvo, na serveru )5#. U našem slučaju će celo Iačunovodstvo koristiti istu tart :enu fasciklu, a u drugim slučajevima je moguće postaviti individualne preusmerene fascikle, dodavanjem MimekorisnikaM u putanju. &vim se kreira podfascikla imenovana po korisniku. Batim, kliknite karticu ettings, da biste konfigurisali parametre preusmeravanja. 1otpunosti radi, parametri preusmeravanja za :E )ocuments su prikazani na slici #.$V. 1arametri za preusmeravanje svih ostalih fascikli su isti, osim sto :E )ocument ima podfasciklu :E 1ictures, tako da postoji par dodatnih stavki koje treba konfigurisati. &pcije koje vidite na slici #.$A prikazuju podrazumevane izbore. amo korisnik će imati pristup fascikli, tako da, ako svi treba da dele fasciklu, treba da ukinete potvrde iz ovog polja / Grant the user the e%clusive rights to )7 ocuments 0. 1odrazumeva se da će se sadržaj odgovarajuće fascikle kopirati na novu lokaciju. Fak i kad se načelo ukloni, fascikla će ostati preusmerena sve dok joj ne kažete da Qukine preusmeravanjeQ.

A$


Slika 1.354 ačelo za preusmeravanje korisnikove

Slika 1.34 ačelo za preusmeravanje )7 ocuments fascikle

Start )enu fascikle

arametri )ez)ednosti Securit7 Settings /parametri bezbednosti0, zajedno sa -dministrative +emplates /administrativni šabloni0 čine veliki deo 3roup 1olicE. 1od pretpostavkom da ćete imati nekakvu standardizaciju na nivou organizacije, nekoliko škakljivih dozvola i parametara Iegistra ćete morati da promenite samo jednom, pomoću 3roup 1olicE. "8 dozvole morate da podesite samo jednom. &ne se, čak, mogu podesiti za jedno načelo, a onda kopirati u ostala. Kada god Gam je potrebna visoka bezbednost, ili samo malo viša od podrazumevane, velike su šanse da ćete želeti da učinite bar neke standardizovane promene, a čvor ecuritE ettings će Gam svakako olakšati život. 3lavnina parametara bezbednosti se nalazi u 5omputer 5onfigurationX;indo
&voz -a)lona )ez)ednosti +abloni sa parametrima bezbednosti se instaliraju sa ;in>K@ erverom i na raspolaganju su nam kako bi olakšali teret prolaska kroz istraživanje i konfiguraciju ovih parametara. "akoe, mnogo je sigurnije parametre konfigurisati offline i zatim ih primeniti, nego se igrati živim grupnim načelom, koje radi. &vi šabloni imaju oblik !8 fajlova i nalaze se u =';'S=securit7=templates. !ma ih više, od osnovnih radnih stanica, ili servera, do sigurnosnih, vrlo sigurnih i konfiguracija namenjenih za kontrolere domena. Kada se primene direktno, ili preko 3roup 1olicE, ovi šabloni u inkrementima menjaju podrazumevane vrednosti. :ožete ih gledati, ili menjati pomoću ecuritE "emplates snap%ina, prikazanog na slici #.$O. &vi parametri su isti kao i oni koji se nalaze u group policE ecuritE ettings, sa izuzetkom *ublic Be7 *olicies i ;* Securit7 *olicies , koji se ne mogu konfigurisati pomoću šablona. Grednosti parametara su u svakom šablonu unapred konfigurisane kako bi odgovarale potrebnom nivou bezbednosti. )a biste šablon bezbednosti uvezli u 3roup 1olicE, idite u (omputer (onfiguration='indo/s Settings=Securit7 Settings i kliknite desnim tasterom ecuritE ettings. !z kontekstualnog menija izaberite !mport 1olicE, zatim selektijte načelo iz liste šablona. 3roup 1olicE šablon automatski traži u AR


=';'S=securit7=templates, a Gi mu možete reći da traži negde drugde ako je potrebno. 9iće uvezen !8 fajl, da bi promenio parameter selektovanog objekta grupnih načela.

Slika 1.384 Securit7 +emplates snap:in

indo7s komponente Baista je veliki broj parametara koje možete konfigurisati u ovom čvoru. vakako je korisno imati kontrolu parametara za !nternet C7plorer, ;indo
;ontrol anel parametri 5ontrol 1anel čvor uključuje nekoliko opcija za onemogućavanje, ili uklanjanje celog, ili dela DddXIemove 1rograms apleta. )isplaE sprečava korisnike da menjaju parameter prikaza. Kao što su rezolucija ekrana, screen%saver%i i pozadiski tapet - drugim rečima, da prilagoavaju prikaz. "akoe, korisna načela su ona koja sprečavaju korisnike da dodaju, ili brišu štampače. Korisno je, takoe, specificirati putanju za štampače u Dktivnom )irektorijumu, kao pomoć pri pretraživanju. AV


Sistemski parametri &nemogućavanje alata za editovanje Iegistra sprečava korisnike da pokreću #$G$+&2.$P$ i #$G$;+.$P$, što nije loša ideja, mada obični korisnici ionako nemaju Iead pristup većem delu Iegistra. Fuveni parameter #un nl7 -llo/ed 'indo/s -pplication /izvršavaj samo dozvoljene ;indo prikazuje omogućeno načelo, sa primerom spiska dozvoljenih aplikacija.

Slika 1.694 ačelo koje dozvoljava pokretanje samo dozvoljenih aplikacija

&potre)a Eroup olicF za pode-avanje Set ass7ord i istorF =o)avezna istorija lozinke? &mogućite ovu opciju i dajte broj novih lozinki koje moraju biti jedinstvene, pre nego što se data lozinka može upotrebiti ponovo. MaLimum ass7ord

ass7ord Must Meet the ;ompleLitF 4euirements o ,nstalled ass7ord Dilter =lozinka mora da zadovolji zahteve složenosti koje odre#uje instalirani ilter za lozinke? 8ilteri za lozinke definišu zahteve kao, na primer, broj dozvoljenih karaktera, da li moraju da se koriste slova i brojevi, da li je dozvoljen deo korisnikovog imena itd. Store ass7ord &sing 4eversi)le 3ncrFption =lozinke pamti kori-$enjem o)rnutog -iriranja? ;indo
Eroup olicF načela ačela koja kontrolišu 3roup 1olicE se nalaze u Ddministrative "emplates, i u User 5onfiguration i u 5omputer 5onfiguration čvorovima /Ddministrative "emplatesXEstemX3roup 1olicE0. lika #.R# prikazuje 5omputer 5onfiguration opcije za 3roup 1olicE. !nformacije koje slede su rezime najvažnijih konfiguracionih opcija. Eroup olicF 4eresh ,ntervals or &sersP;omputersP+omain controllers =,ntervali osvežavanja Eroup olicF za korisnikePračunarePkontrolere domena? &va odvojena načela odreuju koliko često se 0P5 osvežavaju u pozadini, dok korisnici i računari rade. &vi parametri dozvoljavaju promene podrazumevanih pozadinskih intervala osvežavanja i dozvoljavaju fino podešavanje offset vremena. +isa)le :ackground 4eresh =onemogu$i osvežavanje u pozadini? Dko dopustile ovaj parametar, načela će se osvežavati samo pri podizanju sistema i logovanju korisnika. &vo bi moglo da bude korisno zbog performansi, jer ako imale #,$?? računara koji na svakih O? minuta osvežavaju načela, na Cthernetu bi moglo doći do zagušenja.
AO


Slika 1.614 (omputer (onfiguration parametri za Group *olic7

+o /ot ave /ot ;hanged =procesira' čak' iako se EO nisu promenili? Iadi očuvanja mrežnih i sistemskih resursa, podrazumeva se da se 31& ne osvežavaju, ako nisu promenjeni. !pak da biste povećali sigurnost i sprečili da korisnik menja parametre načela, omogućite ovo načelo, da biste se obezbedili da se svi parametri ponovo primene posle svakog intervala osvežavanja. &mogućavanje ovog načela može da izazove primetno pogoršanje performansi. &ser Eroup olicF Aoop)ack rocessing Mode =režim za o)rnuto procesiranje korisničkih grupnih načela0 1odrazumeva se da se korisnička načela procesiraju posle načela konfiguracije računara i da korisnička načela imaju prednost, ako postoje konflikti. "akoe se podrazumeva da korisnici primaju načela bez obzira na to koju mašinu upotrebe za logovanje. 1onekad to nije odgovarajuće i umesto toga, načela treba primeniti u skladu sa objektima računarskih načela. a primer, ako se logujem na server, da bih se bavio administracijom, ne odgovara mi da office aplikacije počnu da se instaliraju. )rugi primer kada želite da računarska načela pregaze korisnička je ako želite da primenite stroža načela za mašine koje su izložene anonimnoj publici, kao što su one u bibliotekama, univerzitetskim računarskim labotarorijama i kioscima u tržnim centrima, ili turističkim atrakcijama. 1ostoje dva režima za kontrolu ovog ponašanja /vidi sliku #.R>0_ :erge i Ieplace režimi.

O?


Slika 1.624 pcije procesiranja skripta

Slika 1.6&4ser Group *olic7 loopback processing mode

načelo

Merge Mode 1rvo procesira korisnička načela, zatim računarska. Bbog toga će računarska načela pregaziti konfliktna korisnička. 4eplace Mode Banemaruje korisnička načela i procesira samo računarska.

Erupna načela na sporim vezama 3rupna načela i dalje rade preko sporih veza, kao što su dial%up konekcije. *oš bolje, načelo se primenjuje bez obzira na to da li se korisnik loguje korišćenjem )ial%Up etK@ sadrži načelo kojim se definiše spora veza i kojim se definiše kako se načela primenjuju preko detektovane spore veze. 1odrazumevana definicija spore veze, bar što se grupnih načela tiče, je sve ispod $?? kilobita u sekundi. istem testira brzinu veze korišćenjem 1ing uslužnog programa. Dko je vreme odziva 1inga ispod >.??? milisekundi, veza je brza. :eutim, Gi možete promeniti definiciju spore veze. &vaj parametar, po imenu 3roup 1olicE lo< 6ink )etection, je dostupan i u User 5onfiguration i u 5omputer 5onfiguration, u -dministrative +emplates=S7stem=Group *olic7 /vidi liku #.R, radi lista sa svojstvima načela0. )a biste promenili podrazumevani parametar, unesite broj u Kb2s, ili ?, da biste potpuno onemogućili detekciju spore veze. Dko onemogućite detekciju spore veze, primenjivaće se sva načela, bez obzira na brzinu veze. Kao što sam u prethodnom odeljku pomenuo, parametri procesiranja načela za pojedinačne komponente /one imaju imena kao 8older Iedirection 1olicE 1rocessing i nalaze se na istoj putanji kao i detekcija spore veze, u (omputer (onfiguration= -dministrative +emplates=S7stem=Group *olic7 0 Gam omogućavaju da odredite da li će se delovi objekta načela procesirati preko spore veze. 1onovo, ovo nije opcija za načela Iegistra, ni za parametre bezbednosti_ oni će se uvek izvršiti, čak i preko spore veze. 1odrazumeva se da se ostali moduli neće primenjivari preko sporih veza. )a bi logon skriptovi radili preko sporih veza, na primer, otvorite načelo po imenu cripts 1olicE 1roccessing. &mogućite načelo, kao na lici $V i potvrdite polje pored Dllo< 1rocessing across a lo< et
O#


Slika 1.6C4 Group *olic7 Slo/ ink etection svojstva

Slika 1.634 pcije procesiranja načela

laniranje grupne strategije i otkrivanje i otklanjanje gre-aka u njoj pomo$u 4So8 a Dko imate iskustva u upravljanju grupnom strategijom u ;indo???, onda znate da nema lakog načina otklanjanja grešaka u problematičnim 31 objektima, niti lake metode prognoziranja ili testiranja ponašanja 31 objekta u radu. ;indo koja dobrim delom obezbeduje sredstva za planiranje grupne strategije i otkrivanje i otklanjanje problema u radnim stanicama na koje se primeni. &na je ugraena i u ;indo??@. Io1 pravi izveštaj o svim parametrima grupne strategije koji su primenjeni na korisnika i računar. "ime omogućava otkrivanje i otklanjanje grešaka u grupnoj strategiji i utvrivanje promena radne površine i prostora korisnikovog računara koje Io1 prouzrokuje. Io1 funkcije ugraene u ;indo??@ omogućavaju izvlačenje podataka o rezultujućem skupu pravila koja su primenjena na računar za kojim sedite ili na bilo koji drugi računar u domenu.  komandne linije se pokreće program 31ICU6", koji otkriva sve parametre grupne strategije primenjene na korisnika i njegov računar. Io1 i 31ICU6" su detaljno objašnjeni u datotekama ugraene pomoći ;indo??@, u odrednici "roubleshooting 31 /otkrivanje i otklanjanje grešaka grupne strategije0. )a biste Io1 upotrebili za planiranje primene grupne strategije, pokrenite modul Dctive )irectorE Users and 5omputers /korisnici i računari aktivnog imenika0 i u stablu izaberite bilo koju organizacionu jedinicu. )esnim tasterom miša pritisnite opciju Dll "asks u meniju i u kontekstnom meniju izaberite stavku Iesultant et of 1olicE /1lanning0. 1okrenuće se čarobnjak Io1, prikazan na slici #.RR.

O>

Administriranje mreža Slika 1.664 arobnjak rezultujuLeg skupa pravila !#so*"

1omoću ovog čarobnjaka simulirate primenu grupne strategije na ciljnu organizacionu jedinicu ili korisnike, računare i grupe, s raznim parametrima kao što su režim povratne petlje, spora veza s mrežom i ;indo
Slika 1.654 #ezultat rada #so*:a za  prava

Io1 konzola je na raspolaganju u ;indo

&pravljanje grupnom strategijom pomo$u D??? za upravljanje grupnom strategijom. 8DBD: je akronim od Eull -rmor >ero -dministration . ijedna druga alatka na tržištu ni približno ne omogućava tako lako i komforno upravljanje, kontrolu izmena i uvoenje u rad grupne strategije. 1re nego što malo detaljnije opišemo ovu alatku, treba da znate da je :icrosoft stavio verziju 8DBD:%a >??? smanjene funkcionalnosti u direktorijum podrške na instalacionom 5)%u operativnog sistema ;indo??@. 1robnu verziju ovog softvera možete preuzeti s 8ullDrmorove ;eb lokacije na adresi ///. fullarmor. com . 8DBD:%ov Io1 omogućava i interaktivno usmeravanje alatke na svaki računar u domenu, i dobijanje izvanrednih 4":6 izveštaja o rezultujućoj /sveukupnoj0 grupnoj strategiji primenjenoj na računar i na korisnika. !zveštaj se može i odštampati. !nterfejs probne verzije 8azam%a vidite na slici #.RA.

Slika 1.64 E->-) 2999 !probna verija"

ravljenje rezervnih kopija i o)navljanje E o)jekata 1rocedura izrade rezervnih kopija i obnavljanja celog aktivnog imenika trenutno je jedini način izrade rezervnih kopija 31 objekata i njihovog obnavljanja. e postoji način da izaberete samo jedan objekat i obnovite ga u aklivnom imeniku, ukoliko se ošteti ili slučajno obriše. "u funkcionalnost pruža 8DBD: >???. Ulaganja u projektovanje i pravljenje grupne strategije veoma su velika. U taj proces možete uložiti dane i sedmice rada, i sve to uništiti jednim pritiskom na pogrešno radio%dugme u okviru za dijalog )elete. Dko oštetite, uništite ili na drugi način izgubite objekat grupne strategije /a mnogi admistratori O


;indo??@ doživeli su da podrazumevana strategija domena ili upravljača domena jednostavno nestane0, nemate izbora nego da ga obnovite s rezervne kopije, a s njim i deo operativnog sistema. Ba obnavljanje podrazumevanih objekata grupne strategije možete, naravno, upotrebiti uslužni program )531&8!N s komandne linije, ali time ćete izgubiti parametre te grupne strategije.  druge strane, 8DBD: >??? omogućava veoma lako pojedinačno pravljenje rezervnih kopija i obnavljanje 31 objekata.

,mplementiranje upravljanja izmenama ajkorisnija karakteristika alatke 8DBD: >??? jeste njena mogućnost pravljenja i testiranja 31 objekata te snimanja definicija pravila u bazu podataka. 8DBD: >??? omogućava da napravite objekat i da ga snimite u lokalnu ili stonu verziju W6 ervera ili u najjači W6 erver >??? za produkciju. "ako arhitektura skladišta omogućava potpuno obnavljanje objekata grupne strategije, jer 31 objekat možete da učitate u domen iz njegove skladišne lokacije u W6 erveru. vaki 31 objekat možete obnoviti u celosti. Dko se 31 objekat ošteti ili uništi, povežite se sa W6 erverom i obnovite ga za nekoliko minuta. Giše ne morate trošiti dane i sedmice /za koje vreme mreža ne radi uopšte ili radi u ograničenom obimu0 da biste obnovili 31 objekat koji je nestao. &va arhitektura je idealna i za implementaciju kontrole izmena i upravljanje izmenama grupne strategije u aktivnom imeniku. 8DBD: >??? omogućava pravljenje i testiranje grupne strategije u laboratorijskom domenu_ kada stigne odobrenje komisije za kontrolu izmena, 31 objekat se iz laboratorije može preseliti u radni domen /posle temeljnog testiranja, naravno0. 1remda ;indo??@ ima mnogo novih karakteristika koje omogućavaju bolje upravljanje grupnom strategijom, to i dalje predstavlja ogromno administrativno opterećenje i rizičan poduhvat ukoliko nemate titanijumski oklop sličan 8DBD:%u >???. Gonačna razmi-ljanja o grupnim načelima 1re nego što na Gašoj mreži počnete da konfigurišete grupna načela, postoje još dva velika pitanja kojih treba da budete vrlo svesni. *edno je da grupna načela utiču na performanse mreže i sistema. )rugo je da je probleme u vezi grupnih načela teško rešavati, ako nešto poe naopako. 1itanje performansi je dosta jednostavno= što više načela treba da se primeni, logovanje duže traje. vaki put kada se korisnik loguje /ili se računar restartuje0, čita se i primenjuje svaki od 31& pridruženih korisničkim, ili računarskim kontejnerima /)&U0. &vo značajno može da uspori logovanje, pa bi korisnici mogli da počnu da zovu tehničku podršku, da bi pitali Qšta nije u redu sa mrežomJQ. Bato bi broj načela trebalo da svedete na minimum. ledeća stvar koja bi mogla da zakoči mašinu, ili mrežu, je učestanost pozadinskog osvežavanja. &svežavajte načela suviše često, pa ćete videti da je mašina stalno zauzeta traženjem promene načela. Iazmislite o potpunom ukidanju pozadinskih osvežavanja, osim ako brinete da bi korisnici mogli da menjaju svoje parametre, da bi izbegli načela. Dko su pozadinska načela onemogućena, korisnička i računarska načela se ponovo primenjuju samo pri logovanju i pri podizanju, respektivno. ajgore što možete da uradite za performanse je da na snazi imate mnogo različitih načela i da 3roup 1olicE kažete da se ponovo primenjuju posle svakog intervala, čak i kada nema promena. )rugi način da ubrzate 31& procesiranje je da izbegavate dodelu 31& iz različitih domena. "o što to možete da izvedete, ne znači i da je dobra ideja. "eškoća u vezi sa rešavanjem problema potiče od nemogućnosti da vidite kumulativne parametre načela koji zapravo deluju na korisnika, ili mašinu. :ogućnost prikazivanja stvarne vrednosti načela, koju trenutno zovemo #esultant Set of *olic7 !#S*", je neophodna za upravljanje načelima i rešavanje problema u vezi sa njima. 9ez nje, morate da gledate svojstva svakog sajta2domena2&U, da biste videli koja načela su povezana sa kojim kontejnerima. Batim morate da gledate D56%ove, da biste videli da li ima filtriranja i da proverite da li su onemogućene opcije 9lock !nheritance i o &verride. Konačno, morate da vidite vrednosti načela o kojima je reč, da biste stigli do srži problema. "reba da hvatate beleške. Bato, koristire Io1.

V Upravljanje korisničkim nalozima rce administratorskog posla jeste kreiranje korisnika, grupa i upravljanje njima. U mnogim O$


slučajevima, posebno ukoliko su radne stanice bazirane na nekom od ;indo???2>??@. a primer, ako je mreža zasnovana na =nix ili 4inux sistemu, može postojati potreba za postavljanjem ;in>??@ servera specijalne namene bez svih D) stvari. U tom slučaju, ukoliko računar na kome se radi nije kontroler domena i ne koristi se Dktivni direktorijum, korisničke naloge treba kreirati pomoću alata (omputer !anagment /;OM[email protected];0. Korisnici kreirani pomoću ovog alata su lokalni nalozi, što znači da postoje i validni su samo na tom računaru. !pak, (5!P!0!".!S( je alat koji može da radi i na daljinu, tako da se može koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na usamljenim udaljenim serverima. )a bi se sve ovo uradilo treba samo iz menija %ction, izabrati (onnect to %nother (omputer . U (5!P!0!".!S( se otvori 4ocal =sers and 0roups, kao što je prikazano na slici $.#. &vde se može primetiti da na usamljenom serveru, na kojem nisu instalirani potrebni mrežni servisi, kao D-(P , DNS ili "erminal Service , jedini ugra[eni nalozi su %dministrator i 0uest . 1odrazumeva se da je 0uest onemogućen iz razloga predostrožnosti. &vaj nalog se, na usamljenom serveru, ili u D) kontekstu, primarno koristi za bušenje velike rupe u bezbednosti sistema, omogućavanjem neproverenog pristupa. Ba 0uest nalog se ne trazi lozinka, ali sa druge strane ovaj nalog je siromašan po pitanju snage i mogućnosti. alog administratora ima snagu i mogućnosti koje daleko prevazilaze obične korisnike. e može se obrisati i onemogućiti čak ni zaključati, ni posle milion propalih logovanja, što bi moglo da bude više nego dovoljno za razbijanje slabe lozinke. tandardne lokalne grupe koje su ugraene u usamljeni server su %dministrators, 1ackup 5perators, 0uests, Power =sers, 7eplicator i =sers. )odatne ugraene grupe su kreirane u sistemu kontrolera domena. &ve ugraene grupe imaju unapred definisan skup prava i dozvola. Kako bi se korisnicima dodelila ta prava i dozvole, potrebno je samo ih učiniti članovima odgovarajuće grupe. Ba otvaranje novog korisničkog naloga na sistemu koji nije kontroler domena, otvori se fascikla =sers u 4ocal =sers and 0roups i iz menija %ction izabere se New =ser , ili desnim tasterom miša na =sers u 4ocal =sers and 0roups i izabere se New =ser . 1otrebno je popuniti polja za korisničko ime, lozinku i potvrdu lozinke, ostala polja su opciona, kao što je prikazano na slici $.> i kliknuti na (reate. Kako bi se promenila svojstva naloga, dodelilo članstvo u grupi, login script , ili da bi se korisniku dodelila dial/in dozvola, potrebno je kliknuti desnim tasterom korisnički nalog i izabrati Properties. Kako bi se korisniku dodelila lozinka, istakne se nalog, klikne se desnim tasterom i izabere se Set Password . Ukoliko je za nalog potrebno zadati načela, kao što su zaključavanje ili praćenje upotrebiće se 4ocal Security Policy alat /S3;OA.MS;0 ili 0roup Policy /E3+,@.MS;0. &va načela biće lokalna i nalaziće se u 7egistry bazi lokalnog računara.

$.# Active Directory 'sers and !omputers za kreiranje nalo"a u domenu U ;indo??@, glavni administratorski alat za rad sa korisničkim nalozima, bezbednosnim grupama, organizacionim jedinicama i načelima, za jedan domen, ili više njih, je %ctive Directory =sers and (omputers /+S<.MS;0. Kako je reč o !icrosoft !anagment (onsole /MM;0 aplikaciji, ovaj alat se može pokrenuti na svakom ;indo???2>??@ računaru. 6okalni korisnički nalozi na usamljenom serveru, serveru članu, ili nekoj radnoj stanici se čuvaju u Security %ccounts !anager /S

Korisničkim nalozima, kada se prvi put kreiraju, automatski se dodeljuje identifikator bebednosti /securitF identiicator L S*D0. S*D0. S+D je jedinstven broj koji identifikuje nalog. S+D%ovi se koriste od kada je počeo ", jer sistem i ne zna korisnika po imenu, već po S+D%u. Korisnički +D su tu samo radi lakšeg interfejsa. S+D%ovi se nikada ne koriste ponovo, kada se nalog obriše i njegov S+D se briše sa njim. S+D%ovi izgledaju ovako= Y%#%$%>#%)#%)>%)@%I!) Y%#%$ je standardni prefiks, # je broj verzije koji se nije menjao od "%a "%a @.#, a $ znači da je " dodelio S+D_ ># je, takoe, " prefiks_ )#, )>, )@ su @>%bitni brojevi koji su karakteristični za domen, jednom kada se kreira domen, postave se )# do )@ i svi S+D/ovi u tom domenu nadalje imaju te iste tri vrednosti. 7+D označava relativan identifikator. 7+D je jedinstven j edinstven deo svakog dodeljenog S+D%a. vaki novi nalog uvek ima jedinstven 7+D broj, čak, iako su korisničko ime i druge informacije isti kao za stari nalog. a ovaj način, novi nalog ne može imati prava i dozvole starog, čime je bezbednost očuvana.

$.> Funkcije vezane za korisnike i "rupe u DSA4$S! %ctive Directory Directory =sers and (omputers mrežnom administratoru obezbeuje sredstva za izvršavanje sledećih zadataka= # Kreiranje, menjanje i brisanje korisničkih naloga > )odeljivanje 4og 5n scriptova korisničkim nalozima @ Upravljanje grupama i članstvima u grupama  Kreiranje i upravljanje grupnim načelima    

Programs %dministrative &tvara se DS%.!S( tako tako što se pokreće iz Start menija, menija, ili se izabere Start  Programs "ools %ctive Directory Directory users and (omputers. 1odrazumeva 1odrazumeva se da će DS%.!S( potražiti potražiti 5peration !asters kontroler domena /+;0 i poslati sve promene i napraviti napraviti zahteve direktno tom računaru. :ora se imati u vidu da kontroler kontroler domena koji ispunjava uslove koji su zadati, ne može proveriti +D broj novog naloga dok ne kontaktira 5peration !aster . 1oruka o ovome se može videti ako se kreira korisnički +D, dok je 5peration !aster nedostupan. nedostupan. U DS%.!S( će će se videti ime kontaktiranog kontrolera domena, na vrhu drveta konzole,a ime kreiranog domena odmah ispod korena konzole, kao što se vidi na slici $.@.

U levom oknu se vidi skup kontejnera i organizacionih jedinica koje su automatski kreirane sa domenom= 1uiltin> (omputers> Domain (ontrollers> (ontrollers> 8oreighnSe 8oreighnSecurityPrincipals curityPrincipals i =sers. Kao i kod svih aplikacija sa konzolom klikne se na objekat u drvetu konzole /levo0, da bi se njegov sadržaj i informacije videli u detaljnom oknu /desno0. Kontejneri =sers i (omputers su podrazumevana mesta u koja se stavljaju korisnički, grupni i računarski nalozi, što ne znači da se novi korisnici moraju tu smeštati jer po potrebi se mogu premeštati u nove organizacione organizacione celine. ovi korisnički nalog se može stavitti u bilo koju organizacionu jedinicu, čak i direktno u 'domen( kontejner. 1uiltin je kontejner za one specijalne, ugra[ene, lokalne grupe, kao što su %dministrators, %ccount 5perators, 0uests i =sers, koje postoje na svakom ;indo??@ kontrolere domena. &vde se nalozi nalaze kada se kreira D). Kao i nalozi iz kontejnera (omputers i D) nalozi se mogu premeštati u druge organizacione organizacione jedinice. 8oreighnSecurityP 8oreighnSecurityPrincipals rincipals je podrazumevani kontejner za objekte iz pouzdanih spoljnih domena /trusted0. )a bi se napravilo nešto novo, selektuje se objekat u kojem se želi nalaziti to novo, i zatim se odabere New, iz menija %ction, ili desnim tasterom se izabere New iz Properties Properties kontekstualnog menija. Kao što se vidi na slici $., može se kreirati deljena fascikla, korisnički nalog, štampač, organizaciona organizaciona jedinica, grupni nalog, kontakt ili računarski nalog. vaki od ovih izbora pokreće odgovarajućeg čarobnjaka, kojim OV


se pravi objekat. U svakom slučaju, da bi se popunili svi detalji, posle kreiranja objekta treba se vratiti i Properties0. editovati svojstva tog objekta /desnim tasterom na objekat i Properties )esni klik na objekat otvara kontekstualni kontekstualni meni. 1rikazane mogućnosti se menjaju u zavisnosti od objekta na koji je kliknuto desnim tasterom. Ukoliko se klikne desnim tasterom na korisnički nalog, može se primetiti da postoje opcije za onemogućavanje naloga, resetovanje resetovanje lozinke, ili pak desni klik na !anage otvara (5!P!0!".!S( koji računarski nalog daje opcije kao što su !ove i !anage / !anage koji je povezan sa selektovanim računarom0. računarom0.

$.@ '"ra5eni nalozi4 Administrator i 3uest Kao što je već pomenuto kada je napravljen novi domen, kreirana su i dva naloga, %dministrator i i 0uest . alog %dministrator je je nalog koji ima potpunu vlast nad računarom, ili domenom u zavisnosti od konteksta. alog %dministrator se se ne može obrisati, ali mu se može promeniti ime. alogu %dministrator je je dodeljena lozinka kada je instaliran ;indo??@, a zatim i ponovo kada je, radi kreiranja domena pokrenut D(P75!5.)R) . 1rvo su lokalni Ddministratorski nalog i njegova lozinka, a onda pri kreiranju domena, su novi Ddministratorski Ddministratorski nalog i lozinka zamenili postojeći. &vu lozinku treba čuvati jer ne postoji način da se povrati. )rugi nalog je 0uest / /gost0. 0uest znači znači da svako ko nema nalog na domenu može pristupiti. 1odrazumeva 1odrazumeva se da je ovaj nalog onemogućen i tako bi trebalo i da ostane. Kod =nix operativnog sistema se može prijaviti sa korisničkim imenom 0uest i i praznom lozinkom, s tim što je j e nalog dosta ograničen po pitanju stvari koje može može da uradi. 1retpostavimo da neko pokušava da pristupi deljenom štampaču na serveru, ili domenu na kojem je omogućen 0uest nalog. nalog. tudent se na svoju lokalnu mašinu loguje kao student sa lozinkom studenti. Fak i bez naloga na serveru, ili u domenu, on može da radi na svom lokalnom računaru. ;indo
$. 6reiranje novo" korisni%ko" korisni%ko" nalo"a )a bi se kreirao korisnički nalog, u DS%.!S( selektuje selektuje se kontejner =sers /ili neki drugi kontejner2organizaciona kontejner2organizaciona jedinica, gde se želi smestiti nalog0, zatim se iz menija %ction /slika $.0 izabere New=ser . 1ojavljuje se čarobnjak, sa okvirom za dijalog praikazanim na slici $.$. 1opunjavaju se polja 8irst Name /ime0, 4ast Name /prezime0 i 8ull Name /puno ime0. 1otom se unosi korisničko logon ime /npr. student0 i izabere se =niversal Principal Name /&/0 sufiks, koji će se dodavati korisničkom imenu u trenutku logovanja. =PN sufiks sufiks je obično DNS ime ime domena i ne može se izabrati ništa osim podrazumevanog podrazumevanog imena domena domena /G" u ovom slučaju0. slučaju0. =PN imena imena su pravljena prema e%mail imenima, znači sa ^ simbolom. =PN sufiks sufiks je pointer na domen koji sadrži korisnički nalog, tako da je važan kada se korisnik loguje u okruženju sa više domena.

Korisničko ime u ;indo???2>??@ sistemima mora poštovati sledeća pravila= #

!me mora biti jedinstveno na računaru, za lokalne naloge /ili jedinstveno u domenu0. :e[utim, ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na računaru koji je član domena, a nije kontroler, što je činjenica koja unosi veliku konfuziju, jer je reč o potpuno različitim entitetima. OA




>

Korisničko ime ne može biti isto kao ime grupe na lokalnom računaru, za lokalni nalog /ni isto kao ime grupe u domenu0. @ Korisničko ime može biti do >? karaktera, malim, ili velikim slovima, ili u kombinaciji. 



#



)a bi se izbegla i zbegla konfuzija sa specijalnim karakterima sintakse, korisničko ime ne sme sadržati =

'X2ST=_`,PJ # !me može sadržati razmake i tačke, ali se ne može u potpunosti sastojati od tačaka i razmaka. "reba izbegavati izbegavati razmake jer se u tom slučaju ta imena moraju stavljati me[u znake navoda u slučaju pisanja skriptova, ili izdavanja komandi sa komandne linije. 

Kada se popune sva polja o korisničkom imenu izabere se Next . U narednom ekranu prikazanom na slici $.R, zadaje se lozinka za korisnički nalog i potvr[uje se. ijedna od opcija naloga nije potvr[ena unapred, pa nije loše izabrati =ser must change password on Next logon /korisnik mora promeniti lozinku prilikom sledećeg logovanja0. logovanja0. &pcije lozinke lozinke i naloga sumirane sumirane su u tabeli tabeli $.#.

@a)ela (.1B &pcije lozinke i naloga pri kreiranju novog korisničkog naloga &pcija &pis =ser must change password 1rimorava korisnika da promeni lozinku sledeći put kada se prijavi. on next logon /korisnik mora promeniti lozinku prilikom sledećeg logovanja0 =ser cannot change password Dko je potvr[eno, sprečava korisnika da promeni lozinku za nalog. / korisnik ne može da menja lozinku0 Password never expires expires Dko je potvr[eno, korisnički nalog ignoriše politiku isticanja roka /lozinci nikad ne ističe rok lozinke. &vo je korisno za naloge koji pokreću servise i naloge za koje trajanja0 želite stalnu lozinku /na primer 0uest 0. 0. %ccount is disabled disabled /nalog /nalog je onemogućen0

Dko je potvr[eno, nalog je onemogućen i niko ne može da se loguje na njega, dok se ne omogući /nalog nije uklonjen iz baze podataka0. &vo je korisno za naloge koji se koriste kao šabloni i za nove korisničke naloge koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje neće početi da rade još neko vreme.

1oslednji ekran ovog (reate New 5bject čarobnjaka, čarobnjaka, prikazan na slici $.V, jednostavno potvr[uje sve informacije koje su date, uključujući kontejner2organizacionu jedinicu gde će se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Klikne se na 8inish i korisnički nalog je kreiran.

$..# Svojstva korisni%ki7 nalo"a )a bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisničkog naloga i vidi se nekoliko opcija u kontekstualnom meniju, prikazanom na slici $.A. &davde se brzo može kopirati nalog, OO


upravljati članstvom u grupi, onemogućiti ili omogućiti nalog, resetovati korisničku lozinku, premestiti nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati mail. U ovom meniju se može izabrati brisanje naloga i promena imena. !z kontekstualnog naloga se izabere Properties, da bi se otvorile sve informacije o korisničkom nalogu. a kartici 0eneral , prikazanoj na slici $.O, može se dodati opis korisničkog naloga, upisati ime odseka u školi, studijske grupe itd, dodati brojevi telefona, e%mail adresa, čak i adresa
$..> Parametri nalo"a Ukoliko je potrebno promeniti korisnikovo logon ime, ili =PN sufiks, ide se na karticu %ccount /slika $.##0. a ovom mestu može se odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slično. 1odrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana />2V0, ali može se izabrati dugme 4ogon -ours, kako bi se zadali odre[eni sati i dani kada je dozvoljeno logovanje /slika $.##0. 1odrazumeva se da korisnik neće biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad, ali postoji parametar kojim se i ovo može postići. 1arametar se zove %utomatically 4og 5ff =sers hen 4ogon -our )xpire /automatski izloguj korisnika kada isteknu logon sati0 i nalazi se u 0roup Policy 5bject )ditor %u, pod (omputer (onfiguration@indows Settings@ Security Settings@ 4ocal Polices@Security 5ptions.

1odrazumeva se da korisnici svake radne stanice mogu da se loguju na domen, ali logon radne stanice se mogu zadati Net1+5S imenom /slika $.#@0. !pak, da bi se ovo moglo nametnuti, mora se koristiti Net1+5S na mreži. Dko se ponovo baci pogled na karticu %ccounts /slika $.##0, može se primetiti polje za potvrdu %ccounts is locked 5ut /nalog je zaključan0. Dko je zaključavanje naloga posledica loših pokušaja logovanja /što se može konfigurisati raznim Policy alatima0, polje će biti potvr[eno i dostupno. Ukoliko se želi da se nalog zaključa ručno potrebno je samo kliknuti na znak potvrde. U dnu kartice %ccounts vidi se parmetar za rok trajanja naloga. 1odrazumeva se da nalog nikada ne zastareva, ali ako je ova opcija omogućena, podrazumevani interval je šest nedelja. &pcija =ser must change Password at Next 4ogon je sama po sebi jasna. &pcija Store Password 7eversible )ncryption /sačuvaj reverzibilno šifrovanje lozinke0 se koristi za ;indoA%bit0 itd. Banimljivo je da se korisnikova lozinka ne može resetovati na kartici %ccounts. Kako bi se lozinka resetovala, zatvori se lista sa svojstvima naloga, i u okviru sa detaljima DS%.!S( klikne se desnim tasterom na korisničko ime. !zabere se opcija resetovanja lozinke, a onda se može uneti i potvrditi nova lozinka kao što se vidi na slici $.#. "u je i zgodno polje za potvrdu koje korisnika primorava da lozinku promeni pri sledećem logovanju.

$..@ 'P u imenu 3ore je rečeno da postoje dva tipa korisnikovog logon imena, što se može primetiti na slici $.$. ;indo??@ ime V"S@dule. U verzijama pre%>??? operativnih #??


sistema, korisnička imena su se povinovala konvenciji +!)7%T=N%7%@korisniBkoime> ili +!)D5!)N%@korisniBkoime, ako je nalog korisnika bio u domenu /činjenica koje većina korisnika nije bila svesna0. Korisnička imena su, u ;indo??@, zasnovana na !nternet standardu /I85 A>>0 SOT, Standard for the 8ormat of %7P% +nternet "ext !essage /tandard za format DI1D !nternet tekstualne poruke0, što u prevodu znači da ;indo
$.. *nformacije o profilu Kartica Profile, prikazana na slici $.#$, je mesto gde se zadaje putanja korisničkog profila, logon skripta i osnovna /home0 fascikla. &ve opcije su većinom za klijente niskog nivoa / do7nlevel clients0, tj. za ;indo??? klijente. &vi parametri se mogu zadati i uz 0roup Policy parametre. 1arametri korisnikovog radnog okruženja, od sadržaja Start !enu%ja do šeme boja i orijentacije miša, se mogu čuvati na mreži, pa se korisnik može prijaviti sa bilo kog sistema i videti istu radnu površinu. U tu svrhu se može specificirati deljena mrežna lokacija. &vo je zgodno ako treba korisnika /ili grupu0 primorati da zadržava iste parametre sve vreme. "o se zove lutajui profil /roaming proile0. Dko je korisnik prisiljen da učita profil i ne može se logovati bez njega, onda je to obaveujui profil /mandatorF proile0, ili deljeni obaveujui profil ako je više korisnika vezano za njega. 3rupna načela ;indo
4ogon ili login skript je onaj koji se izvršava u toku logovanja da bi se konfigurisalo korisnikovo okruženje i dodelili mrežni resursi, kao što su mapirani drajvovi i štampači. ;indoome older0, tako[e, poznata i kao osnovni direktorijum /home directorF0, je fascikla koja je dodeljenja korisniku za privatnu upotrebu. !ako aplikacije mogu imati svoje podrazumevane fascikle za pamćenje i otvaranje fajlova, na komandnoj liniji će osnovna fascikla biti i podrazumevana radna fascikla za korisnika. :oguće je specificirati lokalnu putanju za korisnikovu osnovnu fasciklu. "reba odabrati opciju (onnect i odrediti mrežnju putanju, poštujući =N( konverziju XXimeraBunara@imeservera@imedirektorijuma . Ba ime fascikle se mogu koristiti i promenljive, 'JkorisniBkoimeJK, kako bi se naznačilo da je ime osnovne fascikle isto kao i korisnički +D. Kada se za korisnika specificira putanja osnovne fascikle, ako deoba na mreži već postoji i ako postoje prava za pisanjem u njoj, ;indo
#?#


administratorima štedi mnogo vremena. ve ovo iziskuje mnogo prostora na disku. 1ostoji mogućnost podešavanja posebne particije za korisnikove direktorijume i time se ograničava problem na tu particiju, pa da se zatim pokreću skriptovi za čišćenje diska. ;indo
$..$ 8lanstvo u "rupama Kako bi se korisniku odredilo članstvo u grupi, otvori se kartica !ember 5f . Kao što se vidi na slici $.#R, podrazmeva se da je novi korisnik član grupe Domain =sers. )esna kolona, %ctive Directory 8older /fascikla Dktivnog direktorijuma0, govori o putanji do kontejnera ili 5= grupe. Kako bi se korisnik dodao drugoj grupi, izabere se %dd , a zatim se ukuca ime grupe u koju treba premestiti korisnika. /slika $.#V0. "reba iskoristiti opciju (heck Names za potvrdu da li su imena važeća. !zabere se 5A . Ba uklanjanje korisnika iz grupe, upotrebljava se dugme 7emove, na kartici !emeber 5f .

$.$ 'pravljanje nalozima )o sada je bilo reči o tome kako promeniti jedan nalog, a sada će biti reči o tome kako promeniti nekoliko naloga istovremeno. U DS%.!S( više naloga se selektuju u okviru sa detaljima, tako što se drži taster Shift i strelica nadole, ili se drži taster (trl dok se klikće levim tasterom miša. Batim dok su ti nalozi selektovani , desnim tasterom se klikne kako bi se video kontekstualni meni. Kao što se vidi na slici $.#A, mogu se izabrati svi i premestiti u drugi kontejner ili 5= , da se dodaju grupi, da se onemoguće ili da se omoguće nalozi. "ako[e, je moguće svima poslati mail, pod pretpostavkom da za te naloge postoje specificirane e%mail adrese. :oguće je napraviti i šablon za nalog i kopirati ga kako bi se kreirali korisnici sa sličnim parametrima. vojstva koja se kopiraju uključuju parametre naloga /kao što je Password Never )xpires 0, članstvo u grupi, rok isteka naloga /ukoliko je zadat0 i =PN sufiks. !nformacije o profilu /osnovni direktorijum, putanja korisničkog profila i logon script 0 se, tako[e, kopiraju, a ako je korišćena promenljiva 'JkorisniBkoimeJK za zadavanje korisničke osnovne fascikle šablona, ona će se automatski kreirati za nove korisnike, kada se nalog kopira.

)odeljivanje korisnika grupama olakšava davanje kako prava za izvršavanje zadataka, tako i dozvola za pristup resursima kao što su štampači i mrežne fascikle. U ovim nastojanjima mogu pomoći nekoliko ugra[enih grupa, sa ugra[enim pravilima. Flanovima grupa koje je korisnik sam kreirao, može biti data mogućnost da administriraju druge grupe, ili objekte, čak i cele organizacione jedinice. 1ovrh svega, grupe mogu da sadrže računare i kontakte, kao i korisnike drugih grupa. :ogu se koristiti i kao e%mail distribucione liste. Bbog toga je važno da se razumeju različiti tipovi grupa koji postoje u ;indo??@ i kako raditi sa njima, kako bi se imala kontrola, kako bi se davao pristup resursima i konfigurisala prava.

$.$.# 6reiranje "rupa )a bi se napravila nova grupa u =sers and (omputers Dktivnog direktorijuma, do[e se do kontejnera u koji se želi smestiti grupa. 3rupe se mogu kreirati i korenu domena, u ugra[enom kontejneru, kao što su =sers, ili u organizacionoj jedinici. )ok je kontejner istaknut, u meniju %ction izabere se New, a zatim 0roup /slika $.#O0. !me grupe neka bude Studenti, ukoliko će se ime nižeg nivoa razlikovati treba uneti i njega, zatim se #?>


izabere oblast rada grupe i njen tip, što se može videti na slici $.>?. 1odrazumeva se da je delokrug 0lobal , a tip Security. 1otom se izabere 5A , kako bi se kreirala grupa u selektovanom kontejneru. )a bi se popunile neke informacije o grupama, potrebno je pronaći željenu grupu /onu koju je upravo kreirana0 i dva puta kliknuti na nju, kako bi se otvorio njen list sa svojstvima. a kartici 0eneral prikazanoj na slici $.>#, unese se opis i e%mail adresa, ako postoji distribuciona lista za grupu. )a bi se grupa naselila, ide se na karticu !embers i izabere se %dd , kao što se može videti na slici $.>>.

;indo@0.

$.$.> Tipovi "rupa Kada se u ;indo???2>??@. )istribuciona grupa nije sigurnosna. &ne nemaju S+D i ne pojavljuju se u %(4%u. "o su grupe sa adresama primalaca. 6akše je adresirati mail na, na primer, šefovi odseka škole, nego svakog od šefa selektovati posebno iz liste. 1retpostavlja se da su unete e%mail adrese korisnika. igurnosne grupe u Dktivnom direktorijumu su, tako[e, nezvanične distribucione liste. 1otrebno je samo kliknuti desnim tasterom ime grupe u DS%.!S( i pojaviće se opcija slanja maila članovima grupe, kao što se vidi opcija slanja maila nalogu korisnika, kada se na njega kilkne desnim tasterom. &vo će izbaciti program za #?@


rukovanje poštom i sistem će pokušati da poštu pošalje na e%mail adresu dobijenu iz informacija naloga. 1retpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru škole i svi oni su smešteni u sigurnosnu grupu %dministracija. e samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi članovima grupe pod pretpostavkom da je za svakog korisnika popunjena e%mail informacija.

$.$.@ 0blast rada "rupa4 lokalne, "lobalne i univerzalne 3lavna pitanja u vezi lokalnih, globalnih i univerzalnih grupa su gde se prepoznaju i šta mogu da sadrže. 1ošto se koriste za dodeljivanje prava i dozvola, potrebno je znati gde članstvo u toj grupi nešto znači ili gde se prihvata. 1ošto grupe treba ugneždavati radi olakšanja davanja prava i dozvola, treba znati pravila i preporuke koje važe za ugneždavanje. &bične lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i ;indo

3lobalne i univerzalne grupe mogu da spajaju domene, čak i šume. )omeni i računari iz različitih šuma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo može postići ručno stvorenim odnosima poverenja. )akle osnovna pravila su= # 6okalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. )ruge grupe treba stavljati u lokalne i tako zadržati malo članstvo. > 3lobalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima će biti potrebne iste privilegije, ili pristup istim resursima. &ve globalne grupe treba stavljati u lokalalne, koje imaju željene privilegije i prava pristupa. @ Univerzalne grupe se koriste onako kako odgovara Ddministratoru, onda kada svi domeni budu na ;indo???2>??@ platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe /suprotno korisničkim nalozima0 unutar univerzalnih grupa.  !ako je moguće, nije preporučljivo ugneždavati grupe zbog značajnog pada performansi. 







a kraju treba sumirati i pravila ugneždavanja na ;indo??? do >??@ servera i radnih stanica0 mogu da sadrže= # 3rupe lokalnih domena, univerzalne iz kućnog domena > 3lobalne i univerzalne iz ;indo
6okalne grupe domena /na kontroleru domena0 mogu da sadrže= # Korisničke naloge iz bilo kog domena šume > Univerzalne i globalne iz bilo kog domena šume @ 6okalne, samo iz istog domena   

3lobalne grupe mogu da sadrže= # Korisnike iz istog domena > )ruge globalne grupe iz istog domena  

Univerzalne grupe mogu da sadrže= # Korisničke naloge iz bilo kog domena šume > )ruge univerzalne grupe @ 3lobalne grupe iz bilo kog domena šume   

$.$. .ad sa si"urnosnim "rupama Geoma je važno unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo članova /kao što su lokalne i univerzalne0 i lokalnim grupama se dodele prava pri instalaciji resursa, od tog trenutka treba samo da se premešta članstvo u globalnim i univerzalnim grupama. "ako se štedi vreme i pojednostavljuje dodeljivanje dozvola za objekte. eki dobri primeri ugneždavanja se mogu precrtati iz šema ugneždavanja koje se automatski postavljaju u domenu. *edan je ugneždavanje administratorskih grupa. %dministrator nalog na ;indo prikazuje članstvo lokalne grupe domena %dministrators, za domen vts.ni.edu.yu. Ukupan efekat ovog ugneždavanja je da je član Domain %dmins, ili )nterprise %dmins grupe lokalni administrator za svaki računar, člana domena. &vakvo podrazumevano ponašanje se može zaobići tako što se Domain %dmins, ili )nterprise %dmins ukloni iz lokalne grupe na računaru. Dli to nije preporuka. Flanstvo grupe Domain %dmins, ili )nterprise %dmins u lokalnoj %dministratorskoj grupi može se zameniti njihovim #?$


%dmins ili (S članstvom u specifičnim globalnim grupama, administratorskog tipa, kao što su 8% %dmins %dmins.

)rugi primer za ugneždavanje grupa je članstvo lokalne =sers grupe. a članu domena, ili kontroleru =sers. Kada se u domenu kreira novi korisnički nalog, novi domena, =sers automatski uključuje Domain =sers korisnik se automatski pridružuje Domain =sers grupi. Cfekat ovoga je da se korisničkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaki računar r ačunar,, člana domena. Korisnički nalog ide u globalnu grupu Domain =sers, a globalna grupa Domain =sers u lokalnu grupu =sers, kojoj su dodeljena lokalna prava i dozvole na sistemu. ije loše pomenuti pomenuti i par ostalih ugneždavanja. ugneždavanja. Domain 0uests je automatski član lokalne grupe 0uests na svim računarima, članovima domena, a )nterprise %dmins /univerzalna grupa0 je član lokalne %dministrators grupe grupe.

$.$.$ '"ra9ene lokalne "rupe domena vi ugra[eni korisnički nalozi, podrazumevano su smešteni u kontejner =sers. U kontejneru =sers postoje i unapred definisane globalne globalne grupe, ali neke od njih su smeštene smeštene u kontejner kontejner 1uilt+n. Kao što se vidi na slici $.>$, grupe koje su u 1uilt+n kontejneru su označene kao 1uiltin 4ocal , a one koje su u =sers kontejneru, slika $.>R, su Domain 4ocal , 0lobal , ili =niversal . ada se postavlja pitanje u čemu je razlikaJ 6okalne grupe su specifične za računar, a globalne se mogu prihvatiti u domenu, domenu, ili u domenu od poverenja, poverenja, kao što je gore već rečeno. rečeno. Ugra[ene lokalne lokalne grupe, radi administracije, imaju unapred odre[ena prava i dozvole. Flanstvo u ovoj grupi korisniku daje svu moć i mogućnosti koje su date grupi. &vo je način da se brzo dodele dobro definisane administratorske uloge, umesto njihovog pravljenja od početka. a primer, Server 5perators imaju skup uro[enih prava koja im 5perators imaju pravo da zaštitno omogućavaju omogućavaju da prave deljene fajlove i upravljaju servisima. 1ackup 5perators kopiraju fajlove i direktorijume, čak i ako nemaju dozvolu da ih čitaju, ili menjaju. "abela "abela $.> daje spisak ugra[enih lokalnih grupa domena i njihove specijalne sposobnosti. Ugra[ene lokalne grupe su zajedničke za sve ;indo
@a)ela (.2B Ugra[ene grupe i njihova prava Korisnička prava ErupaB Administrators 6okalno logovanje 1ristup ovom računaru sa mreže 1reuzimanje vlasništva nad fajlovima Upravljanje revizijama i bezbednosnim bezbednosnim logom 1romena sistemskog vremena &baranje sistema 8orsirano 8orsirano obaranje obaranje sa udalje udaljenog nog sistema sistema 1ovratak /restore0 fajlova i direktorijuma )odavanj )oda vanjee i uklanja uklanjanje nje drajver drajveraa ure[aja ure[aja )avanje višeg prioriteta procesu Baštitno kopiranje /backup0 fajlova i direktorijuma ErupaB Server 0perators 0perators

Flanovi mogu da Kreiraju i upravljaju korisničkim nalozima Kreiraju i upravljaju globalnim nalozima )odeljuju prava korisnicima Upravljaju načelima revizije i bezbednosti Baključavaju konzole servera &tključaju konzole 8ormatira 8ormatiraju ju hard hard disk disk servera servera )rže lokalne profile )ele i prestaju prestaju da da dele dele direktorij direktorijum um )ele i prestaju da dele štampač Kreiraju zajedničke programske grupe

#?R


6okalno logovanje 1romena sistema vremena &baranje sistema 8orsirano 8orsirano obaranje obaranje sa udaljeno udaljenogg sistem sistemaa Baštitno kopiranje /backup 0 fajlova i direktorijuma 1ovratak /restore0 fajlova i direktorijuma ErupaB Account 0perators 0perators 6okalno logovanje &baranje sistema ErupaB Print 0perators 0perators 6okalno logovanje &baranje sistema ErupaB )ackup 0perators 0perators 6okalno logovanje &baranje sistema Baštitno kopiranje /backup 0 fajlova i direktorijuma 1ovratak /restore0 fajlova i direktorijuma ErupaB Everyone 1ristup ovom računaru sa mreže ErupaB 'sers /ema0 ErupaB Euests /ema0 ErupaB .eplicator /ema0

Baključavaju server 1relaženje preko toga što je server zaključan 8ormatiranje hard diska servera Kreiraju Kreiraju zajedničk zajedničkee grupe grupe )rže lokalni profil )ele i prestaju da dele direktorijum )ele i prestaju da dele štampač Kreiraju i upravljaju korisničkim nalozima, globalnim grupama i lokalnim grupama )ele i prestaju da dele štampač )rže lokalni profil )ele i prestaju da dele štampač )rže lokalni profil

Baključavaju server Kreiraju i upravljaju lokalnim grupama /ema0 /ema0

Administrators. Ddministratori Ddministratori imaju skoro sva ugra[ena prava, pa su članovi u suštini, svemogući u vezi administracije sistema. 5perators imaju pravo da zaštitno kopiraju i vraćaju fajlove, bez )ackup operators operators. Flanovi 1ackup 5perators obzira na to da li na drugi način mogu da pristupaju tim fajlovima. Server 0perators 0perators . Server 5perators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. Flanovi mogu da kreiraju, upravljaju i brišu deljene štampače na serverima, kreiraju, upravljaju i brišu deljene mrežne mrežne resurse na serverima, serverima, zaštitno kopiraju kopiraju i vraćaju fajlove na servere, formatiraju formatiraju hard diskove servera, zaključavaju zaključavaju i otključavaju servere, otključavaju fajlove i menjaju sistemsko vreme. &sim toga, Server 5perators mogu na mrežu da se loguju sa servera domena, kao i da obaraju servere. 5perators je dozvoljeno da u domenu kreiraju Accounts 0perators 0perators. Flanovima lokalne grupe %ccount 5perators korisničke naloge i grupe i da menjaju i brišu većinu korisničkih grupa i naloga iz domena. 5perators ne može da menja ni briše sledeće grupe= %dministrators> Domain %dministrators> Domain %dmins %dmins, Flan %ccount 5perators %ccount 5perators> 5perators> 1ackup 1ackup 5perators> Print Print 5perators i Server 5perators . lično, članovi ove grupe ne mogu menjati, ni brisati korisničke naloge administratora. e mogu administrirati bezbednosna načela, ali mogu dodavati računare u domen, mogu se logovati na servere i obarati ih. Print 0perators 0perators. Flanovi ove grupe mogu kreirati, upravljati i brisati štampače koje deli server. &sim toga, mogu da se loguju na server i da obaraju server. Professional sistemima Po2er 'sers 'sers . &va grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. Flanovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom =sers> Power =sers i 0uests, kao i administrirati ostale korisnike i grupe koji su kreirali. 'sers. Korisnici mogu da pokreću aplikacije /ali ne i da ih instaliraju0. &ni mogu i da obore i zaključaju #?V


radnu stanicu. Dko korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. 3uests. 3osti mogu da se loguju i pokreću aplikacije. :ogu i da obore sistem, a u svakom drugom pogledu imaju veća veća ograničenja ograničenja nego =sers. a primer, ne mogu da drže lokalni profil. .eplicator . &va grupa je strogo za replikaciju direktorijuma. Korisnički nalog se koristi za pokretanje 7eplicator servisa i trebalo bi da je jedini j edini član grupe. U kontejneru =sers se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe, kao deo konfiguracije odre[enog servisa. jihova namena može da bude da se korisnicima omogući D-(P =sers, ili +NS =sers0, ili da obezbede kontejner grupe za pristup odre[enom servisu servisu /kao D-(P =sers %dministrators i DNS %dmins %dmins. &ve i druge predefinisane administraciju servisa, kao u slučaju D-(P %dministrators grupe mogu imati specijalna prava ili dozvole za odre[ene stvari, ali nemaju široka prava i dozvole kao %dministratori, Server 5perateri . =sres ;indo??@ ima nekoliko ugra[enih globalnih grupa, izme[u ostalih Domain %dmins, Domain =sres i Domain 0uests. &ne će se pojaviti samo na kontrolerima domena. "abela "abela $.@ opisuje najvažnije ugra[ene globalne grupe.

@a)ela (.!B Ugra[ene globalne grupe 3rupa Domain %dmins

Domain =sers

Domain 0uests

+ta radi 1ostavljanjem korisničkog naloga u ovu grupu, korisniku se dodeljuju mogućnosti %dmins mogu da administriraju kućni domen, radne stanice administratora. Flanovi Domain %dmins iz domena i svaki pouzdani domen koji u svoju lokalnu Ddministratorsku grupu ima dodatu Domain %dmins globalnu grupu domena. 1odrazumeva se da je Domain %dmins %dmins grupa član i %dministrators lokalne grupe domena i Ddministratorskih lokalnih grupa svake ;indo
:1; 6orisni%ka prava 1ristup korisnika mrežnim resursima, resursima, fajlovima, direktorijumima, ure[ajima, ure[ajima, u ;indo??@ server i da se loguje loguje direktno na njega. 1itanje ':ogu li lokalno da se logujem na serverJ( je primer prava. Korisnička prava se mogu dodeliti odvojeno jednom korisniku, ali iz bezbednosnih bezbednosnih razloga, bolje je korisnika smestiti u grupu i definisati prava koja su dodeljena grupi. )ozvole se primenjuju na odre[ene objekte kao što su fajlovi, direktorijumi, i štampači. ')a li mogu da #?A


menjam fajlove u profesori direktorijumu na erveruJ( je primer dozvole. )ozvole regulišu koji korisnici mogu imati pristup objektu i na koji način.

1ravilo je da korisnička prava imaju prednost nad dozvolama za objekat. Uzmimo za primer korisnika koji je član ugra[ene 1ackup 5perators grupe. a temelju članstva u toj grupi korisnik ima pravo da zaštitno kopira server. &vo zahteva mogućnost gledanja i čitanja svih direktorijuma i fajlova na serverima, uključujući i one čiji su kreatori i vlasnici izričito ukinuli 7ead dozvolu članovima 1ackup 5perators grupe_ tako da pravo da se izvodi zaštitno kopiranje gazi dozvole date za fajlove i direktorijume. 1ravo 1ackup 5perators grupe važi samo u saradnji sa 1ackup rutinom_ oni ne mogu tek tako da otvaraju fajlove na serveru i čitaju njihov sadržaj. "ako da ne treba brinuti za privatnost. 3rupe ugra[ene u ;indo??@ već imaju neka prava koja su im dodeljena, ali postoji mogućnost kreiranja novih grupa i dodeljivanja skupa korisničkih prava istim po sopstvenoj želji. )a bi se videla ili menjala pridružena lokalna prava za korisnika ili grupu koji nisu na kontroleru domena, treba otvoriti alat 4ocal Security Policy, iz %dministrative "ools grupe, ili se može upotrebiti alat Domain (ontroller Security Policy, za kontroler domena. Batim treba otvoriti 4ocal Policies6=ser 7ights %ssignment . pisak prava i korisnika ili grupa kojima su prava dodeljena prikazaće se u oknu sa detaljima desno /slika $.>V0. )a bi se korisniku ili grupi dodalo ili oduzelo pravo, treba dva puta kliknuti pravo prikazano u oknu sa detaljima ili izabrati pravo klikom desnog tastera i biranjem opcije Security. a slici $.>A vide se Security informacije o pravu na promenu sistemskog vremena. )a bi se pravo ukinulo grupi, treba istaknuti ime grupe i izabrati 7emove.

)a bi se grupa ili korisnik dodali listi treba izabrati %dd i u okviru za dijalog Select =sers or 0roups , otkucati ime ili izabrati 1rowse i selektovati ga. "abele $. prikazuje korisnička prava sa opisima.

@a)ela (.%B Korisnička lokalna prava Korisničko pravo %ccess this (omputer from the Network %ct as a part of the 5perating System %dd workstations to Domain 1ackup 8iles and Directories

&pis 1ovezivanje na računar preko mreže

1ypass traverse checking

1reprečiti preko drveta direktorijuma, čak, iako korisnik nema druga prava pristupa na tom direktorijumu

(hange the system time (reate a pagefile

1ostavljanje vremena za interni sat računara Kreiranje pagefile%a

(reate a token object

Kreriranje tokena za pristup. amo 4ocal Security

1onašati se kao deo pouzdanog operativnog sistema_ eki podsistemi imaju ovu privilegiju Učiniti računare članovima domena Baštitno kopirati / 1ackup9 fajlove i direktorijume. Kao što je već pomenute ovo pravilo potiskuje dozvole za fajlove i direktorijume

(reate permanent shared objects Debug programs

%uthority bi trebalo da ima ovu privilegiju Kreiranje specijalnih stalnih objekata )ebagovanje aplikacija

#?O


Deny access to this computer from the network

uprotno pravu %ccess this computer from the network _ posebno ukida prava korisnicima2grupama koji bi ih normalno imali

Deny 4ogon as a batch job Deny 4ogon as a service Deny 4ogon 4ocally )nable computer and user acounts to be trusted for delagation 8orce shutdown from a remote system 0enerate security audits +ncrease Cuotas

Ukida pravo na logovanje kao batch posao Ukida pravo na logovanje kao servis Ukida pravo na lokalno logovanje &dre[uje naloge koji će biti delegirani

+ncrease scheduling priority 4oad and unload device drivers 4ock pages in memory

1odiže prioritet procesu )odaje i uklanja drajvere iz sistema Baključava stranice memorije, da bi sprečio njihovo izmeštanje /na primer, u pagefile.sys0 6oguje se na sistem kao batch Cueue usluga !zvršava usluge bezbednosi /korisnik koji vrši replikaciju se loguje kao servis0 6okalno se loguje na sam server &dre[uje koji tipovi doga[aja i pristupa resursima treba da se prate, omogućava pregled i pražnjenje security log %a

4ogon as a batch job 4ogon as a service 4ogon localy !anage auditing and security log

1rmorava računar da se obori sa udaljenog sistema 3eneriše zapise audit loga 1ovećava kvote objekata /svaki objekat ima dodeljenu kvotu0

!odify firmware environment values Profile single process

:enja sistemske promenljive okruženja /ne promenljive korisničkog okruženja0 Koristi mogućnosti profilisanja ;indo
Profile system performance

Koristi mogućnosti profilisanja ;indo
7emove computer from dotcking station 7eplace a process level token 7estore files and directories

1renosivi računar vadi iz njegovog stonog proširenja

Shutdown the system Syncronie directory service data "ake ownership of files or other objects

:enja pristupni token procesa Graća i fajlove i direktorijume. &vo pravo potiskuje dozvole za fajlove i direktorijume &bara ;indo??@ Džurira informacije u Dktivnom direktorijumu 1reuzima vlasništvo nad fajlovima, direktorijumima i drugim objektima, čiji su vlasnici bili drugi korisnici.

:noga prava, kao što su ono na debagovanje programa, ili ono na profilisanje jednog procesa, korisna su samo programerima koji pišu aplikacije koje će se izvršavati pod ;indo
:1< 3roup Policies &rganizacione jedinice /organisation unit 8 O& 0 su logički kontejneri u domenu. &ne mogu da sadrže korisnike, grupe, računare i druge &U, ali samo iz svog kućnog domena. 3lobalne grupe, ili računare iz drugog domena ne mogu se smestiti u &U lokalnog domena. &U su samo za administraciju. Ddministratori mogu da kreiraju i primenjuju grupna načela na &U, a mogu i da delegiraju kontrolu nad &U. !deja je imati delove domena, ali i dalje deliti zajedničke sigurnosne informacije i resurse. 3rupisanje korisnika, grupa i resursa u organizacione jedinice pruža ##?


mogućnost da se načela primenjuju mnogo finije i da se, tako[e lakše odluči ko čime upravlja i do kog nivoa. U čemu se razlikuju &U i kontejneriJ &U jeste kontejner, ali ne samo to. Kontrola nad kontejnerom se može delegirati, ali se na njega ne može primeniti 0roup Policy. 1o čemu se &U razlikuju od grupaJ Korisnik može biti član mnogo grupa, ali samo jedne &U u jednom trenutku. Kao i grupe i &U mogu da sadrže druge &U. !mena grupa se pojavljuju u %(4%ovima, tako da se grupama mogu dodeliti ili ukunuti prava. &U se ne pojavljuju u %(4%ovima, tako da se ne može, na primer svima iz jedne organizacije dodeliti pristup štampaču. a druge strane, ne može se svakome iz sigurnosne grupe pripisati odre[eni skup aplikacija, ali moguće je pripisati neki programski paket celoj organizacionoj jedinici. 1omoću grupnih načela može se obaviti= # &bjavljivanje ili dodeljivanje softverskih paketa korisnicima ili računarima > )odeljivanje Start/up, Shut Down, 4og 5n i 4og 5ff skriptova @ )efinisanje lozinke, zaključavanje i revizija načela za domen  tandardizacija mnogih drugih parametara bezbednosti za udaljene računare parametara koje je ranije bilo moguće konfigurisati editovanjem 7egistra ili korišćenjem alata za konfigurisanje bezbednosti drugih proizvo[ača. eke karakteristike, kao što su mogućnosti nametanja članstva u grupi i konfigurisanja servisa u potpunosti su nove. $ )efinisanje i nametanje parametara za +nternet )xplorer R )efinisanje i nametanje ograničenja za korisničke stone računare V 1reusmeravanje odre[enih fascikli iz korisničkih profila / kao što su Start !enu ili Desktop0 na neku centralnu lokaciju A Konfigurisanje i standardizacija parametara za nove mogućnosti, kao što su offline fascikle, disk Cuote, čak i sam 0roup Policy    

  



3rupna načela se delom čuvaju u Dktivnom direktorijumu a delom u S?SV54 tako da ne treba brinuti o njihovoj replikaciji.

$.V.# 6oncepti 3roup Policy Ddministratori konfigurišu i primenjuju grupna načela tako što grade objekte grupnih naBela /0roup Policy 5bject %0P50. 0P5 su kontejneri za grupe parametara /načela0 koji se mogu primeniti na korisnike i grupe na mreži. &bjekti načela se prave pomoću 0roup Policy 5bject )ditor %a, koji se obično poziva preko kartice 0roup Policy iz DS%.!S( ili DSS+").!S( . !sti 0P5 može da odre[uje skup aplikacija koje treba da se instaliraju na stonim računarima svih korisnika, primeni surovu politiku disk kvota i restrikcija na )xplorer Shell/u i definiše lozinku za ceo domen i politiku zaključavanja naloga. :ože da se napravi jedan sveobuhvatan 0P5 ili više različitih po jedan za svaki tip funkcije. U 0roup Policy 5bject )ditor %u postoje dva glavna čvora, =ser (onfiguration i (omputer (onfiguration. =ser (onfiguration načela se primenjuju na parametre specifične za korisnika, kao što su konfiguracija aplikacije ili preusmeravanje fascikli, a (omputer (onfiguration načela upravljaju parametrima specifičnim za računar, kao što su kvote za diskove, revizije / auditing0 i )vent 4og !anagment . !pak, postoji i prilično preklapanje, pa nije neobično videti isto načelo i u =ser (onfiguration i u (omputer (ongifuration čvorovima. "reba biti spreman na dosta muke za vreme traženja načela koje treba aktivirati i odlučiti da li da se koristi korisničko ili računarsko načelo i imati na umu da se može kreirati načelo koje koristi oba tipa parametara. !sto tako mogu da se kreiraju odvojeni objekti za korisničku i računarsku konfigiraciju. uprotno svom imenu, grupna načela uopšte nisu usmerena na grupe. :ožda se zovu grupna jer je gomila različitih konfiguracionih alata grupisana zajedno u jedan 5bject )ditor . U svakom slučaju, ne mogu se primeniti direktno na grupe, ni korisnike, već samo na sajtove, domene i &U /što !icrosoft skraćuje u termin SD5= 0. Fin dodele 0P5%a sajtu, domenu ili &U zove se povezivanje /linkin" 0. 0P5 može biti povezan i sa lokalnim načelom odre[enog ;indo

druga se periodično osvežavaju. vaki objekat grupnih načela sadrži mnoge moguće parametre za mnoge funkcije_ obično se konfigurišu samo neki od njih, a ostali će biti ostavljani 'neaktivni(. ;indoO. Ddministratori mogu da ga koriste kao što bi koristili i alat 4ocal Security Policy za konfigurisanje parametara naloga /kao što su minimalna dužina lozinke i broj propalih pokušaja logovanja pre zaključavanja naloga0 i podešavanje praćenja / auditing 0.

$.V.> *zrada "rupni7 na%ela )a bi se u DS%.!S( otvorio 0roup Policy 5bject )ditor treba kliknuti desnim tasterom ime domena u korenu konzole i iz menija izabrati Properties. Kako bi se videlo koji 0P5 su povezani na nivou domena ##>


treba preći na karticu 0roup Policy prikazanoj na slici $.@?. Dko do sada nisu kreirana druga načela, videće se samo podrazumevano načelo domena. )a bi se uključilo No 5verride, treba istaknuti načelo i izabrati 5ptions, zatim potvrditi polje No 5verride /slika $.@#0. Kada je ovo polje uključeno, ostala načela, primenjena na donjim nivoima ne mogu nadjačati vrednost ovog načela, čak ni sa 1lock +nheritance. &nemogućavanje načela ne onemogućava i sam objekat. a primer, isto načelo, onemogućeno na nivou domena, teorijski bi moglo da se primeni na nivou sajta, ili 5= . Dko je neka opcija / No 5verride, ili Disabled 0 uključena, postojaće znak pomoću kontekstualnog menija načela. )a bi se video kontekstualni meni, samo treba kliknuti desnim tasterom na načelo. U vts.ni.edu.yu listi sa svojstvima se izabere New> da bi se kreirao novi 0P5. ;indo, prikazuje informacije o izradi i reviziji, kao i opcije za onemogućavanje korisničkog, ili računarskog dela načela. U zavisnosti od načina na koji se podeli domen u organizacione jedinice, može se odlučiti da li će se neka načela kreirati samo sa računarskim parametrima, a neka samo sa parametrima karakterističnim za korisnika. U tom slučaju, ako je neiskorišćeni deo 0P5 onemogućen u potpunosti, primena načela i ažuriranje će se odvijati brže. Bbog toga će ;indo ako takvi postoje. 1ošto potraga za drugim linkovima zahteva vreme i resurse, povezani kontejneri neće biti prikazani sve dok se ne izvrši pretraživanje. Klikne se na dugme 8ind Now, kako bi se pretraga pokrenula. Kartica Security otkriva podrazumevane dozvole za 0P5 /slika $.@@0. !stakne se ime sa vrha, da bi se u donjem delu videle dozvole. :ože se zapaziti da Domain %dmins i )nterprise %dmins imaju dozvole 7ead /čitanje0 i rite /pisanje0, kao i Delete /brisanje0 i (reate (hild 5bjects /izrada podobjekata0, dok %uthenticated =sers imaju samo 7ead i %pply 0roup Policy /primena grupnih načela0. 7ead i rite su neophodni za promenu načela a 7ead i %pply su neophodni primaocu načela. ada se treba vratiti na karticu 0roup Policy. Dko se istakne 0P5 koji je upravo kreiran i izabere dugme =P /gore0 ili Down /dole0, načelo može da se pomeri na gore ili na dole u prozoru. &vo je važna činjenica koju treba znati= ako je na jedan kontejner povezano više 0P5%a, kao što se vidi na slici $.@, oni će se primenjivati od dna ka vrhu, tako da se onaj sa vrha primenjuje poslednji. Bnači da 0P5 koji je na višem mestu liste ima viši prioritet. Dko postoje parametri koji su u konfliktu, više načelo pobe[uje. Kako bi se 0P5 obrisao, ili samo uklonio sa liste, istakne se načelo i izabere se Delete. ;indo

#

)a bi se u Software Settings@Software +nstallation specificirali softverski paketi, otvori se fascikla i izabere se New Package iz %ction menija. &kvir za dijalog 5pen će pitati za lokaciju paketa. Kada se locira i selektuje, onda se konfigurišu njegova svojstva. > )a bi se zadao interval koji može da se pokrene dok korisnik ne promeni lozinku, ide se u (omputer (onfiguration@indows Settings@Security Settings@%ccount Policies@Password Policy> u desnom oknu sa detaljima se klikne dva puta na !aximmum Password %ge /maksimalna starost lozinke0, omogućava se ovaj parametar potvr[ivanjem polja Define this Policy Settings i odre[uje vrednost vremenskog intervala. @ )a bi se podesilo načelo koje ograničava članstvo u grupi, ide se u 7estricted 0roups> pod Security Settings , u (omputer (onfiguration@indows Settings i izaber se %dd 0roup iz %ction !enu/a. &kvir za dijalog traži da se unese grupa, ili da s potraži. Kada se grupa doda spisku u desnom oknu sa detaljima, klikne se dva puta njeno ime kako bi se otvorio okvir za dijalog i daju se imena korisnika koja moraju biti, ili im je dozvoljeno da budu članovi grupe. Flanstvo u grupi se može definisati i za samu grupu.  )a bi se podesilo preusmeravanje fascikle, ide se na =ser (onfiguration@indows Settings@8older 7edirection i izabere se fascikla /na primer, Start !enu0. )esno okno, sa detaljima, biće prazno. Klikne se desnim tasterom u prazan prostor okna /ili se otvori %ction !enu0 i izabere se Properties. 1ojaviće se list sa svojstvima gde se može odrediti lokacija za Start !enu i treba konfigurisati parametre za preusmeravanje. 







1oenta svega ovoga je da 0roup Policy sadrži više različitih čvorova za postizanje različitih zadataka, pa će se procedure za konfigurisanje parametara razlikovati od čvora do čvora i od zadatka do zadatka. ema jednog načina za konfigurisanje parametara. Kada se završi sa konfigurisanjem parametara 0roup Policy, jednostavno se zatvori 0roup Policy prozor. ema opcije Save, ni Save (hanges. 1romene se upisuju u 0P5, kada se izabere 5A , ili %pply za odre[eni parametar i ako korisnik, ni računar neće primetiti promenu sve dok se načelo ne osveži.

$.V.@ Filtriranje "rupno" na%ela ada se treba vratiti na karticu Security, u listu sa svojstvima objekta grupnih načela= otvori se DS%.!S( /ili DSS+").!S( , u zavisnosti od toga gde je link0. Klikne se desnim tasterom kontejner povezan sa 0P5 /u ovom slučaju domen0 i izabere se Properties. !zabere se kartica 0roup Policy i istakne se načelo koje treba filtrirati. !zabere se dugme Properties i ide se na karticu Security /ponovo prikazana na slici $.@A0. ada se vidi %ccess (ontrol 4ist /D560 za objekat načela. Kao što je već istaknuto, Domain %dmins i )nterprise %dmins imaju 7ead i !odify dozvole, a %uthenticated =sers imaju 7ead i 0roup Policy. :ože se desiti da je napravljeno načelo kojim se ograničavaju radne stanice, a ne želi se da se primeni na odre[enu grupu ljudi. 0rupa %uthenticated =sers uključuje sve osim gostiju, tako da se podrazumeva da će se načelo primeniti na sve osim gostiju, pa će čak i Domain %dmins i )nterprise %dmins primiti parametre načela. Kako bi se sprečilo da i Domain %dmins i )nterprise %dmins prime ovo nečelo, mora se u Deny koloni potvrditi polje pored %pply 0roup Policy /slika $.@O0. &nima koji su članovi obe grupe je potreban Deny samo za jednu grupu, ali Deny polje se mora potvrditi za obe grupe, za slučaj da članovi Domain %dmins i )nterprise %dmins nisu isti ljudi. Kako bi se izuzeli ostali od primanja načela, sve ih treba smestiti u sigurnosnu grupu i tu grupu dodati listi. ije dovoljno ne potvrditi polja za dodelu 7ead i %pply 0roup Policy jer korisnici iz specifične sigurnosne grupe su članovi iz %uthenticated =sers, tako da zapravo treba izabrati Deny opciju i za njih. Deny ima prvenstvo u odnosu na %llow. Ukoliko načelo treba filtrirati za odre[eni računar, /ili grupu računara0, primenjuje se ista strategija. )oda se računarski nalog u sigurnosnu grupu, doda se ta grupa u %(4 za objekat načela, zatim se grupi uskrate / Deny0 7ead i %pply 0roup Policy dozvole. 1ostoji alternativa dodavanju sigurnosne grupe u %(4 i u skraćivanju 7ead i %pply dozvole. :oguće je u popunosti ukloniti %uthenticated =sers iz %(4%a, čime se svi sprečavaju od prijema grupnog načela. Batim bi se u %(4 jednostavno dodali ulazi za sigurnosne grupe za koje se želi da prime načelo. !pak, treba biti siguran da im je dodeljeno i 7ead i %pply 0roup Policy. ##


lika $.? prikazuje listu dozvola za blanket Studenti Policy iz koje je uklonjeno %uthenticated =sers i dodata je grupa Studenti. &va strategija je korisna ako se ne želi da se načelo primeni na sve računare u povezanom kontejneru.

VI Povezivanje klijenata na Windows 2003 Server 1ošto su kreirani korisnici i dodeljena prava, potrebno je povezati klijente na server. &vde će se povezati radne stanice sa )&, ;indo
R.# Povezivanje D0S radni7 stanica U ranijim verzijama ;indo??? sistema. 1ostavlja se pitanje zašto je to tako. 1rvi razlog je taj da je !icrosoft )& proglasio za 'nepodržani( operativni sistem. "o znači da ukoliko korisnik traži tehničku pomoć za povezivanje )& radne stanice na ;indo???2>??@ operativni sistem, ostaće uskraćen iste. )rugi razlog za nedostatak )& alatki na ;indo??@ erver 5)%u je što postoje poboljšane verzije metode za instalaciju. U )&%u nije moguće otvoriti 5) drajv, staviti 5) i pokrenuti instalaciju. Umesto toga, potrebno je ubaciti disketu sa drajverima za 5) drajv, instalirati ga, pa tek onda se povezati na izvor instalacije. Uglavnom za priključenje )& radne stanice na ;indo??@ server, potreban je instaliran )& operativni sistem sa najmanje tri komponente= # config.sys koja učitava drajvere za mrežnu karticu > autoxec.bat> ili config.sys koje učitavaju program za upravljanje mrežnim funkcijama @ alatke za rad u komandnoj liniji koje izvršavaju komande na mreži, kao što je N)".)R)   

8okusiraćemo se na treću komponentu, program N)".)R)> tj, na tri glavne funkcije N)" komande. 1rva je 4505N koja klijenta prijavljuje na domen. )a bi se korisnik prijavio na domen sa korisničkim akreditivom koji je već definisan, ukucava se N)" 4505N S"=D)N"+6 D5!%+NIV"S . &vo je, dakle, prijavljivanje sa korisničkim imenom S"=D)N"+ , na domen V"S . Ddresa domena je ime domena nižeg nivoa, a ne novo, puno ime domena vts.ni.edu.yu, jer )& ne prepoznaje ovaj tip imena domena. ledeća funkcija je V+) . N)" V+) je naredba mnogo važnija za )& klijente nego za bilo kog drugog. &vo je zbog toga što )& nema čitač koji bi mogao da prikaže jednostavnu listu resursa na mreži. Umesto toga, resursi se moraju pronaći pomoću naredbe N)" V+) . 1ostoje dva načina za fokusiranje V+) naredbe. 1rvi je domen. a primer, ukucavanje N)" V+) 6D5!%+NIV"S će obezbediti listu servera koji su registroani na V"S domen. !z ove liste, može se usmeriti naredba V+) na odre[eni server sa listom zajedničkih resursa. Ukoliko bi želeli da vidimo sve zajedničke resurse na serveru V"SS)7V)7 trebalo bi da su ukuca N)" V+) @@V"SS)7V)7. ada kada je prona[jen ciljni zajednički resurs, koji je, u stvari, %PPS u domenu V"S , potrebno je povezati se sa njim. U stvari, može se uraditi dosta toga, koristeći programe i štampače putem N)" interfejsa, tako da je potrebna i oznaka za drajv ili port na koji se treba povezati. Unosi se =S) . Ukoliko je potrebno usmeriti se na drajv DI sa izlistanim serverom i zajedničkim resursom, ukucava se N)" =S) DI @@V"SS)7V)7@%PPS . &va naredba mora da bude u =N( formatu= XXimeservera@ajedniBkiresurs . lično, ukoliko se želi da se usmeri na 4"P2 port za štampač zajedničkog štampača iz domena V"S sa imenom (%N5N> trebalo bi ukucati N)" =S) 4"P2I @@V"SS)7V)7@(%N5N . "ako[e, postoje i druge N)" funkcije vredne pomena. N)" 450588 odjavljuje korisnika sa domena na koji je prijavljen. N)" "+!) @@V"SS)7V)7 sinhronizuje sat na radnoj stanici sa onim na serveru. N)" P%SS57D 6D5!%+NI V"S S"=D)N" staraloinka novaloinka menja staru lozinku korisnika S"=D)N"+ u novu.

R.> Povezivanje =indo2s >? radni7 stanica ##$


1ovezivanje ;indo
1otrebno je imati najmanje jedan tip klijenta za umrežavanje, najmanje jedan protokol i najmanje jedan mrežni adapter. )odatno, mogu se dodati usluge, kao što su zajednički fajlovi i zajedničko štamanje. 1ošto verovatno ništa od ovoga ne postoji pritisne se dugme %dd . ada će ;indo0. 1očinje se sa dodavanjem adaptera. !z liste sa tipovima komponenti, selektuje se adapter , zatim se pritisne %dd još jednom, kako bi se otvorio okvir za dijalog prikazan na slici R.@. U okviru za dijalog Select Network %dapters, videće se sa leve strane lista proizvo[ača adaptera, a sa desne strane odgovarajući adapteri. !zabere se odgovarajući adapter i pritisne se 5A . Ukoliko se adapter ne nalazi na listi, potrebno je kliknuti na dugme -ave Disk i locirati odgovarajuće drajvere za adapter. akon brzog kopiranje jednog ili dva fajla, ponovo će se pojaviti aplet Network (ontrol Panel . Ddapter je beskoristan bez klijenta kome će biti dodeljen i protokola pomoću koga će komunicirati. ;indo
R.>.# Priklju%ivanje na mre(u Kao što je prikazano na slici R., kao dodatak tabulatoru (onfiguration, naći će se dva dodatna tabulatora u Network (ontrol Panel %u. 1osebno treba obratit pažnju na tabulator +dentification, koji je prikazan na slici R.$. Kao što se može videti ime novog računara je Student2. !me računara mora da bude jedinstveno, baš kao na ;indo???2>??@ računarima. Iadna grupa je V"S . Ba razliku od ;indo

Desktop%u / Network Neighborhood je prikazan na slici R.A0. &no što se traži u Network Neighborhood %u je lista za pretraživanje radne grupe ili domena, ukoliko je ime isto. )uplim klikom server otkriva listu zajedničkih resursa na njemu. Batim se može videti da je jedini zajednički resurs ;indo??@ 5)%u pod direktorijumom (lients je direktorijum inUR . U njemu će se naći samo jedan izvršni fajl, koji instalira Directory Service (lients za ;indo???2>??@. !nstalira se jednostavnim kliktanjem dugmeta Next , a nakon toga se restartuje računar. ema konfigurisanja i nema nikakvog selektovanja. ada postoji instaliran Dktivni direktorijum. &n donosi nove alate ali nema novoinstaliranih programa. ajvažnije su nove opcije i mogućnosti u meniju 8ind u indows )xplorer %u. 1redhodno u 8ile !enu/ju nije bila dostupna mogućnost Printers. )ruga nova opcija je integrisana sa novom verzijom indows %dress 1ook %a_ ona omogućava da se prona[u ljudi koji se nalaze u Dktivnom direktorijumu. / indows %dress 1ook se ažurira tokom instaliranja Dktivnog direktorijuma0. &čigledno, ova kratka instalacija ne daje direktan pristup u središte Dktivnog direktorijuma, ali daje osnovne i obavezne funkcije, kako bi se Dktivni direktorijum napravio javnim resursom koji je dostupan ;indo
R.@ Povezivanje =indo2s @P radni7 stanica ;indo. U polje (omputer Name se unosi ime računara koje će biti i ime u domenu, dok se u polje !ember 5f unosi ime domena kome će stanica pripadati, vts.ni.edu.yu. Grši se potvrda sa 5A . 1otrebno je resetovati računar i pri sledećem logovanju stajaće 4og 5n prozor koji će tražiti korisničko ime i lozinku za pristup domenu. Ukoliko se ne želi pristupiti domenu unosi se korisničko ime za lokal. ada se mogu pretraživati resursi ervera kroz !y Network Places, naravno ukoliko su dodeljene odgovarajuće dozvole.

##V


5,, čas

Mrežni servis +>;

0.1 , <+43S3 , 3@>34/3@ <+43S3 U svakoj vrsti komunikacije izmeu dva subjekta najbitije je da oni budu jedinstveno odreeni kako bi ta komunikacija mogla da se uspostavi. ajednostavnije je da ti subjekti imaju svoju jedinstvenu adresu preko koje su tačno prepoznatljivi i odreeni. "ako i svaki računar koji je povezan na neku mrežnu strukturu, mora da ima jedinstvenu adresu preko koje bi bio prepoznat na njoj. Iačunari su obično povezani na mrežu pomoću Cthernet kartice, a svaka Cthernet kartica ima dve adrese= jednu +P adresu i jednu )thernet adresu. 1ostoje naravno i drugi načini za pristupanje nekoj mrežnoj strukturi, ali mi ćemo se držati ovog Cthernet primera, kao najprostijeg i najrasprostranijegt na "512!1 mrežama. 0.1.2 3thernet adrese vaka Cthernet adresa, koja se još naziva i :D5 adresa / !edia %ccess (ontrol 0, na Cthernet kartici, predstavlja jedinstveni A%bitni kod, koji nudi >A? ??? ??? ??? ??? />A? biliona0 mogućnosti. am Cthernet koristi približno jednu četvrtinu od ovog broja /po dva bita se ostavljaju sa strane za administrativne funkcije0, ali to je i dalje mnogo mogućih adresa. :D5 adresa je unapred odreena i ukodirana na ploči, i predstavljena je pomoću #> heksadecimalnih digita. a primer, ?? >? D8 8A CV V# ili, kao što se ponekad piše ??%>?%D8%8A%CV%V#. &ve adrese se administriraju iz jednog centra i prodavci Cthernet čipova moraju da nabavljaju blokove adresa. U našem primeru, prefiks ??%>?%D8 je u vlasništvu @5om%a tako da sve :D5 adrese na @5om%ovim karticama počinju sa ovim prefiksom. :D5 adresa se obično naziva i adresom drugog sloja jer pripada sloju podataka u V%slojnom &! modelu. 0.1.! , adresiranje 1repoznavanje računara putem :D5 adrese može da predstavlja jako veliki problem a naročito na višim slojevima u &! referentnom modelu. 1ošto se ovde radi o tkz. ravnom, linijskom adresnom prostoru bilo kakvo grupisanje računara predstavlja jako veli problem. 1roblem se još više usložnjava ako je potrebno uspostaviti vezu izmeu dva računara koji nisu direktno povezani već se veza uspostavlja preko više računara tj. mrežnih ureaja. )a bi se to ostvarilo potrebno je pamtiti sve :D5 adrese tih računara2ureaja na jednom mestu /tkz. tabele rutiranja0 a to ni malo nije lak zadatak jer se radi o velikom broju podataka. Bamislite samo !nternet i neki ureaj koji treba da pamti :D5 adrese svih računara na njemu kao i ureaja koji treba da pomognu kod uspostavljanja veza. &čigledno je da je to nemoguće. Bato je potrebno da se celokupni adresni prostor hijerahijski organizuje tj. grupiše u više adresibilnih celina koje će obuhvatiti više računara. Bato je i uvedeno !1 adresiranje koje prestavlja hijerahijski adresni prostor. vaki "512!1 računar se identifikuje na osnovu logičke !1 adrese. !1 adresa je adresa mrežnog sloja i potpuno nezavisna od adrese sloja veze za prenos podataka /kao što je :D5 adresa0. *edinstvena !1 adresa je neophodna za svaki računar i mrežnu komponentu koji za komunikaciju koristi "512!1. !1 adresa identifikuje lokaciju sistema na mreži isto kao što adresa ulice pokazuje kojoj se gradskoj četvrti nalazi odreena zgrada. Kao što adresa ulice mora da se odnosi na jedinstveno mesto prebivališta, tako i !1 adresa mora da bude globalno jedinstvena i da ima jedinstveni format. vaka !1 adresa sastoji se od adrese mreže /mrežni !)0 kojoj taj računar pripada i adrese računara /!) računara0. Mrežni ,+ identifikuje jednu grupu računara, koji se nalaze na istoj fizičkoj mreži, koja je ograničena !1 ruterima. vi sistemi na istoj fizičkoj mreži moraju imati isti mrežni !). :režni !) mora biti jedinstven za sve meusobno povezane mreže. /1od terminom mrežni !) podazumeva se svaki broj !1 mreže, bez obzira na to da li je on zasnovan na klasama mreža, na podmrežama ili nadmrežama0. ,+ računara označava radnu stanicu, server, ruter ili drugi "512!1 ureaj na mreži. Ddresa svakog računara mora biti jedinstvena u odnosu na mrežu kojoj pripada. !1 adresa ima @> bita. Umesto da se radi sa svih @> bita odjednom, uobičajeno je da se !1 adresa podeli u četiri A%bitna polja koja se nazivaju okteti. vaki oktet se konvertuje u decimalni broj /brojni sistem sa osnovom #?0 u rasponu od ? do >$$ i odvaja se tačkom / .0. &vaj format se naziva decimalna notacija sa tačkama. 1rimer !1 adrese u binarnom i decimalnom formatu izgleda ovako= ##?????? #?#?#??? ??????## ???##???

#O>.#RA.@.>

otacija <.7.E.z se koristi kada je reč o generalizovanoj !1 adresi, koja je prikazana na slici #.R ##A


Kako se vrednost od A bitova može rangirati od ? do >$$, svaka vrednost u notaciji <.7.E.z može biti u rasponu od ? do >$$. a primer, da bi konvertovali jednu !1 adresu ##??#?#?????#####?#?#?#????????# u format ove notacije, potrebno je da je prvo podelimo u grupe od A bitova= ##??#?#? ????#### #?#?#?#? ???????#. vaki od ovih A%bitnih brojeva treba konvertovati u njegov decimalni ekvivalent i tako dobijamo !1 adresu koja se koristi >?>.#$.#V?.#. 0.1.% Glase adresa )a bismo lakše prepoznavali pojedine !1 adrese zajednica korisnika !nterneta je na početku definisala pet klasa adresa da bi se obuhvatile mreže različitih veličina. :icrosoftov "512!1 podržava adrese klasa D, 9 i 5 koje se dodeljuju računarima. Klasa adresa definiše mogući broj mreža i broj računara po mreži. Glasa < 8 Ddrese klasa D su dodeljene mrežama sa vrlo velikim brojem računara. 9it najveće važnosti u adresi klase D je uvek postavljen na nulu. ledećih sedam bitova /koji dovršavaju prvi oktet0 odreuju mrežni !). &stala > bita /poslednja tri okteta0 predstavljaju !) računara. &vim se omogućava #>R mreža i #R VVV ># računara po mreži. a slici #.A prikazana je struktura adresa klase D.

Glasa : 8 Ddrese klase 9 su dodeljene mrežama od srednjih do velikih dimenzija. )va bita najveće važnosti u adresi klase 9 su uvek postavljena na binarnu vrednost # ?. ledećih # bitova dovršavaju mrežni !d. 1reostalih #R bitova /zadnja dva okteta0 predstavljaju !) računara. &vim se omogućava #R@A mreže i R$$@ računara po mreži. a slici #.O prikazana je struktura adresa klase 9.

Glasa ; 8 Ddrese klase 5 se koriste za male mreže. "ri bita najveće važnosti adrese klase 5 uvek su postavljena na binarnu vrednost # # ?. ledećih ># bita /koji sa prva tri sačinjavaju prva tri okteta0 dovršavaju mrežni !). 1reostalih A bita /zadnji oktet0 predstavljaju !) računara. "ime je omogućeno > ?OV #$> mreža i >$ računara po mreži. a slici #.#? je prikazana struktura adresa klase 5. ##O


Glasa + 8 Ddrese klase ) su rezervisane za !1 adrese sa višeznačnim upućivanjem. Fetiri bita najveće važnosti u adresi klase ) su uvek postavljena na binarnu vrednost ###?. 1reostali bitovi odreuju adresu koju prepoznaju zainteresovani računari. :icrosoft podržava adrese klase ) u aplikacijama za višeznačno upućivanje podataka na računare koji su opremljeni za takav prenos u okviru meumrežne strukture. Glasa 3 8 Klasa C je eksperimentalna adresa namenjena budućoj upotrebi. 9itovi najveće važnosti u adresi klase C su postavljeni na # # # #. "abela #.> je zbirni pregled adresa klase D, 9 i 5 koje se mogu koristiti za !1 adrese računara.

D #%#>R < 7.E.z #>R #R VVV ># 9 #>A%#O# #R@A R$ $@ <.7 E.z 5 #O>%>>@ <.7.E z > ?OV #$> >$  Ddresa klase D #>V.7.E.z je rezervisana za testiranje povratne petlje i komunikaciju izmeu procesa na lokalnom računaru. 0.1.( 4ezervisane adrese 1ostoje neka specijalna pravila za !1 adrese. 1ostoji čitav skup brojeva koje nikada ne možemo dodeliti nekoj mašini. "o su= &svojena route adresa 8 Ddresa ?.?.?.? je drugi način da kažemo Qceo !nternetQ. Dli kako je ?.7.7.7 skup adresa klase D i sve ove ?.7.7.7 moraju biti ostavljene sa strane, svih #R miliona. Aoop)ack adresa 8 sve adrese koje zapo~inj sa adresom !2"  prvom #ajt nis •

•

validne izvan lokalno$ ra~nara% Adresa !2"%0%0%! &koja spada  opse$ adresa A klase' o#i~ajeno se naziva adresom povratne petlje & loopback ' i koristi se za testiranje lokalno$ ()P*IP steka da #i se tvrdilo da li s kon+$ra,ija i -nk,ionisanje korektni% Dko šaljemo poruku za #>V.?.?.#, poruka će nam se vratiti, ukoliko ne

•

postoji neki problem u samom !1 softveru_ poruka poslata za loopback ne odlazi na mrežu već ostaje unutar !1 softvera odreene mašine. Mrežni )roj 8 1onekad je potrebno jednim jedinstvenim brojem odrediti celu podmrežu. a primer, da bismo rekli ruteru, Q )a bi ova poruka stigla na podmrežu čije je područje od #??.#??.#??.? do #??.#??.#??.>$$, prvo je usmeri u ruter OO.OA.OV.#?@Q, imamo više načina za označavanje područja adresa #??.#??.#??.? % #??.#??.#??.>$$. Ddresa koja se završava binarnim nulama je rezervisana za mrežni broj. U našem #??.#??.#??.7 primeru, kraći način za obeležavanje, koji se tiče adresa od #??.#??.#??.? do #??.#??.#??.>$$ je Q#??.#??.#??.?Q. )rugim rečima k ada se 0 koristi  mre.nom del adrese tada ona ozna~ava trentn mre.

•

•

•

, )roadcast adresa 8 1ostoji još jedna rezervisana adresa, % "512!1 broadcast adresa. &na liči na adresu jedne mašine, ali nije to_ to je adresa koju bi koristili za broadcast svake mašine na podmreži. "u adresu čine sve binarne jedinice. ?


manipuliše !1 adresama i portovima, odnosno da se ponaša kao pro7E server za klijente u internoj mreži kada komuniciraju sa spoljašnjim svetom. U praksi su poznata nekoliko opsega koji su opet putem I85 dokumenta broj #O#A definisana za upotrebu u lokalnim !ntranet okruženjima i to su= !0%0%0%0 do !0%2//%2//%2// !"2%!%0%0 do !"2%3!%2//%2// !12%!%0%0 do !12%!%2//%2// Sve ove adrese nis validne za Internet pa prema tome vie privatni4 mre.a mo$ da koriste ove ospe$e za de+nisanje svo$ Intranet okr.enja% • • •

Uzimaj5i  o#zir sve ove izzetke onda dolazimo do stvarno$ #roja mre.a i ra~nara koje mo.emo da adresiramo  svakoj klasi i on iz$leda ovako6 7lasa A !2 mre.a ! """ 2!8 ra~nara 7lasa 9 ! 38 mre.a / /38 ra~nara 7lasa ) 2 01" !/2 mre.e 2/8 ra~nara%

0.1.* Maske podrmreža a uvoenjem podmreža, više se ne može oslanjati na !1 klase adresa da bi se odredio mrežni !) u !1 adresi. 1otrebna je nova vrednost da bi se utvrdilo koji deo !1 adrese predstavlja adresu mreže, a koji adresu računara, bez obzira na to da li se koriste klasno zasnovane adrese mreže ili adrese podmreže. I85 O$? / 7eCuest for (omments0 definiše korišćenje maske podmreže /koja se još naziva i maska adrese0 kao @>%bitnu vrednost pomoću koje se u nekoj !1 adresi odreuje razlika izmeu adrese mreže i adrese računara. 9itovi maske podmreže definišu se na sledeći način= svi bitovi koji odgovaraju adresi mreže postavljeni su na vrednost # a svi bitovi koji odgovaraju adresi računara postavljeni su na vrednost ?. vaki računar u "512!1 mreži zahteva masku podmreže čak i na mreži sa samo jednim segmentom. U sklopu svakog "512!1 čvora nalazi se ili podrazumevana maska podmreže, ako koriste adrese mreže definisane na nivou klasa, ili namenska maska podmreže, koja se koristi prilikom pravljenja podmreža ili nadmreža. 0.1.*.1 rikazivanje maski podmreža u decimaloj notaciji sa tačkom :aske podmreža se često prikazuju u decimalnoj notaciji sa tačkama. Kada su bitovi odreeni za adresu mreže i za adresu računara, @>%bitni broj koji se tako dobije konvertuje se u decimalnu notaciju sa tačkama. &bratite pažnju na to da maska podmreže, iako izražena u decimalnoj notaciji sa tačkama, nije !1 adresa. 1odrazumevana maska podmreže zasnovana je na klasama !1 adresa i koristi se na "512!1 mrežama koje nisu podeljene na podmreže. "abela #.@ pokazuje podrazumevane maske podmreže koje koriste format decimalne notacije sa tačkama. D 9 5

######## ???????? ???????? ???????? >$$.?.?.? ######## ######## ???????? ???????? >$$.>$$.?.? ######## ######## ######## ???????? >$$.>$$.>$$.? amenske maske podmreže se razlikuju od ovih podrazumevanih maski podmreža i koriste se prilikom pravljenja podmreža ili nadmreža. a primer, #@A.OR.$A.? je A%bitna adresa podmreže mreže #@A.OR.?.? klase 9. &sam bitova klasno zasnovane adrese računara koriste se za označavanje adresa podmreža. :aska podmreže koristi ukupno > bita />$$.>$$.>$$.?0 da bi definisala adresu podmreže. Ddresa podmreže i njoj odgovarajuća maska podmreže u decimalnoj notaciji sa tačkama su= #@A.OR.$A.?, >$$.>$$.>$$.? 0.1.*.2 Označavanje maske podmreže pomo$u dužine mrežnog preiksa  obzirom na to da se bitovi za adresu mreže moraju izabrati po redu iz grupe bitova veće važnosti, maska podmreže označi mrežnim prefiksom koristeći za to notaciju= 2broj bitova. U tabeli #. prikazane se podrazumevane maske podmreža koje koriste ovu notaciju mrežnog prefiksa. D

########

???????? ???????? ???????? #>#

2A


9 ######## ######## ???????? ???????? 2#R 5 ######## ######## ######## ???????? 2> a primer, mrežna adresa klase 9 #@A.OR.?.? sa maskom podmreže >$$.>$$.?.? bi u notaciji mrežnog prefiksa bila prikazana kao #@A.OR.?.?2#R. Kao primer namenske maske podmreže, #@A.OR.$A.? je A%bitna adresa podmreže mreže klase 9. :aska podmreže koristi ukupno > bita za odreivanje mrežnog !)%a podmreže. :režni !) podmreže i njena odgovarajuća maska se zato u notaciji mrežnog prefiksa izražavaju kao= #@A.OR.$A.?2>. otiranje mrežnog prefiksa je poznato i kao notiranje besklasnog meudomenskog usmeravanja /(lassless +nterdomain 7outing , 5!)I0. 0.1.*.! Odre#ivanje adrese mreže Ba izdvajanje adrese mreže iz neke !1 adrese korišćenjem proizvoljne maske podmreže, !1 koristi matematičku operaciju nazvanu logičko !. U operaciji logičko !, rezultat poreenja dva elementa je istinit samo kad su oba elementa istinita_ inate rezultat je neistinit. Dko ovaj princip primenimo na bitove, rezultat je # kad su oba uporeenja bita jednaka #, inače je rezultat ?. !1 izvršava operaciju logičko ! sa @>%bitnom !1 adresom i @>%bitnom maskom podmreže. &va operacija je poznata kao logičko ! na nivou bitova. Iezultat operacije logičko ! na nivou bitova kada se primeni na !1 adresu i masku podmreže predstavlja mrežni !). a primer= Koji je mrežni !) !1 čvora #>O.$R.#AO.# sa maskom podmreže >$$.>$$.>?.? J )a bismo došli do rezultata, pretvorimo oba broja u njihove binarne ekvivalentne i poravnjajmo ih, jedan iznad drugog. Batim izvršimo operaciju logičko ! na parove svih bitova i zapišemo rezultat. 2''''''2 ''222''' 2'2222'2 ''2'2''2 +P adresa 22222222 22222222 2222'''' '''''''' maska podmreEe 2''''''2 ''222''' 2'22'''' '''''''' mreEni +D Iezultat izvršenja logičkog ! na nivou @> bita !1 adrese i maske podmreže je mrežni !) #>O.$R.#VR.?.

0.2 @;C, inrastrukturaB +>; = Dynamic -ost (onfiguration Protocol 0 :reže :icrosoftovih operativnih sistema, koje se zasnivaju na "512!1 protokolu, zahtevaju primenu tri tehnologije, kako bi postigle uspešnu !1 konfiguraciju i upravljanje nazivima= Dynamic -ost (onfiguration Protocol /)4510, Domain Name System /)0 i indows +nternet Name Service /;!0. !z ove čuvene trojke jedino ;!, u izvesnoj meri, predstavlja arhaizam, odnosno tehnologiju koju, bar prema teoriji, možete potpuno zaboraviti. 0.2.1 :OO@ 1raćenje upotrebljenih !1 adresa i mašina kojima su one dodeljene predstavlja neinventivan, mehanički posao, onaj posao u kome su kompjuteri tako dobri i zbog kog su, u krajnjoj liniji, i izmišljeni. Kao posledica ovog, nastao je jedan "512!1 protokol, pod nazivom ' bootstrap protocol ( /doslovno, bootstrap predstavlja kožnu traku, savijenu i ušivenu, za vrh čizama, sa one strane gde ulazi noga, radi lakšeg obuvanja_ stoga bi se, u prenosno značenju, termin ' bootstrap protocol ( mogao prevesti kao 'pomoćni protocol(0. U skraćenom obliku, ovaj protokol se obično naziva '9&&"1(. Iadi upotrebe 9&&"1 protokola, mrežni administrator mora najpre prikupit listu :D5 adresa za svaku karticu. akon toga, administrator će svakoj :D5 adresi dodeliti po jednu !1 adresu. *edna ovakva tabela, sa odgovarajućim parovima :D5 adresa2 !1 adresa se obično čuva na nekom serveru, unutar intraneta date kompanije. a taj način, kada neka 9&&"1%kompatibilna radna stanica započne svoj radni dan, ona će preko mreže emitovati svoj zahtev za dodelu odgovarajuće !1 adrese. 9&&"1 server će prepoznati :D5 adresu kompjutera%odašiljača i automaatski dodeliti odgovarajuću adresu ovoj radnoj stanici. 1rema tome, 9&&"1 je predstavljao /i još uvek predstavlja0 sasvim prikladan način za konfigurisanje "512!1 protokola na nekom udaljenom kompjuteru, bez potrebe da mu fizički pristupamo. 0.2.2 +>; posobnost 9&&"1%a da !1 adrese dodeljuje sa jedne centralne lokacije jeste sjajna, ali nije dinamička, dok sa druge strane, u današnjem svetu 15 računara, mi nismo ni najmanje zainteresovani za preuzimanje bootstrap programskog koda sa nekog centralnog servera_ butovanje svojih kompjutera danas obično vršimo sa lokalnog, read%onlE memorijskog čipa, poznatog pod nazivom 9!&, pa zatim sa #>>


programskog koda koji je smešten na lokalnom hard disku. )451 predstavlja značajno poboljšanje u odnosu na 9&&"1, koje se ogleda u tome da je potrebno samo da mu saopštimo opseg !1 adresa koje sme da dodeljuje, nakon čega će on započeti sa njihvom automatskom dodelom, po sistemu 'ko pre do mene, dobiće nešto od mene( / first come> first served 0, svim kompjuterima koji to od njega zatraže. a druge strane, ukoliko želimo da )451, po svojoj funkciji i ponašanju, bude još sličniji 9&&"1 protokolu, to možete veoma lako postići_ naime, kao i kod 9&&"1%a, uz pomoć 9&&"1 servera možemo odreene !1 adrese unapred dodeliti konkretnim :D5 adresama. &va tehnika se naziva D-(P reervacijom. Kod upotrebe )451%a, nepromenljive !1 adrese je potrebno dodeliti samo malom broju kompjutera, kao što su, na primer, lokalni 9&&"12)451 server i podrazumevani mrežni prolaz /default gate??@ server se zasniva na standardima tručne radne grupe za !nternet /!C"80. )451 detalji su definisani dokumentima zahteva za komentare /I850 koje je objavio !C"8 i druge radne grupe. I85 dokumenti predstavljaju serije izveštaja. predloga za protokole i standarde za protokole koji se koriste na !nternetu. Gako unkcioni-e +>; server !sporuka !1 adresa od strane )451%a zasniva se na ideji klijentskih inajmljivanja / client leases0. Kada nekoj mašini /)451 klijentu0 zatreba !1 adresa, ona će je zatražiti od )451 servera. akon toga, )451 server dodeljuje !1 adresu ovom klijentu, ali samo na ograničeni vremenski period - na taj način nastao je termin 'iznajmljena !1 adresa( / +P lease0. Ukoliko smo svoj 15, koji poseduje !1 adresu iznajmljenu na period od četiri dana, restartovali nakon isteka dva dana, onda on neće slepo zahtevati novu !1 adresu_ umesto toga on će otići na )451 server od kojeg je dobio svoju !1 adresu, te od njega ponovo zatražiti istu adresu koju je imao pre restartovanja. Dko je taj )451 server još uvek u životu i aktivan, on će potvrditi / acknowledge0 taj zahtev i radnoj stanici dopustiti da nastavi sa korišćenjem ove !1 adrese. a druge strane, ukoliko su usled neke katastrofe, sa )451 servera nepovratno izbrisane inormaacije o iznajmljivanju, on će ovoj mašini ili dodeliti traženu !1 adresu /ukoliko je nije već dodelio nekoj drugojo mašini0, ili će joj poslati negativan odgovor /negative ackno
#>@


Galjane parametre "512!1 konfiguracije za sve klijente u mreži. o Galjane !1 adrese u grupi kako bi bile dodeljene klijentima, kao i rezervisane adrese za ručno dodeljivanje o "rajanje iznajmljivanja koje nudi server % vreme u kome !1 adresa može da se koristi pre nego što treba da se objavi iznajmljivanje. Klijent na kome je omogućen )451 nakon prihvatanja ponude o iznajmljivanju prima= o Galjanu !1 adresu za mrežu kojoj pristupa. o )odatne parametre "512!1 konfiguracije, koji se nazivaju )451 opcije. o

reuzimanje , adrese sa +>; servera 1rocedura po kojoj )451 klijent dobija !1 adresu od )451 servera sastoji se od četiri koraka= #. 1orukom )451)!5&GCI emituje se zahtev za dodelu !1 adrese, koji je upućen svim )451 serverima u dometu čujnosti. >. erveri odgovaraju porukom )451&88CI, koja sadrži ponuenu !1 adresu i period na koji se iznajmljuje. @. Klijent odabire najatraktivniju ponudu i šalje povratnu, )451ICWUC" poruku, kako bi potvrdio izabranu !1 adresu. . erver koji je ponudio ovu !1 adresu završava proceduru slanjem poruke )451D5K, koja predstavlja potvrdu o pozitvnom rešenju zahteva. +izajniranje multi8+>; mreža &čigledno je da je funkcija )451 servera veoma važna, te da je ne bi trebalo 'tovariti na lea jednog serverskog računara(. a koji način , dakle, možemo dva ili više )451 servera dovesti u online režim, kako bismo postigli željeni stepen tolerancije greškeJ :ožda najbolji način je da, prilikom instaliranja )451 serverskog softvera na više različitih kompjutera, na njima kreirati više različitih područja koja se odnose na jednu istu pod mrežu. 1ritom, treba strogo voditi računa da se opsezi !1 adresa u ovim područjima ne preklapaju, tako da onda sve funkcioniše bez problema. •

•

0.2.! rednosti +>;8a 1rimena )451%a u mreži ima sledeće prednosti= :ez)edna i pozdana koniguracija % )451 svodi na minimum greške u konfiguraciji koje nastaju zbog ručnog konfigurisanja !1 adresa, kao što su greške u pisanju, i sukobljenost adresa koja nastaje kada drugi računar greškom ponovo dobije !1 adresu koja je trenutno dodeljena. Smanjeno administriranje mreže . "512!1 konfiguracija je centralizovana i autorizovana.Ddministratori mreže mogu centralizovano da definišu globalnu "512!1 konfiguraciju i "512!1 konfiguraciju svojstvenu podmreži. Klijentima se automatski može dodeliti ceo skup dodatnih vrednosti "512!1 konfiguracije pomoću )451 opcija. !zmene adresa u konfiguraciji klijenata koje moraju često da se ažuriraju, kao što su klijenti sa udaljenih računara koji se stalno premeštaju, sada mogu efikasno i automatski da se obave kada klijent na novoj lokaciji ponovo pokrene računar. Gećina rutera može da prosledi zahteve )451 konfiguracije i tako eliminiše zahtev da se )451 server podešava u svakoj podmreži, osim ako ne postoji neki drugi razlog da se to uradi. ??@ mogu automatski da konfigurišu !1 adresu i masku podmreže ako )451 server nije raspoloživ prilikom pokretanja sistema. &vo svojstvo, automatsko privatno !1 adresiranje / %utomatic Private +P addressing , D1!1D0 je korisno za klijente na malim privatnim mrežama, kao što su manja preduzeća, manje kancelarije ili udaljeni klijenti. Klijent servis )451%a u ;indo??@ prolazi kroz sledeći proces da bi automatski konfigurisao klijenta= o )451 klijent pokušava da pronae )451 server i dobije adresu i konfiguraciju. o Dko )451 server nije pronaen ili ne odgovara, )451 klijent automatski konfiguriše svoju !1 #>


o

o

adresu i masku podmreže pomoću adrese koja pripada mreži klase 9 rezervisanoj za :icrosoft, #RO.>$.?.?, sa maskom podmreže >$$.>$$.?.?. )451 klijent proverava da li postoji sukobljenost adrese da bi potvrdio da se !1 adresa koju je odabrao već ne koristi u mreži. Dko sukobljenost postoji, klijent bira drugu !1 adresu. Klijent će pokušati autokonfigurisanje do #? adresa. Kada )451 klijent uspe sam da odabere adresu, on će konfigurisati mrežni interfejs tom !1 adresom. Klijent zatim nastavlja u pozadini da proverava )451 server svakih $ minuta. Dko kasnije pronae )451 server, klijent će odbaciti informacije odreene autokonfigurisanjem. )451 klijent zatim koristi adresu koju je ponudio )451 server /i sve druge informacije koje su sadržane u )451 opcijama0 da bi ažurirao parametre !1 konfiguracije. Dko je )451 klijent prethodno iznajmio adresu od )451 servera= o Dko je klijentovo iznajmljivanje i dalje valjano /nije isteklo0 kada se pokreće sistem, klijent će pokušati da obnovi iznajmljivanje. o Dko za vreme pokušaja obnavljanja klijent ne uspe da pronae nijedan )451 server, on će pokušati da pinguje podrazumevani mrežni prolaz koji je naveden kod iznajmljivanja i nastaviće na jedan od sledećih načina= o Dko ping uspe, )451 klijent pretpostavlja da se još nalazi u istoj podmreži u kojoj je dobio aktuelnu iznajmljenu adresu i nastavlja da koristi iznajmljenu adresu. 1odrazumeva se da će klijent tada u pozadini pokušati da obnovi iznajmljivanje kada istekne polovina dodeljenog vremena za iznajmljivanje. o Dko ping ne uspe, )451 klijent pretpostavlja da je premešten u mrežu u kojoj )451 servisi nisu raspoloživi. Klijent zatim sam konfiguriše svoju !1 adresu na način koji je prethodno opisan. Kada je klijent autokonfigurisan, on pokušava svakih $ minuta da pronae )451 server i iznajmi adresu od njega.

Aokalno čuvanje 8 :icrosoftov )451 podržava lokalno čuvanje koje omogućava klijentima da čuvaju )451 informacije na svom disku. 6okalno čuvanje je korisno zbog toga što kada se pokrene sistem klijenata, on prvo pokuša da obnovi iznajmljivanje iste !1 adrese. 6okalno čuvanje )451 informacija znači i da klijent može da bude zaustavljen i ponovo pokrenut koristeći prethodno iznajmljene adrese i konfiguracije, čak i ako )451 server nije na raspolaganju ili nije u mreži u vreme kada je pokrenut računar klijenata. 6okalno čuvanje takoe omogućava automatsko konfigurisanje !1%a. 0.2.% roces iznajmljivanja +>;8a Klijent na kome je omogućen )451 dobija iznajmljenu !1 adresu od )451 servera. 1re nego što istekne iznajmljivanje, )451 server mora da obnovi iznajmljivanje za klijenta ili klijent mora da ostvari novo iznajmljivanje. !znajmljena adresa se zadržava u bazi podataka )451 servera približno jedan dan nakon isticanja. &vaj period odlaganja štiti iznajmljivanje klijenta u slučaju da su klijent i server u različitim vremenskim zonama, ako njihovi interni časovnici nisu sinhronizovani ili ako je klijent isključen iz mreže kada istekne iznajmljivanje. 1rvi put kada klijent na kome radi )451 započne i pokuša da se priključi na mrežu, on automatski sledi postupak inicijalizacije da bi dobio iznajmljenu adresu od )451 servera. a slici

#>$

Administriranje mreža o o

o

o

)451 klijent zahteva !1 adresu tako što difuzno upućuje poruku D-(PDiscover u lokalnu mrežu. Klijentu se nudi adrsa kada )451 server odgovori pomoću poruke D-(P5ffer koja sadrži klijentovu !1 adresu i informacije o konfiguraciji za iznajmljivanje. Klijent pokazuje da je prihvatio ponudu tako što će odabrati onuenu adresu i odgovoriti serveru pomoću poruke D-(P7eCuest . Klijentu se dodeljuje adresa i )451 server šalje poruku D-(P%ck kojom odobrava iznajmljivanje. Kada klijent primi poruku o potvrdi, on konfiguriše parametre "512!1 %a koristeći informacije )451 opcija kojeje dobio u odgovoru i priljučuje se u mrežu.

0.2.( Erupisanje +>; Servera u klastere ervis indows (lustering omogućava da dva servera mogu da se upravljaju kao jedan sistem. ;indo??@ servis za grupisanje u klaster se može koristiti za )451 servere kako bi se obezbedila veća raspoloživost, lakše upravljanje i veća skalabilnost. ervis indows (lustering može automatski da otkrije QpadQ neke aplikacije ili servera i da ih brzo aktivira na serveru koji nije oštećen, što korisnici doživljavaju samo kao trenuti zastoj servisa. indows (lustering omogućava da )451 serveri budu virtualizovani tako da u slučaju da jedan čvor klastera otkaže, prostor imena i svi servisi biće transparantno rekonstruisani na drugom čvoru. "o znači da nikakve izmene nisu vidljive za klijenta koji i dalje vidi istu !1 adresu za )451 servere koji su grupisani u klaster. 9ez grupisanja u klastere, administratori mreže mogu da podele opsege na servere, tako da će ako jedan server otkaže, najmanje polovina adresa ostati raspoloživa. 3rupisaje u klastere efikasno koristi !1 adrese pa nije potrebno deliti opsege. 9aza podataka koja se čuva na spoljašnjem disku prati dodeljene adrese i druge aktivnosti i u slučaju da aktivan čvor klastera otkaže, drugi čvor postaje )451 server koji zna sve adrese koje su dodeljene i ima pristup celom opsegu adresa. U svakom trenutku samo jedan čvor radi kao )451 server, sa bazom podataka klastera ;indo??@, što omogućava transparentnu tranziciju po potrebi. a slici #.##.b je generički primer )451 servera grupisanih u klaster. )451 server # je aktivni server, a )451 server > je rezervni )451 server.

0.2.* +>; i ,/S ;! je servis za imenovanje koji se koristi da registruje i razrešava imena u adrese za et9!& klijente u mrežama zasnovanim na "512!1%u. ajčešće nije neophodno dodati ;! servere preko planiranog broja )451 servera. U mnogim slučajevima isti računar servera može efikasno da radi i kao ;! i kao )451 server u jednoj mreži. Kad je jedan server konfigurisan kao ;! server i kao )451,on može da= o Ddministrira definisani interval !1 adresa opsega i nadopsega za mrežu. o luži kao podrazumevani mrežni prolaz koji omogućava !1 prosleivanje izmeu povezanih fizičkih mreža. )a bi isti podrazumevani mrežni prolaz bio podešen za sve )451 klijent koji se nalaza u #>R


podmrežama, potrebno je dodeliti kod @ )451 opcije pomoću !1 adrese računara servera kao vrednost pri konfigurisanju )451 opcija opsega. o luži kao primarni ;! server za povezane fizičke mreže. )a bi se ;! server podesio za sve )451 klijente koji se nalaze u podmreži, potrebni je dodeliti kod  )451 opcije /lista !1 adresa za ;! servere0 i koristiti !1 adresu računara servera kao vrednost. )a bi se obezbedilo da svi )451 klijenti za razrešavanje et9!& imena najpre koriste ;! /pre nego što se pokuša sa razrešavanjem imena pomoću difuznog upućivanja0, potrebno je dodeliti kod R opcije /;!29" tip čvora0 da bi se tip ;! čvora podesio na h%čvor /hibridni čvor0.

0.2.0 +>; i +/S erveri sistema imena domena /)0 omogućavaju razrešavanje imena za mrežne klijente. ) održava /izmeu ostalog0 informacije koje povezuju potpuno kvalifikovano domensko ime / 8ully :ualified Domain Name, 8W)0 računara sa njegovom dodeljenom !1 adresom/ama0. !ako )451 obezbeuje moćan mehanizam za automatsko konfigurisanje klijentske !1 adrese, sve do nedavno )451 nije obaveštavao ) servis da je potrebno da ažurira ) zapise o klijentu, odnosno da ažurira mapiranja imena klijenta u !1 adresu i !1 adrese u ime klijenta koje održava ) server. Dko ne postoji način da )451 bude u interakciji sa )%om, informacije koje održava ) za )451 klijente ne moraju biti ispravne. a primer, klijent može da dobije !1 adresu od )451 servera, ali ) zapisi neće odražavati novo dobijene !1 adrese, niti će omogućiti mapiranje nove !1 adrese u ime računara /8W)0. )a bismo obezbedili ovaj servis ažuriranja u ;indo??@, )451 serveri i klijenti mogu da obave registrovanje u )%u ako ) server podržava ) sa dinamičkim ažuriranjem. ;indo??@ ) servis podržava dinamičko ažuriranje. Koristeći protokol za dinamičko ažuriranje )%a ;indo??@ )451 server može da obavi registrovanje na ) serveru i ažurira pokazivačke 1"I / Pointer resouce record 0 i adresne D / %ddress resource record 0 zapise resursa za račun svojih klijenata na kojima je omogućen )451. :ogućnost da registruje D i 1"I tipove zapisa dozvoljava )451 serveru da za potrebe ) registracije deluje kao zastupniik za klijente koji koriste :icrosoft ;indo??@ od ostalih klijenata. )odatni kod )451 opcije /kod opcije A#0 omogućava da se 8W) ome klijenta vrati )451 serveru. Dko se primenjuje, )451 server može dinamički da ažurira ) kako bi izmenio pojedine zapise resursa računara na ) serveru pomoću protokola za dinamičko ažuriranje. &va )451 opcija dozvoljava )451 serveru sledeće mogućnosti kod obrade ) informacije za račun )451 klijenata koji uključuju kod opcije A# u poruci )451IeLuest koju šalju serveru= o )451 server uvek registruje )451 klijenta za pretraživanje napred /tip zapisa D0 i za inverzno pretraživanje /tip zapisa 1"I0 na )%u. o )451 server nikada ne registruje informacije o mapiranju imena u adresu /tip zapisa D0 za )451 klijente. o )451 server registruje )451 klijenta za pretraživanje napred /tip zapisa D0 i za inverzno pretraživanje /tip zapisa 1"I0 samo kada to zatraži klijent. o )451 i statički ) servis nisu kompatibilni da bi informacije o mapiranju imena u adresu mogle da budu sinhronizovane. Bbog toga su mogući problemi kada se )451 i ) zajedno koriste u mreži u kojoj se koriste stariji statički ) serveri koji neogu da se dinamički ažuriraju kada se izmeni konfiguracija )451 klijenta. )a bi se izbegla neuspešna pretraživanja )%a o )451 klijentima kada radi statički ) servis potrebno je uraditi sledeće= #.Dko se ;! serveri koriste u mreži treba omogućiti ;! pretraživanje za )451 klijente koji koriste et9!&. >. )odeliti rezervacije !1 adrese sa neograničenim trajanjem iznajmljivanja za )451 klijent koji koriste samo ) i ne podržavaju et9!&. Kad god je moguće, treba nadograditi ili zameniti starije statičke ) servere ) serverioma koji podržavaju dinamičko ažuriranje. )inamičko ažuriranje podržava :icrosoft ) servis koji je deo ;indo??@.

#>V


+>; 8 ,/S@.A0  elektujemo Dynamic -ost (onfiguration Protocol
)451 servis kontrolišemo prozorom koji se nalazi u Ddministrative Start  Programs %dministrative "ools D-(P . !zgled prozora je dat na slici >.O.

"ools=

a ;indo??@ svako može postaviti )451 server, ali server neće početi sa podelom adresa, dok nije odobren. &dobravanje se vrši iz )451 prozora, pri tom moramo biti prijavljeni kao Ddministrator područja. )esnim klikom miša na )451 na levoj strani dobijamo padajući meni iz kojeg biramo !anage authoried servers /ili kliknemo na server, zatim na %ction %uthorie0 i videćemo okvir za dijalog kao na slici >.#?.a. )a bismo odobrili jedan server, pritiskamo na Duthorize i dolazimo do okvira kao na slici >.#?.b u kome ukucavamo ime servera ili !1 adresu. #>A


Stvaranje opsega adresa U cilju da )451 da !1 adrese mora da zna opseg !1 adresa. :icrosoft naziva opseg !1 adresa i opisane informacije vezane za njih, domenom. )a napravimo domen, kliknemo na ikonu servera, izaberemo New Scope, kojim počinje New Scope iard . 1ritiskom na dugme Next dolazimo do prozora sa slike >.##.

U ovom prozoru, jednostavno identifikujemo domen, dajući mu ime i komentar. Batim pritiskamo dugme Next i vidimo ekran kao na slici >.#>.

#>O


)omen je jednostavno opseg !1 adresa % odatle se one mogu QcrtatiQ. :ožemo dodeliti domen svakoj podmreži servisiranoj našim )451 serverima. :oguće je za jedan )451 server da rukuje višestrukim mrežama, meutim, )451 server nam neće dozvoliti da napravimo više od jednog domena u istoj podmreži. 1ošto moramo da imamo najmanje jednu prisutnu statičku !1 adresu%adresu našeg servera, trebalo bi da kažemo )451 serveru da ne da tu adresu. 1ritiskom na dugme Next dolazimo do dijaloga pomoću koga govorimo serveru koje adrese da QizbegavaQ /slika >.#@0.

:ožemo odrediti jednu adresu samu po sebi, ne moramo odrediti počinjujući i završavajući adrese u opsegu jedne adrese. 1ritiskamo dugme Next i dolazimo do dijaloga kao na slici >.#.

#@?


Korisnik dobija !1 adresu samo za odreeni vremenski period pod nazivom akup i do vremena kada zakupljeni period istekne, korisnik mora zakupiti ili drugu adresu od )451 servera, ili mora prestati sa korišćenjem !1 u potpunosti odmah. Usvojeno vreme za trajanje zakupa je A dana. 1ostavljamo vremenski limit i pritiskamo dugme Next . a sledećem dijalogu ostavljamo čekirano ?es> + want to configure these options now i pritiskamo dugme Next . ema potrebe da idemo od radne stanice do radne stanice i podešavamo sve opcije u kartici Ddvanced za "512!1 osobine /podešavanje statičkih adresa0 pošto nam )451 dozvoljava da podesimo te stvari pravo iz servera. )451 može omogućiti usvojene vrednosti za sve hostove "512!1 parametara, uključujući osnovne članove=  Usvojen gejtvej  ) server  aziv područja  ;! server aravno, posle ovog podešavanja možemo prići pojedinačno svakoj radnoj stanici i promeniti opcije po našem izboru. vaka druga opcija )451%a se ne ignoriše s tim da je opšte pravilo da je bilo šta podešeno na klijentu na višem nivou od podešavanja koje predlaže )451 server. 1ritiskamo dugme Next i dolazimo do prozora na kao slici >.#$.

#@#


Upisujemo !1 adresu usvojenog pristupa i pritiskamo dugme Next , posle koga vidimo ekran kao na slici >.#R.

U ovom dijalog prozoru, govorimo )451 serveru da kada god iznajmimo korisniku 15%a !1 adresu iz ovog domena, trebalo bi postaviti korisniku neku vrednost naziva ) domena, i reći korisniku da može naći ) servere na nekoj adresi. Klik na dugme Next , i dolazimo do dijaloga kao na slici >.#V.

&vde govorimo korisniku gde da nae naše ;! servere. Klik na dugme Next , i dolazimo do dijaloga kao na slici >.#A.

#@>


a izlazu iz + want to activate this scope now i pritiskamo dugme Next , nakon čega se zatvara .#O.

&bratimo pažnju na fasciklu niže u interfejsu označenom sa Server 5ptions. &na je korisna kada postavljamo više od jednog domena na server. erver &ptions nam dozvoljava da postavimo opcije za sve date domene servera u jednoj operaciji. )esnim klikom na fasciklu Server 5ptions i odaberemo opciju (onfigure 5ptions kojom dobijamo dijalog kao na slici >.>?.

#@@


elektujući ) možemo videti da nam je dozvoljen unos adresa ) servera, kao što je to činio
Goniguracija servera 1re napuštanja konfigurisanja, pogledajmo neke članove konfiguracije servera. U prozoru )451, desnim klikom na server, i odaberemo opciju Properties. Gidećemo stranicu sa tri tabulatora= 3eneral, ) i Ddvanced, kao što vidimo na slici >.>#.

3lavna stvar koju treba ovde primetiti je opcija QlogovanjaQ. "o je usvojena opcija tako da je ne moramo proveravati. 1ostoji sedam logova, po jedan za svaki dan u nedelji. "ime je olakšano nalaženje zapisa za svaku akciju za odreeni dan. 6ogovi su u jednostavnom D5!! formatu, tako da ih možemo ispitati sa #@


otepad%om. 6ogovi imaju imena dana u nedelji i nalaze se u 22sEstem@>Xdhcp. 9iramo ) tabulator i vidimo ekran kao na slici >.>>.

) je baza podataka mašina i naziva. 1od ;indo??@, domen je dovoljno pametan da komunicira sa svojim lokalnim ) serverom, šaljući mu informaciju da je prisutan, da ima ime i !1 adresu. Uz to, ) server, kod ;indo??? i ;indo??@, je dovoljno pametan da čuje ovu informaciju_ stariji ) serveri nisu mašine od kojih se očekuje da se registruju sa svojim lokalnim ) serverom i lokalni ) server ne bi imao rešenje o tome šta da, u stvari, radi sa tom informacijom. ) serveri posle #OOA. godine imaju karakteristiku naziva dinamički ), koji im omogućava da radije prihvate ovu oznaku2adresu /naziv registracije0 informacije od drugih mašina, nego da informacija mora da se kuca ručno. U slučaju da naša radna stanica u radu pre koristi " nego ;indo???2?@, tada ona nije programirana da ponudi informaciju oznaka2adresa svom ) serveru, jer celokupna dinamička tehnologija nije postojala #OOR. godine kada je pisan :icrosoft ". a tačke gledišta razvoja ) servera koji radi na ;indo???2?@ serveru, tada su, stari ;indo.>>. ;indo??@ )451 server će primetiti kada podeli !1 adrese mašini, da ne zna ništa o dinamičkom )%u. &bratimo pažnju na opciju Dynamically update DNS and P"7 records for D-(P clients that do not reCuest updates clients running indows N"&9 . "reba označiti okvir. Klikom na dugme 5k zatvaramo dijalog. Dko hoćemo da znamo koliko nam je adresa ostalo, desnim klikom miša kliknemo na domen i izaberemo Display statistics, i videćemo prozor kao na slici >.>@.

#@$

Administriranje mreža 

1osle postavljanja )451%a na server, kako reći korisnicima da koriste taj )451J

*ednostavno, bilo koji :icrosoft%ov operativni sistem od ;indo???2?@, svi imaju )451 konfiguraciju kao instaliranu opciju, mada neki od ovih klijenata upućuje na to kao QautomatskuQ konfiguraciju pre nego na )451 konfiguraciju. Kada sistem jednom dobije !1 adresu, možemo je videti kicanjem ipconfig6all u komand prompt%u. a ;indo
/


Klijent nije mogao da stupi u kontakt sa )451 serverom i iznajmi !1 adresu zbog greške u mrežnom hardveru ili zato što )451 server nije na raspolaganju. 1rvo treba proveriti da li odgovarajući hardverski ureaji klijenata /kablovi i mrežni adapteri0 rade pravilno na klijentu. 

D!P klijent ima autokonfi"urisanu *P adresu koja nije pravilna za aktuelnu mre(u.

;indo??? ili ;indo
edostaju detalji o konfi"uraciji D!P klijenta.

Klijentu mogu nedostajati )451 opcije u iznajljenoj konfiguraciji zbog toga što )451 server nije konfigurisan da ih distribuira ili zato što klijent ne podržava opcije koje distribuira server. Ba :icrosoft )451 klijente treba verifikovati da su najčešće korišćene i podržane opcije konfigurisane na jednom odnivoa dodeljivanja opcija= servera, opsega, klijenta ili klase. 1otrebno je proveriti i parametre )451 opcija.  D!P

klijenti ne mo"u da dobiju *P adrese od servera.

&vaj problem može nastati zbog toga što= !1 adresa )451 servera je izmenjena i sada )451 klijenti ne mogu da dobiju !1 adrese. )451 server može samo da opslužuje zahteve za opseg koji ima !) mreže koji je isti kao i !) mreže njegove !1 adrese. 



)451 klijenti se nalaze preko usmerivača od podmreže u kojoj je smešten )451 server i ne mogu da prime adresu od njega. )451 server može može da obezbedi !1 adrese za računare klijenata #@R


u više udaljenih podmreža samo ako usmerivač koji ih razdvaja može da radi kao )451 prenosni agent. Giše )451 servera postoji u istoj lokalnoj računarskoj mreži /6D % 4ocal %rea Network 0. "reba potvrditi da u istom 6D%u nije konfigurisano više )451 servera pomoću opsega koji se preklapaju. 

#@V


5,,, čas ,/S

Mrežni servis ,/S i +/S

G4<@G< ,S@O4,Q< ,/S8a :ada ;! serveri nisu potrebni u mreži koja se sastoji isključivo od računara koji rade pod ;indo??@, oni su neophodni za sve mreže koje se sastoje od računara koji se zasnivaju na starijoj arhitekturi ;indo
,/S i /et:,OS )a bismo razumeli potrebu za ;!%om, moramo da razumemo istoriju et9!&%a kji je za 15% )& aplikacije nastao pre više od #? godina kao interfejs izmeu programskih jedzika višeg nivoa i širokopojasnih mreža !9: 15%et
#@A


4??@. Kada pokrenete računar, servis 8ile and Priner Sharing for !icrosoft Networks registruje jedinstveno et9!& ime koje se zasniva na imenu računara. !me koje servis registruje je ime računara dužine #$ znakova plus #R. znak ?7>?. Dko ime računara nije dugačko #$ znakova, ono se dopunjuje razmacima da bi bilo dugačko tačno #$ znakova. Kada na osnovu imena inicirate vezu za deljenje datoteka sa računarom koji radi pod ;indo??@, ova veza koristi servis 8ile and Priner Sharing for !icrosoft Networks na serveru datoteka koji ste odredili. )eljenje datoteka i štampača uvek odgovara odreenom et9!& imenu. a primer, kada pokušamo da uspostavimo vezu sa računarom pod nazivom 5&I1CIGCI, et9!& ime koje odgovara servisu 8ile and Priner Sharing for !icrosoft Networks na tom računaru je= (57PS)7V)7 *'W

&bratimo pažnju na korišćenje razmaka za dopunjavanje imena računara. 1re nego uspostavimo vezu za deljenje datoteka i štampača, mora biti stvorena "51 veza. )a bismo uspostavili tu "51 vezu, et9!& ime 5&I1CIGCI S>?T mora biti razrešeno u !1 adresu. 1recizan mehanizam pomoću koga se et9!& imena razrešavaju u !1 adrese zavisi od toga koji tip et9!& čvora je konfigurisan za računar koji traži da se razreši ime. )okument I85 #??# definiše tipove et9!& čvorova_ oni su nabrojani i u tabeli #.$.

9%čvor 1%čvor :%čvor

4%čvor

Koristi !1 difuzno upućene poruke za registrovanje razrešavanje et9!& imena u !1 adrese. Iačunari koji rade pod ;indo??@ mogu da koriste modifikovano razrešenje imena 9%čvora. Koristi komunikaciju od čvora do čvora sa serverom et9!& imena /na mrežama koje rade pod ;indo??@ to je ;! server0 za registrovanje i razrešavanje et9!& imena u !1 adrese. Koristi mešanu komunikaciju 9%čvora i 1%čvora za registrovanje i razrešavanje et9!& imena. :%čvor prvo koristi razrešavanje zasnovano na difuznom upućivanju_ zatim, ako je potrebno, koristi upit za server. 1redstavlja hibrid 9%čvora i 1%čvora. Iačunar koji je 4%čvor uvek najpre pokušava upit za server a difuzno upućivanje koristi samo ako ne uspe direktan upit. Iačunari koji rade pod ;indo??@ su unapred konfigurisani kao 4%čvorovi. )D bi smanjili !1 difuzno upućivanje poruka, ovi računari koriste datoteku 6:4&" za pronalaženje parova imena i !1 adresa pre nego što koriste !1 difuzno upućivanje 9%čvora.

Ba računare koji rade pod ;indo??@ se podrazumeva da koriste postupak razrešavanje imena 9%čvora, kada su konfigurisani za ;! server oni koriste postupak 4%čvora. )a bi et9!& imena udaljenih računara mogla biti razrešena, moramo da konfigurišemo #@O


računare koji rade pod ;indo??@ sa !1 adresom nekog ;! servera. Iačunare koji rade pod ;indo??@ i koji koriste servis %ctive Directory morate da konfigurišete sa !1 adresom ;! servera ako oni treba da komuniciraju sa računarima koji rade pod ;indo???2?@, ;indo
#?

:
&pravljanje )azom podataka 9aza podataka ;!%a za ;indo??@ koristi napredne performanse tzv. podsistema proširenog skladištenja /engl. extensible storage engine0, ažuriranu verziju generičkog podsistema skladištenja koji koriste :icrosoft C7change $.$ serveri i ;indo??@ serveri. &va baza podataka ne ograničava broj zapisa koje ;! server može da replicira ili sačuva. Geličina baze podataka zavisi od broja ;! klijenata u mreži, ali nije direktno proporcionalna broju aktivnih stavki klijenata. Kako se neaktivne stavke mreže množe, raste baza podataka ;! a mnoge stavke ;! klijenata postaju zastarele. a kraju, ove stavke QzagušeQ bazu podataka. )a bi neiskorišćeni prostor mogao da se ponovo koristi, obavlja se sažimanje baza podataka ;!%a. U ;indo??@ sažimanje baze podataka ;! servera se dešava u pozadini kao automatski proces tokom besposlenog vremena a nakon ažuriranja baze podataka.  obzirom da je i sažimanje baze podataka dinamičko, nije potrebno da zaustavimo ;! server da bi se obavilo sažimanje baza podataka_ ovaj postupak je poznat i kao online sažimanje. :eutim, iako ;! redovno obavlja online sažimanje na taj način se smanjuje ali ne i eliminiše potreba za offline sažimanjem. 1ovremeno ćemo morati da zaustavimo ;! server zbog offline sažimanja. )atoteke baze podataka koje se čuvaju u direktorijumu M System7oot MXEstem@>X;ins opisane su u tabeli #.R.

*$?.log i *$?77777.log *$?.chk

;ins.mdb ;instmp.mdb

)atoteka dogaaja za sve transakcije obavljene u bazi podataka. &vu datoteku koristi ;! da bi oporavio podatke ako je to neophodno. )atoteka kontrolnih tačaka koja se koristi kada se pokrene baza podataka ;! da bi odredila da li je poslednji put pravilno zatvorena i da su sve baze podataka konzistentne. U suprotnom, datoteka kontrolnih tačaka služi da se odredi iz koje datoteke dogaaja treba početi oporavljanje podataka. )atoteka baze podataka ;! servera koja sadrži dve tabele, tabelu mapiranja !1 adrese u !) vlasnika i tabelu mapiranja imena u !1 adresu. 1rivremena datoteka koju pravi ;! servis. 9aza podataka je koristi kao datoteku za straničenje za vreme operacija održavanja indeksa. &na može da ostane u direktorijumu M System7oot MXEstem@>X;ins nakon pada sistema.

;! upravljačka konzola obezbeuje alate kojima treba da održavamo, pregledamo, pravimo rezervne kopije i ponovo vraćamo bazu podataka ;! serveru. a primer, koristićemo ;! upravljačku konzolu da bismo napravili rezervnu kopiju datoteka baze podataka ;! servera.

,/S 8 ,/S@
Kada planiramo koliko ;! servera nam je potrebno i gde da ih stavimo, treba da shvatimo da ne treba stavljati ;! server na svaku podmrežu. )obra ideja je da imamo drugu mašinu koja radi kao sekundarni ;! server, meutim, samo za korist tolerancije greške. etimo se da, ako naie radna stanica i ne može da nae ;! server, vraća se prenosu, koji će limitirati kapacitet oznake rezolucije na samo njenu lokalnu podmrežu i uzrokovaće dosta vike, što povećava promet podmreži. 

Bašto ;! klijent ne bi našao ;! server, ako tu radi ;! serverJ

ormalno, klijent bi našao server sasvim dobro, ali u nekom malom procentu slučajeva, ;! server može biti previše zauzet da odgovori klijentu blagovremeno, uzrokujući da klijent odustane od servera. "o će se verovatno desiti vrlo retko, ukoliko ne popunimo ponovo ;! server. Uobičajeni način da ponovo popunimo ;! server je da stavimo funkciju ;! servera na istu mašinu koja se, takoe, ponaša kao kontroler područja. ;! server je najzauzetiji ujutru, kada svi uključuju računare i registruju imena, kao i kontroler područja, kada se svi loguju. Dko imamo kopiju kontrolera područja, tada stavljamo ;! server na tu mašinu, takoe. ;! softver ne koristi puno vremena centralne procesorske jedinice, tako da verovatno neće uticati na performanse našeg servera, osim ukoliko imamo hiljade korisnika priključenih na jedan ;! server. )a bi postavili ;! server, potrebno je da prvo da ga instaliramo. "o radimo iz (ontrol Panel %a.  Start (ontrol Panel  %dd67emove Programs , a zatim na %dd67emove indows (omponents .  elektujemo Network Services i kliknemo na dugme Details. /slika >.>0  elektujemo /čekiramo0 indows +nternet Name Service < ;! 9, i pritiskamo dugme 5k .  Kliknemo dugme Next da započnemo instaliranje servisa. a kraju pritiskamo 8inish da bismo zatvorili
U Start  Programs %dministrative "ools imamo novi prozor pomoću koga kontrolišemo ;!. /slika >.>$0

1rva stvar koju trebamo uraditi na našem ;! serveru jeste da ga informišemo o mašinama na našoj podmreži koje nisu ;! klijenti, ali koriste et9!& na "512!1. )esnim klikom pritisnemo na server na levoj ploči ;! servera izaberemo Properties. )olazimo do okvira kao na slici >.>R.

;! će redovno obezbeivati kopije baze podataka, ako popunimo ime direktorijuma u Default 1ackup Path. Kontrolni okvir / 1ackup database during server shutdown 0 nam dozvoljava da kažemo ;!%u da, takoe, obezbeuje kopije posebno kada je server isključen. Kliknemo na karticu Database Verification i videćemo stranicu kao na slici >.>V.

&pcija na vrhu, Verify database consistency every XX hours , govori našem ;! serveru da periodično proverava zapise u odnosu na druge servere u našoj podmreži. Dko to omogućimo, dozvolićemo njegovu proveru svakih > sata, kao što je usvojeno i proveru u odnosu na QvlasnikaQ, pre nego slučajnog servera. Glasnik u našem slučaju znači Q ;! server koji generiše originalno ime zapisaQ. 1ritiskamo sada karticu %dvanced i dolazimo do stranice kao na slici >.>A.

:ožemo postaviti 4og detailed events to indows event log uključenim ali, u osnovi ako omogućimo ovo, tada ;! dodaje puno informacija u )vent Viewer %u i samim tim usporava rad ;!% a i samog sistema. )nable 1urst -andling se koristi da reši problem starog ;!%a. Geć smo pomenuli da je ;! najzauzetiji ujutru odmah ujutru, kada se svi loguju i pokušavaju da registruju svoja sistemska imena. 1re registrovanja imena, meutim, ;! mora da proveri svoju bazu podataka, da se uveri da nema

duplikata, da niko ne pokušava da registruje ime kompjutera koji već postoji, a za to treba vremena. Bbog toga ;! ide u kratak način rada % burst mode, u značenju da se slaže sa svakim zahtevom registracija. "ada kaže Q Gratite se i ponovo se registrujte za nekoliko minutaQ, što daje šansu da stvarno proverimo registraciju kada su stvari usporenije. amo se pomera u kratak način rada kada ima puno zahteva istaknutih registracija u svom redosledu.

+/S &5O+ & S,S@3M ,M3/< +OM3/< :ada "512!1 za lociranje i povezivanje sa resursima /sa računarima i drugim mrežnim "512!1 ureajima0 koriste !1 adrese, korisnici više vole da koriste zgodnija imena. a primer, korisnici više vole ime ftp.reskit.com nego njegovu !1 adresu #V>.#R.>@.$$. istem imena domena, definisan u I85 #?@ i #?@$, koristi se na !nternetu kao standardna konvencija za dodeljivanje imena za lociranje računara zasnovanih na !1%u. 1re pripeme )%a na !nternetu su se za lociranje resursa u "512!1 mrežama koristile datoteke sa imenom 4&". :režni administratori su u njih upisivali imena i !1 adrese a računari su ih koristii za razrešavanje imena. ! datoteka 4&" i ) koriste prostor imena. 1rostor imena je grupisanje u kojem se imena mogu koristiti za simboličk predstavljanje neke druge informacije, kakve su !1 adrese, i u kojem su uspostavljena odreena pravila za dodeljivanje i za korišćenje imena. eki prostori imena, kakav je ) strukturirani su hijerarhijski i sadrže pravila po kojima se prostor imena deli u podskupove imena radi distribucije i poveravanja nadležnosti delova prostora imena. )rugi prostori imena, kakav je prostor imena 4&", ne mogu da se dele i moraju se ditribuirati u celosti. Bbog toga je korišćenje datoteka 4&" postalo sve veći problem za administratore. Kako se povećao broj računara i korisnika na !nternetu, ažurianje i distribucija datoteke 4&" nisu više bili mogući. ) zamenjuje datoteku 4&" distribuiranom bazom podataka kojom se realizuje hijerarhijski sistem imena. &vaj sistem imenovanja podržava širenje !nterneta kao i stvaranje imena jedinstvenih na celom internetu i na privatnim "512!1 intranetovima.

rostor imena domena istem imenovanja na kojem se zasniva ) je hijerarhijska i logička struktura stabla koja se naziva prostor imena domena. ! organizacije mogu da naprave privatnu mrežu koja nije vidljiva na !nternetu i da koriste vlastiti prostor imena domena. a slici #.#> prikazan je deo prostora imena domena !nterneta od korenog domena i ) domena !nterneta najvišeg nivoa do zamišljenog ) imena sa imenom reskit.com koji sadrži računar :fgserver. vaki čvor u ) stablu predstavlja ) ime. eki primeri ) imena su ) domeni, računari i serveri. ) domen je grana ispod čvora. a primer, na slici #.#>, reskit.com je ) domen. ) domeni mogu da sadrže računare ili server, kao i druge domene /koji se nazivaju poddomeni0. vaka organizacija dobija nadležnost nad delom prostora imena domena i odgovornost za administriranje, dalje deljenje i dodeljivanje imena ) domena i računara u tom delu prostora imena. )alje deljenje je važan koncept u )%u. tvaranjem delova prostora imena domena i ) domena privatnih "512!1 mreža podržava se dalji rast !nterneta i mogućnost stalnog širenja grupisanja imena i administriranja. )eljenje se obično zasniva na organizacionim i geografskim kriterijumima.

a primer, ) domen reskit.com sadrži sajtove u evernoj Dmerici / /Orth
+omensko ime Iačunari i ) domeni dobijaju imena u zavisnosti od njihovog položaja u stablu domena. a primer, kako je reskit poddomen domena .com, domensko ime za reskit je reskit.com. vaki čvor u stablu ) domena identifikuje se potpuno kvalifikovanim domenskim imenom /8W)0. 8W) je ) domensko ime koje je nedvosmisleno i sa apsolutnom tačnošću ukazuje na njegovu lokaciju u odnosu na koren ) stabla domena, za razliku od relativnog imena koje se navodi u odnosu na neki ) domen koji nije koreni. a primer, 8W) ime za server u ) domenu reskit.com jeste :fgserver.reskit.com. i sastavljeno je od imena računara /:fgserver0, primarnog ) sufiksa /reskit.com0 i završne tačke /.0. Bavršna tačka je standardni separator izmeu oznake domena najvišeg nivoa i oznake praznog stringa koja se odnosi na koren.

rostor imena domena ,nterneta

Korenom /najviši nivo0 prostora imena domena !nterneta upravlja Uprava za registrovanje !nternet imena koja poverava administrativnu odgovornost za delove prostora imena domena organizacijama koje se priključuju na !nternet. !spod korenog ) domena nalaze se domeni najvišeg nivoa i njima takoe upravlja Uprava za registrovanje !nternet imena. 1ostoje tri vrste domena najvišeg nivoa=  &rganizacioni domeni. &ni dobijaju troslovna imena kojima se označava osnovna funkcija ili aktivnost organizacija u tom domenu. &rganizacioni domeni odnose se uglavnom na organizacije u D) i većina njih pripada nekom od ovih organizacionih domena.  3eografski domeni. &ni dobijaju oznake od dva slova koja označavaju zemlju i koje propisuje meunarodna organizacija za standardizaciju / +nternational Standards 5rganiation, !&0 u dokumentu @#RR.  !nverzni domeni. "o je poseban domen pod imenom in%addr.arpa, koji se oristi za mapiranje !1 adresa u imena /što se naziva inverzno pretraživanje0. 1ostoji takoe i jedan poseban domen, !1R.!", koji se koristi za verziju R !1 inverznog pretraživanja. Giše informacija nalazi se u dokumentu I85 #AAR. !spod domena najvišeg nivoa Uprava za imena na !nternetu poverava domene organizacijama koje se povezuju na !nternet. &rganizacije kojima je poveren deo prostora imena domena su zatim nadležne za dodeljivanje imena računarima i mrežnim ureajima u svom dodeljenom domenu i za njegovo dalje deljenje. "e organizacije koriste ) servere za upravljanje mapiranjem imena u !1 adrese i obratno za ureaje koji se nalaze u njihovom delu prostora imena.

Osnovni pojmovi +/S8a DNS serveri. Iačunari na kojima se izvršavaju programi ) servera koji sadrže informacije ) baze podataka o strukturi stabla ) domena. ) serveri takoe pokušavaju da razreše upite klijenata. Kao odgovor na upit, ) serveri mogu da pruže traženu informaciju, da pruže pokazivač na drugi server koji može dad pomogne u razrešavanju upita ili da odgovore da ne poseduju traženu informaciju ili da takva informacija ne postoji. DNS rareavaBi . 1rogrami koji pomoću ) upita traže informacije od servera. Iazrešavači mogu da komuniciraju sa udaljenim ) serverima ili sa programom ) servera koji se izvršava na lokalnom računaru. Iazrešavači su obično ugraeni u pomoćne programe ili im se može prići kroz bibliotečke funkcije. Iazrešavač može da se izvršava na bilo kojem računaru, uključujući i ) server. Hapisi resursa. kupovi informacija u ) bazi podataka koji mogu da se koriste za obradu klijentskih upita. vaki ) server sadrži zapise resursa koji su mu potrebni za odgovaranje na upite za deo prostora imena nad kojim je nadležan. /) server je nadležan za neprekidni deo ) prostora imena ako sadrži informacije o tom delu prostora imena.0 Hone. eprekidni delovi ) prostora imena za koje je server nadležan. erver može biti nadležan za više zona. Datoteke ona. )atoteke koje sadrže zapise resursa za zone za koje je server nadležan. U većini implementacija )%a, zone su realizovane kao tekstualne datoteke.

Zone Bona je neprekidan deo ) prostora imena. &na sadrži niz zapisa koji se čuvaju na ) serveru. vaka zona je vezana za odreeni čvor domena. :eutim, zone nisu domeni. ) domen je grana prostora imena, dok je zona deo ) prostora imena koji se uglavnom čuva u datoteci i može da sadrži više domena. )omen može da se podeli u više particija, a svaku particiju ili zonu, može da kontroliše drugi ) server. Koristeći zonu, ) server odgovara na upite o računarima iz svoje zone i nadležan je za tu zonu. 1rimarna zona je primerak zone koji se ažurira, dok je sekundarna zona kopija zone koja se replicira sa glavnog servera. a slici #.# prikazan je primer ) domena koji sadrži dve primarne zone. U ovom primeru, domen reskit.com sadrži dva poddomena= noam.reskit.com i eu.reskit.com. adležnost za poddomen noam.reskit.com poverene je serveru noamdc#.noam.reskit.com. 1rema tome, kao što se vidi na slici #.#,

jedan server noamdc#.noam.reskit.com nadležan je za zonu noam.reskit.com, a drugi server, reskitdc#.reskit.com nadležan je za zonu reskit.com koja sadrži i poddomen eu.reskit.com.

) server možemo konfigurisati tako da upravlja jednom zonom ili sa više njih, u zavisnosti od naših potreba. :ožemo da napravimo više zona da bi poverili administrativne zadatke različitim grupama i postigli efikasniji raspored podataka, a možemo i istu zonu da čuvamo na više servera da bismo rasporedili opterećenje i povećali otpornost na greške.

+/S S34534, a ) serveru se mogu čuvati podaci za nijednu zonu, za jednu zonu ili za više zona. Kada ) server primi ) upit, on pokušava da pronae zahtevanu informaciju uzimajući podatke iz svojih lokalnih zona. Dko to ne uspe, zato što server nije nadležan za zahtevani ) domen i zato nema podatke o zahtevanom domenu, server može da proveri svoj keš, poveže se sa drugim ) serverima da bi razrešio upit ili da uputi klijenta na drugi ) server koji bi mogao imati odgovor. ) serveri mogu da čuvaju primarne i sekundarne zone. erver možemo da konfigurišemo tako da čuva onoliko različitih primarnih i sekundarnih zona koliko je to praktično, što znači da server može da čuva primarni primerak jedne zone i sekundarni primerak druge zone ili da čuva samo primarni ili samo sekundarni primerak jedne zone. Ba svaku zonu, server koji čuva primarnu zonu smatra se primarnim serverom te zone, a server koji čuva sekundarne zone smatra se sekundarnim serverom za te zone. asuprot tome, sekundarne zone se repliciraju sa drugog servera. Kada se na sekundarnom serveru zone definiše zona, ona se konfiguriše sa !1 adresom servera sa kojeg zona treba da se replicira. erver sa koga se zona replicira može da bude primarni ili sekundarni server zone i ponekad se naziva glavnim serverom sekundarne zone. 1rilikom pokretanja sekundarnog servera zone, on uspostavlja vezu sa glavnim serverom zone i pokreće transfer zone. ekundarni server zone takoe povremeno uspostavlja vezu sa glavnim serverom zone i proverava da li su se podaci zone promenili. Dko jesu, on može da pokrene prenošenje podataka zone koje se naziva transfer zone. Ba svaku zonu moramo da imamo primarni server. &sim toga, za svaku zonu bi trebalo da imamo

bar jedan sekundarni server, inače niko neće moći da razrešava imena u toj zoni ukoliko primarni server otkaže.

5,I3S@4&G< 43A,G<;,Q< %ctive Directory podržava višestruko repliciranje /engl. multimaster replication0, što označava repliciranje u kome svaki kontroler domena može da pošalje ili primi ažurirane informacije koje se čuvaju u bazi podataka servisa %ctive Directory. Ieplikacija se obavlja po pojedinim svojstvima, što znači da se kopiraju samo bitne izmene. &vakva replikacija se razlikuje od punog transfera zone )%a u kome se kopira cela zona. &vakva replikacija se razlikuje i od postupnog transfera zone u kome server prenosi sve izmene koje su napravljene od poslednje izmene. :eutim, kod replikacije baze podataka servisa %ctive Directory šalje se samo krajnji rezultat svih izmena u zapisu. Kada čuvamo primarnu zonu u servisu %ctive Directory, informacije o zoni se repliciraju u svim kontrolerima domena unutar domena servisa %ctive Directory. vaki ) server koji se izvršava na kontroleru domena je zato nadležan za tu zonu i može da je ažurira.

+/S 8 ,/S@.>O0  elektujemo /čekiramo0 Domain Name System < ) 9, i pritiskamo dugme 5k .  Kliknemo dugme Next da započnemo instaliranje servisa.

U Start  Programs %dministrative "ools imamo novi prozor pomoću koga kontrolišemo ).

4,M34B Kliknemo na znak plus pored CIGCI%a i videćemo fasciklu pod nazivom 8orward 4ookup Hones i drugu fasciklu sa nazivom 7everse 4ookup Hone. Kreiraćemo zonu vts %zona za pretraživanje unapred, desnim klikom na fasciklu 8orward 4ookup Hones i izborom New Hone, što inicira .@#a. slika >.@# i >.@>

Kliknemo na Next i dolazimo do prozora /slika >.@#b.0 u kome biramo tip zone. &vde govorimo .@>.

&vde biramo da li će naš server održavati zonu. 9iramo "his server maintains the one i pritiskamo Next da bi videli sliku >.@@. &vde ukucavamo naziv zone / vts0, i pritiskamo Next da bi videli sliku >.@.

&vde odreujemo da li će ) zona prihvatati samo dinamička podešavanja ili ne. &pcija %llow only secure dynamic updates je dostupna samo zonama koje su pod kontrolom aktivnog direktorijuma. %llow both nonsecure and secure dynamic updates , dozvoljava obnavljanje od strane bilo kog klijenta. Do not allow dynamic updates , dozvoljava samo QručnoQ obnavljanje zone. 1ritiskamo Next čime dolazimo do ekrana kao na slici >.@$.

&vde nas .@R.

&vde se nalazi dugme za pauziranje zone i dugme koje nam omogućava da menjamo status servera od primarnog za zonu, do jednog od potencijalno mnogih sekundarnih za zonu. &vo je važno dugme zato što je to način kojim unapreujemo sekundarni ) server u primarni za zonu. ledeća kartica je Start of %uthority /slika >.@V0. 1rvo polje je polje serijskog broja % Serial number . &no pokazuje koliko je promena načinjeno u zoni od njenog kreiranja. &vo polje ne menjamo i

Primary Server odreuje autoritet ) servera za ovaj domen. 7esponsable person sadrži e%mail adresu onoga koga treba kontaktirati u vezi sa problemima i pitanjima. "o je e%mail adresa, ali čudno formatirana % hotmaster.vts.ni.ac.yu je način kojim S5% podatak čuva adresu hotmastervts.ni.ac.yu. U svakom slučaju, adresu možemo zameniti bilo kojom odgovarajućom adresom. ledeće tri brojke pokazuju sekundarnim serverima kako da dobiju informacije od primarnog servera. 1olje sa nazivom 7efresh interval govori svim sekundarnim serverima da kontaktiraju primarni server najmanje jednom u #$ minuta. Ukoliko u tome ne uspeju, 7etry interval polje govori sekundarnim serverima da pokušaju komunikaciju sa primarnim serverom svakih #? minuta. 1olje )xpires %fter govori sekundarnim serverima da, ako nisu uspeli da uspostave kontakt sa primarnim ) serverom tokom jednog dana, trebali bi da pretpostave da su informacije, koje poseduju, zastarele i da ih odbace. )rugim rečima, kada sekundarni server ne može da pristupi primarnom serveru duže od jednog dana, tada u suštini sekundarni server jednostavno prestaje da odgovara na raspitivanja o pretvaranju naziva. 1reostala dva polja govore drugim ) serverima koliko dugo da pamte podatke o pretvaranju naziva. ""6 je skraćenica od "ime "o 4ive i izražena je u formatu= daniIsatiIminutiIsekunde. !inimum .@A0 u kojoj sami odreujemo nazive za druge servere naziva. Kartica Hone "ransfers izgleda kao na slici >.@O.

)a bi sekundarni serveri mogli da funkcionišu, oni moraju kopirati informaciju iz fajla zone primarnog servera u sopstveni fajl zone % da bi se osigurali da je njihova baza podataka naziva i !1 adresa ažurirana. Kopiranje zonskih informacija sa jednog servera na drugi se naziva one transfers % transfer zona. Kao standardno usvojeno, ovaj ) server će preneti sadržaj njegovih fajlova zone na bilo koji drugi server koji ih zatraži. Dli poznavanje naziva naših sistmskih mašina može pomoći lošim momcima da ugroze sigurnost naše mreže, tako da nam ;indo??@ daje opciju da sasvim onemogućimo prenos, da imenujemo prihvatljive ) servere za ograničeni prenos, ili samo serverima naziva koji su na kartici Name Servers. Kada je u pitanju sigurnost mreže treba konsultovati administratore, korisnike ili, u slučaju da postoje, ljude koji odreuju politiku sigurnosti mreže. 1ritiskom na 5k potvrujemo uneta podešavanja i zatvaramo prozor. Bahvaljujući dinamičkom )%u, više ne moramo ukucavati naziv za svaki host u našoj podmreži. Dli moraćemo da unesemo neke od njih odmah, samo zato na naš ) server zna o kojoj mašini govorimo kada imenujemo drugi server naziva, server za poštu ili dajemo drugi naziv za datu mašinu. )esnim klikom na fasciklu Xmsdcs.vts.ni.ac.yu, biramo New -ost i dolazimo do okvira kao na slici >.?.

4,M34B U polju +P address popunjavamo informacije o 6D router%u domena Xmsdcs.vts.ni.ac.yu na adresi #R?.OO.@V.#. "akoe čekiramo kontrolni okvir (reate associated point ??@ implementaciju. NS455A=P na komandnoj liniji nudi mogućnost za obavljanje upita za testiranje ) servera i dobijanje detaljnih odgovora. &ve informacije mogu biti korisne za otkrivanje i rešavanje problema prilikom razrešavanja imena, za verifikovanje da su zapisi resursa pravilno dodati ili ažurirani u zoni i za otklanjanje drugih problema koji se odnose na server. 1okreće se sa komand prompta kucanjem komande nslookupYimeOYserverO , gde je ime vlasnik zapisa koji tražimo, a server je server kome želimo da pošaljemo upit.

;!

NetBios i Winsock :icrosoft je, od #OA$. godine pa naovamo, sve svoje mrežne aplikacije kreirao na temeljima mrežnog D1!%ja /interfejs aplikacionog programiranja0 pod nazivom et??@ mrežama, poseduje jedinstvenu !1 adresu, ali niko ne voli da ove adrese koristi za identifikaciju servera. Kada otvorimo direktorijum :E et>?.#?.OO.@>_ isto tako kompanija Dmazon reklamira prodaju knjiga preko <<<.amazon.com , a ne preko svoje !1 adrese, >?A.>#R.#A>.#$. 1otreban nam je, dakle neki server baze podataka /databaseserver0, koji može naziv <<<.amazon.com prevesti u >?A.>#R.#A>.#$ i nazov XX1CI&C6 prevesti u >>?.#?.OO.@>. &vaj postupak konvertovanja naziva kompjutera u njegovu !1 adresunaziva se prevoenjem /rešavanjem0 naziva /name resolution 0. a ovim problmom bili su suočeni i et9ios i ;insock ali su oni došli do različitih rešenja. Iadi prevoenja naziva, et9ios upotrebljava ;indo
Prevođenje naziva pre pojave WINS-a Klijenti koji su napisani pre pojave ;!%a, odnodno kljienti bez definisanog ;! servera, pri pokušaju prevoenja nekog et9!& naziva u !1 adresu, koriste nekoliko različitih metoda. Ukoliko ih imaju na rasolaganju, ovi kljienti će upotrebiti sledeće alate= o 4&" fajl, ukoliko postoji o Cmitovanje poruka /broadcasts0 o 6:4&" fajl, ukoliko postoji o ) server, ukoliko je prisutan na mreži •

WINS: NetBIOS nazivni servis za Windows 1re pojave ;!%a, svet kompjuterskih mreža bio je prilično negostoljubivo mesto, gde je svako izvikivao poruke i gde su mnoga pitanja /barem ona koja se odnose na prevoenje naziva0 ostajala bez odgovora. )a bi ;! servis uopšte funkcionisao, na kompjuteru koji če igrati ulogu ;! servera morate instalirati "  ili neki noviji serverski operaativni sistem /on neće raditi ni pod jednim starijim &%om, uključujući i " ;orkstation0. akon toga ;! server će se ponašati kao 9 server, prateći ko se sve nalazi na mreži i obavljajući previženje naziva na zahtev klijenata. U osnovi, kada po prvi put startujete nekog ;! klijenta /što je skraćeni naziv za bilo koji 15 na kome se izvršava neka vrsta :icrosoftovog, "512!1 mrežnog kljientskog softvera, dizajniranog da, za potrebe prevoenja 9" naziva, koristi ;!0, on će odmah otići do ;! servera i uredno mu se pretstaviti, ili, rečeno jezikom ;!%a, izvršiće registraciju svog naziva. Ustvari, kako većina kompjutera poseduje po nekoliko et9!& naziva, klijenti će sve ove nazive registrovati na ;! serveru. 1ritom, klijenti znaju adresu ;! servera, bilo na osnovu toga što ste ovu adresu ručno uneli, prilikom instaliranja "512!1 softvera na konkretnoj radnoj stanici, ili je, pak, radna stanica adresu ;! dobila od )451 servera, u toku procesa iznajmljivanja !1 adrese. Klijent, u stvari, dobija dve !1 adrese ;! servera= jednu za 'primarni( i jednu za 'sekundarni( ;! sevrer. Klijent, zatim, pokušava da pridobije pažnju primarnog ;! servera i da se registruje na toj mašini. Dli, ukoliko mašina, koja je označena kao primarni ;! server, u odreenom vremenskom periodu ne odgovori na ovaj zahtev klijenta, klijent će pokušaati sa registracijom na sekundarnom ;! •

#$R

serveru. Dko je, za razliku od primarnog, sekundarni server voljan da komunicira sa klijentom, klijent će se registrovati na sekundarnom ;!%u. "okom procesa registracije svog naziva na ;! serveru, radna stanica će ujedno moći da proveri da li poseduje naziv koji je potpuno jedinstven na datoj mreži. aime, ukoliko ;! server primeti da mreži već postoji neki kompjuter sa tim nazivom, on će radnoj stanici reći= 'e možete upotrebiti taj naziv(.  obzirom da i zahtev za registracijom, kao i poruka kojom server potvruje prijem tog zahteva /ackno
Dizajniranje multi-WINS mree "eorija višestrukih ;! servera kaže da biste, recimo, mogli imati jedan ;! server u Cvropi, jedan u Dfrici i jedan u severnoj Dmerici. Cvropljani će obavljaati svoju registraciju na evropskom serveru, Dfrikanci na afričkom na afričkom serveru a Dmerikanci na severno%američkom severu. D onda bi se, u pravilnim vremenskim intervalima, ova tri ;! servera mežusobno povezivala, radi kreiranja jedne globalne svetske liste ;! zapisa, na taj način što bi, nekom vrstom sortiranja2spajanja njihove baze podataka bio načinje svojevrstan amalgam od ova tri servera. Dli, kako se to ože postićiJ igurno je da ni u kom slučaju ne bismo želeli da vršimo prenos čitave afričke baze podataka sa nazivima, preko ;D linkova ka Cvropi i Dmerici, ako ni zbog čega drugog, ono zbog činjenice da se sadržaj ove baze podataka nije mnogo promenio u odnosu na jučerašnji dan. Kao rezultat toga, ;! na svoje nazivne zapise kači odgovarajuće vremenske i sekvencijalne brojčane oznake, kako bi se postigla ušteda u propusnom opsegu ;D linkova. ve to odlično funkcioniše u teoriji, ali u praksi to znači da će ;! serveri, od kojih se traži svo to sortiranje i spajanje zapisa, biti izraženo opterećeni u smislu procesorske snage, tako da, naravno, neće uspeti da zadovolje osnovne kriterijume pri izvršavanju svog osnovnog zadatka - prevoenje naziva. "o, takoe, znači da ne bi bilo loše rezervisati relativno mali broj servera - možda čak i samo jedan - koji, bukvalno, ne bi radio ništa drugo osim sortiranja2spajanja zapisa. •

•

DNS: centrala naziva u aktivnim direktorijumima

1ojavom ;indoesa >??? ili, preciznije, aktivnog direktorijuma, nazivni sistem na :icrosoftovim mrežama okrenut je naglavačke, a to je ostlo na snazi i pod operativnim sistemima N1 i server >??@. :ože se reći da je, još od #OA$. godine i pojave :%neta, pa preko različitih verzija 6D :anagera i operativnih sistema ;indo
bio neophodan ;!, odnosno, pre pojave ;!%a, 6:4&" fajlolvi, kao podrška pri prevoenju et9!& naziva. ) serveri, ako su uopšte i postojali, imali su drugorazredan značaj. :eutim, pojavom mreža koje se zasnivaju na aktivnom direktorijumu, sve se potpuno izmenilo. ) sada predstavlja srce D) nazivnog sistema. a mrežama koje se sastoje isključivo od ;indo??? i novijih operaativnih sistema i aplikacija, ujedinjeni preko domena aktivnog direktorijuma, ;! je potpu no izlišan. 9ez obzira koju vrstu domena koristite, ) je od presudnog značaja, jer bez njega ne možete pronaći željene resurse na !nternetu. ) predstavlja sistem za prevoenje naziva, koji je za potrebe !nterneta, izmišljen još davne #OA. godine. &vaj sistem Gam omogućava da svoj
!natomija DNS naziva ) poseduje sopstvena pravila za davnje naziva kompjuterima, pravila koja su u izvesnom smilslu, restriktivnija od onih kojima so morali da se povinujemo pod et9!&%om. ) nazovi se sastoje iz više delova, musobno odvojenih tačkama, tako da se, na primer, naziv kompjutera mEpc.test.minasi.com sastoji od četiri različita dela. )užina svkog dela ne može biti veća od R@ karaktera, dok maksimalna dužina čitavog naziva iznosi ukupno >$$ karaktera. 1rema I85 ##>@, prilikom kreiranja ) naziva možete upotrebiti isključivo sledeće karaktere= D%B, a%z, ?%O i HH%HH. Dko neki ) naziv rastavite na delove, deo koji se nalazi krajnje levo predstavljaće naziv konkretnog kompjutera, dok preostali delovi, na njegovoj desnoj strani, predstavljaju naziv njegovog DNS domena ili DNS sufiksa. )akle, primera radi, naziv mašine mEpc.test.bigfirm.biz, može se rastaviti na sledeća dva dela= •

mEpc P test.bigfirm.biz naziv mašine P naziv domena2sufiksa

DNS nazivni prostor &gromna veličina mreža na kojima ) može upravljati nazivima bukvalno je zapanjujuća. Dko mu date naziv bilo kog kompjutera na !nternetu, on će Gam, obično za svega par sekundi, dati !1 adresu tog kompjutera. 9aza podataka sa nazivima svih kompjutera na !ntrenetu predstavlja zaista velliku bazu koja se svakog trenutaka menja - ali, ipak besprekorno funkcioniše. a bilo kog kompjutera na !nernetu, možete bez problema pronaći adresu bilo kog drugog kompjutera na !nternetu, upotrebom takozvane globalne ) hijerhije, ili 'nazivnog prostora( /name space0. •

"poznavanje sa #ijerar#ijom &dgovornost za praćenje odnosa na relaciji 'nazivi !1 adrese( spuštena je na lokalni nivo - na primer, ako svoj
#$A

Fitajući s leva na desno, vidimo da test predstavlja subdomen ili dete%domen domena pod nazivom minasi.com. "o praktično znači da je kreator domena test.minaasi.com, ko god to bio, prethodno morao da dobije odgovarajuće odobrenje od osobe koja je zadužena za upravljanje domenom minasi.com. Dli, šta predstavllja minasi.comJ &n je, u stvari, dete%domen /child domen0 domena pod nazivom, jednostavno, com. 1rema tome, radi kreiranja domena minasi.com, neko je morao da od ljudi koji su zaduženi za domen com zatraži dozvolu za kreiranje jednog subdomena domena com, pod nazivom 'minasi(, ili drugim rečima, za kreiranje domena 'minasi.com(. trogo precizno govoreći, mEpc.test.minasi.com nije kompletan ) naziv mEpc.test.minasi.com.. Dko malo pažljivije pogledamo, uočićemo da se na samom kraju kopletnog naziv nalazi još jedna tačka. 1rema tome, domen com predstavlja dete%domen domena '.( koji se izgovara kao 'dot( i naziva korenom /root0 ) hijerarhije. )akle, radi kreiranja domena com bilo je potrebno zahtevati dozvolu % koja se dodeljuje samo jednom % od odgovarajuće organizacije, koja je vlasnik root /.0 domena /U početku, vlasništvo nad korenim domenom je pripadalo Gladi D), ali je kasnije ova odgovornost prebačena na neprofitnu organizaciju pod nazivom !nternet 5orporation for Dssigned ames and umbers, ili !5D0. Bnači, radi kreiranja minasi.com domena bila je potrebna samo dozvola ljudi koji upravljaju .com domenom. )akle, u tu svrhu nije potrebno pribaviti saglasnost drugih .com kompanija, kao što su microsoft.com, ibm.com ili saralee.com - bilo je potrebno samo zeleno svetlo samo od roditeljkog /parent0 .com domena, koji je pod kontrolom kompanije et
$a%to je DNS #ijerar#iju potre&no 'raditi &a% na ovakav na(in 1oznato je da se u, "512!1 svetu, sve što poseduje !1 adresu naziva hostom. a početku A?%ih godina prošlog veka, kada se !nternet /koji još uvek nije nosio naziv !nternet, nego DI1Dnet0 sastojao od svega par stotina kompjutera, na jednom serveru :!" !nstituta, postojao je fajl koji je sadržao listu naziva i !1 aadresa ovih 'nekoliko( kompjutera. &vaj fajl je nazvan 4&", jer je, dakle, sadržao listu svih hostova na tadašnjem !nternetu. Kada bi neko, na nekoj udaljenoj lokaciji, postavio novi kompjuter na svoju lokalnu mrežu, koja je bila priključena na DI1Dnet, onda bi ta osoba jednostavno kontaktirala nekog iz :!"%a, a ovaj bi, zatim, izvršio ažuriranje 4&" fajla. *edanput dnevno, svi korisnici bi se konektovali na :!" server i sa njega preuzeli sveže ažuriranu verziju 4&" fajla. Dko pretpostavimo da na !nternetu ima >?? milona kompjutera i da svaki zapis u 4&" fajlu ima dužinu od oko ? karaktera - to bi ukupno iznosilo oko A gigabajta. :orali bismo, dakle, da se svakog dana po jedanput konektujemo na neki centralni server i da sa njega preuzmemo A giga podataka. +to je još gore, svaki put kada na mrežu postavimo neki novi kompjuter o tome bismo morali da obavestimo nekog službenika u centralnom svetskom skladištu 4&" fajla i da zatim živimo u nadi da će on blagovremeno izvršiti ažuriranje tog fajla. adalje, kada na mrežu priključimo novi kompjuter, ili nekom postojećem nazivu promenimo !1 adesu % kao, na primer, u slučaju kada
Ioot domen

#$O

./root0 .com minasi.com

.org microsoft.com

hL.minasi.com test.minasi.com

.net )omen drugog nivoa /second -level0

.gov

.rs

doj.gov

)omen najvišeg nivoa /top%level0

ubdomen ili dete % domen

:Epc

Slika !.2 >ijerarhija javnog +/S8a

)op-level domeni !spod root domena postoji doslovno na stotine takozvanih top/level /najvišeg nivoa0 domena. :eu njima su svakako najpoznatiji .com, .net i .org domeni, koji su postali neka vrsta globalnih 'svaštarskih( /catch all0 domena. adalje, svaka država poseduje sopstveni top level domen - za rbiju to je .rs, jedinjene Dmeričke )ržave poseduju .us, Gelika 9ritanija .uk i tako dalje. 1ojedine )ržave odlučile su da svoj top%level domen ponude na registraciju kao što je to slučaj sa ostrvskom državom 5ocs Keeling !sland koju mnogi njeni žitelji upotrebljavaju kao alternaativu .com, .org ili .net domenima. &vo ostrvo broji ukupno R? stanovnika a #OO$ godine njihov glavni izvozni artikal je bio kokosovo brašno, danas možda svi stanovnici ovog malenog ostrva žive od bogatstva koje su steli kao 'kraljevi dot.cc domena(. )rugi interesantan primer predstavlja takoe jedna ostrvska država, doduše nešto brojnija /oko #?.??? stanovnika0, po imenu "uvalu, kojoj je, igrom slučaja dodeljen top%level domen sa marketinški izuzetnim nazivom .tv. "op%level domeni .gov, .mil i .edu obično se odnose na državne, vojne i obrazovne institucije.vel domni nalaze Iazličiti top%level domeni nalaze se pod kontrolom različitih organizacija. 1rimera radi, očigledno je da &tta
Second-level domeni: pretraivanje #ijerar#ije econd%level domen može se kreirati samo uz blagoslov vlasnika roditeljskog domena. Iadi kreiranja second%level domena, roditeljski domen može da uradi samo jednu stvar= da odgovornost za nazive na second%level domenu 'delegira( na nkoj od mašina. 1retpostavimo da smo
roditeljskog /parent0 domena - drugim rečima, ) serveri na com domenu mogu nam saopštiti adrese svih servera na domenu minasi.com. Dli, naš posao još uvek nije završen, jer se sada postavlja pitanje 'Kako glasi !1 adresa /ili adrese0 ) servera na com domenuJ( U skldu sa malopre definisanim pravilom, koje kaže da adrese ) servera nekog domena možete dobiti od ) servera njegovog roditeljskog domena, to znači da adresu ) servera z domen com možete dobiti sa servera njegovog roditeljskog '.( -root domena. )akle, ) servere ) servere za minasi.com pronašli smo uz pomoć servera za domen com, a ) servere za domen com pronašli smo tako što smo upitali root, ali od koga bi trebali da zatražimo adrese ) servera za root, s obzirom da root nema roditeljaJ &dgovor glasi= 'upotrebićemo trik(. vaki primerak ) serverskog softvera sadrži jednu vrstu liste sa trikovima, pod nazivom root hints file, u kome su navedeni nazivi i !1 adrese ukupno #@ 'korenih( ) servera. Ukoliko se radi o ) serveru zasnovanom na nekom od :icrosoftovih operativnih sistema, na jemu se može pronaći fajl pod nazivom cashe.dns - običan D5!! fajl, koji se može pregledati uz pomoć otepada - a smešten je unutar direktorijuma XXXdns /ili, eventualno, u XXdns0. Kada, dakle, naš ) server, u svom root hints fajlu, locira adresu ) servera za domen root, on će od njega zatražiti adrese ) servera za do men com, pa zatim, od nekog servera sa com domena, zatražiti adresu minasi.com ) servera, nakon čega će od minasi.com servera zatražiti !1 adresu mašine pod nazivom <<<, koja se nalazi na domenu minasi.com i, konačno, izvršit prevoenje naziva koje smo mu zadali. )a sumiramo šta se sve dogodilo kada je naš lokalni server pokušao da prevede naziv <<<.minasi.com= #. 1rvo, naš ) server je zaključio da treba da pronae minasi.com ) server. >. )a bi pronaša minasi.com ) server, naš ) server je zaključio da treba da pronae adrese servera za domen com, jer domen com predstavlja roditeljski domen minasi.com domena. @. Iadi pronalaženja ) servera za domen com, naš ) server je odlučio da poraži root ) servere. . !1 adrese root ) servera, naš ) server je saznao iz root hints fajla. $. Koristeći !1 adresu root ) servera, on je od njega zatražio adresu ) servera za domen com. R. Ioot ) server je našem ) serveru dao adrese ) servera za domen com. V. aš ) server je uzeo jednu od ovih adresa, pa zatim, od tog ) servera za domen com, zatražio adrese minasi.com ) servera. A. ) server domena com, poslao je našem serveru adresu servera za domen minasi.com. O. aš ) server je od minasi.com ) servera zatražio prevoenje naziva <<<.minasi.com. #?. "aj minasi.com ) server je izvršio prevoenje traženog naziva i našem ) serveru poslao !1 adresu kompjutera <<<.minasi.com.

Domeni tre*e' nivoa+ deca-domeni ili su&domeni 1retpostavimo sada, da smo odlučili da naš domem podelimo na više subdomena ili dece%domena. Bamislite da smo kreirali jedan subdomen pod nazivom test.minasi.com. +ta je potrebno da bismo to postigliJ -)elegiranje. !z prethodnog primera, sa prevoenjem naziva <<<.minasi.com, videli smo da ) server vrši prevoenje naziva tako što najpre kreće nagore po ) hijerarhiji, sve dok ne doe do roota, da bi zatim krenuo u suprotnom smeru, sve dok konačno ne pronae ) server koji može odgovoriti na njegovo pitanje. Dli, zar root serveri ne bi trebalo da budu sposobni da sami prevedu naziv <<<.minasi.comJ &dgovor je - ne, root i com domeni ne bi trebalo da budu sposobni za prevoenje naziva <<< na domenu minasi.com, jer su oni odgovornost za prevoenje naziva na domenu minasi.com delegirali na jednu konkretnu grupu ) servera, to jest na minasi.com ) servere. 1reciznije govoreći, root domen sadrži u sebi takozvane  /name server0 zapise, kojima se odgovornost za domen com delegira na ) com servere, dok ) serveri za domen com sadrže u sebi  zapise, kojima se odgovornost nazivnog servera za domen minasi.com delegira na minasi.com servere. )akle, da se vratimo na početak, kreirali smo jedan subdomen i dodelilil mu naziv test.minasi.com. )a bi ovaj subdomen zaista postao realnost, potrebno je da budu ispunjena dva uslova= •

#R#

•

•

1rvo moramo jednom od svojih kompjutera dodeliti ulogu ) servera za test.miinasi.com subdomen. &va mašina bi, naravno, morala imati stalan pristup !nternetu. )rugo, ostatak sveta moramo obavestititi da, radi prevoenja naziva mašina sa test.minasi.com domena, treba da potraže upravo njegov ) server. "o ćemo uraditi delegiranjem odgovornosti nazivnog servera, tako što ćemo, unutar ) baze podataka na domenu minasi.com, kreirati jedan  zapis koji kaže 'Unutar domena minasi.com postoji jedan subdomen pod nazivom test, pa ako želite da pronaete bilo koji naziv iz tog subdomena, onda nemojte pitati mene, već ovaj drugi ) server.(

, čas

Sistemi datoteka

 čas

+eljenje i )ez)ednost datoteka

,.. Bez&ednost 1rvi zadatak svake mreže jeste da pruži odreeni servis - ona predstavlja centralno esto za skladištenje jednostavnih objekata, kao što su fajlovi, i nekih kompleksnijih objekata, kao što su baze podataka, deljeni štampači ili faks servisi. ve ovo ima za cilj da ljudima omogući različite oblike komunikacije, poput e%maila, video konferencije i svih drugih tehnologija koje će se pojaviti u budućnosti. :eutim, odmah iza lea ovog prvog zadatka nala zi se drugi zadatak kompjuterske mreže= bezbednost. ekada je većina kompjuterskih mreža bila slabo obezbeena, ili čak potpuno neobezbeena, ali je sama ljudska priroda neizbežno dovela do korenitih promena na ovom planu, tako da je sad apsolutno nemoguć povratak na staro. a isti način kao što vlasnici radnje zaključavaju uazna vrata, ormare sa dokumentima i registar kase da bi sačuvali svoja fizička dobra, tako i moderne kompanije nastoje da sačuvaju svoja informaciona dobra. 9ez obzira koje proizvoač mrežnog softvera koji koristimo, bezbednost kompjuterskih mreža se tipično svodi na dva osnovna elementa= provera autentičnosti /authentication0 i autorizacija /authorization0. :ada postoji širok spektar bezbednosnih mera, sve se one, u suštini, svode na samo dva elementa= proveru autentičnosti /authentication9 i dozvole / permissions0 •

•

Kao prvo, želeli bismo mogućnost identifikacije korisnika koji ulaze u našu mrežu. "o se postiže proverom autentičnosti. ! drugo kad nedvosmisleno utvrdimo sa kim razgovaramo - odnosno, kad smo proverili njegovu autentičnost - moramo biti u stanju da na odgovarajućem mestu pronaemo podatke o tome šta je toj osobi dozvoljeno da uradi, to jest koje dozvole on poseduje. )rugim rečima, sama činjenica da je provera autentičnosti uspešno obavljena ne znači da će toj osobi automatski biti dozvoljen pristup.

,...Potre&a za &ez&edno%*u 1odaci jednog preduzeća ključni su za njegov opstanak i moraju da budu veoma dobro zaštićeni. Ddministratori mreže moraju da obezbede da podaci uvek budu pouzdani i nepristupačni za druge. 1ostoje mnogobrojni mehanizmi koji se mogu upotrebiti za kao pomoć za očuvanje integriteta i tajnosti podataka. U opseg tih mehanizama spada sve, od definisanja strogih pravila pristupa podacima do šifrovanja, pravljenja rezervnih kopija i obezbeivanja stalne raspoloživosti podataka.

,../"no%enje podataka 1odaci su podložni napadu i krai od trenutka kada korisnik upiše svoje ime i lozinku. Koliko često ste morali da upisujete lozinku dok vam je neko virio preko ramenaJ 9ez obzira na brzinu kojom #R>

kucate, zlonamernici će pokupiti vaše lozinke brže nego što možete zamisliti. Kada ne budete za svojimradnim stolom, ono će prepisati vaše korisničko ime iz prijavnog ekrana i prijaviti se pod njim s nekog drugog računara. 1ooću pametne kartice / smart card 0, korisnik se loguje bez rizika odavanja tajnih podataka, pošto je kradljivcu potrebna i sama kartica da bi ostvario svoju nameru. Fitači pametnih kartica jedno su od najsofisticiranijih rešenja za utvrivanje identiteta unutar domena ;indo??@.

,..,Prenos podataka &perativni sistem računara ili ureaja za unošenje podataka mora da prosledi podatke, najpre, nadole kroz slojeve mrežnih protokola do mrežnog interfejsa upravljača domena. 1odaci mogu da budu presretnuti bilo gde duž cele te putanje. Dko nisu šifrivani ili ako su vrlo slabo šifrovani, postoji mogućnost da neko ko prisluškuje saobraćaj na mreži presretne razmenu podataka izmeu vašeg ulaznog ureaja i upravlajča domena, ili bilo kog drugog sagovornika. )a bi se to sprečilo, u ;indo??@ se koriste sloene tehnologije šifrovanja prilokom prenosa podataka i mrežnih komunikacija, kao i pri upisivanju datoteka na diskove i za njihovu zaštitu.

,..01ta u'roava &ez&ednost sistema2 •

•

•

•

1ostoji mnogo razloga zbog kojih bi neko ugrozio bezbednost vašeg sistema. IpijuniranjeB eki ljudi bi rado provalili u vaš 'zabran( da bi saznali poslovne tajne vaše organizacije, lične tajne zaposlenih, nacrte proizvoda preduzeća, finansijske podatke, poslovnu strategiju itd. &vo je najopasnija pretnja po bezbednost. apadači su izuzetno motivisani da uspešno ostvare napad. &ni ne žele da budu otkriveni i nastaviće da se kriju u vašem okruženju dok to bude potrebno. Ukoliko napadači ostanu neotkriveni, šteta je često nepopravljiva. &dbrana od ovakve vrste napada je najteža, jer najčešće ne znate gde napadaju niti šta traže. !ako rukovanje prislušnim ureajima i špijuniranje obično nisu deo zadatka administratora mreže ili servera, špijuniranje putem mreže postje svakim danom sve verovatnije, jer je toliko jednostavno i zato što se na taj način dolazi do navećih dragocenosti. 4akeri, putem mreže, čitaju sadržaj datoteka i poruke elktronske pošte i gde god mogu, pokušavaju da upadnu u baze podataka da bi ukrali brojeve kreditnih kartica, brojeve bankovnih računa itd. O)aranje sistemaB vrha ove vrste napada j e da vas uništi. 5ilj napadača mogu da budu računari na vašoj fizičkoj lokaciji ili cela vaša mreža, jer ste povezani !nternetom ili korisnicima dozvoljavate daljinski pristup. &vo ubrzano postaje najjpopularniji način uništavanja vašeg truda= prvo, zbog zavisnosti vaše organizacije od mreže i drugo, zato što napadač ne mora da bude fizički prisutan u vašoj mreži da bi izveo napad. apad kojim se sistem toliko zaguši da ne mož da obavlja svoje funkcije /)enial of ervice, )o0 može da bude u obliku zatrpavanja vašeg mrežnog prolaza /cilj je vaš prolaz na !nternet0 ogromnim brojem elektronske pošte, ili u obliku sEn napada, odnosno postavljanjem komunikacionih zapreka niskog nivoa koje troše resurse servera dok ga potpuno ne obore. 1onekad se server obara samo da bi se prilikom ponovnog podizanja pokrenuo skriveni kod, koji pokreće odreene procese... U mreži ima milion mesta na kojima može da se sakrije blok koda, koji se izvršava kada se učitaju odreene datoteke. )obar primer toga su datoteke koje se izvršavaju prilikom podiazanja sistema kao što je DU"&CNC5.9D". /eprijateljske aplikacijeB a !nternetu postoje 'neprijateljski nastrojene( aplikacije koje posetioci ;eb lokacija preuzimaju ništa ne suteći. Kada tu vrstu aplikacije pokrenete unutar svoje mreže, ona počinje da obavlja svoj prljavi posao, što ne mora dabude nešto po čemu biste je odmah otkrili, s ciljem da pronae podatke koji bi ogli da budu korisni napadaču. &va vrsta aplikacije poznata je i pod nazivo trojanski konj. /apadi virusaB vakako najčešća vrsta napada na mrežu obavlja se putem virusa. uprotno tvrdnjama da postoje desetine hiljada potpuno različiti virusa,samo vrlo mali broj ljudi može da tvrdi da su sami napisali odreeni virus od početka do kraja. a !nternetu postoji velika količina virusnog koda koji možete slobodno preuzeti, prepraviti ili poboljšati svojim kodom. Bbog toga se svakog meseca pojavljuju nove varijacije postojećih #R@

virusa. eke možete da otkrijete i očistite omoću antivirusnog softvera_ druge su mnogo opasnije, npr. zloglasni 9ackdoor%3, koji antivirusni softver otkriva nakon što ovaj izvrši svoj kod. e samo što time obara vaš 15 pre nego što ga otkrijete, nego najpre napada antivirusni softver. 9ezbednost sistema može da bude ugrožena spolja i iznutra. &pasnost dolazi iz spoljnog okruženja kada bezbednost ugrožavaju ljudi koji nisu u ugovornom odnosu sa firmom. "o su potpuni stranci, a njihovi napadi dolaze spolja. &pasnost može stići iz unutrašnjeg okruženja ako bezbednost sistema ugrožavaju ljudi koji su povezani sa firmom. "o mogu da budu zaposleni, ljudi u ugvornom odnosu sa firmom ili klijenti firme. apade obično izvode unutar sistema. 1onekad to čine spolja, koristeći unutrašnje informacije, a ponekad bezbednost sistema nije ugrožena zbog nečije osvete ili zle namere, već zbog neznanja.

,..3Spoljno okruenje )o nedavno, jedini način da ugrozite bezbednost neke organizacije ili da napadnete nju, zaposlene u njoj ili njeeno poslovanje, bio je da ugrozite neku jenu fizičku imovinu. Giše nije tako. 4akeru je neuporedivo jeftinije i bezbednije da iz svog skrivenog kutka pokuša da upadne u mrežu kroz ulaz za daljinsko pristupanje ili vezu sa !nternetom. 1ošto danas i mnogo manje kompanije mpogu sebi da priušte stalne veze sa !nternetom, mogućnosti upada u nihove mreže postale su još privlačnije. !ako smo još daleko od kancelarije bez papira, gotovo svi podaci s čuvaju negde u mreži u deljenim datotekama i bazam podataka. "o znači da su mreža i server prepuni dragocenih podataka. Giše nije ni neophdno da napadači unapred odaberu svoje ciljeve. &ni pišu štetan kod koji korisnici nepažnjom preuzimaju sa !nterneta. "akav kod se može pokrenuti na više načina, npr. ponovnim pokretanjem operativnog sistema ili samim raspakivanjem komprimovane datoteke. Kod, zatim, može da prikupi poverljive podatke i pošalje ih svom vlasniku. 1rema tome, zaista je navažnije definisati pravila koja obezbeuju da kod preuzet sa !nterneta bude proverenog porekla, da mu je pridružen digitalni potpis /javni ključ0 pouzdanog proizvoača softvera. 1oruke elektronske pošte danas imaju status korespodencije koja je vlasništvo firme i mogu da se koriste kao dokaz u sudskim sporovima ili kao izvor informacija pri planiranju napada na odreenu osobu ili organizaciju. !ako većina meu nama više komunicira lektronskom poštom nego običnom, ipak se prema porukama elektronske pošte odnosima kao prema razglednicama. e stavljamo ih u zapečaćene koverte, već ih puštamo u promet tako da svako može da pročita njihov sadržaj. 1oruke elektronske pošte treba da budu zaštićene na dva nivoa. :oramo biti sigurni da su osobe sa kojima komuniciramo zaista one za koje se izdaju. &sim toga, moramo se uveriti i da sadržaj poruka koje šaljemo neće biti pročitan ili izmenjen dok one putuju mrežom. Geoma se lako može pratiti put kojim je poruka prošla !nternetom dok nije stigla do sistema za elektronsku poštu. Baštita poruka elktronske pošte postaje izuzetno važna_ problem spada u oblast šifrovanja metodom javnog ključa.

,..4"nutra%nje okruenje 1retnje po bezbednost iz untrašnjeg okruženja potiču od zaposlenih u firmi, koji mogu da budu zlonamerni, neznalice ili da prave nenamerne greške. 9ezbednost sistema može da bude ugrožena na razne načine, od naerne zloupotrebe dodeljenih prava, do otpunog neznanja ili gluposti. a primer= neko kome su data ovalšćenja administratora mreže može ih zloupotrebiti da bi sebi obezbedio pristup tajnim podacima. eznanje čini da korisnici često nemaju ažurne kopije antivirusnog softvera, ili da preuzimaju sve vrste 'smeća( sa !nterneta, uvodeći na taj način iz spoljašnjeg okruženja potencijalno opasan sadržaj u mrežu. 1otpuno neznanje ili nenaerne greške često su uzrok glavobolja adminstratora. jihove posledice mogu da budu izbrisane datoteke, oštećenje baze podataka, izbrisani direktorijumi za elektronsku poštu i tome slično. !zbrisane datoteke možete obnovite iz rezervnih kopija, pod uslovom da se u vašoj firmi strogo poštuju pravila za izradu rezervnih kopija. U većini slučajeva, obnavljanje izbrisanih datoteka administratoru je izgubljeno vreme, jer to mora sam da uradi. Festo uzrok nema nikakve veze sa korisnicima, već je rezulta lošeg rada lenjog administratora servera ili mreže. #R

, čas ,, čas ,,, čas ,5 čas 5 čas

3videntiranje doga#aja u ,/+OS S34534 266! :ez)edonosna pitanja u mrežnim operativnim sistemima +aljinsko povezivanje na mrežu =4
0 $!1)O 5O6IS)I)I WINDOWS S76876 /99,

Kompjutersku mrežu bismo mogli izgraditi na temelju velikog broja drugih operativnih sistema, uključujući Uni7, 6inu7, ovell et;are, !9:%ovih &2?? ili :G, 5ompaLov G:... zbog čega bismo upotrebili " ili njegovu najnoviju inkarnaciju ;indo??@J

•

On je lider na trži-tu

Gećinaa statističkih podataka ukazuje da familija :icrosoftovih operativnih sistema vlada najvećim delom tržišta - po nekim statistikama oni su instalirani na @ procenata svih serverskih računara. Finjenica da im pripada lavovski deo tržišta, ujedno podrazumeva da je za ove operativne sisteme najlakše pronaći stručne konultante, tehničku podršku, kao i veliki broj alata nezavisnih /third% partE0 proizvoača.

•

/jegov prepoznatljivi E&, interejs umnogome olak-ava početne korake u njegovoj primeni

Finjenica da ;indo??@ koristi 3U! interfejs koji je, u osnovi, isti kao kod ;indo??@ desktopu. )oduše, neke stvari su malo ispremeštane, ali uopšte uzev, kad se jednom nauči ;indo??@ neće zadavati neke naročite probleme. :ada 6inu7 predstavlja prilično moćan operativni sistem činjenica je da njegov korisnički interfejs nije za početnike_ bez obzira čto je za ovaj operativni sistem kreiran čiroki spektar različitih 3U! interfejsa, oni su još uvek tromi i nespretni. Upotrebom evera >??@ često možemo sami otkriti kako da rešimo neki problem, tako što ćemo malo 'prošetati( po 3U! interfejsu - on je, sam po sebi, mnogo zahvalniji za istraživanje, u poreenju sa onim operativnim sistemima koji se radi obavljanja zadataka iz oblaasti upravljanja, uglavnom oslanjaju na uptrebu komandne linije.

•

Mnogi alati se isporučuju Ju paketuK

Kada je " @.# po prvi put ugledao svetllost dana, bilo je prosto očaravajuće to što je on u sebi sadržao dial%in modul, kao i čitavu grupu drugih korisnih alata, koje je, kod njegovog glavnog konkurenta #R$

Predavanja - Admnistriranje Mreza-novi

Recommend Documents