Upravljanje korisnicima i resursima 6.

1 Administriranje korisnika U predhodnom poglavlju objasnili smo osnovne pojmove i termine koje svaki administrator mora da zna kako bi mogao da organizuje logiku strukturu preduzea domen. Ali to nije dovoljno da bi organizovali jedan efikasan mreni rad i omoguili korisnicima da nesmetano pristupaju svim mrenim resursima. Da bi se to ostvarilo potrebno je da uradimo jo jedan zadatak, koji neki nazivaju i srce administratorskog posla, a to je kreiranje naloga za korisnike, grupe i raunare kao i upravljanje istim. Verovatno da je ovo jedan od najdosadnijih poslova koje administrator obavlja jer je sa jedne strane jako jednostavan, monoton i veoma slian za mnoge korisnike tako da se rutinski obavlja. Sa druge strane je jako odgovoran jer se kreiranjem naloga daju odreena prava za korienje mrenih resursa i na taj nain odreuje rad mree. To znai da je potrebno da to vie nauimo o alatkama i resursima koje nam stoje na raspolaganju kako bi uspeno obavili posao i smanjili mogunost nepravilnog korienja mrenih resursa. Uprkos Microsoftovoj inicijativi za Windows bez administriranja (Zero Administration Windows, ZAW), upravljanje korisnicima i grupama postalo je znatno sloenije u Windows Serveru 2003. Uzroci tome lee dobrim delom u objektima tipa korisnik (user) i grupa (group), kao i u podrci aktivnog direktorijuma za njih, nasleenoj od Windowsa 2000. Kada tome dodamo i probleme integrisanja Windowsa NT i postojeih mrea, posao koji nas kao administratora eka u bliskoj budunosti nee biti nimalo lak. Meutim, aktivni direktorijum i razne programske alatke drugih proizvoaa, nude nam mnoge alatke koje nam automatizuju rutinske poslove i olakavaju pravljenje potrebnih naloga za rad. Moramo istai hvale vredne injenice da je aktivni imenik otvoren i da podrava izuzetno upotrebljiv API (ADSI) i protokol za pristup (LDAP). 6.1.1 Pojam korisnikog naloga Da bi smo mogli da napravimo korisnike naloge i profile potrebno je da razumemo koji sve tipovi korisnikoh naloga postoje kao i njihove karakteristike. Korisniki nalog predstavlja zapis koji obuhvata sve informacije koje definiu korisnika u sistemu mrenog operativnog sistema. Ove informacije ukljuuju korisniko ime i lozinku koji su potrebni da bi se korisnik prijavio na sistem, grupe iji je korisniki nalog lan i prava i dozvole koje korisnik ima za pristupanje mrenim resursima. Korisniki nalog prua korisniku mogunost da se prijavi na raunar kako bi dobio pristup resursima na tom raunaru, kao i da se prijavi na domen kako bi dobio pristup resusima mree gde se taj domen nalazi. Po pravilu svaki korisnik raunara ili mree trebalo bi da ima jedan jedinstven korisniki nalog i bez njega niko ne moe koristiti raunar, niti pristupati mrei. U mrenom domenu Windows-a (kao i na lokalnom raunaru) definicija korisnika obuhvata samostalne procese, mrene objekte (ureaje i raunare) i ljude. Za svaki operativni sistem iz porodice Windows, korisnik je svaki proces, raunar ili tehnologija koja za obavljanje odreenog posla mora da primeni drugi objekat u mrei ili drugi raunar. U sutini, podsistem za bezbednost Windows Servera 2003 ne pravi nikakvu razliku izmeu oveka i ureaja koji koriste resurse operativnog sistema. Svi korisnici se tretiraju kao bezbednosni subjekti (security principals) koji inicijalno imaju sva ovlaenja. Svi objekti tipa korisnik izvedeni su od iste klase User aktivnog direktorijuma, koja je izvedena od vie roditelja. Objekti tipa maina (machine) izvedeni su od objekata tipa korisnik (User). Da biste pristupili odreenom objektu tipa korisnik, u kodu programa ili skripta treba da zadate njegovo jedinstveno ime (distinguished name, DN). To automatski ine razni objekti grafikog korisnikog okruenja, ali ako nameravate da piete skriptove koji pristupaju objektu, treba da referencirate njegov GUID identifikator. Ovde treba pomenuti i jedan novi objekat koji se pojavio u Windows Server 2003 mreama. To su kontakti (contacts) koji su izvedeni od iste hijerarhije klasa kao objekat tipa korisnik. Meutim, objekat tipa kontakt ne nasleuje od svog roditelja bezbednost atributa. Kontakt se koristi samo u komunikacijama: za razmenu poruka elektronskom potom i faksom, za telefoniranje itd. Distribucione liste Windows Servera 2003 sainjavaju kontakti. Kontaktima u aktivnom imeniku moete pristupati iz programa kao to su Outlook i Outlook Express ili iz svih drugih klijentskih programa koji su LDAP kompatibilni. Objekat tipa Contact je gotovo istovetan objektu u Windows-ovom adresaru (Windows Address Book, WAB). U Windows Server 2003 razlikujemo tri osnovna tipa korisnikih naloga: 1) Lokalni korisniki nalozi Izraz lokalni korisnik esto opisuje dve vrste korisnika: jedne, koji su lokalni u odnosu na raunar i prijavljuju se na njega da bi koristili usluge lokalno radne stanice, i

VI as

druge koji su lokalni u odnosu na mreu ili na domen. Smatramo da je logino da lokalni korisnik bude onaj koji se lokalno prijavljuje na radnu stanicu ili na server. Lokalni korisnik moe da se prijavi na mainu ispred koje sedi, na kojoj postoji njegov nalog, ili na udaljenu mainu za koju mu je dodeljeno pravo da se prijavljuje lokalno. Na primer, to moe da bude server za aplikacije kome udaljeni klijent pristupa u okviru terminalske sesije. Kada se pravi lokalni korisniki nalog on se formira samo u bezbedonosnoj bazi podataka raunara na kome se pravi i ta se baza naziva lokalnom bezbedonosnom bazom podataka. Informacije iz te baze se ne repliciraju na kontrolere domena u domenu. Te informacije se samo koriste da bi raunar proverio autentinost lokalnog korisnikog naloga, to korisniku omoguava da se prijavi samo na taj raunar i da koristi samo njegove lokalne resurse. 2) Korisniki nalozi domena - Kada pominjemo generiki korisnike u domenu ili korisnike uopte loginije je da o njima govorimo kao o korisnicima domena ili pripadnicima domena. Korisnik moe istovremeno da pripada i lokalnom raunaru i domenu. Ovi nalozi omoguuju korisnicima da se prijave na domen i dobiju pristup resursima bilo gde na mrei. Proces prijavljivanja se ovde ne razlikuje od predhodnog sluaja jer i ovde korisnik daje svoje korisniko ime i lozinku. Korienjem ovih informacija operativni sistem potvruje autentinost korisnika i zatim gradi token pristupa (access token) koji sadri informacije o korisniku i bezbedonosne parametre i koji vai sve vreme dok je korisnik prijavljen. Ovaj nalog se pravi unutar nekog skladita ili organizacione jedinice u bazi podataka Aktivnog direktorijuma na kontroleru domena. Ta se informacija obavezno replicira na sve ostale kontrolere domena iz domena, kako bi svi oni mogli da provere autentinost korisnika prilikom prijavljivanja. 3) Ugraeni korisniki nalozi predstavljaju naloge koji se automatski prave od strane operativnog sistema i obino su to dva naloga: Administrator i Gost (guest). Ugraeni nalog Administrator koristi se da bi mogli da upravljamo celokupnom konfiguracijom raunara i domena. Ovom nalogu dodeljuje se inicijalna lozinka koju smo naveli prilikom instaliranja servisa Aktivnog direktorijuma i predstavlja neizbrisiv nalog. Kako ovaj nalog ima dozvole za obavljanje svih zadataka u domenu, moramo ga jako dobro zatititi od nedozvoljene upotrebe. Preporuka je da se taj nalog uvek preimenuje u neko novo ime koje nee asocirati na nalog sa administrativnim zadacima. Takoe za ovaj nalog treba koristiti veoma sloenu lozinku koja se ne moe lako razbiti i koju ne treba previe ljudi da zna. Uobiajeni rad pod ovim nalogom treba izbegavati i koristiti ga samo kada se rade administrativni poslovi. Odnosno, na sistem se treba prijaviti sa standardnim korisnikim nalogom a ako se eli da uradi neki administartorski posao treba korisititi program Run as. Namera drugog ugraenog naloga Guest je da omogui korisnicima koji nemaju otvoren nalog, da se prijave i koriste mrene resurse. Podrazumeva se da ovaj nalog nema nikakvu lozinku i da nije aktivan. I ovaj nalog moemo da preimenujemo ali ne da i obriemo. Na primer: pretpostavimo da neko pokuava da pristupi deljenom tampau na serveru, ili domenu na kojem je omoguen Guest nalog. Student se na svoju lokalnu mainu loguje kao student sa lozinkom student. ak i bez naloga na serveru, ili u domenu, on moe da radi na svom lokalnom raunaru. Windows 95/98 raunare ne zanima ko se loguje i oni uopte nemaju korisnike naloge. Na nekoj NT radnoj stanici on bi morao da se loguje na lokalnom raunaru. Nijedan od serverskih operativnih sistema ne zahteva od korisnika da se loguje sa servera, ili domena da bi dobio pristup lokalnoj radnoj stanici. Pretpostavimo da ovaj server, ili domen nema nalog student. On radi na raunaru i pokuava da pristupi resursima iz domena i naravno pristupa. Iako eksplicitno logovanje na domen zahteva da se upotrebi korisniko ime Guest, eksplicitno korisnik ne mora da se loguje na domen, kako bi koristio privilegije gosta. Upravo iz ovog razloga treba biti veoma paljiv kada se omoguuje Guest nalog. 6.1.2 Formiranje korisnikih naloga U Windows-u 2003, konzola Active Directory Users and Computers (DSA.MSC) predstavlja glavnu alatku koja nam slui za za rad sa korisnikim nalozima, bezbednosnim grupama, organizacionim jedinicama i naelima, za jedan domen, ili vie njih. Kako je re o Microsoft Managment Console (MMC) aplikaciji, ovaj alat se moe pokrenuti na svakom Windows 2000/2003 raunaru. Lokalni korisniki nalozi na usamljenom serveru, serveru lanu, ili nekoj radnoj stanici se uvaju u Security Accounts Manager (SAM) bazi podataka, koja se obino nalazi u C:\winnt\system32\congif. Za Aktivni direktorijum, fajl se zove NTDS.DIT i podrazumevano se nalazi u direktorijumu %system-

root%\NTDS. U njoj su informacije o serverima i radnim stanicama, resursima, objavljenim aplikacijama i naelima bezbednosti. NTDS.DIT i softver koji je pokree obino se zovu servis direktorijuma, ili Aktivni direktorijum. Ova struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena, radi tolerancije greke i uravnoteenja optereenja. To je, u stvari, modifikovana Access baza podataka, kojoj je osnova Lightweight Directory Acess Protocol (LDAP). Baza se ne moe otvoriti u Access-u, niti da se gleda na neki drugi nain, ili edituje direktno, ali se nad njom mogu vriti upiti i moe se menjati pomou Active Directory Service Interface (ADSI). Korisnikim nalozima, kada se prvi put kreiraju, automatski se dodeljuje identifikator bezbednosti (security identificator SID). SID je jedinstven broj koji identifikuje nalog. SID-ovi se koriste od kada je poeo NT, jer sistem i ne zna korisnika po imenu, ve po SID-u. Korisniki ID su tu samo radi lakeg interfejsa. SID-ovi se nikada ne koriste ponovo, kada se nalog obrie i njegov SID se brie sa njim. Active Directory Users and Computers administratoru obezbeuje sredstva za izvravanje sledeih zadataka: 1. Kreiranje, menjanje i brisanje korisnikih naloga 2. Dodeljivanje Log On scriptova korisnikim nalozima 3. Upravljanje grupama i lanstvima u grupama 4. Kreiranje i upravljanje grupnim naelima Da bi se kreirao korisniki nalog, u DSA.MSC selektuje se kontejner Users (ili neki drugi kontejner/organizaciona jedinica, gde se eli smestiti nalog), zatim se iz menija Action (slika 5.4) izabere New User. Pojavljuje se arobnjak, sa okvirom za dijalog prikazanim na slici 5.5. Popunjavaju se polja First Name (ime), Last Name (prezime) i Full Name (puno ime). Potom se unosi korisniko logon ime (npr. student) i izabere se Universal Principal Name (UPN) sufiks, koji e se dodavati korisnikom imenu u trenutku logovanja. UPN sufiks je obino DNS ime domena i ne moe se izabrati nita osim podrazumevanog imena domena. UPN imena su pravljena prema e-mail imenima, znai sa @ simbolom. UPN sufiks je pointer na domen koji sadri korisniki nalog, tako da je vaan kada se korisnik loguje u okruenju sa vie domena.

Korisniko ime u Windows 2000/2003 sistemima mora potovati sledea pravila: 1. Ime mora biti jedinstveno na raunaru, za lokalne naloge (ili jedinstveno u domenu). Meutim, ime korisnikog naloga u domenu moe biti isto kao i ime lokalnog naloga na raunaru koji je lan domena, a nije kontroler, to je injenica koja unosi veliku konfuziju, jer je re o potpuno razliitim entitetima. 2. Korisniko ime ne moe biti isto kao ime grupe na lokalnom raunaru, za lokalni nalog (ni isto kao

ime grupe u domenu). 3. Korisniko ime moe biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji. 4. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisniko ime ne sme sadrati : \ / [ ]:;|=,+*?<> 5. Ime moe sadrati razmake i take, ali se ne moe u potpunosti sastojati od taaka i razmaka. Treba izbegavati razmake jer se u tom sluaju ta imena moraju stavljati meu znake navoda u sluaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada se popune sva polja o korisnikom imenu izabere se Next. U narednom ekranu prikazanom na slici 5.6, zadaje se lozinka za korisniki nalog i potvruje se. Nijedna od opcija naloga nije potvrena unapred, pa nije loe izabrati User must change password on Next logon (korisnik mora promeniti lozinku prilikom sledeeg logovanja). Opcije lozinke i naloga sumirane su u tabeli 5.1. Tabela 5.1: Opcije lozinke i naloga pri kreiranju novog korisnikog naloga Opcija Opis Primorava korisnika da promeni lozinku sledei put kada se prijavi. User must change password on next logon (korisnik mora promeniti lozinku prilikom sledeeg logovanja) User cannot change password ( Ako je potvreno, spreava korisnika da promeni lozinku za nalog. korisnik ne moe da menja lozinku) Password never expires (lozinci Ako je potvreno, korisniki nalog ignorie politiku isticanja roka nikad ne istie rok trajanja) lozinke. Ovo je korisno za naloge koji pokreu servise i naloge za koje elite stalnu lozinku (na primer Guest). Account is disabled (nalog je onemoguen) Ako je potvreno, nalog je onemoguen i niko ne moe da se loguje na njega, dok se ne omogui (nalog nije uklonjen iz baze podataka). Ovo je korisno za naloge koji se koriste kao abloni i za nove korisnike naloge koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje nee poeti da rade jo neko vreme.

Poslednji ekran ovog Create New Object arobnjaka, jednostavno potvruje sve informacije koje su date, ukljuujui kontejner/organizacionu jedinicu gde e se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Klikne se na Finish i korisniki nalog je kreiran. 6.1.3 Svojstva korisnikih naloga Svakom korisnikom nalogu domena koji smo napravili pridruen je skup podataka koji blie odreuju taj nalog. Za korisnike naloge ovi podaci predstavljaju atribute tih objekata koji nam omoguuju da korisnike moemo pronalaziti u direktorijumu po njima. Da bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisnikog naloga i vidi se nekoliko opcija u kontekstualnom meniju. Odavde se brzo moe kopirati nalog, upravljati lanstvom u grupi, onemoguiti ili omoguiti nalog, resetovati korisniku lozinku, premestiti nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati E-mail. U ovom meniju se moe izabrati brisanje naloga i promena imena. Iz kontekstualnog naloga se izabere Properties, da bi se otvorile sve informacije o korisnikom nalogu. Na kartici General, moe se dodati opis korisnikog naloga, upisati ime odseka u koli, studijske grupe itd, dodati brojevi telefona, e-mail adresa, ak i adresa web stranice. Kartica Address, prikazuje polje za korisnikovu potansku adresu. Kartica Telephones nudi mesta za brojeve za kuni, mobilni, faks i IP telefon i pejder, kao i mesto za unoenje komentara. U Organizacionoj kartici mogu se uneti informacije o nazivu neijeg posla i poziciji u hijerarhiji organizacije. Ove etiri pomenute kartice se ne mogu smatrati svojstvima naloga ve su tu isto informativnog karaktera. Ukoliko je potrebno promeniti korisnikovo logon ime, ili UPN sufiks, ide se na karticu Account. Na ovom mestu moe se odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slino. Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali moe se izabrati dugme Logon Hours, kako bi se zadali odreeni sati i dani kada je dozvoljeno logovanje. Podrazumeva se da korisnik nee biti otkaen iz sistema kada mu isteknu sati dozvoljeni za rad, ali

postoji parametar kojim se i ovo moe postii. Parametar se zove Automatically Log Off Users When Logon Hour Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy Object Editor-u, pod Computer Configuration\Windows Settings\ Security Settings\ Local Polices\Security Options. 6.2 Administriranje grupa Grupe predstavljaju skladita vie korisnika, kontakata, raunara ili drugih grupa (formiranje grupe je poznato i kao ugneivanje). Grupe su podrane u aktivnom imeniku i u bezbednosnom podsistemu lokalnog raunara. Slika 6.2.1 ilustruje filozofiju kontejnerskog objekta tipa grupa. Grupa umanjuje rad administratora, tako to omoguuje da se dozvole i prava dodele grupi korisnika umesto da ih pojedinano dodeljujemo svakom korisnikom nalogu. Sasvim je razumljivo ako se pitamo zbog ega je Microsoft za graenje struktura ponudio i grupe i organizacione jedinice (OJ). Grupe su zaostatak iz vremena Windows-a NT. Treba imati u vidu da je Windows Server 2003 sagraen na temeljima tehnologije .NET, to znai da su grupe nasleene od ranije tehnologije i da su poboljane u Windows Serveru 2003. Iako grupe nekome mogu da se ine suvinim pored organizacionih jedinica, one su prisutne u Windows Serveru 2003 i tako e i ostati. Grupe su izuzetno moni upravljaki objekti. Grupe formiramo i koristimo prvenstveno da bismo prava pristupa objekata tipa korisnik i grupa ograniili na odreenu bezbednosnu celinu. Grupe mogu da sadre objekte tipa korisnik koji svi imaju ista prava pristupa mrenim objektima, kao to su deljeni resursi, direktorijumi, datoteke, tampai itd. To znai da grupe mogu da se koriste u ulozi bezbednosnog filtra, kroz koji se korisnicima i drugim grupama odobrava pristup odreenim resursima. Tu kljunu ulogu grupa ilustruje slika 6.2.2.

Object (object name) 1 Read 2 Execute 3 Write

Slika 6.2.1 Grupe su zbirke ili skupine korisnika, raunara i drugih grupa Slika 6.2.2 Grupe predstavljaju bezbednosni filtar kroz koji se korisnicima i drugim grupama odobrava pristup resursima

Grupe moemo da koristimo i za formiranje distribucionih lista (to je jo jedna nova vrsta grupe), odnosno lista za slanje. Na primer, moemo da formiramo grupu iji e svi lanovi pojedinano dobijati svaku poruku koja grupi bude poslata elektronskom potom. To je izuzetna olakica za administratore elektronske pote. Mnogi ljudi veruju da su objekti tipa grupa postali suvini jer postoje organizacione jedinice. To bi bilo tano kada bi bezbednosni podsistem i mehanizmi kontrole pristupa objektima prepoznavali organizacione jedinice, tj. kada bi one bile bezbednosni subjekti. Za razliku od OJ, grupa je sloen kontejner koji omoguava sve vrste kontrola korisnikih naloga i drugih objekata koje sadri. Prednost grupe je to to ista grupa moe da sadri lanove koji pripadaju razliitim organizacionim jedinicama i domenima. S druge strane, jedna organizaciona jedinica uvek pripada samo jednom domenu. Firmama koje nastaju sloenim spajanjem ili kupovinom drugih firmi i internacionalnim kompanijama, savreno odgovara korienje grupa iji lanovi pripadaju organizacionim jedinicama kupljenih firmi ili njihovim podrunicama i slubama.

6.2.1 Tipovi grupa Grupisanje mrenih resursa u grupe najee se radi iz bezbedonosnih razloga, ali se to nekada radi zbog jedinstvenog slanja poruka vie korisnicima. Shodno tome, kada se u Windows-u pravi grupa, ona se moe klasifikovati kao bezbedonosna ili kao distributivna. Oba tipa grupa uvaju se u komponenti baze podataka servisa Aktivnog Direktorijuma to nam omoguava da ih koristimo bilo gde na mrei. Bezbedonosne grupe su one koje se koriste za dodeljivanje prava i dozvola za pristup resursima. Ovaj tip grupe sadri sve mogunosti koje ima distributivna grupa, tako da Windows Server 2003 koristi samo bezbedonosi tip grupa. Kao i korisnikim nalozima, bezbedonosnim grupama se dodeljuju SID-ovi koji jednoznano odreuju svaku grupu. Pri pravljenju grupe nije dovoljno da odredimo tip grupe ve i njen domet. Domet grupe omoguuje nam da koristimo grupe za dodeljivanje dozvola na razliite naine. Poznata su tri osnovna tipa dometa grupa i to: 1) globalni najee se koriste za organizovanje korisnika koji dele sline zahteve za pristup mrei. Dve su osnovne karakteristike ovih grupa: ogranieno lanstvo-moemo da dodajemo lanove samo iz domena u kojem smo napravili globalnu grupu, i pristup resursima u bilo kom domenuomoguava nam da grupu koristimo za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u stablu ili umi. 2) lokalni u domenu - Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru, serveru koji je lan domena, ili na WinXP radnoj stanici. Lokalne grupe su lokalne za taj raunar. To jest, one postoje i validne su samo na toj radnoj stanici ili serveru koji nije kontroler domena. Domain local group (Lokalna grupa domena) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedniki Aktivni direktorijum koji je repliciran izmeu njih, tako da e lokalna grupa domena koja postoji na jednom raunaru, postojati i na drugom. karakteristike ovog tipa su: otvoreno lanstvo-dodajemo lanove iz bilo kog domena i pristup resursima u jednom domenu-ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u istom domenu u kome se i grupa pravi. 3) univerzalni predstavljaju novu mogunost, poevi od Win 2000, i omoguuju da dodeljujemo dozvole povezanim resursima um vie domena. Njih karakterie otvoreno lanstvo-dodajemo lanove iz bilo kog domena, pristup resursima u bilo kom domenu-ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u umi. Ovaj tip je dostupan je samo u domenima iji je funkcionalni nivo doemna postavljen na Win 2000 poetni (native) ili Windows Server 2003. Globalne, univerzalne i lokalne grupe domena, su smetene u Aktivnom direktorijumu kontrolera domena. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena. Univerzalne grupe mogu da vre funkciju globalnih, dajui prava i dozvole za objekat, unutar domena i izmeu domena. One su mnogo korisnije od globalnih, ili lokalnih, jer su neuporedivo fleksibilnije po pitanju ugnedavanja, ali se mogu koristiti samo kada je domen native (prirodan), to zahteva da su svi kontroleri domena na Windows-u 2000/2003. Distribuciona grupa nije sigurnosna. One nemaju SID i ne pojavljuju se u ACL-u (Acces Control List). To su grupe sa adresama primalaca. Lake je adresirati mail na, na primer, efovi odseka kole, nego svakog od efa selektovati posebno iz liste. Pretpostavlja se da su unete e-mail adrese korisnika. Sigurnosne grupe u Aktivnom direktorijumu su, takoe, nezvanine distribucione liste. Potrebno je samo kliknuti desnim tasterom ime grupe u DSA.MSC i pojavie se opcija slanja e-maila lanovima grupe, kao to se vidi opcija slanja maila nalogu korisnika, kada se na njega kilkne desnim tasterom. Ovo e izbaciti program za rukovanje potom i sistem e pokuati da potu poalje na e-mail adresu dobijenu iz informacija naloga. Pretpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru kole i svi oni su smeteni u sigurnosnu grupu Administracija. Ne samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi lanovima grupe pod pretpostavkom da je za svakog korisnika popunjena e-mail informacija. 6.2.2 Oblast rada grupa: lokalne, globalne i univerzalne Glavna pitanja u vezi lokalnih, globalnih i univerzalnih grupa su gde se prepoznaju i ta mogu da sadre. Poto se koriste za dodeljivanje prava i dozvola, potrebno je znati gde lanstvo u toj grupi neto znai ili gde se prihvata. Poto grupe treba ugnedavati radi olakanja davanja prava i dozvola, treba znati pravila i preporuke koje vae za ugnedavanje.

Obine lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima. Usamljeni server ili radna stanica, koji nisu lanovi domena su kao usamljeni narod koji ne znaju za ostatak sveta. Oni prepoznaju samo svoje lokalne grupe i korisnike. Lokalne grupe su jedine kojima se mogu dodeliti prava za pristup resursima, a lanstvo je ogranieno na lokalne korisnike. Ipak, kada se raunar prikljui domenu usamljeni narod postaje lan neke vee uprave, federacije. Server-lan ili radna stanica-lan zadravaju svoje lokalne korisnike i grupe, ali e sada u lanstvo svojih lokalnih grupa primati i lanove iz federacije, koji nisu lokalni. Na globalne grupe i federalne (domen) naloge se sada, mogu upuivati u listama dozvola za objekat (ACL). Lokalne grupe domena, koje ive u Aktivnom direktorijumu kontroleru domena, postoje u razliitom kontekstu od lokalnih grupa na radnim stanicama, usamljenim ili serverima-lanovima. Ovi raunari su svesni svog kunog domena i svih ostalih domena u umi Aktivnog direktorijuma. Zbog toga lokalne grupe domena mogu da sadre lanove iz bilo kojeg od domena iz ume. Mogu da sadre korisnike iz sopstvenog ili domena od poverenja (trusted domain) i univerzalne. Iako su lokalne grupe domena fleksibilnije po pitanju lanstva, one su validne samo u svom kunom domenu, jer se koriste samo u ACLovima istog domena. Drugi domeni imaju sopstvene lokalne grupe domena. Kad bi lokalna grupa domena bila validna u drugom domenu, vie ne bi bila lokalna. Osim toga, lokalne grupe domena se ne repliciraju u globalni katalog, iako se informacije o lanstvu repliciraju izmeu kontrolera domena u istom domenu. lanstvo u lokalnim grupama domena trebalo bi da je relativno malo i da koristi ugnedavanje. Globalne grupe mogu da sadre samo lanove iz istog domena. U globalnu grupu se ne moe smestiti ni lokalna, ni univerzalna grupa, ve samo korisniki nalozi i globalne grupe iz istog domena. lanstvo u globalnoj grupi je suprotno od lanstva u lokalnoj grupi domena; lanstvo u globalnoj grupi je ogranieno, ali je njegovo prihvatanje iroko. Globalne grupe se mogu koristiti u svakom ACL-u u umi, ak i u drugim umama, ako se ustanove stari odnosi poverenja. O globalnim grupama treba misliti kao o kontejnerima za korisnike i grupe kojima treba da ih drugi raunari i domeni prihvate. Informacije o globalnim grupama se repliciraju izmeu bratskih kontrolera domena, ali globalni katalog sadri samo imena grupa, a ne i lanova. Univerzalne grupe se mogu kreirati na svakom kontroleru domena. One mogu da sadre lanove iz bilo kog od domena ume i mogu se koristiti na objektovom ACL-u unutar ume. lanstvo u univerzalnoj grupi je neogranieno fleksibilno, a univerzalno je prihvaeno u umi. Univerzalne grupe se mogu koristiti samo u Native reimu. Ako se koriste samo univerzalne grupe, globalni katalog e se prepuniti i dolo bi do problema sa replikacijom. Imena univerzalnih grupa i njihovo lanstvo se repliciraju na druge servere globalnih kataloga (po jedan za svako mesto), dok se, u sluaju globalnih grupa, njihova imena pojavljuju u globalnom katalogu, ali lanovi ne. Kad ima vie domena, globalni katalog sadri replike informacija o svakom domenu iz ume, pa e veliina i vreme potrebno za replikaciju eksponencijalno rasti ako univerzalna grupa sadri veliki broj objekata. Zbog toga bi lanstvo u univerzalnoj grupi trebalo da bude dosta statino. Poeljno je izbegavati direktno dodavanje korisnika a druge grupe treba samo ugnezditi. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da kopiraju informacije iz drugih domena ime se neizmerno smanjuje optereenje pri replikaciji. To znai da bi u ovom sluaju mogle da se koriste iskljuivo univerzalne grupe. U sluaju jednog domena verovatno e sve globalne grupe biti zamenjene univerzalnim. Globalne i univerzalne grupe mogu da spajaju domene, ak i ume. Domeni i raunari iz razliitih uma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo moe postii runo stvorenim odnosima poverenja. Dakle osnovna pravila su: Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Druge grupe treba stavljati u lokalne i tako zadrati malo lanstvo. Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima e biti potrebne iste privilegije, ili pristup istim resursima. Ove globalne grupe treba stavljati u lokalalne, koje imaju eljene privilegije i prava pristupa. Univerzalne grupe se koriste onako kako odgovara Administratoru, onda kada svi domeni budu na Windows 2000/2003 platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe (suprotno korisnikim nalozima) unutar univerzalnih grupa. Iako je mogue, nije preporuljivo ugnedavati grupe zbog znaajnog pada performansi.

Na kraju treba sumirati i pravila ugnedavanja na Windows platformama. Lokalne grupe (poev od Windows 2000 do 2003 servera i radnih stanica) mogu da sadre: Grupe lokalnih domena, univerzalne iz kunog domena Globalne i univerzalne iz Windows pouzdanih domena Lokalne grupe domena (na kontroleru domena) mogu da sadre: Korisnike naloge iz bilo kog domena ume Univerzalne i globalne iz bilo kog domena ume Lokalne, samo iz istog domena Globalne grupe mogu da sadre: Korisnike iz istog domena Druge globalne grupe iz istog domena Univerzalne grupe mogu da sadre: Korisnike naloge iz bilo kog domena ume Druge univerzalne grupe Globalne grupe iz bilo kog domena ume 6.2.3 Rad sa sigurnosnim grupama Veoma je vano unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo lanova (kao to su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa, od tog trenutka treba samo da se premeta lanstvo u globalnim i univerzalnim grupama. Tako se tedi vreme i pojednostavljuje dodeljivanje dozvola za objekte. Neki dobri primeri ugnedavanja se mogu precrtati iz ema ugnedavanja koje se automatski postavljaju u domenu. Jedan je ugnedavanje administratorskih grupa. Administrator nalog na Windows raunaru svoju snagu crpe iz lanstva u lokalnoj Administratorskoj grupi. Ako se izvue Administrator izvan Administrators grupe, nalog vie nee imati specijalne moi ni mogunosti. Aktivni direktorijum automatski pravi globalnu Domain Admins grupu, iako toj grupi ne dodeljuje iroka administratorska prava, kao to se moe pomisliti. Kada Windows postane kontroler domena, globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. Slika 5.24 prikazuje lanstvo lokalne grupe domena Administrators, za domen vts.ni.edu.yu. Ukupan efekat ovog ugnedavanja je da je lan Domain Admins, ili Enterprise Admins grupe lokalni administrator za svaki raunar, lana domena. Ovakvo podrazumevano ponaanje se moe zaobii tako to se Domain Admins, ili Enterprise Admins ukloni iz lokalne grupe na raunaru. Ali to nije preporuka. lanstvo grupe Domain Admins, ili Enterprise Admins u lokalnoj Administratorskoj grupi moe se zameniti njihovim lanstvom u specifinim globalnim grupama, administratorskog tipa, kao to su F&A Admins ili CS Admins. Drugi primer za ugnedavanje grupa je lanstvo lokalne Users grupe. Na lanu domena, ili kontroleru domena, Users automatski ukljuuje Domain Users. Kada se u domenu kreira novi korisniki nalog, novi korisnik se automatski pridruuje Domain Users grupi. Efekat ovoga je da se korisnikom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaki raunar, lana domena. Korisniki nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj su dodeljena lokalna prava i dozvole na sistemu. Nije loe pomenuti i par ostalih ugnedavanja. Domain Guests je automatski lan lokalne grupe Guests na svim raunarima, lanovima domena, a Enterprise Admins (univerzalna grupa) je lan lokalne Administrators grupe. 6.2.4 Ugraene lokalne grupe domena Svi ugraeni korisniki nalozi, podrazumevano su smeteni u kontejner Users. U kontejneru Users postoje i unapred definisane globalne grupe, ali neke od njih su smetene u kontejner BuiltIn. Grupe koje su u BuiltIn kontejneru su oznaene kao Builtin Local, a one koje su u Users kontejneru su Domain Local, Global, ili Universal. Sada se postavlja pitanje u emu je razlika? Lokalne grupe su specifine za raunar, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja, kao to je gore ve reeno. Ugraene lokalne grupe, radi administracije, imaju unapred odreena prava i dozvole. lanstvo u ovoj grupi korisniku daje svu mo i mogunosti koje su date grupi. Ovo je nain da se brzo dodele dobro definisane administratorske uloge, umesto njihovog pravljenja od poetka. Na primer, Server Operators imaju skup uroenih prava koja im omoguavaju da prave deljene fajlove i upravljaju servisima. Backup

Operators imaju pravo da zatitno kopiraju fajlove i direktorijume, ak i ako nemaju dozvolu da ih itaju, ili menjaju. Tabela 5.2 daje spisak ugraenih lokalnih grupa domena i njihove specijalne sposobnosti. Ugraene lokalne grupe su zajednike za sve Windows sisteme iz istog mesta (server, radna stanica, DC) i pruaju pogodne kontejnere grupama za dodelu lokalnog administratorskog autoriteta. Ove grupe se ne mogu obrisati. Ipak, u kontejneru se mogu kreirati drugi korisnici i grupe, iako oni nee imati nikakva posebna prava, osim ako im se ne dodele. Tabela 5.2: Ugraene grupe i njihova prava Korisnika prava lanovi mogu da Grupa: Administrators Lokalno logovanje Kreiraju i upravljaju korisnikim nalozima Pristup ovom raunaru sa mree Kreiraju i upravljaju globalnim nalozima Preuzimanje vlasnitva nad fajlovima Dodeljuju prava korisnicima Upravljanje revizijama i bezbednosnim Upravljaju naelima revizije i bezbednosti logom Promena sistemskog vremena Zakljuavaju konzole servera Obaranje sistema Otkljuaju konzole Forsirano obaranje sa udaljenog sistema Formatiraju hard disk servera Povratak (restore) fajlova i Dre lokalne profile direktorijuma Dodavanje i uklanjanje drajvera ureaja Dele i prestaju da dele direktorijum Davanje vieg prioriteta procesu Dele i prestaju da dele tampa Zatitno kopiranje (backup) fajlova i Kreiraju zajednike programske grupe direktorijuma Grupa: Server Operators Lokalno logovanje Zakljuavaju server Promena sistema vremena Prelaenje preko toga to je server zakljuan Obaranje sistema Formatiranje hard diska servera Forsirano obaranje sa udaljenog sistema Kreiraju zajednike grupe Zatitno kopiranje (backup) fajlova i Dre lokalni profil direktorijuma Povratak (restore) fajlova i Dele i prestaju da dele direktorijum direktorijuma Dele i prestaju da dele tampa Grupa: Account Operators Lokalno logovanje Kreiraju i upravljaju korisnikim nalozima, globalnim grupama i lokalnim grupama Obaranje sistema Dele i prestaju da dele tampa Grupa: Print Operators Lokalno logovanje Dre lokalni profil Obaranje sistema Dele i prestaju da dele tampa Grupa: Backup Operators Lokalno logovanje Dre lokalni profil Obaranje sistema Zatitno kopiranje (backup) fajlova i direktorijuma Povratak (restore) fajlova i direktorijuma Grupa: Everyone Pristup ovom raunaru sa mree Zakljuavaju server Grupa: Users (Nema) Kreiraju i upravljaju lokalnim grupama Grupa: Guests (Nema) (Nema) Grupa: Replicator (Nema) (Nema)

Administrators. Administratori imaju skoro sva ugraena prava, pa su lanovi u sutini, svemogui u vezi administracije sistema. Backup operators. lanovi Backup Operators imaju pravo da zatitno kopiraju i vraaju fajlove, bez obzira na to da li na drugi nain mogu da pristupaju tim fajlovima. Server Operators. Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. lanovi mogu da kreiraju, upravljaju i briu deljene tampae na serverima, kreiraju, upravljaju i briu deljene mrene resurse na serverima, zatitno kopiraju i vraaju fajlove na servere, formatiraju hard diskove servera, zakljuavaju i otkljuavaju servere, otkljuavaju fajlove i menjaju sistemsko vreme. Osim toga, Server Operators mogu na mreu da se loguju sa servera domena, kao i da obaraju servere. Accounts Operators. lanovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisnike naloge i grupe i da menjaju i briu veinu korisnikih grupa i naloga iz domena. lan Account Operators ne moe da menja ni brie sledee grupe: Administrators, Domain Admins, Account Operators, Backup Operators, Print Operators i Server Operators. Slino, lanovi ove grupe ne mogu menjati, ni brisati korisnike naloge administratora. Ne mogu administrirati bezbednosna naela, ali mogu dodavati raunare u domen, mogu se logovati na servere i obarati ih. Print Operators. lanovi ove grupe mogu kreirati, upravljati i brisati tampae koje deli server. Osim toga, mogu da se loguju na server i da obaraju server. Power Users. Ova grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. lanovi mogu kreirati korisnike naloge i lokalne grupe i upravljati lanstvom Users, Power Users i Guests, kao i administrirati ostale korisnike i grupe koji su kreirali. Users. Korisnici mogu da pokreu aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore i zakljuaju radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. Guests. Gosti mogu da se loguju i pokreu aplikacije. Mogu i da obore sistem, a u svakom drugom pogledu imaju vea ogranienja nego Users. Na primer, ne mogu da dre lokalni profil. Replicator. Ova grupa je strogo za replikaciju direktorijuma. Korisniki nalog se koristi za pokretanje Replicator servisa i trebalo bi da je jedini lan grupe. U kontejneru Users se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe, kao deo konfiguracije odreenog servisa. Njihova namena moe da bude da se korisnicima omogui pristup odreenom servisu (kao DHCP Users, ili WINS Users), ili da obezbede kontejner grupe za administraciju servisa, kao u sluaju DHCP Administrators i DNS Admins. Ove i druge predefinisane grupe mogu imati specijalna prava ili dozvole za odreene stvari, ali nemaju iroka prava i dozvole kao Administratori, Server Operateri. Windows 2003 ima nekoliko ugraenih globalnih grupa, izmeu ostalih Domain Admins, Domain Usres i Domain Guests. One e se pojaviti samo na kontrolerima domena. Tabela 5.3 opisuje najvanije ugraene globalne grupe. Tabela 5.3: Ugraene globalne grupe Grupa ta radi Postavljanjem korisnikog naloga u ovu grupu, korisniku se dodeljuju mogunosti Domain administratora. lanovi Domain Admins mogu da administriraju kuni domen, radne stanice Admins iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu Domain Admins globalnu grupu domena. Podrazumeva se da je Domain Admins grupa lan i Administrators lokalne grupe domena i Administratorskih lokalnih grupa svake Windows radne stanice u domenu. Ugraeni korisniki nalog Administrator za domen je automatski lan Domain Admins globalne grupe. Ako je potvreno, spreava korisnika da promeni lozinku za nalog. Domain Users lanovi Domain Users globalne grupe imaju normalan korisniki pristup i sposobnosti kako za sam domen, tako i za svaku radnu stanicu u domenu. Ova grupa sadri sve korisnike naloge iz domena i podrazumeva se da je lan svake lokalne Users grupe, na svakoj radnoj stanici u domenu. Ova grupa omoguava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili Administratori domena.

Domain Guests

6.3 Alatke za upravljanje korisnicima i raunarima Windows Server 2003 se isporuuje zajedno sa alatkama koje omoguavaju upravljanje lokalnim nalozima i nalozima u aktivnom imeniku. Na samostalnim raunarima i pridruenim serverima (kao i na radnim stanicama koje rade pod Windows XP) te alatke su Users and Passwords (korisnici i lozinke) i Local Users and Groups (lokalni korisnici i grupe); na upravljaima domena to je Active Directory Users and Computers (korisnici aktivnog imenika). MMC modul Active Directory Users and Computers je glavna alatka za formiranje korisnika i upravljanje njima u mrenim domenima. Pokree se biranjem Start>AdministrativeTools>ActiveDirecto ry Users and Computers. Na Slici 6.2.3 prikazan je modul Users and Computers.
Slika 6.2.3 Modul Active Directory Users and Computers

U sluaju da Vaa_Win2K3 maina nije kontroler domena i ne koristite Aktivni direktorijum, korisnike naloge kreirajte pomou alata Computer Management (COMPMGMT.MSC). Korisnici kreirani pomou COMPMGMT.MSC su lokalni nalozi, to znai da postoje i validni su samo na toj lokalnoj maini. Ipak, COMPMGMT.MSC je alat koji moe raditi i na daljinu, tako da ga moete koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na udaljenim usamljenim serverima. Da bi ste ovo radili treba samo da, iz menija Action, izaberete Connect to Another Computer. Ako je maina na kojoj radite kontroler domena, za kreaciju naloga morate da koristite Active Directory Users and Computer (DSA.MSC). Na kontroleru domena, u COMPMGMT.MSC, onemoguen je vor Local Users and Groups i postoji X u crvenom krugu preko funkcije, koje govori da je ona deaktivirana. U COMPMGMT.MSC otvorite Local Users and Groups, kao to je prikazano na Slici 6.2.4 Zapazite korisnike i grupe koji su kreirani tokom instalacije Win2K3. Na usamljenom serveru (standalone), na kojem nisu instalirani posebni mreni servisi kakvi su IIS, Terminal services, DHCP ili DNS, jedini ugraeni nalozi su Administrator i Guest. Podrazumeva se da je Guest onemoguen iz razloga predostronosti. Ovaj nalog se, na usamljenom serveru, ili u AD kontekstu, primarno koristi za buenje velike rupe u bezbednosti sistema, omoguavanjem neproverenog pristupa. Tano, neproverenog pristupa. Za Guest nalog se ne trai lozinka. Moete da ga koristite bez poznavanja korisnikog imena i lozinke i zbog toga se podrazumeva da je onemoguen. Dobra je stvar to je Guest nalog siromaan po pitanju snage i mogunosti. Naravno, nalog Administrator ima snagu i mogunosti koje daleko prevazilaze obine smrtnike. Ne moe se obrisati ni onemoguiti, ak, ni ako postavite stroga lockout naela (koja zakljuavaju nalog posle odreenog broja neuspenih pokuaja logovanja). Nalog Administrator nije obian subjekat za ova naela i zato se ne moe zakljuati, ak, ni posle milion propalih pokuaja logovanja, to bi moglo da bude vie nego dovoljno za razbijanje slabe lozinke.

Slika 6.2.4 Computer Management Local Users and Groups Napomena: Uobiajena bezbednosna praksa je preimenovanje i Guest i Administrator naloga. Ovo spreava potencijalnog uljeza da koristi opte poznata korisnika imena, kada pokuava da se loguje. Active Directory Users and Computers mrenom administratoru obezbeuje sredstva za izvravanje sledeih zadataka: Kreacija, menjanje i brisanje korisnikih naloga Dodeljivanje logon skriptova korisnikim nalozima Upravljanje grupama i lanstvima u grupama Kreacija i upravljanje grupnim naelima 6.2.6 Kreacija novog korisnikog naloga Da biste kreirali korisniki nalog, u DSA.MSC selektujte kontejner Users (ili neki drugi kontejner/organizacionu jedinicu, gde elite da se nalog nalazi), zatim iz menija Action izaberite New > User. Pojavie se arobnjak, sa okvirom za dijalog prikazanim na slici 1.13. Popunite polja First Name (ime), Initials (inicijali), Last Name (prezime) i Full Name (puno ime), kao to je prikazano na slici (inicijali i prezime su opciona polja). Zatim, unesite korisniko login ime (HePet) i izaberite Universal Principal Name (UPN) sufiks, koje e se dodavati korisnikom imenu u trenutku logovanja. UPN sufiks je obino DNS ime domena i, osim ako ste podesili alternativne sufikse, neete ni moi da izaberete nita osim podrazumevanog imena domena (osveljkovlahovic.edu, u ovom sluaju). UPN imena su pravljena prema e-mail imenima, znai sa @ simbolom. UPN sufiks je pokaziva na domen koji sadri korisniki nalog, tako da je vaan kada se korisnik loguje u okruenju sa vie domena. Uskoro emo popriati o UPN imenima. Za logovanje na NT4, ili Windows 95/98 mainu postoji i logon ime nieg nivoa, koje koristi staru sintaksu IMEDOMENA\risnikoime. Korisniko ime u Win2K3 mora potovati sledea pravila: Ime mora biti jedinstveno na maini, za lokalne naloge (ili jedinstveno u domenu,u sluaju naloga domena). Meutim, ime korisnikog naloga u domenu moe biti isto kao i ime lokalnog naloga na maini koja je lan domena, a nije kontroler, to je injenica koja unosi veliku konfuziju, jer je re o potpuno razliitim entitetima. Korisniko ime ne moe biti isto kao ime grupe na lokalnoj maini, za lokalni nalog (ni isto kao ime grupe u domenu, u sluaju naloga domena). Korisniko ime moe biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisniko ime nesme sadrati sledee znakove: / \ [ ] : ; | = , + * ? < >

 Ime moe sadrati razmake i take, ali se ne moe u potpunosti sastojati od taaka i razmaka. Ipak, izbegavajte razmake, jer ovakva imena moraju da se stavljaju meu znake navoda u sluaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada popunite sve informacije o korisnikom imenu, izaberite Next. U narednom ekranu, prikazanom na slici 1.14, zadajte lozinku za korisniki nalog i potvrdite je. Postavite i opcije lozinke i naloga sumirane u Tabeli 1 i izaberite Next. Nijedna od opcija naloga nije postavljena unapred, pa je dobra ideja nastaviti i izabrati User Must Change Password at Next Logon (korisnik mora promeniti lozinku prilikom sledeeg prijavljivanja).

Slika 6.2.5 Kreacija novog korisnika

Slika 6.2.6 Zadavanje lozinke i opcija naloga

Tabela 1: Opcije lozinke i naloga pri kreiranju novog korisnikog naloga

Opcija User Must Change Password at Next Logon (Korisnik mora promeniti lozinku prilikom sledeeg prijavljivanja) User Cannot Change Password (korisnik ne moe da menja lozinku) Password Never Expires (lozinci nikada ne stie rok trajanja) Opis Primorava korisnika da promeni lozinku sledei put kada se prijavi. Ako je potrvreno, spreava korisnika da promeni lozinku za nalog. Ako je potvreno, korisniki nalog ignorie politiku isticanja roka lozinke, a lozinka za nalog nikada ne zastareva. Ovo je korisno za naloge koji pokreu seanse i naloge za koje elite stalnu lozinku (kao to je nalog Guest). Ako je potvreno, nalog je onemoguen i niko ne moe da se loguje na njega, dok se ne omogui (meutim, nije uklonjen iz baze podataka). Ovo je korisno za naloge koji se koriste kao abloni i za nove korisnike naloge koje kreirate mnogo unapred, kao to su novi zaposleni koji nee poeti da rade jo nekoliko nedelja.

Account is Disabled (nalog je onemoguen)

Poslednji ekran ovog Create New Object arobnjaka, prikazan na slici 1.15 jednostavno potvruje sve informacije koje ste dali, ukljuujui kontejner/organizacionu jedinicu gde e se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Izaberite Finish i korisniki nalog je kreiran.

Slika 1.15: Potvrda informacija o novom korisniku

Svojstva korisnikog naloga Hajde da se sada vratimo i pogledamo svojstva naloga koji smo upravo kreirali. Kliknite desnim tasterom objekat korisnikog naloga i videete nekoliko opcija u kontekstualnom meniju, odavde brzo moete da kopirate nalog, upravljate lanstvom u grupi, onemoguite, ili omoguite nalog, resetujete korisnikovu lozinku, premestite nalog u drugi kontejner, ili organizacionu jedinicu, otvorite korisnikovu home stranicu ili mu poaljete mail (dva poslednja zahtevaju da su URL home stranice i e-mail adresa specificirani u informacijama naloga). U ovom meniju moete i da izaberete da obriete nalog, ili da mu promenite ime. Pri kreiranju, svakom korisnikom i grupnom nalogu se dodeljuje jedinstven identifikator, koji se zove SID. Brisanje korisnikog, ili grupnog naloga brie jedinstven identifikator. ak i ako ponovo kreirate nalog sa istim imenom, novi nalog nee imati prava ni dozvole starog naloga. Iz kontekstualnog naloga izaberite Properties, da biste otvorili sve informacije o korisnikom nalogu. Na kartici General, prikazanoj na slici 1.16, moete da dodate opis korisnikog naloga, upiete ime kancelarije u kojoj korisnik radi i dodate brojeve telefona, e-mail adresu, ak i adresu web stranice. Kartica Address, sa slike 1.17, prikazuje polje za korisnikovu potansku adresu. Kartica Telephones (slika 1.18) nudi mesta za brojeve za kuni, mobilni, faks i IP telefon i pejder, kao i mesto za unoenje komentara.

Slika 1.16: General svojstva korisnika

Slika 1.17: User Properties Address korisnika

Slika 1.18: User Properties Telephones kartica

Na slici 1.19 vidite Organization karticu, na koju moete da unesete informacije o nazivu neijeg posla i poziciji u hijerarhiji firme. Kartica Dial-In (slika 1.20) omoguava kontrolu pristupa udaljenoj mrei (VPN) ili internetu preko dial-in dozvola: Allow Access (omoguen pristup) odnosno Deny Access (zabranjen pristup) (direktan nain kontrole sa ove kartice). Ukoliko kontrolu vrimo preko GPO-a potrebno je selektovati treu opciju: Control Access Through Remote Access Policy. Ova kartica Vam, takoe, omoguuje biranje Callback opcija (smanjenje telefonskih rauna).

Slika 1.19: User Properties Organisation kartica

Slika 1.20: User Properties Dial-In kartica

Narednih nekoliko odeljaka e se pozabaviti upravljanjem parametrima naloga, informacijama o profilu i lanstvima u grupama.

Parametri naloga
Ako treba da menjate korisnikovo login ime, ili UPN sufiks, idite na karticu Account (slika 1.21). Na ovom mestu moete odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slino. Podrazumeva

se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali Vi moete da izaberete dugme Logon Hours, da zadate odreene sate i dane kada im je to dozvoljeno (vidi sliku 1.22). Napomena: Podrazumeva se da korisnik nee biti otkaen iz sistema kada mu isteknu sati dozvoljeni za rad, ali postoji parametar kojim se i ovo moe postii. Parametar se zove Automatically Log Off Users When Logon Hours Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy snap-inu, pod Computer Configuration\Windows Settings\ Security Settings\Local Policies\Security Options. Ovaj parametar se moe postaviti i korienjem alata Domain Security Policy ili Local Security Policy (u zavisnosti od konteksta). U oba sluaja parametar potraite pod Local Policies\Security Options.

Slika 1.22: Zadavanje vremena kada je logovanje dozvoljeno

Slika 1.21: Svojstva korisnikog naloga

Podrazumeva se da korisnici sa svake radne stanice mogu da se loguju na domen, ali logon radne stanice se mogu zadati NetBIOS imenom (vidi sliku 1.23). Ipak, da bi se ovo moglo nametnuti, morate i dalje da koristite NetBIOS na Vaoj mrei.

Slika 1.23: Zadavanje maina na koje korisnik moe da se loguje

Ako ponovo pogledate karticu Account (slika 1.21), videete polje za potvrdu Account is Locked Out (nalog je zakljuan). Ako je zakljuavanje naloga posledica loih pokuaja logovanja (moe se konfigurisati nekim od raznih Policy alata, to u objasniti kasnije), polje e biti potvreno i dostupno. Ako elite runo da otkljuate nalog, samo ukinite znak potvrde iz polja. U dnu kartice Account vidite parametar za rok trajanja naloga. Podrazumeva se da nalog nikada na zastareva, ali ako opciju omoguite, podrazumevani interval je est nedelja (proite kroz Account Options okvir, da biste videli sve opcije). Veina njih, kao na primer User Must Change Password at Next Logon (korisnik mora promeniti lozinku pri sledeem logovanju) su same po sebi dosta jasne. Opcija Store Password Using Reversible Encryption (sauvaj reverzibilno ifrovanje lozinke) se koristi za Windows 95/98 klijente. Smart card opcija se koristi ako izaberete infrastrukturu javnog kljua kakva je, na primer, X.5O9. Potvrdite opciju Do Not Require Kerberos Preauthentication (ne zahteva Kerberos preautentifikaciju), ako e nalog koristiti neku od implementacija Kerberos protokola, umesto onog koji stie uz Win2K3. Sve verzije Kerberos protokola ne koriste ovu opciju, ali je Windows 2003 koristi. Potvrdite opciju Use DES Encryption Types for this Account (koristi DES tipove ifriranja za ovaj nalog), ako Vam treba Data Encryption Standard (DES). DES podrava vie nivoa ifriranja, ukljuujui MPPE Standard (40-bit), MPPE Standard (56-bit), MPPE Strong (128-bit), IPSec DES (40-bit), IPSec 56-bit DES i IPSec Triple DES (3DES). Zapazite da korisnikova lozinka ne moe da se resetuje na kartici Account. Da biste lozinku resetovali, zatvorite list sa svojstvima naloga i, u oknu sa detaljima DSA.MSC, kliknite korisniko ime desnim tasterom. Izaberite opciju resetovanja lozinke i moi ete da unesete i potvrdite novu lozinku, kao to je prikazano na slici 1.24. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku promeni pri sledeem logovanju.
Slika 1.24: Resetovanje korisnikove lozinke

ta je u UPN imenu?
Zapazite na slici 1.21 da postoje dva tipa korisnikovog logon imena. Win2K3 ime je HePet@OSVeljkoVlahovic.edu, a pre-Windows 2000 ime je OSVELJKOVLAHOVI\HePet. U NT-u 3 i 4, korisnika imena su se povinovala konvenciji IMEMAINE\korisnikoime, ili IMEDOMENA\korisnikoime, ako je nalog korisnika bio u domenu. Korisnika imena su, u Win2K3, zasnovana na Internet standardu (RFC 822), Standard za format ARPA Internet tekstualne poruke (Standard for the Format of ARPA Internet Text Message), to u prevodu znai da Win2K3 korisnika imena potuju uobiajenu e-mail konvenciju imenovanja. Svaki korisniki nalog ima Universal Principal Name (univerzalno glavno ime), koje se sastoji od prefiksa, koji je korisniko ime i sufiksa, koji je ime domena. Prefiks i sufiks su spojeni @ znakom. UPN sufiks govori gde pri logovanju treba traiti korisniki nalog i podrazumeva se daje to ime DNS domena. Meutim, zapaziete da u zapisu korisnikog naloga ne moete proizvoljno da menjate UPN sufiks. To mora biti UPN sufiks koji je za domen odreen u Domains and Trust Aktivnog direktorijuma. Alat Vam dozvoljava da odredite alternativne UPN sufikse za domen.Tek tada moete UPN sufiks da promenite od podrazumevanog na neki od alternativnih. Znai, alternativni UPN sufiks koji zadate u Domains and Trust Aktivnog direktorijuma ne mora da bude ime pravog domena. Moete mu dati ime domena po elji. Ovde je ideja rei maini u kom domenu da trai nalog. Na primer, Helenin nalog se moe nalaziti u Ekop-Jug.com domenu, ali ona radi za kompaniju po imenu Ekop, koja ima Ekop-Jug.com i jo tri domena. Njeno podrazumevano UPN ime bi moglo da bude HePet@Ekop-Jug.com, ali ako EKOP ne eli celom svetu da objavi imena svojih razliitih Win2K3 domena, ni da zbunjuje zaposlene, moe odrediti Ekop.com kao "alternativni" UPN sufiks za Ekop-Jug.com. Tako, Helena se moe logovati kao HePet@EKOP.com i to na vizit kartama imati kao svoju e-mail adresu. Ovo ete uraditi tako to, u domenu Ekop-Jug.com, pokrenete Start>Administrative Tools>Active Directory Domains and Trusts i iz kontekstualnog menija opcije Active Directory Domains and Trusts izaberete Properties. Nakon ovoga moiete da upiete alternativni sufiks za domen nakon ega ga aktivirate klikom na Add (vidi sliku 1.25).

Slika 1.25: Dodavanje UPN sufiksa

Takoe, osoba moe menjati poslove unutar organizacije i njen korisniki nalog se moe seliti iz jednog domena u drugi, a nije neophodno svaki put menjati e-mail adresu i vrlo je nezgodno ako morate da menjate korisniko ime samo zato to ste unapreeni. UPN imena omoguavaju lako pronalaenje naloga, a njegovu lokaciju ine transparentnom za korisnika. Sve to oni treba da znaju je "Ja sam HePet@Ekop.com". Njih ne treba da zamara "Va korisniki nalog je premeten u Ekop-Istok.com domen i od sada treba da se logujete kao... a, da, i Vaa e-mail adresa se menja, pa to recite svojim prijateljima i poslovnim partnerima...

Informacije o profilu
Kartica Profile, prikazana na slici 1.26, je mesto gde se zadaje putanja korisnikog profila, login skript i osnovna (home) fascikla. Ove opcije su veinom za klijente niskog nivoa (downlevel clients), to je novi, snishodljiv, termin za sve pre-Win2K klijente, jer se svi ovi parametri i mnogi drugi mogu zadati uz Group Policy parametre. Ipak, Group Policy radi samo na Win2K i Win2K3 sistemima. Parametri korisnikovog radnog okruenja, od sadraja Start menija do eme boja i orijentacije mia, se mogu uvati na mrei, pa se korisnik moe prijaviti sa bilo kog sistema i videti istu radnu povrinu. U tu svrhu moete specificirati deljenu mrenu lokaciju. Ovo je takode korisno ako elite da primorate korisnika (ili grupu) da zadri iste parametre sve vreme. To se zove lutajui profil (roaming profile), ako nije nametnut korisniku i ako on moe da ga menja. Ako je korisnik prisiljen da uita profil i ne moe da se loguje bez njega, onda je to obavezujui profil (mandatory profile), ili deljeni obavezujui profil ako je vie korisnika vezano za njega. Grupna naela Win2K3 omoguavaju da konfiguriete preusmeravanje fascikle i druge parametre radne povrine, uveliko eliminiui potrebu za postojanjem lutajuih i obavezujuih profila NT 4 stila, tako da je ova mogunost najkorisnija za NT 4 klijente. Logon ili login skript je onaj koji se izvrava u toku logovanja da bi konfigurisao korisnikovo okruenje i dodelio mrene resurse, kao to su mapirani drajvovi i tampai. Win2K3 ima podrazumevanu putanju za uvanje login skriptova (u SYSVOL koji je podrazumevano u \WINDOWS direktorijumu, ali se moe konfigurirati). Zbog toga je jedino to treba da odredite u okviru za dijalog ime skripta. Osnovna fascikla (home folder), takoe, poznata i kao osnovni direktorijum (home directory), je fascikla koja je dodeljena korisniku za privatnu upotrebu. Iako aplikacije mogu imati svoje podrazumevane fascikle za pamenje i otvaranje fajlova, na komandnoj liniji e osnovna fascikla biti i podrazumevana radna fascikla za korisnika. Mogue je specificirati lokalnu putanju za korisnikovu

osnovnu fasciklu, ali to je korisno samo ako e se korisnik lokalno logovati na mainu. Za korisnike koji se loguju preko mree morate da izaberete opciju Connect i odredite mrenu putanju, potujui UNC konvenciju \\imemaine\\imeservera\\imedirektorijuma. Za ime fascikle moete da koristite i promenljive, %korisnikoime%, da biste naznaili da je ime osnovne fascikle isto kao i korisniki ID. Kada za korisnika specificirate putanju osnovne fascikle, ako deoba na mrei ve postoji i ako imate prava da piete u nju, Win2K3 e automatski kreirati osnovnu fasciklu za korisnika. Ovo administratorima tedi mnogo vremena. Tokom svake diskusije o osnovnim fasciklama se mnoe pitanja o tome kako ograniiti zauzimanje prostora na disku. Win2K3 stie sa jednostavnim sistemom za upravljanje kvotama; jednostavno treba da ih omoguite za volumen, podesite pragove za upozorenja i slino.

Slika 1.26: Svojstva korisnikog profila Slika 1.27: Odreivanje kvota za particiju Data (E:)

lanstvo u grupama
Da biste korisnikom nalogu odredili lanstvo u grupi, otvorite karticu Member Of, u listi sa svojstvima naloga. Kao to vidite na slici 1.28, podrazumeva se da je novi korisnik lan grupe Domain Users. Korisnik, Helena Petkovi, je, u ovom sluaju, takoe i lan globalne sigurnosne grupe Nastavnici (vidi sliku). Desna kolona, Active Directory Folder (fascikli Aktivnog direktorijuma), govori o putanji do kontejnera ili OU grupe. Da biste korisnika dodali drugoj grupi, izaberite Add, a zatim upiite ime grupe ili kliknite na dugme Advanced > Find Now i grupu iz liste raspoloivih grupa (slika 1.29). Istaknite ime grupe i dva puta kliknite, ili kliknite na ime grupe pa na dugme OK. Ako Vas kretanje kroz listu zamara, samo otkucajte imena grupa, razdvojena taka-zarezom. Zatim iskoristite dugme Check names, da biste potvrdili da su imena koja ste ukucali vaea. Izaberite OK i vratiete se na karticu Member Of, a nove grupe e biti prikazane u prozoru. Ponovo izaberite OK, i zavrili ste. Da biste korisnike uklonili iz grupa, upotrebite dugme Remove, na kartici Member Of.

Slika 1.28: Podeavanje lanstva u grupama

Slika 1.29: Izbor korisnika i grupa

Upravljanje nalozima
U DSA.MSC vie naloga moete da selektujete u oknu sa detaljima, tako to ete drati taster Shift dok pritiskate strelicu na dole, ili tako to ete drati taster Ctrl dok klikete svaki od naloga. Zatim, dok su ti nalozi selektovani, kliknite desnim tasterom da biste videli kontekstualni meni. Odavde, moete da izaberete da ih sve premestite u drugi kontejner ili OU, da ih dodate grupi, da onemoguite ili omoguite naloge. Moete, takoe, svima da poaljete mail, pod pretpostavkom da ste za naloge specificirali e-mail adrese. Sve ove opcije su nasleene iz Windows Servera 2000. Ono to je novost u Windows Serveru 2003 je mogunost da se selektovani nalozi jednostavno prevuku u odgovarajui kontejner ime postaju lanovi te grupe odnosno OU (drag and drop funkcija). Napomena: Promene korisnikih naloga, kao to je lanstvo u grupama, nee imati efekta sve dok se korisnik ne uloguje sledei put. Slino, kod mainskih naloga nova podeavanja e se primenjivati tek nakon restartovanja maine. Moete da napravite i ablon za nalog i kopirate ga kako biste kreirali korisnike sa slinim parametrima. Svojstva koja se kopiraju ukljuuju parameter naloga (kao to je Password Never Expires), lanstvo u grupi, rok isteka naloga i UPN sufiks. Informacije o profilu (osnovni direktorijum, putanja korisnikovog profila i logon script) se, takoe, kopiraju, a ako ste koristili promenljivu %username% za zadavanje korisnike osnovne fascikle ablona, ona e se automatski kreirati za nove korisnike, kada se nalog kopira.

Razumevanje grupa
Dodeljivanje korisnika grupama olakava davanje kako prava za izvravanje zadataka, tako i dozvola za pristup resursima kao to su tampai i mrene fascikle. U ovim nastojanjima Vam moe pomoi nekoliko ugraenih grupa, sa ugraenim pravima, koja bi trebalo da Vam budu bliska. Takoe, Vi ete eleti i da kreirate sopstvene grupe i da im dodeljujete odreena prava i dozvole. Sa druge strane, lanovima grupa koje kreirate moe biti data mogunost da administriraju druge grupe, ili objekte, ak i cele organizacione jedinice. Povrh svega, grupe u Win2K3 sada mogu da sadre raunare i kontakte, kao i

korisnike i druge grupe. Mogu se koristiti i kao e-mail distribucione liste. Zbog toga je vano da razumete razliite tipove grupa koje sada postoje u Win2K3 i kako da radite sa njima, da biste imali kontrolu, dali pristup potrebnim resursima i konfigurisali prava. Ovo je tema nekoliko narednih odeljaka.

Kreacija grupa
Da biste napravili novu grupu, u Users and Computers Aktivnog direktorijuma, doite do kontejnera u koji elite da smestite tu grupu. Grupe se mogu kreirati u korenu domena, u ugraenom kontejneru, kao to je Users, ili u organizacionoj jedinici. Dok Vam je kontejner istaknut, u meniju Action izaberite New, a zatim Group. Dajte ime grupi (Administracija) i ime nieg nivoa, ako e se razlikovati, zatim izaberite oblast rada grupe i njen tip, to je prikazano na slici 1.30. Podrazumeva se da je delokrug Global, a tip Security. Objanjenje o tipovima grupa i njihovoj oblasti delovanja ete nai u narednom odeljku. Izaberite OK, da biste grupu kreirali u selektovanom kontejneru.
Slika 1.30: Informacije o novoj grupi

Hajde da sada popunimo ostale informacije i da novoj grupi dodamo korisnike. Pronaite i dva puta kliknite grupu koju ste upravo kreirali, da biste otvorili njen list sa svojstvima. Na kartici General, prikazanoj na slici 1.31, unesite opis, ako elite i e-mail adresu, ako postoji distribuciona lista za grupu. Da biste grupu naselili, idite na karticu Members i izaberite Add. Kao to moete da vidite na slici 1.32, Win2K3 doputa da lanovi grupe budu korisnici, druge grupe, ak i raunari, mada postoje pravila za ugnjedavanje, to ete itati u narednim odeljcima. lanovi grupe mogu da dolaze i iz razliitih organizacionih jedinica. Istaknite korisnike, ili grupe i izaberite Add, ili ukucajte imena razdvojena taka-zarezima i zatim izaberite Check Names, kako biste ta imena proverili (imena nije neophodno proveravati, ako ste ih izabrali iz liste). Izaberite OK, da biste zavrili dodavanje i vratili se na list sa svojstvima.

Slika 1.31: General kartica lista sa svojstvima grupe Slika 1.32: Dodavanje korisnika u grupu

Da biste videli, ili promenili lokalne ili univerzalne gruge kojima grupa Administracija pripada, otvorite karticu Member Of (slika 1.33). Kartica Managed By je za opcione kontaktne informacije i ne mora obavezno da odraava direktno preputanje kontrole. Drugi nain za dodavanje lanova grupi je klik desnim tasterom na korisniki nalog i izbor Add Member to a Group. Ako u jednu grupu elite istovremeno da dodate nekolicinu selektovanih korisnika, drite taster Ctrl, dok vrite selekciju vie korisnika, zatim kliknite desnim tasterom i izaberite Add Members to a Group. I u paleti sa alatkama ete pronai dugme pomou kojeg grupi moete da dodate jednog, ili vie selektovanih objekata. Verovatno e u nekom trenutku biti neophodno premetanje grupe iz jednog kontejnera u drugi, jer kada su grupe u organizacionim jedinicama, to olakava delegaciju. Da bi ste to uradili, kliknite desnim tasterom ikonu grupe u oknu konzole koje sadri detalje i izaberite Move. Doite do kontejnera koji e biti novi dom za grupu (slika 1.34), selektujte ga i izaberite OK.

Slika 1.34: Premetanje grupe u drugi kontejner

Slika 1.33: Ugnjedene grupe

Tipovi grupa: Sigurnosne grupe nasuprot Distribucionim grupama

Kada u Win2K3 pravite grupu, imate mogunost da je klasifikujete kao sigurnosnu (security), ili kao distribucionu (distribution).

Pregled sigurnosnih grupa

Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. Kao i korisniki nalozima, sigurnosnim grupama se dodeljuju SID-ovi. Kada pregledate, ili editujete objektovu Access Control List (ACL), na primer, imena grupa koja se pojavljuju u listi su sigurnosne grupe (ponekad se one prikazuju kao SID-ovi ako su "prijateljska" imena takva da treba dugo vremena da se razree). Ovi korisniki i grupni SID ulazi u ACL su upareni sa korisnikovim akreditivima kojima je dozvoljen, ili zabranjen pristup objektu. Postoje tri glavna tipa sigurnosnih grupa, lokalne, globalne i univerzalne, iako moda vie volite o njima da mislite kao o etiri razliite grupe: lokalne, lokalne za domen, globalne i univerzalne. Lokalne grupe su vrsta kakvu nalazite na usamljenom serveru, serveru koji je lan domena, ili na WinXP Professional radnoj stanici. Lokalne grupe su lokalne za mainu. To jest, one postoje i validne su na toj radnoj stanici, ili serveru koji nije kontroler domena.

Lokalna grupa domena (domain local group) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedniki aktivan direktorijum koji je repliciran izmeu njih, tako da e lokalna grupa domena koja postoji na jednom DC, postojati i na njegovom pobratimu. Globalne, univerzalne i, naravno, lokalne grupe domena, obitavaju u Aktivnom direktorijumu kontrolera domena.Globalne grupe se koriste za dodelu prava i dozvola izvan granica maine (i domena). Univerzalne grupe mogu da vre funkciju globalnih, dajui prava i dozvole za objekat, unutar domena i izmeu domena. Distribucione grupe i kontakti U NT 4 svaka grupa je bila sigurnosna i mogla se koristiti za kontrolu pristupa resursima i dodeljivanje prava. Distribuciona grupa, jednostavno, nije sigurnosna. Distribucione grupe nemaju SID i ne pojavljuju se u ACL-u. emu onda one slue? Ako ste radili sa Exchange-om, ili nekim slinim proizvodom, bliske su Vam distribucione liste. To su grupe sa adresama primalaca. Lake je adresirati mail na ACME Menaderi, na primer, nego ime svakog od menadera pojedinano selektovati iz liste. Pretpostavljajui da ste uneli mail adrese Vaih korisnika, Vae sigurnosne grupe u Aktivnom direktorijumuju su, takoe, nezvanine distribucione liste. Samo treba da kliknete desnim tasterom ime grupe u DSA.MSC i videete opciju slanja maila lanovima grupe, kao to vidite opciju slanja maila nalogu korisnika, kada njega kliknete desnim tasterom. Za distibucione grupe se ne kreiraju identifikatori bezbednosti, pa lanstvo u grupi nije ukljueno u parametre korisnika koji se proveravaju pri logovanju. Distribucionoj listi ne moete da dodelite pravo na korienje tampaa, jer se ona ne pojavljuje u ACL-u. Grupa je iskljuivo za e-mail. Napomena: Sigurnosnu grupu moete da pretvorite u distribucionu i da je ponovo vratite nazad. Slino, kontakti su objekti u kojima se uvaju informacije o ljudima, ukljuujuu e-mail, telefon i sl. Kontakti mogu biti lanovi sigurnosnih, ili distribucionih grupa, ali to nisu nalozi, tako da za kontakt ne postoji identifikator bezbednosti (SID) i ne mogu im se dodeliti korisnika prava i dozvole.

Rad sa sigurnosnim grupama

Kada jednom ugnezdite Vae grupe sa mnogo lanova (kao to su lokalne i univerzalne) i lokalnim grupama dodelite prava pri instalaciji resursa, od tog trenutka treba samo da premeete lanstvo u globalnim i univerzalnim grupama. Tako ete utedeti vreme i pojednostaviti dodeljivanje dozvola za objekte. Neki dobri primeri ugnjedavanja se mogu precrtati iz ema ugnjedavanja koje se automatski postavljaju u domenu. Jedna je ugnjedavanje administratorskih grupa. Administratorski nalog na Win2K3 maini svoju snagu crpe iz lanstva u lokalnoj Administrators grupi. Izvucite Administrator izvan Administrators grupe, pa nalog vie nee imati specijalnih moi ni mogunosti. Active Directory automatski pravi globalnu Domain Admins grupu. Kada se Win2K3 maina pridrui domenu (ili postane kontroler domena), globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. Slika 1.35 prikazuje lanstvo lokalne grupe domena Administrators, za domen osveljkovlahovic.edu.
Slika 1.35: lanovi lokalne grupe domena Administrators

Neto efekat ovog ugnjedavanja je da je lan Domain Admins, ili Enterprise Admins grupe lokalni administrator za svaku mainu, lana domena. Ovakvo podrazumevano ponaanje moete da pregazite tako to ete Domain Admins, ili Enterprise Admins ukloniti iz lokalne na maini. lanstvo grupe Domain Admins, ili Enterprise Admins u lokalnoj Administrators grupi moete da zamenite njihovim lanstvom u specifinim globalnim grupama, administratorskog tipa. Drugi primer za ugnjedavanje grupa je lanstvo lokalne Users grupe. Na lanu domena, ili kontroleru domena, Users automatski ukljuuje Domain Users. Kada u domenu kreirate novi korisniki nalog, novi korisnik se automatski pridruuje Domain Users grupi. To je vrsta svi korisnici u domenu" grupe. Neto efekat je da se korisnikom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaku mainu, lana domena. Korisniki nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj su dodeljena lokalna prava i dozvole na sistemu. Takoe bi trebalo da znate i par ostalih ugnjeavanja. Domain Guests je automatski lan lokalne grupe Guests na svim mainama - lanicama domena, a Enterprise Admins (univerzalna grupa) je lan lokalne Administrators grupe. Hajde da sada pogledamo zamiljeni sluaj Green Onion Resources (GOR), nacionalne firme za IT konsalting i integracije. Green Onion koristi Win2K3 Active Directory sa Win2K i Win2K3 kontrolerima domena. GOR je kompanijske IT resurse grupisao u domene po regionima - na primer, GOR Jug domen, GOR Zapad domen i GOR Istok domen. Ljudi koji se bave finansijama i knjigovodstvom (Finance and Accounting - F&A) su, slino, grupisani u globalne grupe po regionima, kao i ostale funkcionalne jedinice GOR-a. Znai, postoje globalne grupe sa imenima F&A Jug, F&A Zapad i F&A Istok. Dranje ljudi koji se bave finansijama u razliitim globalnim grupama, u razliitim domenima, omoguava finiju kontrolu nad resursima karakteristinim za region i administraciju. Ali, postoje neki centralni resursi koji treba da budu dostupni svim F&A ljudima iz GOR-a. Ovi resursi se nalaze u Centralne Finansije, koji se deli sa Win2K3 servera po imenu GOR ALFA1. Poto se domen nalazi u Native reimu mogue je sve tri globalne grupe smestiti u jednu univerzalnu grupu koja e se zvati GOR F&A. Administratori GOR preduzea su tri grupe, F&A Jug, F&A Zapad i F&A Istok, smestili u univerzalnu grupu GOR F&A. Oni sada, umesto korienja tri globalne grupe, mogu univerzalnu grupu koristiti za direktno dozvoljavanje pristupa F&A resursima irom organizacije, kao to je centralna fascikla za finansije, iako se smetanje univerzalne grupe u lokalnu i dodeljivanje prava lokalnoj i dalje smatra dobrim nainom. Slika prikazuje planiranu organizaciju: Domeni Globalne grupe Univerzalna grupa Lokalna grupa Deljeni resursi:

GOR Jug

F&A Jug

GOR Zapad

F&A Zapad

GOR F&A

F&A Cent rala

Centralne finansije

GOR Istok

F&A Istok

Ako za svoju organizaciju imate samo jedan domen i ne planirate ih vie, strategija je savreno prihvatljiva. Ipak, za sluaju vie domena treba da se setite da globalni katalog mora replicirati imena i lanove svih univerzalnih grupa iz ume, pa, ako je svih, na primer, 600 raunarskih naloga iz raznih domena u jednoj univerzalnoj grupi dolazimo do problema u replikaciji (itaj performansama).

Takoe, pristup deljenom resursu moete dodeliti direktno univerzalnoj grupi i potpuno premostiti smetanje u lokalnu grupu. Trenutno vai miljenje da je lake jednom podesiti pristup resursu, a zatim ga menjati manipulacijama sa lanstvom grupe koja ima taj pristup. Ovde je problem u tome to domeni i njihove globalne grupe mogu da dolaze i odlaze, posebno u Win2K3, poto se ceo domen moe izbrisati bez potrebe za reinstalacijom operativnog sistema. Ako ACL zapisi ukazuju na globalne, ili univerzalne grupe koje se vie ne prepoznaju, to moe biti posledica smrti domena, ili raskinutog odnosa poverenja, ACL e taj zapis prijaviti kao: "Account Unknown" (nalog nepoznat) i sile tame e ojaali i umnoiti se i haos e zavladati... dobro, moda i nee. Ali je neuredno. Ako prava pristupa uvek dodeljujete lokalnim grupama, maina e ih uvek prepoznavati. Onda moete dozvoliti, ili zabraniti pristup resursu tako to ete manipulisali lanstvom u lokalnoj grupi.

Ugraene lokalne grupe domena

Moda ste, u toku prethodne ture po DSA.MSC, zapazili da su svi ugraeni korisniki nalozi, kao sto su Guest i Administrator, podrazumevano smeteni u kontejner Users. U kontejneru Users postoji i unapred definisane globalne grupe. Ali, neke grupe su u kontejneru Builtin. Kao sto ete videli na slici 1.36, grupe koje su u Builtin kontejneru su oznaene kao Builtin Local, a one koje su u Users kontejneru (slika 1.37) su Domain Local, Global, ili Universal. U emu je razlika? Kao prvo, lokalne grupe su specifine za mainu, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja. Ugraene lokalne grupe, radi administracije, imaju unapred odreena prava i dozvole. lanstvo u ovoj (ili bilo kojoj) grupi korisniku daje svu mo i mogunosti koje su date grupi. Ovo je nain da se brzo dodele dobro definisane administrativne uloge, umesto njihovog pravljenja od poetka. Na primer, Server Operators imaju skup uroenih prava koja im omoguavaju da prave deljene fajlove i upravljaju servisima. Backup Operators imaju pravo da zatitno kopiraju fajlove i direktorijume, ak i ako nemaju dozvolu da ih itaju, ili menjaju. U nastavku teksta u Vas upoznati sa pravima i dozvolama ugraenih lokalnih grupa domena. Ugraene lokalne grupe su zajednike za sve Win2K3 sisteme iz istog mesta (server/DC/radnastanica) i pruaju pogodne kontejnere grupama za dodelu lokalnog administrativnog autoriteta. Zapazite da ove grupe ne moete obrisati. Ipak, u kontejneru moete da kreirate druge korisnike i grupe, iako oni nee imati nikakva posebna prava, osim ako im ih dodelite.

Slika 1.36: DSA.MSC Builtin kontejner

U optem sluaju, prava (rights) pruaju mogunost da se neto uradi, bilo u vezi sa administracijom, ili na drugi nain ogranieno, a dozvole (permissions) pruaju mogunost pristupa resursima, kao to su fajlovi, ili tampai, kao i objektima Aktivnog direktorijuma, kao to su grupna naela.

Slika 1.37: DSA.MSC Users kontejner

Administrators Administratori imaju skoro sva ugraena prava, pa su lanovi, u sutini, svemogui u vezi administracije sistema. Backup Operators lanovi Backup Operators imaju pravo da zatitno kopiraju i vraaju fajlove, bez obzira na to da li na drugi nain mogu da pristupaju tim fajlovima. Server Operators Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. lanovi mogu da kreiraju, upravljaju i briu deljene tampae na serverima; kreiraju, upravljaju i briu deljene mrene resurse na serverima; zatitno kopiraju i vraaju fajlove na servere; formatiraju fiksne diskove servera; zakljuavaju i otkljuavaju servere; otkljuavaju fajlove i menjaju sistemsko vreme. Osim toga, Server Operators mogu na mreu da se loguju sa servera domena, kao i da obaraju servere. Account Operators lanovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisnike naloge i grupe i da menjaju i briu veinu korisnikih grupa i naloga iz domena. lan Account Operators ne moe da menja ni brie sledee grupe: Administrators, Domain Admins, Account Operators, Backup Operators, Print Operators i Server Operators. Slino, lanovi ovi grupe ne mogu menjati, ni brisati korisnike naloge administratora. Ne mogu administrirati bezbednosna naela, ali mogu dodavati raunare u domen, mogu se logovati na servere i obarati ih. Print Operators lanovi ove grupe mogu kreirati, upravljati i brisati tampae koje deli Win2K3 server. Osim toga, mogu da se loguju na, i da obaraju servere. Power Users Ova grupa postoji na XP Pro i serverima koji nisu kontroleri domena. lanovi mogu kreirati korisnike naloge i lokalne grupe i upravljati lanstvom Users, Power Users i Guests, kao i administrirati ostale korisnike i grupe koje su kreirali. Users Korisnici mogu da pokreu aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore ili zakljuaju radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima i pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. Guests Gmogu da se loguju i pokreu aplikacije. Mogu i da obore sistem, a u svakom drugom pogledu imaju vea ogranienja nego Users. Na primer, ne mogu da dre lokalni profil.

Replicator Ova grupa je strogo za replikaciju direktorijuma. Korisniki nalog se koristi za pokretanje Replicator servisa. Win2K3 ima nekoliko ugraenih globalnih grupa, izmeu ostalih Domain Admins, Domain Users i Domain Guests. One e se pojaviti samo na kontrolerima domena. Sledea tabela opisuje najvanije ugraene globalne grupe. Tabela 2: Ugraene globalne grupe Grupa ta radi Domain Admins Postavljanjem korisnikog naloga u ovu globalnu grupu, Vi tom korisniku dodoljujete mogunosti administratora. lanovi Domain Admins mogu da administriraju kuni domen, radne stanice iz domena i svaki pouzdani domen koji u svoju lokalnu Administratore grupu ima dodatu Domain Admins globalnu grupu ovog domena. Podrazumeva se da je globalna Domain Admins grupa lan i Administralors lokalne grupe domena i Adminislrators lokalnih grupa svake od NT, Win2K ili Win2K3 radne stanice u domenu. Ugraeni korisniki nalog Administrator za domen je automatski lan Domain Admins globalne grupe. Domain Users lanovi Domain Users globalne grupe imaju normalan korisniki pristup i sposobnosti kako za sam domen, tako i za svaku NT/Win2K/WinXP radnu stanicu u domenu. Ova grupa sadri sve korisnike naloge iz domena i podrazumeva se da je lan svake lokalne Users grupe, na svakoj NT/Win2K/WinXP radnoj stanici u domenu. Domain Guests Ova grupa omoguava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili administratori domena. Neke predefinisane grupe, kao to su Domain Computers i Domain Controllers, su odreene za mainske naloge.

Specijalne ugraene grupe

Kao dodatak ugraenim lokalnim i globalnim grupama, nekoliko specijalnih grupa, koje nisu izlistane u DSA.MSC (ili Computer Management and Groups) e se pojaviti u ACL-ovima resursa i objekata, ukljuujui sledee: Interactive Svako ko raunar koristi lokalno. Network Svi korisnici koji su preko mree vezani na raunar. System Operativni sistem. Creator Owner Kreator i/ili vlasnik poddirektorijuma, fajlova i poslova tampe. Authenticated Users Svaki korisnik koji se predstavio sistemu. Koristi se kao sigurnija alternativa za Everyone. Anonymous Logon Korisnik koji se logovao anonimno, kao to je anonimni FTP korisnik. Batch Nalog koji se logovao kao batch posao. Service Nalog koji se logovao kao servis. Dialup Korisnici koji sistemu pristupaju preko Dial-Up Networkinga. Sluajno, grupe Interactive i Network zajedno formiraju lokalnu grupu Everyone.

Korisnika prava
Pristup korisnika mrenim resursima fajlovima, direktorijumima, ureajima u Win2K3 se kontrolie na dva naina: dodeljivanjem korisniku prava (rights) koja pruaju, ili uskrauju pristup odreenim objektima (na primer, mogunost da se loguju na server) i dodeljivanjem objektima dozvola (permissions) koje odreuju kome je dozvoljeno da koristi objekat i pod kojim uslovima (na primer, davanje Read pristupa direktorijumu za odreenog korisnika).

Pogledajte grupe Users i Administrators. ta administratore ini razliitim od korisnika? Administratori mogu da se loguju direktno na server; korisnici ne mogu. Administratori mogu da kreiraju korisnike i rade zatitno kopiranje fajlova; korisnici ne mogu. Administratori se od korisnika razlikuju po tome to imaju prava koja korisnici nemaju. Konenjem grupnih naela (Group Policy) Vi kontroliete ko e u Win2K3 dobiti koja prava. Prava, u optem sluaju, korisniku daju ovlaenje da izvri odreeni sistemski zadatak. Na primer, prosean korisnik ne moe jednostavno da sedne za Win2K3 server i da se loguje direktno na njega. Pitanje "mogu li lokalno da se logujem na server?" je primer prava. "Mogu li da uradim zatitno kopiranje podataka i da ih povratim?" "Mogu li da menjam opcije tampaa za deljeni tampa?" To su isto korisnika prava. Korisnika prava se mogu dodeliti odvojeno jednom korisniku, ali iz razloga bezbednosti, bolje je korisnika smestiti u grupu i definisati prava koja su dodeljena grupi. Dozvole se, sa druge strane, primenjuju na odreene objekte, kao to su fajlovi, direktorijumi i tamgai. "Da li mogu da menjam fajlove u OPERATIONS direktorijumu, na BlGMASHINE serveru?" je primer dozvole. Dozvole reguliu koji korisnici mogu imati pristup objektu i na koji nain. Pravilo je da korisnika prava imaju prednost nad dozvolama za objekat. Hajde da, na primer, pogledamo korisnika koji je lan ugraene Backup Operators grupe. Na temelju lanstva u toj grupi korisnik ima pravo da zatitno kopira server. Ovo zahteva mogunost gledanja i itanja svih direktorijuma i fajlova na serverima, ukljuujui i one iji su kreatori i vlasnici izriito ukinuli Read dozvolu lanovima Backup Operators grupe; tako da pravo da se izvodi zatitno kopiranje gazi dozvole date za fajlove i direktorijume. Ali, ne brinite za svoju privatnost; prava Backup Operators grupe vae samo u saradnji sa backup rutinom; oni ne mogu tek tako da otvaraju fajlove na serveru i itaju njihov sadraj, na primer. Grupe ugraene u Win2K3 ve imaju neka prava koja su im dodeljena; Vi moete da kreirate nove grupe i da im dodeljujete skup korisnikih prava po Vaoj elji. Kao to sam ve rekao, mnogo je lake voditi rauna o bezbednosti kada se korisnika prava dodeljuju preko grupa, a ne pojedinanim korisnicima. Da biste videli, ili menjali pridruena lokalna prava za korisnika, ili grupu koji nisu na kontroleru domena, otvorite alat Local Security Policy, iz Administrative Tools grupe, ili upotrebite alat Domain Controller Security Policy za kontroler domena. Otvorite Local Policies > User Rights Assignment. Spisak prava i korisnika, ili grupa kojima su prava dodeljena, prikazae se u oknu sa detaljima, desno, kao to se vidi na slici 1.38. Da biste korisniku, ili grupi dodali, ili oduzeli pravo, dva puta kliknite pravo prikazano u oknu sa detaljima, ili izabrano pravo kliknite desnim tasterom i izaberite Security. Na slici 1.39 vidite Security informacije o pravu na promenu sistemskog vremena. Da biste pravo ukinuli grupi, istaknite ime grupe i izaberite Remove. Da biste grupu, ili korisnika dodali listi, izaberite Add i u okviru Add Users or Group, otkucajte ime, ili izaberite Browse, da biste ga selektovali.

Slika 1.38: Local Users Rights Policy

Slika 1.39: Zadavanje lokalnih naela bezbednosti za korisniko pravo

Kako se ovde uklapaju organizacione jedinice?

Organizacione jedinice (organizational unit - OU) su logiki kontejneri u domenu. One mogu da sadre korisnike, grupe, raunare i druge OU, ali samo iz svog kunog domena. Globalne grupe, ili raunare iz drugog domena, na primer, ne moete smestiti u OU Vaeg domena. OU su korisne samo za administraciju. Administratori mogu da kreiraju i primenjuju grupna naela na OU, a mogu i da delegiraju kontrolu nad OU. Ideja je imati delove domena, ali i dalje deliti zajednike sigurnosne informacije i resurse. Grupisanje korisnika, grupa i resursa u organizacione jedinice Vam prua mogunost da naela primenjujete mnogo finije i da, takoe, odluite ko ime upravlja i do kog nivoa. U emu se razlikuju OU i kontejner? OU je kontejner, ali ne samo kontejner, kao to je to Users u DSA.MSC. Kontrolu nad kontejnerom moete delegirati (moete delegirati kontrolu nad bilo ime), ali na njega ne moete primeniti Group Policy (grupna naela). Po emu su OU razliite od grupa? Korisnik moe biti lan mnogo grupa, ali samo jedne OU u jednom trenutku. Kao i grupe, i OU mogu da sadre druge OU. Imena grupa se pojavljuju u ACL-ovima, tako da grupama moete dodeliti, ili ukinuti prava. OU se ne pojavljuju u ACL-ovima, tako da ne moete, na primer, svima iz organizacione jedinice Finansije dodeliti pristup tampau. S druge strane, ne moete svakome iz sigurnosne grupe pripisati odreeni skup aplikacija, ali moete da objavite, ili pripiete knjigovodstveni tekst preduzea celoj OU knjigovodstvo.

Mainski nalozi
Mainski nalozi (engl. computer account) bezbednosni je subjekt i direktni je potomak objekta User. Da bi odreeni raunar mogao da uestvuje u Windows mrei (Windows Server 2003 ili Windows NT 4.0), treba da postoji bezbedan nain da se on prijavi u domen. Windows Server 2003 poveava stepen bezbednosti i kontrole nad raunarom tako to zahteva da on ima svoj nalog isto kao bilo koji korisnik. Kada raunar pridruujete domenu, treba da za njega napravite nalog, a Windows mu dodeljuje SID). Postupak je isti kao kada pravite naloge za korisnike. Prvi raunari koje pridruujete Windows Server 2003 domenu jesu upravljai domena. Ti serveri igraju ulogu straara domena. Ne moete da formirate Windows Server 2003 domen ako prethodno u njemu ne podignete" upravlja domena.

Promenom statusa servera u upravlja domena, prestaju sve nadlenosti lokalne baze podataka SAM. Instaliraju se usluge imenika, a o svemu to se tie bezbednosti domena stara se aktivni imenik. Kada domenu dodate prvi pridrueni server, samostalni server ili radnu stanicu pod Windows Serverom 2003, Windows formira dve nove grupe ija je namena da vam olakaju upravljanje nalozima. To su grupe Domain Admins i Domain Users. Pravljenje mainskog naloga jednostavnije je od pravljenja korisnikog naloga. Samo odaberite organizacionu jedinicu u koju treba smestiti raunar i iz menija modula izaberite New > Computer. Razume se, treba vam i ovlaenje da pravite naloge. Kada raunar postavite u organizacionu jedinicu, za njega poinju da vae odreena grupna pravila (slika 1.40).

Slika 1.40: Mainski nalog u OU

Rad sa Group Policies

Posao administratora se nikada ne zavrava. Korisnici se stalno igraju sa svojim parametrima, teko je odrati "standardne strukture", a postavljanje novih aplikacija zadaje glavobolje, kako na velikim, tako i na malim mreama. Muka je pakovati aplikacije, sistemi za udaljeni menadment, kao to je SMS, su nepotrebno sloeni, a za instalaciju mnogih aplikacija na NT, ili Win2K3 maine su potrebne Admin privilegije. Kada se radi o upravljanju konfiguracijom, treba se upoznati sa odreenim terminima: System Policies (sistemska naela), Group Policy (grupno naelo), Change and Configuration Management (CCM), Intellimirror. ta ove rei znae obinom administratoru koji samo eli da zadri neki kontinuitet u konfiguracijama stonih raunara? CCM i Intellimirror su marketinki nazivi za grupu karakteristika upravljanja Win2K3 stonim raunarom, ukljuujui lutajue (roaming) profile i preusmeravanje fascikli, offline fascikle, distribuciju softvera i kontrolu konfiguracije desktop-a (mislim upravljanje). Uprkos modernim terminima, mnoge od ovih mogunosti, ukljuujui preusmeravanje fascikli, distribuciju softvera i udaljenu konfiguraciju desktop-a, se lako primenjuju pomou grupnih naela. ta moete da radite pomou grupnih naela? Evo kratke liste: Objavljivanje, ili dodeljivanje softverskih paketa korisnicima ili mainama Dodeljivanje start-up, shutdown, logon i logoff skriptova Definisanje lozinke, zakljuavanje i revizija naela za domen. Standardizacija mnogih drugih parametara bezbednosti za udaljene maine, parametara koje je ranije bilo mogue konfigurisati editovanjem Registra, ili korienjem alata za konfigurisanje bezbednosti drugih proizvoaa. Neke karakteristike, kao to su mogunosti nametanja lanstva u grupi i konfiguracije servisa u potpunosti su nove.

 Definisanje i nametanje parametara za Internet Explorer. Definisanje i nametanje ogranienja za korisnike stone raunare. Preusmeravanje odreenih fascikli iz korisnikih profila (kao to su Start Menu, ili Desktop) na neku centralnu lokaciju. Konfigurisanje i standardizacija parametara za nove mogunosti, kao to su offline fascikle, disk kvote, ak i sam Group Policy. Ovde je kljuna stvar da Group Policy prua jedno mesto za administraciju, omoguavajui administratorima da lako instaliraju softver i primene standardizovane parametre na vie korisnika i raunara u celoj organizaciji. Pre Win2K, mnogo manji podskup svega ovoga, uglavnom samo ogranienja za stone raunare i nekoliko sigurnosnih parametara, se postizao pomou sistemskih naela. Prvo, sistemska naela, kada se primene, u Registar upisuju permanentne promene. Ovaj fenomen se obino zove tetoviranje (tattooing). Uklonite naelo, parametri ostaju. Vi zapravo treba da "obrnete naelo" (tako to ete primeniti njemu suprotno), ili da parametre promenite runo. Sa druge strane, grupna naela svoje informacije upisuju samo u odreene delove Registra, tako da su u stanju da poiste za sobom onda kada se naelo ukloni. Sistemska naela se primenjuju samo jednom: za vreme logovanja za korisnike parametre, za vreme podizanja za parametre raunara. I grupna naela se primenjuju na ovaj nain, ali se ponovo primenjuju u zadatim intervalima, Konano, grupna naela rade mnogo vie od promene Registra. Napomena: Grupna naela moete da koristite samo za kontrolu WinXPPro i Win2000Pro maina. Ako u domenu imate Win9x ili WinNT4 Workstation maine moraete da koristite stare alate: Windows 9x profile i sistemska naela i Windows NT profile i grupna naela. Grupna naela se delom uvaju u Aktivnom direktorijumu, a delom u SYSVOL, tako da ne treba da brinete o njihovoj replikaciji. File Replication Service (FRS), automatski vri replikaciju sadraja Active Directory i SYSVOL izmeu kontrolera domena.

Koncepti Group Policy

Administratori konfiguriu i primenjuju grupna naela tako to grade objekte grupnih naela (group policy object - GPO). GPO su kontejneri za grupe parametara (naela) koji se mogu primeniti na korisnike i grupe na mrei. Objekti naela se prave pomou Group Policy snap-ina, koji se obino poziva preko kartice Group Policy Object Editor iz DSA.MSC ili DSSITE.MSC. Isti GPO moe da odreuje skup aplikacija koje treba da se instaliraju na stonim raunarima svih korisnika, primeni surovu politiku disk kvota i restrikcija na Explorer shell i definie lozinku za ceo domen i politiku zakljuavanja naloga. Moe da se napravi jedan sveobuhvatan GPO, ili vie razliitih, po jedan za svaki tip funkcije. U Group Policy Object Editor snap-inu postoje dva glavna vora, User Configuration i Computer Configuration. User Configuration se primenjuju na parametre specifine za korisnika, kao to su konfiguracija aplikacije, ili preusmeravanje fascikli, a Computer Configuration naela upravljaju parametrima specifinim za mainu, kao to su kvote za diskove, revizije (auditing) i Event Log menadment. Ipak, postoji i prilino preklapanje. Nije neobino videti isto naelo i u User Configuration i u Computer Configuration vorovima. Suprotno svom imenu, grupna naela uopte nisu usmerena na grupe. Moda se zovu grupna, jer je gomila razliitih konfiguracionih alata grupisana zajedno u jedan snap-in. Vano: ne moete ih primeniti direktno na grupe, ni korisnike, ve samoj na sajtove, domene i OU (to Microsoft skrauje u termin SDOU). in dodele GPO-a sajtu, domenu, ili OU se zove povezivanje (linking). GPO moe biti povezan i sa lokalnim naelom odreene WinXP maine, to ete uskoro videti. Veza GPO - SDOU moe biti mnogo na jedan (mnogo naela primenjeno na jednu OU, na primer) ili jedan na mnogo (jedno naelo povezano sa nekoliko razliitih OU). Kada se poveu sa sajtom, domenom, ili organizacionom jedinicom, korisnika naela se primenjuju za vreme logovanja, a raunarska za vreme podizanja sistema. I jedna i druga se periodino osveavaju, uz nekoliko vanih izuzetaka. Kada sam rekao da se GPO uvaju u AD, to nije bilo potpuno ispravno. Objekti grupnih naela se uvaju u dva dela, Group Policy Container (GPC) i struktura fascikli naela u SYSVOL. Deo sa kontejnerom se uva u Aktivnom direktorijumu i sadri informacije o svojstvima, verziju, status i listu komponenata. Putanja strukture fascikle je WlNDOWS\SYSVOL\sysvol\Domainname\Policies\GUID\, gde je GUID Global Unique Identifier za GPO. Ova fascikla sadri administrativne ablone (ADM

fajlove), parametre bezbednosti, informacije o dostupnim aplikacijama i imena skript fajlova sa komandnim linijama.

Naela su "sve ili nita"

Svaki objekat grupnih naela sadri mnoge mogue parametre za mnoge funkcije; obino ete konfigurisati samo neke od njih. Ostali e biti ostavljani "neaktivni", neto kao stavljanje REM ispred komande u skriptu, ili korienje taka-zareza na poetku linije u INF fajlu. Win2K3 i dalje mora da proita celo naelo, ali reaguje samo na opcije koje ste omoguili. Ipak, kada jednom konfiguriete skup naela i kaete AD-u da je, na primer, "ovaj GPO povezan sa win2k3test.com domenom", individualni parametri, ili tipovi parametara se ne mogu primeniti selektivno. Svi korisniki konfiguracioni parametri e se primeniti na sve korisnike na Win2K3 sistemima u povezanom domenu. Svi raunarski konfiguracioni parametri e se primeniti na sve Win2K i Win2K3/XP maine u domenu. Setite se da se nita nee primeniti ni na NT 4, ni na 95/98 klijente. Recimo da ste kreirali GPO koji razvija set standardnih desktop aplikacija, kao sto su Word, Excel i Outlook i da ste ubacili gomilu shell restrikcija kako biste spreili korisnike da menjaju svoje konfiguracije. Ako ne elite da lanovi grupe za IT podrku podleu ovim besmisleno strogim shell restrikcijama, moete da uradite par stvari. Moete za ova naela da kreirate poseban GPO i povezete ga sa kontejnerom nieg nivoa, kao to je OU koja sadri sve regularne korisnike. Ali, ta OU e biti jedina koja dobija Office aplikacije. Alternativno moete da postavite dozvole za GPO, to e spreiti da se naelo primeni na grupu za IT podrku (ovo se zove filtriranje). Meutim, ako za reenje ovog problema upotrebite filtriranje, na grupu za IT podrku uopte nee biti primenjeno nita iz GPO. Primena grupnih naela je sve, ili nita, tako da su Vam ponekad, za posebne funkcije, zaista potrebna posebna naela. Moda je najbolji nain pristupa ovome izrada GPO za raspored standardnog softvera i GPO za shell restrikcije. Oba se mogu primeniti na nivou domena, ali se shell restrikcije mogu filtrirati za grupu za IT podrku. Poenta je u tome da je nemogue kreirati jedno monolitno naelo i onda odreivati ko dobija koje parametre.

Naela su nasledna i kumulativna

Parametri Group Policy su kumulativni i nasleeni iz roditeljskih kontejnera Aktivnog direktorijuma. Na primer, domen win2k3test.com ima nekoliko razliitih GPO. Postoji naelo na nivou domena koje postavlja restrikcije za lozinke, zakljuavanje naloga i standardne parametre bezbednosti. Svaka OU ima naelo za irenje i odravanje standardnih desktop aplikacija, kao i preusmeravanje fascikli i restrikcije za desktop. Korisnici i raunari koji su i u domenu i u OU, primaju parametre i od naela na nivou domena i od onih na nivou OU. Tako, opta naela se mogu primeniti na ceo domen, a sitnija u zavisnosti od OU.

Redosled primene grupnih naela

Nasleivanje i akumulacija su fini i jednostavni, sve dok naela koja se primaju od domena utiu na razliite parametre od onih odreenih OU naelom. A, ta ako su ista? ta ako oba menjaju isti parametar i naelo domena tvrdi jednu stvar, a naelo OU drugu? Naela se primenjuju sledeim redosledom: lokalno naelo, sajtovi, domeni, organizacione jedinice, zatim OU unutar OU. Ako naelo domena kae: "Mora biti ulogovan, da bi mogao da obori mainu", a OU naelo: "Dozvoli obaranje pre logovanja", OU naelo je primenjeno poslednje i zato ima prednost. Ako jedno naelo kae: "Zakljuaj", a sledee: "Nije konfigurisano", parametar ostaje zakljuan. Ako jedno naelo kae: "Nije konfigurisano", a sledee: "Zakljuaj", parametar je, takoe, zakljuan. Ako jedno naelo kae: "Ostavi ga", a sledee: "Iskljui ga", iskljuen je. Ako jedno naelo kae: "Iskljui ga", a sledee, blie, kae: "Ukljui ga", a tree: "Iskljui ga", pogodite ta biva? Na kraju je iskljuen. Ipak, poeljno je da izbegavate ovakva neslaganja medu naelima, da biste sauvali zdrav razum.

No Override i Block Inheritance

Kao to filtriranje moe da se koristi za spreavanje sveopte primene naela, Block Inheritance (blokiraj nasleivanje) je specijalan parametar koji spreava da naela procure sa vieg nivoa na nie. Kada je ukljuen, vrednosti viih naela se uopte nee primeniti u niim kontejnerima. Ako, na primer, kreirate GPO za odreenu OU, kao to je Knjigovodstvo i podesite sve parametre neophodne za tu OU, a

zatim elite da spreite da GPO win2k3test domena utiu na OU Knjigovodstvo, ukljuite Block Inheritance. Primenie se samo naela organizacione jedinice Knjigovodstvo. Postoji i protivudarac za spreavanje primene Block Inheritance. Kada je za naelo ukljueno No Override, vrednostima iz narednih naela je onemogueno da obru one iz naela sa ukljuenim No Override. Ako na primer, administratori domena imaju niz vrlo spornih parametara koje su ukljuili na nivou domena, a oni rasputeni, administratori iz raunovodstva su napravih sopstvenu OU, sa sopstvenim naelima i ukljuili Block Inheritance, organizaciona jedinica Knjigovodstvo e efektno izbegavati nametnute parametre... ali, samo dok se administratori domena ne opamete i dok ne ukljue No Override. U tom sluaju administratori domena pobeuju i ljudi iz OU Knjigovodstvo moraju da potuju ista ogranienja kao i svi ostali. No Override je jae od Block Inhentance. Kao i sva ostala tajna oruja i No Override i Block Inhentance je najbolje koristiti tedljivo. U suprotnom, u sluaju problematinih situacija, postaje dosta komplikovano otkriti koja naela su gde primenjena. To bi moglo da nakodi mentalnom zdravlju mrenog administratora.

Intervali osveavanja grupnih naela

Naela se ponovo primenjuju svakih 90 minuta. Na kontrolerima domena ona se osveavaju na svakih pet minuta, ali postoji naelo koje konfigurie sve ovo. Izuzeci za interval osveavanja ukljuuju preusmeravanje fascikli i instalaciju softvera. Oni se primenjuju samo pri logovanju, ili pri podizanju sistema; u suprotnom bi moglo da Vam se desi da aplikaciju deinstalirate, dok neko pokuava da je koristi. Ili, korisnik moe raditi u fascikli koja je preusmerena na novu lokaciju u mrei. To bi bilo loe.

Lokalna naela i objekti grupnih naela

Kada za izradu i povezivanje grupnih naela koristite Active Directory Users and Computers, ili Active Directory Sites and Services, Vi radite sa objektima grupnih naela da biste zadali skup parametara koji e biti primenjeni u trenutku logovanja korisnika, ili podizanja maine. Group Policy Object Editor snap-in prua mogunost za gledanje postavke lokalnih naela na maini. Ako otvorite alat Group Policy Object Editor koji stie uz Win2K3 (GPEDIT.MSC), on se automatski fokusira na lokalnu mainu, kao to je prikazano na slici 1.41. Administratori mogu da ga koriste kao to bi koristili i alat Local Security Policy za konfigunsanje parametara naloga (kao to su minimalna duina lozinke i broj propalih pokuaja logovanja pre zakljuavanja naloga) i podeavanje praenja (auditing). Uz izuzetak instalacije softvera i preusmeravanja fascikli, svi parametri Group Policy su dostupni i za konfigurisanje lokalnih naela.

Slika 1.41: Group Policy Object Editor snap-in

Da biste se fokusirali na lokalna naela drugog raunara, morate da imate Administrator prava za tu mainu. Raunar moete selektovati dok svojoj upravljakoj konzoli dodajete Group Policy snap-in, kao to je prikazano na slici 1.42. Ako znate ime raunara, samo ga ukucajte, ili izaberite dugme Browse. Snap-in se moe fokusirati na lokalnu mainu, ili na objekat grupnih naela; dugme Browse Vam omoguava da locirate i pronaete objekte grupnih naela povezane na sajtove, domene, OU, ili raunare (Slika 1.43).

Slika 1.42: Dodavanje Group Policy Object Editor snap-in

Slika 1.43: Izbor objekata grupnih naela

Osim toga, ako selektujete opciju kojom ete omoguiti promenu fokusa kada se snap-in pokrene sa komandne linije, objekat naela moete da selektujete kao argument kada pokreete konzolu. GPEDIT.MSC, konzola Group Policy Object Editor koja se isporuuje sa Win2K3, ovu opciju ima ukljuenu. Sintaksa kojom se otvara GPEDIT.MSC i gleda lokalno naelo na udaljenoj maini je sledea: GPEDIT.MSC /gpcomputer: imemaine Tako da moete da napiete, na primer: GPEDIT.MSC /gpcomputer: student2 ili, moete da napiete: GPEDIT.MSC /gpcomputer: student2.win2k3test.com Obavezno ukljuite razmak izmeu /gpcomputer: i imena maine. Pri korienju GPEDIT.MSC za menjanje naela na udaljenoj maini postoji jedno vano ogranienje. Ekstenzija Group Policy Object Editor snap-ina sa parametrima bezbednosti nee raditi kada je alat fokusiran na udaljenu mainu. Ovo vredi ponoviti. Ne moete da otvorite GPEDIT.MSC sa prekidaem /gpcomputer: imeraunara i menjati parametre bezbednosti udaljene maine. Izgleda da Microsoft to ne dozvoljava jer smatra da bi time bezbednost bila ugroena. Jo jedan primer toga da nam softver govori ta je najbolje za nas? Napomena: Ako koristite grupna naela, lokalno se uvek procesira pre grupnih naela sajta, domena, ili OU.

Izrada grupnih naela

Da biste u DSA.MSC otvorili Group Policy Object Editor snap-in, kliknite desnim tasterom ime domena u korenu konzole i, iz kontekstualnog menija, izaberite Properties. Preite na karticu Group Policy, prikazanu na slici 1.36, da biste videli koji GPO su povezani na nivou domena. Ako do sada niste kreirali druga naela, videete samo podrazumevano naelo domena. Zapazite polje za potvrdu Block Policy Inheritance, u donjem levom uglu Group Policy kartice. Ono spreava da se parametri grupnih naela vieg nivoa spuste na ovaj. Setite se redosleda kojim se naela primenjuju: prvo na nivou sajta, zatim domena, zatim naela za OU.

Slika 1.44: Group Policy kartica

Da biste ukljuili No Override, istaknite naelo i izabente Options, zatim potvrdite polje No Override (vidi sliku 1.45). Kada je ovo polje ukljueno, ostala naela, primenjena na donjim nivoima ne mogu nadjaati vrednost ovog naela, ak ni sa Block Inheritance. Zapazite da je Block Inheritance ukljueno na nivou linka (sajt, domen, ili OU), dok je No Override ukljueno za naelo. Potvrdite polje Disabled, da biste naelo iskljuili, da se na tom nivou ne procesira, ili ne primenjuje. Onemoguavanje naela ne onemoguava i sam objekat. Na primer, isto naelo, onemogueno na nivou domena, teorijski bi moglo da se primeni na nivou sajta, ili OU. Ako je neka od opcija (No Override, ili Disabled) ukljuena, postojae znak potvrde u odgovarajuoj koloni Group Policy kartice. Obe opcije se mogu aktivirati pomou kontekstualnog menija naela. Da biste videli kontekstualni meni, samo treba naelo da kliknete desnik tasterom.

Slika 1.45: Group Policy opcije

U prozoru sa slike 1.44 izaberite New, da biste kreirali novi GPO. Win2K3 e kreirati naelo po imenu New Group Policy Object i dozvoliti Vam da mu promenite ime. Izaberite Properties, da biste videli i menjali svojstva novog objekta grupnih naela. Kartica General, prikazana na slici 1.46, prikazuje informacije o izradi i reviziji, kao i opcije za onemoguavanje korisnikog, ili raunarskog dela naela. U zavisnosti od naina na koji ste podelili domen u organizacione jedinice, moete odluiti da neka naela kreirate samo sa raunarskim parametrima, a neka samo sa parametrima karakteristinim za korisnika. U tom sluaju, ako je neiskorieni deo GPO onemoguen u potpunosti, primena naela i auriranja e se odvijati bre.

Kartica Links Vam prua mogunosti pretrage za sajtovima, domenima, ili OU koji koriste ovaj GPO, ako ima takvih. Kliknite dugme Find Now da biste pretragu pokrenuli.

Slika 1.46: Group Policy General svojstva

Kartica Security otkriva podrazumevane dozvole za GPO (sliku 1.47). Istaknite ime sa vrha, da biste u donjem delu videli dozvole. Zapazite da Domain Admins i Enterprise Admins imaju dozvole Read (itanje) i Write (pisanje), kao i Delete (brisanje) i Create Child Objects (izrada podobjekata), dok Authenticated Users imaju samo Read i Apply Group Policy (primena grupnih naela). Read i Write su neophodni za promenu naela, a Read i Apply su neophodni primaocu naela.

Slika 1.47: Lista dozvola za grupna naelo

Vratite se na Group Policy karticu lista sa svojstvima domena. Ako istaknete novi GPO koji ste upravo kreirali i izaberete dugme Up (gore), ili Down (dole), naelo moete da pomerite na gore, ili na dole u prozoru. Ovo je vana poslastica koju treba da znate: ako je na jedan kontejner povezano vie GPO, kao to vidite na slici 1.48, oni e se primenjivati od dna ka vrhu, tako da se onaj sa vrha primenjuje poslednji. Znai da GPO koji je na viem mestu liste ima vii prioritet. Ako postoje parametri koji su u konfliktu, vie naelo pobeuje.

Da biste GPO obrisali, ili ga samo uklonili sa liste, istaknite naelo i izaberite Delete. Win2K3 e Vam ponuditi opciju da ga potpuno obriete (slika 1.49), ili da ga uklonite sa liste, uvajui naelo koje onda u nekom trenutku moete povezati sa nekim drugim kontejnerom.

Slika 1.49: Uklanjanje objekta grupnih naela

Slika 1.48: Poveanje prioriteta objektima grupnih naela

Na kartici Group Policy izaberite dugme Add, da biste postojei GPO povezali sa eljenim kontejnerom. Kao to moete da vidite na slici 1.50, moete da potraite i GPO koji su povezani sa drugim domenima/OU, ili drugim sajtovima, ili moete zatraiti listu svih GPO. Istaknite naelo i izaberite OK, da biste ga dodali listi na kartici Group Policy.

Slika 1.50: Povezivanje grupnog naela

Hajde da sada pogledamo i izmenimo nae novo naelo. Na kartici Group Policy istaknite naelo i izaberite Edit. Ovo e, u posebnom prozoru, otvoriti Group Policy Object Editor snap-in i videete ime objekta naela u korenu prostora za ime, u ovom sluaju Raunovodstvo Policy [DC1.OSVeljkoVlahovic.edu] Policy. Ovo nam nagovetava da je naelo ve gledano i editovano. Slika 1.51 prikazuje naelo razvijeno u drvo konzole, da bi se videli glavni vorovi objekta grupnih naela.

Slika 1.51: Prostor za ime grupnog naela

Kao to sam ve pomenuo, postoje dva glavna tipa parametara. Parametri konfiguracije raunara se primenjuju na mainu pri podizanju i u odreenim intervalima osveavanja. Parametri korisnike konfiguracije se primenjuju na korisnikovo radno okruenje pri logovanju i u odreenim intervalima osveavanja. Kasnije emo, u skladu sa sadrajem, istraiti razliita naela, ali treba da se pripremite za injenicu da nisu sva naela konfigurisana na isti nain, bar to se interfejsa tie. Bie Vam potrebno nekoliko primera, da biste shvatili na ta mislim: Da biste u Software Settings\Software Installation specificirali softverske pakete, otvorite fasciklu i izaberite New > Package iz Action menija. Okvir za dijalog Open e Vas pitati za lokaciju paketa. Kada ga locirate i selektujete, onda konfiguriete njegova svojstva. Da biste zadali interval koji moe da protekne dok korisnik ne promeni lozinku, idite u Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy, u desnom oknu sa detaljima kliknite dva puta Maximum Password Age (maksimalna starost lozinke), omoguite ovaj parametar potvrivanjem polja Define This Policy Setting i odredite vrednost vremenskog intervala. Da biste podesili naelo koje ograniava lanstvo u grupi, idite u Restricted Groups, pod Security Settings, u Computer Configuration\Windows Settings i izaberite Add Group iz Action menija. Okvir za dijalog od Vas trai da unesete grupu, ili da je potraite. Kada se grupa doda spisku u desnom oknu sa detaljima, kliknite dva puta njeno ime, da biste otvorili okvir za dijalog i dajte imena korisnika koji moraju biti, ili im je dozvoljeno da budu lanovi grupe. lanstvo u grupi moete definisati i za samu grupu. Da biste podesili preusmeravanje fascikle, idite u User Configuration\Windows Settings\Folder Redirection i izaberite fasciklu (na primer: Start Menu). Desno okno, sa detaljima, bie prazno. Kliknite desni tasterom u prazan prostor okna (ili otvorite Action meni) i izaberite Properties. Pojavie se list sa svojstvima i tu ete moi da odredite lokaciju za Start Menu i konfiguriete parametre preusmeravanja. Kada zavrite sa konfigurisanjem parametara Group Policy, jednostavno zatvorite Group Policy prozor. Nema opcije Save, ni Save Changes. Promene se upisuju u GPO kada izaberete OK, ili Apply za odreeni parametar, iako korisnik, ni raunar nee primetiti promenu sve dok se naelo ne osvei.

Filtriranje grupnog naela

Vratimo se na karticu Security, u listu sa svojstvima objekata grupnih naela: otvorite DSA.MSC (ili DSSITE.MSC), u zavisnosti od toga gde je link. Kliknite desnim tasterom kontejner povezan sa vaim GPO (u naem primeru, domen) i izaberite Properties. Izaberite karticu Group Policy i istaknite naelo koje elite da filtrirate. Izaberite dugme Properties i idite na karticu Security (ponovo prikazana na slici 1.52). Sada vidite Access Control List (ACL) za objekat naela. Moe se desiti da ste napravili grupno naelo kojim se ograniavaju stoni raunari, a ne elite da ga primenite na odreenu grupu ljudi. Grupa Authenticated Users ukljuuje sve osim gostiju, tako da se podrazumeva da e se naelo primeniti na sve

osim gostiju, pa e ak i Domain Admins i Enterprise Admins primiti parametre naela. Da biste spreili da i Domain Admins i Enterprise admins prime ovo naelo, morate u Deny koloni da potvrdite polje pored Apply group Policy (slika 1.53). Onima koji su lanovi jedne grupe je potreban Deny samo za jednu grupu, ali Deny polje morate da potvrdite za obe grupe, za sluaj da lanovi Domain Admins i Enterprise Admins nisu isti ljudi. Da biste izuzeli ostale od primanja naela, sve ih smestite u sigurnosnu grupu i tu grupu dodajte listi. Nije dovoljno ne potvrditi polja za dodelu Read i Apply Group Policy; korisnici iz vae specifine sigurnosne grupe su lanovi i Authenticated Users, tako da Vi, zapravo, treba da izaberete Deny opciju i za njih. Deny ima prvenstvo u odnosu na Allow.

Slika 1.52: Security kartica grupnih naela

Slika 1.53: Uskraivanje Apply Group Policy dozvole

Ako naelo elite da filtrirate za odreenu mainu (ili grupu maina), primenite istu strategiju. Dodajte raunarske naloge u sigurnosnu grupu, dodajte tu grupu u ACL za objekat naela, zatim grupi uskratite (Deny) Read i Apply Group Policy dozvole. Postoji alternativa dodavanju sigurnosne grupe u ACL i uskraivanju Read i Apply dozvola. Mogue je u potpunosti ukloniti Authenticated Users iz ACL-a, ime se svi spreavaju od prijema grupnih naela. Zatim biste u ACL jednostavno dodali ulaze za sigurnosne grupe za koje elite da prime naelo. Ipak, budite sigurni da ste im dodelili i Read i Apply Group Policy. Slika 1.54 prikazuje listu dozvola za Raunovodstvo policy iz koje je uklonjeno Authenticated users i dodata je grupa Administracija. Ova strategija je korisna, ako ne elite da se naelo primenjuje na sve raunare u povezanom kontejneru. Uzgred, listama dozvola moete dodati i pojedinane korisnike. Napomena: I u sluaju User Configuration i Computer Configuration, Software Settings\ Software Installation se mogu upotrebiti za objavljivanje, dodeljivanje, auriranje, ak i uklanjanje aplikacija sa korisnikovog desktopa.

Slika 1.54: Group Policy ACL bez Authenticated Users

Specificiranje skriptova pomou Group Policy

Moete da specificirate logon i logoff skriptove, kao i skriptove koji e se izvravati pri podizanju, ili obaranju sistema, pomou Windows Settings u User Configuration voru, ili Computer Configuration voru, respektivno. Razvijte Windows Settings, da biste prikazali Scripts, zatim, u desnom oknu sa detaljima, selektujte tip skripta (start-up, shutdown, logon, ili logoff); slika 1.55 prikazuje skriptove koji su na raspolaganju u User Configuration. Ovde, kliknite dva puta na tip skripta (na primer Logon), ili ga istaknite i u Action meniju izaberite Properties. Skriptove dodajte u spisak pomou dugmeta Add (slika 1.56). Kada se to od Vas zatrai, navedite ime skripta i parametre. Da biste skriptu editovali ime i parametre (ne sam skript), izaberite Edit. Ako ste specificirali vie skriptova, upotrebite dugmad Up (gore) i Down (dole), da biste odredili redosled kojim e se izvravati. Skriptovi koje napravite i pripiete treba da budu iskopirani u sledeu putanju u SYSVOL direktorijumu: \WINDOWS\SYSVOL\SysVol\imedomena\Policies\{GUID}\Machine\Scripts\Startup(Shutdown) (ili User\Scripts\Logon, ili Logoff, u zavisnoti od toga da li skriptove dodeljujete Computer Configuration, ili User Configuration voru). Global Unique Identifier (GUID) za objekat grupnih naela je dugaak string koji lii na {FA08AF4l-38AB-1lD3-BDlPC9B6902FA00B}. Ako elite da vidite skriptove smetene u GPO i, po mogustvu, ih otvorite za editovanje, upotrebite dugme Show Files, u dnu lista sa svojstvima. Ovo e fasciklu otvoriti u Exploreru. Postoji nekoliko parametara naela koji definiu kako e se Group Policy skriptovi izvravati. Ona se nalaze u Administrative Templates voru, u System\Scripts za konfiguraciju korisnika ili raunara.

Slika 1.55: Start-up skriptovi Group policy

Slika 1.56: Dodavanje skripta u Group Policy

Preusmeravanje fascikli
Jedna od najkorisnijih stvari koju moete da uradite sa parametrima korisnike konfiguracije u Group Policy Object Editor-u je da korisnikovim fasciklama Application Data, Desktop, Start Menu, ili My Documents kaete da ga prate od raunara do raunara.Ove fascikle su vaan element korisnikovog radnog okruenja. Application Data uva korisnike informacije specifine za aplikacije dok Desktop moe da sadri vane fascikle i preice koje treba da su na samo jedan klik od korisnika. Start Menu sadri programske grupe i preice na programe, dok je My Documents podrazumevano mesto na koje pamtite i sa kojeg pozivate fajlove, neka vrsta lokalnog kunog direktorijuma. Korisenjem korisnikih profila moete unapred da konfiguriete sadraj ovih fascikli i pripiete mrene lokacije. Ali, za razliku od ponaanja Default User profila, preusmerene fascikle su sve vreme na jednom odreenom mestu. One se ne kopiraju na mainu na koju se korisnik loguje, prouzrokujui "gradnju" profila. Umesto korienja fascikle u korisnikovom lokalnom profilu, bie preusmerena (redirect) na lokaciju odreenu u grupnim naelima.

Ima vie dobrih razloga za korienje preusmeravanja fascikli. Prvo, to je pogodnost za korisnika koji se loguje na razliite maine. Takoe, ako odredite mrenu lokaciju za neke, ili sve ove fascikle, one se mogu redovno zatitno kopirati i tititi od strane IT odeljenja. Ako se lutajui (roaming) profili i dalje koriste, uvoenje preusmeravanja fascikli ubrzava sinhronizaciju profila servera sa lokalnim profilima pri prijavljivanju (logon) i odavljivanju (logoff), jer preusmerene fascikle ne trae auriranje. Preusmeravanje fascikli Desktop i Start Menu na centralizovanu, deljenu lokaciju olakava standardizaciju korisnikog radnog okruenja i pomae udaljenu podrku, jer e osoblje za podrku znati da su sve maine konfigurisane na isti nain. to je najlepe od svega, kombinujete i slaete. Mogue je specificirati deljenu lokaciju za Desktop i Start Menu fascikle, a dozvoliti svakom korisniku da ima sopstvene My Documents i Application Data fascike. Hajde da pogledamo. Da biste za Start Menu fasciklu odredili mrenu lokaciju u Group Policy, idite u User Configuration\Windows Settings\Folder Redirection\Start Menu, kliknite desnim tasterom istaknutu fasciklu Start Menu i, iz kontekstualnog menija, izaberite Properties. List sa svojstvima e prijaviti da nijedno naelo nije podrazumevano za Start Menu preusmeravanje. Iz padajue liste izaberite Basic, da biste odredili jednu lokaciju za Start Menu fasciklu, ili izaberite Advanced, da biste lokacije zadali na osnovu lanstva u sigurnosnoj grupi. Ako elite jednu lokaciju za Start Menu fasciklu samo otkucajte ciljnu lokaciju sa mrenom putanjom, ili pretraivanjem doite do nje. Za razliite lokacije, prvo izaberite sigurnosnu grupu, a zatim zadajte mrenu putanju. Slika 1.57 demonstrira preusmeravanje Start Menu fascikle za sve lanove OSVeljkoVlahovic.edu\Raunovodstvo, na serveru DC1. U naem sluaju e celo Raunovodstvo koristiti istu Start Menu fasciklu, a u drugim sluajevima je mogue postaviti individualne preusmerene fascikle, dodavanjem %imekorisnika% u putanju. Ovim se kreira podfascikla imenovana po korisniku. Zatim, kliknite karticu Settings, da biste konfigurisali parametre preusmeravanja. Potpunosti radi, parametri preusmeravanja za My Documents su prikazani na slici 1.57. Parametri za preusmeravanje svih ostalih fascikli su isti, osim sto My Document ima podfasciklu My Pictures, tako da postoji par dodatnih stavki koje treba konfigurisati. Opcije koje vidite na slici 1.58 prikazuju podrazumevane izbore. Samo korisnik e imati pristup fascikli, tako da, ako svi treba da dele fasciklu, treba da ukinete potvrde iz ovog polja (Grant the user the exclusive rights to My Documents). Podrazumeva se da e se sadraj odgovarajue fascikle kopirati na novu lokaciju. ak i kad se naelo ukloni, fascikla e ostati preusmerena sve dok joj ne kaete da "ukine preusmeravanje".

Slika 1.57: Naelo za preusmeravanje korisnikove Start Menu fascikle

Slika 1.58: Naelo za preusmeravanje My Documents fascikle

Parametri bezbednosti
Security Settings (parametri bezbednosti), zajedno sa Administrative Templates (administrativni abloni) ine veliki deo Group Policy. Pod pretpostavkom da ete imati nekakvu standardizaciju na nivou organizacije, nekoliko kakljivih dozvola i parametara Registra ete morati da promenite samo jednom, pomou Group Policy. NTFS dozvole morate da podesite samo jednom. One se, ak, mogu podesiti za jedno naelo, a onda kopirati u ostala. Kada god Vam je potrebna visoka bezbednost, ili samo malo via od podrazumevane, velike su anse da ete eleti da uinite bar neke standardizovane promene, a vor Security Settings e Vam svakako olakati ivot. Glavnina parametara bezbednosti se nalazi u Computer Configuration\Windows Settings\Security Settings, iako se naela za javne kljueve nalaze i u User Configuration voru, na istoj putanji. Sledi rezime glavnih kategorija parametara iz Security Settings. Account Policies Odreuje ogranienje lozinke, naela zakljuavanja i Kerberos naelo. Local Policies Konfigurie praenje i dodelu korisnikih prava i razne parametre bezbednosti. Event Log Cenlralizuje konfiguracione opcije za Event Log. Restricted Groups Obavezuje i kontrolie lanstvo u odreenim grupama. System Services Standardizuje konfiguracije servisa i titi od promena. Registry Kreira ablone bezbednosli Za kljueve Registra za dozvole koje kontroliu ko moe da menja koji klju i kontroliu Read pristup dolovima Registra. File System Kreira ablone bezbednosti za dozvole za fajlove i fascikle, radi obezbedjivanja da fajlovi i direktorijumi imaju i zadravaju dozvole koje elite. Public Key Policies Upravlja parametrima organizacije, korienjem infrastrukture javnog kljua.

Uvoz ablona bezbednosti

abloni sa parametrima bezbednosti se instaliraju sa Win2K3 Serverom i na raspolaganju su nam kako bi olakali teret prolaska kroz istraivanje i konfiguraciju ovih parametara. Takoe, mnogo je sigurnije parametre konfigurisati offline i zatim ih primeniti, nego se igrati ivim grupnim naelom, koje radi. Ovi abloni imaju oblik INF fajlova i nalaze se u \WINDOWS\security\templates. Ima ih vie, od osnovnih radnih stanica, ili servera, do sigurnosnih, vrlo sigurnih i konfiguracija namenjenih za kontrolere domena. Kada se primene direktno, ili preko Group Policy, ovi abloni u inkrementima menjaju podrazumevane vrednosti. Moete ih gledati, ili menjati pomou Security Templates snap-ina, prikazanog na slici 1.59. Ovi parametri su isti kao i oni koji se nalaze u group policy Security Settings, sa izuzetkom Public Key Policies i IP Security Policies, koji se ne mogu konfigurisati pomou ablona. Vrednosti parametara su u svakom ablonu unapred konfigurisane kako bi odgovarale potrebnom nivou bezbednosti. Da biste ablon bezbednosti uvezli u Group Policy, idite u Computer Configuration\Windows Settings\Security Settings i kliknite desnim tasterom Security Settings. Iz kontekstualnog menija izaberite Import Policy, zatim selektijte naelo iz liste ablona. Group Policy ablon automatski trai u \WINDOWS\security\templates, a Vi mu moete rei da trai negde drugde ako je potrebno. Bie uvezen INF fajl, da bi promenio parameter selektovanog objekta grupnih naela.

Slika 1.59: Security Templates snap-in

Administrativni abloni
Parametri iz Administrative Templates (administrativnih ablona) specificiraju izmene zapisa Registry-a kojima se podeavaju razni aspekti korisnikog okruenja, ili konfiguracije maine. Promene specificirane u administrativnim ablonima koje se odnose na korisnika se upisuju u HKEY_CURRENT_User\Software\Policies, a one koje se odnose na raunar u HKEY_LOCAL_Machine\Software\Policies. Ovi, .ADM fajlovi nalaze se u \WINDOWS\inf. Kada uitate Administrative Template, ADM fajlovi se kopiraju u \SYSVOL\Imedomena\Policies\GUID\Adm. ta moete da radite sa parametrima iz Administrative Templates? Meu njihovim glavnim funkcijama je sprei korisnika da promeni X, ili onemogui, ili sakrij opciju Y. Naveu nekoliko komentara o nekim od parametara koje ete pronai u Administrative Templates. Windows komponente Zaista je veliki broj parametara koje moete konfigurisati u ovom voru. Svakako je korisno imati kontrolu parametara za Internet Explorer, Windows Explorer, Microsoft Management Console, Task Scheduler, Terminal Services.. Moete, na primer, ukloniti Run iz Start menija ili Entire network u My Network Places kako bi odvratili korisnike od njukanja po razliitim serverima. Iako je zanimljivo igrati se postavljnjem restrikcija treba voditi rauna o svakoj polisi, manje li vie znaajnoj. Control Panel parametri Control Panel vor ukljuuje nekoliko opcija za onemoguavanje, ili uklanjanje celog, ili dela Add\Remove Programs apleta. Display spreava korisnike da menjaju parameter prikaza. Kao to su rezolucija ekrana, screen-saver-i i pozadiski tapet drugim reima, da prilagoavaju prikaz. Takoe, korisna naela su ona koja spreavaju korisnike da dodaju, ili briu tampae. Korisno je, takoe, specificirati putanju za tampae u Aktivnom Direktorijumu, kao pomo pri pretraivanju. Sistemski parametri Onemoguavanje alata za editovanje Registra spreava korisnike da pokreu REGEDT32.EXE i REGEDIT.EXE, to nije loa ideja, mada obini korisnici ionako nemaju Read pristup veem delu Registra. uveni parameter Run Only Allowed Windows Application (izvravaj samo dozvoljene Windows aplikacije) se nalazi u System voru, u User Configuration. Ako naelo omoguite, morate da dodate listu dozvoljenih aplikacija, ili korisnik nee moi nita da pokrene. Slika 52 prikazuje omogueno naelo, sa primerom spiska dozvoljenih aplikacija.

Slika 1.60: Naelo koje dozvoljava pokretanje samo dozvoljenih aplikacija

Upotreba Group Policy za podeavanje Set Password i Account Lockout naela

Vana primedba za lozinke, zakljuavanje naloga i Kerberos grupna naela: primenjuju se samo na nivou domena. Kontroleri domena e ove parametre primiti od naela naloga nivoa domena i ignorisati parametre u naelima povezanim sa OU. U stvari, videete greku u Event Logu, ako naelo OU nivoa sadri ove parametre. Tako da, na nesreu i dalje ne moete administratore da naterate da lozinke menjaju ee od svih ostalih (ne bez debele motke, u svakom sluaju). Meutim, na OU se mogu primeniti razliiti Local Policy parametri, tako da praenje moe da bude stroe za "bezbednije" OU, a labavije za ostale. Password Policy sadri sledee opcije: Enforce Password History (obavezna istorija lozinke) Omoguite ovu opciju i dajte broj novih lozinki koje moraju biti jedinstvene, pre nego to se data lozinka moe upotrebiti ponovo. Maximum Password Age (maksimalna starost lozinke) Ova opcija zadaje vremenski period u kojem se lozinka moe koristiti, pre nego to sistem od korisnika zatrai da izabere novu. Minimum Password Age (minimalna starost lozinke) Ovde zadata vrednost je period u kojem se lozinka mora koristiti, pre nego to sistem korisnika dobije pravo da je promeni. Minimum Password Length (minimalna duina lozinke) Ova opcija definie najmanji broj karaktera koje korisnikova lozinka mora da sadri. Osam karaktera je dobra duina lozinke. Password Must Meet the Complexity Requirements of Installed Password Filter (lozinka mora da zadovolji zahteve sloenosti koje odreuje instalirani filter za lozinke) Filteri za lozinke definiu zahteve kao, na primer, broj dozvoljenih karaktera, da li moraju da se koriste slova i brojevi, da li je dozvoljen deo korisnikovog imena itd. Store Password Using Reversible Encryption (lozinke pamti korienjem obrnutog ifriranja) Windows 9x klijenti i Macintosh klijenti treba da se identifikuju ifriranjem nieg nivoa. User Must Log On to Change Password (korisnik se mora logovati, da bi promenio lozinku) Ova opcija spreava neidentifikovane korisnike da menjaju lozinku tokom brutalnog napada. Takoe, spreava korisnika da promeni svoju lozinku, ako je ona istekla. Accout Lockout Policy, kada se omogui, svakoga spreava da se loguje na nalog posle odreenog broja neuspenih pokuaja: Account Lockout Threshold (prag zakljuavanja naloga) Ova vrednost definie koliko puta korisnik moe pokuati da se loguje pre nego to se nalog zakljua. Reset Account Lockout Counter After (vrati broja posle) Ovaj parametar definie vreme posle kojeg e brojanje neuspelih pokuaja logovanja poeti ispoetka. Accout Lockout Duration (trajanje zakljuavanja naloga) Ovaj parametar odreuje interval u kojem e parametar biti zakljuan. Kada to vreme istekne, korisniki nalog vie nee biti zakljuan i korisnik moe ponovo da pokua da se loguje.

Hajde da nau diskusiju o grupnim naelima zavrimo ispitivanjem drugih Group Policy konfiguracionih opcija koje su stvarno ukljuene kao grupna naela (naela grupnih naela).

Group Policy naela

Naela koja kontroliu Group Policy se nalaze u Administrative Templates, i u User Configuration i u Computer Configuration vorovima (Administrative Templates\System\Group Policy). Slika 1.61 prikazuje Computer Configuration opcije za Group Policy. Informacije koje slede su rezime najvanijih konfiguracionih opcija. Group Policy Refresh Intervals for Users/Computers/Domain controllers (Intervali osveavanja Group Policy za korisnike/raunare/kontrolere domena) Ova odvojena naela odreuju koliko esto se GPO osveavaju u pozadini, dok korisnici i raunari rade. Ovi parametri dozvoljavaju promene podrazumevanih pozadinskih intervala osveavanja i dozvoljavaju fino podeavanje offset vremena. Disable Background Refresh (onemogui osveavanje u pozadini) Ako dopustile ovaj parametar, naela e se osveavati samo pri podizanju sistema i logovanju korisnika. Ovo bi moglo da bude korisno zbog performansi, jer ako imale 1,500 raunara koji na svakih 90 minuta osveavaju naela, na Ethernetu bi moglo doi do zaguenja. Apply Group Policy for Users/Computers Synchronously during Start-up (sinhrono primeni grupna naela na korisnike/raunare tokom podizanja) Omoguite ovaj parametar, da biste spreili korisnike da se loguju dok se sva grupna naela ne primene. U suprotnom, naela se primenjuju u pozadini i korisnik e moi da se loguje dok se vrednosti naela i dalje menjaju. Policy Processing Options (opcije procesiranja naela) Ova naela, sa imenima kao Registry Policy Processing i Folder Redirection Processing, su na raspolaganju za prilagodjavanje ponaanja razliitih GPO komponenata. Svako naelo (vidi primer na Slici 54) predstavlja barem dve od sledee tri opcije: Allow Processing across a Slow Network Connection (dozvoli procesiranje preko spore mrene veze) Neka naela se mogu iskljuiti kod sporih veza, da bi se pobojale performanse ("sporu vezu" moete da definiete pomou parametra Group Policy Slow Link Detection). Ipak, parametri bezbednosli i naela procesiranja Registra e se uvek primenjivati i ne mogu se iskljuiti.

Slika 1.61: Computer Configuration parametri za Group Policy

Do Not Apply during Periodic Background Processing (ne primenjuje se tokom periodinih pozadinskih procesiranja) Odreuje komponente koje e se periodino osveavati. Instalacija softvera i preusmeravanje fascikli se nikada nee osveavati dok je korisnik logovan, tako da za njih opcija nije raspoloiva. Process Even If the Group Policy Objects Have Not Changed (procesira, ak, iako se GPO nisu promenili) Radi ouvanja mrenih i sistemskih resursa, podrazumeva se da se GPO ne osveavaju, ako nisu promenjeni. Ipak da biste poveali sigurnost i spreili da korisnik menja parametre naela, omoguite ovo naelo, da biste se obezbedili da se svi parametri ponovo primene posle svakog intervala osveavanja. Omoguavanje ovog naela moe da izazove primetno pogoranje performansi. User Group Policy Loopback Processing Mode (reim za obrnuto procesiranje korisnikih grupnih naela) Podrazumeva se da se korisnika naela procesiraju posle naela konfiguracije raunara i da korisnika naela imaju prednost, ako postoje konflikti. Takoe se podrazumeva da korisnici primaju naela bez obzira na to koju mainu upotrebe za logovanje. Ponekad to nije odgovarajue i umesto toga, naela treba primeniti u skladu sa objektima raunarskih naela. Na primer, ako se logujem na server, da bih se bavio administracijom, ne odgovara mi da office aplikacije ponu da se instaliraju. Drugi primer kada elite da raunarska naela pregaze korisnika je ako elite da primenite stroa naela za maine koje su izloene anonimnoj publici, kao to su one u bibliotekama, univerzitetskim raunarskim labotarorijama i kioscima u trnim centrima, ili turistikim atrakcijama. Postoje dva reima za kontrolu ovog ponaanja (vidi sliku 1.62); Merge i Replace reimi.

Slika 1.62: Opcije procesiranja skripta

Slika 1.63:User Group Policy loopback processing mode naelo

Merge Mode Prvo procesira korisnika naela, zatim raunarska. Zbog toga e raunarska naela pregaziti konfliktna korisnika. Replace Mode Zanemaruje korisnika naela i procesira samo raunarska.

Grupna naela na sporim vezama

Grupna naela i dalje rade preko sporih veza, kao to su dial-up konekcije. Jo bolje, naelo se primenjuje bez obzira na to da li se korisnik loguje korienjem Dial-Up Networkinga, ili se loguje sa keiranim akreditivima, pa tek onda inicira vezu. Ipak, primena grupnih naela preko sporih veza moe performanse da dovede u pitanje, zato Win2K3 sadri naelo kojim se definie spora veza i kojim se definie kako se naela primenjuju preko detektovane spore veze. Podrazumevana definicija spore veze, bar to se grupnih naela tie, je sve ispod 500 kilobita u sekundi. Sistem testira brzinu veze korienjem Ping uslunog programa. Ako je vreme odziva Pinga ispod 2.000 milisekundi, veza je brza. Meutim, Vi moete promeniti definiciju spore veze. Ovaj

parametar, po imenu Group Policy Slow Link Detection, je dostupan i u User Configuration i u Computer Configuration, u Administrative Templates\System\Group Policy (vidi Sliku 1.64, radi lista sa svojstvima naela). Da biste promenili podrazumevani parametar, unesite broj u Kb/s, ili 0, da biste potpuno onemoguili detekciju spore veze. Ako onemoguite detekciju spore veze, primenjivae se sva naela, bez obzira na brzinu veze. Kao to sam u prethodnom odeljku pomenuo, parametri procesiranja naela za pojedinane komponente (one imaju imena kao Folder Redirection Policy Processing i nalaze se na istoj putanji kao i detekcija spore veze, u Computer Configuration\ Administrative Templates\System\Group Policy) Vam omoguavaju da odredite da li e se delovi objekta naela procesirati preko spore veze. Ponovo, ovo nije opcija za naela Registra, ni za parametre bezbednosti; oni e se uvek izvriti, ak i preko spore veze. Podrazumeva se da se ostali moduli nee primenjivari preko sporih veza. Da bi logon skriptovi radili preko sporih veza, na primer, otvorite naelo po imenu Scripts Policy Proccessing. Omoguite naelo, kao na Slici 57 i potvrdite polje pored Allow Processing across a Slow Network Connection. Izaberite OK i naelo je podeeno. Ako je potrebno, ponovite za ulaze za procesiranje ostalih naela.

Slika 1.64: Group Policy Slow Link Detection svojstva

Slika 1.65: Opcije procesiranja naela

Planiranje grupne strategije i otkrivanje i otklanjanje greaka u njoj pomou RSoP-a

Ako imate iskustva u upravljanju grupnom strategijom u Windowsu 2000, onda znate da nema lakog naina otklanjanja greaka u problematinim GP objektima, niti lake metode prognoziranja ili testiranja ponaanja GP objekta u radu. Windows XP ima ugraenu alatku Rezultujui Skup Pravila (engl. Resultant Set of Policy, RSoP), koja dobrim delom obezbeduje sredstva za planiranje grupne strategije i otkrivanje i otklanjanje problema u radnim stanicama na koje se primeni. Ona je ugraena i u Windows Server 2003. RSoP pravi izvetaj o svim parametrima grupne strategije koji su primenjeni na korisnika i raunar. Time omoguava otkrivanje i otklanjanje greaka u grupnoj strategiji i utvrivanje promena radne povrine i prostora korisnikovog raunara koje RSoP prouzrokuje. RSoP funkcije ugraene u Windows XP i Windows Server 2003 omoguavaju izvlaenje podataka o rezultujuem skupu pravila koja su primenjena na raunar za kojim sedite ili na bilo koji drugi raunar u domenu. S komandne linije se pokree program GPRESULT, koji otkriva sve parametre grupne strategije primenjene na korisnika i njegov raunar. RSoP i GPRESULT su detaljno objanjeni u datotekama ugraene pomoi Windows Servera 2003, u odrednici Troubleshooting GP (otkrivanje i otklanjanje greaka grupne strategije).

Da biste RSoP upotrebili za planiranje primene grupne strategije, pokrenite modul Active Directory Users and Computers (korisnici i raunari aktivnog imenika) i u stablu izaberite bilo koju organizacionu jedinicu. Desnim tasterom mia pritisnite opciju All Tasks u meniju i u kontekstnom meniju izaberite stavku Resultant Set of Policy (Planning). Pokrenue se arobnjak RSoP, prikazan na slici 1.66.

Slika 1.66: arobnjak rezultujueg skupa pravila (RsoP)

Pomou ovog arobnjaka simulirate primenu grupne strategije na ciljnu organizacionu jedinicu ili korisnike, raunare i grupe, s raznim parametrima kao to su reim povratne petlje, spora veza s mreom i Windows Management Instrumentation (WMI) filtri. Alatka RSoP je nezaobilazna prilikom otkrivanja i otklanjanja greaka. Da biste dobili RSop-ov izvetaj o ciljnom korisniku i raunaru, na serveru otvorite RSoP konzolu (rsop.mmc), kliknite je desnim klikom i iz kontekstualnog menije pokrenite komandu Generate RsoP data. RSoP e prikupiti podatke o grupnoj strategiji primenjenoj na tekui raunar i prijavljenog korisnika. Istom konzolom moete pregledati druge raunare (uglavnom radne stanice) i servere. Rezultat rada RSoP-a za moj kontroler domena DC1 moete videti na slici 1.67.

Slika 1.67: Rezultat rada RsoP-a za OU Uprava

RSoP konzola je na raspolaganju u Windowsu XP; njome sa Windows XP raunara za podrku moete pregledati i druge radne stanice i korisnike, ukoliko imate dozvolu da kao lokalni administrator ciljnog raunara (a u njih podrazumevano spadaju svi lanovi grupe Domain Administrators) pravite RSoP izvetaj. No, pravljenje sveukupne grupne stratgije, izvetaja radi otkrivanja i otklanjanja greaka kao i simuliranje strategije iscrpljuje mogunosti RSoP-a. Zato je i dalje lako napraviti greku u grupnoj strategiji, ili je potpuno unititi. Nije se jednom desilo da se potpuno funkcionalan GP objekat uniti primenom administrativnog ablona na strategiju. Moete li da ponitite promenu, moete li da napravite kopiju strategije iz laboratorije, moete li da obnovite strategiju pomou rezervne kopije? Ukoliko koristite samo standardne alatke koje se isporuuju sa operativnim sistemom, odgovor je negativan. S obzirom na ove nedostatke, pomo morate potraiti kod drugog proizvoaa softvera.

Upravljanje grupnom strategijom pomou FAZAM-a 2000

Ako imate problema s grupnom strategijom koristite alatku FAZAM 2000 za upravljanje grupnom strategijom. FAZAM je akronim od Full Armor Zero Administration. Nijedna druga alatka na tritu ni priblino ne omoguava tako lako i komforno upravljanje, kontrolu izmena i uvoenje u rad grupne strategije. Pre nego to malo detaljnije opiemo ovu alatku, treba da znate da je Microsoft stavio verziju FAZAM-a 2000 smanjene funkcionalnosti u direktorijum podrke na instalacionom CD-u operativnog sistema Windows Server 2003. Probnu verziju ovog softvera moete preuzeti s FullArmorove Web lokacije na adresi www. fullarmor. com. FAZAM-ov RSoP omoguava i interaktivno usmeravanje alatke na svaki raunar u domenu, i dobijanje izvanrednih HTML izvetaja o rezultujuoj (sveukupnoj) grupnoj strategiji primenjenoj na raunar i na korisnika. Izvetaj se moe i odtampati. Interfejs probne verzije Fazam-a vidite na slici 1.68.

Slika 1.68: FAZAM 2000 (probna verija)

Pravljenje rezervnih kopija i obnavljanje GP objekata Procedura izrade rezervnih kopija i obnavljanja celog aktivnog imenika trenutno je jedini nain izrade rezervnih kopija GP objekata i njihovog obnavljanja. Ne postoji nain da izaberete samo jedan objekat i obnovite ga u aklivnom imeniku, ukoliko se oteti ili sluajno obrie. Tu funkcionalnost prua FAZAM 2000. Ulaganja u projektovanje i pravljenje grupne strategije veoma su velika. U taj proces moete uloiti dane i sedmice rada, i sve to unititi jednim pritiskom na pogreno radio-dugme u okviru za dijalog Delete. Ako otetite, unitite ili na drugi nain izgubite objekat grupne strategije (a mnogi admistratori Windowsa 2003 doiveli su da podrazumevana strategija domena ili upravljaa domena jednostavno nestane), nemate izbora nego da ga obnovite s rezervne kopije, a s njim i deo operativnog sistema. Za obnavljanje podrazumevanih objekata grupne strategije moete, naravno, upotrebiti usluni program DCGPOFIX s komandne linije, ali time ete izgubiti parametre te grupne strategije. S druge strane, FAZAM 2000 omoguava veoma lako pojedinano pravljenje rezervnih kopija i obnavljanje GP objekata. Implementiranje upravljanja izmenama Najkorisnija karakteristika alatke FAZAM 2000 jeste njena mogunost pravljenja i testiranja GP objekata te snimanja definicija pravila u bazu podataka. FAZAM 2000 omoguava da napravite objekat i da ga snimite u lokalnu ili stonu verziju SQL Servera ili u najjai SQL Server 2000 za produkciju. Tako arhitektura skladita omoguava potpuno obnavljanje objekata grupne strategije, jer GP objekat moete da uitate u domen iz njegove skladine lokacije u SQL Serveru. Svaki GP objekat moete obnoviti u celosti. Ako se GP objekat oteti ili uniti, poveite se sa SQL Serverom i obnovite ga za nekoliko minuta. Vie ne morate troiti dane i sedmice (za koje vreme mrea ne radi uopte ili radi u ogranienom obimu) da biste obnovili GP objekat koji je nestao. Ova arhitektura je idealna i za implementaciju kontrole izmena i upravljanje izmenama grupne strategije u aktivnom imeniku. FAZAM 2000 omoguava pravljenje i testiranje grupne strategije u laboratorijskom domenu; kada stigne odobrenje komisije za kontrolu izmena, GP objekat se iz laboratorije moe preseliti u radni domen (posle temeljnog testiranja, naravno). Premda Windows Server 2003 ima mnogo novih karakteristika koje omoguavaju bolje upravljanje grupnom strategijom, to i dalje predstavlja ogromno administrativno optereenje i rizian poduhvat ukoliko nemate titanijumski oklop slian FAZAM-u 2000. Konana razmiljanja o grupnim naelima Pre nego to na Vaoj mrei ponete da konfiguriete grupna naela, postoje jo dva velika pitanja kojih treba da budete vrlo svesni. Jedno je da grupna naela utiu na performanse mree i sistema. Drugo je da je probleme u vezi grupnih naela teko reavati, ako neto poe naopako. Pitanje performansi je dosta jednostavno: to vie naela treba da se primeni, logovanje due traje. Svaki put kada se korisnik loguje (ili se raunar restartuje), ita se i primenjuje svaki od GPO pridruenih korisnikim, ili raunarskim kontejnerima (SDOU). Ovo znaajno moe da uspori logovanje, pa bi korisnici mogli da ponu da zovu tehniku podrku, da bi pitali "ta nije u redu sa mreom?". Zato bi broj naela trebalo da svedete na minimum. Sledea stvar koja bi mogla da zakoi mainu, ili mreu, je uestanost pozadinskog osveavanja. Osveavajte naela suvie esto, pa ete videti da je maina stalno zauzeta traenjem promene naela. Razmislite o potpunom ukidanju pozadinskih osveavanja, osim ako brinete da bi korisnici mogli da menjaju svoje parametre, da bi izbegli naela. Ako su pozadinska naela onemoguena, korisnika i raunarska naela se ponovo primenjuju samo pri logovanju i pri podizanju, respektivno. Najgore to moete da uradite za performanse je da na snazi imate mnogo razliitih naela i da Group Policy kaete da se ponovo primenjuju posle svakog intervala, ak i kada nema promena. Drugi nain da ubrzate GPO procesiranje je da izbegavate dodelu GPO iz razliitih domena. To to to moete da izvedete, ne znai i da je dobra ideja. Tekoa u vezi sa reavanjem problema potie od nemogunosti da vidite kumulativne parametre naela koji zapravo deluju na korisnika, ili mainu. Mogunost prikazivanja stvarne vrednosti naela, koju trenutno zovemo Resultant Set of Policy (RSOP), je neophodna za upravljanje naelima i reavanje problema u vezi sa njima. Bez nje, morate da gledate svojstva svakog sajta/domena/OU, da biste videli koja naela su povezana sa kojim kontejnerima. Zatim morate da gledate ACL-ove, da biste videli da li

ima filtriranja i da proverite da li su onemoguene opcije Block Inheritance i No Override. Konano, morate da vidite vrednosti naela o kojima je re, da biste stigli do sri problema. Treba da hvatate beleke. Zato, koristire RSoP.