Administriranje mreža
V Upravljanje korisni
č
kim nalozima
Srce administratorskog posla jeste kreiranje korisnika, grupa i upravljanje njima. U mnogim slu
č
ajevima,
posebno ukoliko su radne stanice bazirane na nekom od Windows Server operativnom sistemu, poželjno
je napraviti domen kako bi se iskoristile pogodnosti Aktivnog direktorijuma. Ipak, mogu
ć
e je da neka
mala organizacija ne želi da ima domen, ili da mrežni primarni operativni sistem nije Windows
2000/2003. Na primer, ako je mreža zasnovana na
Unix
ili
Linux
sistemu, može postojati potreba za
postavljanjem Win2003 servera specijalne namene bez svih AD stvari. U tom slu
č
aju, ukoliko ra
č
unar na
kome se radi nije kontroler domena i ne koristi se Aktivni direktorijum, korisni
č
ke naloge treba kreirati
pomo
ć
u alata
Computer Managment
(
COMPMGMT.MSC
). Korisnici kreirani pomo
ć
u ovog alata su
lokalni nalozi, što zna
č
i da postoje i validni su samo na tom ra
č
unaru. Ipak,
COMPMGMT.MSC
je alat
koji može da radi i na daljinu, tako da se može koristiti za kreaciju lokalnih korisnika i grupa i upravljanje
njima na udaljenim serverima u domenu ili na usamljenim udaljenim serverima. Da bi se sve ovo uradilo
treba samo iz menija
Action
, izabrati
Connect to Another Computer
.
U
COMPMGMT.MSC
se otvori
Local Users and Groups
, kao što je prikazano na slici 5.1. Ovde se može
primetiti da na usamljenom serveru, na kojem nisu instalirani potrebni mrežni servisi, kao
DHCP
,
DNS
ili
Terminal Service
, jedini ugra
Đ
eni nalozi su
Administrator
i
Guest
. Podrazumeva se da je
Guest
onemogu
ć
en iz razloga predostrožnosti. Ovaj nalog se, na usamljenom serveru, ili u AD kontekstu,
primarno koristi za bušenje velike rupe u bezbednosti sistema, omogu
ć
avanjem neproverenog pristupa.
Za
Guest
nalog se ne trazi lozinka, ali sa druge strane ovaj nalog je siromašan po pitanju snage i
mogu
ć
nosti. Nalog administratora ima snagu i mogu
ć
nosti koje daleko prevazilaze obi
č
ne korisnike. Ne
može se obrisati i onemogu
ć
iti
č
ak ni zaklju
č
ati, ni posle milion propalih logovanja, što bi moglo da bude
više nego dovoljno za razbijanje slabe lozinke.
Standardne lokalne grupe koje su ugra
đ
ene u usamljeni server su
Administrators
,
Backup Operators
,
Guests
,
Power Users
,
Replicator
i
Users
. Dodatne ugra
đ
ene grupe su kreirane u sistemu kontrolera
domena. Ove ugra
đ
ene grupe imaju unapred definisan skup prava i dozvola. Kako bi se korisnicima
dodelila ta prava i dozvole, potrebno je samo ih u
č
initi
č
lanovima odgovaraju
ć
e grupe.
Za otvaranje novog korisni
č
kog naloga na sistemu koji nije kontroler domena, otvori se fascikla
Users
u
Local Users and Groups
i iz menija
Action
izabere se
New User
, ili desnim tasterom miša na
Users
u
Local Users and Groups
i izabere se
New User
. Potrebno je popuniti polja za korisni
č
ko ime, lozinku i
potvrdu lozinke, ostala polja su opciona, kao što je prikazano na slici 5.2 i kliknuti na
Create
.
Kako bi se promenila svojstva naloga, dodelilo
č
lanstvo u grupi,
login script
, ili da bi se korisniku
dodelila
dial-in
dozvola, potrebno je kliknuti desnim tasterom korisni
č
ki nalog i izabrati
Properties
. Kako
bi se korisniku dodelila lozinka, istakne se nalog, klikne se desnim tasterom i izabere se
Set Password
.
Ukoliko je za nalog potrebno zadati na
č
ela, kao što su zaklju
č
avanje ili pra
ć
enje upotrebi
ć
e se
Local
Security Policy
alat (
SECPOL.MSC
) ili
Group Policy
(
GPEDIT.MSC
). Ova na
č
ela bi
ć
e lokalna i
nalazi
ć
e se u
Registry
bazi lokalnog ra
č
unara.
5.1
Active Directory Users and Computers za kreiranje naloga u domenu
U Windows-u 2003, glavni administratorski alat za rad sa korisni
č
kim nalozima, bezbednosnim
grupama, organizacionim jedinicama i na
č
elima, za jedan domen, ili više njih, je
Active Directory Users
and Computers
(
DSA.MSC
). Kako je re
č
o
Microsoft
Managment
Console
(
MMC
) aplikaciji, ovaj alat
se može pokrenuti na svakom Windows 2000/2003 ra
č
unaru.
Lokalni korisni
č
ki nalozi na usamljenom serveru, serveru
č
lanu, ili nekoj radnoj stanici se
č
uvaju u
Security Accounts Manager
(
SAM
) bazi podataka, koja se obi
č
no nalazi u
C:winntsystem32congif.
Za Aktivni direktorijum, fajl se zove
NTDS.DIT
i podrazumevano se nalazi u direktorijumu „
%system-
root%NTDS“
, ali može se zadati putanja u
DCPROMO
rutini kao što je gore ve
ć
pomenuto. U njoj su
informacije o serverima i radnim stanicama, resursima, objavljenim aplikacijama i na
č
elima bezbednosti.
NTDS.DIT
i softver koji je pokre
ć
e se obi
č
no zovu
servis direktorijuma
, ili Aktivni direktorijum. Ova
struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena, radi tolerancije greške
i uravnoteženja optere
ć
enja. To je, u stvari, modifikovana
Access
baza podataka, kojoj je osnova
Lightweight Directory Acess Protocol
(
LDAP
), specificiran u
RFC 1777
[9]
. Baza se ne može otvoriti u
Access
-u, niti da se gleda na neki drugi na
č
in, ili edituje direktno, ali se nad njom mogu vršiti upiti i može
se menjati pomo
ć
u
Active Directory Service Interface
(
ADSI
).
Korisni
č
kim nalozima, kada se prvi put kreiraju, automatski se dodeljuje
identifikator bezbednosti
Administriranje mreža
(
security identificator
–
SID
).
SID
je jedinstven broj koji identifikuje nalog.
SID
-ovi
se koriste od kada je po
č
eo NT, jer sistem i ne zna korisnika po imenu, ve
ć
po
SID
-u. Korisni
č
ki
ID
su tu
samo radi lakšeg interfejsa.
SID
-ovi se nikada ne koriste ponovo, kada se nalog obriše i njegov
SID
se
briše sa njim.
SID
-ovi izgledaju ovako:
$-1-5-21-D1-D2-D3-RID
$-1-5 je standardni prefiks, 1 je broj verzije koji se nije menjao od NT-a 3.1, a 5 zna
č
i da je NT dodelio
SID
; 21 je, tako
đ
e, NT prefiks; D1, D2, D3 su 32-bitni brojevi koji su karakteristi
č
ni za domen, jednom
kada se kreira domen, postave se D1 do D3 i svi
SID-
ovi u tom domenu nadalje imaju te iste tri vrednosti.
RID
ozna
č
ava relativan identifikator.
RID
je jedinstven deo svakog dodeljenog
SID
-a. Svaki novi nalog
uvek ima jedinstven
RID
broj,
č
ak, iako su korisni
č
ko ime i druge informacije isti kao za stari nalog. Na
ovaj na
č
in, novi nalog ne može imati prava i dozvole starog,
č
ime je bezbednost o
č
uvana.
5.2
Funkcije vezane za korisnike i grupe u DSA:MSC
Active Directory Users and Computers
mrežnom administratoru obezbe
đ
uje sredstva za izvršavanje
slede
ć
ih zadataka:
Kreiranje, menjanje i brisanje korisni
č
kih naloga
Dodeljivanje
Log On
scriptova korisni
č
kim nalozima
Upravljanje grupama i
č
lanstvima u grupama
Kreiranje i upravljanje grupnim na
č
elima
Otvara se
DSA.MSC
tako što se pokre
ć
e iz
Start
menija, ili se izabere
Start Programs Administrative
Tools Active Directory users and Computers
.
Podrazumeva se da
ć
e
DSA.MSC
potražiti
Operation Masters
kontroler domena (
DC
) i poslati sve
promene i napraviti zahteve direktno tom ra
č
unaru. Mora se imati u vidu da kontroler domena koji
ispunjava uslove koji su zadati, ne može proveriti
ID
broj novog naloga dok ne kontaktira
Operation
Master
. Poruka o ovome se može videti ako se kreira korisni
č
ki
ID
, dok je
Operation Master
nedostupan.
U
DSA.MSC
ć
e se videti ime kontaktiranog kontrolera domena, na vrhu drveta konzole,a ime kreiranog
domena odmah ispod korena konzole, kao što se vidi na slici 5.3.
U levom oknu se vidi skup kontejnera i organizacionih jedinica koje su automatski kreirane sa
domenom:
Builtin, Computers, Domain Controllers, ForeighnSecurityPrincipals
i
Users
. Kao i kod svih
aplikacija sa konzolom klikne se na objekat u drvetu konzole (levo), da bi se njegov sadržaj i informacije
videli u detaljnom oknu (desno).
Kontejneri
Users i Computers
su podrazumevana mesta u koja se stavljaju korisni
č
ki, grupni i ra
č
unarski
nalozi, što ne zna
č
i da se novi korisnici moraju tu smeštati jer po potrebi se mogu premeštati u nove
organizacione celine. Novi korisni
č
ki nalog se može stavitti u bilo koju organizacionu jedinicu,
č
ak i
direktno u „domen“ kontejner.
Builtin
je kontejner za one specijalne, ugra
Đ
ene, lokalne grupe, kao što su
Administrators
,
Account
Operators
,
Guests
i
Users
, koje postoje na svakom Windows Server ra
č
unaru, uklju
č
uju
ć
i i kontrolere
domena.
Domain Controllers
je podrazumevana organizaciona jedinica za nove Windows 2003 kontrolere
domena. Ovde se nalozi nalaze kada se kreira AD. Kao i nalozi iz kontejnera
Computers
i AD nalozi se
mogu premeštati u druge organizacione jedinice.
ForeighnSecurityPrincipals
je podrazumevani kontejner za objekte iz pouzdanih spoljnih domena
(
trusted
).
Da bi se napravilo nešto novo, selektuje se objekat u kojem se želi nalaziti to novo, i zatim se odabere
New
, iz menija
Action
, ili desnim tasterom se izabere
New
iz
Properties
kontekstualnog menija. Kao što
se vidi na slici 5.4, može se kreirati deljena fascikla, korisni
č
ki nalog, štampa
č
, organizaciona jedinica,
grupni nalog, kontakt ili ra
č
unarski nalog. Svaki od ovih izbora pokre
ć
e odgovaraju
ć
eg
č
arobnjaka, kojim
se pravi objekat. U svakom slu
č
aju, da bi se popunili svi detalji, posle kreiranja objekta treba se vratiti i
editovati svojstva tog objekta (desnim tasterom na objekat i
Properties
).
Desni klik na objekat otvara kontekstualni meni. Prikazane mogu
ć
nosti se menjaju u zavisnosti od
objekta na koji je kliknuto desnim tasterom. Ukoliko se klikne desnim tasterom na korisni
č
ki nalog, može
se primetiti da postoje opcije za onemogu
ć
avanje naloga, resetovanje lozinke, ili pak desni klik na
ra
č
unarski nalog daje opcije kao što su
Move
i
Manage
(
Manage
otvara
COMPMGMT.MSC
koji je
povezan sa selektovanim ra
č
unarom).
Administriranje mreža
Tabela 5.1:
Opcije lozinke i naloga pri kreiranju novog korisni
č
kog naloga
Opcija
Opis
User must change password
on next logon
(korisnik mora
promeniti lozinku prilikom
slede
ć
eg logovanja)
Primorava korisnika da promeni lozinku slede
ć
i put kada se prijavi.
User cannot change password
( korisnik ne može da menja
lozinku)
Ako je potvr
đ
eno, spre
č
ava korisnika da promeni lozinku za nalog.
Password never expires
(lozinci nikad ne isti
č
e rok
trajanja)
Ako je potvr
đ
eno, korisni
č
ki nalog ignoriše politiku isticanja roka
lozinke. Ovo je korisno za naloge koji pokre
ć
u servise i naloge za koje
želite stalnu lozinku (na primer
Guest
).
Account is disabled
(nalog je
onemogu
ć
en)
Ako je potvr
đ
eno, nalog je onemogu
ć
en i niko ne može da se loguje na
njega, dok se ne omogu
ć
i (nalog nije uklonjen iz baze podataka). Ovo je
korisno za naloge koji se koriste kao šabloni i za nove korisni
č
ke naloge
koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje
ne
ć
e po
č
eti da rade još neko vreme.
Poslednji ekran ovog
Create New Object
č
arobnjaka, prikazan na slici 5.7, jednostavno potvr
đ
uje sve
informacije koje su date, uklju
č
uju
ć
i kontejner/organizacionu jedinicu gde
ć
e se nalog nalaziti, puno ime,
logon ime i lozinku, ili izabrane opcije naloga. Klikne se na
Finish
i korisni
č
ki nalog je kreiran.
5.4.1
Svojstva korisni
č
kih naloga
Da bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisni
č
kog naloga i vidi se
nekoliko opcija u kontekstualnom meniju, prikazanom na slici 5.8. Odavde se brzo može kopirati nalog,
upravljati
č
lanstvom u grupi, onemogu
ć
iti ili omogu
ć
iti nalog, resetovati korisni
č
ku lozinku, premestiti
nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati mail.
U ovom meniju se može izabrati brisanje naloga i promena imena.
Iz kontekstualnog naloga se izabere
Properties
, da bi se otvorile sve informacije o korisni
č
kom nalogu.
Na kartici
General
, prikazanoj na slici 5.9, može se dodati opis korisni
č
kog naloga, upisati ime odseka u
školi, studijske grupe itd, dodati brojevi telefona, e-mail adresa,
č
ak i adresa web stranice.
Kartica
Address
, sa slike 5.10, prikazuje polje za korisnikovu poštansku adresu. Kartica
Telephones
nudi
mesta za brojeve za ku
ć
ni, mobilni, faks i IP telefon i pejdžer, kao i mesto za unošenje komentara. U
Organizacionoj
kartici mogu se uneti informacije o nazivu ne
č
ijeg posla i poziciji u hijerarhiji
organizacije. Ove
č
etiri pomenute kartice se ne mogu smatrati svojstvima naloga ve
ć
su tu
č
isto
informativnog karaktera.
5.4.2
Parametri naloga
Ukoliko je potrebno promeniti korisnikovo
logon
ime, ili
UPN
sufiks, ide se na karticu
Account
(slika
5.11). Na ovom mestu može se odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i sli
č
no.
Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali može
se izabrati dugme
Logon Hours
, kako bi se zadali odre
Đ
eni sati i dani kada je dozvoljeno logovanje (slika
5.11). Podrazumeva se da korisnik ne
ć
e biti otka
č
en iz sistema kada mu isteknu sati dozvoljeni za rad, ali
postoji parametar kojim se i ovo može posti
ć
i. Parametar se zove
Automatically Log Off Users When
Logon Hour Expire
(automatski izloguj korisnika kada isteknu logon sati) i nalazi se u
Group Policy
Object Editor
-u, pod
Computer ConfigurationWindows Settings Security Settings Local
PolicesSecurity Options
.
Podrazumeva se da korisnici svake radne stanice mogu da se loguju na domen, ali
logon
radne stanice se
mogu zadati
NetBIOS
imenom (slika 5.13). Ipak, da bi se ovo moglo nametnuti, mora se koristiti
NetBIOS
na mreži.
Administriranje mreža
Ako se ponovo baci pogled na karticu
Accounts
(slika 5.11), može se primetiti polje za potvrdu
Accounts
is locked Out
(nalog je zaklju
č
an). Ako je zaklju
č
avanje naloga posledica loših pokušaja logovanja (što se
može konfigurisati raznim
Policy
alatima), polje
ć
e biti potvr
Đ
eno i dostupno. Ukoliko se želi da se nalog
zaklju
č
a ru
č
no potrebno je samo kliknuti na znak potvrde. U dnu kartice
Accounts
vidi se parmetar za rok
trajanja naloga. Podrazumeva se da nalog nikada ne zastareva, ali ako je ova opcija omogu
ć
ena,
podrazumevani interval je šest nedelja. Opcija
User must change Password at Next Logon
je sama po sebi
jasna. Opcija
Store Password Reversible Encryption
(sa
č
uvaj reverzibilno šifrovanje lozinke) se koristi za
Windows 95/98 klijente.
Smart card
opcija se koristi ukoliko se izabere infrastruktura javnog klju
č
a.
Potvr
Đ
ena opcija
Do not require Kerberos Preauthentification
[11]
(ne zahteva Kerberos pre-
autentifikaciju) zna
č
i da
ć
e nalog koristiti neku od implementacija Kerberos protokola, umesto onog koji
stiže uz sam Windows. Sve verzije Kerberos protokola ne koriste ovu opciju, ali je Windows koristi.
Potvr
Đ
ena opcija
Use DES encription types for this Account
(koristi
DES
tipove šifriranja za ovaj nalog)
zna
č
i da je potreban
DES
(
Data Encryption Standard
)
[13]
.
DES
podržava više nivoa šifriranja,
uklju
č
uju
ć
i
MPEE Standard
(40-bit),
MPEE Standard
(56-bit),
MPEE Strong
(128-bit) itd.
Zanimljivo je da se korisnikova lozinka ne može resetovati na kartici
Accounts
. Kako bi se lozinka
resetovala, zatvori se lista sa svojstvima naloga, i u okviru sa detaljima
DSA.MSC
klikne se desnim
tasterom na korisni
č
ko ime. Izabere se opcija resetovanja lozinke, a onda se može uneti i potvrditi nova
lozinka kao što se vidi na slici 5.14. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku
promeni pri slede
ć
em logovanju.
5.4.3
UPN u imenu
Gore je re
č
eno da postoje dva tipa korisnikovog
logon
imena, što se može primetiti na slici 5.5. Windows
ime je
[email protected]
, dok je pre-Windows 2003 ime
VTSdule
. U verzijama pre-2000 operativnih
sistema, korisni
č
ka imena su se povinovala konvenciji
IMERA
Č
UNARAkorisni
č
koime,
ili
IMEDOMENAkorisni
č
koime
, ako je nalog korisnika bio u domenu (
č
injenica koje ve
ć
ina korisnika nije
bila svesna). Korisni
č
ka imena su, u Windows-u 2003, zasnovana na Internet standardu (RFC 822)
[9]
,
Standard for the Format of ARPA Internet Text Message
(Standard za format ARPA Internet tekstualne
poruke), što u prevodu zna
č
i da Windows korisni
č
ka imena poštuju uobi
č
ajenu e-mail konvenciju
imenovanja.
Svaki korisni
č
ki nalog ima univerzalno glavno ime
(
Universal Principal Name
), koje se sastoji od
prefiksa, koji je korisni
č
ko ime i sufiksa, koji je ime domena. Prefiks i sufiks su spojeni znakom @.
UPN
sufiks govori gde pri logovanju treba tražiti korisni
č
ki nalog i podrazumeva se da je to ime
DNS
domena.
Me
Đ
utim, ne može se menjati proizvoljno
UPN
ime u zapisu korisni
č
kog naloga. To mora biti
UPN
sufiks koji je za domen odre
Đ
en u
Domains and Trust
Aktivnog direktorijuma. Ipak mogu se odrediti
alternativni
UPN
sufiksi za domen. Tek tada se može promeniti
UPN
sufiks od podrazumevanog na neki
od alternativnih. Alternativni
UPN
sufiks ne mora biti ime pravog domena. Može mu se zadati ime
domena po želji. Kao primer se može uzeti organizacija
VTS
koja ima
č
etiri domena. Korisnik
Student
ima nalog sa korisni
č
kim imenom
student
i on se nalazi na domenu
vts.ni.edu.yu
. Podrazumevano
UPN
ime je
[email protected]
. Ukoliko organizacija ne želi da celom svetu objavi imena svojih domena,
niti recimo da zbunjuje korisnike, može odrediti
vts.com
kao alternativni
UPN
sufiks za
vts.ni.edu.yu
.
Tako, Student se može logovati kao
[email protected]
i to prikazivati kao svoju e-mail adresu.
Tako
Đ
e, osoba može menjati poslove unutar organizacije i njen korisni
č
ki nalog se može seliti iz jednog
domena u drugi, a nije neophodno svaki put menjati e-mail adresu.
UPN
imena omogu
ć
avaju lako
pronalaženje naloga, a njegovu lokaciju
č
ine transparentnim za korisnika.
5.4.4
Informacije o profilu
Kartica
Profile
, prikazana na slici 5.15, je mesto gde se zadaje putanja korisni
č
kog profila, logon skripta i
osnovna (
home
) fascikla. Ove opcije su ve
ć
inom za klijente niskog nivoa (
downlevel clients
), tj. za
Windows pre-2000 klijente. Ovi parametri se mogu zadati i uz
Group Policy
parametre.
Parametri korisnikovog radnog okruženja, od sadržaja
Start
Menu
-ja do šeme boja i orijentacije miša, se
mogu
č
uvati na mreži, pa se korisnik može prijaviti sa bilo kog sistema i videti istu radnu površinu. U tu
svrhu se može specificirati deljena mrežna lokacija. Ovo je zgodno ako treba korisnika (ili grupu)
primorati da zadržava iste parametre sve vreme. To se zove
lutaju
ć
i profil
(
roaming profile
). Ako je
korisnik prisiljen da u
č
ita profil i ne može se logovati bez njega, onda je to
obavezuju
ć
i profil
Administriranje mreža
2003 i kako raditi sa njima, kako bi se imala kontrola, kako bi se davao pristup resursima i konfigurisala
prava.
5.5.1
Kreiranje grupa
Da bi se napravila nova grupa u
Users and Computers
Aktivnog direktorijuma, do
Đ
e se do kontejnera u
koji se želi smestiti grupa. Grupe se mogu kreirati i korenu domena, u ugra
Đ
enom kontejneru, kao što su
Users
, ili u organizacionoj jedinici. Dok je kontejner istaknut, u meniju
Action
izabere se
New
, a zatim
Group
(slika 5.19).
Ime grupe neka bude
Studenti
, ukoliko
ć
e se ime nižeg nivoa razlikovati treba uneti i njega, zatim se
izabere oblast rada grupe i njen tip, što se može videti na slici 5.20. Podrazumeva se da je delokrug
Global
, a tip
Security
. Potom se izabere
OK
, kako bi se kreirala grupa u selektovanom kontejneru.
Da bi se popunile neke informacije o grupama, potrebno je prona
ć
i željenu grupu (onu koju je upravo
kreirana) i dva puta kliknuti na nju, kako bi se otvorio njen list sa svojstvima. Na kartici
General
prikazanoj na slici 5.21, unese se opis i e-mail adresa, ako postoji distribuciona lista za grupu.
Da bi se grupa naselila, ide se na karticu
Members
i izabere se
Add
, kao što se može videti
na slici 5.22.
Windows dopusta da
č
lanovi grupe budu korisnici, druge grupe,
č
ak i ra
č
unari.
Č
lanovi grupe mogu da
dolaze i iz razli
č
itih organizacionih jedinica. Ukucaju se imena korisnika razdvojena ta
č
ka-zarezima i
zatim se izabere
Check Names
, kako bi se ta imena proverila. Izabere se
OK
, da bi se završilo dodavanje.
Da bi se videle ili promenile lokalne, ili univerzalne grupe kojima grupa
Studenti
pripada, otvori se
kartica
Member Of
. Kartica
Managed By
je za opcione kontaktne informacije i ne mora obavezno da
održava direktno prepuštanje kontrole.
Drugi na
č
in za dodavanje
č
lanova grupi je klik desnim tasterom na korisni
č
ki nalog i izbor
Add Member
to a Group
. Ako je u jednu grupu potrebno istovremeno dodati nekoliko selektovanih korisnika, drži se
taster
Ctrl
, dok se vrši selekcija više korisnika, zatim se klikne desnim tasterom i izabere
Add Members to
a Group
.
Verovatno
ć
e u nekom trenutku biti potrebno premeštanje grupe iz jednog kontejnera u drugi, jer kada su
grupe u organizacionim jedinicama, to olakšava delegaciju. Da bi se to uradilo, klikne se desnim tasterom
na ikonu grupe u oknu konzole koja sadrži detalje i izabere se
Move
. Do
Đ
e se do kontejnera koji treba biti
novi dom za grupu, selektuje se i izabere
OK
(slika 5.23).
5.5.2
Tipovi grupa
Kada se u Windows-u pravi grupa, ona se može klasifikovati kao sigurnosna ili kao distribuciona.
Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. Kao i korisni
č
kim nalozima,
sigurnosnim grupama se dodeljuju
SID
-ovi. Kada se edituje objektovana
Access Control List-a
(
ACL
), na
primer, imena grupa koja se pojavljuju u listi su sigurnosne grupe. Ovi korisni
č
ki grupni
SID
-ovi ulazi u
ACL
-u su upareni sa korisnikovim akreditivima kojima je dozvoljen, ili zabranjen pristup objektu.
Postoje tri glavna tipa sigurnosnih grupa: lokalne, globalne, univerzalne i podgrupa distribucione.
Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru, serveru koji je
č
lan domena, ili na
WinXP radnoj stanici. Lokalne grupe su lokalne za taj ra
č
unar. To jest, one postoje i validne su samo na
toj radnoj stanici ili serveru koji nije kontroler domena.
Domain local group
(Lokalna grupa domena) je
specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedni
č
ki
Aktivni direktorijum koji je repliciran izme
Đ
u njih, tako da
ć
e lokalna grupa domena koja postoji na
jednom ra
č
unaru, postojati i na drugom.
Globalne, univerzalne i lokalne grupe domena, su smeštene u Aktivnom direktorijumu kontroleru
domena. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena.
Univerzalne grupe mogu da vrše funkciju globalnih, daju
ć
i prava i dozvole za objekat, unutar domena i
izme
Đ
u domena. One su mnogo korisnije od globalnih, ili lokalnih, jer su neuporedivo fleksibilnije po
pitanju ugneždavanja, ali se mogu koristiti samo kada je domen
native
(prirodan), što zahteva da su svi
kontroleri domena na Windows-u 2000/2003.
Distribuciona grupa nije sigurnosna. One nemaju
SID
i ne pojavljuju se u
ACL
-u. To su grupe sa
adresama primalaca. Lakše je adresirati mail na, na primer, šefovi odseka škole, nego svakog od šefa
selektovati posebno iz liste. Pretpostavlja se da su unete e-mail adrese korisnika. Sigurnosne grupe u
Aktivnom direktorijumu su, tako
Đ
e, nezvani
č
ne distribucione liste. Potrebno je samo kliknuti desnim
