1
VISOKA TEHNIČKA ŠKOLA
STRUKOVNIH STUDIJA NOVI BEOGRAD
SEMINARSKI RAD
Predmet: RAČUNARSKE MREŽE 1
Tema
:
RAD SA GRUPNIM NALOZIMA
Profesor :
Student:
Dr.Goran Vujačić
Cvrkota Milan
8
9/2011
2
Administriranje grupa
Grupe predstavljaju skladišta više korisnika, kontakata, računara ili drugih grupa (formiranje
grupe je poznato i kao
ugnežđivanje).
Grupe su podržane u aktivnom imeniku i u bezbednosnom
podsistemu lokalnog računara. Slika 1.1 ilustruje filozofiju kontejnerskog objekta tipa grupa. Grupa
umanjuje rad administratora, tako što omogućuje da se dozvole i prava dodele grupi korisnika umesto da
ih pojedinačno dodeljujemo svakom korisničkom nalogu.
Sasvim je razumljivo ako se pitamo zbog čega je Microsoft za građenje struktura ponudio i grupe i
organizacione jedinice (OJ). Grupe su zaostatak iz vremena Windows-a NT. Treba imati u vidu da je
Windows Server 2003 sagrađen na temeljima tehnologije .NET, što znači da su grupe nasleđene od ranije
tehnologije i da su poboljšane u Windows Serveru 2003. Iako grupe nekome mogu da se čine suvišnim
pored organizacionih jedinica, one su prisutne u Windows Serveru 2003 i tako će i ostati. Grupe su
izuzetno moćni upravljački objekti. Grupe formiramo i koristimo prvenstveno da bismo prava pristupa
objekata tipa korisnik i grupa ograničili na određenu bezbednosnu celinu. Grupe mogu da sadrže objekte
tipa korisnik koji svi imaju ista prava pristupa mrežnim objektima, kao što su deljeni resursi,
direktorijumi, datoteke, štampači itd. To znači da grupe mogu da se koriste u ulozi bezbednosnog filtra,
kroz koji se korisnicima i drugim grupama odobrava pristup određenim resursima. Tu ključnu ulogu
grupa ilustruje slika 1.2.
Object (object name)
1
Read
2
Execute
3
Write
Slika 1.1
Slika 1.2 Grupe predstavljaju bezbednosni filtar kroz koji se
Grupe su zbirke ili skupine korisnika, računara
korisnicima i drugim grupama odobrava pristup resursima
i drugih grupa
Grupe možemo da koristimo i za formiranje distribucionih lista (to je još jedna nova vrsta grupe),
odnosno lista za slanje. Na primer, možemo da formiramo grupu čiji će svi članovi pojedinačno dobijati
svaku poruku koja grupi bude poslata elektronskom poštom. To je izuzetna olakšica za administratore
elektronske pošte. Mnogi ljudi veruju da su objekti tipa grupa postali suvišni jer postoje organizacione
jedinice. To bi bilo tačno kada bi bezbednosni podsistem i mehanizmi kontrole pristupa objektima
prepoznavali organizacione jedinice, tj. kada bi one bile bezbednosni subjekti. Za razliku od OJ, grupa je
složen kontejner koji omogućava sve vrste kontrola korisničkih naloga i drugih objekata koje sadrži.
Prednost grupe je to što ista grupa može da sadrži članove koji pripadaju različitim organizacionim
jedinicama i domenima. S druge strane, jedna organizaciona jedinica uvek pripada samo jednom domenu.
Firmama koje nastaju složenim spajanjem ili kupovinom drugih firmi i internacionalnim kompanijama,
savršeno odgovara korišćenje grupa čiji članovi pripadaju organizacionim jedinicama kupljenih firmi ili
njihovim podružnicama i službama.
4
Obične lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima.
Usamljeni server ili radna stanica, koji nisu članovi domena su kao usamljeni narod koji ne znaju za
ostatak sveta. Oni prepoznaju samo svoje lokalne grupe i korisnike. Lokalne grupe su jedine kojima se
mogu dodeliti prava za pristup resursima, a članstvo je ograničeno na lokalne korisnike. Ipak, kada se
računar priključi domenu usamljeni narod postaje član neke veće uprave, federacije. „Server-član“ ili
„radna stanica-član“ zadržavaju svoje lokalne korisnike i grupe, ali će sada u članstvo svojih lokalnih
grupa primati i članove iz „federacije“, koji nisu lokalni. Na globalne grupe i „federalne“ (domen) naloge
se sada, mogu upućivati u listama dozvola za objekat (ACL).
Lokalne grupe domena, koje žive u Aktivnom direktorijumu kontroleru domena, postoje u različitom
kontekstu od lokalnih grupa na radnim stanicama, usamljenim ili serverima-članovima. Ovi računari su
svesni svog kućnog domena i svih ostalih domena u šumi Aktivnog direktorijuma. Zbog toga lokalne
grupe domena mogu da sadrže članove iz bilo kojeg od domena iz šume. Mogu da sadrže korisnike iz
sopstvenog ili domena od poverenja (
trusted domain
) i univerzalne. Iako su lokalne grupe domena
fleksibilnije po pitanju članstva, one su validne samo u svom kućnom domenu, jer se koriste samo u
ACL
-
ovima istog domena. Drugi domeni imaju sopstvene lokalne grupe domena. Kad bi lokalna grupa domena
bila validna u drugom domenu, više ne bi bila „lokalna“. Osim toga, lokalne grupe domena se ne
repliciraju u globalni katalog, iako se informacije o članstvu repliciraju između kontrolera domena u
istom domenu. Članstvo u lokalnim grupama domena trebalo bi da je relativno malo i da koristi
ugneždavanje.
Globalne grupe mogu da sadrže samo članove iz istog domena. U globalnu grupu se ne može smestiti ni
lokalna, ni univerzalna grupa, već samo korisnički nalozi i globalne grupe iz istog domena. Članstvo u
globalnoj grupi je suprotno od članstva u lokalnoj grupi domena; članstvo u globalnoj grupi je
ograničeno, ali je njegovo prihvatanje široko. Globalne grupe se mogu koristiti u svakom
ACL
-u u šumi,
čak i u drugim šumama, ako se ustanove stari odnosi poverenja. O globalnim grupama treba misliti kao o
kontejnerima za korisnike i grupe kojima treba da ih drugi računari i domeni prihvate. Informacije o
globalnim grupama se repliciraju između bratskih kontrolera domena, ali globalni katalog sadrži samo
imena grupa, a ne i članova.
Univerzalne grupe se mogu kreirati na svakom kontroleru domena. One mogu da sadrže članove iz bilo
kog od domena šume i mogu se koristiti na objektovom
ACL
-u unutar šume. Članstvo u univerzalnoj
grupi je neograničeno fleksibilno, a univerzalno je prihvaćeno u šumi. Univerzalne grupe se mogu
koristiti samo u
Native
režimu. Ako se koriste samo univerzalne grupe, globalni katalog će se prepuniti i
došlo bi do problema sa replikacijom. Imena univerzalnih grupa i njihovo članstvo se repliciraju na druge
servere globalnih kataloga (po jedan za svako mesto), dok se, u slučaju globalnih grupa, njihova imena
pojavljuju u globalnom katalogu, ali članovi ne. Kad ima više domena, globalni katalog sadrži replike
informacija o svakom domenu iz šume, pa će veličina i vreme potrebno za replikaciju eksponencijalno
rasti ako univerzalna grupa sadrži veliki broj objekata. Zbog toga bi članstvo u univerzalnoj grupi trebalo
da bude dosta statično. Poželjno je izbegavati direktno dodavanje korisnika a druge grupe treba samo
ugnezditi. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da
kopiraju informacije iz drugih domena čime se neizmerno smanjuje opterećenje pri replikaciji. To znači
da bi u ovom slučaju mogle da se koriste isključivo univerzalne grupe. U slučaju jednog domena
verovatno će sve globalne grupe biti zamenjene univerzalnim.
Globalne i univerzalne grupe mogu da spajaju domene, čak i šume. Domeni i računari iz različitih šuma
ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo može postići
ručno stvorenim odnosima poverenja.
Dakle osnovna pravila su:
Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Druge
grupe treba stavljati u lokalne i tako zadržati malo članstvo.
Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima će
biti potrebne iste privilegije, ili pristup istim resursima. Ove globalne grupe treba stavljati u lokalalne,
koje imaju željene privilegije i prava pristupa.
Univerzalne grupe se koriste onako kako odgovara Administratoru, onda kada svi domeni budu na
Windows 2000/2003 platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe (suprotno
korisničkim nalozima) unutar univerzalnih grupa.
Iako je moguće, nije preporučljivo ugneždavati grupe zbog značajnog pada performansi.
5
Na kraju treba sumirati i pravila ugneždavanja na Windows platformama. Lokalne grupe (počev od
Windows 2000 do 2003 servera i radnih stanica) mogu da sadrže:
Grupe lokalnih domena, univerzalne iz kućnog domena
Globalne i univerzalne iz Windows pouzdanih domena
Lokalne grupe domena (na kontroleru domena) mogu da sadrže:
Korisničke naloge iz bilo kog domena šume
Univerzalne i globalne iz bilo kog domena šume
Lokalne, samo iz istog domena
Globalne grupe mogu da sadrže:
Korisnike iz istog domena
Druge globalne grupe iz istog domena
Univerzalne grupe mogu da sadrže:
Korisničke naloge iz bilo kog domena šume
Druge univerzalne grupe
Globalne grupe iz bilo kog domena šume
Rad sa sigurnosnim grupama
Veoma je važno unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo
članova (kao što su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa, od
tog trenutka treba samo da se premešta članstvo u globalnim i univerzalnim grupama. Tako se štedi vreme
i pojednostavljuje dodeljivanje dozvola za objekte.
Neki dobri primeri ugneždavanja se mogu precrtati iz šema ugneždavanja koje se automatski postavljaju
u domenu. Jedan je ugneždavanje administratorskih grupa.
Administrator
nalog na Windows računaru
svoju snagu crpe iz članstva u lokalnoj Administratorskoj grupi. Ako se izvuče Administrator izvan
Administrators
grupe, nalog više neće imati specijalne moći ni mogućnosti. Aktivni direktorijum
automatski pravi globalnu
Domain Admins
grupu, iako toj grupi ne dodeljuje široka administratorska
prava, kao što se može pomisliti. Kada Windows postane kontroler domena, globalna grupa
Domain
Admins
i univerzalna grupa
Enterprise Admins
se automatski postavljaju u lokalnu
Administrators
grupu.
Slika 5.24 prikazuje članstvo lokalne grupe domena
Administrators
, za domen
vts.ni.edu.yu
. Ukupan
efekat ovog ugneždavanja je da je član
Domain Admins
, ili
Enterprise Admins
grupe lokalni administrator
za svaki računar, člana domena. Ovakvo podrazumevano ponašanje se može zaobići tako što se
Domain
Admins
, ili
Enterprise Admins
ukloni iz lokalne grupe na računaru. Ali to nije preporuka. Članstvo grupe
Domain Admins
, ili
Enterprise Admins
u lokalnoj
Administratorskoj
grupi može se zameniti njihovim
članstvom u specifičnim globalnim grupama, administratorskog tipa, kao što su
F&A Admins
ili
CS
Admins
.
Drugi primer za ugneždavanje grupa je članstvo lokalne
Users
grupe. Na članu domena, ili kontroleru
domena,
Users
automatski uključuje
Domain Users
. Kada se u domenu kreira novi korisnički nalog, novi
korisnik se automatski pridružuje
Domain Users
grupi. Efekat ovoga je da se korisničkom nalogu u
domenu automatski dodeljuju privilegije lokalnog korisnika za svaki računar, člana domena. Korisnički
nalog ide u globalnu grupu
Domain Users
, a globalna grupa
Domain Users
u lokalnu grupu
Users
, kojoj
su dodeljena lokalna prava i dozvole na sistemu. Nije loše pomenuti i par ostalih ugneždavanja.
Domain
Guests
je automatski član lokalne grupe
Guests
na svim računarima, članovima domena, a
Enterprise
Admins
(univerzalna grupa) je član lokalne
Administrators grupe
.
Ugrađene lokalne grupe domena
Svi ugrađeni korisnički nalozi, podrazumevano su smešteni u kontejner
Users
. U kontejneru
Users
postoje i unapred definisane globalne grupe, ali neke od njih su smeštene u kontejner
BuiltIn.
Grupe koje
su u
BuiltIn
kontejneru su označene kao
Builtin Local
, a one koje su u
Users
kontejneru su
Domain Local
,
Global
, ili
Universal
. Sada se postavlja pitanje u čemu je razlika? Lokalne grupe su specifične za
računar, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja, kao što je gore već rečeno.
Ugrađene lokalne grupe, radi administracije, imaju unapred određena prava i dozvole. Članstvo u ovoj
grupi korisniku daje svu moć i mogućnosti koje su date grupi. Ovo je način da se brzo dodele dobro
definisane administratorske uloge, umesto njihovog pravljenja od početka. Na primer,
Server Operators
imaju skup urođenih prava koja im omogućavaju da prave deljene fajlove i upravljaju servisima.
Backup
7
Administrators
.
Administratori imaju skoro sva ugrađena prava, pa su članovi u suštini, svemogući u
vezi administracije sistema.
Backup operators
.
Članovi
Backup Operators
imaju pravo da zaštitno kopiraju i vraćaju fajlove, bez
obzira na to da li na drugi način mogu da pristupaju tim fajlovima.
Server Operators
.
Server Operators
lokalna grupa ima sva prava potrebna za upravljanje serverima
domena. Članovi mogu da kreiraju, upravljaju i brišu deljene štampače na serverima, kreiraju, upravljaju i
brišu deljene mrežne resurse na serverima, zaštitno kopiraju i vraćaju fajlove na servere, formatiraju hard
diskove servera, zaključavaju i otključavaju servere, otključavaju fajlove i menjaju sistemsko vreme.
Osim toga,
Server Operators
mogu na mrežu da se loguju sa servera domena, kao i da obaraju servere.
Accounts Operators
.
Članovima lokalne grupe
Account Operators
je dozvoljeno da u domenu kreiraju
korisničke naloge i grupe i da menjaju i brišu većinu korisničkih grupa i naloga iz domena.
Član
Account Operators
ne može da menja ni briše sledeće grupe:
Administrators, Domain Admins
,
Account Operators, Backup Operators, Print Operators
i
Server Operators
. Slično, članovi ove grupe ne
mogu menjati, ni brisati korisničke naloge administratora. Ne mogu administrirati bezbednosna načela, ali
mogu dodavati računare u domen, mogu se logovati na servere i obarati ih.
Print Operators
.
Članovi ove grupe mogu kreirati, upravljati i brisati štampače koje deli server. Osim
toga, mogu da se loguju na server i da obaraju server.
Power Users
.
Ova grupa postoji na
Professional
sistemima i onima koji nisu kontroleri sistema. Članovi
mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom
Users, Power Users
i
Guests
, kao i
administrirati ostale korisnike i grupe koji su kreirali.
Users
.
Korisnici mogu da pokreću aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore i zaključaju
radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira
lokalne grupe i upravlja grupama koje je kreirao.
Guests
.
Gosti mogu da se loguju i pokreću aplikacije. Mogu i da obore sistem, a u svakom drugom
pogledu imaju veća ograničenja nego
Users
. Na primer, ne mogu da drže lokalni profil.
Replicator
.
Ova grupa je strogo za replikaciju direktorijuma. Korisnički nalog se koristi za pokretanje
Replicator
servisa i trebalo bi da je jedini član grupe.
U kontejneru
Users
se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe,
kao deo konfiguracije određenog servisa. Njihova namena može da bude da se korisnicima omogući
pristup određenom servisu (kao
DHCP Users
, ili
WINS Users
), ili da obezbede kontejner grupe za
administraciju servisa, kao u slučaju
DHCP Administrators
i
DNS Admins
. Ove i druge predefinisane
grupe mogu imati specijalna prava ili dozvole za određene stvari, ali nemaju široka prava i dozvole kao
Administratori
,
Server Operateri
.
Windows 2003 ima nekoliko ugrađenih globalnih grupa, između ostalih
Domain Admins
,
Domain Usres
i
Domain Guests
. One će se pojaviti samo na kontrolerima domena. Tabela 5.3 opisuje najvažnije
ugrađene globalne grupe.
Tabela 5.3:
Ugrađene globalne grupe
Grupa
Šta radi
Domain
Admins
Postavljanjem korisničkog naloga u ovu grupu, korisniku se dodeljuju mogućnosti
administratora. Članovi
Domain Admins
mogu da administriraju kućni domen, radne stanice
iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu
Domain Admins
globalnu grupu domena. Podrazumeva se da je
Domain Admins
grupa član i
Administrators
lokalne grupe domena i Administratorskih lokalnih grupa svake Windows
radne stanice u domenu. Ugrađeni korisnički nalog
Administrator
za domen je automatski
član
Domain Admins
globalne grupe.
Ako je potvrđeno, sprečava korisnika da promeni lozinku za nalog.
Domain
Users
Članovi
Domain Users
globalne grupe imaju normalan korisnički pristup i sposobnosti kako
za sam domen, tako i za svaku radnu stanicu u domenu. Ova grupa sadrži sve korisničke
naloge iz domena i podrazumeva se da je član svake lokalne
Users
grupe, na svakoj radnoj
stanici u domenu.
Domain
Guests
