 |
|
 |  |
|
|
| |
 | Biologie | Chimie | Didactica | Fizica | Geografie | Informatica |
| Istorie | Literatura | Matematica | Psihologie |
Retele de calculatoare -
3. Gestionarea grupurilor
4. Controlul accesului la obiectele Active Directory
Serviciile de catalog Active Director din Microsoft Windows 2000 sunt alcatuite din obiecte care reprezinta resurse de retea, cum ar fi utilizatori, calculatoare si imprimante. Un serviciu de catalog se foloseste pentru a identifica in mod unic diferite obiecte, pentru a organiza aceste obiecte in unitati de organizare (OU) si pentru a gestiona accesul la aceste resurse.
Dupa ce ati creat structura serviciilor de catalog Active Director, trebuie sa o populati cu obiecte din retea. Desi conturile de utilizator si calculator sunt in esenta similare in Windows NT 4.0, procedurile pentru crearea acestor conturi si interfata folosita pentru crearea conturilor sunt complet noi in Windows 2000.
1. Crearea unitatilor de organizare
Unitatile de organizare (OU) sunt obiecte (containere) care pot contine alte obiecte, precum conturi de utilizator , grupuri, conturi de calculator si alte unitati de organizare. Unitatile de organizare nu pot contine obiecte situate in alte domenii.
Unitatile de organizare pot fi folosite pentru organizarea obiectelor din serviciile de catalog Active Director care reprezinta resursele dvs. de retea. Utilizarea unitatilor de organizare pentru organizarea obiectelor in cadrul serviciilor de catalog Active Director este similara cu utilizarea dosarelor pentru includerea si organizarea altor dosare si a fisierelor.
Structura ierarhica
Unitatile de organizare pot contine alte unitati de organizare, deci puteti crea o ierarhie logica, ierarhie care reprezinta structura sau necesitatile administrative ale firmei dvs. Daca creati o structura ierarhica pentru a reprezenta structura organizatorica a firmei dvs., o puteti construi pe baza limitelor departamentale sau geografice ale firmei. De exemplu, daca firma dvs. are filiale in Bruxells, Hong Kong si New York, puteti crea o unitate de organizare separata pentru fiecare locatie.
Stabilirea unei ierarhii in unitati de organizare permite delegarea controlului administrativ peste un numar de conturi de utilizator , grupuri sau alte resurse .Controlul administrativ se deleaga prin atribuirea unor permisiuni specifice pentru unitatile de organizare (si pentru obiectele pe care le contin) altor persoane sau grupuri. Prin stabilirea unei unitati de organizare pentru fiecare divizie din firma dvs. puteti gestiona si delega cu usurinta controlul pentru fiecare divizie.
Ierarhia unitatilor de organizare se mai poate baza pe modelul administrativ de retea al firmei. De exemplu, in firma poate fi un administrator responsabil pentru toate conturile de utilizator si un alt administrator responsabil cu imprimantele. In acest caz, veti crea o unitate de organizare pentru utilizatori si o alta unitate de organizare pentru imprimante.
Permisiuni
Pentru a crea unitati de organizare in cadrul unui container, trebuie sa dispuneti de permisiuni de citire (Read), de listare a continutului (List Contents) si de creare a obiectelor de tip de organizare (Create Organizational Unit Objects) .Permisiunea List Contents nu este absolut necesara pentru a crea o unitate de organizare, dar in lipsa acesteia nu puteti vedea unitatea de organizare nou creata. In mod prestabilit, membrii grupului Administrators au permisiuni de acces asupra unitatii de organizare in orice locatie de retea. Pentru a crea o unitate de organizare, aveti de parcurs urmatoarele etape :
1. Deschideti Active Director Users And Computers din meniul Administrative Tools.
Fereastra Active Director Users And Computers afiseaza numeroase containere
prestabilite direct sub domeniu. Users,Computers si Builtin sunt containere care nu sunt unitati de organizare. Deoarece nu puteti crea unitati de organizare in interiorul acestor containere si nu le puteti aplica nici Group Policy (politica de grup), trebuie sa creati alte unitati de organizare pentru a contine utilizatorii si calculatoarele din retea.
OBSERVATIE Uneori este necesar sa extindeti domeniul, prin efectuarea unui clic pe semnul plus din partea stinga a domeniului din ecranul de console, pentru a vedea containerele prestabilite.
Efectuati clic pe butonul drept de mouse pe containerul (domeniu sau unitate de organizare) in care doriti sa creati o noua unitate de organizare.
Indicati spre optiunea New si efectuati clic pe optiunea Organizational Unit.
Tastati numele unitatii de organizare si efectuati clic pe butonul OK.
Exercitii : Crearea unitatilor de organizare
In cadrul acestei aplicatii, veti crea patru unitati de organizare : Sales (vinzari), Administration (administratie), Production (productie) si Servers (servere). Ulterior , pe parcursul acestui capitol veti crea patru conturi de utilizator in unitatea de organizare Sales,dupa care veti muta doua dintre aceste conturi de utilizator in unitatea de organizare Administration.
Exercitiul 1 : Crearea unei unitati de organizare
In acest exercitiu veti crea patru unitati de organizare.
► Pentru a crea o unitate de organizare
Intrati in sistem ca Administrator.
Efectuati clic pe Start, indicati optiunea Programs, indicati optiunea Administrative Tools si efectuati clic pe optiunea Active Director Users And Computer.
In arborele de console, efectuati clic cu butonul drept de muse pe domeniul domain.com, indicati spre optiunea New din meniul rapid si apoi efectuati clic pe optiunea Organizational Unit.
Va aparea caseta de dialog New Object - Organizational Unit.
OBSERVATIE Cind creati o unitate de organizare, unica informatie necesara este numele acesteia. Caseta de dialog indica locatia unde va fi creat obiectul.
In caseta Name, tastati Sales, dupa care efectuati clic pe butonul OK.
Repetati etapele 3 si 4 pentru a crea unitatile de organizare Administration, Production si Server.
Lasati deschisa fereastra Active Director Users And Computers.
Crearea conturilor de utilizator si de calculator
Obiectele, conturile de utilizator si conturile de calculator se folosesc pentru a reprezenta utilizatorii si calculatoarele, astfel incit sa puteti controla accesul in retea si gestiona utilizarea resursele retelei. Pentru a adauga un cont de utilizator sau de calculator la o unitate de organizare, trebuie sa aveti permisiunea de a adauga obiecte noi intr-o unitate de organizare. In mod prestabilit, membrii grupului Administration au permisiunea de a adauga obiecte oriunde in interiorul domeniului.
Crearea conturilor de utilizator
Conturile de utilizator se folosesc pentru autentificarea utilizatorului, ca si pentru a atribui permisiuni de obtinere a accesului la resurse de retea. Puteti folosi instrumentul administrativ Active Director Users And Computers pe orice controller de domeniu, pentru a crea un nou cont utilizator. Dupa crearea contului, acesta este replicat pentru toate celelalte controllere similare ale domeniului.
La crearea contului de utilizator, mai intii trebuie sa selectati containerul in care il veti crea. Puteti crea conturi utilizator la nivel de domeniu, dar astfel se limiteaza optiunile de delegare si sporeste gradul de complexitate al gestionarii retelei. Pentru a crea un cont de utilizator de domeniu, veti parcurge urmatoarele etape :
Tabelul 10.1 descrie optiunile contului de utilizator de domeniu care pot fi configurate.
Tabelul 5.1 Optiuni configurabile ale contului de utilizator de domeniu
First Name (prenume) Prenumele utilizatorului. Este necesara existenta acestui
camp, a campului Last Name sau a campului Initials.
camp, a campului Last Name sau a campului Firs Name.
Last Name (nume) Numele utilizatorului.Este necesara existenta acestui
camp ,a campului First Name sau a campului Initials.
Full Name (nume Numele complet al utilizatorului.Acest nume trebuie sa
complet) fie unic in cadrul unitatii de organizare sau al
containerului unde se creaza contul de utilizator.
Serviciile de catalog Active Directory afiseaza acest
nume in unitatea de organizare sau in containerul unde
este localizat contul de utilizator.
User Logon Name Numele unic de logon al utilizatorului, bazat pe conven-
(nume de logon al tiile de nume. Este o optiune necesara si trebuie sa fie
utilizatorului) unic in cadrul intreprinderii.
User Logon Name Numele unic de logon al utilizatorului care este folosit
(Pre-Windows 2000) pentru a executa pe sisteme care ruleaza versiuni ante-
rioare de Windows, precum Windows NT 4.0 sau 3.51.
Este o optiune necesara si trebuie sa aiba o valoare unica
in cadrul domeniului.
OBSERVATIE Numele de logon al utilizatorului combinat cu numele de domeniu din caseta care apare in dreapta csetei User Logon Name este numele principal de utilizator (User Principal Name - UPN). Acesta identifica in mod unic utilizatorul in intreaga intreprindere.Un exemplu de UPN este user5@domain1.domain.com.
Dupa ce ati introdus informatia despre utilizator, puteti seta parametrii de parola pentru contul de utilizator prin efectuarea unui clic pe butonul Next pentru a afisa optiunile de parola prezentate in figura10.2.
Tabelul 10.2 Optiunile de parola configurabile
Password (parola) Introduce parola folosita pentru autentificarea utiliza-
torului.Pentru o securitate sporita, trebui intotdeauna
sa atribuiti o parola.
Confirm Password Confirmati parola prin tastarea sa a doua oara pentru
(confirmare parola) a va asigura ca ati introdus-o corect.
Optiune Descriere
User Must Change Selectati aceasta caseta de validare daca doriti ca
Password At Next utilizatorul sa-si schimbe parola la prima executie
Logon (utilizatorul a unei intrari in sistem (logon). Astfel, se asigura
Trebuie sa schimbe faptul ca utilizatorul este unica persoana cere
parola la urmatorul cunoaste parola.
logon)
User Cannot Change Selectati aceasta caseta de validare daca aveti mai
Password (utilizatorul multe persoane carte folosesc acelasi cont de utili-
nu poate modifica zator de domeniu (cum este Guest) sau pentru a
parola) mentine controlul asupra conturilor de utilizator
de domeniu. Aceasta optiune atribuie administra-
torilor controlul exclusiv al parolelor.
Password Never Selectati aceasta caseta de validare daca doriti ca
Expires (parola nu parola sa nu se modifice niciodata.
expira niciodata)
Account Is Disabled Selectati aceasta caseta de validare pentru a preveni
(contul este dezactivat) utilizarea acestui cont de exemplu, contul unui nou
angajat care inca nu a inceput lucrul.
Fiecare cont utilizat pe care il creati este asociat unui set de atribute prestabilite.
Puteti folosi atributele pe care le definiti pentru un cont de utilizator de domeniu cu
Scopul de a cauta utilizatori in serviciile de catalog Active Directory. Din acest motiv
Trbuie sa furnizati definitii de atribuire detailate pentru fiecare cont de utilizator de
domeniu pa care il creati.
Dupa ce ati creat un cont de utilizator de domeniu, puteti configura atributele personale si de cont, optiunile de logon si parametrii pentru stabilirea lagaturii prin
Linie telefonica.
Rubricile din aceasta caseta de dialog Properties aferenta unui utilizator contin
informatii despre fiecare cont de utilizator. Cind caracteristicile avansate (Advanced
Features) ale programului snap-in Active Directory Users And Computers sunt active
Rubricile sunt General,Adress(aresa), Account (cont),Profile (profil), Telefons (telefoane), Organization (institutie), Published Certificates (certificate publicate),
Member Of (membru al), Dial-In (conectare prin linie telefonica), Object (obiect), Security (securitate), Environment (mediu), Sessions (sesiuni), Remote Control
(control de la distanta) si Termimnal Services Profile (profil al serviciilor terminal).
Efectuati clic cu butonul drept de mouse pe contul utilizat si apoi efectuati clic
pe Properties pentru a deschide caseta de dialog Properties aferenta contului respectiv.
Observatie Pentru a crea un cont de utilizator local pe un calculator, deschideti Computers Managment si selectati instrumentul Local Users And Groups din grupul Systam Tools.
Mutare obiectelor
In cadrul serviciilor de catalog Active Directory, puteti muta cu usurinta obiecte din interiorul unitatilor de organizare situate intr-o structura de domeniu. Serviciile de catalog Active Directory simplifica activitatea unui administrator prin posibilitatea de deplasare a obiectelor la fiecare modificare a unor functii de organizare sau administrative. De exemplu, cind un angajat se muta de la un departament la altul, este mult ,mai simplu sa se mute contul de utilizator decit sa se stearga contul, sa se creeze unul nou si sa se verifice daca toate drepturile si permisiunile au fost restabilite in mod corect.
Cind deplasti obiecte de la o unitate de organizare la alta :
Permisiunile atribuite direct obiectelor nu se modifica.
Obiectele mostenesc permisiunile de la noua unitate de organizare. Permisiunile
mostenite de la unitatea de organizare anterioara nu se mai aplica asupra
obiectelor.
Puteti deplasa mai multe obiecte simultan.
Similar cu deplasarea utilizatorilor, puteti folosi instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe obiectul pa care doriti sa-l deplasati si apoi efectuati clic pe Move.In caseta de dialog Move, efectuati
clic pe containerul unde doriti sa fie mutat obiectul, dupa care efectuati clic pe butonul OK.
Localizarea obiectelor
In cadrul serviciilor de catalog Active Directory aveti si posibilitatea de a localiza cu usurinta resursele dintr-o retea, indiferent de locatia fizica a obiectului. Folositi instrumentul Active Directory Users And Computers pentru a localiza grupuri in cadrul serviciilor de catalog Active Directory. Efectuati clic pe butonul Fiind din meniul Action al ferestrei Active Directory And Computers pentru a deschide caseta de dialog Fiind.caseta de dialog, prezentata in figura 5.3, va permite sa cautati in serviciile de catalog Active Directory pentru a localiza diferite tipuri de obiecte. Criteriile de cautare disponibile variaza (ca si bara de titlu a casetei de dialog), in functie de tipul de obiecte selectat in lista Find.
Dupa finalizarea cu succes a unei cautari, sunt afisate rezultatele cautarii. Ulterior, puteti executa operatii administrative asupra obiectelor din lista. Functiile disponibile depind de tipul de obiect localizat. De exemplu, daca ati cautat conturi de calculator, le puteti sterge, dezactiva sau reseta, le puteti deplasa intr-o alta unitate de organizare sau le puteti modifica atributele.
Observatie Utilizatorii pot folosi programul Search, disponibil in meniul Start,
pentru a gasi obiecte in serviciile de catalog Active Directory. De asemenea, pot fi folosite comenzile Search din windows Explorer si My Network Places pentru a localiza obiectele din serviciile de catalog Active Directory.
Exercitii : Crearea si gestionarea conturilor de utilizator de domeniu
In acest exercitiu, veti crea conturi de utilizator in functie de informatiile furnizate in exercitiul 1.Dupa crearea conturilor de utilizator, veti modifica propietatile contului de utilizator, mai exact proprietatea legata de orele de conectare in sistem (logon) pentru unul dintre conturile de utilizator. Veti testa contul de utilizator pe care l-ati modificat, pentru a verifica daca restrictiile pe care le-ati aplicat functioneaza si in final, veti muta doua conturi de utilizator din unitatea de organizare in care au fost create intr-o alta unitate de organizare.
Exercitiul 1 : Crearea conturilor de utilizator
In acest exercitiu, veti crea patru conturi de utilizator.
► Pentru a crea un cont de utilizator de domeniu
In arborele de console, efectuati clic cu butonul drept de mouse pe Production, indicati spre New si apoi efectuati clic pe User.
Observati ca in caseta New Object - User se arata ca noul cont de utilizator este creat in locatia domain.com/Production.
Creati contul de utilizator prin tastarea textului User in caseta First Name, a textului One in caseta Last Name si a textului User1 in caseta User Logon Name.
Daca va aflati intr-o retea cu domenii multiple, in caseta din partea dreapta a casetei User Logon Name, selectati @domain.com.
Observatie Daca nu ati respectat conventia de nume propusa in acest manual, selectati numele de domeniu corespunzator.
Efectuati clic pe butonul Next pentru a continua.
In casetele Pasword si confirm Pasword, folositi informatiile din urmatorul tabel pentru a determina parola care trebuie introdusa sau daca trebuie sa lasati aceste casete necompletate (nu se atribuie nici o parola). Folositi informatia din acest tabel pentru a determina si modul de setare a optiunilor de parola.
Prenume Nume Nume de logon utilizator Parola Modificare parola
User One User1 Fara Obligatorie
User Two User2 Fara Obligatorie
User Three User3 User3 Obligatorie
User Four User4 User4 Imposibila
Dupa ce ati atribuit optiunule de parola corespunzatoare, efectuati clic pe butonul Next.
Verificati daca optiunile contului de utilizator sunt corecte, dupa care efectuati clic pe butonul Finish.
Observati aparitia contului de utilizator pe care tocmai l-ati creat in ecranul de detalii al ferestrei Active Directory And Computers.
Repetati etapele 1-7 pentru a crea conturile User Two, User Three si User Four in unitatea de organizare Production. Adaugati toate cele patru noi conturi de
utilizator in grupul Print Operators.
Observatie Pe parcursul urmatoarelor exercitii din acest capitol, vi se va cere sa intrati in controllerul de domeniu ca simplu utilizator (nu ca Administrator). Pentru a putea intra in sistem pe un controller de domeniu, trebuie sa faceti din contul de utilizator un membru al grupului care are dreptul de a executa logon pe controllerele de domeniu (de exemplu, grupul Print Operators). Pentru a adauga un utilizator la grupul Print Operators, efectuati clic pe nodul Builtin din ecranul de console, efectuati clic cu butonul drept de mouse pe grupul Print Operators si efectuati clic pe Properties. In caseta de dialog Properties a utilizatorului, efectuati clic pe eticheta Members, efectuati clic pe Add, selectati utilizatorul pe care doriti sa-l adaugati la grup, efectuati clic pe Add si apoi efectuati clic pe OK de doua ori.
Exercitiul 2: Modificarea proprietatilor unui cont de utilizator
In acest exercitiu, veti configura propietatea Logon Hours (ore de conectare) pentru unul dintre conturile de utilizator pe care l-ati creat in exercitiul 1.
► Pentru a modifica proprietatile contului de utilizator
In unitatea de organizare Production, efectuati clic cu butonul drept de mouse pe User2 si apoi efectuati clic pe Properties.
Efectuati clic pe eticheta Account (cont), dupa care efectuati clic pe Logon Hours (ore de conectare).
Observatie Un bloc de culoare albastra arata ca utilizatorul are permisiunea
de a se conecta in timpul perioadei respective. Un bloc de culoare alba arata ca
utilizatorul nu are permisiunea de a se conecta in perioada astfel marcata.
In mod prestabilit, cind poate intra un utilizator in sistem ?
Limitati orele de conectare ale utilizatorului User2, astfel incat acesta sa poata intra in sistem numai intre orele 18,00 si 6,00.
Observatie Pentru a limita orele de conectare ale utilizatorului, efectuati
clic pe ora de start a primei perioade in care doriti sa limitati accesul
utilizatorului, dupa care trageti de indicatorul de mouse spre ora de final a acestei
perioade. Blocul pentru toate orele selectate va fi delimitat printr-un cadru.
Efectuati clic pe optiunea Logon Denied (conectare interzisa). Suprafata
delimitata este acum un bloc de culoare alba, prin care se arata ca utilizatorul nu
va avea permisiunea de a se conecta in aceasta perioada.
__________ ______ ____ __________ ______ ____ ___
Efectuati clic pe butonul OK pentru a inchide caseta de dialog Logon Hours For User Two (ore de conectare pentru utilizatorul 2), dupa care inchideti fereastra Active Directory Users And Computers.
Exercitiul 3 : Testarea contului de utilizator
In acest exercitiu, veti intra in sistem folosind User One, pentru care va trebui sa modificati parola, dupa vare veti intra in retea folosind contul User Two pentru care ati modificat orele de conectare in exercitiu 2, pentru efectele parametrilor de cont.
► Pentru a testa modificarea unei parole la logon
Descarcati contul Administrator prin efectuarea unui clic pe butonul Start, efectuarea uniu clic pe butonul Shut Down si selectarea optiunii Log Off Administrator in lista derulanta. Apoi efectuati clic pe butonul OK.
La aparitia casetei Welcom to Windows, apasati CTRL+ALT+DELETE.
Selectati continutul casetei User Name si incercati sa va conectati ca User1, fara parola.Windows 2000 afiseaza o caseta mesaj Logon Message, in care sunteti anuntat ca trebuie sa va modificati parola.
Observatie Daca Windows 2000 afiseaza un mesaj in care se spune ca politica locala a sistemului dvs. nu permite conectarea interactiva a utilizatorului User1 la server, intrati in sistem ca Administrator, adaugati contul User1 la grupul Print Operators, parasiti contul si apoi reintrati in sistem ca User1.
Efectuati clic pe butonul OK.
Va aparea caseta de dialog Change Password (modificare parola).
In caseta de dialog Change Password, in casetele New Password si Confirm New Password tastati User1 si efectuati clic pe butonul OK
Windows 2000 afiseaza caseta mesaj Change Password, in care se arata
ca parola dvs. s-a modificat.
Efectuati clic pe butonul OK pentru a inchide caseta de dialog Change Password.
Parasiti contul User One si repetati etapele 2-6 pentru utilizatorul User Two; folositi User2 ca noua parola.
Observatie Daca Widows 2000 afiseaza un mesaj in care se spune ca politica locala a sistemului dvs. nu permite conectarea interactiva a utilizatorului User2 la server, intrati in sistem ca Administrator, adaugati contul User2 la grupul Print Operators, parasiti contul Administrator si apoi reintrati in sistem ca User2.
Ati reusit sa intrati in sistem ca User2? De ce sau de ce nu?
__________ ______ ____ __________ ______ ____ __
Exercitiul 4: Mutarea unui cont utilizator de la o unitate de
organizare la alta
Utilizatorii User one si User Three au fost transferati de la productie (Production) la administratie (Administration). In acest ezercitiu, veti deplasa obiectele utilizator User One si User Three pentru a reflecta acest transfer.
► Pentru a muta un cont de utilizator
Intrati in sistem ca Administrator si deschideti Active Directory Users And Computers din meniul Start.
In unitatea de organizare Production, selectati User One si User Three, efectuati clic cu butonul drept de mouse si apoi efectuati clic pe butonul Move.
In caseta de dialog Move, extindeti-va domeniul, efectuati clic pe Admnistration si apoi efectuati clic pe butonul OK.
Observati disparitia din unitatea de organizare Production a celo doua conturi de utilizator mutate.
Pentru a verifica daca conturile de utilizator au fost deplasate in locatia curenta, in arborele de console efectuati clic pe Administration.
Observati ca obiectele utilizator pentru User One si User Three se gasesc acum in unitatea de organizare Administration.
Inchideti fereastra Active Directory Users And Computers.
Inchideti sesiunea de lucru (logoff).
Crearea conturilor de calculator
Conturilor de calculator sunt similare cu conturile de utilizator, prin aceea ca pot fi folosite pentru autentificarea si auditarea calculatorului, precum si pentru atribuirea de permisiuni si obtinerea accessului la resursele de retea.
Din moment ce toate controllerele de domeniu dintr-un domeniu Windows 2000 sunt sisteme peer, puteti folosi instrumentul Active Directory Users And Computers pe orice controller de domeniu disponibil, pentru a crea un nou cont de calculator.Dupa crearea contului, serviciile de catalog Active Directory executa o replica a acestuia pentru toate controllerele de domeniu existente in domeniul respectiv.
La crearea contului de calculator, selectati containerul in care urmeaza a fi creat. Conturile de calculator pot fi create la nivel de domeniu, dar astfel se produce o limitare a optiunilor de delegare si creste gradul de complexitate al gestiunii retelei. Pentru a crea un cont de calculator, se mai foloseste instrumentul Active Directory Users And Computers. Efectuati clic cu butonul drept de mouse pe un container in care doriti sa creati contul de calculator, indicati spre New si apoi efectuati clic pe Computer. Introduceti numele calculatorului.
__________ ______ ____ __________ ______ ____ ___
Observatie Numele calculatorului trebuie sa fie unic pentru toata intreprinderea.
__________ ______ ____ __________ ______ ____ _____
Pentru un plus de securitate, se poate modifica textul selectat din caseta Users or Group (utilizator sau grup). Puteti introduce orice utilizator sau grup pentru a inscrie un calculator intr-un domeniu. In timpul procesului de inscriere al calculatorului intr-un domeniu, va aparea o caseta de dialog care va solicita un cont care are dreptul de a inscrie calculatorul intr-un domeniu. Persoana care executa inscrierea calculatorului in domeniu trebuie sa introduca un nume de utilizator si o parola care sa corespunda valorilor indicate in aceasta caseta. Ca si in cazul conturilor de utilizator, fiecare cont de calculator este asociat unui set de atribute prestabilite.
Puteti folosi atributele definite pentru un cont de calculator pentru a cauta un anumit calculator in serviciile de catalog Active Directory. Din acest motiv, trebuie sa furnizati definitii detaliate pentru toate atributele fiecarui cont de calculator pe care il creati.
Rezumatul paragrafului
Obiectele, conturile de utilizator si de calculator se folosesc pentru a reprezenta utilizatorii si calculatoarele pentru a permite controlul accesului in retea si a gestiona utilizarea resurselor retelei. Pentru a adauga un cont de utilizator sau de calculator la o unitate de organizare, trebuie sa aveti permisiunea de a adauga obiecte noi intr-o unitate de organizare. In mod prestabilit, membrii grupului Administrators au permisiunea de a adauaga obiecte oriunde in interiorul domeniului. Conturile de utilizator sunt folosite pentru autentificarea utilizatorului si pentru atribuirea permisiunilor de acces la resursele din retea. Puteti folosi instrumentul Active Directory Users And Computers pe orice controller de domeniu disponibil pentru a crea un nou cont de utilizator. Dupa crearea contului, acesta este replicat pe toate celelalte controllere ale domeniului.
Serviciile de catalog Active Directory furnizeaza suport pentru diferite tipuri de grupuri, dar ofera si optiuni legate de domeniul de existenta al unui grup, cu alte cuvinte daca grupul se extinde pe mai multe domenii sau daca este limitat la un singur domeniu.
Dorim sa invatam sa:
q Creati si sa modificati grupuri;
q Stergeti grupuri;
q Explicati modul de mutare si localizare a obiectelor in cadrul serviciilor de catalog Active Directory.
Serviciile de catalog Active Directory asigura flexibilitatea prin furnizarea a doua tipuri de grupuri diferite: grupuri de securitate si grupuri de distributie.
Windows 2000 foloseste numai grupuri de securitate, pe care le puteti intrebuinta pentru a atribui sau a interzice drepturi si permisiuni pentru grupuri de utilizatori si calculatoare, astfel incat acestea sa poata obtine acces la resurse. Programele concepute pentru a explora serviciile de catalog Active Directory pot de asemenea sa foloseasca grupuri de securitate pentru scopuri fara legatura directa cu securitatea, cum ar fi trimiterea de mesaje e-mail catre un numar de utilizatori simultan. Un grup de securitate are toate caracteristicile unui grup de distributie. Deoarece Windows 2000 foloseste numai grupuri de securitate, capitolul de fata se va concentra asupra acestora.
Aplicatii precum Microsoft Exchange folosesc grupurile de distributie ca liste pentru functii fara legatura cu securitatea.Grupurile de distributie nu pot fi folosite ca grupuri de securitate; nu puteti folosi grupurile de distributie pentru atribuirea permisiunilor.Grupurile de distributie se folosesc cand unica functie a grupului nu are legatura cu securitatea, cum ar fi trimiterea de mesaje e-mail catre un grup de utilizatori simultan.
Daca nu intentionati sa folositi un anumit grup in scopuri de securitate, este de preferat sa folositi un grup de distributie in locul unui grup de securitate.In timpul procesului de logon, Windows 2000 creeaza un jeton(token) de acces care contine lista grupurilor de securitate carora le apartine utilizatorul. Utilizarea grupurilor de distributie in detrimentul grupurilor de securitate determina o crestere a performantelor de logon prin reducerea dimensiunii jetonului de acces.
Grupurile de distributie si de securitate au un atribut de tip domeniu de existenta. Domeniul de existenta (scope) determina cine poate fi membru al unui grup si locul unde poate fi folosit grupul respectiv in retea. Exista trei domenii de existenta a grupurilor disponibile: universal, global si local de domeniu.
Grupuri universale
Grupurile universale pot contine conturi de utilizator, grupuri globale si alte grupuri universale din orice domeniu Windows 2000 dintr-o padure. Pentru a crea grupuri de securitate cu domeniu de existenta universal, domeniul trebuie sa opereze in mod nativ.
Puteti acorda permisiuni grupurilor universale pentru toate domeniile din padure, indiferent de locatia grupului universal.
Grupuri globale
Grupurile globale, intr-un domeniu in mod nativ, pot contine conturi de utilizator si grupuri globale din domeniul in care exista grupul. Intr-un domeniu in mod combinat, acestea pot contine numai conturi de utilizator din domeniul in care exista grupul.
Puteti acorda permisiuni grupurilor globale pentru toate domeniile din padure, indiferent de locatia grupului global. Membrii unui grup global sunt limitati la domeniul acestuia, dar grupului i se pot acorda permisiuni in orice locatie a padurii.
Grupuri locale de domeniu
Grupurile locale de domeniu, intr-un domeniu in mod nativ, pot contine conturi de utilizator, grupuri globale si grupuri universale din orice domeniu al padurii, precum si grupuri locale de domeniu din acelasi domeniu. Intr-un domeniu in mod combinat, acestea pot contine conturi de utilizator si grupuri globale de domeniu.
Se pot acorda permisiuni pentru grupurile locale de domeniu numai acelor obiecte din cadrul domeniului pentru care exista grupul local de domeniu. Membrii unui grup local de domeniu se pot gasi oriunde in interiorul padurii, dar grupul poate primi permisiuni numai in interiorul domeniului in care se gaseste.
O lista de membri ai grupului universal este continuta in catalogul global. Grupurile globale si locale de domeniu se gasesc in catalogul global, dar membrii lor nu. Fiecare modificare a membrilor unui grup universal este replicata pentru toate serverele de catalog global. Prin reducerea la minimum a utilizarii grupurilor universale, se va contribui la reducerea dimensiunilor catalogului global si implicit a volumului de trafic din retea determinat de replicarea catalogului global.
Se recomanda limitarea numarului de membri ai grupurilor globale la alte grupuri, nu la conturile de utilizator. Aceasta permite modificarea conturilor de utilizator membre ale grupului universal prin modificarea grupurilor membre ale grupului universal. Deoarece acestea nu afecteaza in mod direct membrii grupului universal, nu se genereaza trafic de replicare.
Limitarea utilizarii grupurilor universale permite reducerea dimensiunii jetoanelor de acces atunci cand resursele se gasesc in domenii diferite. Daca folositi grupuri globale si locale de domeniu, jetoanele de acces contin grupurile globale si locale de domeniu aplicabile domeniului in care exista resursa. Daca folositi grupuri universale, jetonul de acces contine o lista a tuturor grupurilor universale carora le apartine utilizatorul, chiar daca grupurile universale respective nu se folosesc in domeniul respectiv.
Limitati utilizarea grupurilor universale la grupurile folosite pe larg in intreprinderea dvs. si care sunt relativ statice in ceea ce priveste modificarea membrilor.
Crearea grupurilor reduce supraincarcarea administrativa prin combaterea conturilor care necesita acces la resursele retelei intr-un singur obiect, caruia i se pot atribui drepturi si permisiuni.
Planificarea grupurilor
Strategia recomandata pentru utilizarea grupurilor globale si locale de domeniu este de a insera conturile de utilizator(accounts-A) in grupuri globale (G), apoi de a insera grupurile globale in grupurile locale de domeniu (DL) si de a atribui permisiuni de resursa (P) grupurilor locale de domeniu. Aceasta strategie (AGDLP) asigura un maxim de flexibilitate si reduce gradul de complexitate al atribuirii permisiunilor de acces la resursele de retea.
De exemplu, sa presupunem ca reteaua dvs. dispune de numeroase grupuri globale care necesita aceleasi permisiuni de acces la resursele retelei intr-un anumit domeniu. Daca introduceti toate aceste grupuri globale intr-un singur grup global de domeniu, puteti apoi atribui permisiunile adecvate pentru fiecare resursa grupului local de domeniu respectiv, iar conturile de utilizator din grupurile globale vor beneficia de permisiunile adecvate.
Daca necesitatile de permisiune pentru resurse se modifica, puteti pur si simplu modifica membrii grupului local de domeniu. Daca, pe de alta parte, atribuiti permisiuni direct grupurilor globale, va fi necesar sa modificati manual permisiunile individuale pentru toate resursele din retea.
Crearea unui grup in serviciile de catalog Active Directory
Pentru a crea un grup, deschideti instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe containerul sau unitatea de organizare adecvata, indicati spre New si apoi efectuati clic pe Group. Figura 5.4 prezinta caseta de dialog New Object-Group, iar tabelul 5.3 descrie optiunile care trebuie furnizate in caseta de dialog New-Object Group.
Tabelul 10.3 Optiunile din caseta de dialog New Object-Group
Optiune Descriere
Group Name (nume grup) Numele noului grup. Numele trebuie sa fie unic in containerul in care se creeaza
Grupul.
Group Name (Pre-Windows 2000) Numele sub care este referit grupul de calculatoare client care ruleaza versiuni de
Windows anterioare Windows 2000. Acest nume trebuie sa fie unic in cadrul do-
meniului.
Group Scope (domeniu de existenta Domeniul de existenta al grupului. Selectati dintre optiunile Local, Global sau Uni-
al grupului) versal.
Group Type (tipul grupului) Tipul grupului. Selectati intre Security (securitate) sau Distribution (distributie)
Dupa crearea unui grup, la acesta se adauga membri. Membrii grupurilor pot include conturi de utilizator, alte grupuri si calculatoare.
OBSERVATIE: Adaugati un calculator la grup pentru a oferi accesul la o resursa partajata din calculatorul respectiv(de exemplu, utilitarul de creare a copiilor de siguranta de la distanta).
Adaugarea de membri la un grup
Pentru a adauga membri la un grup, folositi instrumentul Active Directory Users And Computers. In fereastra Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe grupul la care doriti sa adaugati un membru, efectuati clic pe Properties si apoi efectuati clic pe eticheta Members. In eticheta Members, efectuati clic pe Add.
In lista Look In, selectati un domeniu din care se vor afisa conturile de utilizator si grupurile sau selectati optiunea Entire Directory(intregul catalog) pentru a vedea conturile de utilizator si grupurile din orice locatie a serviciilor de catalog Active Directory. Din aceasta lista, selectati contul de utilizator sau grupul pe care doriti sa il adaugati, dupa care efectuati clic pe butonul Add. Daca adaugati mai multe conturi de utilizator sau grupuri, puteti continua sa selectati contul sau grupul, dupa care efectuati clic pe butonul Add. Dupa ce ati terminat de adaugat conturi de utilizator sau grupuri la grupele selectate, efectuati clic pe butonul OK.
OBSERVATIE: Un cont de utilizator sau un grup pot fi adaugate la un grup si prin utilizarea etichetei Member Of din caseta de dialog Properties pentru contul de utilizator sau grupul respectiv. Aceasta metoda se foloseste pentru a adauga rapid un utilizator la un grup sau la mai multe grupuri.
Modificarea grupurilor
In afara de modificarea membrilor unui grup si de permisiunile acordate grupului respectiv, puteti modifica un grup prin schimbarea tipului si a domeniului de existenta a acestuia. De asemenea, puteti sterge grupuri atunci cand acestea nu mai sunt necesare.
Modificarea tipului de grup
Puteti modifica tipul unui grup de la securitate la distributie si invers in orice moment, atunci cand domeniul se gaseste in modul nativ. Nu puteti modifica tipul unui grup atunci cand domeniul se gaseste in modul combinat. Tipul unui grup se poate modifica din rubrica General al casetei de dialog Properties a grupului respectiv.
Modificarea domeniului de existenta al grupului
La aparitia unor modificari in retea, uneori este necesara modificarea domeniului de existenta al grupului. De exemplu, transformarea unui grup local de domeniu existent intr-un grup universal este necesara cand trebuie sa atribuiti permisiuni pentru a acorda utilizatorilor dreptul de acces la resurse situate in alte domenii. Domeniul de existenta al unui grup se modifica din rubrica General al casetei de dialog Properties a grupului respectiv.
Iata cateva aspecte importante pe care trebuie sa le retineti la modificarea domeniului de existenta a unui grup:
q Domeniul de existenta al unui grup poate fi modificat atunci cand domeniul se gaseste in modul nativ; aceasta schimbare nu este posibila daca grupul de afla in modul combinat.
q Un grup global poate fi convertit intr-un grup universal, dar numai daca grupul global convertit nu este membru al unui alt grup global.
q Un grup local de domeniu poate fi transformat intr-un grup universal, dar numai daca grupul local de domeniu pe care il convertiti nu contine un alt grup local de domeniu.
q Este imposibila modificarea domeniului de existenta a unui grup universal, deoarece toate celelalte grupuri au membri mai putini si domeniu de existenta mai putin extins decat acelea ale grupului universal.
Stergerea unui grup
Cand stergeti un grup, stergeti numai grupul si eliminati permisiunile si drepturile asociate acestuia. Stergerea unui grup nu implica si stergerea conturilor de utilizator membre ale grupului.
Fiecare grup creat are un identificator unic, care nu poate fi reutilizat, denumit identificator de securitate (SID). Windows 2000 foloseste SID pentru a identifica grupul si permisiunile atribuite acestuia. Cand stergeti un grup, Windows 2000 nu va mai folosi SID-ul grupului respectiv, chiar daca ulterior creati un grup cu acelasi nume. Ca atare, nu puteti restabili accesul la resurse printr-o noua creare a grupului.
Pentru a sterge un grup, deschideti instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe grup si apoi efectuati clic pe Delete.
Exercitii: Stergerea grupurilor
In acest exemplu, veti crea si veti adauga membri la un grup global, la un grup local de domeniu si la un grup universal.
Exercitiul 1: Crearea unui grup global si adaugarea de membri
In acest exercitiu, veti crea un grup global si veti adauga membri.
Pentru a crea un grup global intr-un domeniu
Intrati in sistem ca Administrator.
Deschideti instrumentul Active Directory Users And Computers.
In arborele de console, extindeti domain.com.
In arborele de console, efectuati clic pe Administration.
Efectuati clic cu butonul drept de mouse pe Administration, indicati spre New si apoi efectuati clic pe Group.
Va aparea caseta de dialog New Object-Group.
Tastati Managers in caseta Group Name.
Verificati daca optiunea Group Scope(domeniu de existenta a grupului) este setata la valoarea Global, daca optiunea Group Type(tipul grupului) este setata la valoarea Security, dupa care efectuati clic pe butonul OK.
Windows 2000 creeaza grupul si il afiseaza in ecranul cu detalii.
Pentru a adauga membri la un grup global
Efectuati clic pe Managers.
Caseta de dialog Managers Properties afiseaza proprietatile grupului.
Pentru a vizualiza membrii grupului, efectuati clic pe eticheta Members.
Acum, aceasta lista nu contine nimic.
Pentru a adauga un membru la grup, efectuati clic pe Add.
In caseta de dialog Select Users, Contacts, Computers Or Groups(selectati utilizatori, contacte, calculatoare sau grupuri), in caseta Look In verificati daca este selectat domeniul dvs.
In lista, efectuati clic pe User One, dupa care efectuati clic pe butonul Add.
In lista, efectuati clic pe User Two, dupa care efectuati clic pe butonul Add.
Efectuati clic pe butonul OK.
Conturile de utilizator User One si User Two sunt acum membre ale grupului global Managers.
Efectuati clic pe butonul OK pentru inchide caseta de dialog Managers Properties.
Exercitiul 2: Crearea unui grup local de domeniu si adaugarea membrilor
In acest exercitiu veti crea un grup local de domeniu si ii veti adauga membri. Veti folosi grupul pentru a atribui permisiuni in vederea obtinerii accesului la o baza de date de inventar. Deoarece grupul se foloseste pentru atribuirea permisiunilor, acesta va fi un grup local de domeniu. Apoi, veti adauga membri la acest grup.
Pentru a crea un grup local de domeniu intr-un domeniu
Efectuati clic cu butonul drept de mouse pe Administration, efectuati clic pe New, dupa care efectuati clic pe Group.
Va aparea caseta de dialog New Object-Group.
Tastati Inventory (inventar) in caseta Group Name.
Pentru obtinerea Group Scope, efectuati clic pe optiunea Domain Local, iar pentru optiunea Group Type, confirmati selectarea valorii Security.
Efectuati clic pe butonul OK.
Windows 2000 creeaza grupul local de domeniu si il afiseaza in ecranul cu detalii.
Lasati deschisa fereastra Active Directory Users And Computers.
Pentru a adauga membri la un grup local de domeniu
Efectuati clic cu butonul drept de mouse pe Inventory si efectuati clic pe Properties.
Caseta de dialog Inventory Properties afiseaza proprietatile grupului,
Pentru a adauga un membru la grup, efectuati clic pe eticheta Members si apoi efectuati clic pe butonul Add.
In caseta de dialog Select Users, Contacts, Computers Or Groups(selectati utilizatori, contacte, calculatoare sau grupuri), selectati optiunea Entire Directory(intreg catalogul) in caseta Look In.
Caseta de dialog Select Users, Contacts, Computers Or Groups afiseaza conturile de utilizator si grupurile din toate domeniile si afiseaza locatia fiecarui cont de utilizator sau grup sub forma domeniul Users. In cazul de fata exista un singur domeniu.
Efectuati clic pe capul de coloana Name.
Caseta de dialog Select Users, Contacts, Computers Or Groups afiseaza toate intrarile din lista, asezate in ordine alfabetica dupa nume.
Efectuati clic pe Managers.
Efectuati clic pe butonul Add, dupa care efectuati clic pe butonul OK.
In acest moment, grupul Managers este un membru al grupului local de domeniu Inventory.
Efectuati clic pe butonul OK pentru a inchide caseta de dialog Inventory Properties.
Lasati deschisa fereastra Active Directory Users And Computers.
Exercitiul 3: Crearea unui grup universal si adaugarea membrilor
In acest exercitiu, veti crea un grup universal. Ulterior, veti determina care sunt membrii ce pot fi adaugati acestui grup.
Pentru a crea un grup universal
Efectuati clic cu butonul drept de mouse pe Administration, efectuati clic pe New, dupa care efectuati clic pe Group.
Va aparea caseta de dialog New Object-Group.
Tastati Universal1 in caseta Group Name.
Pentru optiunea Group Scope, efectuati clic pe optiunea Universal, iar pentru optiunea Group Type, confirmati selectarea valorii Security.
Efectuati clic pe butonul OK.
Windows 2000 creeaza grupul universal si il afiseaza in ecranul cu detalii.
Repetati etapele 1-4 pentru a crea un grup universal denumit Universal2.
Pentru a adauga membri intr-un grup universal
Efectuati clic cu butonul drept de mouse pe Universal1, dupa care efectuati clic pe Properties.
Va aparea caseta de dialog Universal1 Properties.
Efectuati clic pe eticheta Members, dupa care efectuati clic pe Add.
In caseta de dialog Select Users, Contacts, Computers Or Groups, selectati domeniul dvs. in caseta Look In.
In lista, efectuati clic pe Managers, dupa care efectuati clic pe Add.
Efectuati clic pe butonul OK.
Efectuati clic pe butonul OK pentru a inchide caseta de dialog Universal1 Properties.
Ati reusit sa adaugati grupul global Managers la grupul universal? De ce sau de ce nu?
Incercati sa repetati etapele 1-5 pentru a adauga grupul local de domeniu Inventory la grupul universal.
Ati avut la dispozitie grupul local de domeniu Inventory pentru a-l adauga la grupul universal? De ce sau de ce nu?
Inchideti caseta de dialog Select Users, Contacts, Computers Or Groups si caseta de dialog Universal1 Properties.
Exercitiul 4: Stergerea unui grup
In acest exercitiu, veti sterge un grup universal.
Pentru a sterge un grup universal
Efectuati clic cu butonul drept de mouse pe Universal2, dupa care efectuati clic pe Delete.
Cand vi se cere acest lucru, efectuati clic pe Yes pentru a sterge grupul numit Universal2.
Inchideti fereastra Active Directory Users And Computers.
Rezumatul lectiei
Serviciile de catalog Active Directory pun la dispozitia utilizatorului doua tipuri de grupuri: de securitate si de distributie. Grupurile de securitate se folosesc pentru a atribui sau a interzice drepturi si permisiuni unor grupuri de utilizatori de calculatoare, pentru a obtine accesul la resurse. Un grup de securitate are toate caracteristicile unui grup de distributie. Aplicatii precum Microsoft Exchange folosesc grupurile de distributie drept liste pentru functiile fara legaturi cu securitatea. Grupurile de distributie se folosesc cand unica functie a grupului nu este legata de securitate, cum ar fi trimiterea de mesaje e-mail unui grup de utilizatori simultan.
Grupurile de securitate si de distributie au un atribut legat de domeniul de existenta. Domeniul de existenta al unui grup determina cine poate fi membru al grupului si locul de utilizare a grupului respectiv in retea. Exista trei tipuri de domenii de existenta ale unui grup: universal, global si local de domeniu.
Dupa ce v-ati planificat grupurile, puteti folosi instrumentul Active Directory Users And Computers pentru crearea unui grup, adaugarea de membri la grup, modificarea tipului sau a domeniului de existenta al unui grup sau stergerea grupului. In serviciile de catalog Active Directory, puteti muta cu usurinta obiectele in interiorul structurii de domeniu si puteti localiza resursele din retea, indiferent de locatia fizica a obiectului.
4. Controlul accesului la obiectele Active Directory.
Fiecare obiect din serviciile de catalog Active Directory are un descriptor de securitate care defineste obiectele ce au permisiunea de acces la obiectul respectiv, precum si tipul de acces permis. Windows 2000 foloseste acesti descriptori de securitate pentru a controla accesul la obiecte. Pentru reducerea supraincarcarii administrative, puteti grupa obiectele cu cerinte de securitate identice intr-o unitate de organizare. Ulterior, puteti atribui permisiuni de acces intregii unitati de organizare si tuturor obiectelor incluse in aceasta.
Dupa aceast paragraf veti putea sa:
q Explicati modul de control al accesului la obiectele din serviciile de catalog Active Directory folosind permisiunile;
q Vizualizati permisiunile aferente obiectelor Active Direcoty;
q Delegati controlul asupra unei unitati de organizare.
Prezentarea permisiunilor Active Directory
Permisiunile Active Directory asigura securitatea resurselor prin aceea ca permit utilizatorului sa controleze accesul la obiecte individuale sau la atributele obiectelor, precum si tipul de acces permis. Puteti folosi permisiuni pentru a atribui privilegii administrative-pentru o unitate de organizare, pentru o ierarhie de unitati de organizare sau pentru un singur obiect-unui anumit utilizator sau grup.
Un administrator sau un posesor de obiecte trebuie sa atribuie permisiuni obiectului respectiv inainte ca utilizatorul sa poata obtine accesul la obiect. Windows 2000 memoreaza o lista cu permisiuni de acces utilizator, denumita lista de control al accesului discretionar(discretionary access control list-DACL) pentru fiecare obiect din serviciile de catalog Active Directory. Lista DACL pentru un obiect arata cine poate accesa obiectul, precum si actiunile bine determinate pe care fiecare utilizator le poate executa asupra obiectului.
Tipul de obiect determina permisiunile care pot fi selectate. Permisiunile variaza pentru diferite tipuri de obiect. De exemplu, puteti atribui permisiunea Reset Password (resetare parola) pentru un obiect utilizator, nu pentru un obiect imprimanta.
Permisiuni efective
Un utilizator poate fi un membru al mai multor grupuri, fiecare cu permisiuni diferite, care asigura diferite niveluri de acces la obiecte. Cand atribuiti unui utilizator o permisiune de acces la un obiect, iar utilizatorul respectiv este un membru al unui grup caruia i-ati atribuit o alta permisiune, permisiunile efective ale utilizatorului reprezinta o combinatie intre permisiunile utilizatorului si cele ale grupului. De exemplu, daca un utilizator are permisiunea Read(citire) si este membru al unui grup cu permisiunea Write(scriere), permisiunile efective ale utilizatorului vor fi Read si Write.
Puteti accepta sau interzice permisiunile. Permisiunile interzise au prioritate fata de orice alte permisiuni acordate conturilor de utilizator sau grupurilor. Daca interziceti o permisiune pentru accesul utilizatorului la un obiect, utilizatorul nu va avea permisiunea respectiva, chiar daca acea permisiune a fost acceptata pentru un grup din care face parte utilizatorul. Se recomanda interzicerea permisiunilor numai atunci cand aceasta actiune este necesara pentru un anumit utilizator, care este membru al unui grup cu permisiuni acceptate.
OBSERVATIE: Asigurati-va intotdeauna ca toate obiectele dispun de cel putin un utilizator cu permisiunea Full Control(control total). Nerespectarea acestei reguli poate duce la inaccesibilitatea unor obiecte, chiar si pentru un administrator care foloseste instrumentul Active Directory Users And Computers pentru administrare.
Permisiuni standard si permisiuni speciale
Puteti atribui obiectelor permisiuni standard si permisiuni speciale. Permisiunile standard sunt cel mai frecvent atribuite si sunt alcatuite din permisiuni speciale. Permisiunile speciale ofera utilizatorului un control mai riguros pentru atribuirea accesului la obiecte.
De exemplu, permisiunea Write standard este alcatuita din permisiunile speciale Write All Properties(scrierea tuturor proprietatilor), Add/Remove Self As Member(adaugarea sau eliminarea proprie ca membru) si Read Permissions(permisiuni de citire).
Tabelul 5.4 prezinta permisiunile obiect standard disponibile pentru majoritatea obiectelor(unele tipuri de obiecte au permisiuni suplimentare disponibile) si tipul de acces acceptat de fiecare permisiune.
Tabelul 10.4 Permisiuni standard pentru obiecte
Permisiune pentru obiecte Actiune autorizata
Full Control(control total) Modificarea permisiunilor si preluarea dreptului de proprietate; in plus, pot fi exe-ate operatiile autorizate de toate celelalte permisiuni standard.
Read (citire) Vizualizarea obiectelor si atributelor acestora, a proprietarilor obiectelor si a per-
misiunilor Active Directory.
Write (scriere) Modificarea atributelor de obiect.
Create All Child Objects Adaugarea oricarui tip de obiect copil la o unitate de organizare.
(crearea tuturor obiectelor copil)
Delete All Child Objects Eliminarea oricarui tip de obiect copil dintr-o unitate de organizare.
(stergerea tuturor obiectelor copil)
Mostenirea permisiunilor
Mostenirea permisiunilor in cadrul serviciilor de catalog Active Directory reduce la minimum numarul de atribuiri ale permisiunilor pentru obiecte.
Aplicarea permisiunilor pentru obiectele copil
La atribuirea permisiunilor, puteti opta pentru aplicarea permisiunilor catre subobiecte (obiecte copil), ceea ce propaga permisiunile pentru toate subobiectele unui obiect dat. Pentru a indica faptul ca permisiunile sunt mostenite, casetele de validare pentru permisiunile mostenite nu sunt disponibile in interfata cu utilizatorul.
De exemplu, puteti atribui permisiunea Full Control pentru un grup asupra unei unitati de organizare care contine imprimante, dupa care aplicati aceasta permisiune pentru toate subobiectele. Consecinta este ca toti membrii grupului pot administra toate imprimantele din unitatea de organizare.
Prevenirea mostenirii permisiunii
Puteti preveni mostenirea permisiunii, astfel incat un obiect copil sa nu mosteneasca permisiunile de la obiectul sau parinte. Cand preveniti mostenirea, acest lucru este valabil numai pentru permisiunile atribuite in mod explicit obiectului.
Pentru a preveni mostenirea permisiunilor se poate folosi rubrica Security a casetei de dialog Properties.
Cand preveniti mostenirea, Windows 2000 va permite urmatoarele:
q Copierea in obiect a permisiunilor mostenite anterior. Noile permisiuni explicite pentru un obiect sunt o copie a permisiunilor pe care acesta le-a mostenit anterior de la obiectul sau parinte. Apoi, in conformitate cu necesitatile dvs., puteti opera asupra permisiunilor toate modificarile necesare.
q Eliminarea din obiect a permisiunilor mostenite anterior. Prin eliminarea acestor permisiuni, veti elimina toate permisiunile aferente obiectului. Apoi, in conformitate cu necesitatile dvs., puteti atribui orice noua permisiune pentru obiectul dorit.
Atribuirea permisiunilor Active Directory
Windows 2000 determina dreptul unui utilizator de a folosi un obiect prin consultarea listei DACL privind permisiunilor acordate utilizatorului asupra obiectului respectiv. Pentru a adauga sau a elimina permisiuni pentru un obiect, efectuati urmatoarele actiuni:
q Pentru a adauga o permisiune noua, efectuati clic pe Add, efectuati clic pe contul de utilizator sau pe grupul caruia doriti sa-i atribuiti permisiuni, efectuati clic pe Add, dupa care efectuati clic pe butonul OK.
q Pentru a modifica o permisiune existenta, efectuati clic pe contul de utilizator sau pe grup.
In caseta Permissions, selectati caseta de validare Allow (autorizare) sau Deny (interzicere) pentru fiecare permisiune pe care doriti sa o adaugati sau sa o eliminati.
Permisiunile standard sunt suficiente pentru majoritatea sarcinilor administrative. Cu toate acestea, uneori este necesar sa vizualizati permisiunile speciale care alcatuiesc o permisiune standard. Pentru a vizualiza permisiunile speciale, parcurgeti urmatoarele etape:
Modificarea dreptului de proprietate asupra unui obiect
Fiecare obiect are un proprietar. Persoana care creeaza obiectul devine in mod automat proprietarul acestuia. Proprietarul controleaza permisiunile atribuite unui obiect si persoanele carora le sunt atribuite acestea.
Ca administrator, puteti prelua dreptul de proprietate asupra oricarui obiect, dupa care puteti modifica permisiunile aferente obiectului respectiv. Daca un membru al grupului Administrators creeaza un obiect sau preia dreptul de proprietate asupra unui obiect, grupul Administrators devine proprietarul obiectului, si nu un anumit membru al grupului.
Dreptul de proprietate asupra unui obiect se modifica la aparitia uneia dintre urmatoarele situatii:
q Proprietarul curent, sau orice utilizator cu permisiunea Full Control, acorda permisiunea Modify Owner (modificare proprietar) unui alt utilizator, care preia dreptul de proprietate asupra obiectului.
De exemplu, daca un salariat care detine un obiect paraseste firma, puteti permite unui alt utilizator sa preia dreptul de proprietate asupra obiectului respectiv, determinand astfel o reatribuire a responsabilitatii pentru obiectul respectiv.
q Un membru al grupului Administrators preia dreptul de proprietate asupra obiectului respectiv.
OBSERVATIE: Desi membrii grupului Administrators pot prelua dreptul de proprietate asupra oricarui obiect, acestia nu pot transfera dreptul de proprietate. Aceasta restrictie asigura responsabilitatea asupra obiectului.
Pentru a prelua dreptul de proprietate asupra unui obiect, veti parcurge urmatoarele etape:
Delegarea controlului administrativ asupra obiectelor Active Directory
Structura serviciilor de catalog Active Directory propune prin ea insasi o gestiune mai eficienta, prin intermediul delegarii controlului administrativ asupra obiectelor. Puteti folosi aplicatia Delegation of Control Wizard si aplicatiile personalizate Microsoft Management Consoles pentru a acorda anumitor utilizatori drepturile de a efectua diferite operatii administrative si de gestiune, reducand astfel sarcinile administratorului si reflectand ierarhia operativa a firmei prin reatribuirea responsabilitatii pentru resursele de retea persoanelor adecvate.
Controlul administrativ asupra obiectelor poate fi delegat prin atribuirea sarcinilor la nivelul unitatii de organizare, permitand astfel utilizatorilor sau grupurilor de utilizatori sa administreze urmatoarele tipuri de control:
q Atribuirea catre un utilizator a permisiunilor de creare sau modificare a obiectelor intr-o anumita unitate de organizare.
q Atribuirea catre un utilizator a permisiunilor de modificare a permisiunilor specifice atributelor unui obiect, cum ar fi permisiunea de resetare a parolelor unui cont de utilizator.
Deoarece operatiile de urmarire (sau permisiunea de efectuare a anumitor operatii) la nivelul unitatii de organizare sunt mai simple decat aceleasi operatii aplicate asupra obiectelor sau atributelor acestora, cea mai comuna metoda de delegare a controlului administrativ este de a atribui sarcini (sau permisiunea de efectuare a anumitor operatii) la nivelul unitatii de organizare. Atribuirea sarcinilor la nivelul unitatii de organizare va permite sa delegati controlul administrativ pentru obiectele incluse in cadrul unitatii de organizare.
De exemplu, puteti delega controlul administrativ al unei unitati de organizare managerului corespunzator. Prin delegarea controlului asupra unitatii de organizare catre managerul respectiv, puteti descentraliza operatiile si aspectele administrative. Astfel se reduc timpul si costurile de administrare prin distribuirea controlului administrativ mai aproape de punctul sau de operare.
Puteti folosi aplicatia Delegation Of Control pentru a atribui permisiuni la nivelul unitatii de organizare. Pentru permisiuni mai specializate, trebuie sa atribuiti permisiuni manual, la nivel de obiect.
Folosind instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe unitatea de organizare pentru care doriti sa delegati controlul, dupa care efectuati clic pe Delegate Control pentru a lansa aplicatia Wizard.
Tabelul 5.5 descrie optiunile aplicatiei Delegation of Control Wizard.
Tabelul 5.5 Optiunile aplicatiei Delegation of Control Wizard
Optiune Permite utilizatorului sa seteze .
Users Or Groups Conturile de utilizator sau grupurile carora urmeaza a li se delega controlul.
(utilizatori sau grupuri)
Tasks To Delegate Sarcinile care urmeaza a fi atribuite obiectului sau obiectelor.
(sarcini de delegat)
Crearea de instrumente administrative personalizate
Una dintre noile facilitati ale sistemului Windows 2000 o reprezinta posibilitatea de a crea instrumente administrative personalizate folosind utilitarul Microsoft Management Console (MMC). Dupa ce ati delegat controlul administrativ asupra unei portiuni a serviciilor de catalog Active Directory, va puteti crea propriul dvs. set unic de instrumente administrative, pe care sa le distribuiti administratorilor delegati. Salvate sub forma de fisiere .MSC, aceste instrumente administrative personalizate pot fi trimise prin e-mail, stocate intr-un dosar partajat sau publicate pe Web. De asemenea, pot fi atribuite utilizatorilor, grupurilor sau calculatoarelor folosind setarile Group Policy (politica de grup).
Crearea consolelor personalizate
Puteti crea console MMC personalizate care sa indeplineasca anumite cerinte administrative prin combinarea programelor snap-in folosite pentru executia operatiilor administrative comune intr-o singura consola. Pentru a deschide MMC cu o consola vida, efectuati clic pe Start, efectuati clic pe Run, tastati mmc in caseta Open si apoi efectuati clic pe butonul OK. Efectuati clic pe New in meniul MMC Console, adaugati programele snap-in si extensiile dorite, denumiti consola si apoi salvati-o.
Tabelul 5.6 descrie modul de utilizare a diferitelor comenzi din meniul MMC Console.
Tabelul 5.6 Comenzile din meniul MMC Console
Comanda Actiune efectuata
New Crearea unei noi console personalizate MMC.
Open Utilizarea unei console MMC salvata.
Save sau Save As Utilizarea consolei MMC la un moment ulterior.
Add/Remove Snap-In Adaugarea sau eliminarea unuia sau mai multor programe snap-in si a extensiilor asociate a -
cestora in sau dintr-o consola MMC.
Options Configurarea modului consolei si crearea unei console MMC personalizate.
Salvarea unei console in mod autor
Cand creati o consola MMC, puteti stabili modul in care se va deschide aceasta. Pentru a seta modul, din meniul Console selectati Options. Puteti selecta Author Mode (mod autor) sau User Mode (mod utilizator).
Cand salvati o consola MMC in modul autor, activati accesul total la toate functionalitatile MMC, ceea ce include modificarea consolei MMC. In mod prestabilit, toate noile console MMC sunt salvate in modul autor. Puteti folosi modul autor in urmatoarele scopuri:
q Adaugarea sau eliminarea programelor snap-in.
q Crearea de ferestre noi.
q Vizualizarea tuturor portiunilor din arborele de console.
q Salvarea consolelor MMC.
Salvarea unei console in mod utilizator
Daca intentionati sa distribuiti o consola MMC altor administratori si nu doriti sa le permiteti sa modifice consola, salvati-o in mod utilizator (User Mode). Cand setati o consola MMC in modul utilizator, utilizatorii acesteia nu pot adauga sau elimina programe snap-in si nici nu pot salva consola. Exista trei tipuri de moduri utilizator, fiecare cu nivelul sau propriu de acces si functionalitate.
Tabelul 5.7 descrie trei tipuri de moduri utilizator.
Tabelul 5.7 Tipuri de mod utilizator
Tip de mod utilizator Actiuni permise sau interzise utilizatorilor
Full Access (acces complet) Sunt permise navigarea printre programele snap-in, deschiderea de ferestre noi si obti-
nerea accesului la toate portiunile arborelui de console.
Limited Access, Multiple Window Nu este permisa utilizatorilor deschiderea de ferestre noi si nici obtinerea accesului la o
(acces limitat, ferestre multiple) portiune a arborelui de console. Este permisa vizualizarea mai multor ferestre in consola.
Limited Access, Single Window Nu este permisa utilizatorilor deschiderea de ferestre noi si nici obtinerea accesului la o
(acces limitat, fereastra unica) portiune a arborelui de console. Este permisa vizualizarea unei singure ferestre in con-
sola.
Exercitii: Delegarea controlului
In acest exemplu, veti trece in revista setarile de securitate prestabilite ale componentelor Active Directory. Apoi veti delega unui utilizator controlul asupra obiectelor dintr-o unitate de organizare.
Exercitiul 1: Recapitularea permisiunilor pentru componentele Active Directory
In acest exercitiu, veti trece in revista setarile de securitate prestabilite pentru componentele Active Directory.
OBSERVATIE: Nu modificati nici una dintre setarile de securitate din serviciile de catalog Active Directory decat atunci cand vi se solicita in mod expres acest lucru pe parcursul exercitiilor. Operarea unor modificari poate provoca pierderea accesului la portiuni ale serviciilor de catalog Active Directory.
Pentru a crea obiecte in serviciile de catalog Active Directory
Intrati in sistem ca Administrator.
Deschideti instrumentul Active Directory Users And Computers.
Extindeti domain.com.
Efectuati clic cu butonul drept de mouse pe domain.com, indicati spre New si apoi efectuati clic pe Organizational Unit.
In caseta Name, tastati Security si apoi efectuati clic pe butonul OK.
In unitatea de organizare Security, creati un cont de utilizator cu numele Assistant si cu numele de logon Assistant@domain.com. Atrubuiti parola password si acceptati valorile prestabilite ale tuturor celorlator optiuni.
In aceeasi unitate de organizare, creati un alt cont de utilizator cu numele Secretary si numele de logon Secretary@domain.com. Atribuiti parola password si acceptati valorile prestabilite ale tuturor celorlaltor optiuni.
Pentru a vizualiza permisiunile Active Directory prestabilite pentru o unitate de organizare
Din meniul View, verificati daca este selectata Advanced Features.
In arborele de console, efectuati clic cu butonul drept de mouse pe Security si apoi efectuati clic pe Properties.
Efectuati clic pe rubrica Security.
In tabelul urmator, notati grupurile care au permisiuni pentru unitatea de organizare Security. Daca un cont are permisiuni speciale, treceti in tabel mentiunea Special Permissions. Veti avea nevoie de aceste permisiuni in exercitiul urmator.
Cont de utilizator sau grup Permisiuni atribuite
Account Operators
Administrators
Authenticated Users
Domain Admins
Entreprise Admins
Pre-Windows 2000 Access
Print Operators
System
De ce toate casetele de validare de permisiune sunt necompletate pentru unele grupuri?
Daca vreuna dintre permisiunile prestabilite este mostenita din dimeniu, care este obiectul parinte? Cum ati remarcat?
Pentru a vizualiza permisiunile speciale al unei unitati de organizare
In caseta de dialog Security Properties, in rubrica Security, efectuati clic pe butonul Advanced.
Va aparea caseta de dialog Access Control Settings For Security (setari de control al accesului pentru
securitate.
Pentru a vizualiza permisiunile grupului Account Operators, in caseta Permission Entries (intrari de permisiune) efectuati clic pe fiecare intrare aferenta acestui grup, dupa care efectuatt clic pe View/Edit.
Va aparea caseta de dialog Permission Entry for Security (intrare de permisiune pentru securitate).
Ce permisiuni de obiect sunt atribuite grupului Account Operators ? Care sunt actiunile permise membrilor grupului in aceasta unitate de organizare ?
Exista vreun obiect din cadrul acestei unitati de organizare care sa mosteneasca permisiunile atribuite grupului Account Operators ? De ce sau de ce nu ?
3. Inchideti toate casetele de dialog deschise si inchideti sesiunea de lucru.
Exercitiul 2 : Delegarea controlului
In acest exercitiu, veti delega unui utilizator controlul asupra obiectelor dintr-o unitate de organizare. Pentru a raspunde la intrebarile de mai jos, consultati tabelul completat in exercitiul anterior.
Pentru a testa permisiunile curente
1. Conectati-va la domeniul dvs., ca Assistant folosind parola password.
Windows 2000 afiseaza un mesaj in care se spune ca politica locala a sistemului dvs. Nu va permite sa va
conectati la server in mod interactiv ca Assistant.
2. Intrati in sistem ca Administrator, adaugati contul Assistant la grupul Print Operators, iesiti din sistem si
reintrati ulterior folosind contul Assistant.
3. Deschideti instrumentul Active Directory Users And Computers.
4. In arborele consolei, extindeti domeniul dvs. Si apoi efectuati clic pe Security.
Care sunt obiectele utilizator vizibile in unitatea de organizare Security ?
Care sunt permsiunile care va permit sa vedeti aceste obiecte? (Sugestie: Consultati raspunsurile din exer-
citiul anterior.)
Incercati sa modoficati orele de conectare la sistem pentru Security. Ati reusit ? De ce sau de ce nu ?
Incercati sa modificati orele de conectare la sistem pentru Assistant. Ati reusit ? de ce sau de ce nu ?
5. Inchideti instrumentul Active Directory Users And Computers si inchideti sesiunea de lucru.
Pentru a folosi aplicatia Delegation of Control Wizard pentru a atribui permisiuni obiectelor Active Directory
1.Intrati in sistem ca Administrator, cu parola password
2. Deschideti instrumentul Active Directory Users And Computers.
3. In arborele de console, extindeti domeniul dvs.
4. Efectuati clic cu butonul drept de mouse pe Security, dupa care efectuati clic pe Delegate Control.
5. In aplicatia Delegation of Control Wizard, efectuati clic pe butonul Next.
Aplicatia Delegation of Control Wizard afiseaza pagina Users Or Groups (utilizatori sau grupuri).
6. Efectuati clic pe Add.
7. In caseta de dialog Select Users, Computers Or Groups, efectuati clic pe Assistant, efectuati clic pe Add si
apoi efectuati clic pe butonul OK.
8. Efectuati clic pe butonul Next.
Aplicatia Delegation of Control Wizard afiseaza pagina Tasks To Delegate (sarcini to delegat). Daca doriti
sa delegati controlul pentru anumite tipuri de sarcini, cum ar fi gestiunea imprimantelor, puteti selecta una
sau mai multe sarcini predefinite.
9. Efectuati clic pe optiunea Create, Delete, And Manage User Accounts (creare, stergere si gestionare a con-
turilor de utilizator), dupa care efectuati clic pe butonul Next.
10.Efectuati clic pe Finish.
11. Inchideti fereastra Active Directory Users And Computers si inchideti sesiunea de lucru.
Pentru a testa permisiunile delegate
Rezumatul lectiei
Permisiunile Active Directory asigura securitatea resurselor prin aceea ca permit exercitarea unui control asupra persoanelor care pot avea acces la obiecte individuale sau la atribute ale acestora, precum si asupra tipului de acces care va fi permis. Windows 2000 memoreaza o lista de permisiuni de acces al utilizatorilor, denumita lista de control al acestui discretionar (Disscretionary Access Control List-DACL) pentru fiecare obiect din serviciile de catalog Active Directory. Lista DACL pentru un obiect arata cine poate accesa obiectul, precum si actiunile bine determinate pe care fiecare utilizator le poate executa asupra obiectului.
Permisiunile pot fi acceptate sau interzise. Permisiunile interzise au prioritate fata de orice alte permisiuni acordate conturilor de utilizator sau grupurilor. Daca interziceti o permisiune pentru accesul utilizatorului la un obiect, utilizatorul nu va avea permisiunea respectiva, chiar daca ati acceptat permisiunea respectiva pentru un grup din care face parte utilizatorul. Se recomanda interzicerea permisiunilor numai atunci cand aceasta actiune este necesara pentru un anumit utilizator, care sete membru al unui grup cu permisiuni acceptate.
La atribuirea permisiunilor, puteti opta pentru aplicarea permisiunilor catre subobiecte (obiecte copil), ceea ce propaga permisiunile pentru toate subobiectele unui obiect dat.
Pentru a indica faptul ca permisiunile sunt mostenite, casetele de validare pentru permisiunile mostenite nu sunt disponibile in interfata cu utilizatorul. Puteti preveni mostenirea permisiunii, astfel incat un obiect copil sa nu mosteneasca permisiunile de la obiectul sau parinte. Cand preveniti mostenirea, acest lucru sete valabil numai pentru permisiunile atribuite in mod explicit obiectului.
Copyright © 2024 - Toate drepturile rezervate
