4.

Administrarea domeniilor
Serviciul director Active Directory
Creterea numrului de calculatoare existente la un moment dat ntr-o reea
a impus necesitatea folosirii unui serviciu centralizat care s asigure
efectuarea diverselor operaii de reea, modelul workgroup fiind greu de
implementat i gestionat n astfel de situaii.
Un serviciu director (directory service) cuprinde o colecie de informaii
despre obiecte care sunt n legtur unele cu altele ntr-o anumit privin.
Serviciul director furnizeaz un mod consistent de a identifica, localiza,
organiza, securiza i simplifica accesul la resursele unei reele de
calculatoare.
Active directory este tehnologia creat de Microsoft pentru serviciul director
Windows Server 2003. Active Directory pstreaz i pune la dispoziie
informaii despre resursele unei reele, organizate n obiecte. Fiecare obiect
are un set de atribute asociate, informaii care identific i descriu obiectul.
Baza structurii logice n Active Directory este domeniul. Domeniul este n
general o colecie de obiecte, unele dintre ele create de administratorul
domeniului. Folosind o singur baz de date, Active Directory ofer
posibilitatea administrrii centralizate a tuturor resurselor unei reele.
Structura Active Directory este reprezentat printr-o ierarhie de obiecte, n
care fiecare obiect reprezint o singur entitate: un computer, un utilizator,
un grup, o imprimant. Obiectele au proprieti, numite i atribute. Unele
obiecte sunt containere, deci conin alte obiecte, inclusiv alte containere. De
aici structura ierarhic Active Directory. La nivelul cel mai nalt al ierarhiei
Active Directory se afl forest (pdure). Un forest se compune din arbori
(tree). La rndul lui un arbore este compus din domenii.
Domeniul
Conform terminologiei Microsoft, domeniul este reprezentat dintr-un grup de
calculatoare care fac parte dintr-o reea i care folosesc n comun aceeai
baz de date n care sunt reprezentate resursele reelei. Domeniul este
administrat ca entitate distinct, cu reguli i proceduri comune pentru toate
calculatoarele care l compun. Domeniile sunt recunoscute prin nume.
Calculatoarele membre ale domeniului respect politica de securitate a
domeniului. n plus, domeniul ofer i soluia administrrii centralizate a
tuturor resurselor reelei, indiferent unde ar fi ele distribuite: administrarea
bazei de date a domeniului este n fond soluia pentru administrarea tuturor
resurselor reprezentate prin obiecte nscrise n aceast baz
de date. O singur operaie de logon n domeniu
(deschidere de sesiune) este suficient pentru ca un
utilizator s fie recunoscut n domeniu i s aib acces la
resursele domeniului, n limita permisiunilor i a privilegiilor
de care dispune.
Reprezentarea grafic a domeniului este triunghiul care sugereaz frontiera
de administrare, frontiera de securitate i aezarea ierarhic a
componentelor sale. Domeniul este construit n jurul unui controler de
domeniu (domain controller). ntr-un domeniu trebuie s existe cel puin un
controler de domeniu. El deine toate informaiile despre domeniu, despre
resursele reelei i este serverul folosit pentru autentificarea n domeniu
(logon n domeniu). Crearea unui domeniu se obine prin crearea
controlerului de domeniu. Instalarea serviciului Active Directory pe un server
l transform n controler de domeniu. Active Directory se poate instala pe
sistemele de operare Windows Server 2003, mai puin ediia Web Edition.
Mai multe domenii pot fi organizate ierarhic i pot constitui structuri
arborescente, numite tree.
Un arbore (tree) este o grupare de domenii din acelai spaiu de nume, deci
o convenie relativ la modul n care sunt denumite acestea. ntre domenii
exist relaii de tip printe - copil: un subdomeniu este fiul domeniului printe.
Fiecare domeniu are un nume
propriu.
n figura alturat este reprezentat o
structur de domenii, n care avem un
singur tree (arbore). Numele
domeniului rdcin este
microsoft.com, nume n formatul
Domain Name System (DNS).
Numele subdomeniului se formeaz
prin concatenarea unui sufix la
numele printelui, ca de exemplu
uk.microsoft.com, care este un
subdomeniu al domeniului microsoft.com. Liniile care unesc domeniile
definesc relaiile dintre ele: n acest caz sunt relaii de genul printe-copil
(parent-child) sau domeniu-subdomeniu.
O pdure (forest) este o grupare de arbori (tree) care au spaii de nume
distincte.

n aceast figur este
reprezentat un forest cu cu
dou arborescene. Fiecare
dintre ele are un spaiu de
nume independent.




Numele forest-ului este dat de numele primului domeniu creat n forest numit
i domeniul rdcin pentru forest (forest root domain). n cazul nostru este
microsoft.com.
n situaia n care structura unui Active Directory conine un singur domeniu
atunci el este i domeniul rdcin. Cu alte cuvinte exist i n acest caz
particular un arbore i un forest.
ntre domenii exist relaii de ncredere (trust). Este cunoscut faptul c un
utilizator autentificat n domeniu, deci cunoscut la nivelul acelui domeniu, are
acces la resursele domeniului, n limita permisiunilor. Relaia de ncredere
(trust) ntre domenii se refer la faptul c un utilizator autentificat ntr-un
domeniu poate folosi o resurs ce aparine altui domeniu; fiind un utilizator
cunoscut, domeniul are suficient ncredere n el i i pune la dispoziie
resursele, presupunnd c utilizatorul are permisiunile necesare.
Relaiile printe-copil sunt relaii de ncredere (trust) bidirecionale i
tranzitive. ntre domeniile rdcin ale arborilor care formeaz pdurea
exist o relaie de ncredere (trust) bidirecional.
Caracteristicile domeniilor Windows Server 2003 sunt urmtoarele:
Exist o singur baz de date care pstreaz toate conturile utilizatorilor
din domeniu. Baza de date face parte din serviciul Active Directory.
Pentru a avea acces la oricare resurs din domeniu, utilizatorul are nevoie
de un singur cont de utilizator n domeniu. Este suficient o singur
operaie de autentificare n domeniu pentru ca utilizatorul s fie
recunoscut de fiecare resurs a domeniului.
Administrarea resurselor i autentificarea utilizatorilor sunt centralizate.
Domeniile sunt scalabile: pot conine un numr mic de calculatoare, dar
pot gzdui la fel de bine mai multe mii de calculatoare.
Un domeniu este gestionat prin cel puin un domain controller.
Un controler de domeniu (domain controller) controleaz numai un singur
domeniu.
ntr-un domeniu pot s funcioneze mai multe controlere de domeniu.
Toate exemplarele bazei de date a domeniului, aflate pe controlerele
acelui domeniu, sunt modificabile. Modificrile realizate pe un exemplar
sunt transmise ctre celelalte printr-un proces numit replicare. ntruct
sunt acceptate modificri pe orice domain controller, replicarea este de
tipul multi-master. n afar de transmiterea modificrilor, cu aceast
ocazie se realizeaz i gestionarea eventualelor conflicte care ar putea s
apar n urma efecturii simultane a unor modificri. Instalarea mai multor
controlere de domeniu pentru acelai domeniu se justific prin asigurarea
toleranei la erori sau pentru echilibrarea cererilor provenite de la clieni.
Un domain controller conine integral baza de date a domeniului. Nu
exist posibilitatea meninerii unor exemplare pariale ale bazei de date
asociate cu domeniul n cauz.




La proiectarea Active Directory trebuie avut n vedere, ca principiu de design,
minimizarea numrului de domenii. Fiind arii de securitate distincte, un
numr ct mai mic de domenii, preferabil unul singur, permite gestionarea
mai uoar a domeniului. Unul din motivele pentru care am dori mai multe
controlere de domeniu este legat de echilibrarea cererilor de autentificare a
utilizatorilor. n situaia n care, pentru acel domeniu funcioneaz dou
controlere n aceeai reea, e de ateptat ca fiecare dintre ele s fie egal
ncrcate (load balance) cu cereri de autentificare. Redundana informaiilor
este alt motiv pentru care funcioneaz mai multe controlere n acelai
domeniu. n cazul n care unul dintre ele nu mai funcioneaz toate rolurile i
funciile i vor putea fi preluate de cele rmase n funciune, iar utilizatorii nu
vor avea de suferit.
Active Directory folosete serviciul Domain Name System (DNS): pentru
fiecare domeniu Active Directory trebuie s existe un domeniu DNS cu
acelai nume.



n figura alturat este
prezentat corespondena
dintre domeniile DNS i
cele de tip Active
Directory.
Domeniul DNS poate s
existe nainte de
instalarea lui Active
Directory sau poate fi
instalat pe domain
controller n timpul
procesului de instalare a
serviciului Active
ea
dinamic a nregistrrilor (dynamic update).
nregistrrile DNS de tip SRV sunt folosite pentru ide
ofer
acest serviciu.
omeniu este cel cruia i
se va adresa i va rezolva cererea de autentificare.

Directory.
Cerina minimal a domeniului DNS este aceea de a permite nregistrri de
tip SRV. Este recomandabil ca domeniul DNS s asigure i actualizar
ntificarea serviciilor. De
exemplu, n figura
alturat este prezentat
serviciul de catalog
global care ruleaz pe
portul 3268.
nregistrarea SRV
(service) indic numele
host-ului care
Utilizatorii care folosesc
calculatoarele membre
ale domeniului pot
deschide sesiune local
folosind un cont
utilizator local
calculatorului sau n
domeniu. In vederea deschiderii de sesiune n domeniu, clientul Active
Directory care este i client DNS, interogheaz mai nti serverul DNS n
cutarea unui controler de domeniu. Controlerul de d

Instalarea Active Directory
Serviciul director Active Directory (Active Directory Service) poate fi instalat
pe calculatoare unde funcioneaz sisteme de operare Microsoft Windows
Server 2003, ediii Standard, Enterprise i Data Center. Serviciul Active
Directory are nevoie de o partiie NTFS cu minim 1 GB de spaiu liber,
pentru nceput. n partiia NTFS se va afla baza de date a domeniului care va
crete pe msur ce vor fi adugate obiecte n domeniu. n urma instalrii
serviciului Active Directory serverul devine controler de domeniu. Serverul
care va deveni controler de domeniu trebuie s aib de la nceput o adresa
IP static i s fie client la serverul DNS responsabil cu rezolvarea numelor
n domeniu. Microsoft recomand ca serverul controler de domeniu s
ndeplineasc i rolul de server DNS. Mai mult dect att, Microsoft
recomand ca instalarea serviciului DNS s aib loc o dat cu instalarea
Active Directory.
Promovarea unui server la rolul de controler de domeniu
Comanda de promovare este dcpromo.
Aceeai comand poate fi folosit i pentru
retrogradarea controlerului de domeniu:
dac serverul este deja controler de
domeniu comanda dcpromo dezinstaleaz
serviciul Active Directory.
1. Start -> Run i introducem dcpromo n
caseta de dialog Run.
2. Vrjitorul (Wizard) Active Directory Installation Wizard a fost lansat n
execuie i continum (Next).
3. n caseta de dialog Domain Controller Type, va fi ales tipul noului
controler de domeniu: va fi el un controler pentru un domeniu nou (nc
necreat) sau un controler de domeniu suplimentar ntr-un domeniu existent,
creat cndva nainte. Domain Controller for a new domain este opiunea
pentru crearea unui domeniu nou, implicit a unui controler de domeniu ntr-
un nou domeniu.

4. Noul domeniu trebuie plasat ntr-o ierarhie: este nceputul unei ierarhii noi
(adic un forest nou), sau doar un arbore nou ntr-un forest existent, sau este
un subdomeniu (domeniu copil child) al unui domeniu existent. ntruct
acesta va fi primul domeniu Active Directory, selectm opiunea Create a
New Domain in a new forest (crearea unui domeniu nou ntr-un forest nou).










5. New Domain Name (numele noului domeniu) este locul unde va fi
specificat numele n format DNS al noului domeniu. De aici n acolo,
domeniul va purta dou nume: numele n format DNS i cel n format
NetBIOS.










6. Numele NetBIOS ale domeniilor sunt utilizate pentru compatibilitatea cu
alte sisteme de operare. Implicit, numele NetBIOS al domeniului va fi
prima parte a numelui n specificator DNS (pn la primul punct).


7. n caseta de dialog Database and Log Folders (baza de date i fiiere
log - jurnal) va fi specificat locul unde vor fi create baza de date a serviciului
i fiierele jurnal. n mod implicit, este vorba despre calea
C:\Windows\NTDS.

8. Volumul Shared System Volume (volum sistem partajat) pstreaz
politicile de securitate Active Directory. O replic a coninutului va fi transmis
ctre toate celelalte controlere de domeniu. Acest folder se va afla ntr-o
partiie NTFS i se numete SYSVOL. Calea implicit este C:\Windows.


9. Serviciul Active Directory are nevoie de suportul DNS. Controlerul de
domeniu trebuie s fie client al unui server DNS, unde exist un domeniu
DNS cu acelai nume ca i numele domeniului Active Directory. n cazul n
care nu exist deja un server DNS care s ndeplineasc aceste condiii,
promovarea serverului la rolul de controler de domeniu poate conine i
secvena de instalare i configurare a serviciului Domain Name System
(DNS) Install and configure the DNS Server.


10. Caseta de dialog Permissions (permisiuni): ca parte a procesului de
promovare, sistemul de operare are nevoie de stabilirea permisiunilor pentru
utilizatori i grupuri.


11. Urmeaz stabilirea parolei administratorului pentru modul de lucru
Directory Services Restore Mode (restaurarea serviciilor director). Este
situaia cnd administratorul va ncerca s restaureze serviciul Active
Diretory folosind pentru autentificare un cont special. Pentru restaurare
administratorul va folosi o copie de siguran (backup) n timp de serviciul
Active Directory nu va fi pornit.
12. n baza opiunilor de instalare pe care le-am selectat, Active Directory
Installation Wizard (vrjitorul pentru instalarea Active Directory) afieaz un
sumar al alegerilor fcute i construiete apoi baza de date a serviciului.





Verificarea instalrii Active Directory

I. Cea mai bun cale
de verificare a
operaiile legate de
instalarea Active
Directory este
consultarea jurnalului
Directory Service cu
ajutorul utilitarului
Event Viewer.





II. Consola serviciului
DNS arat
nregistrrile specifice
serviciului Active
Directory, respectiv
nregistrrile de tip
SRV.






III. n grupul de programe Administrative Tools sunt adugate o serie de
programe pentru gestionarea Active Directory:
Active Directory Users and Computers: permite crearea conturilor de
utilizator, a grupurilor, conturilor de calculator, a unitilor organizaionale,
a politicilor de securitate aferente domeniului i unitilor organizaionale.
Este utilitarul folosit pentru administrarea tuturor obiectelor Active
Directory.
Active Directory Domains and Trusts: pentru vizualizarea i modificarea
relaiilor de ncredere dintre domeniile Active Directory.
Active Directory Sites and Services: pentru crearea i coordonarea site-
urilor i a serviciilor Active Directory.

Includerea unui computer n domeniu
Apartenena unui calculator (staie de lucru sau server) la un domeniu este o
proprietate a sistemului. n acelai timp, calculatorul membru al domeniului
trebuie s fie client la serverul DNS care controleaz domeniul DNS cu
acelai nume ca i domeniul Active Directory.











Introducerea calculatorului n domeniu, se obine prin System Properties.

De la calculatoarele incluse n domeniu, utilizatorii pot deschide sesiune
folosind fie un cont din domeniu, fie un cont din baza de date local SAM.
Exist posibilitatea alegerii uneia dintre cele dou opiuni n fereastra de
logon:

Administrarea unui domeniu se poate face, n calitate de administrator al
domeniului, de la orice calculator membru al domeniului. Instrumentele de
administrare sunt utilitare care pot fi instalate de pe kit-ul de instalare al
sistemului de operare Windows Server 2003. Pachetul de instalare se
numete adminpak.msi. Lansarea n execuie a acestui pachet instaleaz
instrumentele de administrare. Pentru calculatoarele care au instalat
Windows Server 2003 adminpak.msi poate fi gsit i n
C:\Windows\System32.
Obiecte Active Directory

Active Directory Users and Computers este utilitarul care afieaz
structura logic, arborescent a unui domeniu. El asigur interfaa pentru
crearea i administrarea obiectelor din Active Directory.



Unitate organizaional
O unitate organizaional (OU) este un container din domeniu folosit pentru a
stoca i organiza obiecte. Unitile organizaionale pot fi folosite n vederea
delegrii sarcinilor administrative distincte unor utilizatori care nu sunt
administratorii domeniului. Ei vor primi numai sarcina administrrii unora
dintre obiectele din acea unitate organizaional. Unitile organizaionale pot
fi incluse unele n altele, ceea ce asigur o structur ierarhic a obiectelor.
O unitate organizaional poate fi creat folosind utilitarul Active Directory
Users and Computers (utilizatori i computere din Active Directory). Pentru
creare folosim ntotdeauna comanda New (Nou). Obiectele, oricare ar fi ele,
sunt recunoscute prin nume.














Nou creata unitate de organizare este un container, aa cum indic i
pictograma care i este asociat. Se observ c pot fi crete aici obiecte noi.














Conturi pentru utilizatori
Contul pentru utilizatori este un obiect Active Directory care conine toate
informaiile necesare pentru definirea i identificarea unui utilizator n
domeniu. Administratorul domeniului va crea cte un cont pentru fiecare
utilizator din domeniu. Unele conturi sunt create automat, la instalarea
serviciului Active Directory.
n domeniu exist, de la bun nceput, contul Administrator pentru
administratorul domeniului i respectiv contul Guest (oaspete, musafir), care
este implicit dezactivat i care are drepturi limitate n sistem. Ambele conturi
sunt plasate n containerul Users, care atenie nu este unitate
organizaional.







Pentru crearea unui cont utilizator avem la ndemn comanda New -> User







Primele informaii despre
noul utilizator sunt cele
legate de identitatea lui i
de numele folosit pentru
deschiderea de sesiune.
Urmeaz apoi parola i
celelalte informaii.



Odat contul de utilizator creat putem efectua diverse operaii asupra
acestuia, ca de exemplu cele care apar dup un clic dreapta pe obiectul
respectiv:
Resetare Parol (Reset
Password) i ofer
administratorului posibilitatea
stabilirii unei noi parole pentru
acel utilizator.
Dezactivare cont (Disable
Account) - contul devine
dezactivat, nefolosibil; nu se
poate face deschidere de
sesiune folosind un cont
dezactivat. Operaia invers
este Activare cont (Enable
Accout)
Adugare n grup (Add to a
group)
Copiere (Copy)
Mutare (Move)



Obiectele Active Directory au
proprieti, numite n alte
situaii atribute. Valorile
asociate proprietilor asigur
identificarea unic a obiectelor.







S examinm cteva dintre
proprietile sau atributele
conturilor utilizator:






Pentru nceput remarcm categoria de proprieti de tipul Account (cont)
unde apare data de expirare a contului sau, altfel spus durata de valabilitate
a contului creat. Tot aici sunt i posibilele restricii legate de deschiderea de
sesiune, i anume Logon hours (intervalul de timp n care este permis
deschiderea de sesiune) i Log On To (calculatoarele care pot fi folosite
pentru deschiderea de sesiune).

De exemplu n figura de mai sus, utilizatorul user1 nu poate deschide
sesiune n zilele de smbt i duminic.
Conturi pentru computere
Fiecare calculator din domeniu este reprezentat printr-un cont de calculator.
Conturile pentru calculatoare pot fi create manual sau automat. Promovarea
unui server la rangul (rolul) de controler de domeniu se materializeaz prin
crearea automat a unui cont calculator n containerul Domain Controllers
(Controlere de domeniu).
Includerea unui calculator
n domeniu determin
crearea automat a unui
cont calculator n
containerul Computers
(Computere).
Domain Controllers
este un container de tip
unitate organizaional
pentru conturile
controlerelor de
domeniu.
Containerul Computers conine calculatoarele membre n domeniu
(Containerul Computers nu este unitate organizaional).



Identificarea obiectelor Active Directory
Obiectele Active Directory pot fi identificate prin specificatorii lor LDAP.
Lightweight Directory Access Protocol (LDAP) este un protocol standard,
stabilit de Internet Engineering Task Force (IETF). Specificatorul LDAP
complet calificat (numit conform protocolului distinguished name) asigur
identificarea unic a unui obiect n Active Directory.
Din structura unui specificator complet calificat fac parte:
DC - Domain Component pentru componentele de nume ale domeniului
OU - Organizational Unit pentru unitile organizaionale care compun
calea pn la obiect
CN - Common Name numele obiectului
Specificatorul LDAP al
contului utilizator user1 este:
CN=user1, OU=OU1,
DC=sinca, DC=ad
Not: Numele CN al unui cont
utilizator va fi
First name Initials. Last
name.

Specificatorul LDAP OU=Cursuri, OU=OU1, DC=sinca, DC=ad se refer
la obiectul unitate organizaional numit Cursuri aflat n OU1 care la rndul
lui se afl n domeniul sinca.ad.

Obiectele utilizator pot fi
identificate prin aa-numitul
User Principal Name (UPN).
Formatul general al acestui
specificator este
sufix@domeniu, sau n
cazul nostru user1@sinca.ad.




Toate obiectele Active Directory pot fi identificate prin GUID Globally
Unique Identifier identificatorul unic global. Identificatorul este creat odat
cu obiectul i nu se va modifica niciodat pe toat durata existenei
obiectului, indiferent dac obiectul se mut dintr-un loc n altul sau dac i se
schimb numele.
Utilitarul Active Directory Users and Computers permite cutarea i gsirea,
localizarea obiectelor din Active Directory. Comanda este Find (caut). Vor
trebui indicate criteriile de cutare.

Grupuri
Grupurile sunt colecii de utilizatori i calculatoare care pot fi tratate unitar.
Grupurile au membrii i pot fi incluse n alte grupuri. Grupurilor le sunt de
obicei asociate drepturi sau permisiuni, ceea ce face ca fiecare membru al
grupului s beneficieze de acelai set de drepturi sau permisiuni. Crearea
conturilor de grup se face printr-o comand New Group

Grupurile sunt caracterizate prin tip i arie de cuprindere sau arie de
vizibilitate (scope). n funcie de tip, grupurile pot fi de distribuie, adic
membrii grupului vor fi destinatarii mesajelor e-mail trimise ctre grup, sau de
tip securitate (security). n acest ultim caz, grupului i se pot asocia drepturi,
permisiuni, restricii, ceea ce va face ca fiecare membru al grupului s aib
exact acelai set de drepturi, permisiuni i restricii.
Dup aria de cuprindere sau aria de vizibilitate grupurile pot fi:
Globale
Locale domeniului
Universale
Diferenierea n funcie de scope apare cnd se analizeaz relaia dintre
membrii grupului i resursele disponibile. n general, grupurile au membri
care pot fi conturi de utilizator i/sau alte grupuri. Resursele disponibile,
respectiv resursele pe care le pot folosi membrii grupului, sunt foldere,
fiiere, imprimante distribuite pe calculatoarele din reea. n analiza ce
urmeaz considerm o structur Active Directory cu cel puin dou domenii.
Membrii
Conturi (de utilizator sau de
computer) i grupuri globale din
acelai domeniu cu cel n care se afl
grupul
Grup
Global
Resursele
disponibile
Oriunde, n orice domeniu al pdurii
Membrii
Conturi (de utilizator sau de
computer), grupuri globale i
universale din orice domeniu al
pdurii
Grup
Universal
Resursele
disponibile
Oriunde, n orice domeniu al pdurii
Membrii
Conturi (de utilizator sau de
computer), grupuri globale i
universale din orice domeniu al
pdurii i grupuri locale domeniului
din acelai domeniu cu cel n care se
afl grupul
Grup
local
domeniul
ui
(Domain
Local)
Resursele
disponibile
Locale domeniului, din domeniul n
care se afl grupul
n domeniu exist cteva grupuri preconstruite. Apartenena la aceste
grupuri ofer membrilor drepturile asociate.
Grupurile preconstruite exist n containerele Users i Builtin i pot fi
vizualizate folosind Active Directory Users and Computers.











Drepturile implicite pentru principalele grupuri predefinite din domeniu sunt
urmtoarele:
Grup Descriere Drepturi implicite
Account
Operators
Membrii acestui grup pot
crea, modifica, terge
conturi pentru utilizatori
n containere, altele
dect Domain controllers
Allow log on locally;
Shut down the system.
Administrators
Membrii acestui grup au
control deplin asupra
tuturor controlerelor de
domeniu

Access this computer from the
network;
Back up files and directories;
Change the system time;
Debug programs;
Enable computer and user
accounts to be trusted for
delegation;
Force a shutdown from a
remote system;
Grup Descriere Drepturi implicite
Increase scheduling priority;
Load and unload device
drivers; Allow log on locally;
Manage auditing and security
log;
Modify firmware environment
values;
Profile system performance;
Remove computer from
docking station;
Restore files and directories;
Shut down the system;
Take ownership of files or
other objects.
Backup
Operators
Membrii acestui grup pot
salva i restaura toate
fiierele de pe controlere
de domeniu, indiferent
de permisiunile lor la
fiiere
Back up files and directories;
Allow log on locally;
Restore files and directories;
Shut down the system.
Print
Operators
Membrii pot controla
imprimarea: creeaz,
partajeaz, terg
obiectele printer,
gestioneaz obiectele
printer din Active
Directory
Allow log on locally;
Shut down the system.
Server
Operators
Membrii pot crea pe
controlerele de domeniu
resurse partajate, le pot
terge, pot starta i opri
anumite servicii, pot
salva i restaura fiiere
Back up files and directories;
Change the system time;
Force shutdown from a remote
system;
Allow log on locally;
Restore files and directories;
Shut down the system.
Users
Membrii pot executa
sarcini obinuite, care
includ lansarea n
execuie a aplicaiilor.
Domain Users este
membru aici

Grup Descriere Drepturi implicite
Domain
Admins
Membrii acestui grup au
control deplin asupra
domeniului. Implicit este
inclus n Administrators
local domeniului

Access this computer from the
network; Back up files and
directories; Change the system
time; Debug programs; Enable
computer and user accounts to
be trusted for delegation; Force a
shutdown from a remote system;
Increase scheduling priority;
Load and unload device drivers;
Allow log on locally; Manage
auditing and security log; Modify
firmware environment values;
Restore files and directories;
Shut down the system; Take
ownership of files or other
objects.
Domain
Users
Conine toi utilizatorii
din domeniu. Orice cont
utilizator creat este
implicit membru n acest
grup.

Enterprise
Admins
(exista
numai n
domeniul
rdcin)
Dein controlul asupra
ntregii pduri (forest)
Implicit este inclus n
grupul Administrators
local domeniului

Idem ca Domain Admins, dar
pentru toate domeniile din
forest.

Frecvent, un cont utilizator este referit prin grupul de utilizatori cruia i
aparine. De exemplu, un cont din grupul Domain Admins este denumit
administrator de domeniu. Un cont poate fi membrul mai multor grupuri. n
aceast situaie drepturile, permisiunile i restriciile contului sunt cele
obinute prin nsumarea drepturilor, permisiunilor i restriciilor asociate
grupurilor din care face parte contul.
Grupurile sistem sunt create de sistemul de operare iar lista membrilor
grupului este implicit, deci nu poate fi modificat explicit.
Cele mai cunoscute grupuri sistem sunt :
Nume Descriere
Everyone
toi utilizatorii din reea.
Anonymous
Logon
utilizatorii i serviciile care acceseaz prin reea
computerul i resursele sale, fr a utiliza un
nume de cont i parol.
Interactive
utilizatorii care au sesiune deschis n acel
moment
Network
utilizatorii care acceseaz resursele de la acel
calculator, prin reea
Authenticated
Users
utilizatorii din Active Directory. Utilizatorii de tip
guest nu fac parte din acest grup
Creator
Owner

contul utilizator care a creat sau a luat n
proprietate resursa (obiectul). Membrii acestui
grup au n mod implicit permisiunea de a modifica
permisiunile la obiectul pe care l dein n
proprietate


Nivelul funcional al unui domeniu

n domeniile Windows 2003 Active Directory, controlerele de domeniu pot
rula versiuni diferite de sisteme de operare Windows Server.
n acest context, exist patru niveluri de funcionare a unui domeniu.
Windows 2000 mixt (implicit)
Windows 2000 nativ
Windows Server 2003 interim (obinut numai n urma upgrade-ului direct
de la Windows NT4.0 la Windows 2003 Server)
Windows Server 2003


Domain Functional
Level
Controlere de domeniu
Windows 2000 mixt
Windows Server 2003
Windows 2000
Windows NT 4.0
Windows 2000 nativ
Windows Server 2003
Windows 2000
Windows Server 2003
interim
Windows NT 4.0
Windows Server 2003
Windows Server 2003
Windows Server 2003

Pentru crearea grupurilor universale este nevoie ca nivelul funcional al
domeniului s fie Windows 2000 nativ sau Windows Server 2003. Dup
promovarea unui server la rolul de controler de domeniu, n mod implicit
nivelul funcional este Windows 2000 mixt. Ar fi nevoie deci de ridicarea
nivelului funcional (raise functional level).








Odat stabilit, ridicat nivelul funcional nu se mai poate reveni la un nivel
inferior.
n acest moment se pot crea grupuri de tip security universal.










Strategia A G DL P
AGDLP (AccountGlobal groupsDomain Local groupPermission) este
strategia recomandat de ctre Microsoft pentru acordarea de permisiuni
pentru utilizatorii din reea.
Conturile(A) sunt incluse n grupuri globale (G) din acelai domeniu.
Resursele din domeniu vor fi protejate prin permisiuni/restricii acordate
grupurilor locale domeniului (DL)
Grupurile globale (G) sunt incluse n grupurile locale domeniului (DL) n
conformitate cu permisiunile pe care trebuie s le aib utilizatorii.
Publicarea resurselor partajate
Resursele partajate ale unei reele directoare (foldere) sau imprimante
partajate pot fi publicate n Active Directory. Prin publicare se creeaz n
Active Directory un obiect nou de tipul shared folder (folder partajat),
respectiv shared printer (imprimant partajat), corespunztor resursei
existente i deja partajate. Obiectele din Active Directory sunt uor de
localizat i de folosit de ctre utilizatorii din domeniu, la fel i resursele
partajate reprezentate prin obiecte publicate (plasate) n Active Directory.
Resursele partajate publicate n Active Directory sunt specificate prin numele
UNC (Universal Naming Convention). Sintaxa general UNC este:
\\NumeComputer\NumeResursPartajat
Pentru publicarea dosarelor partajate se folosete Active Directory Users
and Computers:










Obiectul din Active Directory
care corespunde resursei
partajate a fost creat n
unitatea organizaional OU1
i se numete partajatu.

Acest obiect va fi folosit la fel ca toate obiectele Active Directory. De la
calculatoare membre ale domeniului i cu sesiune deschis n domeniu,
utilizatorii se pot conecta la folderul partajat i vor avea acces n limita
permisiunilor acordate. Utilizatorul i poate construi propriile proiecii de tip
Map Network Drive prin care asociaz un nume de unitate logic (drive:) cu
obiectul din Active Directory care corespunde resursei partajate.










Publicarea n Active Directory a unei
imprimante partajate are loc chiar la
partajarea ei. n mod implicit,
imprimantele partajate sunt listate n
Active Directory (List in the
Directory).




Containerul n care apare obiectul
imprimant partajat este chiar
calculatorul la care este conectat
imprimanta. Pentru ca acest obiect s
fie vizibil n ierarhia oferit de Active
Directory Users and Computers va
trebui activat opiunea Users,
Groups, and Computers as
containers din meniul View.


n eventualitatea c publicarea n Active Directory nu se face automat poate
fi folosit mecanismul tradiional, i anume NewPrinter


Imprimanta va fi apoi
identificat prin specificatorul
UNC, de tipul
\\servername\printername

Permisiuni la obiectele din Active Directory
Fiecare obiect din Active Directory are asociat un descriptor de securitate
care definete cine are permisiunea de a accesa obiectul i ce tip de acces
este permis. La fel ca
pentru foldere, fiiere sau
imprimante, lista
permisiunilor este definit
prin Discretionary Access
Control Lists (DACLs). Lista
DACL nu este afiat prin
Active DirectoryUsers and
Computers dect dac
modul de vizualizare
(meniul View) este
Advanced Features
(caracteristici avansate).


Lista permisiunilor este
afiat n tab-ul Security
din proprietile fiecrui
obiect.







Active Directory este o structur ierarhic de obiecte. Structura ierarhic
este dat de obiectele de tip container. Domeniul este cel mai cuprinztor
container. Urmeaz apoi unitile organizaionale sau alte obiecte cu rol de
container; de exemplu, obiectul de tip computer este implicit container pentru
imprimantele locale publicate.

Permisiunile acordate unui utilizator sau unui grup la nivelul unui container
se propag, se motenesc la obiectele coninute de acel container. Tab-ul
Security (securitate) din fereastra de proprieti ale unui obiect prezint setul
de permisiuni standard la acel obiect. Permisiunile standard sunt seturi sau
combinaii de permisiuni acordate unor grupuri i utilizatori.
Permisiunile standard sunt urmtoarele:
Full Control Control deplin, complet. Utilizatorul care are aceast
permisiune poate avea acces deplin la obiect. n cazul n care este vorba
despre un container, atunci utilizatorul care are aceast permisiune are
acces deplin la toate obiectele din container.
Read Citire. Cine are aceast permisiune poate citi, poate afia
coninutul i proprietile obiectului.
Write Scriere. Este permisiunea necesar n vederea modificrii
coninutului i a proprietilor obiectului.
Create All Child Objects Creare obiecte copil. Este o permisiune
asociat containerelor i permite crearea obiectelor copil n acel
container.
Delete All Child Objects tergere obiecte copil. Este o permisiune
asociat containerelor i permite tergerea din container a oricrui obiect
copil.
Permisiunile pot lua dou valori : Allow (permite) sau Deny (interzice).
Reguli:
Permisiunile sunt cumulative, n sensul ca se iau n consideraie toate
permisiunile acordate utilizatorului i tuturor grupurilor de utilizatori din
care acesta face parte, n mod explicit sau implicit.
Permisiunea de tip Deny (interzis) are prioritate fa de orice permisiune
de tip Allow (permite) acordat contului de utilizator sau grupurilor din
care face parte acesta. Permisiunile Deny sunt primele evaluate i nu pot
fi anulate prin alte permisiuni de tip Allow.
Permisiune acordat n mod explicit la un anumit nivel are preceden fa
de o permisiune motenit.
Dac o permisiune nu este acordat nici direct nici prin motenire, deci
dac nu se spune nimic despre valoare nici Allow nici Deny, atunci se
consider implicit Deny.
n figura de mai jos este prezentat tab-ul Security pentru un obiect i lista de
permisiuni detaliate care poate fi vizualizat realiznd clic pe butonul
Advanced (Avansat).

O detaliere suplimentar se poate obine mai departe prin clic pe butonul
Edit; aici se vor vedea explicit permisiunile acordate.

Permisiunile efective (Effective Permissions) sunt permisiuni calculate. n
lista permisiunilor efective, acolo unde nu exist bif, nu exist nici
permisiune.

Motenirea permisiunilor
Exist dou tipuri de permisiuni: explicite i motenite. Permisiunile explicite
sunt asignate direct la obiect, iar permisiunile motenite sunt propagate de la
obiectul printe. n mod implicit, orice obiect motenete permisiunile de la
containerul din care face
parte, adic de la containerul
printe.
Permisiunile motenite nu pot
fi modificate. Dac se dorete
ca un obiect s aib alte
permisiuni fa de cele
motenite, trebuie mai nti
dezactivat motenirea.
n figura alturat, utilizatorul
user1 are permisiunea Read
acordat explicit, n timp de
Deny pentru Write este o
valoare motenit.
Permisiunea motenit este
afiat printr-o bif de culoare
gri.




Mai departe, la Advanced Security, putem vedea explicit informaii despre
permisiuni: Read nu este motenit (not inherited) iar Deny Write este
motenit de la unitatea organizaional OU1. Unitatea organizaional
printe este precizat prin specificatorul LDAP: OU=OU1, DC=sinca, DC=ad.
Dezactivarea motenirii, adic renunarea la motenire, se poate face
anulnd opiunea Allow Inheritable Permissions from Parent to
Propagate to This Object and All Child Objects (Este permis propagarea
de la printe la acest obiect i la toate obiectele copil a permisiunilor care pot
fi motenite).
Vor aprea trei variante
de lucru:
Copy pentru
copierea, acordarea
explicit, n clar a
permisiunilor.
Permisiunile existente
la obiectul printe se
vor copia la nivelul
acestui obiect.
Remove elimin,
terge permisiunile
motenite.
Cancel nchide
fereastra.

Acordarea unei permisiuni la nivelul unui container este nsoit de opiunea
Apply Onto, prin care se va indica modul n care permisiunea va fi
propagat, sau nu, la nivelul obiectelor din container.

This object only Numai pentru acest obiect - , caz n care permisiunea
nu va fi transmis mai departe; permisiunea este acordata numai obiectului
curent.
This object and all child Objects - Acest obiect i toate obiectele copil - ,
este situaia n care permisiunea se aplic obiectului container curent i
tuturor obiectelor pe care le conine.
Child Objects Only - Numai pentru obiecte copil - , se refer la permisiuni
care se aplic numai obiectelor din container, nu i containerului nsui.
Un anumit tip de obiect, caz n care permisiunea se acord numai
obiectelor de tipul respectiv din acel container.

Transmiterea permisiunilor n jos n arborescen este controlat prin
opiunea Allow these permissions to objects and/or containers within
this container only (Aceste permisiuni sunt acordate numai obiectelor i /
sau containerelor din acest container). Dac opiunea este bifat atunci
permisiunile se transmit numai la obiectele aflate n acel container nu i la
obiectele aflate n subcontainerele pe care le conine containerul respectiv.


Mutarea obiectelor dintr-un container n altul poate afecta lista DACL
asociat obiectului. Cu alte cuvinte, mutarea poate modifica permisiunile la
obiectul respectiv. Urmtoarele tipuri de obiecte pot fi mutate n cadrul
structurii Active Directory:
Cont utilizator (User account)
Cont contact (Contact account)
Imprimant (Printer)
Grup (Group)
Folder partajat (Shared folder)
Computer
Controler de domeniu (Domain controller)
Unitate organizaional (Organizational unit)
Regulile aplicate obiectelor mutate sunt urmtoarele:
Permisiunile stabilite n mod explicit rmn neschimbate.
Obiectul motenete permisiunile de la unitatea organizaional n care
este mutat.
Obiectul nu mai motenete (pierde) permisiunile de la unitatea
organizaional din care a fost mutat.

Delegarea controlului administrativ
Structurarea ierarhic a domeniului se
construiete prin unitile organizaionale.
Ele sunt containere care conin obiecte.
Administratorul domeniului poate delega
ctre un alt utilizator competene
administrative asupra unei uniti
organizaionale i evident, asupra
obiectelor din unitatea organizaional.
Utilizatorul primete astfel capacitatea de a
gestiona, de a controla obiectele aflate n
acea unitate organizaional.
Delegarea controlului administrativ se
refer la atribuirea responsabilitilor legate
de gestionarea unor obiecte dintr-o unitate de organizare. Unele dintre
sarcinile administrative vor fi preluate astfel de un utilizator sau, eventual, de
un grup de utilizatori.
Vrjitorul Delegation of Control Wizard (Delegarea controlului) este
modalitatea rapid prin care vor fi acordate permisiunile necesare efecturii
sarcinilor uzuale de administrare la nivelul unitii organizaionale. Se vor
construi n acest fel listele de permisiuni la nivelul unitii de organizare (liste
DACL). Altfel spus, obiectului unitate de organizare i se asociaz perechi de
informaii de tipul cine poate avea acces i ce acces este permis.
Un efect similar cu cel obinut prin folosirea vrjitorului Delegation of
Control Wizard obinem i prin acordarea manual de permisiuni pentru
anumii utilizatori sau grupuri asupra obiectului unitate organizaional.
n exemplul nostru utilizatorul user1 va primi competene administrative la
nivelul unitii organizaionale OU1.









Sarcinile administrative care i-au fost delegate lui user1 sunt legate de
modificarea parolelor pentru utilizatorii ale cror conturi se gsesc n unitatea
organizaional OU1: user1 va putea folosi Active Directory Users and
Computers pentru a schimba parolele utilizatorilor ale cror conturi sunt n
unitatea de organizare OU1.
Efectul delegrii sarcinilor administrative este acordarea permisiunilor. Lui
user1 i s-au acordat permisiuni la unitatea organizaional OU1, ceea ce va
aprea n tab-ul Security .


Politica de grup
Politica de grup (Group policy) ofer administratorilor posibilitatea de a
controla mediul de lucru pentru fiecare utilizator i calculator din domeniu.
Aceste politici pot conine setri care s modifice aspectul desktop-ului
utilizatorului, s reconfigureze opiunile legate de securitate, s instaleze
automat anumite pachete software pe un calculator i nc multe altele.
Politicile de grup se pot aplica obiectelor computer i utilizator din ntreg
domeniul sau numai dintr-o anumit unitate organizaional.
Politicile de grup pot configura printre altele:
Configurri din Registry
Opiuni de securitate
Opiuni de instalare i de ntreinere software
Opiuni pentru fiierele cu comenzi folosite n anumite situaii, cum ar fi la
startarea sau oprirea funcionrii calculatoarelor, la deschiderea sau
nchiderea sesiunii utilizatorilor
Opiuni de redirectare a folderelor
Not: Politicile de grup nu au efect asupra computerelor care au sisteme de
operare mai vechi, cum ar fi Windows NT 4.0 sau Windows 98. Politicile de
grup se aplic pentru calculatoare membre ale domeniului i care ruleaz
sisteme de operare server sau staie de lucru ncepnd cu Microsoft
Windows 2000.
Politica de grup se poate defini att la nivelul calculatorului local ct i n
domeniul Active Directory.
Politica de grup conine urmtoarele dou ramuri majore:
Computer Configuration
Administratorii pot utiliza
Computer Configuration pentru
stabilirea politicilor care se aplic
pentru computer, indiferent cine
deschide sesiune (logon) folosind
calculatorul. Computer
Configuration conine
subelemente pentru setri
software, setri Windows i
abloane administrative.
User Configuration
Administratorii pot utiliza User
Configuration pentru configurarea
politicilor care se aplic utilizatorilor, indiferent de computerul pe care acetia
l folosesc. User Configuration conine subelemente pentru setri software,
setri Windows i abloane administrative.
Pe fiecare calculator exist Local Group Policy care conine setri locale
pentru acel computer. Pentru calculatoarele care nu fac parte din domeniu
acesta este singura politic aplicat. Pentru cele care fac parte din domeniu,
aceasta se combin cu eventualele politici din domeniu.
Group Policy Editor este utilitarul de editare pentru politicile de grup (Group
Policy).
Editorul pentru obiectele Group Policy poate fi invocat (apelat) n mai multe
moduri:
1.Group Policy pentru
calculatorul local
n consola mmc (Microsoft
Management Console) poate fi
adus utilitarul Group Policy
Object Editor.
File Add/Remove Snap-inAdd i din fereastra Available Stand-alone
Snap-ins se alege Group Policy Editor.

Dac dorii s editai politica computerului local, alegei opiunea implicit
Local Computer. Altfel, pentru a modifica o politic de domeniu, facei clic
pe Browse pentru a identifica obiectul politic de grup (Group Policy
Object) pe care l dorii. Furnizai numele de utilizator i parola dac vi se
solicit, apoi, cnd revenii la caseta de dialog Select Group Policy Object,
facei clic pe Finish.

Gpedit.msc este numele utilitarului pe care l putei folosi pentru editarea
politicii locale, Local Group Policy.
2. Obiectele Group Policy din Active Directory
Obiectele Group Policy din
Active Directory sunt
obiecte de un tip deosebit.
Ele se prezint sub forma a
dou componente separate,
dup cum urmeaz:
Containerul Group
Policy Object (GPO ) este
un obiect n Active
Directory. Atributele
acestui obiect includ numele
GPO, permisiuni, respectiv
cine poate modifica
coninutul obiectului GPO i
informaii de versiune.
Macheta GPO (template), este un set de fiiere care se gsesc n folderul
partajat Sysvol. Folderul partajat Sysvol exist pe fiecare controler de
domeniu, coninutul su fiind replicat ntre toate controlerele de domeniu din
domeniu, prin intermediul serviciului File Replication Service (FRS).
Un obiect GPO conine informaii de configurare pentru calculator i pentru
utilizator.

Un GPO poate fi asociat la nivel de site, domeniu i unitate organizaional.
Despre obiectele group policy se spune c sunt legate la nivelul site-ului,
domeniului i al unitilor organizaionale.

Aplicarea unui obiect GPO la nivelul domeniului se traduce prin aceea c: (1)
toate calculatoarele din domeniu vor fi afectate de configurrile asociate n
partea de computer configuration i (2) toi utilizatorii care deschid sesiune n
domeniu vor fi afectai de partea de configurare din user configuration. n
situaia n care un obiect GPO este legat la nivelul unei uniti
organizaionale vor fi afectate de configurrile specifice: (1) calculatoarele
din unitatea organizaional i (2) utilizatorii care au conturi n unitatea
organizaional.
Obiectele GPO sunt evaluate n ordinea urmtoare:
Local Policy Site GPO Domain GPO OU GPO Child OU GPO
etc.
Exist dou ci de evaluare. Prima este cea n care se afl obiectul de tip
computer. A doua este cea n care se afl obiectul de tip user care va
deschide sesiune pe acel computer. Ca parte a procedurii de autentificare,
vor fi localizate n Active Directory mai nti obiectul computer i apoi contul
utilizator al celui care deschide sesiunea. Cu alte cuvinte, la pornirea
calculatorului se aplica nti setrile din politica local (local policy) i apoi
componenta computer configuration din obiectele GPO legate, n ordine, de
domeniu i de unitile organizaionale care reprezint calea pn la contul
computer din Active Directory. La deschiderea de sesiune se vor aplica
componentele user configuration, n ordine, din politica local (local policy) i
din obiectele GPO legate la nivelul domeniului i al unitilor organizaionale
care fac parte din calea pn la contul de utilizator folosit la deschiderea de
sesiune.
Aplicarea n succesiune a politicilor GPO poate conduce la suprascrierea
(modificarea) configurrilor anterioare. In aceast situaie ultima valoare va fi
cea care se va aplica.
Valorile folosite pentru configurarea opiunilor din obiectele GPO sunt Enable
(permis), Disable (nepermis, dezactivat) i Not Defined (nedefinit, nici
permis, nici nepermis).

Valoarea final a unei opiuni este
calculat n modul urmtor: pentru
valori de tipul single value. de genul
enable sau disable se realizeaz
suprascrierea. Pentru valori de tipul
multiple value, cum sunt logon script
sau instalare de software, se iau in
considerare toate valorile care se
cumuleaz.



Crearea, gestionarea i controlul asupra aplicrii obiectelor GPO n domeniu
se face cu ajutorul utilitarului Active Directory Users and Computers.
Printre proprietile unei uniti organizaionale se afl i Group Policy.
Obiectele GPO legate la nivelul site-ului sunt create, gestionate, controlate
folosind utilitarul Active Directory Sites and Services.
Utilitarul specializat pentru managementul obiectelor Group Policy se
numete Group Policy Management Console (GPMC). Dei nu este inclus
n kit-ul de instalare Windows Server 2003, este utilitarul recomandat pentru
crearea, gestionarea i controlul aplicrii politicilor construite prin obiecte
GPO. Poate fi descrcat de pe site-ul Microsoft, eventual de la urmtoarea
adres:
http://www.microsoft.com/downloads/details.aspx?familyid=0A6D4C24-
8CBD-4B35-9272-DD3CBFC81887&displaylang=en
n urma instalrii, se creeaz o
intrare n Administrative Tools
numit Group Policy
Management.


Fereastra Group Policy Management Console (GPMC - consola pentru
managementul grup policy) prezint structura Active Directory i obiectele
group policy existente.
n mod implicit, n urma crerii unui domeniu, sunt construite dou politici
speciale: o politic aplicat domeniului i una aplicat containerului de tip
OU Domain Controllers, containerul n care se gsesc controlerele de
domeniu. Constatm deci, c exist o politic implicit aplicat tuturor
calculatoarelor i tuturor utilizatorilor din domeniu. n plus, numai asupra
controlerelor de domeniu este aplicat i o politic suplimentar.
Crearea (construirea) unui obiect GPO i legarea unuia existent sunt operaii
distincte. Aa cum se poate observa din ferestrele urmtoare:








Gpo1 este, n exemplul nostru,
numele noului obiect creat. Pentru a
fi aplicat el va trebui legat (link). Un
obiect GPO se poate afla n una
dintre urmtoarele stri: legat sau
nelegat. Acelai obiect GPO poate fi
legat la mai multe uniti
organizaionale.




n exemplul nostru, obiectul Gpo1 a
fost legat de unitatea organizaional
OU1.





Utilitarul GPMC permite ns,
concomitent, crearea i
legarea obiectului GPO, dac
se ncepe prin alegerea unitii
organizaionale unde va fi
legat, deci unde va fi aplicat
noul obiect creat






Imediat ce au fost create
obiecte GPO, ele se constituie
din machete de informaii n
care ns nu este nimic
configurat. Configurarea
coninutului obiectului,
respectiv configurrile pentru
componentele Computer
configuration i User
configuration vor fi efectuate
prin comanda Edit (editare,
modificare).


S examinm fereastra de mai sus. Numele ferestrei este Group Policy
Object Editor, ceea ce nseamn c n aceast fereastr se pot stabili
configurrile pentru componentele computer configuration i user
configuration. Obiectul GPO supus examinrii se numete Gpo1 i ceea ce
examinm acum este coninutul obiectului aa cum se gsete n exemplarul
de la controlerul de domeniu l304a5.sinca.ad, numele domeniului fiind
sinca.ad. Componenta User configuration este cea n care por fi stabilite
condiiile deosebite ale mediului de operare al utilizatorilor. Pentru moment
se face referire la ecranul desktop. Conform acestora, utilizatorul cruia i se
va aplica politica Gpo1 va avea dup deschiderea de sesiune o imagine
desktop pe care nu mai apare nicio pictogram.
Exist situaii n care la aceeai unitate organizaional sunt legate dou sau
mai multe obiecte GPO. Ordinea n care vor fi aplicate aceste obiecte este
foarte important.

Imaginea alturat indic
dou obiecte GPO legate la
unitatea organizaional OU1.
Ordinea aplicrii este de jos
n sus: nti se va aplica
Gpo2 i apoi Gpo1. Obiectul
Gpo1 este mai prioritar dect
cellalt i se aplic ultimul.

Utilitarul GPMC conine i o
component prin care pot fi vizualizate configurrile (setrile) existente ntr-
un obiect GPO. Tab-ul folosit este Settings dup ce a fost ales obiectul
pentru care se dorete vizualizarea coninutului.








Group Policy Modeling este componenta care permite simularea aplicrii
setrilor GPO pentru utilizatori i computere, nainte de implementarea
efectiv a politicii coninute de obiectul respectiv.
Group Policy ManagementGroup Policy Modelingclick
dreaptaGroup Policy Modeling WizardNext


Va fi ales n continuare
controlerul de domeniu pe care
se va executa procedura de
simulare. Trebuie s fie un
controler de domeniu unde este
instalat un sistem de operare
Windows Server 2003.

















Urmeaz alegerea contextului n care va avea loc simularea: pentru ce
utilizator din domeniu i pentru ce calculator. Se poate specifica n clar att
utilizatorul ct i calculatorul sau, pentru oricare dintre aceste obiecte se
poate specifica containerul unde se afl obiectele pentru care se simuleaz
efectele aplicrii configurrilor.

Urmeaz cteva referiri la site i n final vor fi specificate grupurile din care
fac parte conturile utilizator i computer pentru care se face simularea. Tab-
ul Settings ofer rezultatele simulrii.






Group Policy Results
este componenta folosit
pentru vizualizarea
rezultatelor. Formatul de
prezentare este similar ce
cel de la Group Policy
Modeling. De data aceasta
ns rezultatele sunt cele
reale nu simulate. Sunt
prezentate deci, efectele,
rezultatele aplicrii
obiectelor GPO construite
i legate anterior. Pe
calculatoarele pentru care
se vor afia rezultatele
trebuie s fie instalate
sisteme de operare Windows XP sau Windows Server 2003.
Cnd un utilizator pornete un calculator i deschide sesiune n domeniu, vor
fi procesate pe rnd, setrile GPO asociate computerului i apoi cele pentru
utilizator. Din timp n timp ns, aceste setri vor fi remprosptate,
reaplicate. Pentru calculatoarele membre ale domeniului remprosptarea
are loc la intervale prestabilite. Intervalul implicit este de 90 de minute cu
abateri (plus sau minus) de maxim 30 de minute. Controlerele de domeniu
au un regim diferit: remprosptarea are loc din 5 n 5 minute. Administratorii
de domeniu pot fora aplicarea (mprosptarea) politicilor prin comanda
gpupdate.
n mod implicit, toate
setrile din obiectele
GPO legate la un
container se aplic
tuturor utilizatorilor i
computerelor din
acel container.
Dac intenia
administratorului de
domeniu este ca
politicile s se aplice
numai anumitor
utilizatori sau
anumitor
calculatoare, atunci
vor intra n oper
procedurile de filtrare, prin care vor fi selectate numai acele calculatoare i,
respectiv, acei utilizatori crora trebuie s li se aplice politica. Filtrele sunt
construite folosind tab-ul Delegation pentru fiecare obiect GPO n parte.
Filtrele sunt de fapt permisiuni acordate calculatoarelor i utilizatorilor pentru
acel GPO. Pentru ca setrile dintr-un obiect GPO s se aplice unui cont
utilizator sau unui cont de calculator, conturile trebuie s aib permisiunile
Read (citire) i Apply Group Policy (aplic politica de grup) pentru acel
GPO. n mod implicit grupul Authenticated Users dispune de permisiunile
Read i Apply Group Policy pentru orice GPO din domeniu.
Butonul Advanced rafineaz informaiile despre permisiunile necesare
conturilor, n vederea aplicrii coninutului configurrilor din obiectul GPO.


Replicarea Active Directory
Serviciul Active Directory Service funcioneaz pe baza informaiile stocate
pe controlerele de domeniu. Pentru existena unui domeniu este nevoie de
un controler de domeniu. ntr-un domeniu pot funciona unul sau mai multe
controlere de domeniu. Fiecare controler de domeniu deine un exemplar al
bazei de date Active Directory. Modificrile efectuate ntr-un exemplar vor fi
sincronizate cu celelalte exemplare Active Directory, n aa fel nct toate
exemplarele de pe toate controlerele din domeniu s fie identice. Operaia de
sincronizare a exemplarelor Active Directory este o replicare multi-master.
Fiecare controler de domeniu deine un exemplar master al domeniului,
adic fiecare exemplar poate fi modificat, prin crearea i tergerea de
obiecte, prin modificarea valorilor asociate proprietilor (atributelor) unui
obiect. Din timp n timp modificrile survenite ntr-un exemplar vor fi
transmise celorlalte controlere de domeniu.
Baza de date Active Directory este mprit, separat din punct de vedere
logic n partiii. Fiecare partiie este o unitate de replicare i poate avea
propria topologie de replicare.
Partiiile Active Directory sunt:
schema partition (partiia schem) - conine definiiile tuturor obiectelor i
atributele acestora precum i regulile pentru crearea i manevrarea
obiectelor. ntr-un forest exist o singur schem i ea este stocat pe
toate controlerele de domeniu din forest. n acest fel, toate obiectele din
forest vor respecta aceleai reguli de creare, modificare i manevrare.
configuration partition (configurare) - conine informaii despre structura
fizic la nivel de forest. Sunt indicate domeniile din forest, unde se afl i
cum pot fi localizate controlerele de domeniu din forest, serviciile pe care
le pot oferi controlerele de domeniu. Fiecare controler de domeniu deine
un exemplar al partiiei configurare.
domain partition (partiia domeniului) - conine toate obiectele acelui
domeniu: utilizatori, grupuri, computere, uniti organizaionale i nc
multe altele. Fiecare domeniu are propria partiie de tip domeniu. Fiecare
controler deine un exemplar al propriei partiii domeniu.
application partition (partiia aplicaie) sunt stocate aici informaii despre
aplicaii. Unele aplicaii pot stoca informaii n Active Directory. Un
exemplu este serviciul DNS care i poate pstra informaii n Active
Directory.
Partiiile schem i configurarea sunt replicate pe toate controlerele de
domeniu din forest. Partiiile de domeniu sunt replicare numai ntre
controlerele din acelai domeniu.
Legtura dintre structura logic Active Directory i structura fizic a reelei se
obine prin folosirea conceptului i a obiectului site. Obiectul site din Active
Directory descrie aezarea fizic, geografic a reelelor care gzduiesc
resursele descrise prin obiecte din Active Directory. Site-urile conin obiecte
numite subreele (subnets). Obiectele site sunt folosite n legtur cu
obiectele Group Policy, uureaz descoperirea resurselor, controleaz
replicarea Active Directory i gestioneaz traficul n reea. Site-urile pot fi
legate unele de altele prin aa-numitele legturi ntre site-uri (site link). Din
punct de vedere fizic un site const n general din una sau, eventual, mai
multe subreele interconectate la vitez mare n care funcioneaz servere
controlere de domeniu.
Replicarea Active Directory poate
avea loc, de la caz la caz, ntre
controlere de domeniu care
aparin aceluiai site situaie n
care vorbim despre replicarea n
interiorul site-ului (intrasite) sau
ntre controlere care aparin de
site-uri diferite situaie n care
are loc replicare ntre site-uri
(intersite).
Replicarea n interiorul aceluiai site pornete de la presupunerea c
legturile dintre controlere sunt sigure, de vitez mare i permanent
disponibile. Traficul de replicare nu este comprimat i se realizeaz prin
change notification, partenerii de replicare fiind anunai imediat sau
aproape imediat de producerea replicrii.
Replicarea ntre site-uri presupune c legturile dintre site-uri nu sunt
sigure, sunt de vitez mic i nu sunt disponibile permanent. Traficul de
replicare este comprimat, nu este transmis pe msura apariiei modificrilor
ci n conformitate cu un orar stabilit de ctre administratori.
Topologia de replicare (replication topology) este calea prin care se
desfoar traficul de replicare n reea. Topologia de replicare se refer la
controlerele care comunic direct ntre ele, dou cte dou. Fiecare partiie
Active Directory are propria topologie de replicare.
Instalarea unui controler de domeniu suplimentar
ntruct funcionarea Active Directory se bazeaz n mod esenial pe serviciul
DNS, pentru instalarea unui controler de domeniu adiional, serverul care va
deine acest rol trebuie s fie client al serverului DNS care deine domeniul
DNS asociat domeniului Active Directory sau care poate rezolva numele n
specificator DNS al domeniului Active Directory.

Comanda folosit
pentru instalarea
controlerului adiional
de domeniu este
dcpromo.
Vor fi specificate n
continuare numele i
parola pentru contul de
utilizator care poate
instala serviciul Active
Directory Service.

Pentru c este vorba despre instalarea unui controler de domeniu ntr-un
domeniu existent, se alege opiunea Additional domain controller for an
existing domain (controler de domeniu suplimentar pentru un domeniu
existent). Opiunile i ferestrele sunt similare cu cele de la instalarea primului
controler de domeniu.


Utilitarul Active Directory Sites and Services (Site-uri i servicii Active
Directory), aflat n Administrative Tools, poate fi folosit pentru identificarea
controlerelor de domeniu, a site-urilor i pentru verificarea efecturii replicrii
ntre controlerele de domeniu.

n fereastra de mai sus remarcm:
Site-ul implicit Default-First-Site-Name.
Containerul Servers unde sunt plasate servere NTDS (controlerele de
domeniu).
Obiectele de tip conexiune (connection) fac legtura ntre controlerele
ntre care exist activitate de replicare. Cele dou controlere de domeniu
dein fiecare cte un exemplar master al domeniului. Oricare dintre aceste
exemplare poate fi modificat. Modificrile efectuate pe un exemplar vor fi
transmise ctre partenerul de replicare prin aceast conexiune. n
interiorul aceluiai site obiectele de tip conexiune sunt generate automat,
n conformitate cu topologia de replicare construit automat de
componentele sistemului de operare. Replicarea intrasite va fi la rndul ei
automat.
Conexiunile pot fi ns construite i manual.










Replicarea automat
poate fi nlocuit cu
replicarea la cerere,
folosind comanda
Replicate Now
(Replicare acum).


Serverul Catalog Global
Serverul Catalog Global este un controler de domeniu care, pe lng
partiiile obinuite, mai deine i exemplare de tip read-only (numai citire) ale
tuturor partiiilor de tipul domain din forest. Exemplarul propriului domeniu
este integral, n schimb pentru celelalte domenii exemplarele sunt read-only
i sunt pariale. Exemplarele pariale conin toate obiectele din domeniu, ns
nu cu toate atributele.
Serverele catalog global sunt folosite pentru cutarea i gsirea obiectelor n
ierarhia de domenii din forest. Cutrile efectuate n ntregul Active Directory
(Entire Directory) au loc n catalogul global. Primul controler de domeniu din
forest devine implicit i server catalog global. Rolul de server catalog global
poate fi modificat prin Active Directory Sites and Services.










Salvarea i restaurarea Active Directory
Active Directory conine urmtoarele fiiere, a cror locaie este stabilit la
instalare (implicit folderul %systemroot%\NTDS).
Ntds.dit - baza de date care
stocheaz toate obiectele Active
Directory.. Extensia .dit
nseamn directory information
tree.
Edb.log - fiierul jurnal de
tranzacii (transaction log) folosit
de aceast baz de date.
Dimensiunea maxim a acestui
fiier este de 10M.
Edb*.log cnd fiierul Edb.log atinge dimensiunea maxim, el va fi
redenumit Edbnnnnn.log, unde nnnnn este un numr care va fi succesiv
incrementat.
Edb.chk fiierul de tip checkpoint, folosit pentru a identifica pn unde
au fost efectuate tranzaciile n baza de date.
Res1.log , Res2.log fiiere rezervate pentru transaction log; fiecare
are cte 10M; spaiul ocupat de ele va fi alocat fiierului transaction log n
cazul n care nu mai exist spaiu pe disc.
Salvarea bazei de date Active Directory se realizeaz prin lansarea la
controlerul de domeniu a utilitarului Backup procedura System State (starea
sistemului).
Componentele System State pentru controlerele de domeniu sunt
urmtoarele:
Active Directory
folder-ul partajat SYSVOL
Registry
System startup files
COM + Class Registration database
Baza de date pentru Certificate Services numai n cazul n care este
instalat serviciul Certificate Services pe controlerul de domeniu
StartAll ProgramsAccessoriesSystem ToolsBackup, modul
Advanced Mode tab-ul Backup

Alegem pentru salvare System State i locaia unde va fi salvat fiierul.


Pentru restaurarea bazei de date Active Directory n urma unei salvri
(backup) controlerul de domeniu trebuie pornit n modul Active Directory
Restore Mode (mod restaurare Active Directory). Acest mod de lucru se
obine prin apsarea tastei F8 la startarea serverului i alegnd din meniu
intrarea cu acelai nume.

n acest caz serviciul Active Directory Service nu este pornit. Restaurarea se
poate face folosind parola special stabilit pentru modul restaurare, la
momentul instalrii Active Directory. Restaurarea se face folosind acelai
utilitar Backup, componenta Restore (restaurare).

n final suntem ntrebai dac dorim s restartm sau nu computerul. n cazul
n care alegem Yes se va realiza un restore normal, adic se va restaura
totul exact ca n momentul salvrii. Eventualele modificri n Active Directory
efectuate dup momentul salvrii i existente pe un alt controler de domeniu
vor fi actualizate prin replicare. Rspunsul NO (nu) la restartarea sistemului
poate continua cu cererea pentru un restore authoritativ. Este vorba de
restaurarea unei poriuni din Active Directory care nu va mai fi modificat
prin propagarea replicrii. Pentru o restaurare de acest fel se continu prin
lansarea utilitarului Ntdsutil.
Procedura de lucru este urmtoarea: folosind interfaa Command Prompt
(linie de comand) se lanseaz utilitarul ntdsutil i dup prompterul ntdsulit
se introduce de la tastatur authoritative restore.

Dintre opiunile prezentate putem alege restore database pentru
restaurarea ntregii baze de date sau restore object pentru restaurarea unei
singure ramuri.
Restore object nume_obiect_ldap






Propunere de tem practic
Notai modul n care rezolvai temele propuse.
1. Construii un domeniu Active Directory nou care se va numi curs.ro.
Serverul DNS care va deine domeniul DNS cu acelai nume va fi instalat pe
acelai server, n timpul instalrii Active Directory.
2. Verificai realizarea corect a instalrii folosind Windows Server 2003
Event Viewer i verificai existena domeniului DNS cu acelai nume.
Identificai nregistrrile SRV.
3. Lansai n execuie cele trei utilitare din Administrative Tools specifice
pentru lucrul cu Active Directory, i anume: Active Directory Users and
Computers, Active Directory Sites and Services i Active Directory
Domains and Trusts
______________________________________

1. Includei un calculator n domeniul creat.
2. Deschidei sesiune de la calculatorul membru din domeniu, ca
administrator al domeniului.
3. Instalai Administrative Tools folosind comanda adminpak.msi.
4. Verificai existena utilitarelor administrative nou instalate n
Administrative Tools i lansai n execuie cele trei utilitare specifice pentru
lucrul cu Active Directory, i anume : Active Directory Users and
Computers, Active Directory Sites and Services i Active Directory
Domains and Trusts. Identificai obiectele existente.
_______________________________________
1. Construii (creai) n domeniu o unitate organizaional i identificai
proprietile noului obiect. Ce fel de obiecte noi pot fi create n unitatea
organizaional pe care tocmai ai creat-o?
_______________________________________
1. n calitate de administrator al domeniului creai n unitatea organizaional
un cont utilizator cu parola Pa$$w0rd. Utilizatorul (user) va avea dezactivat
opiunea User must change password at next logon (utilizatorul trebuie s
schimbe parola la urmtoarea deschidere de sesiune).
2. Modificai (reset) parola utilizatorului creat anterior, noua parola fiind
Pa$$w0rd1. ncercai s deschidei sesiune de la controlerul de domeniu
folosind numele i parola cea nou a utilizatorului.
Not: pentru deschiderea de sesiune de la controlerul de domeniu sunt
necesare drepturi deosebite.
3. Deschidei sesiunea folosind acelai cont de utilizator dar de aceast dat
de la calculatorul membru al domeniului. Creai un nou cont utilizator n
unitatea de organizare pe care ai creat-o. Dac nu reuii explicai de ce!
4. Deschidei sesiune ca administrator al domeniului de la calculatorul
membru al domeniului. ncercai din nou s construii un nou cont utilizator n
unitatea dumneavoastr de organizare. Dac putei s ducei pn la capt
operaia, explicai de ce ai reuit de aceast dat.
5. Cutai i gsii conturile utilizatorilor din domeniu al cror nume ncepe
cu a. Identificai un criteriu prin care s putei cuta conturile de utilizator pe
care le-ai creat. Cutai i gsii conturile de utilizator pe care le-ai creat
anterior i identificai proprietile conturilor.
__________________________________________
1. Creai n containerul propriu (unitatea organizaional) un grup security de
tip local domeniului i unul de tip global. Pentru identificarea uoar a tipului,
numele fiecrui grup va ncepe cu dl_ n cazul grupului local domeniului i cu
gl_ n cazul grupului global.
2. Ridicai nivelul funcional al domeniului la Windows Server 2003.
3. Creai un grup universal i avei grij s respectai regula stabilit pentru
numele grupurilor.
4. Includei utilizatorii creai de dumneavoastr n grupurile global i local
domeniului. Fiecare utilizator va fi inclus n alt grup.
5. Creai un folder nou n rdcina discului C: pe controlerul de domeniu.
Oferii permisiunea full control grupului local domeniului i verificai
permisiunile efective ale celor doi utilizatori creai anterior pentru accesul la
acest folder.
____________________________________________
1. Partajai folderul pe care l-ai creat i publicai-l n Active Directory n
containerul propriu. Pstrai permisiunile de partajare implicite. Verificai
dac utilizatorul membru al grupului local domeniului poate avea acces de la
distan la acest folder. Pentru verificare va trebui s deschidei sesiune cu
acel utilizator folosind computerul membru al domeniului. Construii o
proiecie map prin care asociai o unitate logic (drive - eventual Z:) la
obiectul partajat. Identificai i comentai alte modaliti prin care utilizatorul
se poate conecta de la distan la acest folder.
____________________________________________
1. Instalai i partajai o imprimant. Publicai-o n Active Directory. Cutai n
Active Directory imprimanta publicat. Configurai tot ceea ce credei c ar
mai trebui pentru ca unul dintre utilizatorii pe care i-ai creat s se poat
conecta la aceast imprimant. Verificai c acel utilizator se poate conecta
la imprimant.
_____________________________________________
1. Deschidei sesiune ca administrator al domeniului i includei grupul
global domeniului, creat anterior, n grupul local domeniului.
2. Creai in containerul dumneavoastr o subunitate organizaional.
3. Analizai permisiunile la cele dou uniti organizaionale pe care le
deinei. Identificai permisiunile implicite. Identificai permisiunile la aceste
obiecte ale celor doi utilizatori creai anterior.
4. Oferii permisiunea full control la subunitatea de organizare pentru
membrii grupului local domeniului. Identificai permisiunile motenite i pe
cele explicite. Amendai permisiunea full control stabilit anterior cu
permisiunea deny write. Identificai din nou permisiunile efective pentru cei
doi utilizatori.
____________________________________________
1. Deschidei sesiune ca administrator al domeniului folosind chiar
controlerul de domeniu. Instalai utilitarul GPMC (Group Policy Management
Console) dac nu ai fcut-o cumva nainte. Identificai configurrile implicite
ale politicilor de grup existente, respectiv Default Domain Policy i Default
Domain Controllers Policy. Identificai configurrile legate de conturile i
parolele utilizatorilor din domeniu i pe cele legate de drepturile utilizatorilor
(user rights) asupra controlerelor de domeniu.
2. Deschidei sesiune ca administrator al domeniului folosind calculatorul
membru din domeniu. Modificai condiiile de lucru locale acestui computer,
astfel nct niciun utilizator care va folosi acest computer s nu mai poat
avea acces la tab-ul Desktop din proprietile Display (Display este aplicaia
din Control Panel). S se verifice efectul aplicrii acestor noi condiii de lucru.









3. Lansai n execuie utilitarul GPMC i creai un nou obiect GPO (nelegat).
Stabilii configurrile necesare pentru ca utilizatorii crora li se va aplica
politica, s nu mai gseasc pe meniul Start, nici Run i nici Control Panel.
Legai obiectul GPO de una dintre unitile organizaionale pe care le-ai
creat. Verificai ca n acea unitate organizaional s existe conturi pentru
utilizatori. Forai aplicarea politicii prin gpupdate. Verificai aplicarea politicii
pentru utilizatori (deschidei sesiune ca un utilizator din unitatea
organizaional i verificai aplicarea politicii).
____________________________________________
1. Pe computerul membru al domeniului instalai al doilea controler de
domeniu pentru domeniul curs.ro. Verificai informaiile legate de cele dou
controlere de domeniu folosind Active Directory Sites and Services (Site-uri
i servicii n Active Directory), inclusiv activitatea de replicare a Active
Directory. Pornii o replicare la cerere (Replicate now).
2. Folosind utilitarul Active Directory Users and Computers i exemplarul
Active Directory de pe un controler de domeniu, creai o unitate
organizaional nou n domeniu. Verificai crearea ei i pe exemplarul de pe
cellalt controler.
3. Salvai baza de date a domeniului (backup System state).
4. tergei unitatea organizaional pe care tocmai ai creat-o. Ateptai ca
operaia s fie propagat pe ambele controlere.
5. Restaurai imaginea Active Directory salvat i ncercai o restaurare de
tip autoritativ pe unul dintre controlerele de domeniu. Succes!

















Ce ai nvat n acest modul?

Ce este Active Directory
Cum se instaleaz Active Directory
Cum se creeaz obiecte n Active Directory
Acordarea de permisiuni pentru obiectele din Active Directory
Utilizarea Group Policy Objects (GPO) n vederea controlrii mediului de
lucru
Realizarea replicrii Active Directory
Realizarea salvrii/restaurrii bazei de date Active Directory