Sunteți pe pagina 1din 21

Curs 9 Retele de calculatoare

Configurarea Active Directory. Creearea utilizatorilor. Definirea


politicilor de securitate
Una dintre etapele eseniale n definirea unui domeniu W2k este reprezentat de creearea
conturilor de utilizator, organizarea acestora pe grupuri organizaionale i creearea unei
politici de securitate pentru acetia.
Lansarea Active Directory n scopul configurrii: Start -> Programs ->
Administrative Tools -> Active Directory Users and Computers.
V recomandm, n schimb, s v creeai o consol administrativ n care s
ncludei mai multe componente de administrare pentru serverul d-voastr :
1. Start -> Run -> MMC ;
2. Meniul Console -> Add/Remove Snap-In -> Add -> Active Directory Users and
Computers -> Add -> Computer Management -> Add -> Finish -> DNS -> Add
-> Event Viewer -> Add -> Finish -> Close.

Pentru configurarea extensiilor pentru fiecare categorie n parte din fereastra


AddRemove Snap-in (figura 13.6.1), alegei tab-ul Extensions, dezactivai Add all
extensions i pstrai numai opiunea Group Policy, dup care alegei din list urmtoarea
component : Computer Management, dezactivai Add all extension i alegei opiunile
care v ntereseaz pentru fiecare categorie n parte.

Dup ce confirmai, putei salva consola administrativ pentru utilizri ulterioare


din meniul Console, opiunea Save. V recomandm s o salvai pe desktop-ul sistemului
d-voastr pentru a putea fi accesibil ct mai uor.
Not : Aceast opiune de creeare a consolei administrative nu este obligatorie.
Scurt prezentare a componentei Active Directory Users and Computers (A.D.U.C.)
A.D.U.C. pentru domeniul curent conine, n mod implicit, 5 categorii :
Builtin care va conine un set de utilizatori predefinii cu diferite roluri n cadrul
domeniului d-voastr
Computers conine toate staiile incluse n domeniul curent.
Domain Controllers include toate serverele din domeniul curent care au instalat
i configurat serviciul A.D.
ForeignSecurityPrincipals conine identificatorii de securitate (security
identifiers - SIDs) asociai obiectelor A.D. din alte domenii dect cel curent.
Users conine informaii despre toi utilizatorii i grupurile de utilizatori
implicite.
A.D.U.C. poate gestiona informaii despre calculatoare, grupuri de utilizatori, grupuri
organizaionale, imprimante, utilizatori i directoare puse la dispoziie n reea (shared
folders).
nainte de creearea unui utilizator v recomandm s creeai nti un nou grup
organizaional care poate include i staii de lucru, i asupra cruia se poate creea o
politic de securitate centralizat : Action -> New -> Organizational Unit -> introducei o denumire sugestiv, (de exemplu, Vizitatori) -> OK.
La proprietile unui grup organizaional putem specifica urmtoarele informaii :
informaii generale (General). Conine informaii prinvind descrierea grupului i
adresa la care poate fi localizat acesta :
informaii despre persoana, utilizatorul care gestioneaz grupul respectiv
(Managed By). Persoana care se ocup de gestiunea utilizatorului respectiv poate
fi schimab apsnd butonul Change, datele de identificare despre acesta fiind
preluate automat din A.D.
politicile de securitate aplicate grupului respectiv (Group Policy) unde avem
posibilitatea de creeare a unei noi politici de securitate sau importul unei politici
deja existente. Nu activai opiunea Block Policy Inheritance pentru c aceasta nu
se va mai propaga automat asupra altor subsisteme organizaionale din gurpul
respectiv.
Creearea unei noi politici de securitate i cteva aspecte i motivaii ale unei politici de
securitate

Din A.D.U.C., RClick (pe grupul organizaional) -> Proprieties -> Group Policies ->
New -> (se tasteaz numele politicii, de exemplu, vizPol politic pentru vizitatori) ->
Edit.
Fereastra Group Policy este mprit n dou mari categorii :
Computer Configuration (politica staiilor de lucru i a serverelor din
domeniu) ;
User Configuration (politica de securitate pentru utilizatorii din grupul
organizaional respectiv)
Dac grupul organizaional conine numai utilizatori sau calculatoare, cealalt
opiune poate fi blocat din fereastra de proprieti a poiticii de securitate (RClick [pe
numele politicii] -> Proprieties) (figura 13.6.2).

n momentul n care activai una dintre cele 2 opiuni, va aprea pe ecranul dvoastr o fereastr de atenionare cu privire la consecinele care pot fi generate n urma
acestei operaiuni, respectiv faptul c staiilor de lucru din acest grup organizaional le va
fi aplicat politica de securitate local. Apsai cu nredere butonul Yes, pentru c se
poate reveni n orice moment la starea iniial.
V recomandm s creeai o politic de securitate cu preponderen orientat spre
utilizator, pentru c pe aceeai staie se pot conecta diferite categorii de utilizatori care

pot avea diferite niveluri de acces la aceasta, anumite operaiuni fiindu-le private de o
eventual politic de securitate eronat specificat.
O prim subcategorie ntlnit la ambele categorii este Software Settings ce
conine opiunea Software installation, care presupune instalarea automat a unor aplicaii
mpachetate n prealabil n mod administrativ. Pachetele utilizate n acest scop sunt
recunoscute sub extensia MSI. Cteva instrumente folosite pentru creearea pachetelor de
instalare MSI sunt : Veritas Software Console, Install Shield Professional, Wise Package
Studio. Aceste pachete se salveaz intr-un director pus la dispoziie n reea. Intrumentele
respective se bazeaz pe creearea unei imagini (snapshot) a regitrilor sistemului de
operare, instalarea i configurarea aplicaiilor, repornirea sistemului, mpachetarea
aplicaiei prin preluarea fiierelor de pe disc, precum i a cheilor introduse n regitrii.
Din testele pe care le-am efectuat cu Veritas Software Console, acest sistem se aplic cu
succes doar aplicaiilor de mici dimensiuni, gen arhivare.
n categoria Windows Settings exist opiunea Scripts care pentru Computer
Configuration include subopiunile Startup i Shutdown, iar la User Configuration
include Log on i Log off. Aici se pot specifica diferite script-uri care s se declaneze n
momentul n care staia sau utilizatorul se autentific n reea. Asupra ctorva modele de
scrip-uri vom reveni ulterior.
O opiune din politica de securitate poate avea 3 setri ;
Nedefinit/neconfigurat (not defined/not configured) ;
Definit/Activ (specificarea unei valori/Enabled) ;
Indisponibil (Disabled).
Schimbarea valorilor se poate realiza prin acionarea dublu Click pe opiune sau
din meniul Action, opiunea Security.
n continuare, com ncerca s explicm cteva dintre opiunile politicii uzuale de
securitate, valorile aferente i, nainte de toate, calea de a ajunge la opiunea respectiv.
Computer Configuration\ Windows Settings\ Account Policies\ Password
Policies:
Maximum password age (durata maxim de valabilitate a unei parole) foreaz
utilizatorul ca dup un anumit numr de zile (implicit 70) sa-i schimbe parola.
Este n strns legtur cu Minimum password age (durata minim de valabilitate
a unei parole) (implicit 30 de zile).
Passwords must meet complexity requirements (parola trebuie s aib un format
complex) care nseamn c acesta nu trebuie s conin o parte sau tot numele
de utilizator ; s nu fie mai mic de 6 caractere ; s conin caractere mari, mici,
numere i caractere non-alfanumerice (de exemplu, !, $->, %). De asemenea, se
recomand folosirea caracterelor speciale sau a caracterului spaiu n creearea
parolelor. Activarea acestei opiuni foreaz utilizatorul s nu mai foloseasc data
naterii, numrul de la main sau nume familiare n creearea parolelor.
Computer Configuration\ Windows Settings\ Security Settings\ Account Policies\
Account Lockout Policy :
Account lockout threshold (blocarea contului de utilizator) se configureaz
pentru a preveni ncercrile repetate de conectare la reea n condiiile de

necunoatere a parolei. Valorile pe care le poate lua sunt de la 1 la 999. Implicit


aceast opiune nu este configurat, iar valoarea 0 elimin posibilitatea de blocare
a contului. Recomandm valoarea 3 pentru aceast opiune.
Account lockout duration (timpul de blocare a unui cont) specific durata de
blocare a unui cont care a fost blocat automat prin opiunea anterioar. Intervalul
de valori este cuprins ntre 1 i 99999 minute, valoarea implicit fiind de 30 de
minute, configurabil automat n momentul n care se configureaz opiunea
anterioar.

Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\


Audit Policy :
Audit account log-on events (nregistrarea evenimentelor de conectare n reea)
permite scrierea unei nregistrri n Event Viewer pentru fiecare operaiune de log
in sau log off pe care o efectueaz un utilizator autentificat de o staie din
domeniu. n strns legtur cu aceasta este opiunea Audit logon events.
Audit account management (nregistrarea evenimentelor de modificare a
conturilor de utilizator) opiune foarte util n gestiunea unei reele, fiind foarte
important de tiut cnd i de ctre cine au fost efectuate modificri asupra
conturilor de utilizatori.
Audit policy change (nregistrarea schimbrilor n politicile de securitate)
adaug n Event Viewer nregistrri despre modificrile drepturilor de acces la
anumite resurese pe staia respectiv.
Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\
User Rights Assignement :
Add workstation to domain (adugarea de staii n domeniu) se configureaz
pentru a permite utilizatorilor sau unui grup de utilizatori s adauge staii de lucru
n domeniu. Implicit, grupul de utilizatori care poate aduga staii n domeniu este
Authenticated Users, dar n aceast categorie pot intra toi utilizatorii creeai n
Active Directory, ceea ce diminueaz controlul asupra staiilor din domeniul
respectiv. V recomandm s configurai aceast politic de securitate cu
specificarea strict a grupului Administrators : Dublu Click (pe opiune) ->
Define these policy settings in the template -> Add -> Browse -> Dublu Click
(pe Administrators) -> OK -> OK -> OK.
Change the system time (schimbarea timpului din sistem). n mod implicit, fiecare
utilizator poate s schimbe data i ora sistemului, dar nu recomandm acest lucru
pentru c poate duce la nregistrarea greit din punctul de vedere al timpului a
unor evenimente de reea. Schimbai asemnntor exemplului anterior aceast
opiune, definind dreptul de acces grupurilor administrative la nivel de domeniu.
Pont : Sincronizarea timpului de pe staii n mod automat n reea se poate realiza prin
comanda net time care poate fi specificat ntr-un script de startup pe staiile din
domeniu.
De exemplu : net time /rtsdomain:nume_domeniu /set.

Computer Configuration\ Windows Settings\ Security Settings\ Local


Policies\ Security Options :
Additional restrictions for anonymous access (Acces limitat conexiunilor
anonime). Orice utilizator din domeniu curent sau din alte domenii poate vedea, n
mod implicit, resursele puse la dispoziie n reea. Pentru a oferi o mai bun
protecie domeniului recomandm opiunea Do not allow enumeration of SAM
accounts and shares, care nlocuiete grupul de utilizatori Evreyone cu
Authenticated Users n definirea politicilor locale de acces la diferite resurse. n
acest fel, numai utilizatorii din Active Directory pot avea acces la resursele
domeniului : share-uri, imprimante etc.
Automaticallz log off users when logon time expires (Deconectarea automat de la
reea n momentul expirrii timpului de lucru). Pentru anumite categorii de
utilizatori sau n mod individual poate fi configurat un interval orar de acces n
reea. n momentul n care utilizatorul depete timpul alocat, acesta este
deconectat automat de la resursele reelelor. De asemenea, i versiunea urmtoare
(local) trebuie activat pentru ca sistemul s deconecteze automat utilizatorul.
Do not display last user name in logon screen (Neafiarea numelui ultimului
utilizator conectat pe staia curent). n cazul reelelor cu mai muli utilizatori,
activarea acestei opiuni aduce un spor de siguran la conectarea n reea, muli
utilizatori nefiind destul de ateni la ultimul User Name scris n fereastra de Log
On. n cazul n care ntr-o reea acelai utilizator lucreaz cu preponderen pe
aceeai staie, activarea acestei opiuni nu este recomandat.
Message text for users attempting to log on (Mesajul pentru utilizatorii care
doresc s se conecteze n reea). Aici se poate trece un mesaj de informare a
utilizatorilor care se conecteaz n reea. Opiunea Message title for users
attempting to log on specific titlul ferestrei de mesaj (de exemplu, Bun venit n
cadrul reelei MXDOM).
Number of previous logons to cache (in case domain controler is not available)
(Numrul conectrilor anterioare salvate local n cazul n care serverul de
domeniu nu este disponibil) permite conectarea pe staii folosind utilizatorii de
domeniu chiar i n cazul n care serverul de autentificare este temporar
indisponibil. Aceast opiune este recomandabil numai n cazul n care domeniul
conine puini utilizatori, i acetia se conecteaz cu precdere pe aceeai staie. n
cazul domeniilor cu muli utilizatori, creearea profilurilor de utilizatori locali duce
la o diminuare a spaiului disponibil pe disc. Valoarea 0 este corespondent
cazului al doilea.
Prompt user to change password before expiration (Atenionarea utilizatorului
pentru a-i schimba parola cu un anumit timp nainte de expirare). Se exprim n
zile, valoarea implicit fiind 14. V recomandm ns o valoare mai mic, 5 sau 7,
pentru a nu deranja utilizatorul la fiecare conectare, Schimbarea parolei acestuia
duce la anularea apariiei mesajului de avertizare pn la urmtorul termen.
Restrict CD-ROM access to locally logged-on user only (Blocarea accesului la
CD-ROM utilizatorilor autentificai de staie i nu de serverul de domeniu). Se
utilizeaz pentru prevenirea instalrii unor aplicaii, copierii de fiiere etc. de ali
utilizatori dect cei autentificai n domeniu. De asemenea, se poate interzice

accesul ctre unitatea de dischet prin urmtoarea opiune : Restrict floppy access
to locally logged-on user only.
Computer Configuration\ Windows Settings\ Security Settings\ Event Log\
Settings for Event Logs :
n aceast seciune, activarea opiunilor Retain application, system, security log i
configurarea lor la un anumit numr de zile (implicit 7) aduce cu sine o configurare
automat a opiunilor Retention method for ... care pot fi configurate implicit pe zile.
Computer Configuration\ Windows Settings\ Security Settings\ Restricted
Groups:
Este destinat limitrii drepturilor anumitor grupuri de utilizatori, prin adugarea
acestora n aceast categorie: RClick pe opiune -> Add Group -> Browse -> se alege
grupul din list -> OK -> OK.
Computer Configuration\ Windows Settings\ Security Settings\ System Services :
Este destinat configurrii serviviilor care vor rula pe staiile de lucru din domeniu. Se
pot defini modul de pornire a serviciului, precum i grupurile de utilizatori care au
dreptul de pornire a respectivului serviciu. De exemplu, dorim ca serviciul Telnet s
porneasc manual i numai administratorul de domeniu s aib drepturi de execuie
asupra acestuia : Dublu Click pe serviciu -> activai Define this policy settings in the
template -> n fereastra Security for Telnet apsai Add -> se alege din list grupul
Administrators -> OK -> se apas opiunea Allow, Full Control de la Permissions ->
Click pe Evreyone -> Remove -> OK -> Manual -> OK. Atenie la modul de pornire a
anumitor servicii. Testai n prealabil pe o staie obinuit care dintre servicii v pot
asigura o funcionalitate optim i care pot fi oprite. Este bine cunoscut c un numr mai
mic de servicii aduce cu sine i o memorie RAM suplimentar.
Computer Configuration\ Windows Settings\ Security Settings\ Registry este
opiunea prin intermediul creia administratorii pot defini permisul de acces utilizatorilor
pe anumite seciuni din regitrii sistemului de operare de pe staiile de lucru.
Computer Configuration\ Windows Settings\ Security Settings\ File System
permite administratorilor adugarea i definirea politicii de securitate la nivelul
directoarelor i fiierelor de pe staiile de lucru.
Computer Configuration\ Administrative Template conineo serie de abloane de
opiuni predefinite configurabile. abloanele implicite cunt conf, inetres, system.
Adugarea unui noi ablon aduce cu sine posibilitatea configurrii de noi opiuni de
securitate : RClick (pe Administrative Templates) -> Add/Remove Templates -> Add ->
se alege un cadru din list (de exemplu, inetset) -> Open -> Close.
Opiunile din Administrative Templates sunt foarte multe, o s amintim aici doar
cteva, preciznd c o documentare complet a acestora putei gsi la adresa
http://msdn.microsoft.com/library/rn-us/gp/default.asp

ncetarea apariiei ferestrei de bun venit la conectarea n reea : Computer


Configuration\ Administrative Templates\ System\ Dont display welcome screen
at logo.
Blocarea rulrii automate a unui CD n momentul introducerii acestuia n unitatea
de CD-ROM : Computer Configuration\ Administrative Templates\ System\
Disable Autoplay.
n cazul n care mai avei mai multe servere de autentificare pentru domeniu,
propagarea schimbrilor care se efectueaz pe acestea poate fi gonfigurat din :
Computer Configuration\ Administrative Templates\ System\ Group Policy\ Group
Policy refresh interval for domain controlers. Valoarea implicit este de 5 minute.

Prezentarea principalelor categorii din User Configuration


Personalizarea titlului pentru Internet Explorer i a imaginii de pa bara cu
instrumente: User Configuration\ Windows Settings\ Internet Explorer\
Maintenance\ Browser User Interface\ Browser Title -> Customize Title Bars ->
scriei textul dorit -> Customize Toolbar background bitmap -> Browse -> cutai
imaginea care trebuie s fie de tip bitmap (*.BMP) -> Open -> OK.
Specificarea unui proxy pentru comunicarea pe Internet : User Configuration\
Windows Settings\ Internet Explorer\ Maintenance\ URLs\ Important URLs ->
Cutomize Home Page\Search bar\ Online support page URL -> se tasteaz adresa
paginilor dorite -> OK. Aceast opiune este foarte important pentru configurarea
paginii HTML drept desktop al staiilor din domeniu.
Pentru specificarea altei locaii directorului My Documents : User Configuration\
Windows Settings\ Folder Redirection\ My Documents -> RClick (pe My
Documents) -> Proprieties -> Target -> n lista Settings exist opiunea Basic
Redirect evreyones folder to the same location (redirectarea tututor utilizatorilor
ctre aceeai locaie), iar la Target folder location trecei adresa la care va fi
redirectat automat directorul My Documents pentru fiecare utilizator n parte.
Calea pe care v-o recomandm este \\nume_server\nume_share n cazul nostru
adresa fiind \\server-01\%username%$, server-01 fiind numele serverului, iar
ursername fiind variabila sistem care identific numele de share pentru fiecare
utilizator n parte. La opiunea Settings toate opiunile pot rmne n mod
predefinit. Politica de securitate pentru My Pictures este configurat automat s
urmeze directorul My Documents (Folow the My Documents folder).
Interzicerea schimbrii paginii de start (home page) : User Configuration\
Administrative Templates\ Windows Components\ Internet Explorer\ Disable
changing home page settings.
Ascunderea opiunii Folder Option din meniul Tools din Windows Explorer cu
scopul de a nu permite utilizatorilor vizualizarea unor fiiere ascunse, sau fiiere
sistem, n scop distructiv, sau a eliminrii lor din necunotin de cauz: User
Configuration\ Administrative Templates\ Windows Components\ Windows
Explorer\ Removes the Folder Option meniu item from the Tools menu. Opiunea
ascunderii fiierelor i eliminarea posibilitii de dezascundere poate fi depit cu
utilitarul Comand Prompt, comanda attrib.

Ascunderea anumitelor discuri n My Computer, pentru a restriciona accesul la


acestea: User Configuration\ Administrative Templates\ Windows components\
Windows Explorer\ Hide these specified drives in My Computer -> Enabled ->
alegei opiunile dorite din list -> OK. Foarte multe erori care se ntml n
utilizarea calculatoarelor sunt cauzate de mutarea accidental prin drag-and-drop
a directoarelor dintr-o locaie n alta. Pentru protejarea sistemului de operare, dar
i pentru a pstra o ordine n organizarea fiierelor de pe discul C:, v
recomandm s activai opiunea Restrict C drive only. De asemenea, putei bloca
accesul la discurile A: sau B: pentru a v proteja i prin aceast cale de utilizaturii
care pot transporta virui pe dischete (Restrict A, B and C drives only).n cazul n
care dorii blocarea accesului la CD-ROM, trebuie s activai opiunea Restrict D
drive only, cu specificarea faptului c trebuie s v configurai partiiile de pe
staiile de lucru (Administrative Tools\ Computer Managment\ Disk managment)
n aa fel nct discul de CD-ROM s aib asignat litera D. Dac staia d-voastr
face parte dintr-un domeniu public, gen i-cafe, putei ascunde toate discurile de
pe staie, prin activarea opiunii Restrict all drivers. Chiar dac activai aceast
politic de securitate, accesul la discuri este posibil din Command Prompt numai
dac nu ai dezactivat aceast opiune.
Eliminarea iconiei My Network Places din Windows Explorer pentru a preveni
accesul neautorizat n reea: User Configuration\ Administrative Templates\
Windows Components\ Windows Explorer\ No Entire network in My network
Places. Orict de protejai credem c suntem, s nu uitm niciodat c un
utilizator interesat n scop distructiv se leag de orice informaie pe care o
achiziioneaz pentru a-i testa forele. ntre 50 i 85% dintre incidentele de
securitate provin din interiorul organizaiei.
Specificarea numrului maxim de documentare stocate n lista documentelor
recent apelate: User Cunfiguration\ Administrative Tmplates\ Windows
Components\ Windows Explorer\ Maximum number of recent documents (valoare
implicit: 15).
Eliminarea opiunii Run din meniul Sart: User cunfiguration\ Administrative
templates\ Start Menu & Taskbar \ Remove Run Menu from Start Menu.
Ascunderea iconiei de acces la reea de pe Desktop : User Configuration\
Administrative Templates\ Desktop\ Hide My Network Places icon on desktop.
Interzicerea schimbrii destinaiei directorului sistem My Documnets : User
Configuration\ Administrative Templates\ Desktop\ Prohibit user from changing
My Documents path.
Activarea desktop-ului activ : User Configuration\ Administrative Templates\
Desktop\ Active Desktop\ Enable Active Desktop i interzicerea modificrilor
User Configuration\ Administrative Templates\ Desktop\ Active Desktop\ Prohibit
changes.
Adugarea unei pagini web pe desktop-ul activ : User Configuration\
Administrative Templates\ Desktop\ Active Desktop\ Add/Delete Item -> Enabled
-> specificarea adresei unei pagini web care se dorete a fi postat pe desktop-ul
utilizatorilor -> OK.

Ascunderea resursei Active Directory n reea : User Configuration\


Administrative Templates\ Desktop\ Active Directory\ Hide Active Directory
Folder.
Interzicerea accesului la tabloul de bord al calculatorului (Control Panel) : User
Configuration\ Administrative Templates\ Control Panel\ Disable Control Panel.
Dac dorii s pstrai numai anumite componente n Control Panel,putei alege
opiunea Show only specified control panel applets i specificai numele
componentelor pe care le dorii. Pentru a creea o list de componente : Show ->
Add -> introducei numele componentelor -> Ok -> OK. Componentele pe care
le putei folosi le gsii n directorul n care a fost instalat sistemul de operare,
subdirectorul System 32, sub forma unor fiiere cu extensia CPL. Pot exista n
schimb i neclariti n legtur cu aceste componente pentru c, de exemplu, nu
exist nici un CPL care s deschid fereastra de configurare a tatstaurii, i nici a
imprimantelor. Dac n documentaie se exemplific pe lng mai multe CPL-uri
i Printers, nseamn c putem ncerca opiunea Keyboard pentru ca iconia pentru
tatstatur s fie singura vizibil n Control Panel. Nou nu ne-a funcionat!
Interzicerea modificrilor setrilor pentru display : User Configuration\
Administrative Templates\ Display\ Disable Display n Control Panel. Aceast
regul poate fi considerat una dintre cele mai drastice pentru utilizatorul final.
De ce ar trebui s implementm o astfel de politic n care utilizatorul nu-i poate
aduga drept Wallpaper fotografia unui loc, a unei persoane sau animal drag? V
prezentm un caz practic, deosebit de real, concluziile urmnd s le tragei dvoastr. ntr-o onorabil instituie de nvmnt, o onorabil profesoar de
informatic a fost foarte aproape de pragul unui colaps psihic n momentul n care
a intrat ntr-un laborator, desktop-ul fiecrei staii de lucru fiind schibat cu
fotografii din cea mai exotic zon a XXX-ului. Folosirea acestei politici de
securitate diminueaz posibilitatea de apariie a unor cazuri de acest gen, pentru
c n utilitarul Paint exist nc posibilitatea de setare a unei imagini drept fundal
al desktop-ului d-voastr.
Interzicerea modificrii parametrilor TCP/IP : User Configuration\ Administrative
Templates\ Network\ Network and Dial-up Connections\ Allow TCP/IP advanced
configuration -> Disable.
Blocarea accesului la utilitarul de comenzi (Command Prompt) : User
Configuration\ Administrative Templates\ System\ Disable the command prompt.
n aceast seciune, la opiunea Enabled este foarte important modul n care se vor
executa script-urile. Dac la procesul de autentificare de reea avei script-uri de
tip BAT pentru diferite operaiuni, alegei din list Disable the command prompt
script processing also opiunea No.
Interzicerea accesului la regitrii sistemului de operare, activai opiunea Disable
registry editing tools.
Interzicerea accesului ctre anumite aplicaii: Dont run specified Windows
applications -> Enabled -> Show -> Add -> se trece numele aplicaiei a crei
rulare dorim s-o interzicem, de exemplu, sol.exe, aplicaia pentru jocul Solitaire,
dar lista aplicaiilor nu se limiteaz numai la aplicaii Windows, ci i la alte
executabile, gen mIRC32.exe -> OK -> OK -> OK.

Limitarea accesului la aplicaia de gestiune a proceselor (Task Manager) : User


Configuration\ Administrative Templates\ System\ Logon\ Logoff\ Disable Task
Manager ; recomadm aceast opiune n momentul n care rulai aplicaii de
monitorizare a staiilor de lucru sub form de servicii, pentru a preveni oprirea
neautorizat a acestora de ctre utilizatori.

Detalii despre celelalte opiuni de configurare a policii de securitate putei gsi la


adresa specificat ntr-un paragraf anterior.
n momentul n care nchidei fereastra Group Policy, toate configurrile pe care le-ai
personalizat n aceast seciune se salveaz automat. De asemenea, trebuie s nchidei i
fereastra de proprieti a grupului organizaional.
Creearea conturilor de utilizatori
Se spune c o reea perfect este cea fr utilizatori, dar nsui scopul acesteia este de a
permite utilizatorilor o comunicare rapid i o stocare centralizat a fiierelor i
aplicaiilor.
Organizarea utilizatorilor Windows 2000 se face pe grupuri, fiecare grup acnd
anumite drepturi i niveluri de acces la resursele reelei. Nu trebuie s uitm grupurile
organizaionale care asigur o gestiune centralizat a resurselor disponibile.
Creearea unui cont de utilizator n A.D.U.C.
1. RClick (pe numele domeniului) -> New -> User -> n fereastra New Object User
completai cmpurile: prenume (First name), numele de familie (Last name), numele
complet (Full name) se completeaz automat, numele de utilizator (User logon name)
care va fi folosit la conectare ; v recomandm s nu folosii spaii n numele
utilizatorului -> Next.
2. Introducei parola utilizatorului i confirmai parola (Confirm password), dup care
putei activa urmtoarele opiuni:
Utilizatorul va fi obligat sa-i schimbe parola la prima autentificare n reea (User
must change password at next logon), recomandm aceast opiune cu preponderen
n reelele cu foarte muli utilizatori, n care parolele se creeaz dup un anumit
algoritm deductibil. Din experiena noastr putem afirma c dup conectare,
utilizatorul se ateapt s vad background-ul Windows-ului i nu o fereastr care-l
mai ntreab nc o dat ceva despre parola veche (Old Password), i una nou (New
Password) care trebuie confirmat (Confirm New Password) i care mai trebuie s fie
diferit de cea veche ;

utilizatorul nu va putea s-i schimbe parola (User cannot change password)


opiune pe care o recomandm n cazul conturilor de utilizator destinate grupurilor de
persoane. Schimbarea parolei de ctre un utilizator duce la imposibilitatea conectrii
celorlali utilizatori la reea.
parola nu va expira niciodat (Password never expires), activarea acestei opiuni las
la latitudinea utilizatorului politica de gestionare a propriei parole de access n reea,
ceea ce nu este ntotdeauna recomandat ,
contul va fi inactiv (Account is disabled), n cazul nostru contul va fi utilizat ntr-o
alt perioad de timp viitoare celei creerii contului.
Neactivarea nici unei opiuni las la latitudinea politicii de securitate aceste opiuni.
n mod implicit, utilizatorul va fi gsir n categoria Users din A.D.U.C.

La proprietile utilizatorului nou creeat, vom gsi nu mai puin de 12 categorii de


informaii foarte detaliate despre utilizatori :
General se pot configura informaii despre datele de identificare a utilizatorului n
mod electronic : e-mail, Web Page ;
Address informaii despre adresa potal a utilizatorului : strada (Street), oraul
(City);

Account conine o serie de informaii despre numele de utlizator (User logon


name), cteva opiuni suplimentare (Account options), durata de valavilitate a
contului (Account expires).

O seciune important din aceast categorie este reprezentat de posibilitatea de


specificare a unui interval orar de conectare n reea :

Implicit, fiecare utilizator se poate conecta la orice or din zi sau din noapte la
resursele reelei. Se poate configura ns posibilitatea de acces numai la anumite intervale
orare, de exemplu, utilizatorul se poate conecta la reea numai n ziua de mari de la orele
9 la 15 : selectai tot intervalul orar ; Click pe All -> Logon Denied -> selectai de la ora
9AM la 3PM n dreptul zilei de mari (Tuesday) -> Logon Permitted -> OK.
Un exemplu destul de interesant pe care dorim s l prezentm este acela al
studenilor din cadrul unei instituii. Implicit, acetia au dreptul s utilizeze toate
calculatoarele din toate laboratoarele la orice or cnd este program sau nu sunt ore. Din
pcate exist i persoane care din rea-voin sau din necunoiin de cauz n acest timp
liber ncarc eventualele regulamente n vigoare. Blocarea contului de acces la reea ar
trebui s fie prima aciune n astfel de cazuri, dar studentul are dreptul de a utiliza
calculatorul n cadrul orelor de laborator, pentru c chiar pltete acest lucru. n acest caz,
am fost pui n situaia de a implementa la scar destul de mare acest sistem de alocare a
spaiului de lucru pe intervale orare.
Alt exemplu aplicabil n aceast situaie este cel al unei biblioteci n care fiecrui
utilizator sunt alocate un anumit numr de ore pe zi, ntre anumite intervale orare.

O alt seciune din proprietile contului de utilizator este reprezentat de staiile de


lucru pe care se poate conecta utilizatorul : Log On To. Implicit, fiecare utilizator se poate
conecta pe orice staie din domeniu (All computers) sau se pot configura anumite staii pe
care se pot conecta utilizatorii.
Profile conine informaii despre profilul utilizatorului.
Profilul de utlizator conine setrile personale ale acestuia la nivel de interfa. n mod
clasic, profilul utilizatorului conine urmtoarele informaii grupate pe directoarele
Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Templates.
Profilul fiecrui utilizator se gsete n directorul Documents and Settings de pe
discul pe care a fost instalat sistemul de operare. Pe lng aceste directoare, profilul
conine fiierele ntuser.dat i ntuser.dat.log. Un profil de utlizator poate fi de tip
roaming sau de tip mandatory. Profilul de tip roaming are drept caracteristic faptul
c se salveaz pe server i orice modificare a acestuia pe orice staie de lucru se va
reflecta la conectarea pe oricare alt staie de lucru. Profilul mandatory (obligatoriu)
se creeaz pe server i se pune la dispoziie n reea prin sharing, mai muli utilizatori
putnd partaja profilul respectiv. Caracteristica profilului obligatoriu este aceea c
acest profil nu poate fi modificat, eventualele modificri nefiind salvate pe server.
Creearea unui profil se realizeaz automat la conectarea pe o staie de lucru.
Copierea acestuia ntr-un profil de tip template se realizeaz parcurgnd urmtoarele
etape :
- Creeai un director pe server pentru profilul utilizatorul (Exemplu,
ProfilTmp).
- Punei-l la dispoziie n reea i dai drept acces drupului Evreyone (numele de
share, n exemplul nostru, este profiltmp$ adic este un share de tip
administrativ).
- Creeai un utilizator obinuit (de exemplu, nume utlizator : profiltmp).
- La proprietaile utilizatorului nou creeat n seciunea Profile la csua Profile
path trecei adresa de acces prin reea la share-ul respectiv : de exemplu,
\\server-01\profiltmp$.
- La Connect alegei din list o liter disponibil, iar la To aceeai adres ca la
pasul anterior ;
- Dup ce apsai butonul OK sau Apply o s vi se afieze fereastra de mesaje
din figura 13.6.5

care ne atenioneaz c nu s-a creeat directorul pentru stocarea profilului


pentru c acesta deja exist. Ni se sugereaz, de asemenea, s alegem un alt

nume de share pentru directorul profilului, dar din experiena noastr v


informm c aceasta este calea funcional a lucrurilor.
Conectai-v la o staie de lucru cu utilizatorul nou creeat. V recomandm ca
staia s fie proaspt instalat.
Se realizeaz configurrile la nivel de interfa, dar i pentru anumite aplicaii,
cu precdere aplicaiile de tip Office i pentru Internet : modul de aezae a
toolbar-urilor, utitile de msur, modul de vizualizare a unei pagini, locul n
care se salveaz implicit documentele, contul de e-mail, paginile favorite,
iconiele de pe desktop etc.
Dup delogarea de pe staia de lucru, pe server n directorul alocat
utilizatorului ProfilTmp vor aprea o serie de fiiere i directoare prezentate n
figura 13.6.6.

Conectarea pe oricare alt staie de lucru din domentiu aduce cu sine


ncrcarea profilului de utilizator direct de pe server, pstrnd toate setrile
fcute n timpul sesiunilor de lucru. Singurele informaii care nu se transport
o dat cu profilul utilizatorului sunt fiierele temporare.
Vizualizarea profilurilor de utilizator nregistrate pe o staie de lucru se
realizeaz parcurgnd urmtoarele etape : RClick (pe My Computer, de pe
Desktop sau din meniul Start) -> Proprieties -> Advanced -> Settings (de la
User Profiles).
Copierea unui profil se realizeaz prin acionarea butonului Copy To, se
stabilete calea de salvare prin acionarea butonului Browse i se tribuie drept
utilizare grupului de lucru Evreyone prin acionarea butonului Change.

Schimbarea tipului unui profil se poate realiza numai n cazul profilurilor de


tip Roaming, prin acionarea butonului Change Type.
Schimbarea profilului de tip Roaming n prifilul obligatoriu (Mandatory) se
realizeaz prin schimbarea extensiei fiierului NTUSER.DAT n
NTUSER.MAN, din profilul utilizatorului de pe server.
n cazul n care profilul de pe server nu este disponibil, se va creea un profil
local utilizatorului.

Este foarte important ca un profil s fie ct mai mic pentru a fi transportat rapid
prin reea. De aceea ncercai s eliminai ct mai multe informaii din profilul obligatoriu
pe care-l creeai. Pentru a pune acelai profil la dispoziia mai multor utilizatori, v
recomandm s copiai coninutul directorului n care a fost creeat profilul template ntrun alt director, de exemplu Profile, pe care punei-l la dispoziie n reea cu dreptul de
citire pentru grupul Evreyone.
Revenind la fereastra de proprieti a utilizatorului, la Profile :

La Profile path trecem calea de acces prin reea la profilul utilizatorului, Dac
este un profil obligatoriu (Mandatory), se trece aceeai cale pentru mai muli utilizatori.
n cazul profilurilor Roaming, trebuie creeat pentru fiecare utilizator un director pe server
i pus la dispoziie n reea cu drepturi de acces numai pentru acesta.
Logon Script reprezint nume unui eventual script care se execut n momentul
n care s-a conectat utilizatorul respectiv. Aceste scrip-uri se execut anetrior script-urilor
specificate prin prolitica de securitate (vezi nceputul capitolului). Script-urile din aceast
categorie sunt savalte n directorul C:\WINNT\SYSVOL\sysvol\mydom.myrog,ro\
scripts i sunt puse la dispoziie n reea sub denumirea de NETLOGON, putnd fi
accesate la adresa : \\server-01\NETLOGON. Implicit, n acest director nu se afl nici un
fiier.
Connect ... To se folosete pentru conectarea utilizatorului, n mod automat, la o
resurs de pe server.
Celelate proprieti configurabile sunt :
Telephones pentru configurarea direfitelor numere de telefoane la care
poate fi contactat utilizatorul respectiv.
Organization diferite date despre poziia n cadrul organizaiei.
Remote Control modul de acceptare a accesului la distan i de
interaciune cu utilizatorul.
Terminal Services Profile profil de acces pe server folosind Terminal
Services
Member Of crui grup de utilizatori aparine utilizatorul curent.
Dial-in personalizarea accesului n reea prin dial-up.
Enviroment specificarea aplicaiilor care vor fi startate dup conectarea la
server prin Terminal Services.
Sessions personalizarea modului de sfrit al unei sesiuni de lucru.
n momentul creerii contului de utilizator, acesta va fi stocat, n mod implicit, n
categoria Users din Active Directory Users and Computers. Mutarea utilizatorului ntr-un
grup organizaional se realizeaz cu : RClick (pe utlizator) -> Move -> se alege grupul
organizaional din list -> OK. n momentul mutrii utilizatorului, acesta va prelua toate
configurrile efectuate n politica de securitate a grupului respectiv.
Pentru o aplicare mai strict a politicii de securitate pentru un domeniu de
calculatoare, v recomandm s adugai i staiile de vucru n grupul organizaional dorit
prin mutarea din categoria Computers, Dup adugarea la grupul organizaional, staiile
de lucru trebuie repornite pentru aplicarea politicii.
Etapa esenial pentru aplicarea politicii de securitate pe o staie din domeniu este
lucrul ci grupul de utilizatori i adugarea la acestea a utlizatorilor. Politica de securitate
se aplic asupra utilizatorilor prin aceste grupuri de utilizatori.
Creearea unui grup:
1. RClick pe grupul organizaional dorit -> New -> Group.
2. Scriei numele grupului la Group Name -> OK.
Adugarea unui utilizator ntr-un grup de utilizatori :

1. Dublu Click pe grupul de utilizatori creat -> Members.


2. Add, Dublu Click pe numele utilizatorului dorit din list sau scriei de la
tastatur numele utilizatorului -> OK -> OK.
Cteva elemente de administrare
A. Regsirea utilizatorilor n Active Directory
n A.D.U.C., RClick (pe numele domeniului) -> Find -> la Name se specific numai
utilizatorului -> Find Now.
Dac nu cunoatei numele utilizatorului sau dorii o cutare avansat, apsai pe
Advanced, putnd realiza cutri dup diferite caracteristici ale utilizatorilor (Butonul
Field, opiunea Users), ale grupurilor sau ale persoanelor de contact. La condiii se pot
specifica diferite criterii de cutare :
care s[ nceap cu (Start with) ;
care s se termine cu (Ends with) ;
este (Is exactly) ;
nu este (Is Not) ;
care conine (Present) ;
care nu conine (Not Present) ;
Contactele reprezint informaii despre diferite persoane gestionate n A.D., dar care nu
au drept de conectare n reeaua curent.

B. Blocarea/Deblocarea unui cont de utilizator


Blocarea : RClick (pe numele utilizatorului) -> Disable Account.
Deblocarea : RClick (pe numele utilizatorului) -> Enable Account.
C. Active Directory Schema
Reprezint un set de opiuni extinse de administrare a unui domeniu Windows 2000.
Pentru a putea extinde schema Active Directory, trebuie s instalai n prealabil
instrumentele de administrare ale Windows 2000 Server :
1. Start -> Settings -> Control Panel.
2. Dublu Click Add/Remove Programs.
3. Selectai Windows 2000 Administration Tools -> Change -> Next.
4. Install All Administrative Tools -> Next.
5. Dup ce se termin de copiat i instalat fiierele, Finish -> Close.
Adugarea Active Directory Schema ntr-o consol de administrare :
1. Start -> Run -> scriei MMC n csua Open -> OK.
2. n meniul Console > Add/Remove Snap-in -> Add -> Active Directory
Scheme -> Add -> Close -> OK.

3. Consola administrativ poate fi salvat cu un anumit nume : n meniul


Console Save As, scriei numele pe care dorii s-l dai consolei (de
exemplu, Schema) Save.
Un exemplu clasic de utilizare a schemei Active Directory este aceea a adugrii
unei noi proprieti utilizatorilor din domeniu, gen nivelul salariului, codul numeric
personal etc.
Creearea utilizatorilor folosind comenzi
Comanda de creeare a unui utilizator este : NET USER care are urmtoarea sintax :
net user [username [password | *] [options]] [/domain]
username [password | *] /add [options] [/domain]
username [/delete] [/domain]
n care :
username reprezint numele de utilizator. Pentru numele de utilizator cu spaii acesta
se va trece ntre ghilimele ;
password reprezint parola de acces n reea. Caracterul asterix (*) se folosete pentru
a ntrerupe execuia comenzii Net cu scopul introducerii parolei de utilizator ;
/domain reprezint domeniul n care va fi adugat utilizatorul respectiv. Dac contul
de utilizator se creeaz pe serverul de domeniu, aceast opiune nu mai este necesar ;
/add parametru care specific faptul c utilizatorul este nou ;
/delete se specific o aciune de tergere a utilizatorului ;
opiunile principale ntlnite la creearea unui cont sunt :
o /active : [yes|no] implicit valoarea este Yes ;
o /comment : text specificarea unui comentariu pentru utilizator. Acest text
apare la Description din proprietile generate ale utilizatorului din A.D.
o /expires : [date|never] data de expirare a contului de utlizator sau
specificarea faptului c acestea nu va expira niciodat ;
o /fullname : name specificarea numelui complet al utilizatorului ;
o /homedir : pathname specificarea directorului la care se conecteaz automat
utilizatorul. Este echivalent lui Connect...To... de la proprietile utilizatorului
din Active Diretory. Acest director trebuie s existe i s fie pus la dispoziie
n reea! ;
o /passwordchg : [yes|no] specific posibilitatea de schimbare a parolei.
Implicit este Yes ;
o /profilepath [:path] specificarea cii de acces la profilul utilizatorului, Acest
director trebuie s existe i s fie pus la dispoziie n reea ;
o /scriptpath : pathname calea ctre scrip-urile de logon sau mai bine spusm
numele scripului respectiv ;
o /usercomment : text alte comentarii care pot fi specificare pentru
utilizatorul respectiv.
Exemplu Creearea unui utilizator cu numele DimaR.

Date preliminare :
Nume server : server-01
Grup utilizatori : Vizitatori
Adresa profilului template : \\server-01\profile$
1. Deschidei utilitarul Command Prompt : Start -> Run -> scriei cmd -> OK ;
2. Poziuionarea pe discul pe care vor fi stocate informaiile utilizatorului :
F:
3. Creearea unui nou director cu numele utilizatorului :
MD DimaR
4. Punerea la dispoziie n reea a informaiilor din directorul respectiv
net share DimaR$=F:\DimaR
5. Creearea utilizatorului :
net user DimaR parola /fullname:Dima Raluca
/homedir:
\\server-01\DimaR$
/profilepath:\\server-01
\profile$ /scriptpath: default.bat /add
6. Adugarea utilizatorului ntr-un grup de lucru existent :
net group vizitatori /add dimar
7. Stabilirea setrilor de securitate pentru directorul aferent utilizatorului DimaR :
cacls dimar /p Administrator:F DimaR:F /R Evreyone /e
Exitena posibilitaii de creeare a utilizatorilor folosind script-uri are rol foarte
important n procesul de automatizare a activitilor, mai ales cnd exist informaii
stocate n diferite tipuri de baze de date.
De exemplu, n Visual Fox, operaiunea de automatizare a creerii utilizatorilor
const n creearea unui set de variabile compuse (echivalente fiecrei linii de execuie)
din iruri de caractere (aferente comenzilor i parametrilor) i cmpuri din baza de date,
aferente datelor despre utilizatori, precum i configurrile necesare de genul nume de
servere, domenii etc. Informaiile se folosesc pentru inserarea ntr-o tabel cu o singur
coloan, fiecrei comenzi corespunzndu-i cte o linie. Informaiile din tabela cu
comenzi vor fi trensferate ntr-un fiier de tip BAT ci ajutorul secvenei de program :
COPY TO numefisier TYPE SDF
RENAME numefisier.TXT TO numefisier.BAT