3.

Administrarea grupurilor de lucru

Caracteristici generale ale sistemelor de operare Microsoft Windows
Numim sistem de operare un ansamblu de programe care gestioneaz
resursele calculatorului. Sistemul de operare este cel care permite i
controleaz accesul la resursele (componentele) hardware. Prin
componentele sale specializate, sistemul de operare controleaz
echipamentele periferice, ofer mijlocul (instrumentul) de comunicare cu
utilizatorul i lanseaz n execuie alte programe. ntr-un sens larg se spune
c sistemul de operare este interfaa dintre utilizator i hardware-ul
calculatorului.
Caracteristici generale ale sistemelor de operare din familia Microsoft
Windows includ:
1.

multitasking

2.

memorie virtual

3.

multiprocesare simetric

4.

plug & play

5.

lucrul offline cu fiiere (sincronizare)

6.

tiprirea n reea

7.

sistem de fiiere FAT16, FAT32, NTFS inclusiv cote de ocupare a

discului, securitatea accesului, compresia fiierelor

8.

sistem de criptare a fiierelor

9.

criptarea datelor transmise ntre calculatoare (IPSec)

10. tentificare Kerberos (inclusiv smart card )

11. logon secundar (run as)
Reele de calculatoare Microsoft Windows
Numim reea de calculatoare un grup de calculatoare conectate ntre ele i
care comunic n aa fel nct un utilizator poate avea acces att la
resursele locale ct i la resurse partajate aflate la distan. Resursele reelei
pot fi partajate (share) ntre mai muli utilizatori.
n funcie de rolul pe care l ndeplinesc sistemele Microsoft Windows,
reelele respect fie modelul egal la egal, fie pe cel cu domenii.
ntr-o reea de calculatoare exist relaii de tip client server: clientul cere
acces, iar server-ul servete, adic ofer serviciul solicitat. Serviciul
solicitat este oferit dac cel care l-a cerut era n drept s-l cear i dac are
suficiente privilegii pentru a folosi ceea ce i se pune la dispoziie.

Calculatoarele client (n general calculatoarele pe care le folosesc utilizatorii)

formuleaz cereri pentru obinerea de date sau pentru accesul la un serviciu.
Cererile lor sunt trimise calculatoarelor care ndeplinesc rol de server.
Exemple de servere:
servere de fiiere i imprimare
server de baze de date
server de pot electronic
server de fax
server pentru servicii director de resurse
Rolurile de client i server ale calculatoarelor stau la baza stabilirii modelului
logic al reelei:
I.

Reele Egal la egal (peer to peer-P2P) se compun din calculatoare

care se consider toate egale ca rang 1 . Fiecare calculator ndeplinete
att rol de server ct i de client: atunci cnd cere acces la un fiier aflat
n alt parte ndeplinete rolul de client; dac ofer acces la unul din
fiierele lui, atunci acioneaz ca un server. Aceste reele se numesc
grupuri de lucru (workgroup). Marele dezavantaj al acestui model este
imposibilitatea stabilirii unor reguli stricte i sigure de acces la resurse.
Securitatea reelei nu este punctul forte al acestui model. Reelele P2P se
construiesc prin adugarea ad-hoc de noduri n reea. n reelele ad-hoc
eliminarea unui nod nu are un impact deosebit asupra reelei n ntregul
ei. Calculatoarele componente ale unui grup de lucru sunt considerate
autonome (standalone).

II. Domeniile Windows Server sunt grupuri de calculatoare pe care ruleaz

sisteme de operare Microsoft Windows i care folosesc n comun o baz
de date central, comun, numit director. Aceast baz de date conine
conturile utilizatorilor i informaii legate de securitatea resurselor reelei.
Fiecare persoan care folosete calculatoare incluse n domeniu,
primete un cont unic de utilizator. Acest cont are acces la resursele
domeniului. Directorul unui domeniu se afl pe controlerul de domeniu.
Controlerul de domeniu este un server care controleaz toate aspectele
legate de securitatea accesului la resurse i de administrarea domeniului.
Activitatea de administrare a unei reele cuprinde n general urmtoarele
operaii (activiti):
Gestiunea conturilor utilizatorilor
Gestiunea resurselor
Salvarea / restaurarea datelor
Supravegherea (monitorizare) activitilor din reea

n limba englez peer nseamn semen, egal, dar i nobil, aristocrat, pair.

Windows Help este instrumentul de nvare cel mai rapid i mai comod. La
baza sistemului de <ajutor> se afl o baz de date care poate localiza uor
informaia de care are nevoie un utilizator (eventual administratorul reelei)
aflat n impas.
Pentru buna administrare a reelei, trebuie cunoscut mai nti mediul de
operare. Iat cteva instrumente:
Scheduled Tasks (sarcini programate, planificate)
Administrative tools (instrumente de administrare)
Control panel (panoul de control)
Registry (regitrii)
System properties (proprietile sistemului)
Computer management (gestionarea calculatorului), System information
(informaii despre sistem) i Local users and groups (conturi locale pentru
utilizatori i grupuri).
Active Directory Users and Computers (utilizatori i calculatoare din Active
Directory)
Event viewer (vizualizarea evenimentelor)
Task manager (gestionarul de taskuri)
Performance (performane)
Printers (Imprimante)
Shared foders (dosare, foldere partajate)
Disk management (gestiunea discului)
Backup (salvare)
Network and Dial-up connections (conexiuni n reea i prin dial-up)
Network monitor (supravegherea reelei)
Configure your server (configurai-v serverul)
Add/remove programs (adugare / eliminare de programe)
Microsoft Management Console - mmc (Consola Microsoft)
Modelul egal la egal sau grupurile de lucru
Un grup de lucru se compune din mai multe calculatoare egale ca rang.
Administrarea unei astfel de reele se realizeaz distribuit, separat la fiecare
calculator n parte.
n reelele care respect modelul grupurilor de lucru (workgroup) utilizatorii
sunt autentificai local: baza de date Registry local calculatorului conine
o structur de informaii care reprezint numele de utilizatori locali i
grupurile locale din care fac parte acetia. Cnd un utilizator (autentificat
local) dorete acces la o resurs aflat la distan, el trebuie reautentificat la
calculatorul care deine resursa.

Caracteristicile modelului workgroup sunt urmtoarele:

Pentru a avea acces la un calculator (local) utilizatorul trebuie s fie
autentificat local (s treac prin procedura de deschidere de sesiune
logon).
Resursele sunt distribuite n reea, dar sunt considerate ca fiind locale
fiecrui calculator.
Accesul la o resurs aflata la distan se face n urma unei reautentificri,
ce are loc la calculatorul care deine resursa.
Administrarea reelei nu se face centralizat: fiecare calculator este
administrat separat.
Fiecare calculator deine o baz de informaii SAM 2 Security Account
Manager unde se afl toate conturile locale. Pentru ca un utilizator s
poat avea acces la resurse distribuite n reea, el trebuie s aib cte un
cont de utilizator local pe fiecare calculator care deine resursele folosite
n reea.
Se recomand ca ntr-un grup de lucru s existe cel mult 10 calculatoare
Grupurile de lucru devin greu de administrat dac conin mai mult de 10
calculatoare. Mai mult chiar, numrul de conexiuni simultane la un
calculator cu sistem de operare de tipul client, cum este Windows XP,
este de maxim 10.
Proprietile sistemului
De la prima ntlnire cu calculatoarele, administratorul trebuie s ncerce s
le cunoasc ct mai bine. Primul pas este cutarea proprietilor
calculatorului.

Baza de informaii SAM se afl n Registry (se va folosi utilitarul regedt32.exe)

Primele informaii cu care ne ntlnim sunt legate de numele calculatorului,

apartenena la un grup de lucru (workgroup) sau la un domeniu.

Computer Management.

Fereastra de lucru ofer multe informaii!

Conturile utilizatorilor i grupurile de utilizatori

Un cont utilizator este o structur de informaii care descrie i identific un
utilizator. Informaiile sunt folosite la deschiderea de sesiune (logon). Fiecare
persoan care folosete resursele unei reele trebuie s aib un cont
utilizator. Imediat ce dispune de un cont, un utilizator l poate folosi pentru a
fi autentificat local sau n domeniu. Cu acest cont el va putea avea acces la
resursele locale (ale calculatorului respectiv) i la resursele reelei (resurse
aflate la distan i partajate). Exist la unele sisteme de operare din familia
Windows utilizatori aa-zii preconstruii (deja construii), ca de exemplu
Administrator, Guest.
Calculatorul local poate fi gestionat prin utilitarul Computer Management.
Printre alte informaii, aici exist i lista utilizatorilor cunoscui local, respectiv
Local Users and Groups.
Un grup este o colecie (list) de nume de conturi utilizator. Dac un grup
are asociat un set de privilegii n raport cu resursele reelei, atunci fiecare
membru al grupului se bucur de acest set de privilegii. Un cont utilizator
poate face parte din mai multe grupuri. n acest caz privilegiile asociate
contului sunt cele care se obin din nsumarea celor atribuite fiecruia din
grupurile din care face parte.
Sistemele de operare Microsoft Windows folosesc grupuri preconstruite (ca
de exemplu Administrators, Backup Operators, Users, etc.), grupuri cu
identiti speciale (exemplu: Everyone, System, etc.) i grupuri construite de
utilizatori. Grupurilor li se asociaz privilegii. Apartenena unui cont utilizator
la un grup i confer contului respectiv toate privilegiile care sunt asociate
grupului.

Drepturile utilizatorilor i apartenena la grupuri

Pentru sistemele de operare Microsoft Windows privilegiile se compun din
drepturile utilizatorilor i permisiunile la resurse.
Drepturile sunt operaii (aciuni) pe care un utilizator le poate efectua asupra
sistemului n ansamblu (s fac shut down, s schimbe data i ora
sistemului, s salveze i s restaureze fiiere, s instaleze drivere, etc.).
Iat cteva din drepturile utilizatorilor (User Rights):
Logon locally dreptul de a face logon (de a deschide sesiune) folosind
calculatorul local
Change system time dreptul de a modifica data i ora sistemului
Shut down dreptul de a opri funcionarea calculatorului
Access this computer from the network dreptul de a avea acces din
reea (folosind orice calculator) la calculatorul local.
Unele dintre drepturi sunt asociate grupurilor preconstruite.
Grupul Administrators (Administratori). Membrii acestui grup au control
deplin asupra calculatorului sau domeniului.
Grupul Users (Utilizatori) - Membrii acestui grup pot executa numai acele
sarcini pentru care au primit drepturi, ca de exemplu: lansarea n execuie a
aplicaiilor, acces la imprimantele din reea, oprirea funcionrii calculatorului.
Membrii acestui grup nu pot crea grupuri locale i nici utilizatori locali, nu pot
partaja dosare (foldere).
Grupul Power Users (Utilizatori privilegiai) este un grup preconstruit aflat
pe calculatoare non-controlere de domeniu. Membrii acestui grup pot
executa unele sarcini administrative, dar nu dein controlul deplin asupra
sistemului.
Ei pot s:
creeze conturi pentru utilizatori i grupuri (la calculatorul local)
modifice i s tearg conturile pe care le-au creat
partajeze resurse
Grupul Backup Operators (Operatori de Backup <salvare>) - Membrii
acestui grup pot s salveze i s restaureze fiiere aflate la acel calculator,
indiferent de permisiunile pe care le au la fiierele respective. Ei mai pot s
deschid sesiune folosind calculatorul acela i pot opri funcionarea lui.

Utilizatori locali i grupuri locale

n modelul egal - la - egal utilizatorii deschid sesiune folosind conturile locale.
Prin deschiderea de sesiune utilizatorii sunt autentificai i vor avea acces la
resurse locale, n limita privilegiilor. Conturile locale ale utilizatorilor se afl n
baza de date registry.
Computer management este utilitarul pe care l folosim pentru crearea i
gestionarea conturilor utilizator.

Contul unui utilizator poate fi ters, redenumit i i se poate schimba parola

asociat.
Un cont utilizator are urmtoarele
proprieti:
1.utilizatorul trebuie s-i modifice
parola la urmtoarea deschidere de
sesiune
2.utilizatorul nu poate schimba parola
3.parola nu expir niciodat
4.contul este indisponibil
5.cont blocat (n urma ncercrilor
repetate, nereuite de deschidere de
sesiune)
Utilizatorii fac parte din grupuri. Dac un grup de utilizatori are asociate
privilegii atunci fiecare membru al grupului beneficiaz de acele privilegii.
Informaia asociat cu profilul utilizatorului se compune din:
1. Calea pn la folderul care indic
profilul utilizatorului. Profilul descrie
imaginea desktop, care se afieaz
n urma autentificrii utilizatorului,
mpreun cu constante de lucru ale
utilizatorului,
ca
de
exemplu:
mrimea pictogramelor, mrimea i
culoarea
ferestrelor,
informaii
despre formatul de afiare a datei,
etc. Calea implicit a acestui folder
este:
%systemroot%\Documents
Settings\%username%

and

2. Logon script se refer la fiierul cu

comenzi care va fi executat la fiecare deschidere de sesiune. Acest fiier ar
putea, de exemplu, configura mediul de operare al utilizatorului, astfel nct
el s lucreze numai cu anumite aplicaii i n anumite condiii.
3. Utilizatorul ar putea avea i un dosar (director, folder) personal numit
generic acas, acolo unde i salveaz lucrrile i unde i plaseaz
informaiile de lucru de care are nevoie. Acest dosar personal se poate afla
pe un hard disc local sau se poate afla undeva la distan, la un alt
calculator. n acest din urma caz, utilizatorul se va conecta la resursa aflat
la distan folosind o unitate logic:

n acest exemplu va fi folosit

unitatea
logic
Z:
pentru
conectarea la dosarul personal
al utilizatorului.Utilizatorii au, n
general, toate permisiunile la
dosarul lor personal (acas).
Utilizatorii pot fi grupai n grupuri de utilizatori. Dac un utilizator face
parte dintr-un grup, atunci el are aceleai privilegii cu cele ale grupului din
care face parte.

Iat un exemplu de grupuri

preconstruite pentru sistemul
de operare Windows XP
Professional:

Pentru sistemele de operare

Windows Server 2003
grupurile preconstruite sunt:

La instalarea sistemului de operare sunt create implicit grupurile locale

numite preconstruite. Grupul local Administrators i cuprinde pe
administratorii sistemului: sunt cei care au privilegii complete asupra
sistemului; pot instala / dezinstala orice componenta hard i / sau soft, pot
face orice fel de operaie de configurare, pot crea, terge, modifica orice cont
utilizator i / sau de grup. Utilizatorii locali fac n mod implicit parte din grupul
Users.

Includerea unui cont utilizator ntr-un grup preconstruit i ofer acelui

utilizator privilegiile asociate grupului. De exemplu, incluznd un cont
utilizator n grupul Administrators, utilizatorul primete privilegii de
administrator.
Administrators

Au privilegii complete, inclusiv acelea de a-i modifica

drepturile i permisiunile

Pot s fac salvri i restaurri de fiiere (backup i

restore) indiferent de permisiunile pe care le au la
Backup operators
nivelul fiierelor. Pot face log on (deschidere de
sesiune) i shut down (oprirea calculatorului)

Power users

Pot crea conturi de utilizator, le pot modifica i terge

pe cele create; pot crea grupuri locale i pot modifica
lista membrilor pentru aceste grupuri. Nu pot modifica
grupurile Administrators i Backup operators. Nu pot
prelua posesia asupra fiierelor i nu pot face
salvarea/restaurarea fiierelor i nici nu pot
instala/dezinstala drivere.
Pot partaja (share) resurse.

Users

Pot efectua sarcini obinuite: lansarea n execuie a

unor aplicaii, pot folosi imprimantele locale i de reea,
pot opri calculatoarele cu rol de staii de lucru.

Guests

Sunt utilizatori ocazionali care deschid sesiunea

folosind contul Guest

Replicator

Asigur funciile de replicare; conturile utilizator

obinuite nu trebuie incluse sub nici un motiv n acest
grup.

Accesul la resursele locale. Permisiuni

Pentru sistemele de operare Microsoft Windows privilegiile utilizatorilor se
compun din drepturi i din permisiuni la resurse. Drepturile (user rights)
sunt operaii (verbe, aciuni) pe care le pot executa utilizatorii asupra
sistemelor vzute n ansamblu. Politica local de securitate (local security
policy) conine componenta user rights (drepturile utilizatorilor).

Aceste drepturi se refer la operaii de tipul:

Accesul din reea la acest calculator
Salvarea fiierelor i a directoarelor (dosare)
Restaurarea fiierelor i a directoarelor (dosarelor)
Modificarea datei sistemului
Deschiderea de sesiune folosind echipamentele acestui calculator
nchiderea calculatorului
Etc.
La ntrebarea cine poate face <<shut down>> la sistem? Rspunsul este :

Controlul modului n care utilizatorii pot face logon este realizat prin politica
asociat conturilor.

Accesul la dosare i fiiere aflate pe hard discul calculatorului local poate fi

controlat (restricionat) numai n situaia n care unitatea logic respectiv (de
exemplu C:) adreseaz o partiie formatat NTFS (New Technology File
System).

Unitile de disc
formatate NTFS
au o proprietate
numit security
unde
se
pot
asocia reguli de
securitate
a
accesului
la
dosare i fiiere

Permisiuni NTFS
Sistemul de fiiere NTFS 3 este singurul care poate asigura protecia i
securitatea accesului local la fiiere i dosare. Pentru volumele NTFS se
poate controla strict accesul local al utilizatorilor la dosare i fiiere. Acest
lucru nu este asigurat de celelalte sisteme de fiiere acceptate de Windows,
adic FAT16 i FAT32. Pentru acestea din urm, accesul local al unui
utilizator nu poate fi restricionat n nici un fel.
Sistemele de operare Microsoft Windows asociaz permisiuni dosarelor i
fiierelor aflate n partiii formatate NTFS. Permisiunile sunt acordate
utilizatorilor individuali sau grupurilor. Dac un utilizator nu are nici o
permisiune asupra unui fiier sau dosar, atunci el nu poate efectua nicio
operaie asupra acelui obiect. Fiecare dosar i fiier dintr-o partiie NTFS are
asociat cte o list ACL (Access Control List list care controleaz
accesul). n lista ACL se afl nscrise perechi de informaii de tipul: ce
utilizator (sau grupuri, sau eventual calculatoare) au acces i ce tip de acces
le este permis. Pentru ca un utilizator s aib acces la un dosar sau fiier el
trebuie sa fie cuprins n lista ACL (direct sau indirect, prin apartenena la un
grup). Dac utilizatorul nu apare n lista ACL atunci el nu are acces la acel
obiect!
n dreptul permisiunilor asociate
unui cont utilizator sau unui grup
de utilizatori apar aa numitele
permisiuni speciale, de exemplu:
Full
Control
(control
deplin,
complet), Modify (modific), Read
& Execute (citete i execut),
.a.m.d.

Acestor permisiuni de ordin mai general le corespund permisiuni

specifice strict delimitate, dup cum urmeaz (vizibile dup folosirea
butonului <Advanced>):

NTFS=New Technology File System

Verbele Allow (permite) i Deny (nu

permite, neag) indic semnificaia
permisiunii. De exemplu, asocierea
Delete - Allow arat c este permis
operaia de tergere.

Permisiuni NTFS
pentru fiiere
Full control
(control deplin)
Modify
(modific)
Read & Execute
(citete i
execut)
Write
(scrie)
Read
(citete)

Utilizatorul:
Schimb permisiuni, ia n posesiune (devine
proprietar) i execut toate operaiile permise prin
toate celelalte permisiuni NTFS
Modific i terge fiierul i execut operaiile permise
prin Write i Read & Execute
Lanseaz n execuie aplicaia i execut operaiile
permise prin Read
Suprascrie fiierul, schimb atributele fiierului, citete
proprietarul i permisiunile
Citete fiierul, citete atribute, proprietar i permisiuni

Permisiuni NTFS
pentru foldere

Utilizatorul:
Schimb permisiuni, ia n posesiune, terge subfoldere
i fiiere, execut toate aciunile permise prin celelalte
permisiuni NTFS

Full control
(control deplin)
Modify

terge folderul i execut operaiile permise prin Write i

Read & Execute

(modific)
Read & Execute

Traverseaz foldere i execut operaiile permise prin

Read i List folder contents.

(citete i
execut)
Write

Creeaz fiiere i subfoldere noi n folder, schimb

atributele folderului, citete proprietarul i permisiunile

(scrie)
Read

Citete fiiere i subfoldere, atribute, proprietar i

permisiuni

(citete)
List folder
contents

Citete numele fiierelor i ale subfolderelor

(listeaz coninut
folder)

Full
Control

Traverse
Folder/Exec
ute File
(traverseaz
folder /
execut
fiier)
List
Folder/Read
Data

List
Folder
Contents
(numai
pentru
dosare)
Listeaz
coninut
folder
(numai
pentru
foldere)

Modify

Read &
Execute

Control
deplin

Modific

Citete
&
Execut

Read

Write

Citete

Scrie

(listeaz
folder /
citete date)
Read
Attributes
(citete
atribute)
Read
Extended
Attributes
(citete
atribute
extinse)
Create
Files/Write
Data
(creaz
fiiere/scrie
date)
Create
Folders/App
end Data
(creaz
foldere/adau
g date)
Write
Attributes
(scrie
atribute)
Write
Extended
Attributes
(scrie
atribute
extinse)
Delete
Subfolders
and Files
(terge
subfoldere i
fiiere)

Delete
(terge)
Read
Permissions
(citete
permisiuni)
Change
Permissions
(schimb
permisiuni)
Take
Ownership
(ia n
posesie)

Permisiunile sunt asociate att conturilor de utilizator ct i grupurilor.

Permisiunile efective ale unui utilizator se obin prin nsumarea tuturor
permisiunilor care i revin individual i prin apartenena la grupuri (un
utilizator poate face parte din mai multe grupuri simultan). Permisiunea
deny suprascrie permisiunile corespunztoare allow (permis). De
exemplu, dac un utilizator are, asupra aceluiai fiier, permisiunea Read
Allow i Read Deny, atunci permisiunea efectiv, cumulat este Read Deny.
Permisiunile NTFS asociate unui dosar se propag (se motenesc) n
ierarhia de subdosare i fiiere, dac nu cumva motenirea este inhibat.

Exerciiu practic:

1. Ce permisiuni are utilizatorul la Folder1? Dar la Fiier1?

2. Ce permisiuni are utilizatorul la Fiier2 ?
Conectarea la reea

Conexiune activ, corect

Mediul de transmisie deconectat

Driver dezafectat (nu funcioneaz)

Starea conexiunii n reea este indicat de una dintre aceste pictograme.

componenta client / server:

client for Microsoft Networks
sau
file and printer Sharing for
Microsoft Networks
Transport:
TCP
protocol
Reea:
IP
Driver:
Intel PRO/100 VE
Placa de reea:
Adresa MAC
Mediul de transmitere a datelor

n situaia configurrii corecte a tuturor componentelor necesare conectrii,

putem spune c avem un calculator conectat la reea. Reamintim definiia
unei reele de calculatoare: mai multe calculatoare interconectate i care
comunic ntre ele, astfel nct utilizatorul s poat folosi n limita
privilegiilor (permisiuni i drepturi) - resursele locale ale calculatorului dar i
resurse aflate la distan.
Pentru sistemele de operare din familia Windows care folosesc protocolul
TCP/IP, calculatoarele pot fi identificate prin numele NetBIOS dac este activ
protocolul NetBIOS peste TCP/IP.
Protocolul NetBIOS peste
TCP/IP este cel care rezolv
numele
NetBIOS
al
calculatorului, deci calculatorul
poate fi identificat prin nume.
Este suficient n aceste
condiii s cunoatem
numele calculatorului din reea
pentru a ajunge la resursele
aflate acolo.
Ajungnd aici este momentul
s verificm dac ntr-adevr
reeaua funcioneaz. Vom
ncerca nti s folosim aplicaia My Network Places, n traducere locurile
din reea care mi sunt accesibile

Partajarea resurselor
Resursele partajate sunt cele care pot fi accesate din reea, adic de
utilizatori care folosesc alte calculatoare dect cel care deine resursa.
Resursele partajabile sunt dosarele i imprimantele. Prin partajare se
stabilesc pe de o parte - numele prin care resursa va fi recunoscut n
reea, iar pe de alt parte utilizatorii care o pot folosi precum i tipul de acces
permis. Permisiunile de partajare pot fi asociate individual fiecrui utilizator
sau pot fi asociate grupurilor din care fac parte utilizatorii. Pentru aceeai
resurs partajat se vor specifica permisiuni diferite pentru grupuri sau
utilizatori diferii. Atunci cnd un utilizator ncearc s se conecteze i s
foloseasc o resurs aflat la distan se cunoate deja lista grupurilor din
care face parte (autentificarea utilizatorilor nseamn i stabilirea listei de
grupuri din care fac parte). Se construiesc astfel permisiunile de acces
pentru resursele aflate la distan. Dac un utilizator face parte din mai multe
grupuri, atunci permisiunile lui de acces pentru o resurs aflat la distan se obin prin nsumarea celor asociate grupurilor din care face parte i a
celor asociate individual, dac este cazul. Specificatorul deny (interzis)
este mai puternic dect corespunztorul allow (permis).

Pentru a fi disponibile de la distan resursele trebuie partajate (share):

\cursant

Permisiunile de partajare (share) indic tipul de acces permis prin partajare:

Read asigur:
vizualizarea numelor fiierelor i subfolderelor
trecerea dintr-un subfolder (subdosar) n altul
vizualizarea (citirea) datelor din fiiere
lansarea n execuie a programelor
Change asigur permisiunea Read plus:
adugarea de fiiere i subdosare
modificarea datelor din fiiere
tergerea subfolderelor i a fiierelor
Full Control asigur Read i Change plus:
Modificarea permisiunilor pentru fiiere i foldere (n format NTFS)
Luarea n posesie a fiierelor i dosarelor (n format NTFS)
Atenie: permisiunile de partajare (share) au efect numai n situaia
accesului de la distan. Pentru accesul la resursele locale nu funcioneaz
aceste restricii!
Imprimantele, la rndul lor, sunt disponibile ca resurse din reea numai dup
ce au fost partajate.
Permisiunile de partajare i efectele lor sunt urmtoarele:
Print utilizatorii se pot conecta la imprimant i pot transmite documente
spre tiprire.
Manage printers utilizatorii pot executa operaiile permise prin print i au
n plus controlul complet asupra obiectului printer. Ei pot modifica valorile
asociate caracteristicilor de lucru din obiectul printer, pot partaja
imprimanta, pot modifica permisiunile de partajare existente.
Manage documents utilizatorii pot rearanja documentele n coada de
ateptare, pot opri sau relua servirea cererilor de tiprire afiate n coada de
ateptare.
Accesul la resursele aflate la distan
Accesul la resursele aflate la distan se face n limita permisiunilor de
partajare. Pentru accesul la dosare partajate care sunt nsoite i de
permisiuni NTFS cele dou seturi de permisiuni se combin. Rezultatul se
obine prin intersectarea permisiunilor de partajare cu cele NTFS.

Pentru a ajunge la o resurs aflat la distan un utilizator trebuie s

cunoasc numele calculatorului (sau alt identificator al calculatorului) la care
dorete s se conecteze i numele de partajare al resursei pe care o va
folosi. n exemplu care urmeaz \\duo2 este numele calculatorului, iar \doc
este numele de partajare al unei resurse. La fel se ntmpl i dac se
folosete aplicaia My Network Places.

Configurarea serverelor
n sens larg, serverele sunt calculatoarele care pot pune la dispoziie
servicii. Microsoft pune la dispoziie sisteme de operare Windows Server
2003, disponibile n ediii diferite, ca de exemplu: Web Edition, Standard,
Enterprise, Datacenter. Sunt sisteme de operare care pot deine servicii.
Serviciile sunt cele care ofer funcionalitate reelei; rolurile pe care le
ndeplinete un server sunt date de serviciile instalate i configurate.
La prima ntlnire cu un sistem de operare server facem cunotin i cu
aplicaia Manage your server. Este un vrjitor (wizard) care l conduce i
ndrum pe administrator n activitile legate de administrarea curent a
reelei.

Ceea ce urmeaz sunt rolurile pe care le poate ndeplini un server Microsoft

Windows Server 2003:

Cel mai simplu rol este cel de server de fiiere. Pentru a fi server de fiiere
calculatorul trebuie s fie conectat la reea, s comunice corect cu celelalte
calculatoare din reea i s aib resurse partajate puse la dispoziia
utilizatorilor din reea. Fiind vorba de sistemul de operare Windows trebuie
s fie activ procedura File and Print Server for Microsoft Networks. n
msura n care dosarele partajate (share) se afl pe discuri cu sistem de
fiiere NTFS putem vorbi de caracteristici deosebite ale discului i deci ale
serverului de fiiere:
Volumul F: a fost ales drept
resurs disponibil n reea. Aici
se vor afla dosare partajate
disponibile utilizatorilor. Fiind
vorba
de
formatul
NTFS,
caracteristicile
hard
discului
includ: cote alocate pe disc,
permisiuni NTFS, posibilitatea de
lucru offline cu fiierele, alturi de
permisiunile de partajare.
Exact ctre aceste caracteristici
ne ndrum i vrjitorul pentru
rolul de file server.

Spre final facem cunotin cu un format nou al aplicaiei Computer

Management:

Manage Your Server nu este dect unul dintre utilitarele care stau de la
nceput la ndemna administratorului. Pentru administratorul local al
calculatorului sunt disponibile implicit urmtoarele utilitare, grupate sub
numele Administrative Toos (Instrumente de administrare).

Strategii locale de securitate. Drepturile utilizatorilor. Strategia de audit.

Politicile (numite i strategii) de securitate sunt implementate prin ceea ce se
numete Local Security Policy (Politica Local de Securitate).

Aici identificm pentru moment politici

(strategii) care se refer la:

politica conturilor locale

parole

blocarea conturilor

politici locale

audit

drepturile utilizatorilor

opiuni de securitate

Pentru deschiderea de sesiune n afar de politicile asociate conturilor mai

trebuie avute n vedere i drepturile utilizatorilor. Pot face logon acei
utilizatori care au dreptul Logon locally.

Remarcm aici grupul Users,

acoperitor pentru toi utilizatorii locali.
n plus e vorba despre utilizatori
care nu au alte restricii, legate de
parol sau de blocarea conturilor.

n mod implicit regulile de securitate implementate nu specific nimic la

aceste capitole; sarcina Administratorului este ns i aceea de a nu lsa pe
oricine s foloseasc orice calculator!
Din categoria drepturilor utilizatorilor vom remarca n cele ce urmeaz
preluarea posesiei asupra fiierelor i a dosarelor, adic:

Administratorii (grupul local de Administratori) sunt singurii n msur s

devin proprietarii fiierelor i ai dosarelor. Proprietarul are sau i arog
toate permisiunile asupra obiectelor. Cu alte cuvinte, o dat devenii
proprietari, Administratorii pot modifica permisiunile asociate dosarelor i
fiierelor.
Obiectele (foldere / dosare i fiiere) din volume NTFS sunt nsoite de
cteva caracteristici importante: proprietar (owner) i procedura de audit (sau
procedura de supraveghere):

De multe ori administratorul este interesat s tie care au fost aciunile

utilizatorilor, dac ele au fost n concordan sau nu cu limitrile restriciile
dorite de administrator. ntr-o astfel de situaie, administratorul pornete o
activitate de supraveghere a accesului la diferite obiecte recunoscute de
sistemul de operare.
Operaia de audit va funciona dup parcurgerea urmtoarei succesiuni de
pai:
1. Activarea operaiei de audit pentru dosare i fiiere.
Este vorba despre activarea procedurii de audit din Local Security Policy.
Auditul (supraveghere) se va referi la accesul la obiecte (dosare i fiiere).
Vor fi supravegheate toate ncercrile de acces, att cele reuite ct i cele
nereuite (success i failure).

2. Alegerea obiectelor supuse supravegherii i persoanele supravegheate

(utilizatori i / sau grupuri).

Dup cum au fost configurate condiiile de audit, va fi supravegheat

utilizatorul CPI\madalina i i vor fi evideniate ncercrile de citire a fiierului
i cele de preluare a posesiunii!
3. n msura n care utilizatorul va lucra cu fiierul i va efectua sau mcar
va ncerca s efectueze operaiile marcate, n aceeai msur operaiile
vor fi nregistrate n jurnalul evenimentelor legate de regulile de
securitate a accesului la resurse.

Propunere de tem practic

1. Identificai numele calculatorului dumneavoastr (inclusiv apartenena la
un grup de lucru sau la un domeniu). Identificai adresa IP a conexiunii de
reea. Identificai i notai principalele caracteristici ale calculatorului pe
care l folosii:
Tip procesor
Dimensiune memorie
Tip de hard disc, capacitate
Periferice ataate
Sistemul de operare instalat
Caracteristicile conexiunii la reea
Notai rspunsurile inclusiv metoda de rezolvare.
2. Ce aplicaii sunt instalate pe calculatorul dumneavoastr? Dar servicii? Ce
aplicaii sunt active n acest moment? Notai orice fel de observaii,
inclusiv metoda de rezolvare!
3. Construii un cont utilizator local. Verificai dac poate face Shut down i
n caz contrar facei cuvenitele modificri. Deschidei sesiunea folosind
contul creat. Configurai ecranul desktop plasnd cteva scurtturi
(shortcut). Terminai cu Shut down. Deschidei o noua sesiune de lucru
folosind acelai nume de utilizator. Observai dac modificrile aduse
imaginii desktop au rmas aceleai. Cum explicai? Notai orice fel de
observaii, inclusiv metoda de rezolvare!
4. Continuai exerciiul 3. Pentru acelai utilizator creai un folder personal de
lucru, unde i poate pstra n siguran lucrrile, fiierele. Partajai acest
dosar pentru a putea fi folosit n reea. Verificai, testai ce utilizatori pot
avea acces la folder i la coninutul lui.
5. Continuai exerciiul 4. De la mai multe calculatoare mai muli utilizatori se
conecteaz la resursa partajat i citesc fiierele aflate acolo. Care sunt
utilizatorii conectai acum, de la ce calculator s-au conectat, ce fiiere
citesc?
6. Notai-v caracteristicile aplicaiilor: Computer Management, Event Viewer
i Performance Monitor. Folosii orice posibilitate de help on line pentru a
nva cum se utilizeaz ele. Nu uitai: notai orice fel de observaii,
inclusiv metoda de rezolvare!

Ce ai nvat n acest modul?

s identificai deosebirile dintre grupurile de lucru i domenii
s folosii conturile utilizatorilor pentru accesul la resursele locale i la
resurse aflate la distan
s folosii grupurile de utilizatori
s identificai i s folosii drepturile i permisiunile utilizatorilor
s partajai resurse i s asigurai utilizatorilor accesul la resursele
partajate n reea
s supravegheai (audit) accesul utilizatorilor la resurse