Reele de Calculatoare

Laborator 4

Reele bazate pe server

Pentru o utilizare eficienta a resurselor partajate ntr-o reea se poate utiliza un server
dedicat care asigur securitatea accesului la resursele reelei. Prin prezena acestui server se
foreaz autentificarea utilizatorilor ntr-o baz de date centralizat, iar accesul este posibil
numai dup validarea utilizatorului.
n reelele bazate pe Microsoft Windows, se poate utiliza un calculator server cu
sistemul de operare Windows NT sau Windows 2000 Server (Windows 2003 server, sau
ulterioare) care au suport pentru definirea i administrarea unui domeniu.
In reelele Windows exist dou noiuni distincte care permit administrarea eficient a
unei reele locale (LAN):
Definiii:
Noiunea de grup de lucru (WORKGROUP) este o grupare simpl a resurselor
partajate ale unui LAN fr a fi necesar existena unui server i fr centralizarea
utilizatorilor sau resurselor pe un server.
Noiunea de Domeniu (Domain) grupeaz resursele partajate ale unui LAN dar
asigur n acelai timp i securitatea accesului la reea prin gestionarea unei baze de date cu
utilizatori i drepturi alocate utilizatorilor.
Mecanismul de securitate se bazeaz pe autentificarea utilizatorilor ca fcnd parte din
domeniu numai pe serverul de domeniu. Acesta valideaz utilizatorul pe baza numelui de
utilizator i a parolei i apoi trimite un token care permite utilizatorului autentificat sa
acceseze orice resurs partajat din domeniul respectiv.
Setarea clientului
Setarea clientului Windows 9x se face din Control Panel->Network->Client for
Microsoft Network->Properties. Aici se introduce numele domeniului la care se dorete
conectarea, daca se dorete autentificarea
la domeniu i daca se refac sau nu
legaturile.
Setarea clientului n Windows
XP (sau ulterioare) se face cu ajutorul
unui vrjitor (wizard) care asist
utilizatorul n stabilirea setrilor necesare
conectrii la un domeniu sau workgroup.
In procesul de conectare la un
domeniu definit pe un server Microsoft,
este necesar prezena administratorului
care valideaz prin propria parol
accesul calculatorului la domeniul
Microsoft. Prin validare se nregistreaz
adresa fizic a calculatorului n baza de
date a domeniului iar ulterior la
iniializare utilizatorul va fi autentificat
n baza de date a domeniului.
Setarea serverului
Pentru administrarea domeniului
pe un server NT trebuie mai nti ca
utilizatorul s fie aibe drepturi de administrator. Cu ajutorului programului User Manager for
Lect. drd. Daniel Luca
1

Reele de Calculatoare
Domains
sunt:
-

Laborator 4

se administreaz Domeniul serverului. Sarcinile Administratorului de Domeniu

adaugarea sau tergerea de utilizatori
administrarea drepturilor fiecrui utilizator
crearea i admnistrarea de grupuri de utilizatori cu drepturile aferente
gestionarea resurselor partajate pe server i a parolelor de partajare
implementarea politicii de comunicare cu alte domenii administrate pe alte servere
asigurarea accesului spre alte reele inclusiv la Internet

Observaii:
1. Un Domeniu Microsoft este o grupare logic de resurse partajate n reea care,
indiferent de locaie, conectare sau tip de resurs fizic, au n comun aceeai politic de
securitate administrat de un Controler de Domeniu
2. Pentru administrarea unui Domeniu Microsoft se poate utiliza i un server cu
sistemul de operare Linux pe care se instaleaz pachetul de programe i protocoale SAMBA.
Cu aceste utilitare se poate administra cu succes un Domeniu Windows la care se pot conecta
clienti Windows. Administrarea n acest caz este mai dificil i se bazeaz pe configurarea
corect a unor fiiere de setare n care sunt specificai toi parametrii de funcionare ai
serverului.
ntr-un Domeniu Microsoft se pot instala urmtoarele elemente:
- Calculator server Controler Primar de Domeniu (PDC)
- Calculator server Controler Secundar de Domeniu (Backup DC BDC)
- Server membru n domeniu care nu e controler de Domeniu
- Calculatoare client (Workstations)
Un Server Controler de Domeniu pstreaz o baz de date cu informaiile referitoare la
securitatea n Domeniu (utilizatori, politici-policies, .a.) Security Accounts Manager (SAM
database). Aceast baz de date se actualizeaz la fiecare modificare fcut de
Administratorul Domeniului. Serverul Secundar pstreaz o copie a SAM pe care o
actualizeaz periodic de la serverul principal. Serverul secundar trateaz majoritatea cererilor
de autentificare a utilizatorilor. Alte servere membre ale Domeniului nu pot pastra o copie a
SAM.
Exist mai multe tipuri de Domenii Windows NT:
- Model de Domeniu local unic. Administrat de un PDC (eventual cu un BDC)

Lect. drd. Daniel Luca

Reele de Calculatoare

Laborator 4

Model cu Domeniu Master unic. n care sunt definite mai multe domenii ntre care
exist relaii de subordonare. Utilizatorii sunt gestionai i autentificai numai de
domeniul Master.

In Windows 2000, Microsoft a introdus noiunea de Active Directory. Aceasta este o

baz de date distribuit care conine informaii despre obiectele din reea i relaiile dintre ele.
Relaiile sunt stabilite la crearea reelei i evolueaz odat cu aceasta.
Baza de date este memorat pe un server special care se numete Domain Controller
(Controler de Domeniu). Un Domeniu poate avea mai multe Controlere de Domeniu ntre
care se partajeaz baza de date cu utilizatori. Active Directory poate rspunde unei interogri
prin replicile de pe Controlerele de Domeniu. O baz de date Active Directory poate memora
date despre resurse fizice sau logice, conturi de utilizatori, Domenii, politici de securitate,
aplicaii i servicii.
Obiectele dintr-un Active Directory pot fi ierarhizate utiliznd containere:
- Domeniul: Un AD poate fi alctuit din mai multe Domenii. Iar un domeniu poate
conine mai multe resurse logice sau fizice.
- Arborele: Este un set de domenii care au n comun un domeniu rdcin i
motenesc o singur intrare n Sistemul de Domenii (DNS) (ex. Acme.com)
- Grup de Arbori (Forest): Este un grup de doi sau mai muli arbori
- Unitate organizaional: Permite Administratorilor de sistem s memoreze logic
i s administreze obiectele dintr-un domeniu.
Observaii:
1. Un Active Directory permite definirea de grupuri i politici de securitate care pot
cuprinde mai multe domenii.
2. Autentificarea utilizatorilor ntr-un domeniu AD se bazeaz pe tehnica Kerberos
care presupune o sincronizare strict a ceasurilor tuturor calculatoarelor membre n domeniu.

Lect. drd. Daniel Luca