Documente Academic
Documente Profesional
Documente Cultură
Active Directory PDF
Active Directory PDF
Administrarea domeniilor
Serviciul director Active Directory
Creterea numrului de calculatoare existente la un moment dat ntr-o reea
a impus necesitatea folosirii unui serviciu centralizat care s asigure
efectuarea diverselor operaii de reea, modelul workgroup fiind greu de
implementat i gestionat n astfel de situaii.
Un serviciu director (directory service) cuprinde o colecie de informaii
despre obiecte care sunt n legtur unele cu altele ntr-o anumit privin.
Serviciul director furnizeaz un mod consistent de a identifica, localiza,
organiza, securiza i simplifica accesul la resursele unei reele de
calculatoare.
Active directory este tehnologia creat de Microsoft pentru serviciul director
Windows Server 2003. Active Directory pstreaz i pune la dispoziie
informaii despre resursele unei reele, organizate n obiecte. Fiecare obiect
are un set de atribute asociate, informaii care identific i descriu obiectul.
Baza structurii logice n Active Directory este domeniul. Domeniul este n
general o colecie de obiecte, unele dintre ele create de administratorul
domeniului. Folosind o singur baz de date, Active Directory ofer
posibilitatea administrrii centralizate a tuturor resurselor unei reele.
Structura Active Directory este reprezentat printr-o ierarhie de obiecte, n
care fiecare obiect reprezint o singur entitate: un computer, un utilizator,
un grup, o imprimant. Obiectele au proprieti, numite i atribute. Unele
obiecte sunt containere, deci conin alte obiecte, inclusiv alte containere. De
aici structura ierarhic Active Directory. La nivelul cel mai nalt al ierarhiei
Active Directory se afl forest (pdure). Un forest se compune din arbori
(tree). La rndul lui un arbore este compus din domenii.
Domeniul
Conform terminologiei Microsoft, domeniul este reprezentat dintr-un grup de
calculatoare care fac parte dintr-o reea i care folosesc n comun aceeai
baz de date n care sunt reprezentate resursele reelei. Domeniul este
administrat ca entitate distinct, cu reguli i proceduri comune pentru toate
calculatoarele care l compun. Domeniile sunt recunoscute prin nume.
Calculatoarele membre ale domeniului respect politica de securitate a
domeniului. n plus, domeniul ofer i soluia administrrii centralizate a
tuturor resurselor reelei, indiferent unde ar fi ele distribuite: administrarea
bazei de date a domeniului este n fond soluia pentru administrarea tuturor
resurselor reprezentate prin obiecte nscrise n aceast baz
de date. O singur operaie de logon n domeniu
(deschidere de sesiune) este suficient pentru ca un
utilizator s fie recunoscut n domeniu i s aib acces la
resursele domeniului, n limita permisiunilor i a privilegiilor
de care dispune.
Reprezentarea grafic a domeniului este triunghiul care sugereaz frontiera
de administrare, frontiera de securitate i aezarea ierarhic a
componentelor sale. Domeniul este construit n jurul unui controler de
domeniu (domain controller). ntr-un domeniu trebuie s existe cel puin un
controler de domeniu. El deine toate informaiile despre domeniu, despre
resursele reelei i este serverul folosit pentru autentificarea n domeniu
(logon n domeniu). Crearea unui domeniu se obine prin crearea
controlerului de domeniu. Instalarea serviciului Active Directory pe un server
l transform n controler de domeniu. Active Directory se poate instala pe
sistemele de operare Windows Server 2003, mai puin ediia Web Edition.
Mai multe domenii pot fi organizate ierarhic i pot constitui structuri
arborescente, numite tree.
Un arbore (tree) este o grupare de domenii din acelai spaiu de nume, deci
o convenie relativ la modul n care sunt denumite acestea. ntre domenii
exist relaii de tip printe - copil: un subdomeniu este fiul domeniului printe.
Fiecare domeniu are un nume
propriu.
n figura alturat este reprezentat o
structur de domenii, n care avem un
singur tree (arbore). Numele
domeniului rdcin este
microsoft.com, nume n formatul
Domain Name System (DNS).
Numele subdomeniului se formeaz
prin concatenarea unui sufix la
numele printelui, ca de exemplu
uk.microsoft.com, care este un
subdomeniu al domeniului microsoft.com. Liniile care unesc domeniile
definesc relaiile dintre ele: n acest caz sunt relaii de genul printe-copil
(parent-child) sau domeniu-subdomeniu.
O pdure (forest) este o grupare de arbori (tree) care au spaii de nume
distincte.
Unitate organizaional
O unitate organizaional (OU) este un container din domeniu folosit pentru a
stoca i organiza obiecte. Unitile organizaionale pot fi folosite n vederea
delegrii sarcinilor administrative distincte unor utilizatori care nu sunt
administratorii domeniului. Ei vor primi numai sarcina administrrii unora
dintre obiectele din acea unitate organizaional. Unitile organizaionale pot
fi incluse unele n altele, ceea ce asigur o structur ierarhic a obiectelor.
Copiere (Copy)
Mutare (Move)
Obiectele Active Directory au
proprieti, numite n alte
situaii atribute. Valorile
asociate proprietilor asigur
identificarea unic a obiectelor.
Domain Controllers
este un container de tip
unitate organizaional
pentru conturile
controlerelor de
domeniu.
Grupuri
Grupurile sunt colecii de utilizatori i calculatoare care pot fi tratate unitar.
Grupurile au membrii i pot fi incluse n alte grupuri. Grupurilor le sunt de
obicei asociate drepturi sau permisiuni, ceea ce face ca fiecare membru al
grupului s beneficieze de acelai set de drepturi sau permisiuni. Crearea
conturilor de grup se face printr-o comand New Group
Grupurile sunt caracterizate prin tip i arie de cuprindere sau arie de
vizibilitate (scope). n funcie de tip, grupurile pot fi de distribuie, adic
membrii grupului vor fi destinatarii mesajelor e-mail trimise ctre grup, sau de
tip securitate (security). n acest ultim caz, grupului i se pot asocia drepturi,
permisiuni, restricii, ceea ce va face ca fiecare membru al grupului s aib
exact acelai set de drepturi, permisiuni i restricii.
Dup aria de cuprindere sau aria de vizibilitate grupurile pot fi:
Globale
Locale domeniului
Universale
Diferenierea n funcie de scope apare cnd se analizeaz relaia dintre
membrii grupului i resursele disponibile. n general, grupurile au membri
care pot fi conturi de utilizator i/sau alte grupuri. Resursele disponibile,
respectiv resursele pe care le pot folosi membrii grupului, sunt foldere,
fiiere, imprimante distribuite pe calculatoarele din reea. n analiza ce
urmeaz considerm o structur Active Directory cu cel puin dou domenii.
Resursele
disponibile Oriunde, n orice domeniu al pdurii
\\NumeComputer\NumeResursPartajat
Imprimanta va fi apoi
identificat prin specificatorul
UNC, de tipul
\\servername\printername
Permisiuni la obiectele din Active Directory
Fiecare obiect din Active Directory are asociat un descriptor de securitate
care definete cine are permisiunea de a accesa obiectul i ce tip de acces
este permis. La fel ca
pentru foldere, fiiere sau
imprimante, lista
permisiunilor este definit
prin Discretionary Access
Control Lists (DACLs). Lista
DACL nu este afiat prin
Active DirectoryUsers and
Computers dect dac
modul de vizualizare
(meniul View) este
Advanced Features
(caracteristici avansate).
Reguli:
This object only Numai pentru acest obiect - , caz n care permisiunea
nu va fi transmis mai departe; permisiunea este acordata numai obiectului
curent.
This object and all child Objects - Acest obiect i toate obiectele copil - ,
este situaia n care permisiunea se aplic obiectului container curent i
tuturor obiectelor pe care le conine.
Child Objects Only - Numai pentru obiecte copil - , se refer la permisiuni
care se aplic numai obiectelor din container, nu i containerului nsui.
Un anumit tip de obiect, caz n care permisiunea se acord numai
obiectelor de tipul respectiv din acel container.
Politica de grup
Politica de grup (Group policy) ofer administratorilor posibilitatea de a
controla mediul de lucru pentru fiecare utilizator i calculator din domeniu.
Aceste politici pot conine setri care s modifice aspectul desktop-ului
utilizatorului, s reconfigureze opiunile legate de securitate, s instaleze
automat anumite pachete software pe un calculator i nc multe altele.
Politicile de grup se pot aplica obiectelor computer i utilizator din ntreg
domeniul sau numai dintr-o anumit unitate organizaional.
Politicile de grup pot configura printre altele:
Configurri din Registry
Opiuni de securitate
Opiuni de instalare i de ntreinere software
Opiuni pentru fiierele cu comenzi folosite n anumite situaii, cum ar fi la
startarea sau oprirea funcionrii calculatoarelor, la deschiderea sau
nchiderea sesiunii utilizatorilor
Opiuni de redirectare a folderelor
Not: Politicile de grup nu au efect asupra computerelor care au sisteme de
operare mai vechi, cum ar fi Windows NT 4.0 sau Windows 98. Politicile de
grup se aplic pentru calculatoare membre ale domeniului i care ruleaz
sisteme de operare server sau staie de lucru ncepnd cu Microsoft
Windows 2000.
Politica de grup se poate defini att la nivelul calculatorului local ct i n
domeniul Active Directory.
Politica de grup conine urmtoarele dou ramuri majore:
Computer Configuration
Administratorii pot utiliza
Computer Configuration pentru
stabilirea politicilor care se aplic
pentru computer, indiferent cine
deschide sesiune (logon) folosind
calculatorul. Computer
Configuration conine
subelemente pentru setri
software, setri Windows i
abloane administrative.
User Configuration
Administratorii pot utiliza User
Configuration pentru configurarea
politicilor care se aplic utilizatorilor, indiferent de computerul pe care acetia
l folosesc. User Configuration conine subelemente pentru setri software,
setri Windows i abloane administrative.
Pe fiecare calculator exist Local Group Policy care conine setri locale
pentru acel computer. Pentru calculatoarele care nu fac parte din domeniu
acesta este singura politic aplicat. Pentru cele care fac parte din domeniu,
aceasta se combin cu eventualele politici din domeniu.
Group Policy Editor este utilitarul de editare pentru politicile de grup (Group
Policy).
Editorul pentru obiectele Group Policy poate fi invocat (apelat) n mai multe
moduri:
1.Group Policy pentru
calculatorul local
n consola mmc (Microsoft
Management Console) poate fi
adus utilitarul Group Policy
Object Editor.
File Add/Remove Snap-inAdd i din fereastra Available Stand-alone
Snap-ins se alege Group Policy Editor.
http://www.microsoft.com/downloads/details.aspx?familyid=0A6D4C24-
8CBD-4B35-9272-DD3CBFC81887&displaylang=en
Va fi ales n continuare
controlerul de domeniu pe care
se va executa procedura de
simulare. Trebuie s fie un
controler de domeniu unde este
instalat un sistem de operare
Windows Server 2003.
Urmeaz alegerea contextului n care va avea loc simularea: pentru ce
utilizator din domeniu i pentru ce calculator. Se poate specifica n clar att
utilizatorul ct i calculatorul sau, pentru oricare dintre aceste obiecte se
poate specifica containerul unde se afl obiectele pentru care se simuleaz
efectele aplicrii configurrilor.
Urmeaz cteva referiri la site i n final vor fi specificate grupurile din care
fac parte conturile utilizator i computer pentru care se face simularea. Tab-
ul Settings ofer rezultatele simulrii.
Group Policy Results
este componenta folosit
pentru vizualizarea
rezultatelor. Formatul de
prezentare este similar ce
cel de la Group Policy
Modeling. De data aceasta
ns rezultatele sunt cele
reale nu simulate. Sunt
prezentate deci, efectele,
rezultatele aplicrii
obiectelor GPO construite
i legate anterior. Pe
calculatoarele pentru care
se vor afia rezultatele
trebuie s fie instalate
sisteme de operare Windows XP sau Windows Server 2003.
Cnd un utilizator pornete un calculator i deschide sesiune n domeniu, vor
fi procesate pe rnd, setrile GPO asociate computerului i apoi cele pentru
utilizator. Din timp n timp ns, aceste setri vor fi remprosptate,
reaplicate. Pentru calculatoarele membre ale domeniului remprosptarea
are loc la intervale prestabilite. Intervalul implicit este de 90 de minute cu
abateri (plus sau minus) de maxim 30 de minute. Controlerele de domeniu
au un regim diferit: remprosptarea are loc din 5 n 5 minute. Administratorii
de domeniu pot fora aplicarea (mprosptarea) politicilor prin comanda
gpupdate.
n mod implicit, toate
setrile din obiectele
GPO legate la un
container se aplic
tuturor utilizatorilor i
computerelor din
acel container.
Dac intenia
administratorului de
domeniu este ca
politicile s se aplice
numai anumitor
utilizatori sau
anumitor
calculatoare, atunci
vor intra n oper
procedurile de filtrare, prin care vor fi selectate numai acele calculatoare i,
respectiv, acei utilizatori crora trebuie s li se aplice politica. Filtrele sunt
construite folosind tab-ul Delegation pentru fiecare obiect GPO n parte.
Filtrele sunt de fapt permisiuni acordate calculatoarelor i utilizatorilor pentru
acel GPO. Pentru ca setrile dintr-un obiect GPO s se aplice unui cont
utilizator sau unui cont de calculator, conturile trebuie s aib permisiunile
Read (citire) i Apply Group Policy (aplic politica de grup) pentru acel
GPO. n mod implicit grupul Authenticated Users dispune de permisiunile
Read i Apply Group Policy pentru orice GPO din domeniu.
Butonul Advanced rafineaz informaiile despre permisiunile necesare
conturilor, n vederea aplicrii coninutului configurrilor din obiectul GPO.
Comanda folosit
pentru instalarea
controlerului adiional
de domeniu este
dcpromo.
Vor fi specificate n
continuare numele i
parola pentru contul de
utilizator care poate
instala serviciul Active
Directory Service.
Replicarea automat
poate fi nlocuit cu
replicarea la cerere,
folosind comanda
Replicate Now
(Replicare acum).
_______________________________________