Retele de calculatoare

Configurarea Active Directory. Creearea utilizatorilor. Definirea politicilor de

securitate
Una dintre etapele esentiale in definirea unui domeniu W2k este reprezentata de creearea
conturilor de utilizator, organizarea acestora pe grupuri organizationale si creearea unei politici
de securitate pentru acestia.
Lansarea Active Directory in scopul configurarii: Start -> Programs -> Administrative
Tools -> Active Directory Users and Computers.
Va recomandam, in scim!, sa va creeati o consola administrativa in care sa includeti mai
multe componente de administrare pentru serverul d"voastra :
#. Start -> Run -> C !
2. eniul Console -> Add"Remove Snap-#n -> Add -> Active Directory Users and
Computers -> Add -> Computer anagement -> Add -> $inis% -> D&S -> Add -> 'vent
(ie)er -> Add -> $inis% -> Close.
$entru configurarea e%tensiilor pentru fiecare categorie in parte din fereastra AddRemove
Snap-in &figura #'.(.#), alegeti ta!"ul '*tensions, dezactivati Add all extensions si pastrati
numai optiunea Group Policy, dupa care alegeti din lista urmatoarea componenta : Computer
Management, dezactivati Add all extension si alegeti optiunile care va intereseaza pentru fiecare
categorie in parte.
Dupa ce confirmati, puteti salva consola administrativa pentru utilizari ulterioare din
meniul Console, optiunea Save. Va recomandam sa o salvati pe desktop"ul sistemului d"voastra
pentru a putea fi accesi!ila cat mai usor.
Nota : Aceasta optiune de creeare a consolei administrative nu este o!ligatorie.
Scurta prezentare a componentei Active Directory Users and Computers (A.D.U.C.)
A.D.U.*. pentru domeniul curent contine, in mod implicit, + categorii :
Builtin , care va contine un set de utilizatori predefiniti cu diferite roluri in cadrul
domeniului d"voastra
Computers , contine toate statiile incluse in domeniul curent.
Domain Controllers , include toate serverele din domeniul curent care au instalat si
configurat serviciul A.D.
ForeignSecurityPrincipals , contine identificatorii de securitate &security identifiers "
-.Ds) asociati o!iectelor A.D. din alte domenii decat cel curent.
sers , contine informatii despre toti utilizatorii si grupurile de utilizatori implicite.
A.D.U.*. poate gestiona informatii despre calculatoare, grupuri de utilizatori, grupuri
organizationale, imprimante, utilizatori si directoare puse la dispozitie in retea &sared folders).
.nainte de creearea unui utilizator va recomandam sa creeati intai un nou grup organizational
care poate include si statii de lucru, si asupra caruia se poate creea o politica de securitate
centralizata : Action -> &e) -> +rganizational Unit "/ introduce"ti o denumire sugestiva, &de
e%emplu, Vizitatori) "/ +,.
La proprietatile unui grup organizational putem specifica urmatoarele informatii :
informatii generale &General). *ontine informatii prinvind descrierea grupului si adresa
la care poate fi localizat acesta :
informatii despre persoana, utilizatorul care gestioneaza grupul respectiv &Managed By).
$ersoana care se ocupa de gestiunea utilizatorului respectiv poate fi scima!a apasand
!utonul C%ange, datele de identificare despre acesta fiind preluate automat din A.D.
politicile de securitate aplicate grupului respectiv &Group Policy) unde avem posi!ilitatea
de creeare a unei noi politici de securitate sau importul unei politici de0a e%istente. 1u
activati optiunea Bloc! Policy "n#eritance pentru ca aceasta nu se va mai propaga
automat asupra altor su!sisteme organizationale din gurpul respectiv.
Creearea unei noi politici de securitate si cateva aspecte si motivatii ale unei politici de
securitate
Din A.D.U.*., 2*lick &pe grupul organizational) "/ Proprieties "/ -roup Policies "/ &e) "/
&se tasteaza numele politicii, de e%emplu, viz$ol , politica pentru vizitatori) "/ 'dit.
3ereastra Group Policy este impartita in doua mari categorii :
Computer Con$iguration &politica statiilor de lucru si a serverelor din domeniu) 4
ser Con$iguration &politica de securitate pentru utilizatorii din grupul
organizational respectiv)
Daca grupul organizational contine numai utilizatori sau calculatoare, cealalta optiune
poate fi !locata din fereastra de proprietati a poiticii de securitate &2*lick 5pe numele politicii6
"/ Proprieties) &figura #'.(.2).
.n momentul in care activati una dintre cele 2 optiuni, va aparea pe ecranul d"voastra o
fereastra de atentionare cu privire la consecintele care pot fi generate in urma acestei operatiuni,
respectiv faptul ca statiilor de lucru din acest grup organizational le va fi aplicata politica de
securitate locala. Apasati cu inredere !utonul .es, pentru ca se poate reveni in orice moment la
starea initiala.
Va recomandam sa creeati o politica de securitate cu preponderenta orientata spre
utilizator, pentru ca pe aceeasi statie se pot conecta diferite categorii de utilizatori care pot avea
diferite niveluri de acces la aceasta, anumite operatiuni fiindu"le private de o eventuala politica
de securitate eronat specificata.
7 prima su!categorie intalnita la am!ele categorii este So$t%are Settings ce contine
optiunea So$t%are installation, care presupune instalarea automata a unor aplicatii impacetate in
preala!il in mod administrativ. $acetele utilizate in acest scop sunt recunoscute su! e%tensia
MS". *ateva instrumente folosite pentru creearea pacetelor de instalare 8-. sunt : &eritas
So$t%are Console' "nstall S#ield Pro$essional' (ise Pac!age Studio. Aceste pacete se salveaza
intr"un director pus la dispozitie in retea. .ntrumentele respective se !azeaza pe creearea unei
imagini &snaps#ot) a registrilor sistemului de operare, instalarea si configurarea aplicatiilor,
repornirea sistemului, impacetarea aplicatiei prin preluarea fisierelor de pe disc, precum si a
ceilor introduse in registrii. Din testele pe care le"am efectuat cu &eritas So$t%are Console,
acest sistem se aplica cu succes doar aplicatiilor de mici dimensiuni, gen arivare.
.n categoria (indo%s Settings e%ista optiunea Scripts care pentru Computer
Con$iguration include su!optiunile Startup si S#utdo%n, iar la ser Con$iguration include )og
on si )og o$$. Aici se pot specifica diferite script"uri care sa se declanseze in momentul in care
statia sau utilizatorul se autentifica in retea. Asupra catorva modele de scrip"uri vom reveni
ulterior.
7 optiune din politica de securitate poate avea ' setari 4
1edefinita9neconfigurata &not defined9not configured) 4
Definita9Activa &specificarea unei valori9:na!led) 4
.ndisponi!ila &Disa!led).
-cim!area valorilor se poate realiza prin actionarea du!lu *lick pe optiune sau din
meniul Action, optiunea Security.
.n continuare, com incerca sa e%plicam cateva dintre optiunile politicii uzuale de
securitate, valorile aferente si, inainte de toate, calea de a a0unge la optiunea respectiva.
Computer Configuration /indo)s Settings Account Policies Pass)ord Policies0
Maximum pass%ord age &durata ma%ima de vala!ilitate a unei parole) , forteaza
utilizatorul ca dupa un anumit numar de zile &implicit ;<) sa"si scim!e parola. :ste in
stransa legatura cu Minimum pass%ord age &durata minima de vala!ilitate a unei parole)
&implicit '< de zile).
Pass%ords must meet complexity re*uirements &parola tre!uie sa ai!a un format comple%)
, care inseamna ca acesta nu tre!uie sa contina o parte sau tot numele de utilizator 4 sa nu
fie mai mica de ( caractere 4 sa contina caractere mari, mici, numere si caractere non"
alfanumerice &de e%emplu, =, >"/, ?). De asemenea, se recomanda folosirea caracterelor
speciale sau a caracterului spatiu in creearea parolelor. Activarea acestei optiuni forteaza
utilizatorul sa nu mai foloseasca data nasterii, numarul de la masina sau nume familiare
in creearea parolelor.
Computer Configuration /indo)s Settings Security Settings Account Policies Account
1oc2out Policy :
Account loc!out t#res#old &!locarea contului de utilizator) , se configureaza pentru a
preveni incercarile repetate de conectare la retea in conditiile de necunoastere a parolei.
Valorile pe care le poate lua sunt de la # la @@@. .mplicit aceasta optiune nu este
configurata, iar valoarea < elimina posi!ilitatea de !locare a contului. 2ecomandam
valoarea ' pentru aceasta optiune.
Account loc!out duration &timpul de !locare a unui cont) specifica durata de !locare a
unui cont care a fost !locat automat prin optiunea anterioara. .ntervalul de valori este
cuprins intre # si @@@@@ minute, valoarea implicita fiind de '< de minute, configura!ila
automat in momentul in care se configureaza optiunea anterioara.
Computer Configuration /indo)s Settings Security Settings 1ocal Policies Audit
Policy :
Audit account log-on events &inregistrarea evenimentelor de conectare in retea) , permite
scrierea unei inregistrari in :vent VieAer pentru fiecare operatiune de log in sau log off
pe care o efectueaza un utilizator autentificat de o statie din domeniu. .n stransa legatura
cu aceasta este optiunea Audit logon events.
Audit account management &inregistrarea evenimentelor de modificare a conturilor de
utilizator) , optiune foarte utila in gestiunea unei retele, fiind foarte important de stiut
cand si de catre cine au fost efectuate modificari asupra conturilor de utilizatori.
Audit policy c#ange &inregistrarea scim!arilor in politicile de securitate) , adauga in
+vent &ie%er inregistrari despre modificarile drepturilor de acces la anumite resurese pe
statia respectiva.
Computer Configuration /indo)s Settings Security Settings 1ocal Policies User Rig%ts
Assignement :
Add %or!station to domain &adaugarea de statii in domeniu) , se configureaza pentru a
permite utilizatorilor sau unui grup de utilizatori sa adauge statii de lucru in domeniu.
.mplicit, grupul de utilizatori care poate adauga statii in domeniu este Aut#enticated
sers, dar in aceasta categorie pot intra toti utilizatorii creeati in Active Directory, ceea
ce diminueaza controlul asupra statiilor din domeniul respectiv. Va recomandam sa
configurati aceasta politica de securitate cu specificarea stricta a grupului
Administrators : Du!lu *lick &pe optiune) "/ Define t%ese policy settings in t%e
template "/ Add -> 3ro)se "/ Du!lu *lick &pe Administrators) "/ +, -> +, -> +,.
C#ange t#e system time &scim!area timpului din sistem). .n mod implicit, fiecare
utilizator poate sa scim!e data si ora sistemului, dar nu recomandam acest lucru pentru
ca poate duce la inregistrarea gresita din punctul de vedere al timpului a unor evenimente
de retea. -cim!ati asemnanator e%emplului anterior aceasta optiune, definind dreptul de
acces grupurilor administrative la nivel de domeniu.
Pont : -incronizarea timpului de pe statii in mod automat in retea se poate realiza prin
comanda net time care poate fi specificata intr"un script de startup pe statiile din domeniu.
De e%emplu : net time 9rtsdomain:numeBdomeniu 9set.
Computer Configuration /indo)s Settings Security Settings 1ocal Policies Security
+ptions :
Additional restrictions $or anonymous access &Acces limitat cone%iunilor anonime).
7rice utilizator din domeniu curent sau din alte domenii poate vedea, in mod implicit,
resursele puse la dispozitie in retea. $entru a oferi o mai !una protectie domeniului
recomandam optiunea Do not allo% enumeration o$ SAM accounts and s#ares, care
inlocuieste grupul de utilizatori +vreyone cu Aut#enticated sers in definirea politicilor
locale de acces la diferite resurse. .n acest fel, numai utilizatorii din Active Directory pot
avea acces la resursele domeniului : sare"uri, imprimante etc.
Automaticall, log o$$ users %#en logon time expires &Deconectarea automata de la retea
in momentul e%pirarii timpului de lucru). $entru anumite categorii de utilizatori sau in
mod individual poate fi configurat un interval orar de acces in retea. .n momentul in care
utilizatorul depaseste timpul alocat, acesta este deconectat automat de la resursele
retelelor. De asemenea, si versiunea urmatoare &local) tre!uie activata pentru ca sistemul
sa deconecteze automat utilizatorul.
Do not display last user name in logon screen &1eafisarea numelui ultimului utilizator
conectat pe statia curenta). .n cazul retelelor cu mai multi utilizatori, activarea acestei
optiuni aduce un spor de siguranta la conectarea in retea, multi utilizatori nefiind destul
de atenti la ultimul ser Name scris in fereastra de )og -n. .n cazul in care intr"o retea
acelasi utilizator lucreaza cu preponderenta pe aceeasi statie, activarea acestei optiuni nu
este recomandata.
Message text $or users attempting to log on &8esa0ul pentru utilizatorii care doresc sa se
conecteze in retea). Aici se poate trece un mesa0 de informare a utilizatorilor care se
conecteaza in retea. 7ptiunea Message title $or users attempting to log on specifica titlul
ferestrei de mesa0 &de e%emplu, Bun venit in cadrul retelei M.D-M).
Num/er o$ previous logons to cac#e 0in case domain controler is not availa/le1 &1umarul
conectarilor anterioare salvate local in cazul in care serverul de domeniu nu este
disponi!il) , permite conectarea pe statii folosind utilizatorii de domeniu ciar si in cazul
in care serverul de autentificare este temporar indisponi!il. Aceasta optiune este
recomanda!ila numai in cazul in care domeniul contine putini utilizatori, si acestia se
conecteaza cu precadere pe aceeasi statie. .n cazul domeniilor cu multi utilizatori,
creearea profilurilor de utilizatori locali duce la o diminuare a spatiului disponi!il pe disc.
Valoarea < este corespondenta cazului al doilea.
Prompt user to c#ange pass%ord /e$ore expiration &Atentionarea utilizatorului pentru a"si
scim!a parola cu un anumit timp inainte de e%pirare). -e e%prima in zile, valoarea
implicita fiind #C. Va recomandam insa o valoare mai mica, + sau ;, pentru a nu deran0a
utilizatorul la fiecare conectare, -cim!area parolei acestuia duce la anularea aparitiei
mesa0ului de avertizare pana la urmatorul termen.
Restrict CD-R-M access to locally logged-on user only &Dlocarea accesului la *D"278
utilizatorilor autentificati de statie si nu de serverul de domeniu). -e utilizeaza pentru
prevenirea instalarii unor aplicatii, copierii de fisiere etc. de alti utilizatori decat cei
autentificati in domeniu. De asemenea, se poate interzice accesul catre unitatea de
disceta prin urmatoarea optiune : Restrict $loppy access to locally logged-on user only.
Computer Configuration /indo)s Settings Security Settings 'vent 1og Settings for
'vent 1ogs :
.n aceasta sectiune, activarea optiunilor Retain application' system' security log si
configurarea lor la un anumit numar de zile &implicit ;) aduce cu sine o configurare automata a
optiunilor Retention met#od $or care pot fi configurate implicit pe zile.
Computer Configuration /indo)s Settings Security Settings Restricted -roups:
:ste destinata limitarii drepturilor anumitor grupuri de utilizatori, prin adaugarea acestora in
aceasta categorie: 2*lick pe optiune "/ Add -roup -> 3ro)se "/ se alege grupul din lista "/
+, -> +,.
Computer Configuration /indo)s Settings Security Settings System Services :
:ste destinat configurarii serviviilor care vor rula pe statiile de lucru din domeniu. -e pot
defini modul de pornire a serviciului, precum si grupurile de utilizatori care au dreptul de pornire
a respectivului serviciu. De e%emplu, dorim ca serviciul Eelnet sa porneasca manual si numai
administratorul de domeniu sa ai!a drepturi de e%ecutie asupra acestuia : Du!lu *lick pe serviciu
"/ activati De$ine t#is policy settings in t#e template "/ in fereastra Security $or 2elnet apasati
Add "/ se alege din lista grupul Administrators "/ +, "/ se apasa optiunea Allo), $ull Control
de la Permissions "/ *lick pe +vreyone "/ Remove "/ +, "/ anual "/ +,. Atentie la modul
de pornire a anumitor servicii. Eestati in preala!il pe o statie o!isnuita care dintre servicii va pot
asigura o functionalitate optima si care pot fi oprite. :ste !ine cunoscut ca un numar mai mic de
servicii aduce cu sine si o memorie 2A8 suplimentara.
Computer Configuration /indo)s Settings Security Settings Registry este optiunea prin
intermediul careia administratorii pot defini permisul de acces utilizatorilor pe anumite sectiuni
din registrii sistemului de operare de pe statiile de lucru.
Computer Configuration /indo)s Settings Security Settings $ile System permite
administratorilor adaugarea si definirea politicii de securitate la nivelul directoarelor si fisierelor
de pe statiile de lucru.
Computer Configuration Administrative Template contineo serie de sa!loane de optiuni
predefinite configura!ile. -a!loanele implicite cunt con$, inetres, system. Adaugarea unui noi
sa!lon aduce cu sine posi!ilitatea configurarii de noi optiuni de securitate : 2*lick &pe
Administrative Eemplates) "/ Add"Remove Templates "/ Add "/ se alege un cadru din lista &de
e%emplu, inetset) "/ +pen -> Close.
7ptiunile din Administrative Eemplates sunt foarte multe, o sa amintim aici doar cateva,
precizand ca o documentare completa a acestora puteti gasi la adresa
ttp:99msdn.microsoft.com9li!rary9rn"us9gp9default.asp
.ncetarea aparitiei ferestrei de !un venit la conectarea in retea : Computer Con$iguration
Administrative 2emplates System Don3t display %elcome screen at logo4
Dlocarea rularii automate a unui *D in momentul introducerii acestuia in unitatea de *D"
278 : Computer Con$iguration Administrative 2emplates System Disa/le Autoplay.
.n cazul in care mai aveti mai multe servere de autentificare pentru domeniu, propagarea
scim!arilor care se efectueaza pe acestea poate fi gonfigurata din : Computer
Con$iguration Administrative 2emplates System Group Policy Group Policy re$res#
interval $or domain controlers. Valoarea implicita este de + minute.
$rezentarea principalelor categorii din User *onfiguration
$ersonalizarea titlului pentru .nternet :%plorer si a imaginii de pa !ara cu instrumente:
ser Con$iguration (indo%s Settings "nternet +xplorer Maintenance Bro%ser ser
"nter$ace Bro%ser 2itle "/ Customi,e 2itle Bars "/ scrieti te%tul dorit "/ Customi,e
2ool/ar /ac!ground /itmap "/ Bro%se "/ cautati imaginea care tre!uie sa fie de tip
!itmap &F.D8$) "/ -pen "/ -5.
-pecificarea unui pro%y pentru comunicarea pe .nternet : ser Con$iguration (indo%s
Settings "nternet +xplorer Maintenance R)s "mportant R)s -6 Cutomi,e 7ome
PageSearc# /ar -nline support page R) "/ se tasteaza adresa paginilor dorite "/ -5.
Aceasta optiune este foarte importanta pentru configurarea paginii GE8L drept desktop
al statiilor din domeniu.
$entru specificarea altei locatii directorului 8y Documents : ser Con$iguration
(indo%s Settings Folder Redirection My Documents "/ 2*lick &pe My Documents) "/
Proprieties -6 2arget "/ .n lista Settings e%ista optiunea Basic 8 Redirect evreyone3s
$older to t#e same location &redirectarea tututor utilizatorilor catre aceeasi locatie), iar la
2arget folder location treceti adresa la care va fi redirectat automat directorul My
Documents pentru fiecare utilizator in parte. *alea pe care v"o recomandam este
numeBservernumeBsare in cazul nostru adresa fiind server"<#?username?>, server"<#
fiind numele serverului, iar ursername fiind varia!ila sistem care identifica numele de
sare pentru fiecare utilizator in parte. La optiunea Settings toate optiunile pot rimane in
mod predefinit. $olitica de securitate pentru My Pictures este configurata automat sa
urmeze directorul 8y Documents &Folo% t#e My Documents $older).
.nterzicerea scim!arii paginii de start &#ome page) : ser Con$iguration Administrative
2emplates (indo%s Components "nternet +xplorer Disa/le c#anging #ome page settings.
Ascunderea optiunii Folder -ption din meniul 2ools din WindoAs :%plorer cu scopul de
a nu permite utilizatorilor vizualizarea unor fisiere ascunse, sau fisiere sistem, in scop
distructiv, sau a eliminarii lor din necunostinta de cauza: ser Con$iguration
Administrative 2emplates (indo%s Components (indo%s +xplorer Removes t#e Folder
-ption meniu item $rom t#e 2ools menu4 7ptiunea ascunderii fisierelor si eliminarea
posi!ilitatii de dezascundere poate fi depasita cu utilitarul Comand Prompt, comanda
attri/4
Ascunderea anumitelor discuri in My Computer, pentru a restrictiona accesul la acestea:
ser Con$iguration Administrative 2emplates (indo%s components (indo%s +xplorer
7ide t#ese speci$ied drives in My Computer -6 +na/led "/ alegeti optiunile dorite din
lista "/ -54 3oarte multe erori care se intimla in utilizarea calculatoarelor sunt cauzate de
mutarea accidentala prin drag"and"drop a directoarelor dintr"o locatie in alta. $entru
prote0area sistemului de operare, dar si pentru a pastra o ordine in organizarea fisierelor
de pe discul *:, va recomandam sa activati optiunea Restrict C drive only4 De asemenea,
puteti !loca accesul la discurile A: sau 3: pentru a va prote0a si prin aceasta cale de
utilizaturii care pot transporta virusi pe discete &Restrict A' B and C drives only)..n cazul
in care doriti !locarea accesului la *D"278, tre!uie sa activati optiunea Restrict D drive
only, cu specificarea faptului ca tre!uie sa va configurati partitiile de pe statiile de lucru
&Administrative 2ools Computer Managment Dis! managment) in asa fel incit discul de
*D"278 sa ai!a asignata litera D. Daca statia d"voastra face parte dintr"un domeniu
pu!lic, gen i"cafe, puteti ascunde toate discurile de pe statie, prin activarea optiunii
Restrict all drivers. *iar daca activati aceasta politica de securitate, accesul la discuri
este posi!il din Command Prompt numai daca nu ati dezactivat aceasta optiune.
:liminarea iconitei My Net%or! Places din WindoAs :%plorer pentru a preveni accesul
neautorizat in retea: ser Con$iguration Administrative 2emplates (indo%s Components
(indo%s +xplorer No 9+ntire net%or!: in My net%or! Places4 7ricit de prote0ati credem
ca suntem, sa nu uitam niciodata ca un utilizator interesat in scop distructiv se HleagaI de
orice informatie pe care o acizitioneaza pentru a"si testa JforteleI. .ntre +< si K+? dintre
incidentele de securitate provin din interiorul organizatiei.
-pecificarea numarului ma%im de documentare stocate in lista documentelor recent
apelate: ser Cun$iguration Administrative 2mplates (indo%s Components (indo%s
+xplorer Maximum num/er o$ recent documents &valoare implicita: #+).
:liminarea optiunii Run din meniul Sart: ser cun$iguration Administrative templates
Start Menu ; 2as!/ar Remove Run Menu $rom Start Menu4
Ascunderea iconitei de acces la retea de pe Desktop : ser Con$iguration Administrative
2emplates Des!top 7ide My Net%or! Places icon on des!top.
.nterzicerea scim!arii destinatiei directorului sistem 8y Documnets : ser
Con$iguration Administrative 2emplates Des!top Pro#i/it user $rom c#anging My
Documents pat#.
Activarea desktop"ului activ : ser Con$iguration Administrative 2emplates Des!top
Active Des!top +na/le Active Des!top si interzicerea modificarilor ser Con$iguration
Administrative 2emplates Des!top Active Des!top Pro#i/it c#anges.
Adaugarea unei pagini Ae! pe desktop"ul activ : ser Con$iguration Administrative
2emplates Des!top Active Des!top Add<Delete "tem -6 +na/led "/ specificarea adresei
unei pagini Ae! care se doreste a fi postata pe desktop"ul utilizatorilor "/ -5.
Ascunderea resursei Active Directory in retea : ser Con$iguration Administrative
2emplates Des!top Active Directory 7ide Active Directory Folder.
.nterzicerea accesului la ta!loul de !ord al calculatorului &*ontrol $anel) : ser
Con$iguration Administrative 2emplates Control Panel Disa/le Control Panel.
Daca doriti sa pastrati numai anumite componente in *ontrol $anel,puteti alege optiunea
S#o% only speci$ied control panel applets si specificati numele componentelor pe care le
doriti. $entru a creea o lista de componente : S%o) -> Add "/ introduceti numele
componentelor "/ +2 -> +,. *omponentele pe care le puteti folosi le gasiti in directorul
in care a fost instalat sistemul de operare, su!directorul -ystem '2, su! forma unor fisiere
cu e%tensia CP). $ot e%ista in scim! si neclaritati in legatura cu aceste componente
pentru ca, de e%emplu, nu e%ista nici un CP) care sa descida fereastra de configurare a
tatstaurii, si nici a imprimantelor. Daca in documentatie se e%emplifica pe langa mai
multe *$L"uri si $rinters, inseamna ca putem incerca optiunea Ley!oard pentru ca
iconita pentru tatstatura sa fie singura vizi!ila in *ontrol $anel. 1oua nu ne"a functionat=
.nterzicerea modificarilor setarilor pentru display : ser Con$iguration Administrative
2emplates Display Disa/le Display in *ontrol $anel. Aceasta regula poate fi considerata
una dintre cele mai drastice pentru utilizatorul final. De ce ar tre!ui sa implementam o
astfel de politica in care utilizatorul nu"si poate adauga drept Wallpaper fotografia unui
loc, a unei persoane sau animal dragM Va prezentam un caz practic, deose!it de real,
concluziile urmand sa le trageti d"voastra. .ntr"o onora!ila institutie de invatamant, o
onora!ila profesoara de informatica a fost foarte aproape de pragul unui colaps psiic in
momentul in care a intrat intr"un la!orator, desktop"ul fiecarei statii de lucru fiind sci!at
cu fotografii din cea mai e%otica zona a NNN"ului. 3olosirea acestei politici de securitate
diminueaza posi!ilitatea de aparitie a unor cazuri de acest gen, pentru ca in utilitarul
Paint e%ista inca posi!ilitatea de setare a unei imagini drept fundal al desktop"ului d"
voastra.
.nterzicerea modificarii parametrilor E*$9.$ : ser Con$iguration Administrative
2emplates Net%or! Net%or! and Dial-up Connections Allo% 2CP<"P advanced
con$iguration -6 Disa/le.
Dlocarea accesului la utilitarul de comenzi &*ommand $rompt) : ser Con$iguration
Administrative 2emplates System Disa/le t#e command prompt. .n aceasta sectiune, la
optiunea :na!led este foarte important modul in care se vor e%ecuta script"urile. Daca la
procesul de autentificare de retea aveti script"uri de tip BA2 pentru diferite operatiuni,
alegeti din lista Disa/le t#e command prompt script processing also optiunea &o.
.nterzicerea accesului la registrii sistemului de operare, activati optiunea Disa/le registry
editing tools.
.nterzicerea accesului catre anumite aplicatii: Don3t run speci$ied (indo%s applications
"/ 'na4led -> S%o) -> Add "/ se trece numele aplicatiei a carei rulare dorim s"o
interzicem, de e%emplu, sol4exe, aplicatia pentru 0ocul Solitaire, dar lista aplicatiilor nu se
limiteaza numai la aplicatii WindoAs, ci si la alte e%ecuta!ile, gen m.2*'2.e%e "/ -5 -6
-5 -6 -5.
Limitarea accesului la aplicatia de gestiune a proceselor &Eask 8anager) : ser
Con$iguration Administrative 2emplates System )ogon )ogo$$ Disa/le 2as! Manager 4
recomadam aceasta optiune in momentul in care rulati aplicatii de monitorizare a statiilor
de lucru su! forma de servicii, pentru a preveni oprirea neautorizata a acestora de catre
utilizatori.
Detalii despre celelalte optiuni de configurare a policii de securitate puteti gasi la adresa
specificata intr"un paragraf anterior.
.n momentul in care incideti fereastra Oroup $olicy, toate configurarile pe care le"ati
personalizat in aceasta sectiune se salveaza automat. De asemenea, tre!uie sa incideti si
fereastra de proprietati a grupului organizational.
Creearea conturilor de utilizatori
-e spune ca o retea perfecta este cea fara utilizatori, dar insusi scopul acesteia este de a permite
utilizatorilor o comunicare rapida si o stocare centralizata a fisierelor si aplicatiilor.
7rganizarea utilizatorilor WindoAs 2<<< se face pe grupuri, fiecare grup acand anumite
drepturi si niveluri de acces la resursele retelei. 1u tre!uie sa uitam grupurile organizationale
care asigura o gestiune centralizata a resurselor disponi!ile.
*reearea unui cont de utilizator in A.D.U.*.
#. 2*lick &pe numele domeniului) "/ Ne% -6 ser "/ in fereastra 1eA 7!0ect , User
completati campurile: prenume &First name), numele de familie &)ast name), numele complet
&Full name) se completeaza automat, numele de utilizator &ser logon name) care va fi
folosit la conectare 4 va recomandam sa nu folositi spatii in numele utilizatorului "/ &e*t.
2. .ntroduceti parola utilizatorului si confirmati parola &Con$irm pass%ord), dupa care puteti
activa urmatoarele optiuni:
Utilizatorul va fi o!ligat sa"si scim!e parola la prima autentificare in retea &ser must
c#ange pass%ord at next logon), recomandam aceasta optiune cu preponderenta in retelele cu
foarte multi utilizatori, in care parolele se creeaza dupa un anumit algoritm deducti!il. Din
e%perienta noastra putem afirma ca dupa conectare, utilizatorul se asteapta sa vada
!ackground"ul WindoAs"ului si nu o fereastra care"l mai intrea!a inca o data ceva despre
parola vece &-ld Pass%ord), si una noua &Ne% Pass%ord) care tre!uie confirmata &Con$irm
Ne% Pass%ord) si care mai tre!uie sa fie diferita de cea vece 4
utilizatorul nu va putea sa"si scim!e parola &ser cannot c#ange pass%ord) , optiune pe
care o recomandam in cazul conturilor de utilizator destinate grupurilor de persoane.
-cim!area parolei de catre un utilizator duce la imposi!ilitatea conectarii celorlalti
utilizatori la retea.
parola nu va e%pira niciodata &Pass%ord never expires), activarea acestei optiuni lasa la
latitudinea utilizatorului politica de gestionare a propriei parole de access in retea, ceea ce nu
este intotdeauna recomandat ,
contul va fi inactiv &Account is disa/led), in cazul nostru contul va fi utilizat intr"o alta
perioada de timp viitoare celei creearii contului.
1eactivarea nici unei optiuni lasa la latitudinea politicii de securitate aceste optiuni.
.n mod implicit, utilizatorul va fi gasir in categoria Users din A.D.U.*.
La proprietatile utilizatorului nou creeat, vom gasi nu mai putin de #2 categorii de informatii
foarte detaliate despre utilizatori :
-eneral , se pot configura informatii despre datele de identificare a utilizatorului in mod
electronic : e"mail, We! $age 4
Address , informatii despre adresa postala a utilizatorului : strada &Street), orasul &City)4
Account , contine o serie de informatii despre numele de utlizator &ser logon name),
cateva optiuni suplimentare &Account options), durata de valavilitate a contului &Account
expires).
7 sectiune importanta din aceasta categorie este reprezentata de posi!ilitatea de specificare a
unui interval orar de conectare in retea :
.mplicit, fiecare utilizator se poate conecta la orice ora din zi sau din noapte la resursele
retelei. -e poate configura insa posi!ilitatea de acces numai la anumite intervale orare, de
e%emplu, utilizatorul se poate conecta la retea numai in ziua de marti de la orele @ la #+ : selectati
tot intervalul orar 4 *lick pe All "/ )ogon Denied "/ selectati de la ora @A8 la '$8 in dreptul
zilei de marti &Euesday) "/ )ogon Permitted -6 -5.
Un e%emplu destul de interesant pe care dorim sa il prezentam este acela al studentilor din
cadrul unei institutii. .mplicit, acestia au dreptul sa utilizeze toate calculatoarele din toate
la!oratoarele la orice ora cand este program sau nu sunt ore. Din pacate e%ista si persoane care
din rea"vointa sau din necunosiinta de cauza in acest timp li!er incarca eventualele regulamente
in vigoare. Dlocarea contului de acces la retea ar tre!ui sa fie prima actiune in astfel de cazuri,
dar studentul are dreptul de a utiliza calculatorul in cadrul orelor de la!orator, pentru ca ciar
plateste acest lucru. .n acest caz, am fost pusi in situatia de a implementa la scara destul de mare
acest sistem de alocare a spatiului de lucru pe intervale orare.
Alt e%emplu aplica!il in aceasta situatie este cel al unei !i!lioteci in care fiecarui utilizator ii
sunt alocate un anumit numar de ore pe zi, intre anumite intervale orare.
7 alta sectiune din proprietatile contului de utilizator este reprezentata de statiile de lucru pe
care se poate conecta utilizatorul : )og -n 2o. .mplicit, fiecare utilizator se poate conecta pe
orice statie din domeniu &All computers) sau se pot configura anumite statii pe care se pot
conecta utilizatorii.
Profile , contine informatii despre profilul utilizatorului.
$rofilul de utlizator contine setarile personale ale acestuia la nivel de interfata. .n mod clasic,
profilul utilizatorului contine urmatoarele informatii grupate pe directoarele Desktop,
3avorites, 8y Documents, 2ecent, -end Eo, -tart 8enu, Eemplates. $rofilul fiecarui
utilizator se gaseste in directorul Documents and -ettings de pe discul pe care a fost instalat
sistemul de operare. $e langa aceste directoare, profilul contine fisierele ntuser.dat si
ntuser.dat.log. Un prifil de utlizator poate fi de tip roaming sau de tip mandatory. $rofilul de
tip roaming are drept caracteristica faptul ca se salveaza pe server si orice modificare a
acestuia pe orice statie de lucru se va reflecta la conectarea pe oricare alta statie de lucru.
$rofilul mandatory &o!ligatoriu) se creeaza pe server si se pune la dispozitie in retea prin
saring, mai multi utilizatori putand parta0a profilul respectiv. *aracteristica profilului
o!ligatoriu este aceea ca acest profil nu poate fi modificat, eventualele modificari nefiind
salvate pe server.
*reearea unui profil se realizeaza automat la conectarea pe o statie de lucru. *opierea
acestuia intr"un profil de tip template se realizeaza parcurgand urmatoarele etape :
" *reeati un director pe server pentru profilul utilizatorul &:%emplu, $rofilEmp).
" $uneti"l la dispozitie in retea si dati drept acces drupului :vreyone &numele de sare,
in e%emplul nostru, este profiltmp> adica este un sare de tip administrativ).
" *reeati un utilizator o!isnuit &de e%emplu, nume utlizator : profiltmp).
" La proprietatile utilizatorului nou creeat in sectiunea Pro$ile la casuta Pro$ile pat#
treceti adresa de acces prin retea la sare"ul respectiv : de e%emplu, server"
<#profiltmp>.
" La Connect alegeti din lista o litera disponi!ila, iar la 2o aceeasi adresa ca la pasul
anterior 4
" Dupa ce apasati !utonul -5 sau Apply o sa vi se afiseze fereastra de mesa0e din
figura #'.(.+
" care ne atentioneaza ca nu s"a creeat directorul pentru stocarea profilului pentru ca
acesta de0a e%ista. 1i se sugereaza, de asemenea, sa alegem un alt nume de sare
pentru directorul profilului, dar din e%perienta noastra va informam ca aceasta este
calea functionala a lucrurilor.
" *onectati"va la o statie de lucru cu utilizatorul nou creeat. Va recomandam ca statia
sa fie proaspat instalata.
" -e realizeaza configurarile la nivel de interfata, dar si pentru anumite aplicatii, cu
precadere aplicatiile de tip 7ffice si pentru .nternet : modul de asezae a tool!ar"urilor,
utitatile de masura, modul de vizualizare a unei pagini, locul in care se salveaza
implicit documentele, contul de e"mail, paginile favorite, iconitele de pe desktop etc.
" Dupa delogarea de pe statia de lucru, pe server in directorul alocat utilizatorului
$rofilEmp vor aparea o serie de fisiere si directoare prezentate in figura #'.(.(.
" *onectarea pe oricare alta statie de lucru din domentiu aduce cu sine incarcarea
profilului de utilizator direct de pe server, pastrand toate setarile facute in timpul
sesiunilor de lucru. -ingurele informatii care nu se transporta o data cu profilul
utilizatorului sunt fisierele temporare.
" Vizualizarea profilurilor de utilizator inregistrate pe o statie de lucru se realizeaza
parcurgand urmatoarele etape : 2*lick &pe 8y *omputer, de pe Desktop sau din
meniul -tart) "/ Proprieties -> Advanced -> Settings &de la User $rofiles).
" *opierea unui profil se realizeaza prin actionarea !utonului Copy 2o, se sta!ileste
calea de salvare prin actionarea !utonului 3ro)se si se tri!uie drept utilizare grupului
de lucru :vreyone prin actionarea !utonului C%ange.
" -cim!area tipului unui profil se poate realiza numai in cazul profilurilor de tip
Roaming, prin actionarea !utonului C#ange 2ype.
" -cim!area profilului de tip Roaming in prifilul o!ligatoriu &Mandatory) se
realizeaza prin scim!area e%tensiei fisierului N2S+R4DA2 in N2S+R4MAN, din
profilul utilizatorului de pe server.
" .n cazul in care profilul de pe server nu este disponi!il, se va creea un profil local
utilizatorului.
:ste foarte important ca un profil sa fie cat mai mic pentru a fi transportat rapid prin
retea. De aceea incercati sa eliminati cat mai multe informatii din profilul o!ligatoriu pe care"l
creeati. $entru a pune acelasi profil la dispozitia mai multor utilizatori, va recomandam sa copiati
continutul directorului in care a fost creeat profilul template intr"un alt director, de e%emplu
Pro$ile, pe care puneti"l la dispozitie in retea cu dreptul de citire pentru grupul +vreyone.
2evenind la fereastra de proprietati a utilizatorului, la Profile :
La Profile pat% trecem calea de acces prin retea la profilul utilizatorului, Daca este un
profil o!ligatoriu &Mandatory), se trece aceeasi cale pentru mai multi utilizatori. .n cazul
profilurilor 2oaming, tre!uie creeat pentru fiecare utilizator un director pe server si pus la
dispozitie in retea cu drepturi de acces numai pentru acesta.
1ogon Script reprezinta nume unui eventual script care se e%ecuta in momentul in care s"
a conectat utilizatorul respectiv. Aceste scrip"uri se e%ecuta anetrior script"urilor specificate prin
prolitica de securitate &vezi inceputul capitolului). -cript"urile din aceasta categorie sunt savalte
in directorul C0/#&&TS.S(+1sysvolmydom.myrog5ro scripts si sunt puse la dispozitie in
retea su! denumirea de 1:EL7O71, putand fi accesate la adresa : server"<#1:EL7O71.
.mplicit, in acest director nu se afla nici un fisier.
Connect To se foloseste pentru conectarea utilizatorului, in mod automat, la o resursa de
pe server.
*elelate proprietati configura!ile sunt :
Telep%ones , pentru configurarea direfitelor numere de telefoane la care poate fi
contactat utilizatorul respectiv.
+rganization , diferite date despre pozitia in cadrul organizatiei.
Remote Control , modul de acceptare a accesului la distanta si de interactiune cu
utilizatorul.
Terminal Services Profile , profil de acces pe server folosind Eerminal -ervices
em4er +f , carui grup de utilizatori apartine utilizatorul curent.
Dial-in , personalizarea accesului in retea prin dial"up.
'nviroment , specificarea aplicatiilor care vor fi startate dupa conectarea la server
prin Eerminal -ervices.
Sessions , personalizarea modului de sfarsit al unei sesiuni de lucru.
.n momentul creearii contului de utilizator, acesta va fi stocat, in mod implicit, in
categoria sers din Active Directory Users and *omputers. 8utarea utilizatorului intr"un grup
organizational se realizeaza cu : 2*lick &pe utlizator) "/ ove "/ se alege grupul organizational
din lista "/ +,. .n momentul mutarii utilizatorului, acesta va prelua toate configurarile efectuate
in politica de securitate a grupului respectiv.
$entru o aplicare mai stricta a politicii de securitate pentru un domeniu de calculatoare,
va recomandam sa adaugati si statiile de vucru in grupul organizational dorit prin mutarea din
categoria Computers, Dupa adaugarea la grupul organizational, statiile de lucru tre!uie repornite
pentru aplicarea politicii.
:tapa esentiala pentru aplicarea politicii de securitate pe o statie din domeniu este lucrul
ci grupul de utilizatori si adaugarea la acestea a utlizatorilor. $olitica de securitate se aplica
asupra utilizatorilor prin aceste grupuri de utilizatori.
*reearea unui grup:
#. 2*lick pe grupul organizational dorit "/ &e) -> -roup.
2. -crieti numele grupului la -roup &ame -> +,.
Adaugarea unui utilizator intr"un grup de utilizatori :
#. Du!lu *lick pe grupul de utilizatori creat "/ em4ers.
2. Add, Du!lu *lick pe numele utilizatorului dorit din lista sau scrieti de la tastatura
numele utilizatorului "/ +, -> +,.
Cateva elemente de administrare
A. Regasirea utili,atorilor in Active Directory
.n A.D.U.*., 2*lick &pe numele domeniului) "/ $ind "/ la Name se specifica numai
utilizatorului "/ $ind &o).
Daca nu cunoasteti numele utilizatorului sau doriti o cautare avansata, apasati pe Advanced,
putand realiza cautari dupa diferite caracteristici ale utilizatorilor &Dutonul 3ield, optiunea
Users), ale grupurilor sau ale persoanelor de contact. La conditii se pot specifica diferite criterii
de cautare :
care s5 inceapa cu &Start %it#) 4
care sa se termine cu &+nds %it#) 4
este &"s exactly) 4
nu este &"s Not) 4
care contine &Present) 4
care nu contine &1ot $resent) 4
*ontactele reprezinta informatii despre diferite persoane gestionate in A.D., dar care nu au
drept de conectare in reteaua curenta.
D. Blocarea<De/locarea unui cont de utili,ator
Dlocarea : 2*lick &pe numele utilizatorului) "/ Disa4le Account.
De!locarea : 2*lick &pe numele utilizatorului) "/ 'na4le Account.
*. Active Directory Sc#ema
2eprezinta un set de optiuni e%tinse de administrare a unui domeniu WindoAs 2<<<.
$entru a putea e%tinde scema Active Directory, tre!uie sa instalati in preala!il instrumentele de
administrare ale WindoAs 2<<< -erver :
#. Start -> Settings -> Control Panel.
2. Du!lu *lick Add"Remove Programs.
'. -electati /indo)s 6777 Administration Tools -> C%ange -> &e*t.
C. #nstall All Administrative Tools -> &e*t.
+. Dupa ce se termina de copiat si instalat fisierele, $inis% -> Close.
Adaugarea Active Directory -cema intr"o consola de administrare :
#. Start -> Run "/ scrieti MMC in casuta +pen -> +,.
2. .n meniul Console ,/ Add"Remove Snap-in "/ Add -> Active Directory Sc%eme
-> Add -> Close -> +,.
'. *onsola administrativa poate fi salvata cu un anumit nume : in meniul Console ,
Save As, scrieti numele pe care doriti sa"l dati consolei &de e%emplu, -cema) , Save.
Un e%emplu clasic de utilizare a scemei Active Directory este aceea a adaugarii unei noi
proprietati utilizatorilor din domeniu, gen nivelul salariului, codul numeric personal etc.
Creearea utilizatorilor folosind comenzi
*omanda de creeare a unui utilizator este : &'T US'R care are urmatoarea sinta%a :
net user [username [password | *] [options]] [/domain]
username [password | *] /add [options] [/domain]
username [/delete] [/domain]
in care :
username reprezinta numele de utilizator. $entru numele de utilizator cu spatii acesta se va
trece intre gilimele 4
pass%ord reprezinta parola de acces in retea. *aracterul asteri% &F) se foloseste pentru a
intrerupe e%ecutia comenzii 1et cu scopul introducerii parolei de utilizator 4
<domain reprezinta domeniul in care va fi adaugat utilizatorul respectiv. Daca contul de
utilizator se creeaza pe serverul de domeniu, aceasta optiune nu mai este necesara 4
<add , parametru care specifica faptul ca utilizatorul este nou 4
<delete , se specifica o actiune de stergere a utilizatorului 4
optiunile principale intalnite la creearea unui cont sunt :
o <active : 5yesPno6 , implicit valoarea este Qes 4
o <comment : Hte%tI , specificarea unui comentariu pentru utilizator. Acest te%t apare la
Description din proprietatile generate ale utilizatorului din A.D.
o <expires : 5datePnever6 , data de e%pirare a contului de utlizator sau specificarea
faptului ca acestea nu va e%pira niciodata 4
o <$ullname : HnameI , specificarea numelui complet al utilizatorului 4
o <#omedir : patname , specificarea directorului la care se conecteaza automat
utilizatorul. :ste ecivalent lui *onnectEo de la proprietatile utilizatorului din Active
Diretory. Acest director tre!uie sa e%iste si sa fie pus la dispozitie in retea= 4
o <pass%ordc#g : 5yesPno6 , specifica posi!ilitatea de scim!are a parolei. .mplicit este
Qes 4
o <pro$ilepat# 5:pat6 , specificarea caii de acces la profilul utilizatorului, Acest
director tre!uie sa e%iste si sa fie pus la dispozitie in retea 4
o <scriptpat# : patname , calea catre scrip"urile de logon sau mai !ine spusm numele
scripului respectiv 4
o <usercomment : Hte%tI , alte comentarii care pot fi specificare pentru utilizatorul
respectiv.
+xemplu 8 Creearea unui utili,ator cu numele DimaR.
Date preliminare :
Nume server : server"<#
Grup utili,atori : Vizitatori
Adresa pro$ilului template : server"<#profile>
#. Descideti utilitarul *ommand $rompt : Start "/ Run "/ scrieti cmd "/ +, 4
2. $oziutionarea pe discul pe care vor fi stocate informatiile utilizatorului :
F:
'. *reearea unui nou director cu numele utilizatorului :
MD DimaR
C. $unerea la dispozitie in retea a informatiilor din directorul respectiv
net share DimaR$=F:DimaR
+. *reearea utilizatorului :
net user DimaR parola /fullname:Dima Raluca
/homedir: serer!"#DimaR$ /profilepath:serer!"#
profile$ /scriptpath: default$%at /add
(. Adaugarea utilizatorului intr"un grup de lucru e%istent :
net &roup i'itatori /add dimar
;. -ta!ilirea setarilor de securitate pentru directorul aferent utilizatorului Dima2 :
cacls dimar /p (dministrator:F DimaR:F /R )re*one /e
:%itenta posi!ilitatii de creeare a utilizatorilor folosind script"uri are rol foarte important
in procesul de automatizare a activitatilor, mai ales cand e%ista informatii stocate in diferite tipuri
de !aze de date.
De e%emplu, in Visual 3o%, operatiunea de automatizare a creearii utilizatorilor consta in
creearea unui set de varia!ile compuse &ecivalente fiecarei linii de e%ecutie) din siruri de
caractere &aferente comenzilor si parametrilor) si campuri din !aza de date, aferente datelor
despre utilizatori, precum si configurarile necesare de genul nume de servere, domenii etc.
.nformatiile se folosesc pentru inserarea intr"o ta!ela cu o singura coloana, fiecarei comenzi
corespunzandu"i cate o linie. .nformatiile din ta!ela cu comenzi vor fi trensferate intr"un fisier de
tip DAE ci a0utorul secventei de program :
+,-. /, numefisier /.-) 0DF
R)1(M) numefisier$/2/ /, numefisier$3(/