Administriranje mrea V Upravljanje korisnikim nalozima Srce administratorskog posla jeste kreiranje korisnika, grupa i upravljanje njima.

U mnogim sluajevima, posebno ukoliko su radne stanice bazirane na nekom od Windows Server operativnom sistemu, poeljno je napraviti domen kako bi se iskoristile pogodnosti Aktivnog direktorijuma. Ipak, mogue je da neka mala organizacija ne eli da ima domen, ili da mreni primarni operativni sistem nije Windows 2000/2003. Na primer, ako je mrea zasnovana na Unix ili Linux sistemu, moe postojati potreba za postavljanjem Win2003 servera specijalne namene bez svih AD stvari. U tom sluaju, ukoliko raunar na kome se radi nije kontroler domena i ne koristi se Aktivni direktorijum, korisnike naloge treba kreirati pomou alata Computer Managment (COMPMGMT.MSC). Korisnici kreirani pomou ovog alata su lokalni nalozi, to znai da postoje i validni su samo na tom raunaru. Ipak, COMPMGMT.MSC je alat koji moe da radi i na daljinu, tako da se moe koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na usamljenim udaljenim serverima. Da bi se sve ovo uradilo treba samo iz menija Action, izabrati Connect to Another Computer. U COMPMGMT.MSC se otvori Local Users and Groups, kao to je prikazano na slici 5.1. Ovde se moe primetiti da na usamljenom serveru, na kojem nisu instalirani potrebni mreni servisi, kao DHCP, DNS ili Terminal Service, jedini ugraeni nalozi su Administrator i Guest. Podrazumeva se da je Guest onemoguen iz razloga predostronosti. Ovaj nalog se, na usamljenom serveru, ili u AD kontekstu, primarno koristi za buenje velike rupe u bezbednosti sistema, omoguavanjem neproverenog pristupa. Za Guest nalog se ne trazi lozinka, ali sa druge strane ovaj nalog je siromaan po pitanju snage i mogunosti. Nalog administratora ima snagu i mogunosti koje daleko prevazilaze obine korisnike. Ne moe se obrisati i onemoguiti ak ni zakljuati, ni posle milion propalih logovanja, to bi moglo da bude vie nego dovoljno za razbijanje slabe lozinke. Standardne lokalne grupe koje su ugraene u usamljeni server su Administrators, Backup Operators, Guests, Power Users, Replicator i Users. Dodatne ugraene grupe su kreirane u sistemu kontrolera domena. Ove ugraene grupe imaju unapred definisan skup prava i dozvola. Kako bi se korisnicima dodelila ta prava i dozvole, potrebno je samo ih uiniti lanovima odgovarajue grupe. Za otvaranje novog korisnikog naloga na sistemu koji nije kontroler domena, otvori se fascikla Users u Local Users and Groups i iz menija Action izabere se New User, ili desnim tasterom mia na Users u Local Users and Groups i izabere se New User. Potrebno je popuniti polja za korisniko ime, lozinku i potvrdu lozinke, ostala polja su opciona, kao to je prikazano na slici 5.2 i kliknuti na Create. Kako bi se promenila svojstva naloga, dodelilo lanstvo u grupi, login script, ili da bi se korisniku dodelila dial-in dozvola, potrebno je kliknuti desnim tasterom korisniki nalog i izabrati Properties. Kako bi se korisniku dodelila lozinka, istakne se nalog, klikne se desnim tasterom i izabere se Set Password. Ukoliko je za nalog potrebno zadati naela, kao to su zakljuavanje ili praenje upotrebie se Local Security Policy alat (SECPOL.MSC) ili Group Policy (GPEDIT.MSC). Ova naela bie lokalna i nalazie se u Registry bazi lokalnog raunara. 5.1 Active Directory Users and Computers za kreiranje naloga u domenu U Windows-u 2003, glavni administratorski alat za rad sa korisnikim nalozima, bezbednosnim grupama, organizacionim jedinicama i naelima, za jedan domen, ili vie njih, je Active Directory Users and Computers (DSA.MSC). Kako je re o Microsoft Managment Console (MMC) aplikaciji, ovaj alat se moe pokrenuti na svakom Windows 2000/2003 raunaru. Lokalni korisniki nalozi na usamljenom serveru, serveru lanu, ili nekoj radnoj stanici se uvaju u Security Accounts Manager (SAM) bazi podataka, koja se obino nalazi u C:\winnt\system32\congif. Za Aktivni direktorijum, fajl se zove NTDS.DIT i podrazumevano se nalazi u direktorijumu %systemroot%\NTDS, ali moe se zadati putanja u DCPROMO rutini kao to je gore ve pomenuto. U njoj su informacije o serverima i radnim stanicama, resursima, objavljenim aplikacijama i naelima bezbednosti. NTDS.DIT i softver koji je pokree se obino zovu servis direktorijuma, ili Aktivni direktorijum. Ova struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena, radi tolerancije greke i uravnoteenja optereenja. To je, u stvari, modifikovana Access baza podataka, kojoj je osnova Lightweight Directory Acess Protocol (LDAP), specificiran u RFC 1777[9]. Baza se ne moe otvoriti u Access-u, niti da se gleda na neki drugi nain, ili edituje direktno, ali se nad njom mogu vriti upiti i moe se menjati pomou Active Directory Service Interface (ADSI). Korisnikim nalozima, kada se prvi put kreiraju, automatski se dodeljuje identifikator bezbednosti

Administriranje mrea (security identificator SID). SID je jedinstven broj koji identifikuje nalog. SID-ovi se koriste od kada je poeo NT, jer sistem i ne zna korisnika po imenu, ve po SID-u. Korisniki ID su tu samo radi lakeg interfejsa. SID-ovi se nikada ne koriste ponovo, kada se nalog obrie i njegov SID se brie sa njim. SID-ovi izgledaju ovako: $-1-5-21-D1-D2-D3-RID $-1-5 je standardni prefiks, 1 je broj verzije koji se nije menjao od NT-a 3.1, a 5 znai da je NT dodelio SID; 21 je, takoe, NT prefiks; D1, D2, D3 su 32-bitni brojevi koji su karakteristini za domen, jednom kada se kreira domen, postave se D1 do D3 i svi SID-ovi u tom domenu nadalje imaju te iste tri vrednosti. RID oznaava relativan identifikator. RID je jedinstven deo svakog dodeljenog SID-a. Svaki novi nalog uvek ima jedinstven RID broj, ak, iako su korisniko ime i druge informacije isti kao za stari nalog. Na ovaj nain, novi nalog ne moe imati prava i dozvole starog, ime je bezbednost ouvana. 5.2 Funkcije vezane za korisnike i grupe u DSA:MSC Active Directory Users and Computers mrenom administratoru obezbeuje sredstva za izvravanje sledeih zadataka: Kreiranje, menjanje i brisanje korisnikih naloga Dodeljivanje Log On scriptova korisnikim nalozima Upravljanje grupama i lanstvima u grupama Kreiranje i upravljanje grupnim naelima Otvara se DSA.MSC tako to se pokree iz Start menija, ili se izabere Start Programs Administrative Tools Active Directory users and Computers. Podrazumeva se da e DSA.MSC potraiti Operation Masters kontroler domena (DC) i poslati sve promene i napraviti zahteve direktno tom raunaru. Mora se imati u vidu da kontroler domena koji ispunjava uslove koji su zadati, ne moe proveriti ID broj novog naloga dok ne kontaktira Operation Master. Poruka o ovome se moe videti ako se kreira korisniki ID, dok je Operation Master nedostupan. U DSA.MSC e se videti ime kontaktiranog kontrolera domena, na vrhu drveta konzole,a ime kreiranog domena odmah ispod korena konzole, kao to se vidi na slici 5.3. U levom oknu se vidi skup kontejnera i organizacionih jedinica koje su automatski kreirane sa domenom: Builtin, Computers, Domain Controllers, ForeighnSecurityPrincipals i Users. Kao i kod svih aplikacija sa konzolom klikne se na objekat u drvetu konzole (levo), da bi se njegov sadraj i informacije videli u detaljnom oknu (desno). Kontejneri Users i Computers su podrazumevana mesta u koja se stavljaju korisniki, grupni i raunarski nalozi, to ne znai da se novi korisnici moraju tu smetati jer po potrebi se mogu premetati u nove organizacione celine. Novi korisniki nalog se moe stavitti u bilo koju organizacionu jedinicu, ak i direktno u domen kontejner. Builtin je kontejner za one specijalne, ugraene, lokalne grupe, kao to su Administrators, Account Operators, Guests i Users, koje postoje na svakom Windows Server raunaru, ukljuujui i kontrolere domena. Domain Controllers je podrazumevana organizaciona jedinica za nove Windows 2003 kontrolere domena. Ovde se nalozi nalaze kada se kreira AD. Kao i nalozi iz kontejnera Computers i AD nalozi se mogu premetati u druge organizacione jedinice. ForeighnSecurityPrincipals je podrazumevani kontejner za objekte iz pouzdanih spoljnih domena (trusted). Da bi se napravilo neto novo, selektuje se objekat u kojem se eli nalaziti to novo, i zatim se odabere New, iz menija Action, ili desnim tasterom se izabere New iz Properties kontekstualnog menija. Kao to se vidi na slici 5.4, moe se kreirati deljena fascikla, korisniki nalog, tampa, organizaciona jedinica, grupni nalog, kontakt ili raunarski nalog. Svaki od ovih izbora pokree odgovarajueg arobnjaka, kojim se pravi objekat. U svakom sluaju, da bi se popunili svi detalji, posle kreiranja objekta treba se vratiti i editovati svojstva tog objekta (desnim tasterom na objekat i Properties). Desni klik na objekat otvara kontekstualni meni. Prikazane mogunosti se menjaju u zavisnosti od objekta na koji je kliknuto desnim tasterom. Ukoliko se klikne desnim tasterom na korisniki nalog, moe se primetiti da postoje opcije za onemoguavanje naloga, resetovanje lozinke, ili pak desni klik na raunarski nalog daje opcije kao to su Move i Manage (Manage otvara COMPMGMT.MSC koji je povezan sa selektovanim raunarom).

Administriranje mrea 5.3 Ugraeni nalozi: Administrator i Guest Kao to je ve pomenuto kada je napravljen novi domen, kreirana su i dva naloga, Administrator i Guest. Nalog Administrator je nalog koji ima potpunu vlast nad raunarom, ili domenom u zavisnosti od konteksta. Nalog Administrator se ne moe obrisati, ali mu se moe promeniti ime. Nalogu Administrator je dodeljena lozinka kada je instaliran Windows 2003, a zatim i ponovo kada je, radi kreiranja domena pokrenut DCPROMO.EXE. Prvo su lokalni Administratorski nalog i njegova lozinka, a onda pri kreiranju domena, su novi Administratorski nalog i lozinka zamenili postojei. Ovu lozinku treba uvati jer ne postoji nain da se povrati. Drugi nalog je Guest (gost). Guest znai da svako ko nema nalog na domenu moe pristupiti. Podrazumeva se da je ovaj nalog onemoguen i tako bi trebalo i da ostane. Kod Unix operativnog sistema se moe prijaviti sa korisnikim imenom Guest i praznom lozinkom, s tim to je nalog dosta ogranien po pitanju stvari koje moe da uradi. Pretpostavimo da neko pokuava da pristupi deljenom tampau na serveru, ili domenu na kojem je omoguen Guest nalog. Student se na svoju lokalnu mainu loguje kao student sa lozinkom studenti. ak i bez naloga na serveru, ili u domenu, on moe da radi na svom lokalnom raunaru. Windows 95/98 raunare ne zanima ko se loguje i oni uopte nemaju korisnike naloge. Na nekoj NT radnoj stanici on bi morao da se loguje na lokalnom raunaru. Nijedan od serverskih operativnih sistema ne zahteva od korisnika da se loguje sa servera, ili domena da bi dobio pristup lokalnoj radnoj stanici. Pretpostavimo da ovaj server, ili domen nema nalog student. On radi na raunaru i pokuava da pristupi resursima iz domena i naravno pristupa. Iako eksplicitno logovanje na domen zahteva da se upotrebi korisniko ime Guest, eksplicitno korisnik ne mora da se loguje na domen, kako bi koristio privilegije gosta. Upravo iz ovog razloga treba biti veoma paljiv kada se omoguuje Guest nalog. 5.4 Kreiranje novog korisnikog naloga Da bi se kreirao korisniki nalog, u DSA.MSC selektuje se kontejner Users (ili neki drugi kontejner/organizaciona jedinica, gde se eli smestiti nalog), zatim se iz menija Action (slika 5.4) izabere New User. Pojavljuje se arobnjak, sa okvirom za dijalog praikazanim na slici 5.5. Popunjavaju se polja First Name (ime), Last Name (prezime) i Full Name (puno ime). Potom se unosi korisniko logon ime (npr. student) i izabere se Universal Principal Name (UPN) sufiks, koji e se dodavati korisnikom imenu u trenutku logovanja. UPN sufiks je obino DNS ime domena i ne moe se izabrati nita osim podrazumevanog imena domena (VTS u ovom sluaju). UPN imena su pravljena prema e-mail imenima, znai sa @ simbolom. UPN sufiks je pointer na domen koji sadri korisniki nalog, tako da je vaan kada se korisnik loguje u okruenju sa vie domena. Korisniko ime u Windows 2000/2003 sistemima mora potovati sledea pravila: Ime mora biti jedinstveno na raunaru, za lokalne naloge (ili jedinstveno u domenu). Meutim, ime korisnikog naloga u domenu moe biti isto kao i ime lokalnog naloga na raunaru koji je lan domena, a nije kontroler, to je injenica koja unosi veliku konfuziju, jer je re o potpuno razliitim entitetima. Korisniko ime ne moe biti isto kao ime grupe na lokalnom raunaru, za lokalni nalog (ni isto kao ime grupe u domenu). Korisniko ime moe biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisniko ime ne sme sadrati : \/[]:;|=,+*?<> Ime moe sadrati razmake i take, ali se ne moe u potpunosti sastojati od taaka i razmaka. Treba izbegavati razmake jer se u tom sluaju ta imena moraju stavljati meu znake navoda u sluaju pisanja skriptova, ili izdavanja komandi sa komandne linije. Kada se popune sva polja o korisnikom imenu izabere se Next. U narednom ekranu prikazanom na slici 5.6, zadaje se lozinka za korisniki nalog i potvruje se. Nijedna od opcija naloga nije potvrena unapred, pa nije loe izabrati User must change password on Next logon (korisnik mora promeniti lozinku prilikom sledeeg logovanja). Opcije lozinke i naloga sumirane su u tabeli 5.1.

Administriranje mrea Tabela 5.1: Opcije lozinke i naloga pri kreiranju novog korisnikog naloga Opcija User must change password on next logon (korisnik mora promeniti lozinku prilikom sledeeg logovanja) User cannot change password ( korisnik ne moe da menja lozinku) Password never expires (lozinci nikad ne istie rok trajanja) Opis Primorava korisnika da promeni lozinku sledei put kada se prijavi.

Ako je potvreno, spreava korisnika da promeni lozinku za nalog. Ako je potvreno, korisniki nalog ignorie politiku isticanja roka lozinke. Ovo je korisno za naloge koji pokreu servise i naloge za koje elite stalnu lozinku (na primer Guest).

Account is disabled (nalog je Ako je potvreno, nalog je onemoguen i niko ne moe da se loguje na onemoguen) njega, dok se ne omogui (nalog nije uklonjen iz baze podataka). Ovo je korisno za naloge koji se koriste kao abloni i za nove korisnike naloge koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje nee poeti da rade jo neko vreme. Poslednji ekran ovog Create New Object arobnjaka, prikazan na slici 5.7, jednostavno potvruje sve informacije koje su date, ukljuujui kontejner/organizacionu jedinicu gde e se nalog nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Klikne se na Finish i korisniki nalog je kreiran.

5.4.1 Svojstva korisnikih naloga

Da bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisnikog naloga i vidi se nekoliko opcija u kontekstualnom meniju, prikazanom na slici 5.8. Odavde se brzo moe kopirati nalog, upravljati lanstvom u grupi, onemoguiti ili omoguiti nalog, resetovati korisniku lozinku, premestiti nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati mail. U ovom meniju se moe izabrati brisanje naloga i promena imena. Iz kontekstualnog naloga se izabere Properties, da bi se otvorile sve informacije o korisnikom nalogu. Na kartici General, prikazanoj na slici 5.9, moe se dodati opis korisnikog naloga, upisati ime odseka u koli, studijske grupe itd, dodati brojevi telefona, e-mail adresa, ak i adresa web stranice. Kartica Address, sa slike 5.10, prikazuje polje za korisnikovu potansku adresu. Kartica Telephones nudi mesta za brojeve za kuni, mobilni, faks i IP telefon i pejder, kao i mesto za unoenje komentara. U Organizacionoj kartici mogu se uneti informacije o nazivu neijeg posla i poziciji u hijerarhiji organizacije. Ove etiri pomenute kartice se ne mogu smatrati svojstvima naloga ve su tu isto informativnog karaktera. 5.4.2 Parametri naloga Ukoliko je potrebno promeniti korisnikovo logon ime, ili UPN sufiks, ide se na karticu Account (slika 5.11). Na ovom mestu moe se odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slino. Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali moe se izabrati dugme Logon Hours, kako bi se zadali odreeni sati i dani kada je dozvoljeno logovanje (slika 5.11). Podrazumeva se da korisnik nee biti otkaen iz sistema kada mu isteknu sati dozvoljeni za rad, ali postoji parametar kojim se i ovo moe postii. Parametar se zove Automatically Log Off Users When Logon Hour Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy Object Editor-u, pod Computer Configuration\Windows Settings\ Security Settings\ Local Polices\Security Options. Podrazumeva se da korisnici svake radne stanice mogu da se loguju na domen, ali logon radne stanice se mogu zadati NetBIOS imenom (slika 5.13). Ipak, da bi se ovo moglo nametnuti, mora se koristiti NetBIOS na mrei.

Administriranje mrea Ako se ponovo baci pogled na karticu Accounts (slika 5.11), moe se primetiti polje za potvrdu Accounts is locked Out (nalog je zakljuan). Ako je zakljuavanje naloga posledica loih pokuaja logovanja (to se moe konfigurisati raznim Policy alatima), polje e biti potvreno i dostupno. Ukoliko se eli da se nalog zakljua runo potrebno je samo kliknuti na znak potvrde. U dnu kartice Accounts vidi se parmetar za rok trajanja naloga. Podrazumeva se da nalog nikada ne zastareva, ali ako je ova opcija omoguena, podrazumevani interval je est nedelja. Opcija User must change Password at Next Logon je sama po sebi jasna. Opcija Store Password Reversible Encryption (sauvaj reverzibilno ifrovanje lozinke) se koristi za Windows 95/98 klijente. Smart card opcija se koristi ukoliko se izabere infrastruktura javnog kljua. Potvrena opcija Do not require Kerberos Preauthentification[11] (ne zahteva Kerberos preautentifikaciju) znai da e nalog koristiti neku od implementacija Kerberos protokola, umesto onog koji stie uz sam Windows. Sve verzije Kerberos protokola ne koriste ovu opciju, ali je Windows koristi. Potvrena opcija Use DES encription types for this Account (koristi DES tipove ifriranja za ovaj nalog) znai da je potreban DES (Data Encryption Standard) [13]. DES podrava vie nivoa ifriranja, ukljuujui MPEE Standard (40-bit), MPEE Standard (56-bit), MPEE Strong (128-bit) itd. Zanimljivo je da se korisnikova lozinka ne moe resetovati na kartici Accounts. Kako bi se lozinka resetovala, zatvori se lista sa svojstvima naloga, i u okviru sa detaljima DSA.MSC klikne se desnim tasterom na korisniko ime. Izabere se opcija resetovanja lozinke, a onda se moe uneti i potvrditi nova lozinka kao to se vidi na slici 5.14. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku promeni pri sledeem logovanju. 5.4.3 UPN u imenu Gore je reeno da postoje dva tipa korisnikovog logon imena, to se moe primetiti na slici 5.5. Windows ime je dule@vts.ni.edu.yu , dok je pre-Windows 2003 ime VTS\dule. U verzijama pre-2000 operativnih sistema, korisnika imena su se povinovala konvenciji IMERAUNARA\korisnikoime, ili IMEDOMENA\korisnikoime, ako je nalog korisnika bio u domenu (injenica koje veina korisnika nije bila svesna). Korisnika imena su, u Windows-u 2003, zasnovana na Internet standardu (RFC 822)[9], Standard for the Format of ARPA Internet Text Message (Standard za format ARPA Internet tekstualne poruke), to u prevodu znai da Windows korisnika imena potuju uobiajenu e-mail konvenciju imenovanja. Svaki korisniki nalog ima univerzalno glavno ime (Universal Principal Name), koje se sastoji od prefiksa, koji je korisniko ime i sufiksa, koji je ime domena. Prefiks i sufiks su spojeni znakom @. UPN sufiks govori gde pri logovanju treba traiti korisniki nalog i podrazumeva se da je to ime DNS domena. Meutim, ne moe se menjati proizvoljno UPN ime u zapisu korisnikog naloga. To mora biti UPN sufiks koji je za domen odreen u Domains and Trust Aktivnog direktorijuma. Ipak mogu se odrediti alternativni UPN sufiksi za domen. Tek tada se moe promeniti UPN sufiks od podrazumevanog na neki od alternativnih. Alternativni UPN sufiks ne mora biti ime pravog domena. Moe mu se zadati ime domena po elji. Kao primer se moe uzeti organizacija VTS koja ima etiri domena. Korisnik Student ima nalog sa korisnikim imenom student i on se nalazi na domenu vts.ni.edu.yu. Podrazumevano UPN ime je student@vts.ni.edu.yu. Ukoliko organizacija ne eli da celom svetu objavi imena svojih domena, niti recimo da zbunjuje korisnike, moe odrediti vts.com kao alternativni UPN sufiks za vts.ni.edu.yu. Tako, Student se moe logovati kao student@vts.com i to prikazivati kao svoju e-mail adresu. Takoe, osoba moe menjati poslove unutar organizacije i njen korisniki nalog se moe seliti iz jednog domena u drugi, a nije neophodno svaki put menjati e-mail adresu. UPN imena omoguavaju lako pronalaenje naloga, a njegovu lokaciju ine transparentnim za korisnika. 5.4.4 Informacije o profilu Kartica Profile, prikazana na slici 5.15, je mesto gde se zadaje putanja korisnikog profila, logon skripta i osnovna (home) fascikla. Ove opcije su veinom za klijente niskog nivoa (downlevel clients), tj. za Windows pre-2000 klijente. Ovi parametri se mogu zadati i uz Group Policy parametre. Parametri korisnikovog radnog okruenja, od sadraja Start Menu-ja do eme boja i orijentacije mia, se mogu uvati na mrei, pa se korisnik moe prijaviti sa bilo kog sistema i videti istu radnu povrinu. U tu svrhu se moe specificirati deljena mrena lokacija. Ovo je zgodno ako treba korisnika (ili grupu) primorati da zadrava iste parametre sve vreme. To se zove lutajui profil (roaming profile). Ako je korisnik prisiljen da uita profil i ne moe se logovati bez njega, onda je to obavezujui profil

Administriranje mrea (mandatory profile), ili deljeni obavezujui profil ako je vie korisnika vezano za njega. Grupna naela Windows-a omoguavaju da se konfigurie preusmeravanje fascikle i drugih parametara radne povrine, uveliko eliminiui potrebu za postojanjem lutajuih i obavezujuih profila pre-Windows sistema. Logon ili login skript je onaj koji se izvrava u toku logovanja da bi se konfigurisalo korisnikovo okruenje i dodelili mreni resursi, kao to su mapirani drajvovi i tampai. Windows ima podrazumevanu putanju za uvanje login skriptova (u SYSVOL koji je podrazumevano u \WINNT direktorijumu, ali se moe menjati). Zbog ovoga jedino to se treba odrediti jeste ime script-a. Meutim, ukoliko se dogodi da se login skripta nalazi u poddirektorijumu direktorijuma SYSVOL, onda je potrebno specificirati relativnu putanju. Osnovna fascikla (Home folder), takoe, poznata i kao osnovni direktorijum (home directory), je fascikla koja je dodeljenja korisniku za privatnu upotrebu. Iako aplikacije mogu imati svoje podrazumevane fascikle za pamenje i otvaranje fajlova, na komandnoj liniji e osnovna fascikla biti i podrazumevana radna fascikla za korisnika. Mogue je specificirati lokalnu putanju za korisnikovu osnovnu fasciklu. Treba odabrati opciju Connect i odrediti mrenju putanju, potujui UNC konverziju \\imeraunara\imeservera\imedirektorijuma. Za ime fascikle se mogu koristiti i promenljive, %korisnikoime%, kako bi se naznailo da je ime osnovne fascikle isto kao i korisniki ID. Kada se za korisnika specificira putanja osnovne fascikle, ako deoba na mrei ve postoji i ako postoje prava za pisanjem u njoj, Windows e automatski kreirati osnovnu fasciklu za korisnika. Ovo administratorima tedi mnogo vremena. Sve ovo iziskuje mnogo prostora na disku. Postoji mogunost podeavanja posebne particije za korisnikove direktorijume i time se ograniava problem na tu particiju, pa da se zatim pokreu skriptovi za ienje diska. Windows dolazi sa jednostavnim sistemom za upravljanje kvotama, jednostavno treba ih omoguiti za odreeni disk, podesiti pragove za upozorenje i slino. 5.4.5 lanstvo u grupama Kako bi se korisniku odredilo lanstvo u grupi, otvori se kartica Member Of. Kao to se vidi na slici 5.16, podrazmeva se da je novi korisnik lan grupe Domain Users. Desna kolona, Active Directory Folder (fascikla Aktivnog direktorijuma), govori o putanji do kontejnera ili OU grupe. Kako bi se korisnik dodao drugoj grupi, izabere se Add, a zatim se ukuca ime grupe u koju treba premestiti korisnika. (slika 5.17). Treba iskoristiti opciju Check Names za potvrdu da li su imena vaea. Izabere se OK. Za uklanjanje korisnika iz grupe, upotrebljava se dugme Remove, na kartici Memeber Of. 5.5 Upravljanje nalozima Do sada je bilo rei o tome kako promeniti jedan nalog, a sada e biti rei o tome kako promeniti nekoliko naloga istovremeno. U DSA.MSC vie naloga se selektuju u okviru sa detaljima, tako to se dri taster Shift i strelica nadole, ili se dri taster Ctrl dok se klike levim tasterom mia. Zatim dok su ti nalozi selektovani , desnim tasterom se klikne kako bi se video kontekstualni meni. Kao to se vidi na slici 5.18, mogu se izabrati svi i premestiti u drugi kontejner ili OU, da se dodaju grupi, da se onemogue ili da se omogue nalozi. Takoe, je mogue svima poslati mail, pod pretpostavkom da za te naloge postoje specificirane e-mail adrese. Mogue je napraviti i ablon za nalog i kopirati ga kako bi se kreirali korisnici sa slinim parametrima. Svojstva koja se kopiraju ukljuuju parametre naloga (kao to je Password Never Expires), lanstvo u grupi, rok isteka naloga (ukoliko je zadat) i UPN sufiks. Informacije o profilu (osnovni direktorijum, putanja korisnikog profila i logon script) se, takoe, kopiraju, a ako je koriena promenljiva %korisnikoime% za zadavanje korisnike osnovne fascikle ablona, ona e se automatski kreirati za nove korisnike, kada se nalog kopira. Dodeljivanje korisnika grupama olakava davanje kako prava za izvravanje zadataka, tako i dozvola za pristup resursima kao to su tampai i mrene fascikle. U ovim nastojanjima mogu pomoi nekoliko ugraenih grupa, sa ugraenim pravilima. lanovima grupa koje je korisnik sam kreirao, moe biti data mogunost da administriraju druge grupe, ili objekte, ak i cele organizacione jedinice. Povrh svega, grupe mogu da sadre raunare i kontakte, kao i korisnike drugih grupa. Mogu se koristiti i kao e-mail distribucione liste. Zbog toga je vano da se razumeju razliiti tipovi grupa koji postoje u Windows-u

Administriranje mrea 2003 i kako raditi sa njima, kako bi se imala kontrola, kako bi se davao pristup resursima i konfigurisala prava. 5.5.1 Kreiranje grupa Da bi se napravila nova grupa u Users and Computers Aktivnog direktorijuma, doe se do kontejnera u koji se eli smestiti grupa. Grupe se mogu kreirati i korenu domena, u ugraenom kontejneru, kao to su Users, ili u organizacionoj jedinici. Dok je kontejner istaknut, u meniju Action izabere se New, a zatim Group (slika 5.19). Ime grupe neka bude Studenti, ukoliko e se ime nieg nivoa razlikovati treba uneti i njega, zatim se izabere oblast rada grupe i njen tip, to se moe videti na slici 5.20. Podrazumeva se da je delokrug Global, a tip Security. Potom se izabere OK, kako bi se kreirala grupa u selektovanom kontejneru. Da bi se popunile neke informacije o grupama, potrebno je pronai eljenu grupu (onu koju je upravo kreirana) i dva puta kliknuti na nju, kako bi se otvorio njen list sa svojstvima. Na kartici General prikazanoj na slici 5.21, unese se opis i e-mail adresa, ako postoji distribuciona lista za grupu. Da bi se grupa naselila, ide se na karticu Members i izabere se Add, kao to se moe videti na slici 5.22. Windows dopusta da lanovi grupe budu korisnici, druge grupe, ak i raunari. lanovi grupe mogu da dolaze i iz razliitih organizacionih jedinica. Ukucaju se imena korisnika razdvojena taka-zarezima i zatim se izabere Check Names, kako bi se ta imena proverila. Izabere se OK, da bi se zavrilo dodavanje. Da bi se videle ili promenile lokalne, ili univerzalne grupe kojima grupa Studenti pripada, otvori se kartica Member Of. Kartica Managed By je za opcione kontaktne informacije i ne mora obavezno da odrava direktno preputanje kontrole. Drugi nain za dodavanje lanova grupi je klik desnim tasterom na korisniki nalog i izbor Add Member to a Group. Ako je u jednu grupu potrebno istovremeno dodati nekoliko selektovanih korisnika, dri se taster Ctrl, dok se vri selekcija vie korisnika, zatim se klikne desnim tasterom i izabere Add Members to a Group. Verovatno e u nekom trenutku biti potrebno premetanje grupe iz jednog kontejnera u drugi, jer kada su grupe u organizacionim jedinicama, to olakava delegaciju. Da bi se to uradilo, klikne se desnim tasterom na ikonu grupe u oknu konzole koja sadri detalje i izabere se Move. Doe se do kontejnera koji treba biti novi dom za grupu, selektuje se i izabere OK (slika 5.23). 5.5.2 Tipovi grupa Kada se u Windows-u pravi grupa, ona se moe klasifikovati kao sigurnosna ili kao distribuciona. Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. Kao i korisnikim nalozima, sigurnosnim grupama se dodeljuju SID-ovi. Kada se edituje objektovana Access Control List-a (ACL), na primer, imena grupa koja se pojavljuju u listi su sigurnosne grupe. Ovi korisniki grupni SID-ovi ulazi u ACL-u su upareni sa korisnikovim akreditivima kojima je dozvoljen, ili zabranjen pristup objektu. Postoje tri glavna tipa sigurnosnih grupa: lokalne, globalne, univerzalne i podgrupa distribucione. Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru, serveru koji je lan domena, ili na WinXP radnoj stanici. Lokalne grupe su lokalne za taj raunar. To jest, one postoje i validne su samo na toj radnoj stanici ili serveru koji nije kontroler domena. Domain local group (Lokalna grupa domena) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedniki Aktivni direktorijum koji je repliciran izmeu njih, tako da e lokalna grupa domena koja postoji na jednom raunaru, postojati i na drugom. Globalne, univerzalne i lokalne grupe domena, su smetene u Aktivnom direktorijumu kontroleru domena. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena. Univerzalne grupe mogu da vre funkciju globalnih, dajui prava i dozvole za objekat, unutar domena i izmeu domena. One su mnogo korisnije od globalnih, ili lokalnih, jer su neuporedivo fleksibilnije po pitanju ugnedavanja, ali se mogu koristiti samo kada je domen native (prirodan), to zahteva da su svi kontroleri domena na Windows-u 2000/2003. Distribuciona grupa nije sigurnosna. One nemaju SID i ne pojavljuju se u ACL-u. To su grupe sa adresama primalaca. Lake je adresirati mail na, na primer, efovi odseka kole, nego svakog od efa selektovati posebno iz liste. Pretpostavlja se da su unete e-mail adrese korisnika. Sigurnosne grupe u Aktivnom direktorijumu su, takoe, nezvanine distribucione liste. Potrebno je samo kliknuti desnim

Administriranje mrea tasterom ime grupe u DSA.MSC i pojavie se opcija slanja maila lanovima grupe, kao to se vidi opcija slanja maila nalogu korisnika, kada se na njega kilkne desnim tasterom. Ovo e izbaciti program za rukovanje potom i sistem e pokuati da potu poalje na e-mail adresu dobijenu iz informacija naloga. Pretpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru kole i svi oni su smeteni u sigurnosnu grupu Administracija. Ne samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi lanovima grupe pod pretpostavkom da je za svakog korisnika popunjena e-mail informacija. 5.5.3 Oblast rada grupa: lokalne, globalne i univerzalne Glavna pitanja u vezi lokalnih, globalnih i univerzalnih grupa su gde se prepoznaju i ta mogu da sadre. Poto se koriste za dodeljivanje prava i dozvola, potrebno je znati gde lanstvo u toj grupi neto znai ili gde se prihvata. Poto grupe treba ugnedavati radi olakanja davanja prava i dozvola, treba znati pravila i preporuke koje vae za ugnedavanje. Obine lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima. Usamljeni server ili radna stanica, koji nisu lanovi domena su kao usamljeni narod koji ne znaju za ostatak sveta. Oni prepoznaju samo svoje lokalne grupe i korisnike. Lokalne grupe su jedine kojima se mogu dodeliti prava za pristup resursima, a lanstvo je ogranieno na lokalne korisnike. Ipak, kada se raunar prikljui domenu usamljeni narod postaje lan neke vee uprave, federacije. Server-lan ili radna stanica-lan zadravaju svoje lokalne korisnike i grupe, ali e sada u lanstvo svojih lokalnih grupa primati i lanove iz federacije, koji nisu lokalni. Na globalne grupe i federalne (domen) naloge se sada, mogu upuivati u listama dozvola za objekat (ACL). Lokalne grupe domena, koje ive u Aktivnom direktorijumu kontroleru domena, postoje u razliitom kontekstu od lokalnih grupa na radnim stanicama, usamljenim ili serverima-lanovima. Ovi raunari su svesni svog kunog domena i svih ostalih domena u umi Aktivnog direktorijuma. Zbog toga lokalne grupe domena mogu da sadre lanove iz bilo kojeg od domena iz ume. Mogu da sadre korisnike iz sopstvenog ili domena od poverenja (trusted domain) i univerzalne. Iako su lokalne grupe domena fleksibilnije po pitanju lanstva, one su validne samo u svom kunom domenu, jer se koriste samo u ACLovima istog domena. Drugi domeni imaju sopstvene lokalne grupe domena. Kad bi lokalna grupa domena bila validna u drugom domenu, vie ne bi bila lokalna. Osim toga, lokalne grupe domena se ne repliciraju u globalni katalog, iako se informacije o lanstvu repliciraju izmeu kontrolera domena u istom domenu. lanstvo u lokalnim grupama domena trebalo bi da je relativno malo i da koristi ugnedavanje. Globalne grupe mogu da sadre samo lanove iz istog domena. U globalnu grupu se ne moe smestiti ni lokalna, ni univerzalna grupa, ve samo korisniki nalozi i globalne grupe iz istog domena. lanstvo u globalnoj grupi je suprotno od lanstva u lokalnoj grupi domena; lanstvo u globalnoj grupi je ogranieno, ali je njegovo prihvatanje iroko. Globalne grupe se mogu koristiti u svakom ACL-u u umi, ak i u drugim umama, ako se ustanove stari odnosi poverenja. O globalnim grupama treba misliti kao o kontejnerima za korisnike i grupe kojima treba da ih drugi raunari i domeni prihvate. Informacije o globalnim grupama se repliciraju izmeu bratskih kontrolera domena, ali globalni katalog sadri samo imena grupa, a ne i lanova. Univerzalne grupe se mogu kreirati na svakom kontroleru domena. One mogu da sadre lanove iz bilo kog od domena ume i mogu se koristiti na objektovom ACL-u unutar ume. lanstvo u univerzalnoj grupi je neogranieno fleksibilno, a univerzalno je prihvaeno u umi. Univerzalne grupe se mogu koristiti samo u Native reimu. Ako se koriste samo univerzalne grupe, globalni katalog e se prepuniti i dolo bi do problema sa replikacijom. Imena univerzalnih grupa i njihovo lanstvo se repliciraju na druge servere globalnih kataloga (po jedan za svako mesto), dok se, u sluaju globalnih grupa, njihova imena pojavljuju u globalnom katalogu, ali lanovi ne. Kad ima vie domena, globalni katalog sadri replike informacija o svakom domenu iz ume, pa e veliina i vreme potrebno za replikaciju eksponencijalno rasti ako univerzalna grupa sadri veliki broj objekata. Zbog toga bi lanstvo u univerzalnoj grupi trebalo da bude dosta statino. Poeljno je izbegavati direktno dodavanje korisnika a druge grupe treba samo ugnezditi. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da kopiraju informacije iz drugih domena ime se neizmerno smanjuje optereenje pri replikaciji. To znai da bi u ovom sluaju mogle da se koriste iskljuivo univerzalne grupe. U sluaju jednog domena verovatno e sve globalne grupe biti zamenjene univerzalnim.

Administriranje mrea Globalne i univerzalne grupe mogu da spajaju domene, ak i ume. Domeni i raunari iz razliitih uma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo moe postii runo stvorenim odnosima poverenja. Dakle osnovna pravila su: Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Druge grupe treba stavljati u lokalne i tako zadrati malo lanstvo. Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima e biti potrebne iste privilegije, ili pristup istim resursima. Ove globalne grupe treba stavljati u lokalalne, koje imaju eljene privilegije i prava pristupa. Univerzalne grupe se koriste onako kako odgovara Administratoru, onda kada svi domeni budu na Windows 2000/2003 platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe (suprotno korisnikim nalozima) unutar univerzalnih grupa. Iako je mogue, nije preporuljivo ugnedavati grupe zbog znaajnog pada performansi. Na kraju treba sumirati i pravila ugnedavanja na Windows platformi. Lokalne grupe (poev od Windows 2000 do 2003 servera i radnih stanica) mogu da sadre: Grupe lokalnih domena, univerzalne iz kunog domena Globalne i univerzalne iz Windows pouzdanih domena Lokalne grupe domena (na kontroleru domena) mogu da sadre: Korisnike naloge iz bilo kog domena ume Univerzalne i globalne iz bilo kog domena ume Lokalne, samo iz istog domena Globalne grupe mogu da sadre: Korisnike iz istog domena Druge globalne grupe iz istog domena Univerzalne grupe mogu da sadre: Korisnike naloge iz bilo kog domena ume Druge univerzalne grupe Globalne grupe iz bilo kog domena ume 5.5.4 Rad sa sigurnosnim grupama Veoma je vano unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo lanova (kao to su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa, od tog trenutka treba samo da se premeta lanstvo u globalnim i univerzalnim grupama. Tako se tedi vreme i pojednostavljuje dodeljivanje dozvola za objekte. Neki dobri primeri ugnedavanja se mogu precrtati iz ema ugnedavanja koje se automatski postavljaju u domenu. Jedan je ugnedavanje administratorskih grupa. Administrator nalog na Windows raunaru svoju snagu crpe iz lanstva u lokalnoj Administratorskoj grupi. Ako se izvue Administrator izvan Administrators grupe, nalog vie nee imati specijalne moi ni mogunosti. Aktivni direktorijum automatski pravi globalnu Domain Admins grupu, iako toj grupi ne dodeljuje iroka administratorska prava, kao to se moe pomisliti. Kada Windows postane kontroler domena, globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. Slika 5.24 prikazuje lanstvo lokalne grupe domena Administrators, za domen vts.ni.edu.yu. Ukupan efekat ovog ugnedavanja je da je lan Domain Admins, ili Enterprise Admins grupe lokalni administrator za svaki raunar, lana domena. Ovakvo podrazumevano ponaanje se moe zaobii tako to se Domain Admins, ili Enterprise Admins ukloni iz lokalne grupe na raunaru. Ali to nije preporuka. lanstvo grupe Domain Admins, ili Enterprise Admins u lokalnoj Administratorskoj grupi moe se zameniti njihovim lanstvom u specifinim globalnim grupama, administratorskog tipa, kao to su F&A Admins ili CS Admins.

Administriranje mrea Drugi primer za ugnedavanje grupa je lanstvo lokalne Users grupe. Na lanu domena, ili kontroleru domena, Users automatski ukljuuje Domain Users. Kada se u domenu kreira novi korisniki nalog, novi korisnik se automatski pridruuje Domain Users grupi. Efekat ovoga je da se korisnikom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaki raunar, lana domena. Korisniki nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj su dodeljena lokalna prava i dozvole na sistemu. Nije loe pomenuti i par ostalih ugnedavanja. Domain Guests je automatski lan lokalne grupe Guests na svim raunarima, lanovima domena, a Enterprise Admins (univerzalna grupa) je lan lokalne Administrators grupe. 5.5.5 Ugraene lokalne grupe domena Svi ugraeni korisniki nalozi, podrazumevano su smeteni u kontejner Users. U kontejneru Users postoje i unapred definisane globalne grupe, ali neke od njih su smetene u kontejner BuiltIn. Kao to se vidi na slici 5.25, grupe koje su u BuiltIn kontejneru su oznaene kao Builtin Local, a one koje su u Users kontejneru, slika 5.26, su Domain Local, Global, ili Universal. Sada se postavlja pitanje u emu je razlika? Lokalne grupe su specifine za raunar, a globalne se mogu prihvatiti u domenu, ili u domenu od poverenja, kao to je gore ve reeno. Ugraene lokalne grupe, radi administracije, imaju unapred odreena prava i dozvole. lanstvo u ovoj grupi korisniku daje svu mo i mogunosti koje su date grupi. Ovo je nain da se brzo dodele dobro definisane administratorske uloge, umesto njihovog pravljenja od poetka. Na primer, Server Operators imaju skup uroenih prava koja im omoguavaju da prave deljene fajlove i upravljaju servisima. Backup Operators imaju pravo da zatitno kopiraju fajlove i direktorijume, ak i ako nemaju dozvolu da ih itaju, ili menjaju. Tabela 5.2 daje spisak ugraenih lokalnih grupa domena i njihove specijalne sposobnosti. Ugraene lokalne grupe su zajednike za sve Windows sisteme iz istog mesta (server, radna stanica, DC) i pruaju pogodne kontejnere grupama za dodelu lokalnog administratorskog autoriteta. Ove grupe se ne mogu obrisati. Ipak, u kontejneru se mogu kreirati drugi korisnici i grupe, iako oni nee imati nikakva posebna prava, osim ako im se ne dodele. Tabela 5.2: Ugraene grupe i njihova prava Korisnika prava Grupa: Administrators Lokalno logovanje Pristup ovom raunaru sa mree Preuzimanje vlasnitva nad fajlovima Upravljanje revizijama i bezbednosnim logom Promena sistemskog vremena Obaranje sistema Forsirano obaranje sa udaljenog sistema Povratak (restore) fajlova i direktorijuma Dodavanje i uklanjanje drajvera ureaja Davanje vieg prioriteta procesu Zatitno kopiranje (backup) fajlova i direktorijuma Grupa: Server Operators Lokalno logovanje Promena sistema vremena Obaranje sistema Forsirano obaranje sa udaljenog sistema Zatitno kopiranje (backup) fajlova i direktorijuma Povratak (restore) fajlova i direktorijuma lanovi mogu da Kreiraju i upravljaju korisnikim nalozima Kreiraju i upravljaju globalnim nalozima Dodeljuju prava korisnicima Upravljaju naelima revizije i bezbednosti Zakljuavaju konzole servera Otkljuaju konzole Formatiraju hard disk servera Dre lokalne profile Dele i prestaju da dele direktorijum Dele i prestaju da dele tampa Kreiraju zajednike programske grupe Zakljuavaju server Prelaenje preko toga to je server zakljuan Formatiranje hard diska servera Kreiraju zajednike grupe Dre lokalni profil Dele i prestaju da dele direktorijum Dele i prestaju da dele tampa

Administriranje mrea Grupa: Account Operators Lokalno logovanje Kreiraju i upravljaju korisnikim nalozima, globalnim grupama i lokalnim grupama Dele i prestaju da dele tampa

Obaranje sistema Grupa: Print Operators Lokalno logovanje Dre lokalni profil Obaranje sistema Dele i prestaju da dele tampa Grupa: Backup Operators Lokalno logovanje Dre lokalni profil Obaranje sistema Zatitno kopiranje (backup) fajlova i direktorijuma Povratak (restore) fajlova i direktorijuma Grupa: Everyone Pristup ovom raunaru sa mree Zakljuavaju server Grupa: Users (Nema) Kreiraju i upravljaju lokalnim grupama Grupa: Guests (Nema) (Nema) Grupa: Replicator (Nema) (Nema)

Administrators. Administratori imaju skoro sva ugraena prava, pa su lanovi u sutini, svemogui u vezi administracije sistema. Backup operators. lanovi Backup Operators imaju pravo da zatitno kopiraju i vraaju fajlove, bez obzira na to da li na drugi nain mogu da pristupaju tim fajlovima. Server Operators. Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. lanovi mogu da kreiraju, upravljaju i briu deljene tampae na serverima, kreiraju, upravljaju i briu deljene mrene resurse na serverima, zatitno kopiraju i vraaju fajlove na servere, formatiraju hard diskove servera, zakljuavaju i otkljuavaju servere, otkljuavaju fajlove i menjaju sistemsko vreme. Osim toga, Server Operators mogu na mreu da se loguju sa servera domena, kao i da obaraju servere. Accounts Operators. lanovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisnike naloge i grupe i da menjaju i briu veinu korisnikih grupa i naloga iz domena. lan Account Operators ne moe da menja ni brie sledee grupe: Administrators, Domain Admins, Account Operators, Backup Operators, Print Operators i Server Operators. Slino, lanovi ove grupe ne mogu menjati, ni brisati korisnike naloge administratora. Ne mogu administrirati bezbednosna naela, ali mogu dodavati raunare u domen, mogu se logovati na servere i obarati ih. Print Operators. lanovi ove grupe mogu kreirati, upravljati i brisati tampae koje deli server. Osim toga, mogu da se loguju na server i da obaraju server. Power Users. Ova grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. lanovi mogu kreirati korisnike naloge i lokalne grupe i upravljati lanstvom Users, Power Users i Guests, kao i administrirati ostale korisnike i grupe koji su kreirali. Users. Korisnici mogu da pokreu aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore i zakljuaju radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. Guests. Gosti mogu da se loguju i pokreu aplikacije. Mogu i da obore sistem, a u svakom drugom pogledu imaju vea ogranienja nego Users. Na primer, ne mogu da dre lokalni profil. Replicator. Ova grupa je strogo za replikaciju direktorijuma. Korisniki nalog se koristi za pokretanje Replicator servisa i trebalo bi da je jedini lan grupe. U kontejneru Users se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe, kao deo konfiguracije odreenog servisa. Njihova namena moe da bude da se korisnicima omogui pristup odreenom servisu (kao DHCP Users, ili WINS Users), ili da obezbede kontejner grupe za administraciju servisa, kao u sluaju DHCP Administrators i DNS Admins. Ove i druge predefinisane grupe mogu imati specijalna prava ili dozvole za odreene stvari, ali nemaju iroka prava i dozvole kao

Administriranje mrea Administratori, Server Operateri. Windows 2003 ima nekoliko ugraenih globalnih grupa, izmeu ostalih Domain Admins, Domain Usres i Domain Guests. One e se pojaviti samo na kontrolerima domena. Tabela 5.3 opisuje najvanije ugraene globalne grupe. Tabela 5.3: Ugraene globalne grupe Grupa Domain Admins ta radi Postavljanjem korisnikog naloga u ovu grupu, korisniku se dodeljuju mogunosti administratora. lanovi Domain Admins mogu da administriraju kuni domen, radne stanice iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu Domain Admins globalnu grupu domena. Podrazumeva se da je Domain Admins grupa lan i Administrators lokalne grupe domena i Administratorskih lokalnih grupa svake Windows radne stanice u domenu. Ugraeni korisniki nalog Administrator za domen je automatski lan Domain Admins globalne grupe. Ako je potvreno, spreava korisnika da promeni lozinku za nalog. lanovi Domain Users globalne grupe imaju normalan korisniki pristup i sposobnosti kako za sam domen, tako i za svaku radnu stanicu u domenu. Ova grupa sadri sve korisnike naloge iz domena i podrazumeva se da je lan svake lokalne Users grupe, na svakoj radnoj stanici u domenu. Ova grupa omoguava nalozima gosta da pristupaju resursima izvan granica domena, ako su im to dozvolili Administratori domena.

Domain Users

Domain Guests

5.6 Korisnika prava Pristup korisnika mrenim resursima, fajlovima, direktorijumima, ureajima, u Windows-u kontrolie se na dva naina: dodeljivanjem korisniku rights (prava) koja pruaju ili uskrauju pristup odreenim objektima (na primer, mogunost da se loguju na server) i dodeljivanjem objektima permissions (dozvola) koje odreuju kome je dozvoljeno da koristi objekat i pod kojim uslovima (na primer, davanje read pristupa direktorijumu za odreenog korisnika). Administratori za razliku od korisnika mogu da se loguju direktno na server, mogu da kreiraju korisnike i rade zatitino kopiranje fajlova. Koriene Group Policy (grupna naela) kontrolie se ko e u Windows-u dobiti koja prava. Prava korisniku daju ovlaenje da izvri odreeni sistemski zadatak. Na primer, prosean korisnik ne moe jednostavno da sedne za Windows 2003 server i da se loguje direktno na njega. Pitanje Mogu li lokalno da se logujem na server? je primer prava. Korisnika prava se mogu dodeliti odvojeno jednom korisniku, ali iz bezbednosnih razloga, bolje je korisnika smestiti u grupu i definisati prava koja su dodeljena grupi. Dozvole se primenjuju na odreene objekte kao to su fajlovi, direktorijumi, i tampai. Da li mogu da menjam fajlove u profesori direktorijumu na Serveru? je primer dozvole. Dozvole reguliu koji korisnici mogu imati pristup objektu i na koji nain. Pravilo je da korisnika prava imaju prednost nad dozvolama za objekat. Uzmimo za primer korisnika koji je lan ugraene Backup Operators grupe. Na temelju lanstva u toj grupi korisnik ima pravo da zatitno kopira server. Ovo zahteva mogunost gledanja i itanja svih direktorijuma i fajlova na serverima, ukljuujui i one iji su kreatori i vlasnici izriito ukinuli Read dozvolu lanovima Backup Operators grupe; tako da pravo da se izvodi zatitno kopiranje gazi dozvole date za fajlove i direktorijume. Pravo Backup Operators grupe vai samo u saradnji sa Backup rutinom; oni ne mogu tek tako da otvaraju fajlove na serveru i itaju njihov sadraj. Tako da ne treba brinuti za privatnost. Grupe ugraene u Windows-u 2003 ve imaju neka prava koja su im dodeljena, ali postoji mogunost kreiranja novih grupa i dodeljivanja skupa korisnikih prava istim po sopstvenoj elji. Da bi se videla ili menjala pridruena lokalna prava za korisnika ili grupu koji nisu na kontroleru domena,

Administriranje mrea treba otvoriti alat Local Security Policy, iz Administrative Tools grupe, ili se moe upotrebiti alat Domain Controller Security Policy, za kontroler domena. Zatim treba otvoriti Local Policies/User Rights Assignment. Spisak prava i korisnika ili grupa kojima su prava dodeljena prikazae se u oknu sa detaljima desno (slika 5.27). Da bi se korisniku ili grupi dodalo ili oduzelo pravo, treba dva puta kliknuti pravo prikazano u oknu sa detaljima ili izabrati pravo klikom desnog tastera i biranjem opcije Security. Na slici 5.28 vide se Security informacije o pravu na promenu sistemskog vremena. Da bi se pravo ukinulo grupi, treba istaknuti ime grupe i izabrati Remove. Da bi se grupa ili korisnik dodali listi treba izabrati Add i u okviru za dijalog Select Users or Groups, otkucati ime ili izabrati Browse i selektovati ga. Tabele 5.4 prikazuje korisnika prava sa opisima. Tabela 5.4: Korisnika lokalna prava Korisniko pravo Access this Computer from the Network Act as a part of the Operating System Add workstations to Domain Backup Files and Directories Bypass traverse checking Change the system time Create a pagefile Create a token object Opis Povezivanje na raunar preko mree Ponaati se kao deo pouzdanog operativnog sistema; Neki podsistemi imaju ovu privilegiju Uiniti raunare lanovima domena Zatitno kopirati (Backup) fajlove i direktorijume. Kao to je ve pomenute ovo pravilo potiskuje dozvole za fajlove i direktorijume Prepreiti preko drveta direktorijuma, ak, iako korisnik nema druga prava pristupa na tom direktorijumu Postavljanje vremena za interni sat raunara Kreiranje pagefile-a Kreriranje tokena za pristup. Samo Local Security

Authority bi trebalo da ima ovu privilegiju Kreiranje specijalnih stalnih objekata Create permanent shared objects Debagovanje aplikacija Debug programs Deny access to this computer from Suprotno pravu Access this computer from the network; posebno ukida prava korisnicima/grupama koji bi ih normalno imali the network Deny Logon as a batch job Deny Logon as a service Deny Logon Locally Enable computer and user acounts to be trusted for delagation Force shutdown from a remote system Generate security audits Increase quotas Increase scheduling priority Load and unload device drivers Lock pages in memory Logon as a batch job Logon as a service Logon localy Ukida pravo na logovanje kao batch posao Ukida pravo na logovanje kao servis Ukida pravo na lokalno logovanje Odreuje naloge koji e biti delegirani Prmorava raunar da se obori sa udaljenog sistema Generie zapise audit loga Poveava kvote objekata (svaki objekat ima dodeljenu kvotu) Podie prioritet procesu Dodaje i uklanja drajvere iz sistema Zakljuava stranice memorije, da bi spreio njihovo izmetanje (na primer, u pagefile.sys) Loguje se na sistem kao batch queue usluga Izvrava usluge bezbednosi (korisnik koji vri replikaciju se loguje kao servis) Lokalno se loguje na sam server

Manage auditing and security log

Administriranje mrea Odreuje koji tipovi dogaaja i pristupa resursima treba da se prate, omoguava pregled i pranjenje security log-a

Modify firmware environment Menja sistemske promenljive okruenja (ne promenljive korisnikog okruenja) values Koristi mogunosti profilisanja Windows-a za posmatranje procesa Profile single process Profile system performance Koristi mogunosti profilisanja Windows-a za posmatranje sistema

Remove computer from dotcking Prenosivi raunar vadi iz njegovog stonog proirenja station Menja pristupni token procesa Replace a process level token Vraa i fajlove i direktorijume. Ovo pravo potiskuje dozvole za Restore files and directories fajlove i direktorijume Obara Windows 2003 Shutdown the system Aurira informacije u Aktivnom direktorijumu Syncronize directory service data Take ownership of files or other Preuzima vlasnitvo nad fajlovima, direktorijumima i drugim objektima, iji su vlasnici bili drugi korisnici. objects Mnoga prava, kao to su ono na debagovanje programa, ili ono na profilisanje jednog procesa, korisna su samo programerima koji piu aplikacije koje e se izvravati pod Windows-om a veina nije data grupi ili korisniku. 5.7 Group Policies Organizacione jedinice (organisation unit - OU) su logiki kontejneri u domenu. One mogu da sadre korisnike, grupe, raunare i druge OU, ali samo iz svog kunog domena. Globalne grupe, ili raunare iz drugog domena ne mogu se smestiti u OU lokalnog domena. OU su samo za administraciju. Administratori mogu da kreiraju i primenjuju grupna naela na OU, a mogu i da delegiraju kontrolu nad OU. Ideja je imati delove domena, ali i dalje deliti zajednike sigurnosne informacije i resurse. Grupisanje korisnika, grupa i resursa u organizacione jedinice prua mogunost da se naela primenjuju mnogo finije i da se, takoe lake odlui ko ime upravlja i do kog nivoa. U emu se razlikuju OU i kontejneri? OU jeste kontejner, ali ne samo to. Kontrola nad kontejnerom se moe delegirati, ali se na njega ne moe primeniti Group Policy. Po emu se OU razlikuju od grupa? Korisnik moe biti lan mnogo grupa, ali samo jedne OU u jednom trenutku. Kao i grupe i OU mogu da sadre druge OU. Imena grupa se pojavljuju u ACL-ovima, tako da se grupama mogu dodeliti ili ukunuti prava. OU se ne pojavljuju u ACL-ovima, tako da se ne moe, na primer svima iz jedne organizacije dodeliti pristup tampau. Sa druge strane, ne moe se svakome iz sigurnosne grupe pripisati odreeni skup aplikacija, ali mogue je pripisati neki programski paket celoj organizacionoj jedinici. Pomou grupnih naela moe se obaviti: Objavljivanje ili dodeljivanje softverskih paketa korisnicima ili raunarima Dodeljivanje Start-up, Shut Down, Log On i Log Off skriptova Definisanje lozinke, zakljuavanje i revizija naela za domen Standardizacija mnogih drugih parametara bezbednosti za udaljene raunare parametara koje je ranije bilo mogue konfigurisati editovanjem Registra ili korienjem alata za konfigurisanje bezbednosti drugih proizvoaa. Neke karakteristike, kao to su mogunosti nametanja lanstva u grupi i konfigurisanja servisa u potpunosti su nove. Definisanje i nametanje parametara za Internet Explorer Definisanje i nametanje ogranienja za korisnike stone raunare Preusmeravanje odreenih fascikli iz korisnikih profila ( kao to su Start Menu ili Desktop) na neku centralnu lokaciju Konfigurisanje i standardizacija parametara za nove mogunosti, kao to su offline fascikle, disk quote, ak i sam Group Policy Grupna naela se delom uvaju u Aktivnom direktorijumu a delom u SYSVOL tako da ne treba brinuti o njihovoj replikaciji.

Administriranje mrea 5.7.1 Koncepti Group Policy Administratori konfiguriu i primenjuju grupna naela tako to grade objekte grupnih naela (Group Policy Object -GPO). GPO su kontejneri za grupe parametara (naela) koji se mogu primeniti na korisnike i grupe na mrei. Objekti naela se prave pomou Group Policy Object Editor-a, koji se obino poziva preko kartice Group Policy iz DSA.MSC ili DSSITE.MSC. Isti GPO moe da odreuje skup aplikacija koje treba da se instaliraju na stonim raunarima svih korisnika, primeni surovu politiku disk kvota i restrikcija na Explorer Shell-u i definie lozinku za ceo domen i politiku zakljuavanja naloga. Moe da se napravi jedan sveobuhvatan GPO ili vie razliitih po jedan za svaki tip funkcije. U Group Policy Object Editor-u postoje dva glavna vora, User Configuration i Computer Configuration. User Configuration naela se primenjuju na parametre specifine za korisnika, kao to su konfiguracija aplikacije ili preusmeravanje fascikli, a Computer Configuration naela upravljaju parametrima specifinim za raunar, kao to su kvote za diskove, revizije (auditing) i Event Log Managment. Ipak, postoji i prilino preklapanje, pa nije neobino videti isto naelo i u User Configuration i u Computer Congifuration vorovima. Treba biti spreman na dosta muke za vreme traenja naela koje treba aktivirati i odluiti da li da se koristi korisniko ili raunarsko naelo i imati na umu da se moe kreirati naelo koje koristi oba tipa parametara. Isto tako mogu da se kreiraju odvojeni objekti za korisniku i raunarsku konfigiraciju. Suprotno svom imenu, grupna naela uopte nisu usmerena na grupe. Moda se zovu grupna jer je gomila razliitih konfiguracionih alata grupisana zajedno u jedan Object Editor. U svakom sluaju, ne mogu se primeniti direktno na grupe, ni korisnike, ve samo na sajtove, domene i OU (to Microsoft skrauje u termin SDOU). in dodele GPO-a sajtu, domenu ili OU zove se povezivanje (linking). GPO moe biti povezan i sa lokalnim naelom odreenog Windows raunara. Veza GPO-SDOU moe biti mnogo na jedan (mnogo naela primenjeno na jednu OU, na primer) ili jedan na mnogo (jedno naelo povezano sa mnogo razliitih OU). Kada se poveu sa sajtom, domenom ili organizacionom jedinicom, korisnika naela se primenjuju za vreme logovanja, a raunarska za vreme podizanja sistema. I jedna i druga se periodino osveavaju. Svaki objekat grupnih naela sadri mnoge mogue parametre za mnoge funkcije; obino se konfiguriu samo neki od njih, a ostali e biti ostavljani neaktivni. Windows mora da proita celo naelo ali reaguje samo na opcije koje su mu omoguene. Ipak kada se jednom konfigurie skup naela i kae AD-u da je, da je na primer, ovaj GPO povezan sa vts.ni.edu.yu domenom, individualni parametri ili tipovi parametara ne mogu se primeniti selektivno. Svi korisniki konfiguracioni parametri e se primeniti na sve korisnike na Windows sistemima u povezanom domenu. Recimo da je kreiran GPO koji razvija set standardnih Desktop aplikacija kao to su Word, Excel, Outlook i da je ubaena gomila shell restrikcija kao bi se spreili korisnici da menjaju svoje konfiguracije. Ukoliko se ne eli da lanovi recimo IT gupe podleu ovim besmislenim restrikcijama, mogue je uraditi par stvari. Moe da se za ova naela kreira poseban GPO i povee sa kontejnerom nieg nivoa kao to je OU koja sadri sve regularne korisnike. Meutim, ta OU bie jedina koja dobija Office aplikacije. Kao alternativa mogu se postaviti dozvole za GPO to e spreiti da se naelo primeni na IT grupu (ovo se zove filtriranje). Ali ako se za reenje ovog problema upotrebi filtriranje, na IT grupu uopte nee biti nita primenjeno na GPO. Primena grupnih naela je sve ili nita tako da su ponekad za posebne funkcije, potrebna posebna naela. Moda je najbolji nain pristupa ovome izrada GPO za raspored standarnog softvera ili GPO za shell restrikcije. Oba se mogu primeniti na nivou domena, ali se shell restrikcije mogu filtrirati za IT grupu. Poenta je u tome da je nemogue kreirati jedno naelo i onda odreivati ko dobija koje parametre to se i ne eli. Parametri Group Policy su kumulativni i nasleeni iz kontejnera Aktivnog direktorijuma. Na primer, domen vts.ni.edu.yu ima nekoliko razliitih GPO. Postoji naelo na nivou domena koje postavlja restrikcije za lozinke, zakljuavanje naloga i standardne parametre bezbednosti. Svaka OU ima naelo za irenje i odravanje standarnih desktop aplikacija, kao i preusmeravanje fascikli i restrikcije za desktop. Korisnici i raunari koji su u i u domenu i u OU primaju parametre i od naela na nivou domena i od onih na nivou OU. Dakle, opta naela se mogu primeniti na ceo domen, a sitnija u zavisnosti od OU. Nasleivanje i akumulacija su jednostavni, sve dok naela koja se primaju od domena utiu na razliite parametre od onih odreenih OU naelom. Naela se primenjuju sledeim redosledom: lokalno naelo, sajtovi, domeni, organizacione jedinice, zatim OU unutar OU. Ako naelo domena kae: Mora biti logovan da bi mogao da obori raunar, a OU naelo; dozvoli obaranje pre logovanja, OU naelo je

Administriranje mrea primenjeno poslednje i zato ima prednost. Ako jedno naelo kae: Zakljuaj, a sledee: Nije konfigurisano, parametar ostaje zakljuan. Ako jedno naelo kae: Nije konfigurisano, a sledee: Zakljuaj, parametar je, takoe, zakljuan. Zbog ovoga, poeljno je izbegavati ovakva neslaganja meu naelima. Block Inheritance je specijalan parametar koji spreava da naela procure sa vieg nivoa na nii. Kada je ukljuen vrednosti viih naela se uopte nee primeniti u niim kontejnerima. Kada je za naelo ukljueno No Override, vrednostima iz narednih naela je onemogueno da obru one iz naela sa ukljuenim No override. Ako na primer administratori imaju niz spornih parametara koje su ukljuili na nivou domena, a administratori sa drugog odseka su napravili sopstveni OU, sa sopstvenim naelima i ukljuili Block Inheritance, organizaciona jedinica tog odseka e efektno izbegavati nametnute parametre dok administratori domena ne ukljue No Ovverride. Naela se ponovno primenjuju svakih 90 minuta, uz 30-minutnu nasuminost koja spreava da kontroler domena bude istovremeno pogoen od strane desetina ili stotine raunara. Na kontrolerima domena naela se osveavaju svakih 5 minuta i postoji naelo koje konfigurie upravo ovo. Izuzeci za interval osveavanja ukljuuju preusmeravanje fascikli i instalaciju softvera. Oni se primenjuju samo pri logovanju ili pri podizanju sistema. Ako se otvori alat Group Policy koji stie uz Windows (GPEDIT.MSC) on se automatski fokusira na lokalni raunar kao to je prikazano na slici 5.29. Administratori mogu da ga koriste kao to bi koristili i alat Local Security Policy za konfigurisanje parametara naloga (kao to su minimalna duina lozinke i broj propalih pokuaja logovanja pre zakljuavanja naloga) i podeavanje praenja (auditing). 5.7.2 Izrada grupnih naela Da bi se u DSA.MSC otvorio Group Policy Object Editor treba kliknuti desnim tasterom ime domena u korenu konzole i iz menija izabrati Properties. Kako bi se videlo koji GPO su povezani na nivou domena treba prei na karticu Group Policy prikazanoj na slici 5.30. Ako do sada nisu kreirana druga naela, videe se samo podrazumevano naelo domena. Da bi se ukljuilo No Override, treba istaknuti naelo i izabrati Options, zatim potvrditi polje No Override (slika 5.31). Kada je ovo polje ukljueno, ostala naela, primenjena na donjim nivoima ne mogu nadjaati vrednost ovog naela, ak ni sa Block Inheritance. Onemoguavanje naela ne onemoguava i sam objekat. Na primer, isto naelo, onemogueno na nivou domena, teorijski bi moglo da se primeni na nivou sajta, ili OU. Ako je neka opcija (No Override, ili Disabled) ukljuena, postojae znak pomou kontekstualnog menija naela. Da bi se video kontekstualni meni, samo treba kliknuti desnim tasterom na naelo. U vts.ni.edu.yu listi sa svojstvima se izabere New, da bi se kreirao novi GPO. Windows e kreirati naelo po imenu New Group Policy Object i dozvoliti da mu se promeni ime. Ako se ta prilika propusti i zavri se sa naelom koje se zove New Group Policy Object, samo se istakne naelo, klikne se desnim tasterom i, iz kontekstualnog menija se izabere Rename. Potom se izabere Properties, kako bi se videla i promenila svojstva informacije novog objekta grupnih naela. Kartica General prikazana je na slici 5.32, prikazuje informacije o izradi i reviziji, kao i opcije za onemoguavanje korisnikog, ili raunarskog dela naela. U zavisnosti od naina na koji se podeli domen u organizacione jedinice, moe se odluiti da li e se neka naela kreirati samo sa raunarskim parametrima, a neka samo sa parametrima karakteristinim za korisnika. U tom sluaju, ako je neiskorieni deo GPO onemoguen u potpunosti, primena naela i auriranje e se odvijati bre. Zbog toga e Windows traiti da se potvrdi postupak radi sigurnosti. Kartica Links prua mogunost potrage za sajtovima, domenima, ili OU koji koriste ovaj GPO, ako takvi postoje. Poto potraga za drugim linkovima zahteva vreme i resurse, povezani kontejneri nee biti prikazani sve dok se ne izvri pretraivanje. Klikne se na dugme Find Now, kako bi se pretraga pokrenula. Kartica Security otkriva podrazumevane dozvole za GPO (slika 5.33). Istakne se ime sa vrha, da bi se u donjem delu videle dozvole. Moe se zapaziti da Domain Admins i Enterprise Admins imaju dozvole Read (itanje) i Write (pisanje), kao i Delete (brisanje) i Create Child Objects (izrada podobjekata), dok Authenticated Users imaju samo Read i Apply Group Policy (primena grupnih naela). Read i Write su neophodni za promenu naela a Read i Apply su neophodni primaocu naela. Sada se treba vratiti na karticu Group Policy. Ako se istakne GPO koji je upravo kreiran i izabere dugme UP (gore) ili Down (dole), naelo moe da se pomeri na gore ili na dole u prozoru. Ovo je vana injenica

Administriranje mrea koju treba znati: ako je na jedan kontejner povezano vie GPO-a, kao to se vidi na slici 5.34, oni e se primenjivati od dna ka vrhu, tako da se onaj sa vrha primenjuje poslednji. Znai da GPO koji je na viem mestu liste ima vii prioritet. Ako postoje parametri koji su u konfliktu, vie naelo pobeuje. Kako bi se GPO obrisao, ili samo uklonio sa liste, istakne se naelo i izabere se Delete. Windows e ponuditi opciju da se potpuno obrie, slika 5.35, ili da se ukloni sa liste, uvajui naelo koje se onda u nekom trenutku moe povezati sa nekim drugim kontejnerom. Na kartici Group Policy se izabere dugme Add, da bi se postojei GPO povezao sa eljenim kontejnerom. Kao to se moe videti na slici 5.36, moe se potraiti GPO koji su povezani sa drugim domenima/OU, ili drugim sajtovima, ili se moe zatraiti lista svih GPO-a. Klik na ime kontejnera (kao to je OU elektronskiodsek.vts.ni.edu.yu), da bi se videla naela povezana sa njim. Zatim se istakne naelo i izabere OK, kako bi se dodao listi na kartici Group Policy. Sada treba izmeniti kreirano naelo. Na kartici Group Policy istakne se naelo i izabere se Edit. Ovo e, u posebnom prozoru, otvoriti Group Policy Object Editor i videe se ime objekta naela u korenu prostora za ime, u ovom sluaju Studenti Polisa [server.vts.ni.edu.yu] Policy. Ovo nagovetava da je naelo ve gledano i editovano. Slika 5.37 prikazuje naelo razvijeno u drvo konzole, kako bi se videli glavni vorovi objekata grupnih naela. Kao to je ve pomenuto, postoje dva glavna tipa parametara. Parametri konfiguracije raunara se primenjuju na raunaru pri podizanju i u odreenim intervalima osveavanja. Parametri korisnike konfiguracije se primenjuju na korisnikovo radno okruenje pri logovanju i u odreenim intervalima osveavanja. Treba pomenuti nekoliko primera jer nisu sva naela konfigurisana na isti nain, bar to se interfejsa tie: Da bi se u Software Settings\Software Installation specificirali softverski paketi, otvori se fascikla i izabere se New Package iz Action menija. Okvir za dijalog Open e pitati za lokaciju paketa. Kada se locira i selektuje, onda se konfiguriu njegova svojstva. Da bi se zadao interval koji moe da se pokrene dok korisnik ne promeni lozinku, ide se u Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy, u desnom oknu sa detaljima se klikne dva puta na Maximmum Password Age (maksimalna starost lozinke), omoguava se ovaj parametar potvrivanjem polja Define this Policy Settings i odreuje vrednost vremenskog intervala. Da bi se podesilo naelo koje ograniava lanstvo u grupi, ide se u Restricted Groups, pod Security Settings, u Computer Configuration\Windows Settings i izaber se Add Group iz Action Menu-a. Okvir za dijalog trai da se unese grupa, ili da s potrai. Kada se grupa doda spisku u desnom oknu sa detaljima, klikne se dva puta njeno ime kako bi se otvorio okvir za dijalog i daju se imena korisnika koja moraju biti, ili im je dozvoljeno da budu lanovi grupe. lanstvo u grupi se moe definisati i za samu grupu. Da bi se podesilo preusmeravanje fascikle, ide se na User Configuration\Windows Settings\Folder Redirection i izabere se fascikla (na primer, Start Menu). Desno okno, sa detaljima, bie prazno. Klikne se desnim tasterom u prazan prostor okna (ili se otvori Action Menu) i izabere se Properties. Pojavie se list sa svojstvima gde se moe odrediti lokacija za Start Menu i treba konfigurisati parametre za preusmeravanje. Poenta svega ovoga je da Group Policy sadri vie razliitih vorova za postizanje razliitih zadataka, pa e se procedure za konfigurisanje parametara razlikovati od vora do vora i od zadatka do zadatka. Nema jednog naina za konfigurisanje parametara. Kada se zavri sa konfigurisanjem parametara Group Policy, jednostavno se zatvori Group Policy prozor. Nema opcije Save, ni Save Changes. Promene se upisuju u GPO, kada se izabere OK, ili Apply za odreeni parametar i ako korisnik, ni raunar nee primetiti promenu sve dok se naelo ne osvei. 5.7.3 Filtriranje grupnog naela Sada se treba vratiti na karticu Security, u listu sa svojstvima objekta grupnih naela: otvori se DSA.MSC (ili DSSITE.MSC, u zavisnosti od toga gde je link). Klikne se desnim tasterom kontejner povezan sa GPO (u ovom sluaju domen) i izabere se Properties. Izabere se kartica Group Policy i istakne se naelo koje treba filtrirati. Izabere se dugme Properties i ide se na karticu Security (ponovo prikazana na slici 5.38). Sada se vidi Access Control List (ACL) za objekat naela. Kao to je ve istaknuto, Domain Admins i Enterprise Admins imaju Read i Modify dozvole, a Authenticated Users imaju Read i Group Policy. Moe

Administriranje mrea se desiti da je napravljeno naelo kojim se ograniavaju radne stanice, a ne eli se da se primeni na odreenu grupu ljudi. Grupa Authenticated Users ukljuuje sve osim gostiju, tako da se podrazumeva da e se naelo primeniti na sve osim gostiju, pa e ak i Domain Admins i Enterprise Admins primiti parametre naela. Kako bi se spreilo da i Domain Admins i Enterprise Admins prime ovo neelo, mora se u Deny koloni potvrditi polje pored Apply Group Policy (slika 5.39). Onima koji su lanovi obe grupe je potreban Deny samo za jednu grupu, ali Deny polje se mora potvrditi za obe grupe, za sluaj da lanovi Domain Admins i Enterprise Admins nisu isti ljudi. Kako bi se izuzeli ostali od primanja naela, sve ih treba smestiti u sigurnosnu grupu i tu grupu dodati listi. Nije dovoljno ne potvrditi polja za dodelu Read i Apply Group Policy jer korisnici iz specifine sigurnosne grupe su lanovi iz Authenticated Users, tako da zapravo treba izabrati Deny opciju i za njih. Deny ima prvenstvo u odnosu na Allow. Ukoliko naelo treba filtrirati za odreeni raunar, (ili grupu raunara), primenjuje se ista strategija. Doda se raunarski nalog u sigurnosnu grupu, doda se ta grupa u ACL za objekat naela, zatim se grupi uskrate (Deny) Read i Apply Group Policy dozvole. Postoji alternativa dodavanju sigurnosne grupe u ACL i u skraivanju Read i Apply dozvole. Mogue je u popunosti ukloniti Authenticated Users iz ACL-a, ime se svi spreavaju od prijema grupnog naela. Zatim bi se u ACL jednostavno dodali ulazi za sigurnosne grupe za koje se eli da prime naelo. Ipak, treba biti siguran da im je dodeljeno i Read i Apply Group Policy. Slika 5.40 prikazuje listu dozvola za blanket Studenti Policy iz koje je uklonjeno Authenticated Users i dodata je grupa Studenti. Ova strategija je korisna ako se ne eli da se naelo primeni na sve raunare u povezanom kontejneru. VI Povezivanje klijenata na Windows 2003 Server Poto su kreirani korisnici i dodeljena prava, potrebno je povezati klijente na server. Ovde e se povezati radne stanice sa DOS, Windows 98 i Windows XP operativnim sistemom. 6.1 Povezivanje DOS radnih stanica U ranijim verzijama Windows operativnih sistema, postojali su razni alati za podizanje mree. Naravno, ovi alati su izostavljeni sa pojavom Windows 2000 sistema. Postavlja se pitanje zato je to tako. Prvi razlog je taj da je Microsoft DOS proglasio za nepodrani operativni sistem. To znai da ukoliko korisnik trai tehniku pomo za povezivanje DOS radne stanice na Windows 2000/2003 operativni sistem, ostae uskraen iste. Drugi razlog za nedostatak DOS alatki na Windows 2003 Server CD-u je to postoje poboljane verzije metode za instalaciju. U DOS-u nije mogue otvoriti CD drajv, staviti CD i pokrenuti instalaciju. Umesto toga, potrebno je ubaciti disketu sa drajverima za CD drajv, instalirati ga, pa tek onda se povezati na izvor instalacije. Uglavnom za prikljuenje DOS radne stanice na Windows 2003 server, potreban je instaliran DOS operativni sistem sa najmanje tri komponente: config.sys koja uitava drajvere za mrenu karticu autoxec.bat, ili config.sys koje uitavaju program za upravljanje mrenim funkcijama alatke za rad u komandnoj liniji koje izvravaju komande na mrei, kao to je NET.EXE Fokusiraemo se na treu komponentu, program NET.EXE, tj, na tri glavne funkcije NET komande. Prva je LOGON koja klijenta prijavljuje na domen. Da bi se korisnik prijavio na domen sa korisnikim akreditivom koji je ve definisan, ukucava se NET LOGON STUDENTI/ DOMAIN:VTS. Ovo je, dakle, prijavljivanje sa korisnikim imenom STUDENTI, na domen VTS. Adresa domena je ime domena nieg nivoa, a ne novo, puno ime domena vts.ni.edu.yu, jer DOS ne prepoznaje ovaj tip imena domena. Sledea funkcija je VIEW. NET VIEW je naredba mnogo vanija za DOS klijente nego za bilo kog drugog. Ovo je zbog toga to DOS nema ita koji bi mogao da prikae jednostavnu listu resursa na mrei. Umesto toga, resursi se moraju pronai pomou naredbe NET VIEW. Postoje dva naina za fokusiranje VIEW naredbe. Prvi je domen. Na primer, ukucavanje NET VIEW /DOMAIN:VTS e obezbediti listu servera koji su registroani na VTS domen. Iz ove liste, moe se usmeriti naredba VIEW na odreeni server sa listom zajednikih resursa. Ukoliko bi eleli da vidimo sve zajednike resurse na serveru VTSSERVER trebalo bi da su ukuca NET VIEW \\VTSSERVER.

Administriranje mrea Sada kada je pronaen ciljni zajedniki resurs, koji je, u stvari, APPS u domenu VTS, potrebno je povezati se sa njim. U stvari, moe se uraditi dosta toga, koristei programe i tampae putem NET interfejsa, tako da je potrebna i oznaka za drajv ili port na koji se treba povezati. Unosi se USE. Ukoliko je potrebno usmeriti se na drajv D: sa izlistanim serverom i zajednikim resursom, ukucava se NET USE D: \\VTSSERVER\APPS. Ova naredba mora da bude u UNC formatu: \\imeservera\zajednikiresurs. Slino, ukoliko se eli da se usmeri na LTP1 port za tampa zajednikog tampaa iz domena VTS sa imenom CANON, trebalo bi ukucati NET USE LTP1: \\VTSSERVER\CANON. Takoe, postoje i druge NET funkcije vredne pomena. NET LOGOFF odjavljuje korisnika sa domena na koji je prijavljen. NET TIME \\VTSSERVER sinhronizuje sat na radnoj stanici sa onim na serveru. NET PASSWORD /DOMAIN: VTS STUDENT staralozinka novalozinka menja staru lozinku korisnika STUDENTI u novu. 6.2 Povezivanje Windows 98 radnih stanica Povezivanje Windows 98 radnih stanica na mreu se moe vrlo lako obaviti. Pretpostavlja se da se ima Plug and Play kojim se eliminiu sve sumnje vezane za instaliranje mrenih kartica, a umreavanje se predstavlja kao bitna mogunost radne stanice. Drugim reima instaliranje i konfigurisanje svih mrenih komponenti ne zahteva vie rada i znanja nego to bi bilo potrebno klijentima da sami obave instaliranje. Teoretski, instaliranje komponenti za mreu u Windows-u 98 i napraviti ih sposobnim za komunikaciju sa serverom je lako. Za poetak, pretpostavlja se da je radna stanica potpuno opremljena i da radi pod operativnim sistemom Windows 98 i da nema instalirane komponente. Poinje se u Network Control Panel-u (selektuje se Start Settings Control Panel, a zatim se otvori Network aplet). Trebalo bi da se vidi jedan prazan okvir za dijalog za konfigurisanje, kao to je prikazano na slici 6.1. Potrebno je imati najmanje jedan tip klijenta za umreavanje, najmanje jedan protokol i najmanje jedan mreni adapter. Dodatno, mogu se dodati usluge, kao to su zajedniki fajlovi i zajedniko tamanje. Poto verovatno nita od ovoga ne postoji pritisne se dugme Add. Sada e Windows pitati koja se vrsta komponente eli instalirati (slika 6.2). Poinje se sa dodavanjem adaptera. Iz liste sa tipovima komponenti, selektuje se adapter, zatim se pritisne Add jo jednom, kako bi se otvorio okvir za dijalog prikazan na slici 6.3. U okviru za dijalog Select Network Adapters, videe se sa leve strane lista proizvoaa adaptera, a sa desne strane odgovarajui adapteri. Izabere se odgovarajui adapter i pritisne se OK. Ukoliko se adapter ne nalazi na listi, potrebno je kliknuti na dugme Have Disk i locirati odgovarajue drajvere za adapter. Nakon brzog kopiranje jednog ili dva fajla, ponovo e se pojaviti aplet Network Control Panel. Adapter je beskoristan bez klijenta kome e biti dodeljen i protokola pomou koga e komunicirati. Windows ovo zna i da bi olakao, on sam instalira skup unapred odreenih vrednosti. U Windows 98 kao to se moe videti na slici 6.4, uzima se Client for Microsoft Network, i jedino je dostupan protokol TCP/IP. Iz odgovarajuih razloga TCP/IP je automatski konfigurisan da koristi DHCP. Ukoliko je potrebno ovo promeniti, kako bi se konfiguracija prilagodila odgovarajuem okruenju, moe se izabrati protokol iz Network Control Panel-a, a zatim da se selektuje Properties. 6.2.1 Prikljuivanje na mreu Kao to je prikazano na slici 6.4, kao dodatak tabulatoru Configuration, nai e se dva dodatna tabulatora u Network Control Panel-u. Posebno treba obratit panju na tabulator Identification, koji je prikazan na slici 6.5. Kao to se moe videti ime novog raunara je Student1. Ime raunara mora da bude jedinstveno, ba kao na Windows 2000/2003 raunarima. Radna grupa je VTS. Za razliku od Windows NT-a, Windows 98 raunar ne mora da pripada domenu, da bi mogao da se prijavi na taj domen. Ovo omoguava da se bude u jednoj radnoj grupi, a da se bude prijavljen na bilo koji domen. Ide se na tabulator Configuration, Network Control Panel-a, gde se mogu oznaiti svojstva Client for Microsof Network klijenta, ili duplim klikom mia, ili tako to e se selektovati, a zatim izabrati opciju Properties. Videe se okvir za dijalog na slici 6.6 tiklirajui opciju Log on to Windows NT domain, saoptava se radnoj stanici da se verifikacija obavlja sa korisniim nalogom zvaninog domena, pre nego to se ue u operativni sistem. U okvir Windows NT Domain, unosi se domen gde se nalazi korisniki nalog.

Administriranje mrea Od ovog trenutka, dobie se okvir za dijalog sa zahtevom za prijavljivanje na mreu, uvek kada se podie operativni sistem radne stanice. Promena lozinke je, takoe, jednostavna. Ukoliko lozinka nestane dobie se poruka, zajedno sa posebnim okvirom za dijalog u kome e se izmeniti (slika 6.7). Sada, kada je radna stanica prikljuena na mreu, potrebno je pronai i povezati se sa resursima koji e dovesti do mree. Resursi se pronalaze tako to se dva puta klikne na ikonicu Network Neighborhood na Desktop-u (Network Neighborhood je prikazan na slici 6.8). Ono to se trai u Network Neighborhood-u je lista za pretraivanje radne grupe ili domena, ukoliko je ime isto. Duplim klikom server otkriva listu zajednikih resursa na njemu. Zatim se moe videti da je jedini zajedniki resurs Windows (ukoliko postoji bilo koji zajedniki tampa, on e takoe, biti vidljiv ovde). Moe se pretraivati i dublje unutar fajlova i potfascikli zajednike fascikle, ili usmeriti drajv direktno do zajednikih resursa, tako to se desnim tasterom klikne na zajedniki resurs i izabere se Map Network Drive. Kako bi se prikljuili na tampa, treba izabrati Start Settings Printers; tamo izabrati Add Printer i selektuje se resurs. Postoji jo jedna karakteristika za Windows 98 klijente. Na Windows 2003 CD-u pod direktorijumom Clients je direktorijum Win9X. U njemu e se nai samo jedan izvrni fajl, koji instalira Directory Service Clients za Windows. Ovaj Directory Service Clients omoguava Windows 9x klijentu da vidi novi Active Directory u Windows-u 2000/2003. Instalira se jednostavnim kliktanjem dugmeta Next, a nakon toga se restartuje raunar. Nema konfigurisanja i nema nikakvog selektovanja. Sada postoji instaliran Aktivni direktorijum. On donosi nove alate ali nema novoinstaliranih programa. Najvanije su nove opcije i mogunosti u meniju Find u Windows Explorer-u. Predhodno u File Menu-ju nije bila dostupna mogunost Printers. Druga nova opcija je integrisana sa novom verzijom Windows Adress Book-a; ona omoguava da se pronau ljudi koji se nalaze u Aktivnom direktorijumu. (Windows Adress Book se aurira tokom instaliranja Aktivnog direktorijuma). Oigledno, ova kratka instalacija ne daje direktan pristup u sredite Aktivnog direktorijuma, ali daje osnovne i obavezne funkcije, kako bi se Aktivni direktorijum napravio javnim resursom koji je dostupan Windows 98 klijentima. 6.3 Povezivanje Windows XP radnih stanica Windows XP radne stanice su u odnosu na Windows 98 klijente, mnogo spremnije za umreavanje. Sve osnovne komponente za umreavanje su ve prisutne i ukljuene u osnovnu instalaciju Windows-a, tako da sada treba samo napraviti pregled kroz kljune zahteve. Windows XP po unapred definisanom rasporedu, instalira sve potrebne komponente. Ipak ukoliko to nije sluaj, ili je iz bilo kog drugog razloga mrena kartica ostala neistalirana, treba uraditi sledee. U Control Panel-u, treba duplim klikom odabrati ikonu sa nazivom System. Potom se pojavljue okvir System Properties gde treba izabrati karticu Hardware/Device Manager. Pojavie se lista svih instaliranih komponenti u sistemu. Pored mrenog adaptera (ukoliko nije instaliran kako treba), stajae uzvinik. Duplim klikom na mreni adapter se otvara Properties za taj adapter, gde se otvara Wizard za instalaciju adaptera. Potrebno je rei Reinstall Drivers i korisnik e biti upitan da izabere neki od ponuenih adaptera ili da navede lokaciju gde se nalazi odgovarajui drajver klikom na opciju Have Disk (slika 6.9). Oigledno, osnove umreavanja se nalaze u mrenom adapteru, pa e se instalacijom adaptera instalirati i sve ostale potrebne komponente (slika 6.10). U stvarnom svetu server e u 99% sluajeva imati statiku IP adresu. Za radne stanice, ipak e skoro uvek preovladavati smenjeni administratorski zahtevi protokola DHCP. Dakle ukoliko se dva puta klikne na Internet Protocol (sa slike 6.10) dobie se okvir gde se treba odluiti hoe li radna stanica imati statiku IP adresu ili DHCP adresu (slika 6.11). U dnu ovog ovkira stoji mogunost podeavanja i DNS servera koji e radna stanica koristiti. Dakle ovde treba uneti IP adresu. Sve promene treba potvrditi sa OK. Ostalo je jo radnu stanicu pridruiti domenu. Opet se bira u Control Panel-u ikona System, ali ovoga puta se ide na karticu Computer Name. Za pridruivanje stanice domenu u dnu ovog okvira se bira opcija Change. Pojavljuje se okvir sa slike 6.12. U polje Computer Name se unosi ime raunara koje e biti i ime u domenu, dok se u polje Member Of unosi ime domena kome e stanica pripadati, vts.ni.edu.yu. Vri se potvrda sa OK. Potrebno je resetovati raunar i pri sledeem logovanju stajae Log On prozor koji e traiti korisniko ime i lozinku za pristup domenu. Ukoliko se ne eli pristupiti domenu unosi se korisniko ime za lokal. Sada se mogu pretraivati resursi Servera kroz My Network Places, naravno ukoliko su dodeljene odgovarajue dozvole.

Administriranje mrea VII as Mreni servis DHCP 7.1 IP ADRESE I ETHERNET ADRESE U svakoj vrsti komunikacije izmeu dva subjekta najbitije je da oni budu jedinstveno odreeni kako bi ta komunikacija mogla da se uspostavi. Najednostavnije je da ti subjekti imaju svoju jedinstvenu adresu preko koje su tano prepoznatljivi i odreeni. Tako i svaki raunar koji je povezan na neku mrenu strukturu, mora da ima jedinstvenu adresu preko koje bi bio prepoznat na njoj. Raunari su obino povezani na mreu pomou Ethernet kartice, a svaka Ethernet kartica ima dve adrese: jednu IP adresu i jednu Ethernet adresu. Postoje naravno i drugi naini za pristupanje nekoj mrenoj strukturi, ali mi emo se drati ovog Ethernet primera, kao najprostijeg i najrasprostranijegt na TCP/IP mreama. 7.1.2 Ethernet adrese Svaka Ethernet adresa, koja se jo naziva i MAC adresa (Media Access Control), na Ethernet kartici, predstavlja jedinstveni 48-bitni kod, koji nudi 280 000 000 000 000 (280 biliona) mogunosti. Sam Ethernet koristi priblino jednu etvrtinu od ovog broja (po dva bita se ostavljaju sa strane za administrativne funkcije), ali to je i dalje mnogo moguih adresa. MAC adresa je unapred odreena i ukodirana na ploi, i predstavljena je pomou 12 heksadecimalnih digita. Na primer, 00 20 AF F8 E7 71 ili, kao to se ponekad pie 00-20-AF-F8-E7-71. Ove adrese se administriraju iz jednog centra i prodavci Ethernet ipova moraju da nabavljaju blokove adresa. U naem primeru, prefiks 00-20-AF je u vlasnitvu 3Com-a tako da sve MAC adrese na 3Com-ovim karticama poinju sa ovim prefiksom. MAC adresa se obino naziva i adresom drugog sloja jer pripada sloju podataka u 7-slojnom OSI modelu. 7.1.3 IP adresiranje Prepoznavanje raunara putem MAC adrese moe da predstavlja jako veliki problem a naroito na viim slojevima u OSI referentnom modelu. Poto se ovde radi o tkz. ravnom, linijskom adresnom prostoru bilo kakvo grupisanje raunara predstavlja jako veli problem. Problem se jo vie uslonjava ako je potrebno uspostaviti vezu izmeu dva raunara koji nisu direktno povezani ve se veza uspostavlja preko vie raunara tj. mrenih ureaja. Da bi se to ostvarilo potrebno je pamtiti sve MAC adrese tih raunara/ureaja na jednom mestu (tkz. tabele rutiranja) a to ni malo nije lak zadatak jer se radi o velikom broju podataka. Zamislite samo Internet i neki ureaj koji treba da pamti MAC adrese svih raunara na njemu kao i ureaja koji treba da pomognu kod uspostavljanja veza. Oigledno je da je to nemogue. Zato je potrebno da se celokupni adresni prostor hijerahijski organizuje tj. grupie u vie adresibilnih celina koje e obuhvatiti vie raunara. Zato je i uvedeno IP adresiranje koje prestavlja hijerahijski adresni prostor. Svaki TCP/IP raunar se identifikuje na osnovu logike IP adrese. IP adresa je adresa mrenog sloja i potpuno nezavisna od adrese sloja veze za prenos podataka (kao to je MAC adresa). Jedinstvena IP adresa je neophodna za svaki raunar i mrenu komponentu koji za komunikaciju koristi TCP/IP. IP adresa identifikuje lokaciju sistema na mrei isto kao to adresa ulice pokazuje kojoj se gradskoj etvrti nalazi odreena zgrada. Kao to adresa ulice mora da se odnosi na jedinstveno mesto prebivalita, tako i IP adresa mora da bude globalno jedinstvena i da ima jedinstveni format. Svaka IP adresa sastoji se od adrese mree (mreni ID) kojoj taj raunar pripada i adrese raunara (ID raunara). Mreni ID identifikuje jednu grupu raunara, koji se nalaze na istoj fizikoj mrei, koja je ograniena IP ruterima. Svi sistemi na istoj fizikoj mrei moraju imati isti mreni ID. Mreni ID mora biti jedinstven za sve meusobno povezane mree. (Pod terminom mreni ID podazumeva se svaki broj IP mree, bez obzira na to da li je on zasnovan na klasama mrea, na podmreama ili nadmreama). ID raunara oznaava radnu stanicu, server, ruter ili drugi TCP/IP ureaj na mrei. Adresa svakog raunara mora biti jedinstvena u odnosu na mreu kojoj pripada. IP adresa ima 32 bita. Umesto da se radi sa svih 32 bita odjednom, uobiajeno je da se IP adresa podeli u etiri 8-bitna polja koja se nazivaju okteti. Svaki oktet se konvertuje u decimalni broj (brojni sistem sa osnovom 10) u rasponu od 0 do 255 i odvaja se takom (.). Ovaj format se naziva decimalna notacija sa takama. Primer IP adrese u binarnom i decimalnom formatu izgleda ovako: 11000000 10101000 00000011 00011000 192.168.3.24 Notacija w.x.y.z se koristi kada je re o generalizovanoj IP adresi, koja je prikazana na slici 1.6

Administriranje mrea

Kako se vrednost od 8 bitova moe rangirati od 0 do 255, svaka vrednost u notaciji w.x.y.z moe biti u rasponu od 0 do 255. Na primer, da bi konvertovali jednu IP adresu 11001010000011111010101000000001 u format ove notacije, potrebno je da je prvo podelimo u grupe od 8 bitova: 11001010 00001111 10101010 00000001. Svaki od ovih 8-bitnih brojeva treba konvertovati u njegov decimalni ekvivalent i tako dobijamo IP adresu koja se koristi 202.15.170.1. 7.1.4 Klase adresa Da bismo lake prepoznavali pojedine IP adrese zajednica korisnika Interneta je na poetku definisala pet klasa adresa da bi se obuhvatile mree razliitih veliina. Microsoftov TCP/IP podrava adrese klasa A, B i C koje se dodeljuju raunarima. Klasa adresa definie mogui broj mrea i broj raunara po mrei. Klasa A - Adrese klasa A su dodeljene mreama sa vrlo velikim brojem raunara. Bit najvee vanosti u adresi klase A je uvek postavljen na nulu. Sledeih sedam bitova (koji dovravaju prvi oktet) odreuju mreni ID. Ostala 24 bita (poslednja tri okteta) predstavljaju ID raunara. Ovim se omoguava 126 mrea i 16 777 214 raunara po mrei. Na slici 1.8 prikazana je struktura adresa klase A.

Klasa B - Adrese klase B su dodeljene mreama od srednjih do velikih dimenzija. Dva bita najvee vanosti u adresi klase B su uvek postavljena na binarnu vrednost 1 0. Sledeih 14 bitova dovravaju mreni Id. Preostalih 16 bitova (zadnja dva okteta) predstavljaju ID raunara. Ovim se omoguava 16384 mree i 65534 raunara po mrei. Na slici 1.9 prikazana je struktura adresa klase B.

Klasa C - Adrese klase C se koriste za male mree. Tri bita najvee vanosti adrese klase C uvek su postavljena na binarnu vrednost 1 1 0. Sledeih 21 bita (koji sa prva tri sainjavaju prva tri okteta) dovravaju mreni ID. Preostalih 8 bita (zadnji oktet) predstavljaju ID raunara. Time je omogueno 2 097 152 mrea i 254 raunara po mrei. Na slici 1.10 je prikazana struktura adresa klase C.

Administriranje mrea

Klasa D - Adrese klase D su rezervisane za IP adrese sa vieznanim upuivanjem. etiri bita najvee vanosti u adresi klase D su uvek postavljena na binarnu vrednost 1110. Preostali bitovi odreuju adresu koju prepoznaju zainteresovani raunari. Microsoft podrava adrese klase D u aplikacijama za vieznano upuivanje podataka na raunare koji su opremljeni za takav prenos u okviru meumrene strukture. Klasa E - Klasa E je eksperimentalna adresa namenjena buduoj upotrebi. Bitovi najvee vanosti u adresi klase E su postavljeni na 1 1 1 1. Tabela 1.2 je zbirni pregled adresa klase A, B i C koje se mogu koristiti za IP adrese raunara.

A 1-126 w x.y.z 126 16 777 214 B 128-191 16384 65 534 w.x y.z C 192-223 w.x.y z 2 097 152 254 * Adresa klase A 127.x.y.z je rezervisana za testiranje povratne petlje i komunikaciju izmeu procesa na lokalnom raunaru. 7.1.5 Rezervisane adrese Postoje neka specijalna pravila za IP adrese. Postoji itav skup brojeva koje nikada ne moemo dodeliti nekoj maini. To su: Usvojena route adresa - Adresa 0.0.0.0 je drugi nain da kaemo "ceo Internet". Ali kako je 0.x.x.x skup adresa klase A i sve ove 0.x.x.x moraju biti ostavljene sa strane, svih 16 miliona. Loopback adresa - sve adrese koje zapo~inju sa adresom 127 u prvom bajtu nisu validne izvan lokalnog ra~unara. Adresa 127.0.0.1 (koja spada u opseg adresa A klase) uobi~ajeno se naziva adresom povratne petlje (loopback) i koristi se za testiranje lokalnog TCP/IP steka da bi se utvrdilo da li su konfiguracija i funkcionisanje korektni. Ako aljemo poruku za 127.0.0.1, poruka e nam se vratiti, ukoliko ne postoji neki problem u samom IP softveru; poruka poslata za loopback ne odlazi na mreu ve ostaje unutar IP softvera odreene maine. Mreni broj - Ponekad je potrebno jednim jedinstvenim brojem odrediti celu podmreu. Na primer, da bismo rekli ruteru, " Da bi ova poruka stigla na podmreu ije je podruje od 100.100.100.0 do 100.100.100.255, prvo je usmeri u ruter 99.98.97.103", imamo vie naina za oznaavanje podruja adresa 100.100.100.0 - 100.100.100.255. Adresa koja se zavrava binarnim nulama je rezervisana za mreni broj. U naem 100.100.100.x primeru, krai nain za obeleavanje, koji se tie adresa od 100.100.100.0 do 100.100.100.255 je "100.100.100.0". Drugim reima kada se 0 koristi u mre`nom delu adrese tada ona ozna~ava trenutnu mre`u IP broadcast adresa - Postoji jo jedna rezervisana adresa, - TCP/IP broadcast adresa. Ona lii na adresu jedne maine, ali nije to; to je adresa koju bi koristili za broadcast svake maine na podmrei. Tu adresu ine sve binarne jedinice. Adresa usvojenog rutera - Svaka podmrea ima najmanje jedan ruter; u stvari, kad podmrea ne bi imala ruter, onda ne bi mogla da ostvari komunikaciju sa drugim mreama, pa ne bi bila intranet. Po konvenciji, prva adresa posle mrenog broja je adresa usvijenog gejtveja (rutera). Intranet adrese - Ma koliko da je adresni prostor, koji dozvoljava dodelu IP adresa, veliki on je ipak konaan i da ne postoji jedna tehnika poznata kao NAT (Network Adress Transslation) on bi brzo bio dostignut. Prevoenje mrenih adresa (NAT) moe da se koristi sa usmerivaima, tako da moete da koristite samo adresni prostor svoje interne mree, dok su usmerivau koji predstavlja vezu prema Internetu dodeljuje jedna ili vie stvarnih registrovanih adresa. Koristei NAT, taj usmeriva moe da

Administriranje mrea manipulie IP adresama i portovima, odnosno da se ponaa kao proxy server za klijente u internoj mrei kada komuniciraju sa spoljanjim svetom. U praksi su poznata nekoliko opsega koji su opet putem RFC dokumenta broj 1918 definisana za upotrebu u lokalnim Intranet okruenjima i to su: 10.0.0.0 do 10.255.255.255 172.16.0.0 do 172.31.255.255 192.168.0.0 do 192.168.255.255 Sve ove adrese nisu validne za Internet pa prema tome vi{e privatnih mre`a mogu da koriste ove ospege za definisanje svog Intranet okru`enja. Uzimaju}i u obzir sve ove izuzetke onda dolazimo do stvarnog broja mre`a i ra~unara koje mo`emo da adresiramo u svakoj klasi i on izgleda ovako: Klasa A 126 mre`a 16 777 214 ra~unara Klasa B 16 384 mre`a 65 534 ra~unara Klasa C 2 097 152 mre`e 254 ra~unara. 7.1.6 Maske podrmrea Sa uvoenjem podmrea, vie se ne moe oslanjati na IP klase adresa da bi se odredio mreni ID u IP adresi. Potrebna je nova vrednost da bi se utvrdilo koji deo IP adrese predstavlja adresu mree, a koji adresu raunara, bez obzira na to da li se koriste klasno zasnovane adrese mree ili adrese podmree. RFC 950 (Request for Comments) definie korienje maske podmree (koja se jo naziva i maska adrese) kao 32-bitnu vrednost pomou koje se u nekoj IP adresi odreuje razlika izmeu adrese mree i adrese raunara. Bitovi maske podmree definiu se na sledei nain: svi bitovi koji odgovaraju adresi mree postavljeni su na vrednost 1 a svi bitovi koji odgovaraju adresi raunara postavljeni su na vrednost 0. Svaki raunar u TCP/IP mrei zahteva masku podmree ak i na mrei sa samo jednim segmentom. U sklopu svakog TCP/IP vora nalazi se ili podrazumevana maska podmree, ako koriste adrese mree definisane na nivou klasa, ili namenska maska podmree, koja se koristi prilikom pravljenja podmrea ili nadmrea. 7.1.6.1 Prikazivanje maski podmrea u decimaloj notaciji sa takom Maske podmrea se esto prikazuju u decimalnoj notaciji sa takama. Kada su bitovi odreeni za adresu mree i za adresu raunara, 32-bitni broj koji se tako dobije konvertuje se u decimalnu notaciju sa takama. Obratite panju na to da maska podmree, iako izraena u decimalnoj notaciji sa takama, nije IP adresa. Podrazumevana maska podmree zasnovana je na klasama IP adresa i koristi se na TCP/IP mreama koje nisu podeljene na podmree. Tabela 1.3 pokazuje podrazumevane maske podmree koje koriste format decimalne notacije sa takama.

A B C

11111111 00000000 11111111 11111111 11111111 11111111

00000000 00000000 11111111

00000000 255.0.0.0 00000000 255.255.0.0 00000000 255.255.255.0

Namenske maske podmree se razlikuju od ovih podrazumevanih maski podmrea i koriste se prilikom pravljenja podmrea ili nadmrea. Na primer, 138.96.58.0 je 8-bitna adresa podmree mree 138.96.0.0 klase B. Osam bitova klasno zasnovane adrese raunara koriste se za oznaavanje adresa podmrea. Maska podmree koristi ukupno 24 bita (255.255.255.0) da bi definisala adresu podmree. Adresa podmree i njoj odgovarajua maska podmree u decimalnoj notaciji sa takama su: 138.96.58.0, 255.255.255.0 7.1.6.2 Oznaavanje maske podmree pomou duine mrenog prefiksa S obzirom na to da se bitovi za adresu mree moraju izabrati po redu iz grupe bitova vee vanosti, maska podmree oznai mrenim prefiksom koristei za to notaciju: /<broj bitova>. U tabeli 1.4 prikazane se podrazumevane maske podmrea koje koriste ovu notaciju mrenog prefiksa.

Administriranje mrea

A 11111111 00000000 00000000 00000000 /8 B 11111111 11111111 00000000 00000000 /16 C 11111111 11111111 11111111 00000000 /24 Na primer, mrena adresa klase B 138.96.0.0 sa maskom podmree 255.255.0.0 bi u notaciji mrenog prefiksa bila prikazana kao 138.96.0.0/16. Kao primer namenske maske podmree, 138.96.58.0 je 8-bitna adresa podmree mree klase B. Maska podmree koristi ukupno 24 bita za odreivanje mrenog ID-a podmree. Mreni ID podmree i njena odgovarajua maska se zato u notaciji mrenog prefiksa izraavaju kao: 138.96.58.0/24. Notiranje mrenog prefiksa je poznato i kao notiranje besklasnog meudomenskog usmeravanja (Classless Interdomain Routing, CIDR). 7.1.6.3 Odreivanje adrese mree Za izdvajanje adrese mree iz neke IP adrese korienjem proizvoljne maske podmree, IP koristi matematiku operaciju nazvanu logiko I. U operaciji logiko I, rezultat poreenja dva elementa je istinit samo kad su oba elementa istinita; inate rezultat je neistinit. Ako ovaj princip primenimo na bitove, rezultat je 1 kad su oba uporeenja bita jednaka 1, inae je rezultat 0. IP izvrava operaciju logiko I sa 32-bitnom IP adresom i 32-bitnom maskom podmree. Ova operacija je poznata kao logiko I na nivou bitova. Rezultat operacije logiko I na nivou bitova kada se primeni na IP adresu i masku podmree predstavlja mreni ID. Na primer: Koji je mreni ID IP vora 129.56.189.41 sa maskom podmree 255.255.240.0 ? Da bismo doli do rezultata, pretvorimo oba broja u njihove binarne ekvivalentne i poravnjajmo ih, jedan iznad drugog. Zatim izvrimo operaciju logiko I na parove svih bitova i zapiemo rezultat. 10000001 00111000 10111101 00101001 IP adresa 11111111 11111111 11110000 00000000 maska podmree 10000001 00111000 10110000 00000000 mreni ID Rezultat izvrenja logikog I na nivou 32 bita IP adrese i maske podmree je mreni ID 129.56.176.0. TCP\IP infrastruktura: DHCP (Dynamic Host Configuration Protocol) Mree Microsoftovih operativnih sistema, koje se zasnivaju na TCP/IP protokolu, zahtevaju primenu tri tehnologije, kako bi postigle uspenu IP konfiguraciju i upravljanje nazivima: Dynamic Host Configuration Protocol (DHCP), Domain Name System (DNS) i Windows Internet Name Service (WINS). Iz ove uvene trojke jedino WINS, u izvesnoj meri, predstavlja arhaizam, odnosno tehnologiju koju, bar prema teoriji, moete potpuno zaboraviti. 7.2.1 BOOTP Praenje upotrebljenih IP adresa i maina kojima su one dodeljene predstavlja neinventivan, mehaniki posao, onaj posao u kome su raunari tako dobri i zbog kog su, u krajnjoj liniji, i izmiljeni. Kao posledica ovog, nastao je jedan TCP/IP protokol, pod nazivom bootstrap protocol (doslovno, bootstrap predstavlja konu traku, savijenu i uivenu, za vrh izama, sa one strane gde ulazi noga, radi lakeg obuvanja; stoga bi se, u prenosno znaenju, termin bootstrap protocol mogao prevesti kao pomoni protocol). U skraenom obliku, ovaj protokol se obino naziva BOOTP. Radi upotrebe BOOTP protokola, mreni administrator mora najpre prikupit listu MAC adresa za svaku karticu. Nakon toga, administrator e svakoj MAC adresi dodeliti po jednu IP adresu. Jedna ovakva tabela, sa odgovarajuim parovima MAC adresa/ IP adresa se obino uva na nekom serveru, unutar intraneta date kompanije. Na taj nain, kada neka BOOTP-kompatibilna radna stanica zapone svoj radni dan, ona e preko mree emitovati svoj zahtev za dodelu odgovarajue IP adrese. BOOTP server e prepoznati MAC adresu raunara-odailjaa i automaatski dodeliti odgovarajuu adresu ovoj radnoj stanici. Prema tome, BOOTP je predstavljao (i jo uvek predstavlja) sasvim prikladan nain za konfigurisanje TCP/IP protokola na nekom udaljenom raunaru, bez potrebe da mu fiziki pristupamo.

Administriranje mrea 7.2.2 DHCP Sposobnost BOOTP-a da IP adrese dodeljuje sa jedne centralne lokacije jeste sjajna, ali nije dinamika, dok sa druge strane, u dananjem svetu PC raunara, mi nismo ni najmanje zainteresovani za preuzimanje bootstrap programskog koda sa nekog centralnog servera; butovanje svojih raunara danas obino vrimo sa lokalnog, read-only memorijskog ipa, poznatog pod nazivom BIOS, pa zatim sa programskog koda koji je smeten na lokalnom hard disku. DHCP predstavlja znaajno poboljanje u odnosu na BOOTP, koje se ogleda u tome da je potrebno samo da mu saoptimo opseg IP adresa koje sme da dodeljuje, nakon ega e on zapoeti sa njihvom automatskom dodelom, po sistemu ko pre do mene, dobie neto od mene (first come, first served), svim raunarima koji to od njega zatrae. Sa druge strane, ukoliko elimo da DHCP, po svojoj funkciji i ponaanju, bude jo sliniji BOOTP protokolu, to moete veoma lako postii; naime, kao i kod BOOTP-a, uz pomo BOOTP servera moemo odreene IP adrese unapred dodeliti konkretnim MAC adresama. Ova tehnika se naziva DHCP rezervacijom. Kod upotrebe DHCP-a, nepromenljive IP adrese je potrebno dodeliti samo malom broju raunara, kao to su, na primer, lokalni BOOTP/DHCP server i podrazumevani mreni prolaz (default gateway). Dakle, DHCP serveri su maine koje dodeljuju IP adrese svim raunarima koji zahtevaju pristup LAN-u. DHCP e funkcionisati jedino pod uslovom da je TCP/IP softver na radnim stanicama, izgraen za upotrebu DHCPa, odnosno ukoliko TCP/IP softver u sebi sadri DHCP klijentski program. U dananje vreme skoro svaki mreni operativni sistem sadri u sebi DHCP klijente- Mac, Linux i doslovno svi Microsoftovi desktop i serverski operativni sistemi, nastali nakon 1994. godine. DHCP pojednostavljuje administrativno upravljanje konfiguracijom IP adresa automatizovanjem postupka konfiguracije adrese za klijente u mrei. DHCP standard omoguuje upotrebu DHCP servera koji se definiu kao oni raunari na kojima radi DHCP servis. DHCP automatski alocira IP adrese i srodne parametre TCP/IP konfiguracije na klijentima u mrei na kojima je omoguen DHCP. Svaki ureaj u mrei koja se zasniva na TCP/IP-u mora imati jedinstvenu IP adresu da bi mogao da pristupi mrei i njenim resursima. Bez DHCP-a, IP konfiguracija mora runo da se obavi za nove raunare, raunare koji se premetaju iz jedne podmree u drugu i one koji su uklonjeni sa mree. Primenom DHCP-a u mrei, ceo proces postaje automatizovan i njime se centralizovano upravlja. DHCP server odrava grupu IP adresa i iznajmljuje adrese svim klijentima na kojima je omoguen DHCP kada se oni prijave na mreu. S obzirom na to da su IP adrese dinamike (iznajmljene) a ne statike (trajno dodeljene), adrese koje se vie ne koriste automatski se vraaju grupi raspoloivih adresa radi ponovne alokacije. DHCP servis za Microsoft Windows 2003 server se zasniva na standardima Strune radne grupe za Internet (IETF). DHCP detalji su definisani dokumentima zahteva za komentare (RFC) koje je objavio IETF i druge radne grupe. RFC dokumenti predstavljaju serije izvetaja. predloga za protokole i standarde za protokole koji se koriste na Internetu. Kako funkcionie DHCP server Isporuka IP adresa od strane DHCP-a zasniva se na ideji klijentskih iznajmljivanja (client leases). Kada nekoj maini (DHCP klijentu) zatreba IP adresa, ona e je zatraiti od DHCP servera. Nakon toga, DHCP server dodeljuje IP adresu ovom klijentu, ali samo na ogranieni vremenski period na taj nain nastao je termin iznajmljena IP adresa (IP lease). Ukoliko smo svoj PC, koji poseduje IP adresu iznajmljenu na period od etiri dana, restartovali nakon isteka dva dana, onda on nee slepo zahtevati novu IP adresu; umesto toga on e otii na DHCP server od kojeg je dobio svoju IP adresu, te od njega ponovo zatraiti istu adresu koju je imao pre restartovanja. Ako je taj DHCP server jo uvek u ivotu i aktivan, on e potvrditi (acknowledge) taj zahtev i radnoj stanici dopustiti da nastavi sa korienjem ove IP adrese. Sa druge strane, ukoliko su usled neke katastrofe, sa DHCP servera nepovratno izbrisane inormaacije o iznajmljivanju, on e ovoj maini ili dodeliti traenu IP adresu (ukoliko je nije ve dodelio nekoj drugojo maini), ili e joj poslati negativan odgovor (negative acknowledgement-NACK); pri tom e DHCP server ovu NACK poruku zabeleiti u svom Event Log fajlu. Nakon toga, naa radna stanica bi trebalo da bude dovljono pametna da na mrei potrai neki drugi DHCP server. Slino Bootp-u, DHCP server pamti koja je IP adresa dodeljena nekom raunaru, tako to kreira odgovarajue parove IP i MAC adresa. Pod normalnim okolnostima, DHCP server moe klijentu poslati nove informacije o iznajmljivanju, samo u tano odreenim intervalima obnavljanja iznajmljivanja (lease renewal). Meutim, DHCP klijenti se prijavljuju (check in) nakon svakog restartovanja, tako da e nakon svakog restartovanja neke radne stanice, DHCP server moi da resetuje sve izmene u podacima o iznajmljivanju,

Administriranje mrea kao to su subnet maske ili DNS servisi. Ve smo napomenuli da se DHCP zasniva na modelu klijent/server, kao to je prikazano na slici 1.11. Administrator mree uvodi jedan ili vie DHCP servera koji uvaju informacije o TCP/IP konfiguraciji i obezbeuju konfiguraciju adrese za klijente na kojima je omoguen DHCP u obliku ponude za iznajmljivanje adrese. DHCP server uva informacije o konfiguraciji u bazi podataka koja sadri: Valjane parametre TCP/IP konfiguracije za sve klijente u mrei. Valjane IP adrese u grupi kako bi bile dodeljene klijentima, kao i rezervisane adrese za runo dodeljivanje Trajanje iznajmljivanja koje nudi server - vreme u kome IP adresa moe da se koristi pre nego to treba da se objavi iznajmljivanje. Klijent na kome je omoguen DHCP nakon prihvatanja ponude o iznajmljivanju prima: Valjanu IP adresu za mreu kojoj pristupa. Dodatne parametre TCP/IP konfiguracije, koji se nazivaju DHCP opcije. Preuzimanje IP adrese sa DHCP servera Procedura po kojoj DHCP klijent dobija IP adresu od DHCP servera sastoji se od etiri koraka: Porukom DHCPDISCOVER emituje se zahtev za dodelu IP adrese, koji je upuen svim DHCP serverima u dometu ujnosti. Serveri odgovaraju porukom DHCPOFFER, koja sadri ponuenu IP adresu i period na koji se iznajmljuje. Klijent odabire najatraktivniju ponudu i alje povratnu, DHCPREQUEST poruku, kako bi potvrdio izabranu IP adresu. Server koji je ponudio ovu IP adresu zavrava proceduru slanjem poruke DHCPACK, koja predstavlja potvrdu o pozitvnom reenju zahteva. Dizajniranje multi-DHCP mrea Oigledno je da je funkcija DHCP servera veoma vana, te da je ne bi trebalo tovariti na lea jednog serverskog raunara. Na koji nain , dakle, moemo dva ili vie DHCP servera dovesti u online reim, kako bismo postigli eljeni stepen tolerancije greke? Moda najbolji nain je da, prilikom instaliranja DHCP serverskog softvera na vie razliitih raunara, na njima kreirati vie razliitih podruja koja se odnose na jednu istu pod mreu. Pritom, treba strogo voditi rauna da se opsezi IP adresa u ovim podrujima ne preklapaju, tako da onda sve funkcionie bez problema. 7.2.3 Prednosti DHCP-a Primena DHCP-a u mrei ima sledee prednosti: Bezbedna i pozdana konfiguracija - DHCP svodi na minimum greke u konfiguraciji koje nastaju zbog runog konfigurisanja IP adresa, kao to su greke u pisanju, i sukobljenost adresa koja nastaje kada drugi raunar grekom ponovo dobije IP adresu koja je trenutno dodeljena. Smanjeno administriranje mree. TCP/IP konfiguracija je centralizovana i autorizovana.Administratori mree mogu centralizovano da definiu globalnu TCP/IP konfiguraciju i TCP/IP konfiguraciju svojstvenu podmrei. Klijentima se automatski moe dodeliti ceo skup dodatnih vrednosti TCP/IP konfiguracije pomou DHCP opcija. Izmene adresa u konfiguraciji klijenata koje moraju esto da se auriraju, kao to su klijenti sa udaljenih raunara koji se stalno premetaju, sada mogu efikasno i automatski da se obave kada klijent na novoj lokaciji ponovo pokrene raunar. Veina rutera moe da prosledi zahteve DHCP konfiguracije i tako eliminie zahtev da se DHCP server podeava u svakoj podmrei, osim ako ne postoji neki drugi razlog da se to uradi. Automatsko konfigurisanje IP-a - Klijenti koji rade pod Windowsom 2003 mogu automatski da konfiguriu IP adresu i masku podmree ako DHCP server nije raspoloiv prilikom pokretanja sistema. Ovo svojstvo, automatsko privatno IP adresiranje (Automatic Private IP addressing, APIPA) je korisno

Administriranje mrea za klijente na malim privatnim mreama, kao to su manja preduzea, manje kancelarije ili udaljeni klijenti. Klijent servis DHCP-a u Windowsu 2003 prolazi kroz sledei proces da bi automatski konfigurisao klijenta: DHCP klijent pokuava da pronae DHCP server i dobije adresu i konfiguraciju. Ako DHCP server nije pronaen ili ne odgovara, DHCP klijent automatski konfigurie svoju IP adresu i masku podmree pomou adrese koja pripada mrei klase B rezervisanoj za Microsoft, 169.254.0.0, sa maskom podmree 255.255.0.0. DHCP klijent proverava da li postoji sukobljenost adrese da bi potvrdio da se IP adresa koju je odabrao ve ne koristi u mrei. Ako sukobljenost postoji, klijent bira drugu IP adresu. Klijent e pokuati autokonfigurisanje do 10 adresa. Kada DHCP klijent uspe sam da odabere adresu, on e konfigurisati mreni interfejs tom IP adresom. Klijent zatim nastavlja u pozadini da proverava DHCP server svakih 5 minuta. Ako kasnije pronae DHCP server, klijent e odbaciti informacije odreene autokonfigurisanjem. DHCP klijent zatim koristi adresu koju je ponudio DHCP server (i sve druge informacije koje su sadrane u DHCP opcijama) da bi aurirao parametre IP konfiguracije. Ako je DHCP klijent prethodno iznajmio adresu od DHCP servera: Ako je klijentovo iznajmljivanje i dalje valjano (nije isteklo) kada se pokree sistem, klijent e pokuati da obnovi iznajmljivanje. Ako za vreme pokuaja obnavljanja klijent ne uspe da pronae nijedan DHCP server, on e pokuati da pinguje podrazumevani mreni prolaz koji je naveden kod iznajmljivanja i nastavie na jedan od sledeih naina: Ako ping uspe, DHCP klijent pretpostavlja da se jo nalazi u istoj podmrei u kojoj je dobio aktuelnu iznajmljenu adresu i nastavlja da koristi iznajmljenu adresu. Podrazumeva se da e klijent tada u pozadini pokuati da obnovi iznajmljivanje kada istekne polovina dodeljenog vremena za iznajmljivanje. Ako ping ne uspe, DHCP klijent pretpostavlja da je premeten u mreu u kojoj DHCP servisi nisu raspoloivi. Klijent zatim sam konfigurie svoju IP adresu na nain koji je prethodno opisan. Kada je klijent autokonfigurisan, on pokuava svakih 5 minuta da pronae DHCP server i iznajmi adresu od njega. Lokalno uvanje - Microsoftov DHCP podrava lokalno uvanje koje omoguava klijentima da uvaju DHCP informacije na svom disku. Lokalno uvanje je korisno zbog toga to kada se pokrene sistem klijenata, on prvo pokua da obnovi iznajmljivanje iste IP adrese. Lokalno uvanje DHCP informacija znai i da klijent moe da bude zaustavljen i ponovo pokrenut koristei prethodno iznajmljene adrese i konfiguracije, ak i ako DHCP server nije na raspolaganju ili nije u mrei u vreme kada je pokrenut raunar klijenata. Lokalno uvanje takoe omoguava automatsko konfigurisanje IP-a. 7.2.4 Proces iznajmljivanja DHCP-a Klijent na kome je omoguen DHCP dobija iznajmljenu IP adresu od DHCP servera. Pre nego to istekne iznajmljivanje, DHCP server mora da obnovi iznajmljivanje za klijenta ili klijent mora da ostvari novo iznajmljivanje. Iznajmljena adresa se zadrava u bazi podataka DHCP servera priblino jedan dan nakon isticanja. Ovaj period odlaganja titi iznajmljivanje klijenta u sluaju da su klijent i server u razliitim vremenskim zonama, ako njihovi interni asovnici nisu sinhronizovani ili ako je klijent iskljuen iz mree kada istekne iznajmljivanje. Prvi put kada klijent na kome radi DHCP zapone i pokua da se prikljui na mreu, on automatski sledi postupak inicijalizacije da bi dobio iznajmljenu adresu od DHCP servera. Na slici

Administriranje mrea

DHCP klijent zahteva IP adresu tako to difuzno upuuje poruku DHCPDiscover u lokalnu mreu. Klijentu se nudi adrsa kada DHCP server odgovori pomou poruke DHCPOffer koja sadri klijentovu IP adresu i informacije o konfiguraciji za iznajmljivanje. Klijent pokazuje da je prihvatio ponudu tako to e odabrati onuenu adresu i odgovoriti serveru pomou poruke DHCPRequest. Klijentu se dodeljuje adresa i DHCP server alje poruku DHCPAck kojom odobrava iznajmljivanje. Kada klijent primi poruku o potvrdi, on konfigurie parametre TCP/IP -a koristei informacije DHCP opcija kojeje dobio u odgovoru i priljuuje se u mreu. 7.2.5 Grupisanje DHCP Servera u klastere Servis Windows Clustering omoguava da dva servera mogu da se upravljaju kao jedan sistem. Windows 2003 servis za grupisanje u klaster se moe koristiti za DHCP servere kako bi se obezbedila vea raspoloivost, lake upravljanje i vea skalabilnost. Servis Windows Clustering moe automatski da otkrije "pad" neke aplikacije ili servera i da ih brzo aktivira na serveru koji nije oteen, to korisnici doivljavaju samo kao trenuti zastoj servisa. Windows Clustering omoguava da DHCP serveri budu virtualizovani tako da u sluaju da jedan vor klastera otkae, prostor imena i svi servisi bie transparantno rekonstruisani na drugom voru. To znai da nikakve izmene nisu vidljive za klijenta koji i dalje vidi istu IP adresu za DHCP servere koji su grupisani u klaster. Bez grupisanja u klastere, administratori mree mogu da podele opsege na servere, tako da e ako jedan server otkae, najmanje polovina adresa ostati raspoloiva. Grupisaje u klastere efikasno koristi IP adrese pa nije potrebno deliti opsege. Baza podataka koja se uva na spoljanjem disku prati dodeljene adrese i druge aktivnosti i u sluaju da aktivan vor klastera otkae, drugi vor postaje DHCP server koji zna sve adrese koje su dodeljene i ima pristup celom opsegu adresa. U svakom trenutku samo jedan vor radi kao DHCP server, sa bazom podataka klastera Windowsa 2003, to omoguava transparentnu tranziciju po potrebi. Na slici 1.11.b je generiki primer DHCP servera grupisanih u klaster. DHCP server 1 je aktivni server, a DHCP server 2 je rezervni DHCP server.

Administriranje mrea

7.2.6 DHCP i WINS WINS je servis za imenovanje koji se koristi da registruje i razreava imena u adrese za NetBIOS klijente u mreama zasnovanim na TCP/IP-u. Najee nije neophodno dodati WINS servere preko planiranog broja DHCP servera. U mnogim sluajevima isti raunar servera moe efikasno da radi i kao WINS i kao DHCP server u jednoj mrei. Kad je jedan server konfigurisan kao WINS server i kao DHCP,on moe da: Administrira definisani interval IP adresa opsega i nadopsega za mreu. Slui kao podrazumevani mreni prolaz koji omoguava IP prosleivanje izmeu povezanih fizikih mrea. Da bi isti podrazumevani mreni prolaz bio podeen za sve DHCP klijent koji se nalaza u podmreama, potrebno je dodeliti kod 3 DHCP opcije pomou IP adrese raunara servera kao vrednost pri konfigurisanju DHCP opcija opsega. Slui kao primarni WINS server za povezane fizike mree. Da bi se WINS server podesio za sve DHCP klijente koji se nalaze u podmrei, potrebni je dodeliti kod 44 DHCP opcije (lista IP adresa za WINS servere) i koristiti IP adresu raunara servera kao vrednost. Da bi se obezbedilo da svi DHCP klijenti za razreavanje NetBIOS imena najpre koriste WINS (pre nego to se pokua sa razreavanjem imena pomou difuznog upuivanja), potrebno je dodeliti kod 46 opcije (WINS/NBT tip vora) da bi se tip WINS vora podesio na h-vor (hibridni vor). 7.2.7 DHCP i DNS Serveri sistema imena domena (DNS) omoguavaju razreavanje imena za mrene klijente. DNS odrava (izmeu ostalog) informacije koje povezuju potpuno kvalifikovano domensko ime (Fully Qualified Domain Name, FQDN) raunara sa njegovom dodeljenom IP adresom(ama). Iako DHCP obezbeuje moan mehanizam za automatsko konfigurisanje klijentske IP adrese, sve do nedavno DHCP nije obavetavao DNS servis da je potrebno da aurira DNS zapise o klijentu, odnosno da aurira mapiranja imena klijenta u IP adresu i IP adrese u ime klijenta koje odrava DNS server. Ako ne postoji nain da DHCP bude u interakciji sa DNS-om, informacije koje odrava DNS za DHCP klijente ne moraju biti ispravne. Na primer, klijent moe da dobije IP adresu od DHCP servera, ali DNS zapisi nee odraavati novo dobijene IP adrese, niti e omoguiti mapiranje nove IP adrese u ime raunara (FQDN). Da bismo obezbedili ovaj servis auriranja u Windowsu 2003, DHCP serveri i klijenti mogu da obave registrovanje u DNS-u ako DNS server podrava DNS sa dinamikim auriranjem. Windows 2003 DNS servis podrava dinamiko auriranje. Koristei protokol za dinamiko auriranje DNS-a Windows 2003 DHCP server moe da obavi registrovanje na DNS serveru i aurira pokazivake PTR (Pointer resouce record) i adresne A (Address resource record) zapise resursa za raun svojih klijenata na kojima je omoguen DHCP. Mogunost da registruje A i PTR tipove zapisa dozvoljava DHCP serveru da za potrebe DNS registracije

Administriranje mrea deluje kao zastupniik za klijente koji koriste Microsoft Windows 95 i Windows NT 4.0. DHCP serveri mogu da razlikuju klijente koji rade pod Windowsom 2003 od ostalih klijenata. Dodatni kod DHCP opcije (kod opcije 81) omoguava da se FQDN ome klijenta vrati DHCP serveru. Ako se primenjuje, DHCP server moe dinamiki da aurira DNS kako bi izmenio pojedine zapise resursa raunara na DNS serveru pomou protokola za dinamiko auriranje. Ova DHCP opcija dozvoljava DHCP serveru sledee mogunosti kod obrade DNS informacije za raun DHCP klijenata koji ukljuuju kod opcije 81 u poruci DHCPRequest koju alju serveru: DHCP server uvek registruje DHCP klijenta za pretraivanje napred (tip zapisa A) i za inverzno pretraivanje (tip zapisa PTR) na DNS-u. DHCP server nikada ne registruje informacije o mapiranju imena u adresu (tip zapisa A) za DHCP klijente. DHCP server registruje DHCP klijenta za pretraivanje napred (tip zapisa A) i za inverzno pretraivanje (tip zapisa PTR) samo kada to zatrai klijent. DHCP i statiki DNS servis nisu kompatibilni da bi informacije o mapiranju imena u adresu mogle da budu sinhronizovane. Zbog toga su mogui problemi kada se DHCP i DNS zajedno koriste u mrei u kojoj se koriste stariji statiki DNS serveri koji neogu da se dinamiki auriraju kada se izmeni konfiguracija DHCP klijenta. Da bi se izbegla neuspena pretraivanja DNS-a o DHCP klijentima kada radi statiki DNS servis potrebno je uraditi sledee: 1.Ako se WINS serveri koriste u mrei treba omoguiti WINS pretraivanje za DHCP klijente koji koriste NetBIOS. 2. Dodeliti rezervacije IP adrese sa neogranienim trajanjem iznajmljivanja za DHCP klijent koji koriste samo DNS i ne podravaju NetBIOS. Kad god je mogue, treba nadograditi ili zameniti starije statike DNS servere DNS serverioma koji podravaju dinamiko auriranje. Dinamiko auriranje podrava Microsoft DNS servis koji je deo Windows-a 2003. DHCP - INSTALACIJA DHCP emo instalirati na isti nain kao i sve druge servise, iz Control Panel-a. Start Control Panel Add/Remove Programs, a zatim na Add/Remove Windows Components. Selektujemo Network Services i kliknemo na dugme Details. (slika 2.8) Selektujemo Dynamic Host Configuration Protocol (DHCP), i pritiskamo dugme Ok. Kliknemo dugme Next da zaponemo instaliranje servisa. Na kraju pritiskamo Finish da bismo zatvorili wizard.

DHCP servis kontroliemo prozorom koji se nalazi u Administrative Start Programs Administrative Tools DHCP. Izgled prozora je dat na slici 2.9.

Tools:

Administriranje mrea

Sa Windows 2003 svako moe postaviti DHCP server, ali server nee poeti sa podelom adresa, dok nije odobren. Odobravanje se vri iz DHCP prozora, pri tom moramo biti prijavljeni kao Administrator podruja. Desnim klikom mia na DHCP na levoj strani dobijamo padajui meni iz kojeg biramo Manage authorized servers (ili kliknemo na server, zatim na Action Authorize) i videemo okvir za dijalog kao na slici 2.10.a. Da bismo odobrili jedan server, pritiskamo na Authorize i dolazimo do okvira kao na slici 2.10.b u kome ukucavamo ime servera ili IP adresu.

Stvaranje opsega adresa U cilju da DHCP da IP adrese mora da zna opseg IP adresa. Microsoft naziva opseg IP adresa i opisane informacije vezane za njih, domenom. Da napravimo domen, kliknemo na ikonu servera, izaberemo New Scope, kojim poinje New Scope Wizard. Pritiskom na dugme Next dolazimo do prozora sa slike 2.11.

Administriranje mrea

U ovom prozoru, jednostavno identifikujemo domen, dajui mu ime i komentar. Zatim pritiskamo dugme Next i vidimo ekran kao na slici 2.12.

Domen je jednostavno opseg IP adresa - odatle se one mogu "crtati". Moemo dodeliti domen svakoj podmrei servisiranoj naim DHCP serverima. Mogue je za jedan DHCP server da rukuje viestrukim mreama, meutim, DHCP server nam nee dozvoliti da napravimo vie od jednog domena u istoj podmrei. Poto moramo da imamo najmanje jednu prisutnu statiku IP adresu-adresu naeg servera, trebalo bi da kaemo DHCP serveru da ne da tu adresu. Pritiskom na dugme Next dolazimo do dijaloga pomou koga govorimo serveru koje adrese da "izbegava" (slika 2.13).

Administriranje mrea

Moemo odrediti jednu adresu samu po sebi, ne moramo odrediti poinjujui i zavravajui adrese u opsegu jedne adrese. Pritiskamo dugme Next i dolazimo do dijaloga kao na slici 2.14.

Korisnik dobija IP adresu samo za odreeni vremenski period pod nazivom zakup i do vremena kada zakupljeni period istekne, korisnik mora zakupiti ili drugu adresu od DHCP servera, ili mora prestati sa korienjem IP u potpunosti odmah. Usvojeno vreme za trajanje zakupa je 8 dana. Postavljamo vremenski limit i pritiskamo dugme Next. Na sledeem dijalogu ostavljamo ekirano Yes, I want to configure these options now i pritiskamo dugme Next. Nema potrebe da idemo od radne stanice do radne stanice i podeavamo sve opcije u kartici Advanced za TCP/IP osobine (podeavanje statikih adresa) poto nam DHCP dozvoljava da podesimo te stvari pravo iz servera. DHCP moe omoguiti usvojene vrednosti za sve hostove TCP/IP parametara, ukljuujui osnovne lanove: Usvojen gejtvej DNS server Naziv podruja WINS server Naravno, posle ovog podeavanja moemo prii pojedinano svakoj radnoj stanici i promeniti opcije po naem izboru. Svaka druga opcija DHCP-a se ne ignorie s tim da je opte pravilo da je bilo ta podeeno na klijentu na viem nivou od podeavanja koje predlae DHCP server. Pritiskamo dugme Next i dolazimo do prozora na kao slici 2.15.

Administriranje mrea

Upisujemo IP adresu usvojenog pristupa i pritiskamo dugme Next, posle koga vidimo ekran kao na slici 2.16.

U ovom dijalog prozoru, govorimo DHCP serveru da kada god iznajmimo korisniku PC-a IP adresu iz ovog domena, trebalo bi postaviti korisniku neku vrednost naziva DNS domena, i rei korisniku da moe nai DNS servere na nekoj adresi. Klik na dugme Next, i dolazimo do dijaloga kao na slici 2.17.

Ovde govorimo korisniku gde da nae nae WINS servere. Klik na dugme Next, i dolazimo do dijaloga kao na slici 2.18.

Administriranje mrea

Na izlazu iz wizard-a, dobijamo pitanje da li smo spremni da ovaj server pone sa podelom zahteva za IP adresama. Ostavljamo ekirano Yes, I want to activate this scope now i pritiskamo dugme Next, nakon ega se zatvara wizard, startujui domen i stavljajui ga u proces. DHCP prozor tada izgleda kao na slici 2.19.

Obratimo panju na fasciklu nie u interfejsu oznaenom sa Server Options. Ona je korisna kada postavljamo vie od jednog domena na server. Server Options nam dozvoljava da postavimo opcije za sve date domene servera u jednoj operaciji. Desnim klikom na fasciklu Server Options i odaberemo opciju Configure Options kojom dobijamo dijalog kao na slici 2.20.

Administriranje mrea

Selektujui DNS moemo videti da nam je dozvoljen unos adresa DNS servera, kao to je to inio wizard. Konfiguracija servera Pre naputanja konfigurisanja, pogledajmo neke lanove konfiguracije servera. U prozoru DHCP, desnim klikom na server, i odaberemo opciju Properties. Videemo stranicu sa tri tabulatora: General, DNS i Advanced, kao to vidimo na slici 2.21.

Glavna stvar koju treba ovde primetiti je opcija "logovanja". To je usvojena opcija tako da je ne moramo proveravati. Postoji sedam logova, po jedan za svaki dan u nedelji. Time je olakano nalaenje zapisa za svaku akciju za odreeni dan. Logovi su u jednostavnom ASCII formatu, tako da ih moemo ispitati sa Notepad-om. Logovi imaju imena dana u nedelji i nalaze se u //system32\dhcp. Biramo DNS tabulator i vidimo ekran kao na slici 2.22.

Administriranje mrea

DNS je baza podataka maina i naziva. Pod Windows 2003, domen je dovoljno pametan da komunicira sa svojim lokalnim DNS serverom, aljui mu informaciju da je prisutan, da ima ime i IP adresu. Uz to, DNS server, kod Windows 2000 i Windows 2003, je dovoljno pametan da uje ovu informaciju; stariji DNS serveri nisu maine od kojih se oekuje da se registruju sa svojim lokalnim DNS serverom i lokalni DNS server ne bi imao reenje o tome ta da, u stvari, radi sa tom informacijom. DNS serveri posle 1998. godine imaju karakteristiku naziva dinamiki DNS, koji im omoguava da radije prihvate ovu oznaku/adresu (naziv registracije) informacije od drugih maina, nego da informacija mora da se kuca runo. U sluaju da naa radna stanica u radu pre koristi NT4 nego Windows 2000/03, tada ona nije programirana da ponudi informaciju oznaka/adresa svom DNS serveru, jer celokupna dinamika tehnologija nije postojala 1996. godine kada je pisan Microsoft NT4. Sa take gledita razvoja DNS servera koji radi na Windows 2000/03 serveru, tada su, stari Windows 9x, Windows for Workgroups i NT korisnici obine komponente. Preciznije, sa take gledita DNS servera, ti korisnici ak i ne postoje, jer ne postoji nain da DNS server zakljui da su oni tamo. To je ono to izvrava okvir za dijalog na slici 2.22. Windows 2003 DHCP server e primetiti kada podeli IP adrese maini, da ne zna nita o dinamikom DNS-u. Obratimo panju na opciju Dynamically update DNS and PTR records for DHCP clients that do not request updates (for example, clients running Windows NT4). Treba oznaiti okvir. Klikom na dugme Ok zatvaramo dijalog. Ako hoemo da znamo koliko nam je adresa ostalo, desnim klikom mia kliknemo na domen i izaberemo Display statistics, i videemo prozor kao na slici 2.23.

osle postavljanja DHCP-a na server, kako rei korisnicima da koriste taj DHCP? P Jednostavno, bilo koji Microsoft-ov operativni sistem od Windows for Workgroups preko Windows 9x, NT4.x, Windows 2000/03, svi imaju DHCP konfiguraciju kao instaliranu opciju, mada neki od ovih klijenata upuuje na to kao "automatsku" konfiguraciju pre nego na DHCP konfiguraciju. Kada sistem jednom dobije IP adresu, moemo je videti kicanjem ipconfig/all u komand prompt-u. Na Windows 95 radnoj stanici, kliknemo na Start Run otkucamo winipcfg i pritisnemo Enter. Windows 98 podrava i

Administriranje mrea ipconfig i winipcfg. Windows NT podrava samo ipconfig. IPCONFIG je korisna i za druge DHCP klijente, takoe. Moemo naterati DHCP klijenta da napusti svoju DHCP dobijenu IP adresu i da potrai neku drugu, kucajui ipconfig/release i onda ipconfig/renew. NAJEI PROBLEMI Najei problem sa DHCP klijentima je kada oni ne uspeju da dobiju IP adresu ili druge konfiguracione parametre od DHCP servera za vreme pokretanja sistema. Kada klijent ne uspe da dobije konfiguraciju, potrebno je da odgovorimo na sledea pitanja da bismo brzo mogli da otkrijemo uzrok problema. DHCP klijent nema konfigurisanu IP adresu ili ima IP adresu koja je konfigurisana kao 0.0.0.0. Klijent nije mogao da stupi u kontakt sa DHCP serverom i iznajmi IP adresu zbog greke u mrenom hardveru ili zato to DHCP server nije na raspolaganju. Prvo treba proveriti da li odgovarajui hardverski ureaji klijenata (kablovi i mreni adapteri) rade pravilno na klijentu. DHCP klijent ima autokonfigurisanu IP adresu koja nije pravilna za aktuelnu mreu. Windows 2000 ili Windows 98 DHCP klijent ne moe da pronae DHCP server pa je koristio mehanizam automatskog privatnog IP adresiranja (APIPA) za konfigurisanje IP adrese.U veim mreama je poeljno iskljuiti ovo svojstvo, zbog administriranja mree. Prvo treba koristiti komandu ping za testiranje veza od klijenta do servera. Zatim treba verifikovati ili runo pokuati obnavljanje adrese iznajmljivanja klijenta. U zavisnosti od zahteva mree, moe biti neophodno da se klijentu onemogui servis APIPA. Nedostaju detalji o konfiguraciji DHCP klijenta. Klijentu mogu nedostajati DHCP opcije u iznajljenoj konfiguraciji zbog toga to DHCP server nije konfigurisan da ih distribuira ili zato to klijent ne podrava opcije koje distribuira server. Za Microsoft DHCP klijente treba verifikovati da su najee koriene i podrane opcije konfigurisane na jednom odnivoa dodeljivanja opcija: servera, opsega, klijenta ili klase. Potrebno je proveriti i parametre DHCP opcija. HCP klijenti ne mogu da dobiju IP adrese od servera. D Ovaj problem moe nastati zbog toga to: IP adresa DHCP servera je izmenjena i sada DHCP klijenti ne mogu da dobiju IP adrese. DHCP server moe samo da opsluuje zahteve za opseg koji ima ID mree koji je isti kao i ID mree njegove IP adrese. DHCP klijenti se nalaze preko usmerivaa od podmree u kojoj je smeten DHCP server i ne mogu da prime adresu od njega. DHCP server moe moe da obezbedi IP adrese za raunare klijenata u vie udaljenih podmrea samo ako usmeriva koji ih razdvaja moe da radi kao DHCP prenosni agent. Vie DHCP servera postoji u istoj lokalnoj raunarskoj mrei (LAN - Local Area Network). Treba potvrditi da u istom LAN-u nije konfigurisano vie DHCP servera pomou opsega koji se preklapaju.