User Nalozi I Grupne Polise Windows Server

Administriranje mrea
V Upravljanje korisnikim nalozima

Srce administratorskog posla jeste kreiranje korisnika, grupa i upravljanje njima. U mnogim sluajevima,
posebno ukoliko su radne stanice bazirane na nekom od Windows Server operativnom sistemu, poeljno
je napraviti domen kako bi se iskoristile pogodnosti Aktivnog direktorijuma. Ipak, mogue je da neka
mala organizacija ne eli da ima domen, ili da mreni primarni operativni sistem nije Windows
2000/2003. Na primer, ako je mrea zasnovana na Unix ili Linux sistemu, moe postojati potreba za
postavljanjem Win2003 servera specijalne namene bez svih AD stvari. U tom sluaju, ukoliko raunar na
kome se radi nije kontroler domena i ne koristi se Aktivni direktorijum, korisnike naloge treba kreirati
pomou alata Computer Managment (COMPMGMT.MSC). Korisnici kreirani pomou ovog alata su
lokalni nalozi, to znai da postoje i validni su samo na tom raunaru. Ipak, COMPMGMT.MSC je alat
koji moe da radi i na daljinu, tako da se moe koristiti za kreaciju lokalnih korisnika i grupa i upravljanje
njima na udaljenim serverima u domenu ili na usamljenim udaljenim serverima. Da bi se sve ovo uradilo
treba samo iz menija Action, izabrati Connect to Another Computer.
U COMPMGMT.MSC se otvori Local Users and Groups, kao to je prikazano na slici 5.1. Ovde se moe
primetiti da na usamljenom serveru, na kojem nisu instalirani potrebni mreni servisi, kao DHCP, DNS ili
Terminal Service, jedini ugraeni nalozi su Administrator i Guest. Podrazumeva se da je Guest
onemoguen iz razloga predostronosti. Ovaj nalog se, na usamljenom serveru, ili u AD kontekstu,
primarno koristi za buenje velike rupe u bezbednosti sistema, omoguavanjem neproverenog pristupa.
Za Guest nalog se ne trazi lozinka, ali sa druge strane ovaj nalog je siromaan po pitanju snage i
mogunosti. Nalog administratora ima snagu i mogunosti koje daleko prevazilaze obine korisnike. Ne
moe se obrisati i onemoguiti ak ni zakljuati, ni posle milion propalih logovanja, to bi moglo da bude
vie nego dovoljno za razbijanje slabe lozinke.
Standardne lokalne grupe koje su ugraene u usamljeni server su Administrators, Backup Operators,
Guests, Power Users, Replicator i Users. Dodatne ugraene grupe su kreirane u sistemu kontrolera
domena. Ove ugraene grupe imaju unapred definisan skup prava i dozvola. Kako bi se korisnicima
dodelila ta prava i dozvole, potrebno je samo ih uiniti lanovima odgovarajue grupe.
Za otvaranje novog korisnikog naloga na sistemu koji nije kontroler domena, otvori se fascikla Users u
Local Users and Groups i iz menija Action izabere se New User, ili desnim tasterom mia na Users u
Local Users and Groups i izabere se New User. Potrebno je popuniti polja za korisniko ime, lozinku i
potvrdu lozinke, ostala polja su opciona, kao to je prikazano na slici 5.2 i kliknuti na Create.
Kako bi se promenila svojstva naloga, dodelilo lanstvo u grupi, login script, ili da bi se korisniku
dodelila dial-in dozvola, potrebno je kliknuti desnim tasterom korisniki nalog i izabrati Properties. Kako
bi se korisniku dodelila lozinka, istakne se nalog, klikne se desnim tasterom i izabere se Set Password.
Ukoliko je za nalog potrebno zadati naela, kao to su zakljuavanje ili praenje upotrebie se Local
Security Policy alat (SECPOL.MSC) ili Group Policy (GPEDIT.MSC). Ova naela bie lokalna i
nalazie se u Registry bazi lokalnog raunara.

5.1 Active Directory Users and Computers za kreiranje naloga u domenu
U Windows-u 2003, glavni administratorski alat za rad sa korisnikim nalozima, bezbednosnim
grupama, organizacionim jedinicama i naelima, za jedan domen, ili vie njih, je Active Directory Users
and Computers (DSA.MSC). Kako je re o Microsoft Managment Console (MMC) aplikaciji, ovaj alat
se moe pokrenuti na svakom Windows 2000/2003 raunaru.
Lokalni korisniki nalozi na usamljenom serveru, serveru lanu, ili nekoj radnoj stanici se uvaju u
Security Accounts Manager (SAM) bazi podataka, koja se obino nalazi u C:\winnt\system32\congif.
Za Aktivni direktorijum, fajl se zove NTDS.DIT i podrazumevano se nalazi u direktorijumu %system-
root%\NTDS, ali moe se zadati putanja u DCPROMO rutini kao to je gore ve pomenuto. U njoj su
informacije o serverima i radnim stanicama, resursima, objavljenim aplikacijama i naelima bezbednosti.
NTDS.DIT i softver koji je pokree se obino zovu servis direktorijuma, ili Aktivni direktorijum. Ova
struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena, radi tolerancije greke
i uravnoteenja optereenja. To je, u stvari, modifikovana Access baza podataka, kojoj je osnova
Lightweight Directory Acess Protocol (LDAP), specificiran u RFC 1777[9]. Baza se ne moe otvoriti u
Access-u, niti da se gleda na neki drugi nain, ili edituje direktno, ali se nad njom mogu vriti upiti i moe
se menjati pomou Active Directory Service Interface (ADSI).
Korisnikim nalozima, kada se prvi put kreiraju, automatski se dodeljuje identifikator bezbednosti

(security identificator SID). SID je jedinstven broj koji identifikuje nalog. SID-ovi
se koriste od kada je poeo NT, jer sistem i ne zna korisnika po imenu, ve po SID-u. Korisniki ID su tu
samo radi lakeg interfejsa. SID-ovi se nikada ne koriste ponovo, kada se nalog obrie i njegov SID se
brie sa njim. SID-ovi izgledaju ovako:
$-1-5-21-D1-D2-D3-RID
$-1-5 je standardni prefiks, 1 je broj verzije koji se nije menjao od NT-a 3.1, a 5 znai da je NT dodelio
SID; 21 je, takoe, NT prefiks; D1, D2, D3 su 32-bitni brojevi koji su karakteristini za domen, jednom
kada se kreira domen, postave se D1 do D3 i svi SID-ovi u tom domenu nadalje imaju te iste tri vrednosti.
RID oznaava relativan identifikator. RID je jedinstven deo svakog dodeljenog SID-a. Svaki novi nalog
uvek ima jedinstven RID broj, ak, iako su korisniko ime i druge informacije isti kao za stari nalog. Na
ovaj nain, novi nalog ne moe imati prava i dozvole starog, ime je bezbednost ouvana.

5.2 Funkcije vezane za korisnike i grupe u DSA:MSC
Active Directory Users and Computers mrenom administratoru obezbeuje sredstva za izvravanje
sledeih zadataka:
Kreiranje, menjanje i brisanje korisnikih naloga
Dodeljivanje Log On scriptova korisnikim nalozima
Upravljanje grupama i lanstvima u grupama
Kreiranje i upravljanje grupnim naelima

Otvara se DSA.MSC tako to se pokree iz Start menija, ili se izabere Start Programs Administrative
Tools Active Directory users and Computers.
Podrazumeva se da e DSA.MSC potraiti Operation Masters kontroler domena (DC) i poslati sve
promene i napraviti zahteve direktno tom raunaru. Mora se imati u vidu da kontroler domena koji
ispunjava uslove koji su zadati, ne moe proveriti ID broj novog naloga dok ne kontaktira Operation
Master. Poruka o ovome se moe videti ako se kreira korisniki ID, dok je Operation Master nedostupan.
U DSA.MSC e se videti ime kontaktiranog kontrolera domena, na vrhu drveta konzole,a ime kreiranog
domena odmah ispod korena konzole, kao to se vidi na slici 5.3.
U levom oknu se vidi skup kontejnera i organizacionih jedinica koje su automatski kreirane sa
domenom: Builtin, Computers, Domain Controllers, ForeighnSecurityPrincipals i Users. Kao i kod svih
aplikacija sa konzolom klikne se na objekat u drvetu konzole (levo), da bi se njegov sadraj i informacije
videli u detaljnom oknu (desno).
Kontejneri Users i Computers su podrazumevana mesta u koja se stavljaju korisniki, grupni i raunarski
nalozi, to ne znai da se novi korisnici moraju tu smetati jer po potrebi se mogu premetati u nove
organizacione celine. Novi korisniki nalog se moe stavitti u bilo koju organizacionu jedinicu, ak i
direktno u domen kontejner.
Builtin je kontejner za one specijalne, ugraene, lokalne grupe, kao to su Administrators, Account
Operators, Guests i Users, koje postoje na svakom Windows Server raunaru, ukljuujui i kontrolere
domena.
Domain Controllers je podrazumevana organizaciona jedinica za nove Windows 2003 kontrolere
domena. Ovde se nalozi nalaze kada se kreira AD. Kao i nalozi iz kontejnera Computers i AD nalozi se
mogu premetati u druge organizacione jedinice.
ForeighnSecurityPrincipals je podrazumevani kontejner za objekte iz pouzdanih spoljnih domena
(trusted).
Da bi se napravilo neto novo, selektuje se objekat u kojem se eli nalaziti to novo, i zatim se odabere
New, iz menija Action, ili desnim tasterom se izabere New iz Properties kontekstualnog menija. Kao to
se vidi na slici 5.4, moe se kreirati deljena fascikla, korisniki nalog, tampa, organizaciona jedinica,
grupni nalog, kontakt ili raunarski nalog. Svaki od ovih izbora pokree odgovarajueg arobnjaka, kojim
se pravi objekat. U svakom sluaju, da bi se popunili svi detalji, posle kreiranja objekta treba se vratiti i
editovati svojstva tog objekta (desnim tasterom na objekat i Properties).
Desni klik na objekat otvara kontekstualni meni. Prikazane mogunosti se menjaju u zavisnosti od
objekta na koji je kliknuto desnim tasterom. Ukoliko se klikne desnim tasterom na korisniki nalog, moe
se primetiti da postoje opcije za onemoguavanje naloga, resetovanje lozinke, ili pak desni klik na
raunarski nalog daje opcije kao to su Move i Manage (Manage otvara COMPMGMT.MSC koji je
povezan sa selektovanim raunarom).

5.3 Ugraeni nalozi: Administrator i Guest
Kao to je ve pomenuto kada je napravljen novi domen, kreirana su i dva naloga, Administrator i
Guest. Nalog Administrator je nalog koji ima potpunu vlast nad raunarom, ili domenom u zavisnosti od
konteksta. Nalog Administrator se ne moe obrisati, ali mu se moe promeniti ime.
Nalogu Administrator je dodeljena lozinka kada je instaliran Windows 2003, a zatim i ponovo kada je,
radi kreiranja domena pokrenut DCPROMO.EXE. Prvo su lokalni Administratorski nalog i njegova
lozinka, a onda pri kreiranju domena, su novi Administratorski nalog i lozinka zamenili postojei. Ovu
lozinku treba uvati jer ne postoji nain da se povrati.
Drugi nalog je Guest (gost). Guest znai da svako ko nema nalog na domenu moe pristupiti.
Podrazumeva se da je ovaj nalog onemoguen i tako bi trebalo i da ostane. Kod Unix operativnog sistema
se moe prijaviti sa korisnikim imenom Guest i praznom lozinkom, s tim to je nalog dosta ogranien po
pitanju stvari koje moe da uradi.
Pretpostavimo da neko pokuava da pristupi deljenom tampau na serveru, ili domenu na kojem je
omoguen Guest nalog. Student se na svoju lokalnu mainu loguje kao student sa lozinkom studenti. ak
i bez naloga na serveru, ili u domenu, on moe da radi na svom lokalnom raunaru. Windows 95/98
raunare ne zanima ko se loguje i oni uopte nemaju korisnike naloge. Na nekoj NT radnoj stanici on bi
morao da se loguje na lokalnom raunaru. Nijedan od serverskih operativnih sistema ne zahteva od
korisnika da se loguje sa servera, ili domena da bi dobio pristup lokalnoj radnoj stanici. Pretpostavimo da
ovaj server, ili domen nema nalog student. On radi na raunaru i pokuava da pristupi resursima iz
domena i naravno pristupa.
Iako eksplicitno logovanje na domen zahteva da se upotrebi korisniko ime Guest, eksplicitno korisnik
ne mora da se loguje na domen, kako bi koristio privilegije gosta. Upravo iz ovog razloga treba biti
veoma paljiv kada se omoguuje Guest nalog.

5.4 Kreiranje novog korisnikog naloga
Da bi se kreirao korisniki nalog, u DSA.MSC selektuje se kontejner Users (ili neki drugi
kontejner/organizaciona jedinica, gde se eli smestiti nalog), zatim se iz menija Action (slika 5.4) izabere
New User. Pojavljuje se arobnjak, sa okvirom za dijalog praikazanim na slici 5.5. Popunjavaju se polja
First Name (ime), Last Name (prezime) i Full Name (puno ime). Potom se unosi korisniko logon ime
(npr. student) i izabere se Universal Principal Name (UPN) sufiks, koji e se dodavati korisnikom imenu
u trenutku logovanja. UPN sufiks je obino DNS ime domena i ne moe se izabrati nita osim
podrazumevanog imena domena (VTS u ovom sluaju). UPN imena su pravljena prema e-mail imenima,
znai sa @ simbolom. UPN sufiks je pointer na domen koji sadri korisniki nalog, tako da je vaan kada
se korisnik loguje u okruenju sa vie domena.
Korisniko ime u Windows 2000/2003 sistemima mora potovati sledea pravila:

Ime mora biti jedinstveno na raunaru, za lokalne naloge (ili jedinstveno u domenu). Meutim, ime
korisnikog naloga u domenu moe biti isto kao i ime lokalnog naloga na raunaru koji je lan domena, a
nije kontroler, to je injenica koja unosi veliku konfuziju, jer je re o potpuno razliitim entitetima.
Korisniko ime ne moe biti isto kao ime grupe na lokalnom raunaru, za lokalni nalog (ni isto kao ime
grupe u domenu).
Korisniko ime moe biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji.

Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisniko ime ne sme sadrati :

\ / [ ] : ; | = , + * ? < >
Ime moe sadrati razmake i take, ali se ne moe u potpunosti sastojati od taaka i razmaka. Treba
izbegavati razmake jer se u tom sluaju ta imena moraju stavljati meu znake navoda u sluaju pisanja
skriptova, ili izdavanja komandi sa komandne linije.

Kada se popune sva polja o korisnikom imenu izabere se Next. U narednom ekranu prikazanom na slici
5.6, zadaje se lozinka za korisniki nalog i potvruje se. Nijedna od opcija naloga nije potvrena
unapred, pa nije loe izabrati User must change password on Next logon (korisnik mora promeniti lozinku
prilikom sledeeg logovanja). Opcije lozinke i naloga sumirane su u tabeli 5.1.

Tabela 5.1: Opcije lozinke i naloga pri kreiranju novog korisnikog naloga

Opcija

Opis
User must change password
on next logon (korisnik mora
promeniti lozinku prilikom
sledeeg logovanja)
Primorava korisnika da promeni lozinku sledei put kada se prijavi.
User cannot change password
( korisnik ne moe da menja
lozinku)
Ako je potvreno, spreava korisnika da promeni lozinku za nalog.
Password never expires
(lozinci nikad ne istie rok
trajanja)
Ako je potvreno, korisniki nalog ignorie politiku isticanja roka
lozinke. Ovo je korisno za naloge koji pokreu servise i naloge za koje
elite stalnu lozinku (na primer Guest).
Account is disabled (nalog je
onemoguen)
Ako je potvreno, nalog je onemoguen i niko ne moe da se loguje na
njega, dok se ne omogui (nalog nije uklonjen iz baze podataka). Ovo je
korisno za naloge koji se koriste kao abloni i za nove korisnike naloge
koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje
nee poeti da rade jo neko vreme.

Poslednji ekran ovog Create New Object arobnjaka, prikazan na slici 5.7, jednostavno potvruje sve
informacije koje su date, ukljuujui kontejner/organizacionu jedinicu gde e se nalog nalaziti, puno ime,
logon ime i lozinku, ili izabrane opcije naloga. Klikne se na Finish i korisniki nalog je kreiran.

5.4.1 Svojstva korisnikih naloga
Da bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisnikog naloga i vidi se
nekoliko opcija u kontekstualnom meniju, prikazanom na slici 5.8. Odavde se brzo moe kopirati nalog,
upravljati lanstvom u grupi, onemoguiti ili omoguiti nalog, resetovati korisniku lozinku, premestiti
nalog u drugi kontejner, ili organizacionu jedinicu, otvoriti korisnikovu home stranicu ili mu poslati mail.
U ovom meniju se moe izabrati brisanje naloga i promena imena.
Iz kontekstualnog naloga se izabere Properties, da bi se otvorile sve informacije o korisnikom nalogu.
Na kartici General, prikazanoj na slici 5.9, moe se dodati opis korisnikog naloga, upisati ime odseka u
koli, studijske grupe itd, dodati brojevi telefona, e-mail adresa, ak i adresa web stranice.
Kartica Address, sa slike 5.10, prikazuje polje za korisnikovu potansku adresu. Kartica Telephones nudi
mesta za brojeve za kuni, mobilni, faks i IP telefon i pejder, kao i mesto za unoenje komentara. U
Organizacionoj kartici mogu se uneti informacije o nazivu neijeg posla i poziciji u hijerarhiji
organizacije. Ove etiri pomenute kartice se ne mogu smatrati svojstvima naloga ve su tu isto
informativnog karaktera.

5.4.2 Parametri naloga
Ukoliko je potrebno promeniti korisnikovo logon ime, ili UPN sufiks, ide se na karticu Account (slika
5.11). Na ovom mestu moe se odrediti i vreme kada je logovanje dozvoljeno, opcije naloga i slino.
Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji, tokom celog dana (24/7), ali moe
se izabrati dugme Logon Hours, kako bi se zadali odreeni sati i dani kada je dozvoljeno logovanje (slika
5.11). Podrazumeva se da korisnik nee biti otkaen iz sistema kada mu isteknu sati dozvoljeni za rad, ali
postoji parametar kojim se i ovo moe postii. Parametar se zove Automatically Log Off Users When
Logon Hour Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy
Object Editor-u, pod Computer Configuration\Windows Settings\ Security Settings\ Local
Polices\Security Options.
Podrazumeva se da korisnici svake radne stanice mogu da se loguju na domen, ali logon radne stanice se
mogu zadati NetBIOS imenom (slika 5.13). Ipak, da bi se ovo moglo nametnuti, mora se koristiti NetBIOS
na mrei.

Ako se ponovo baci pogled na karticu Accounts (slika 5.11), moe se primetiti polje za potvrdu Accounts
is locked Out (nalog je zakljuan). Ako je zakljuavanje naloga posledica loih pokuaja logovanja (to se
moe konfigurisati raznim Policy alatima), polje e biti potvreno i dostupno. Ukoliko se eli da se nalog
zakljua runo potrebno je samo kliknuti na znak potvrde. U dnu kartice Accounts vidi se parmetar za rok
trajanja naloga. Podrazumeva se da nalog nikada ne zastareva, ali ako je ova opcija omoguena,
podrazumevani interval je est nedelja. Opcija User must change Password at Next Logon je sama po sebi
jasna. Opcija Store Password Reversible Encryption (sauvaj reverzibilno ifrovanje lozinke) se koristi za
Windows 95/98 klijente. Smart card opcija se koristi ukoliko se izabere infrastruktura javnog kljua.
Potvrena opcija Do not require Kerberos Preauthentification[11] (ne zahteva Kerberos pre-
autentifikaciju) znai da e nalog koristiti neku od implementacija Kerberos protokola, umesto onog koji
stie uz sam Windows. Sve verzije Kerberos protokola ne koriste ovu opciju, ali je Windows koristi.
Potvrena opcija Use DES encription types for this Account (koristi DES tipove ifriranja za ovaj nalog)
znai da je potreban DES (Data Encryption Standard) [13]. DES podrava vie nivoa ifriranja,
ukljuujui MPEE Standard (40-bit), MPEE Standard (56-bit), MPEE Strong (128-bit) itd.
Zanimljivo je da se korisnikova lozinka ne moe resetovati na kartici Accounts. Kako bi se lozinka
resetovala, zatvori se lista sa svojstvima naloga, i u okviru sa detaljima DSA.MSC klikne se desnim
tasterom na korisniko ime. Izabere se opcija resetovanja lozinke, a onda se moe uneti i potvrditi nova
lozinka kao to se vidi na slici 5.14. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku
promeni pri sledeem logovanju.

5.4.3 UPN u imenu
Gore je reeno da postoje dva tipa korisnikovog logon imena, to se moe primetiti na slici 5.5. Windows
ime je dule@vts.ni.edu.yu , dok je pre-Windows 2003 ime VTS\dule. U verzijama pre-2000 operativnih
sistema, korisnika imena su se povinovala konvenciji IMERAUNARA\korisnikoime, ili
IMEDOMENA\korisnikoime, ako je nalog korisnika bio u domenu (injenica koje veina korisnika nije
bila svesna). Korisnika imena su, u Windows-u 2003, zasnovana na Internet standardu (RFC 822)[9],
Standard for the Format of ARPA Internet Text Message (Standard za format ARPA Internet tekstualne
poruke), to u prevodu znai da Windows korisnika imena potuju uobiajenu e-mail konvenciju
imenovanja.
Svaki korisniki nalog ima univerzalno glavno ime (Universal Principal Name), koje se sastoji od
prefiksa, koji je korisniko ime i sufiksa, koji je ime domena. Prefiks i sufiks su spojeni znakom @. UPN
sufiks govori gde pri logovanju treba traiti korisniki nalog i podrazumeva se da je to ime DNS domena.
Meutim, ne moe se menjati proizvoljno UPN ime u zapisu korisnikog naloga. To mora biti UPN
sufiks koji je za domen odreen u Domains and Trust Aktivnog direktorijuma. Ipak mogu se odrediti
alternativni UPN sufiksi za domen. Tek tada se moe promeniti UPN sufiks od podrazumevanog na neki
od alternativnih. Alternativni UPN sufiks ne mora biti ime pravog domena. Moe mu se zadati ime
domena po elji. Kao primer se moe uzeti organizacija VTS koja ima etiri domena. Korisnik Student
ima nalog sa korisnikim imenom student i on se nalazi na domenu vts.ni.edu.yu. Podrazumevano UPN
ime je student@vts.ni.edu.yu. Ukoliko organizacija ne eli da celom svetu objavi imena svojih domena,
niti recimo da zbunjuje korisnike, moe odrediti vts.com kao alternativni UPN sufiks za vts.ni.edu.yu.
Tako, Student se moe logovati kao student@vts.com i to prikazivati kao svoju e-mail adresu.
Takoe, osoba moe menjati poslove unutar organizacije i njen korisniki nalog se moe seliti iz jednog
domena u drugi, a nije neophodno svaki put menjati e-mail adresu. UPN imena omoguavaju lako
pronalaenje naloga, a njegovu lokaciju ine transparentnim za korisnika.

5.4.4 Informacije o profilu
Kartica Profile, prikazana na slici 5.15, je mesto gde se zadaje putanja korisnikog profila, logon skripta i
osnovna (home) fascikla. Ove opcije su veinom za klijente niskog nivoa (downlevel clients), tj. za
Windows pre-2000 klijente. Ovi parametri se mogu zadati i uz Group Policy parametre.
Parametri korisnikovog radnog okruenja, od sadraja Start Menu-ja do eme boja i orijentacije mia, se
mogu uvati na mrei, pa se korisnik moe prijaviti sa bilo kog sistema i videti istu radnu povrinu. U tu
svrhu se moe specificirati deljena mrena lokacija. Ovo je zgodno ako treba korisnika (ili grupu)
primorati da zadrava iste parametre sve vreme. To se zove lutajui profil (roaming profile). Ako je
korisnik prisiljen da uita profil i ne moe se logovati bez njega, onda je to obavezujui profil

(mandatory profile), ili deljeni obavezujui profil ako je vie korisnika vezano za njega. Grupna naela
Windows-a omoguavaju da se konfigurie preusmeravanje fascikle i drugih parametara radne povrine,
uveliko eliminiui potrebu za postojanjem lutajuih i obavezujuih profila pre-Windows sistema.
Logon ili login skript je onaj koji se izvrava u toku logovanja da bi se konfigurisalo korisnikovo
okruenje i dodelili mreni resursi, kao to su mapirani drajvovi i tampai. Windows ima
podrazumevanu putanju za uvanje login skriptova (u SYSVOL koji je podrazumevano u \WINNT
direktorijumu, ali se moe menjati). Zbog ovoga jedino to se treba odrediti jeste ime script-a. Meutim,
ukoliko se dogodi da se login skripta nalazi u poddirektorijumu direktorijuma SYSVOL, onda je potrebno
specificirati relativnu putanju.
Osnovna fascikla (Home folder), takoe, poznata i kao osnovni direktorijum (home directory), je
fascikla koja je dodeljenja korisniku za privatnu upotrebu. Iako aplikacije mogu imati svoje
podrazumevane fascikle za pamenje i otvaranje fajlova, na komandnoj liniji e osnovna fascikla biti i
podrazumevana radna fascikla za korisnika. Mogue je specificirati lokalnu putanju za korisnikovu
osnovnu fasciklu. Treba odabrati opciju Connect i odrediti mrenju putanju, potujui UNC konverziju
\\imeraunara\imeservera\imedirektorijuma. Za ime fascikle se mogu koristiti i promenljive,
%korisnikoime%, kako bi se naznailo da je ime osnovne fascikle isto kao i korisniki ID.
Kada se za korisnika specificira putanja osnovne fascikle, ako deoba na mrei ve postoji i ako postoje
prava za pisanjem u njoj, Windows e automatski kreirati osnovnu fasciklu za korisnika. Ovo
administratorima tedi mnogo vremena.
Sve ovo iziskuje mnogo prostora na disku. Postoji mogunost podeavanja posebne particije za
korisnikove direktorijume i time se ograniava problem na tu particiju, pa da se zatim pokreu skriptovi
za ienje diska. Windows dolazi sa jednostavnim sistemom za upravljanje kvotama, jednostavno treba
ih omoguiti za odreeni disk, podesiti pragove za upozorenje i slino.

5.4.5 lanstvo u grupama
Kako bi se korisniku odredilo lanstvo u grupi, otvori se kartica Member Of. Kao to se vidi na slici
5.16, podrazmeva se da je novi korisnik lan grupe Domain Users. Desna kolona, Active Directory Folder
(fascikla Aktivnog direktorijuma), govori o putanji do kontejnera ili OU grupe. Kako bi se korisnik dodao
drugoj grupi, izabere se Add, a zatim se ukuca ime grupe u koju treba premestiti korisnika. (slika 5.17).
Treba iskoristiti opciju Check Names za potvrdu da li su imena
vaea. Izabere se OK. Za uklanjanje korisnika iz grupe, upotrebljava se dugme Remove, na kartici
Memeber Of.

5.5 Upravljanje nalozima
Do sada je bilo rei o tome kako promeniti jedan nalog, a sada e biti rei o tome kako promeniti
nekoliko naloga istovremeno.
U DSA.MSC vie naloga se selektuju u okviru sa detaljima, tako to se dri taster Shift i strelica nadole,
ili se dri taster Ctrl dok se klike levim tasterom mia. Zatim dok su ti nalozi selektovani , desnim
tasterom se klikne kako bi se video kontekstualni meni. Kao to se vidi na slici 5.18, mogu se izabrati svi
i premestiti u drugi kontejner ili OU, da se dodaju grupi, da se onemogue ili da se omogue nalozi.
Takoe, je mogue svima poslati mail, pod pretpostavkom da za te naloge postoje specificirane e-mail
adrese.
Mogue je napraviti i ablon za nalog i kopirati ga kako bi se kreirali korisnici sa slinim parametrima.
Svojstva koja se kopiraju ukljuuju parametre naloga (kao to je Password Never Expires), lanstvo u
grupi, rok isteka naloga (ukoliko je zadat) i UPN sufiks. Informacije o profilu (osnovni direktorijum,
putanja korisnikog profila i logon script) se, takoe, kopiraju, a ako je koriena promenljiva
%korisnikoime% za zadavanje korisnike osnovne fascikle ablona, ona e se automatski kreirati za
nove korisnike, kada se nalog kopira.
Dodeljivanje korisnika grupama olakava davanje kako prava za izvravanje zadataka, tako i dozvola za
pristup resursima kao to su tampai i mrene fascikle. U ovim nastojanjima mogu pomoi nekoliko
ugraenih grupa, sa ugraenim pravilima. lanovima grupa koje je korisnik sam kreirao, moe biti data
mogunost da administriraju druge grupe, ili objekte, ak i cele organizacione jedinice. Povrh svega,
grupe mogu da sadre raunare i kontakte, kao i korisnike drugih grupa. Mogu se koristiti i kao e-mail
distribucione liste. Zbog toga je vano da se razumeju razliiti tipovi grupa koji postoje u Windows-u

2003 i kako raditi sa njima, kako bi se imala kontrola, kako bi se davao pristup resursima i konfigurisala
prava.

5.5.1 Kreiranje grupa
Da bi se napravila nova grupa u Users and Computers Aktivnog direktorijuma, doe se do kontejnera u
koji se eli smestiti grupa. Grupe se mogu kreirati i korenu domena, u ugraenom kontejneru, kao to su
Users, ili u organizacionoj jedinici. Dok je kontejner istaknut, u meniju Action izabere se New, a zatim
Group (slika 5.19).
Ime grupe neka bude Studenti, ukoliko e se ime nieg nivoa razlikovati treba uneti i njega, zatim se
izabere oblast rada grupe i njen tip, to se moe videti na slici 5.20. Podrazumeva se da je delokrug
Global, a tip Security. Potom se izabere OK, kako bi se kreirala grupa u selektovanom kontejneru.
Da bi se popunile neke informacije o grupama, potrebno je pronai eljenu grupu (onu koju je upravo
kreirana) i dva puta kliknuti na nju, kako bi se otvorio njen list sa svojstvima. Na kartici General
prikazanoj na slici 5.21, unese se opis i e-mail adresa, ako postoji distribuciona lista za grupu.
Da bi se grupa naselila, ide se na karticu Members i izabere se Add, kao to se moe videti
na slici 5.22.
Windows dopusta da lanovi grupe budu korisnici, druge grupe, ak i raunari. lanovi grupe mogu da
dolaze i iz razliitih organizacionih jedinica. Ukucaju se imena korisnika razdvojena taka-zarezima i
zatim se izabere Check Names, kako bi se ta imena proverila. Izabere se OK, da bi se zavrilo dodavanje.
Da bi se videle ili promenile lokalne, ili univerzalne grupe kojima grupa Studenti pripada, otvori se
kartica Member Of. Kartica Managed By je za opcione kontaktne informacije i ne mora obavezno da
odrava direktno preputanje kontrole.
Drugi nain za dodavanje lanova grupi je klik desnim tasterom na korisniki nalog i izbor Add Member
to a Group. Ako je u jednu grupu potrebno istovremeno dodati nekoliko selektovanih korisnika, dri se
taster Ctrl, dok se vri selekcija vie korisnika, zatim se klikne desnim tasterom i izabere Add Members to
a Group.
Verovatno e u nekom trenutku biti potrebno premetanje grupe iz jednog kontejnera u drugi, jer kada su
grupe u organizacionim jedinicama, to olakava delegaciju. Da bi se to uradilo, klikne se desnim tasterom
na ikonu grupe u oknu konzole koja sadri detalje i izabere se Move. Doe se do kontejnera koji treba biti
novi dom za grupu, selektuje se i izabere OK (slika 5.23).

5.5.2 Tipovi grupa
Kada se u Windows-u pravi grupa, ona se moe klasifikovati kao sigurnosna ili kao distribuciona.
Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. Kao i korisnikim nalozima,
sigurnosnim grupama se dodeljuju SID-ovi. Kada se edituje objektovana Access Control List-a (ACL), na
primer, imena grupa koja se pojavljuju u listi su sigurnosne grupe. Ovi korisniki grupni SID-ovi ulazi u
ACL-u su upareni sa korisnikovim akreditivima kojima je dozvoljen, ili zabranjen pristup objektu.
Postoje tri glavna tipa sigurnosnih grupa: lokalne, globalne, univerzalne i podgrupa distribucione.
Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru, serveru koji je lan domena, ili na
WinXP radnoj stanici. Lokalne grupe su lokalne za taj raunar. To jest, one postoje i validne su samo na
toj radnoj stanici ili serveru koji nije kontroler domena. Domain local group (Lokalna grupa domena) je
specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Kontroleri domena imaju zajedniki
Aktivni direktorijum koji je repliciran izmeu njih, tako da e lokalna grupa domena koja postoji na
jednom raunaru, postojati i na drugom.
Globalne, univerzalne i lokalne grupe domena, su smetene u Aktivnom direktorijumu kontroleru
domena. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena.
Univerzalne grupe mogu da vre funkciju globalnih, dajui prava i dozvole za objekat, unutar domena i
izmeu domena. One su mnogo korisnije od globalnih, ili lokalnih, jer su neuporedivo fleksibilnije po
pitanju ugnedavanja, ali se mogu koristiti samo kada je domen native (prirodan), to zahteva da su svi
kontroleri domena na Windows-u 2000/2003.
Distribuciona grupa nije sigurnosna. One nemaju SID i ne pojavljuju se u ACL-u. To su grupe sa
adresama primalaca. Lake je adresirati mail na, na primer, efovi odseka kole, nego svakog od efa
selektovati posebno iz liste. Pretpostavlja se da su unete e-mail adrese korisnika. Sigurnosne grupe u
Aktivnom direktorijumu su, takoe, nezvanine distribucione liste. Potrebno je samo kliknuti desnim

tasterom ime grupe u DSA.MSC i pojavie se opcija slanja maila lanovima grupe, kao to se vidi opcija
slanja maila nalogu korisnika, kada se na njega kilkne desnim tasterom. Ovo e izbaciti program za
rukovanje potom i sistem e pokuati da potu poalje na e-mail adresu dobijenu iz informacija naloga.
Pretpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru kole i svi oni su smeteni u
sigurnosnu grupu Administracija. Ne samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i
poslati mailovi lanovima grupe pod pretpostavkom da je za svakog korisnika popunjena e-mail
informacija.

5.5.3 Oblast rada grupa: lokalne, globalne i univerzalne
Glavna pitanja u vezi lokalnih, globalnih i univerzalnih grupa su gde se prepoznaju i ta mogu da sadre.
Poto se koriste za dodeljivanje prava i dozvola, potrebno je znati gde lanstvo u toj grupi neto znai ili
gde se prihvata. Poto grupe treba ugnedavati radi olakanja davanja prava i dozvola, treba znati pravila i
preporuke koje vae za ugnedavanje.
Obine lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima.
Usamljeni server ili radna stanica, koji nisu lanovi domena su kao usamljeni narod koji ne znaju za
ostatak sveta. Oni prepoznaju samo svoje lokalne grupe i korisnike. Lokalne grupe su jedine kojima se
mogu dodeliti prava za pristup resursima, a lanstvo je ogranieno na lokalne korisnike. Ipak, kada se
raunar prikljui domenu usamljeni narod postaje lan neke vee uprave, federacije. Server-lan ili
radna stanica-lan zadravaju svoje lokalne korisnike i grupe, ali e sada u lanstvo svojih lokalnih
grupa primati i lanove iz federacije, koji nisu lokalni. Na globalne grupe i federalne (domen) naloge
se sada, mogu upuivati u listama dozvola za objekat (ACL).
Lokalne grupe domena, koje ive u Aktivnom direktorijumu kontroleru domena, postoje u razliitom
kontekstu od lokalnih grupa na radnim stanicama, usamljenim ili serverima-lanovima. Ovi raunari su
svesni svog kunog domena i svih ostalih domena u umi Aktivnog direktorijuma. Zbog toga lokalne
grupe domena mogu da sadre lanove iz bilo kojeg od domena iz ume. Mogu da sadre korisnike iz
sopstvenog ili domena od poverenja (trusted domain) i univerzalne. Iako su lokalne grupe domena
fleksibilnije po pitanju lanstva, one su validne samo u svom kunom domenu, jer se koriste samo u ACL-
ovima istog domena. Drugi domeni imaju sopstvene lokalne grupe domena. Kad bi lokalna grupa domena
bila validna u drugom domenu, vie ne bi bila lokalna. Osim toga, lokalne grupe domena se ne
repliciraju u globalni katalog, iako se informacije
o lanstvu repliciraju izmeu kontrolera domena u istom domenu. lanstvo u lokalnim grupama domena
trebalo bi da je relativno malo i da koristi ugnedavanje.
Globalne grupe mogu da sadre samo lanove iz istog domena. U globalnu grupu se ne moe smestiti ni
lokalna, ni univerzalna grupa, ve samo korisniki nalozi i globalne grupe iz istog domena. lanstvo u
globalnoj grupi je suprotno od lanstva u lokalnoj grupi domena; lanstvo u globalnoj grupi je
ogranieno, ali je njegovo prihvatanje iroko. Globalne grupe se mogu koristiti u svakom ACL-u u umi,
ak i u drugim umama, ako se ustanove stari odnosi poverenja. O globalnim grupama treba misliti kao o
kontejnerima za korisnike i grupe kojima treba da ih drugi raunari i domeni prihvate. Informacije o
globalnim grupama se repliciraju izmeu bratskih kontrolera domena, ali globalni katalog sadri samo
imena grupa, a ne i lanova.
Univerzalne grupe se mogu kreirati na svakom kontroleru domena. One mogu da sadre lanove iz bilo
kog od domena ume i mogu se koristiti na objektovom ACL-u unutar ume. lanstvo u univerzalnoj
grupi je neogranieno fleksibilno, a univerzalno je prihvaeno u umi. Univerzalne grupe se mogu
koristiti samo u Native reimu. Ako se koriste samo univerzalne grupe, globalni katalog e se prepuniti i
dolo bi do problema sa replikacijom. Imena univerzalnih grupa i njihovo lanstvo se repliciraju na druge
servere globalnih kataloga (po jedan za svako mesto), dok se, u sluaju globalnih grupa, njihova imena
pojavljuju u globalnom katalogu, ali lanovi ne. Kad ima vie domena, globalni katalog sadri replike
informacija o svakom domenu iz ume, pa e veliina i vreme potrebno za replikaciju eksponencijalno
rasti ako univerzalna grupa sadri veliki broj objekata. Zbog toga bi lanstvo u univerzalnoj grupi trebalo
da bude dosta statino. Poeljno je izbegavati direktno dodavanje korisnika a druge grupe treba samo
ugnezditi. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da
kopiraju informacije iz drugih domena ime se neizmerno smanjuje optereenje pri replikaciji. To znai
da bi u ovom sluaju mogle da se koriste iskljuivo univerzalne grupe. U sluaju jednog domena
verovatno e sve globalne grupe biti zamenjene univerzalnim.

Globalne i univerzalne grupe mogu da spajaju domene, ak i ume. Domeni i raunari iz razliitih uma
ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije, ali se ovo moe postii
runo stvorenim odnosima poverenja.
Dakle osnovna pravila su:
Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Druge grupe
treba stavljati u lokalne i tako zadrati malo lanstvo.
Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena, kojima e
biti potrebne iste privilegije, ili pristup istim resursima. Ove globalne grupe treba stavljati u lokalalne,
koje imaju eljene privilegije i prava pristupa.
Univerzalne grupe se koriste onako kako odgovara Administratoru, onda kada svi domeni budu na
Windows 2000/2003 platformi, ali zbog replikacije, najbolje je ugnezditi lokalne grupe (suprotno
korisnikim nalozima) unutar univerzalnih grupa.
Iako je mogue, nije preporuljivo ugnedavati grupe zbog znaajnog pada performansi.

Na kraju treba sumirati i pravila ugnedavanja na Windows platformi. Lokalne grupe (poev od Windows
2000 do 2003 servera i radnih stanica) mogu da sadre:
Grupe lokalnih domena, univerzalne iz kunog domena
Globalne i univerzalne iz Windows pouzdanih domena

Lokalne grupe domena (na kontroleru domena) mogu da sadre:
Korisnike naloge iz bilo kog domena ume
Univerzalne i globalne iz bilo kog domena ume
Lokalne, samo iz istog domena

Globalne grupe mogu da sadre:
Korisnike iz istog domena
Druge globalne grupe iz istog domena

Univerzalne grupe mogu da sadre:
Korisnike naloge iz bilo kog domena ume
Druge univerzalne grupe
Globalne grupe iz bilo kog domena ume

5.5.4 Rad sa sigurnosnim grupama
Veoma je vano unapred razmisliti o strukturi grupa. Kada se jednom ugnezde grupe sa mnogo lanova
(kao to su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa, od tog
trenutka treba samo da se premeta lanstvo u globalnim i univerzalnim grupama. Tako se tedi vreme i
pojednostavljuje dodeljivanje dozvola za objekte.
Neki dobri primeri ugnedavanja se mogu precrtati iz ema ugnedavanja koje se automatski postavljaju
u domenu. Jedan je ugnedavanje administratorskih grupa. Administrator nalog na Windows raunaru
svoju snagu crpe iz lanstva u lokalnoj Administratorskoj grupi. Ako se izvue Administrator izvan
Administrators grupe, nalog vie nee imati specijalne moi ni mogunosti. Aktivni direktorijum
automatski pravi globalnu Domain Admins grupu, iako toj grupi ne dodeljuje iroka administratorska
prava, kao to se moe pomisliti. Kada Windows postane kontroler domena, globalna grupa Domain
Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu.
Slika 5.24 prikazuje lanstvo lokalne grupe domena Administrators, za domen vts.ni.edu.yu. Ukupan
efekat ovog ugnedavanja je da je lan Domain Admins, ili Enterprise Admins grupe lokalni administrator
za svaki raunar, lana domena. Ovakvo podrazumevano ponaanje se moe zaobii tako to se Domain
Admins, ili Enterprise Admins ukloni iz lokalne grupe na raunaru. Ali to nije preporuka. lanstvo grupe
Domain Admins, ili Enterprise Admins u lokalnoj Administratorskoj grupi moe se zameniti njihovim
lanstvom u specifinim globalnim grupama, administratorskog tipa, kao to su F&A Admins ili CS
Admins.

Drugi primer za ugnedavanje grupa je lanstvo lokalne Users grupe. Na lanu domena, ili kontroleru
domena, Users automatski ukljuuje Domain Users. Kada se u domenu kreira novi korisniki nalog, novi
korisnik se automatski pridruuje Domain Users grupi. Efekat ovoga je da se korisnikom nalogu u
domenu automatski dodeljuju privilegije lokalnog korisnika za svaki raunar, lana domena. Korisniki
nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj
su dodeljena lokalna prava i dozvole na sistemu.
Nije loe pomenuti i par ostalih ugnedavanja. Domain Guests je automatski lan lokalne grupe Guests
na svim raunarima, lanovima domena, a Enterprise Admins (univerzalna grupa) je lan lokalne
Administrators grupe.

5.5.5 Ugraene lokalne grupe domena
Svi ugraeni korisniki nalozi, podrazumevano su smeteni u kontejner Users. U kontejneru Users
postoje i unapred definisane globalne grupe, ali neke od njih su smetene u kontejner BuiltIn. Kao to se
vidi na slici 5.25, grupe koje su u BuiltIn kontejneru su oznaene kao Builtin Local, a one koje su u Users
kontejneru, slika 5.26, su Domain Local, Global, ili Universal.
Sada se postavlja pitanje u emu je razlika? Lokalne grupe su specifine za raunar, a globalne se mogu
prihvatiti u domenu, ili u domenu od poverenja, kao to je gore ve reeno. Ugraene lokalne grupe, radi
administracije, imaju unapred odreena prava i dozvole. lanstvo u ovoj grupi korisniku daje svu mo i
mogunosti koje su date grupi. Ovo je nain da se brzo dodele dobro definisane administratorske uloge,
umesto njihovog pravljenja od poetka. Na primer, Server Operators imaju skup uroenih prava koja im
omoguavaju da prave deljene fajlove i upravljaju servisima. Backup Operators imaju pravo da zatitno
kopiraju fajlove i direktorijume, ak i ako nemaju dozvolu da ih itaju, ili menjaju. Tabela 5.2 daje spisak
ugraenih lokalnih grupa domena i njihove specijalne sposobnosti. Ugraene lokalne grupe su
zajednike za sve Windows sisteme iz istog mesta (server, radna stanica, DC) i pruaju pogodne
kontejnere grupama za dodelu lokalnog
administratorskog autoriteta. Ove grupe se ne mogu obrisati. Ipak, u kontejneru se mogu kreirati drugi
korisnici i grupe, iako oni nee imati nikakva posebna prava, osim ako im se ne dodele.

Tabela 5.2: Ugraene grupe i njihova prava
Korisnika prava lanovi mogu da
Grupa: Administrators
Lokalno logovanje Kreiraju i upravljaju korisnikim nalozima
Pristup ovom raunaru sa mree Kreiraju i upravljaju globalnim nalozima
Preuzimanje vlasnitva nad fajlovima Dodeljuju prava korisnicima
Upravljanje revizijama i bezbednosnim
logom
Upravljaju naelima revizije i bezbednosti
Promena sistemskog vremena Zakljuavaju konzole servera
Obaranje sistema Otkljuaju konzole
Forsirano obaranje sa udaljenog sistema Formatiraju hard disk servera
Povratak (restore) fajlova i direktorijuma Dre lokalne profile
Dodavanje i uklanjanje drajvera ureaja Dele i prestaju da dele direktorijum
Davanje vieg prioriteta procesu Dele i prestaju da dele tampa
Zatitno kopiranje (backup) fajlova i
direktorijuma
Kreiraju zajednike programske grupe
Grupa: Server Operators
Lokalno logovanje Zakljuavaju server
Promena sistema vremena Prelaenje preko toga to je server zakljuan
Obaranje sistema Formatiranje hard diska servera
Forsirano obaranje sa udaljenog sistema Kreiraju zajednike grupe
direktorijuma
Dre lokalni profil
Povratak (restore) fajlova i direktorijuma Dele i prestaju da dele direktorijum
Dele i prestaju da dele tampa

Grupa: Account Operators
Lokalno logovanje Kreiraju i upravljaju korisnikim nalozima, globalnim
grupama i lokalnim grupama
Obaranje sistema Dele i prestaju da dele tampa
Grupa: Print Operators
Lokalno logovanje Dre lokalni profil
Obaranje sistema Dele i prestaju da dele tampa
Grupa: Backup Operators
Lokalno logovanje Dre lokalni profil
Obaranje sistema
direktorijuma

Povratak (restore) fajlova i direktorijuma
Grupa: Everyone
Pristup ovom raunaru sa mree Zakljuavaju server
Grupa: Users
(Nema) Kreiraju i upravljaju lokalnim grupama
Grupa: Guests
(Nema) (Nema)
Grupa: Replicator
(Nema) (Nema)

Administrators. Administratori imaju skoro sva ugraena prava, pa su lanovi u sutini, svemogui u
vezi administracije sistema.
Backup operators. lanovi Backup Operators imaju pravo da zatitno kopiraju i vraaju fajlove, bez
obzira na to da li na drugi nain mogu da pristupaju tim fajlovima.
Server Operators. Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima
domena. lanovi mogu da kreiraju, upravljaju i briu deljene tampae na serverima, kreiraju, upravljaju i
briu deljene mrene resurse na serverima, zatitno kopiraju i vraaju fajlove na servere, formatiraju hard
diskove servera, zakljuavaju i otkljuavaju servere, otkljuavaju fajlove i menjaju sistemsko vreme.
Osim toga, Server Operators mogu na mreu da se loguju sa servera domena, kao i da obaraju servere.
Accounts Operators. lanovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju
korisnike naloge i grupe i da menjaju i briu veinu korisnikih grupa i naloga iz domena.
lan Account Operators ne moe da menja ni brie sledee grupe: Administrators, Domain Admins,
Account Operators, Backup Operators, Print Operators i Server Operators. Slino, lanovi ove grupe ne
mogu menjati, ni brisati korisnike naloge administratora. Ne mogu administrirati bezbednosna naela, ali
mogu dodavati raunare u domen, mogu se logovati na servere i obarati ih.
Print Operators. lanovi ove grupe mogu kreirati, upravljati i brisati tampae koje deli server. Osim
toga, mogu da se loguju na server i da obaraju server.
Power Users. Ova grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. lanovi
mogu kreirati korisnike naloge i lokalne grupe i upravljati lanstvom Users, Power Users i Guests, kao i
administrirati ostale korisnike i grupe koji su kreirali.
Users. Korisnici mogu da pokreu aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore i zakljuaju
radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira
lokalne grupe i upravlja grupama koje je kreirao.
Guests. Gosti mogu da se loguju i pokreu aplikacije. Mogu i da obore sistem, a u svakom drugom
pogledu imaju vea ogranienja nego Users. Na primer, ne mogu da dre lokalni profil.
Replicator. Ova grupa je strogo za replikaciju direktorijuma. Korisniki nalog se koristi za pokretanje
Replicator servisa i trebalo bi da je jedini lan grupe.
U kontejneru Users se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe,
kao deo konfiguracije odreenog servisa. Njihova namena moe da bude da se korisnicima omogui
pristup odreenom servisu (kao DHCP Users, ili WINS Users), ili da obezbede kontejner grupe za
administraciju servisa, kao u sluaju DHCP Administrators i DNS Admins. Ove i druge predefinisane
grupe mogu imati specijalna prava ili dozvole za odreene stvari, ali nemaju iroka prava i dozvole kao

Administratori, Server Operateri.
Windows 2003 ima nekoliko ugraenih globalnih grupa, izmeu ostalih Domain Admins, Domain Usres
i Domain Guests. One e se pojaviti samo na kontrolerima domena. Tabela 5.3 opisuje najvanije
ugraene globalne grupe.

Tabela 5.3: Ugraene globalne grupe

Grupa

ta radi
Domain
Admins
Postavljanjem korisnikog naloga u ovu grupu, korisniku se dodeljuju mogunosti
administratora. lanovi Domain Admins mogu da administriraju kuni domen, radne stanice
iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu
Domain Admins globalnu grupu domena. Podrazumeva se da je Domain Admins grupa lan i
Administrators lokalne grupe domena i Administratorskih lokalnih grupa svake Windows
radne stanice u domenu. Ugraeni korisniki nalog Administrator za domen je automatski
lan Domain Admins globalne grupe.
Ako je potvreno, spreava korisnika da promeni lozinku za nalog.
Domain
Users
lanovi Domain Users globalne grupe imaju normalan korisniki pristup i

sposobnosti kako za sam domen, tako i za svaku radnu stanicu u domenu. Ova grupa sadri
sve korisnike naloge iz domena i podrazumeva se da je lan svake lokalne Users grupe, na
svakoj radnoj stanici u domenu.
Domain
Guests
Ova grupa omoguava nalozima gosta da pristupaju resursima izvan granica domena, ako su
im to dozvolili Administratori domena.

5.6 Korisnika prava
Pristup korisnika mrenim resursima, fajlovima, direktorijumima, ureajima, u Windows-u kontrolie
se na dva naina: dodeljivanjem korisniku rights (prava) koja pruaju ili uskrauju pristup odreenim
objektima (na primer, mogunost da se loguju na server) i dodeljivanjem objektima permissions (dozvola)
koje odreuju kome je dozvoljeno da koristi objekat i pod kojim uslovima (na primer, davanje read
pristupa direktorijumu za odreenog korisnika).
Administratori za razliku od korisnika mogu da se loguju direktno na server, mogu da kreiraju korisnike i
rade zatitino kopiranje fajlova. Koriene Group Policy (grupna naela) kontrolie se ko e u Windows-u
dobiti koja prava. Prava korisniku daju ovlaenje da izvri odreeni sistemski zadatak. Na primer,
prosean korisnik ne moe jednostavno da sedne za Windows 2003 server i da se loguje direktno na
njega. Pitanje Mogu li lokalno da se logujem na server? je primer prava. Korisnika prava se mogu
dodeliti odvojeno jednom korisniku, ali iz bezbednosnih razloga, bolje je korisnika smestiti u grupu i
definisati prava koja su dodeljena grupi.
Dozvole se primenjuju na odreene objekte kao to su fajlovi, direktorijumi, i tampai. Da li mogu da
menjam fajlove u profesori direktorijumu na Serveru? je primer dozvole. Dozvole reguliu koji korisnici
mogu imati pristup objektu i na koji nain.
Pravilo je da korisnika prava imaju prednost nad dozvolama za objekat. Uzmimo za primer korisnika
koji je lan ugraene Backup Operators grupe. Na temelju lanstva u toj grupi korisnik ima pravo da
zatitno kopira server. Ovo zahteva mogunost gledanja i itanja svih direktorijuma i fajlova na
serverima, ukljuujui i one iji su kreatori i vlasnici izriito ukinuli Read dozvolu lanovima Backup
Operators grupe; tako da pravo da se izvodi zatitno kopiranje gazi dozvole date za fajlove i
direktorijume. Pravo Backup Operators grupe vai samo u saradnji sa Backup rutinom;
oni ne mogu tek tako da otvaraju fajlove na serveru i itaju njihov sadraj. Tako da ne treba brinuti za
privatnost.
Grupe ugraene u Windows-u 2003 ve imaju neka prava koja su im dodeljena, ali postoji mogunost
kreiranja novih grupa i dodeljivanja skupa korisnikih prava istim po sopstvenoj elji.
Da bi se videla ili menjala pridruena lokalna prava za korisnika ili grupu koji nisu na kontroleru domena,

treba otvoriti alat Local Security Policy, iz Administrative Tools grupe, ili se moe upotrebiti alat Domain
Controller Security Policy, za kontroler domena. Zatim treba otvoriti Local Policies/User Rights
Assignment. Spisak prava i korisnika ili grupa kojima su prava dodeljena prikazae se u oknu sa detaljima
desno (slika 5.27).
Da bi se korisniku ili grupi dodalo ili oduzelo pravo, treba dva puta kliknuti pravo prikazano u oknu sa
detaljima ili izabrati pravo klikom desnog tastera i biranjem opcije Security. Na slici 5.28 vide se Security
informacije o pravu na promenu sistemskog vremena. Da bi se pravo ukinulo grupi, treba istaknuti ime
grupe i izabrati Remove.
Da bi se grupa ili korisnik dodali listi treba izabrati Add i u okviru za dijalog Select Users or Groups,
otkucati ime ili izabrati Browse i selektovati ga. Tabele 5.4 prikazuje korisnika prava sa opisima.

Tabela 5.4: Korisnika lokalna prava

Korisniko pravo

Opis
Access this Computer from
the Network
Povezivanje na raunar preko mree
Act as a part of the
Operating System
Ponaati se kao deo pouzdanog operativnog sistema; Neki podsistemi imaju
ovu privilegiju
Add workstations to
Domain
Uiniti raunare lanovima domena
Backup Files and
Directories
Zatitno kopirati (Backup) fajlove i direktorijume. Kao to je ve pomenute
ovo pravilo potiskuje dozvole za fajlove i direktorijume
Bypass traverse checking Prepreiti preko drveta direktorijuma, ak, iako korisnik nema druga prava
pristupa na tom direktorijumu
Change the system time Postavljanje vremena za interni sat raunara
Create a pagefile Kreiranje pagefile-a

Create a token object

Kreriranje tokena za pristup. Samo Local Security

Authority bi trebalo da ima ovu privilegiju
Create permanent shared objects Kreiranje specijalnih stalnih objekata
Debug programs Debagovanje aplikacija
Deny access to this computer from
the network
Suprotno pravu Access this computer from the network; posebno
ukida prava korisnicima/grupama koji bi ih normalno imali
Deny Logon as a batch job Ukida pravo na logovanje kao batch posao
Deny Logon as a service Ukida pravo na logovanje kao servis
Deny Logon Locally Ukida pravo na lokalno logovanje
Enable computer and user acounts
to be trusted for delagation
Odreuje naloge koji e biti delegirani
Force shutdown from a remote
system
Prmorava raunar da se obori sa udaljenog sistema
Generate security audits Generie zapise audit loga
Increase quotas Poveava kvote objekata (svaki objekat ima dodeljenu kvotu)
Increase scheduling priority Podie prioritet procesu
Load and unload device drivers Dodaje i uklanja drajvere iz sistema
Lock pages in memory Zakljuava stranice memorije, da bi spreio njihovo izmetanje (na
primer, u pagefile.sys)
Logon as a batch job Loguje se na sistem kao batch queue usluga
Logon as a service Izvrava usluge bezbednosi (korisnik koji vri replikaciju se loguje
kao servis)
Logon localy Lokalno se loguje na sam server

Manage auditing and security log Odreuje koji tipovi dogaaja i pristupa resursima treba da se
prate, omoguava pregled i pranjenje security log-a
Modify firmware environment
values
Menja sistemske promenljive okruenja (ne promenljive
korisnikog okruenja)
Profile single process Koristi mogunosti profilisanja Windows-a za posmatranje procesa
Profile system performance Koristi mogunosti profilisanja Windows-a za posmatranje sistema
Remove computer from dotcking
station
Prenosivi raunar vadi iz njegovog stonog proirenja
Replace a process level token Menja pristupni token procesa
Restore files and directories Vraa i fajlove i direktorijume. Ovo pravo potiskuje dozvole za
fajlove i direktorijume
Shutdown the system Obara Windows 2003
Syncronize directory service data Aurira informacije u Aktivnom direktorijumu
Take ownership of files or other
objects
Preuzima vlasnitvo nad fajlovima, direktorijumima i drugim
objektima, iji su vlasnici bili drugi korisnici.

Mnoga prava, kao to su ono na debagovanje programa, ili ono na profilisanje jednog procesa, korisna
su samo programerima koji piu aplikacije koje e se izvravati pod Windows-om a veina nije data grupi
ili korisniku.

5.7 Group Policies
Organizacione jedinice (organisation unit - OU) su logiki kontejneri u domenu. One mogu da sadre
korisnike, grupe, raunare i druge OU, ali samo iz svog kunog domena. Globalne grupe, ili raunare iz
drugog domena ne mogu se smestiti u OU lokalnog domena.
OU su samo za administraciju. Administratori mogu da kreiraju i primenjuju grupna naela na OU, a
mogu i da delegiraju kontrolu nad OU. Ideja je imati delove domena, ali i dalje deliti zajednike
sigurnosne informacije i resurse. Grupisanje korisnika, grupa i resursa u organizacione jedinice prua
mogunost da se naela primenjuju mnogo finije i da se, takoe lake odlui ko ime upravlja i do kog
nivoa.
U emu se razlikuju OU i kontejneri? OU jeste kontejner, ali ne samo to. Kontrola nad kontejnerom se
moe delegirati, ali se na njega ne moe primeniti Group Policy. Po emu se OU razlikuju od grupa?
Korisnik moe biti lan mnogo grupa, ali samo jedne OU u jednom trenutku. Kao i grupe i OU mogu da
sadre druge OU. Imena grupa se pojavljuju u ACL-ovima, tako da se grupama mogu dodeliti ili ukunuti
prava. OU se ne pojavljuju u ACL-ovima, tako da se ne moe, na primer svima iz jedne organizacije
dodeliti pristup tampau. Sa druge strane, ne moe se svakome iz sigurnosne grupe pripisati odreeni
skup aplikacija, ali mogue je pripisati neki programski paket celoj organizacionoj jedinici.
Pomou grupnih naela moe se obaviti:
Objavljivanje ili dodeljivanje softverskih paketa korisnicima ili raunarima
Dodeljivanje Start-up, Shut Down, Log On i Log Off skriptova
Definisanje lozinke, zakljuavanje i revizija naela za domen
Standardizacija mnogih drugih parametara bezbednosti za udaljene raunare parametara koje je ranije
bilo mogue konfigurisati editovanjem Registra ili korienjem alata za konfigurisanje bezbednosti
drugih proizvoaa. Neke karakteristike, kao to su mogunosti nametanja lanstva u grupi i
konfigurisanja servisa u potpunosti su nove.
Definisanje i nametanje parametara za Internet Explorer
Definisanje i nametanje ogranienja za korisnike stone raunare
Preusmeravanje odreenih fascikli iz korisnikih profila ( kao to su Start Menu ili Desktop) na neku
centralnu lokaciju
Konfigurisanje i standardizacija parametara za nove mogunosti, kao to su offline fascikle, disk quote,
ak i sam Group Policy

Grupna naela se delom uvaju u Aktivnom direktorijumu a delom u SYSVOL tako da ne treba brinuti o
njihovoj replikaciji.

5.7.1 Koncepti Group Policy
Administratori konfiguriu i primenjuju grupna naela tako to grade objekte grupnih naela (Group
Policy Object -GPO). GPO su kontejneri za grupe parametara (naela) koji se mogu primeniti na
korisnike i grupe na mrei. Objekti naela se prave pomou Group Policy Object Editor-a, koji se obino
poziva preko kartice Group Policy iz DSA.MSC ili DSSITE.MSC. Isti GPO moe da odreuje skup
aplikacija koje treba da se instaliraju na stonim raunarima svih korisnika, primeni surovu politiku disk
kvota i restrikcija na Explorer Shell-u i definie lozinku za ceo domen i politiku zakljuavanja naloga.
Moe da se napravi jedan sveobuhvatan GPO ili vie razliitih po jedan za svaki tip funkcije.
U Group Policy Object Editor-u postoje dva glavna vora, User Configuration i Computer
Configuration. User Configuration naela se primenjuju na parametre specifine za korisnika, kao
to su konfiguracija aplikacije ili preusmeravanje fascikli, a Computer Configuration naela upravljaju
parametrima specifinim za raunar, kao to su kvote za diskove, revizije (auditing) i Event Log
Managment. Ipak, postoji i prilino preklapanje, pa nije neobino videti isto naelo i u User
Configuration i u Computer Congifuration vorovima. Treba biti spreman na dosta muke za vreme
traenja naela koje treba aktivirati i odluiti da li da se koristi korisniko ili raunarsko naelo i imati na
umu da se moe kreirati naelo koje koristi oba tipa parametara. Isto tako mogu da se kreiraju odvojeni
objekti za korisniku i raunarsku konfigiraciju.
Suprotno svom imenu, grupna naela uopte nisu usmerena na grupe. Moda se zovu grupna jer je
gomila razliitih konfiguracionih alata grupisana zajedno u jedan Object Editor. U svakom sluaju, ne
mogu se primeniti direktno na grupe, ni korisnike, ve samo na sajtove, domene i OU (to Microsoft
skrauje u termin SDOU). in dodele GPO-a sajtu, domenu ili OU zove se povezivanje (linking). GPO
moe biti povezan i sa lokalnim naelom odreenog Windows raunara. Veza GPO-SDOU moe biti
mnogo na jedan (mnogo naela primenjeno na jednu OU, na primer) ili jedan na mnogo (jedno naelo
povezano sa mnogo razliitih OU). Kada se poveu sa sajtom, domenom ili organizacionom jedinicom,
korisnika naela se primenjuju za vreme logovanja, a raunarska za vreme podizanja sistema. I jedna i
druga se periodino osveavaju.
Svaki objekat grupnih naela sadri mnoge mogue parametre za mnoge funkcije; obino se konfiguriu
samo neki od njih, a ostali e biti ostavljani neaktivni. Windows mora da proita celo naelo ali reaguje
samo na opcije koje su mu omoguene. Ipak kada se jednom konfigurie skup naela i kae AD-u da je,
da je na primer, ovaj GPO povezan sa vts.ni.edu.yu domenom, individualni parametri ili tipovi
parametara ne mogu se primeniti selektivno. Svi korisniki konfiguracioni parametri e se primeniti na
sve korisnike na Windows sistemima u povezanom domenu. Recimo da je kreiran GPO koji razvija set
standardnih Desktop aplikacija kao to su Word, Excel, Outlook i da je ubaena gomila shell restrikcija
kao bi se spreili korisnici da menjaju svoje konfiguracije. Ukoliko se ne eli da lanovi recimo IT gupe
podleu ovim besmislenim restrikcijama, mogue je uraditi par stvari. Moe da se za ova naela kreira
poseban GPO i povee sa kontejnerom nieg nivoa kao to je OU koja sadri sve regularne korisnike.
Meutim, ta OU bie jedina koja dobija Office aplikacije. Kao alternativa mogu se postaviti dozvole za
GPO to e spreiti da se naelo primeni na IT grupu (ovo se zove filtriranje). Ali ako se za reenje ovog
problema upotrebi filtriranje, na IT grupu uopte nee biti nita primenjeno na GPO. Primena grupnih
naela je sve ili nita tako da su ponekad za posebne funkcije, potrebna posebna naela. Moda je najbolji
nain pristupa ovome izrada GPO za raspored standarnog softvera ili GPO za shell restrikcije. Oba se
mogu primeniti na nivou domena, ali se shell restrikcije mogu filtrirati za IT grupu. Poenta je u tome da je
nemogue kreirati jedno naelo i onda odreivati ko dobija koje parametre to se i ne eli.
Parametri Group Policy su kumulativni i nasleeni iz kontejnera Aktivnog direktorijuma. Na primer,
domen vts.ni.edu.yu ima nekoliko razliitih GPO. Postoji naelo na nivou domena koje postavlja
restrikcije za lozinke, zakljuavanje naloga i standardne parametre bezbednosti. Svaka OU ima naelo za
irenje i odravanje standarnih desktop aplikacija, kao i preusmeravanje fascikli i restrikcije za desktop.
Korisnici i raunari koji su u i u domenu i u OU primaju parametre i od naela na nivou domena i od onih
na nivou OU. Dakle, opta naela se mogu primeniti na ceo domen, a sitnija u zavisnosti od OU.
Nasleivanje i akumulacija su jednostavni, sve dok naela koja se primaju od domena utiu na razliite
parametre od onih odreenih OU naelom. Naela se primenjuju sledeim redosledom: lokalno naelo,
sajtovi, domeni, organizacione jedinice, zatim OU unutar OU. Ako naelo domena kae: Mora biti
logovan da bi mogao da obori raunar, a OU naelo; dozvoli obaranje pre logovanja, OU naelo je

primenjeno poslednje i zato ima prednost. Ako jedno naelo kae: Zakljuaj, a sledee: Nije
konfigurisano, parametar ostaje zakljuan. Ako jedno naelo kae: Nije konfigurisano, a sledee:
Zakljuaj, parametar je, takoe, zakljuan. Zbog ovoga, poeljno je izbegavati ovakva neslaganja
meu naelima.
Block Inheritance je specijalan parametar koji spreava da naela procure sa vieg nivoa na nii. Kada je
ukljuen vrednosti viih naela se uopte nee primeniti u niim kontejnerima. Kada je za naelo
ukljueno No Override, vrednostima iz narednih naela je onemogueno da obru one iz naela sa
ukljuenim No override. Ako na primer administratori imaju niz spornih parametara koje su ukljuili na
nivou domena, a administratori sa drugog odseka su napravili sopstveni OU, sa sopstvenim naelima i
ukljuili Block Inheritance, organizaciona jedinica tog odseka e efektno izbegavati nametnute parametre
dok administratori domena ne ukljue No Ovverride.
Naela se ponovno primenjuju svakih 90 minuta, uz 30-minutnu nasuminost koja spreava da
kontroler domena bude istovremeno pogoen od strane desetina ili stotine raunara. Na kontrolerima
domena naela se osveavaju svakih 5 minuta i postoji naelo koje konfigurie upravo ovo. Izuzeci za
interval osveavanja ukljuuju preusmeravanje fascikli i instalaciju softvera. Oni se primenjuju samo pri
logovanju ili pri podizanju sistema.
Ako se otvori alat Group Policy koji stie uz Windows (GPEDIT.MSC) on se automatski fokusira na
lokalni raunar kao to je prikazano na slici 5.29. Administratori mogu da ga koriste kao to bi koristili i
alat Local Security Policy za konfigurisanje parametara naloga (kao to su minimalna duina lozinke i
broj propalih pokuaja logovanja pre zakljuavanja naloga) i podeavanje praenja (auditing).

5.7.2 Izrada grupnih naela
Da bi se u DSA.MSC otvorio Group Policy Object Editor treba kliknuti desnim tasterom ime domena u
korenu konzole i iz menija izabrati Properties. Kako bi se videlo koji GPO su povezani na nivou domena
treba prei na karticu Group Policy prikazanoj na slici 5.30.
Ako do sada nisu kreirana druga naela, videe se samo podrazumevano naelo domena. Da bi se
ukljuilo No Override, treba istaknuti naelo i izabrati Options, zatim potvrditi polje No Override (slika
5.31). Kada je ovo polje ukljueno, ostala naela, primenjena na donjim nivoima ne mogu nadjaati
vrednost ovog naela, ak ni sa Block Inheritance. Onemoguavanje naela ne onemoguava i sam
objekat. Na primer, isto naelo, onemogueno na nivou domena, teorijski bi moglo da se primeni na
nivou sajta, ili OU. Ako je neka opcija (No Override, ili Disabled) ukljuena, postojae znak pomou
kontekstualnog menija naela. Da bi se video kontekstualni meni, samo treba kliknuti desnim tasterom na
naelo.
U vts.ni.edu.yu listi sa svojstvima se izabere New, da bi se kreirao novi GPO. Windows e kreirati naelo
po imenu New Group Policy Object i dozvoliti da mu se promeni ime. Ako se ta prilika propusti i zavri
se sa naelom koje se zove New Group Policy Object, samo se istakne naelo, klikne se desnim tasterom
i, iz kontekstualnog menija se izabere Rename. Potom se izabere Properties, kako bi se videla i promenila
svojstva informacije novog objekta grupnih naela. Kartica General prikazana je na slici 5.32, prikazuje
informacije o izradi i reviziji, kao i opcije za onemoguavanje korisnikog, ili raunarskog dela naela. U
zavisnosti od naina na koji se podeli domen u organizacione jedinice, moe se odluiti da li e se neka
naela kreirati samo sa raunarskim parametrima, a neka samo sa parametrima karakteristinim za
korisnika. U tom sluaju, ako je neiskorieni deo GPO onemoguen u potpunosti, primena naela i
auriranje e se odvijati bre. Zbog toga e Windows traiti da se potvrdi postupak radi sigurnosti.
Kartica Links prua mogunost potrage za sajtovima, domenima, ili OU koji koriste ovaj GPO, ako takvi
postoje. Poto potraga za drugim linkovima zahteva vreme i resurse, povezani kontejneri nee biti
prikazani sve dok se ne izvri pretraivanje. Klikne se na dugme Find Now, kako bi se pretraga
pokrenula.
Kartica Security otkriva podrazumevane dozvole za GPO (slika 5.33). Istakne se ime sa vrha, da bi se u
donjem delu videle dozvole. Moe se zapaziti da Domain Admins i Enterprise Admins imaju dozvole
Read (itanje) i Write (pisanje), kao i Delete (brisanje) i Create Child Objects (izrada podobjekata), dok
Authenticated Users imaju samo Read i Apply Group Policy (primena grupnih naela). Read i Write su
neophodni za promenu naela a Read i Apply su neophodni primaocu naela.
Sada se treba vratiti na karticu Group Policy. Ako se istakne GPO koji je upravo kreiran i izabere dugme
UP (gore) ili Down (dole), naelo moe da se pomeri na gore ili na dole u prozoru. Ovo je vana injenica

koju treba znati: ako je na jedan kontejner povezano vie GPO-a, kao to se vidi na slici 5.34, oni e se
primenjivati od dna ka vrhu, tako da se onaj sa vrha primenjuje poslednji. Znai da GPO koji je na viem
mestu liste ima vii prioritet. Ako postoje parametri koji su u konfliktu, vie naelo pobeuje.
Kako bi se GPO obrisao, ili samo uklonio sa liste, istakne se naelo i izabere se Delete. Windows e
ponuditi opciju da se potpuno obrie, slika 5.35, ili da se ukloni sa liste, uvajui naelo koje se onda u
nekom trenutku moe povezati sa nekim drugim kontejnerom.
Na kartici Group Policy se izabere dugme Add, da bi se postojei GPO povezao sa eljenim
kontejnerom. Kao to se moe videti na slici 5.36, moe se potraiti GPO koji su povezani sa drugim
domenima/OU, ili drugim sajtovima, ili se moe zatraiti lista svih GPO-a. Klik na ime kontejnera (kao
to je OU elektronskiodsek.vts.ni.edu.yu), da bi se videla naela povezana sa njim. Zatim se istakne naelo
i izabere OK, kako bi se dodao listi na kartici Group Policy.
Sada treba izmeniti kreirano naelo. Na kartici Group Policy istakne se naelo i izabere se Edit. Ovo e,
u posebnom prozoru, otvoriti Group Policy Object Editor i videe se ime objekta naela u korenu
prostora za ime, u ovom sluaju Studenti Polisa [server.vts.ni.edu.yu] Policy. Ovo nagovetava da je
naelo ve gledano i editovano. Slika 5.37 prikazuje naelo razvijeno u drvo konzole, kako bi se videli
glavni vorovi objekata grupnih naela.
Kao to je ve pomenuto, postoje dva glavna tipa parametara. Parametri konfiguracije raunara se
primenjuju na raunaru pri podizanju i u odreenim intervalima osveavanja. Parametri korisnike
konfiguracije se primenjuju na korisnikovo radno okruenje pri logovanju i u odreenim intervalima
osveavanja.
Treba pomenuti nekoliko primera jer nisu sva naela konfigurisana na isti nain, bar to se interfejsa tie:
Da bi se u Software Settings\Software Installation specificirali softverski paketi, otvori se fascikla i
izabere se New Package iz Action menija. Okvir za dijalog Open e pitati za lokaciju paketa. Kada se
locira i selektuje, onda se konfiguriu njegova svojstva.
Da bi se zadao interval koji moe da se pokrene dok korisnik ne promeni lozinku, ide se u Computer
Configuration\Windows Settings\Security Settings\Account Policies\Password Policy, u desnom oknu sa
detaljima se klikne dva puta na Maximmum Password Age (maksimalna starost lozinke), omoguava se
ovaj parametar potvrivanjem polja Define this Policy Settings i odreuje vrednost vremenskog
intervala.
Da bi se podesilo naelo koje ograniava lanstvo u grupi, ide se u Restricted Groups, pod Security
Settings, u Computer Configuration\Windows Settings i izaber se Add Group iz Action Menu-a. Okvir za
dijalog trai da se unese grupa, ili da s potrai. Kada se grupa doda spisku u desnom oknu sa detaljima,
klikne se dva puta njeno ime kako bi se otvorio okvir za dijalog i daju se imena korisnika koja moraju
biti, ili im je dozvoljeno da budu lanovi grupe. lanstvo u grupi se moe definisati i za samu grupu.
Da bi se podesilo preusmeravanje fascikle, ide se na User Configuration\Windows Settings\Folder
Redirection i izabere se fascikla (na primer, Start Menu). Desno okno, sa detaljima, bie prazno. Klikne
se desnim tasterom u prazan prostor okna (ili se otvori Action Menu) i izabere se Properties. Pojavie se
list sa svojstvima gde se moe odrediti lokacija za Start Menu i treba konfigurisati parametre za
preusmeravanje.

Poenta svega ovoga je da Group Policy sadri vie razliitih vorova za postizanje razliitih zadataka, pa
e se procedure za konfigurisanje parametara razlikovati od vora do vora i od zadatka do zadatka.
Nema jednog naina za konfigurisanje parametara.
Kada se zavri sa konfigurisanjem parametara Group Policy, jednostavno se zatvori Group Policy
prozor. Nema opcije Save, ni Save Changes. Promene se upisuju u GPO, kada se izabere OK, ili Apply za
odreeni parametar i ako korisnik, ni raunar nee primetiti promenu sve dok se naelo ne osvei.

5.7.3 Filtriranje grupnog naela
Sada se treba vratiti na karticu Security, u listu sa svojstvima objekta grupnih naela: otvori se DSA.MSC
(ili DSSITE.MSC, u zavisnosti od toga gde je link). Klikne se desnim tasterom kontejner povezan sa GPO
(u ovom sluaju domen) i izabere se Properties. Izabere se kartica Group Policy i istakne se naelo koje
treba filtrirati. Izabere se dugme Properties i ide se na karticu Security (ponovo prikazana na slici 5.38).
Sada se vidi Access Control List (ACL) za objekat naela. Kao to je ve istaknuto, Domain Admins i
Enterprise Admins imaju Read i Modify dozvole, a Authenticated Users imaju Read i Group Policy. Moe

se desiti da je napravljeno naelo kojim se ograniavaju radne stanice, a ne eli se da se primeni na
odreenu grupu ljudi. Grupa Authenticated Users ukljuuje sve osim gostiju, tako da se podrazumeva da
e se naelo primeniti na sve osim gostiju, pa e ak i Domain Admins i Enterprise Admins primiti
parametre naela. Kako bi se spreilo da i Domain Admins i Enterprise Admins prime ovo neelo, mora se
u Deny koloni potvrditi polje pored Apply Group Policy (slika 5.39).
Onima koji su lanovi obe grupe je potreban Deny samo za jednu grupu, ali Deny polje se mora potvrditi
za obe grupe, za sluaj da lanovi Domain Admins i Enterprise Admins nisu isti ljudi. Kako bi se izuzeli
ostali od primanja naela, sve ih treba smestiti u sigurnosnu grupu i tu grupu dodati listi. Nije dovoljno ne
potvrditi polja za dodelu Read i Apply Group Policy jer korisnici iz specifine sigurnosne grupe su
lanovi iz Authenticated Users, tako da zapravo treba izabrati Deny opciju i za njih. Deny ima prvenstvo u
odnosu na Allow.
Ukoliko naelo treba filtrirati za odreeni raunar, (ili grupu raunara), primenjuje se ista strategija.
Doda se raunarski nalog u sigurnosnu grupu, doda se ta grupa u ACL za objekat naela, zatim se grupi
uskrate (Deny) Read i Apply Group Policy dozvole.
Postoji alternativa dodavanju sigurnosne grupe u ACL i u skraivanju Read i Apply dozvole. Mogue je u
popunosti ukloniti Authenticated Users iz ACL-a, ime se svi spreavaju od prijema grupnog naela.
Zatim bi se u ACL jednostavno dodali ulazi za sigurnosne grupe za koje se eli da prime naelo. Ipak,
treba biti siguran da im je dodeljeno i Read i Apply Group Policy.
Slika 5.40 prikazuje listu dozvola za blanket Studenti Policy iz koje je uklonjeno Authenticated Users i
dodata je grupa Studenti. Ova strategija je korisna ako se ne eli da se naelo primeni na sve raunare u
povezanom kontejneru.

VI Povezivanje klijenata na Windows 2003 Server

Poto su kreirani korisnici i dodeljena prava, potrebno je povezati klijente na server. Ovde e se povezati
radne stanice sa DOS, Windows 98 i Windows XP operativnim sistemom.

6.1 Povezivanje DOS radnih stanica
U ranijim verzijama Windows operativnih sistema, postojali su razni alati za podizanje mree.
Naravno, ovi alati su izostavljeni sa pojavom Windows 2000 sistema. Postavlja se pitanje zato je to tako.
Prvi razlog je taj da je Microsoft DOS proglasio za nepodrani operativni sistem. To znai da ukoliko
korisnik trai tehniku pomo za povezivanje DOS radne stanice na Windows 2000/2003 operativni
sistem, ostae uskraen iste. Drugi razlog za nedostatak DOS alatki na Windows 2003 Server CD-u je to
postoje poboljane verzije metode za instalaciju. U DOS-u nije mogue otvoriti CD drajv, staviti CD i
pokrenuti instalaciju. Umesto toga, potrebno je ubaciti disketu sa drajverima za CD drajv, instalirati ga,
pa tek onda se povezati na izvor instalacije. Uglavnom za prikljuenje DOS radne stanice na Windows
2003 server, potreban je instaliran DOS operativni sistem sa najmanje tri komponente:
config.sys koja uitava drajvere za mrenu karticu
autoxec.bat, ili config.sys koje uitavaju program za upravljanje mrenim funkcijama
alatke za rad u komandnoj liniji koje izvravaju komande na mrei, kao to je NET.EXE

Fokusiraemo se na treu komponentu, program NET.EXE, tj, na tri glavne funkcije NET komande. Prva
je LOGON koja klijenta prijavljuje na domen. Da bi se korisnik prijavio na domen sa korisnikim
akreditivom koji je ve definisan, ukucava se NET LOGON STUDENTI/ DOMAIN:VTS. Ovo je, dakle,
prijavljivanje sa korisnikim imenom STUDENTI, na domen VTS. Adresa domena je ime domena nieg
nivoa, a ne novo, puno ime domena vts.ni.edu.yu, jer DOS ne prepoznaje ovaj tip imena domena.
Sledea funkcija je VIEW. NET VIEW je naredba mnogo vanija za DOS klijente nego za bilo kog
drugog. Ovo je zbog toga to DOS nema ita koji bi mogao da prikae jednostavnu listu resursa na
mrei. Umesto toga, resursi se moraju pronai pomou naredbe NET VIEW. Postoje dva naina za
fokusiranje VIEW naredbe. Prvi je domen. Na primer, ukucavanje NET VIEW /DOMAIN:VTS e
obezbediti listu servera koji su registroani na VTS domen. Iz ove liste, moe se usmeriti naredba VIEW na
odreeni server sa listom zajednikih resursa. Ukoliko bi eleli da vidimo sve zajednike resurse na
serveru VTSSERVER trebalo bi da su ukuca NET VIEW \\VTSSERVER.

Sada kada je pronaen ciljni zajedniki resurs, koji je, u stvari, APPS u domenu VTS, potrebno je
povezati se sa njim. U stvari, moe se uraditi dosta toga, koristei programe i tampae putem NET
interfejsa, tako da je potrebna i oznaka za drajv ili port na koji se treba povezati. Unosi se USE. Ukoliko
je potrebno usmeriti se na drajv D: sa izlistanim serverom i zajednikim resursom, ukucava se NET USE
D: \\VTSSERVER\APPS. Ova naredba mora da bude u UNC formatu: \\imeservera\zajednikiresurs.
Slino, ukoliko se eli da se usmeri na LTP1 port za tampa zajednikog tampaa iz domena VTS sa
imenom CANON, trebalo bi ukucati NET USE LTP1: \\VTSSERVER\CANON.
Takoe, postoje i druge NET funkcije vredne pomena. NET LOGOFF odjavljuje korisnika sa domena na
koji je prijavljen. NET TIME \\VTSSERVER sinhronizuje sat na radnoj stanici sa onim
na serveru. NET PASSWORD /DOMAIN: VTS STUDENT staralozinka novalozinka menja staru lozinku
korisnika STUDENTI u novu.

6.2 Povezivanje Windows 98 radnih stanica
Povezivanje Windows 98 radnih stanica na mreu se moe vrlo lako obaviti. Pretpostavlja se da se ima
Plug and Play kojim se eliminiu sve sumnje vezane za instaliranje mrenih kartica, a umreavanje se
predstavlja kao bitna mogunost radne stanice. Drugim reima instaliranje i konfigurisanje svih mrenih
komponenti ne zahteva vie rada i znanja nego to bi bilo potrebno klijentima da sami obave instaliranje.
Teoretski, instaliranje komponenti za mreu u Windows-u 98 i napraviti ih sposobnim za komunikaciju sa
serverom je lako.
Za poetak, pretpostavlja se da je radna stanica potpuno opremljena i da radi pod operativnim sistemom
Windows 98 i da nema instalirane komponente. Poinje se u Network Control Panel-u (selektuje se
Start Settings Control Panel, a zatim se otvori Network aplet). Trebalo bi da se vidi jedan prazan okvir
za dijalog za konfigurisanje, kao to je prikazano na slici 6.1.
Potrebno je imati najmanje jedan tip klijenta za umreavanje, najmanje jedan protokol i najmanje jedan
mreni adapter. Dodatno, mogu se dodati usluge, kao to su zajedniki fajlovi i zajedniko tamanje.
Poto verovatno nita od ovoga ne postoji pritisne se dugme Add. Sada e Windows pitati koja se vrsta
komponente eli instalirati (slika 6.2).
Poinje se sa dodavanjem adaptera. Iz liste sa tipovima komponenti, selektuje se adapter, zatim se
pritisne Add jo jednom, kako bi se otvorio okvir za dijalog prikazan na slici 6.3.
U okviru za dijalog Select Network Adapters, videe se sa leve strane lista proizvoaa adaptera, a sa
desne strane odgovarajui adapteri. Izabere se odgovarajui adapter i pritisne se OK. Ukoliko se
adapter ne nalazi na listi, potrebno je kliknuti na dugme Have Disk i locirati odgovarajue drajvere za
adapter. Nakon brzog kopiranje jednog ili dva fajla, ponovo e se pojaviti aplet Network Control Panel.
Adapter je beskoristan bez klijenta kome e biti dodeljen i protokola pomou koga e komunicirati.
Windows ovo zna i da bi olakao, on sam instalira skup unapred odreenih vrednosti. U Windows 98 kao
to se moe videti na slici 6.4, uzima se Client for Microsoft Network, i jedino je dostupan protokol
TCP/IP.
Iz odgovarajuih razloga TCP/IP je automatski konfigurisan da koristi DHCP. Ukoliko je potrebno ovo
promeniti, kako bi se konfiguracija prilagodila odgovarajuem okruenju, moe se izabrati protokol iz
Network Control Panel-a, a zatim da se selektuje Properties.

6.2.1 Prikljuivanje na mreu
Kao to je prikazano na slici 6.4, kao dodatak tabulatoru Configuration, nai e se dva dodatna
tabulatora u Network Control Panel-u. Posebno treba obratit panju na tabulator Identification, koji je
prikazan na slici 6.5.
Kao to se moe videti ime novog raunara je Student1. Ime raunara mora da bude jedinstveno, ba kao
na Windows 2000/2003 raunarima. Radna grupa je VTS.
Za razliku od Windows NT-a, Windows 98 raunar ne mora da pripada domenu, da bi mogao da se
prijavi na taj domen. Ovo omoguava da se bude u jednoj radnoj grupi, a da se bude prijavljen na bilo
koji domen. Ide se na tabulator Configuration, Network Control Panel-a, gde se mogu oznaiti svojstva
Client for Microsof Network klijenta, ili duplim klikom mia, ili tako to e se selektovati, a zatim izabrati
opciju Properties. Videe se okvir za dijalog na slici 6.6
tiklirajui opciju Log on to Windows NT domain, saoptava se radnoj stanici da se verifikacija obavlja
sa korisniim nalogom zvaninog domena, pre nego to se ue u operativni sistem. U okvir Windows NT
Domain, unosi se domen gde se nalazi korisniki nalog.

Od ovog trenutka, dobie se okvir za dijalog sa zahtevom za prijavljivanje na mreu, uvek kada se
podie operativni sistem radne stanice. Promena lozinke je, takoe, jednostavna. Ukoliko lozinka nestane
dobie se poruka, zajedno sa posebnim okvirom za dijalog u kome e se izmeniti (slika 6.7).
Sada, kada je radna stanica prikljuena na mreu, potrebno je pronai i povezati se sa resursima koji e
dovesti do mree. Resursi se pronalaze tako to se dva puta klikne na ikonicu Network Neighborhood na
Desktop-u (Network Neighborhood je prikazan na slici 6.8).
Ono to se trai u Network Neighborhood-u je lista za pretraivanje radne grupe ili domena, ukoliko je
ime isto. Duplim klikom server otkriva listu zajednikih resursa na njemu.
Zatim se moe videti da je jedini zajedniki resurs Windows (ukoliko postoji bilo koji zajedniki
tampa, on e takoe, biti vidljiv ovde). Moe se pretraivati i dublje unutar fajlova i potfascikli
zajednike fascikle, ili usmeriti drajv direktno do zajednikih resursa, tako to se desnim tasterom klikne
na zajedniki resurs i izabere se Map Network Drive. Kako bi se prikljuili na tampa, treba izabrati
Start Settings Printers; tamo izabrati Add Printer i selektuje se resurs.
Postoji jo jedna karakteristika za Windows 98 klijente. Na Windows 2003 CD-u pod direktorijumom
Clients je direktorijum Win9X. U njemu e se nai samo jedan izvrni fajl, koji instalira Directory Service
Clients za Windows. Ovaj Directory Service Clients omoguava Windows 9x klijentu da vidi novi Active
Directory u Windows-u 2000/2003. Instalira se jednostavnim kliktanjem dugmeta Next, a nakon toga se
restartuje raunar. Nema konfigurisanja i nema nikakvog selektovanja.
Sada postoji instaliran Aktivni direktorijum. On donosi nove alate ali nema novoinstaliranih programa.
Najvanije su nove opcije i mogunosti u meniju Find u Windows Explorer-u. Predhodno u File Menu-ju
nije bila dostupna mogunost Printers. Druga nova opcija je integrisana sa novom verzijom Windows
Adress Book-a; ona omoguava da se pronau ljudi koji se nalaze u Aktivnom direktorijumu. (Windows
Adress Book se aurira tokom instaliranja Aktivnog direktorijuma). Oigledno, ova kratka instalacija ne
daje direktan pristup u sredite Aktivnog direktorijuma, ali daje osnovne i obavezne funkcije, kako bi se
Aktivni direktorijum napravio javnim resursom koji je dostupan Windows 98 klijentima.

6.3 Povezivanje Windows XP radnih stanica
Windows XP radne stanice su u odnosu na Windows 98 klijente, mnogo spremnije za umreavanje. Sve
osnovne komponente za umreavanje su ve prisutne i ukljuene u osnovnu instalaciju Windows-a, tako
da sada treba samo napraviti pregled kroz kljune zahteve.
Windows XP po unapred definisanom rasporedu, instalira sve potrebne komponente. Ipak ukoliko to nije
sluaj, ili je iz bilo kog drugog razloga mrena kartica ostala neistalirana, treba uraditi sledee. U Control
Panel-u, treba duplim klikom odabrati ikonu sa nazivom System. Potom se pojavljue okvir System
Properties gde treba izabrati karticu Hardware/Device Manager. Pojavie se lista svih instaliranih
komponenti u sistemu. Pored mrenog adaptera (ukoliko nije instaliran kako treba), stajae uzvinik.
Duplim klikom na mreni adapter se otvara Properties za taj adapter, gde se otvara Wizard za instalaciju
adaptera. Potrebno je rei Reinstall Drivers i korisnik e biti upitan da izabere neki od ponuenih
adaptera ili da navede lokaciju gde se nalazi odgovarajui drajver klikom na opciju Have Disk (slika 6.9).
Oigledno, osnove umreavanja se nalaze u mrenom adapteru, pa e se instalacijom adaptera instalirati i
sve ostale potrebne komponente (slika 6.10).
U stvarnom svetu server e u 99% sluajeva imati statiku IP adresu. Za radne stanice, ipak e skoro
uvek preovladavati smenjeni administratorski zahtevi protokola DHCP. Dakle ukoliko se dva puta klikne
na Internet Protocol (sa slike 6.10) dobie se okvir gde se treba odluiti hoe li radna stanica imati
statiku IP adresu ili DHCP adresu (slika 6.11). U dnu ovog ovkira stoji
mogunost podeavanja i DNS servera koji e radna stanica koristiti. Dakle ovde treba uneti IP adresu.
Sve promene treba potvrditi sa OK.
Ostalo je jo radnu stanicu pridruiti domenu. Opet se bira u Control Panel-u ikona System, ali ovoga
puta se ide na karticu Computer Name. Za pridruivanje stanice domenu u dnu ovog okvira se bira opcija
Change. Pojavljuje se okvir sa slike 6.12. U polje Computer Name se unosi ime raunara koje e biti i
ime u domenu, dok se u polje Member Of unosi ime domena kome e stanica pripadati, vts.ni.edu.yu. Vri
se potvrda sa OK. Potrebno je resetovati raunar i pri sledeem logovanju stajae Log On prozor koji e
traiti korisniko ime i lozinku za pristup domenu. Ukoliko se ne eli pristupiti domenu unosi se
korisniko ime za lokal. Sada se mogu pretraivati resursi Servera kroz My Network Places, naravno
ukoliko su dodeljene odgovarajue dozvole.

VII as Mreni servis DHCP

7.1 IP ADRESE I ETHERNET ADRESE
U svakoj vrsti komunikacije izmeu dva subjekta najbitije je da oni budu jedinstveno odreeni
kako bi ta komunikacija mogla da se uspostavi. Najednostavnije je da ti subjekti imaju svoju jedinstvenu
adresu preko koje su tano prepoznatljivi i odreeni. Tako i svaki raunar koji je povezan na neku mrenu
strukturu, mora da ima jedinstvenu adresu preko koje bi bio prepoznat na njoj. Raunari su obino
povezani na mreu pomou Ethernet kartice, a svaka Ethernet kartica ima dve adrese: jednu IP adresu i
jednu Ethernet adresu. Postoje naravno i drugi naini za pristupanje nekoj mrenoj strukturi, ali mi emo
se drati ovog Ethernet primera, kao najprostijeg i najrasprostranijegt na TCP/IP mreama.

7.1.2 Ethernet adrese
Svaka Ethernet adresa, koja se jo naziva i MAC adresa (Media Access Control), na Ethernet kartici,
predstavlja jedinstveni 48-bitni kod, koji nudi 280 000 000 000 000 (280 biliona) mogunosti. Sam
Ethernet koristi priblino jednu etvrtinu od ovog broja (po dva bita se ostavljaju sa strane za
administrativne funkcije), ali to je i dalje mnogo moguih adresa. MAC adresa je unapred odreena i
ukodirana na ploi, i predstavljena je pomou 12 heksadecimalnih digita. Na primer, 00 20 AF F8 E7 71
ili, kao to se ponekad pie 00-20-AF-F8-E7-71. Ove adrese se administriraju iz jednog centra i prodavci
Ethernet ipova moraju da nabavljaju blokove adresa. U naem primeru, prefiks 00-20-AF je u vlasnitvu
3Com-a tako da sve MAC adrese na 3Com-ovim karticama poinju sa ovim prefiksom. MAC adresa se
obino naziva i adresom drugog sloja jer pripada sloju podataka u 7-slojnom OSI modelu.

7.1.3 IP adresiranje
Prepoznavanje raunara putem MAC adrese moe da predstavlja jako veliki problem a naroito na viim
slojevima u OSI referentnom modelu. Poto se ovde radi o tkz. ravnom, linijskom adresnom prostoru bilo
kakvo grupisanje raunara predstavlja jako veli problem. Problem se jo vie uslonjava ako je potrebno
uspostaviti vezu izmeu dva raunara koji nisu direktno povezani ve se veza uspostavlja preko vie
raunara tj. mrenih ureaja. Da bi se to ostvarilo potrebno je pamtiti sve MAC adrese tih
raunara/ureaja na jednom mestu (tkz. tabele rutiranja) a to ni malo nije lak zadatak jer se radi o velikom
broju podataka. Zamislite samo Internet i neki ureaj koji treba da pamti MAC adrese svih raunara na
njemu kao i ureaja koji treba da pomognu kod uspostavljanja veza. Oigledno je da je to nemogue. Zato
je potrebno da se celokupni adresni prostor hijerahijski organizuje tj. grupie u vie adresibilnih celina
koje e obuhvatiti vie raunara. Zato je i uvedeno IP adresiranje koje prestavlja hijerahijski adresni
prostor. Svaki TCP/IP raunar se identifikuje na osnovu logike IP adrese. IP adresa je adresa mrenog
sloja i potpuno nezavisna od adrese sloja veze za prenos podataka (kao to je MAC adresa). Jedinstvena
IP adresa je neophodna za svaki raunar i mrenu komponentu koji za komunikaciju koristi TCP/IP. IP
adresa identifikuje lokaciju sistema na mrei isto kao to adresa ulice pokazuje kojoj se gradskoj etvrti
nalazi odreena zgrada. Kao to adresa ulice mora da se odnosi na jedinstveno mesto prebivalita, tako i
IP adresa mora da bude globalno jedinstvena i da ima jedinstveni format. Svaka IP adresa sastoji se od
adrese mree (mreni ID) kojoj taj raunar pripada i adrese raunara (ID raunara).
Mreni ID identifikuje jednu grupu raunara, koji se nalaze na istoj fizikoj mrei, koja je ograniena IP
ruterima. Svi sistemi na istoj fizikoj mrei moraju imati isti mreni ID. Mreni ID mora biti jedinstven
za sve meusobno povezane mree. (Pod terminom mreni ID podazumeva se svaki broj IP mree, bez
obzira na to da li je on zasnovan na klasama mrea, na podmreama ili nadmreama).
ID raunara oznaava radnu stanicu, server, ruter ili drugi TCP/IP ureaj na mrei. Adresa svakog
raunara mora biti jedinstvena u odnosu na mreu kojoj pripada.
IP adresa ima 32 bita. Umesto da se radi sa svih 32 bita odjednom, uobiajeno je da se IP adresa podeli u
etiri 8-bitna polja koja se nazivaju okteti. Svaki oktet se konvertuje u decimalni broj (brojni sistem sa
osnovom 10) u rasponu od 0 do 255 i odvaja se takom (.). Ovaj format se naziva decimalna notacija sa
takama. Primer IP adrese u binarnom i decimalnom formatu izgleda ovako:
11000000 10101000 00000011 00011000 192.168.3.24
Notacija w.x.y.z se koristi kada je re o generalizovanoj IP adresi, koja je prikazana na slici 1.6


Kako se vrednost od 8 bitova moe rangirati od 0 do 255, svaka vrednost u notaciji w.x.y.z moe biti u
rasponu od 0 do 255. Na primer, da bi konvertovali jednu IP adresu
11001010000011111010101000000001 u format ove notacije, potrebno je da je prvo podelimo u grupe
od 8 bitova: 11001010 00001111 10101010 00000001. Svaki od ovih 8-bitnih brojeva treba
konvertovati u njegov decimalni ekvivalent i tako dobijamo IP adresu koja se koristi 202.15.170.1.
7.1.4 Klase adresa
Da bismo lake prepoznavali pojedine IP adrese zajednica korisnika Interneta je na poetku definisala pet
klasa adresa da bi se obuhvatile mree razliitih veliina. Microsoftov TCP/IP podrava adrese klasa A, B
i C koje se dodeljuju raunarima. Klasa adresa definie mogui broj mrea i broj raunara po mrei.
Klasa A - Adrese klasa A su dodeljene mreama sa vrlo velikim brojem raunara. Bit najvee vanosti u
adresi klase A je uvek postavljen na nulu. Sledeih sedam bitova (koji dovravaju prvi oktet) odreuju
mreni ID. Ostala 24 bita (poslednja tri okteta) predstavljaju ID raunara. Ovim se omoguava 126 mrea
i 16 777 214 raunara po mrei. Na slici 1.8 prikazana je struktura adresa klase A.

Klasa B - Adrese klase B su dodeljene mreama od srednjih do velikih dimenzija. Dva bita najvee
vanosti u adresi klase B su uvek postavljena na binarnu vrednost 1 0. Sledeih 14 bitova dovravaju
mreni Id. Preostalih 16 bitova (zadnja dva okteta) predstavljaju ID raunara. Ovim se omoguava 16384
mree i 65534 raunara po mrei. Na slici 1.9 prikazana je struktura adresa klase B.

Klasa C - Adrese klase C se koriste za male mree. Tri bita najvee vanosti adrese klase C uvek su
postavljena na binarnu vrednost 1 1 0. Sledeih 21 bita (koji sa prva tri sainjavaju prva tri okteta)
dovravaju mreni ID. Preostalih 8 bita (zadnji oktet) predstavljaju ID raunara. Time je omogueno 2
097 152 mrea i 254 raunara po mrei. Na slici 1.10 je prikazana struktura adresa klase C.

Klasa D - Adrese klase D su rezervisane za IP adrese sa vieznanim upuivanjem. etiri bita najvee
vanosti u adresi klase D su uvek postavljena na binarnu vrednost 1110. Preostali bitovi odreuju adresu
koju prepoznaju zainteresovani raunari. Microsoft podrava adrese klase D u aplikacijama za vieznano
upuivanje podataka na raunare koji su opremljeni za takav prenos u okviru meumrene strukture.
Klasa E - Klasa E je eksperimentalna adresa namenjena buduoj upotrebi. Bitovi najvee vanosti u
adresi klase E su postavljeni na 1 1 1 1. Tabela 1.2 je zbirni pregled adresa klase A, B i C koje se mogu
koristiti za IP adrese raunara.

A 1-126 w x.y.z 126 16 777 214
B 128-191 w.x y.z 16384 65 534
C 192-223 w.x.y z 2 097 152 254
* Adresa klase A 127.x.y.z je rezervisana za testiranje povratne petlje i komunikaciju izmeu procesa na
lokalnom raunaru.

7.1.5 Rezervisane adrese
Postoje neka specijalna pravila za IP adrese. Postoji itav skup brojeva koje nikada ne moemo dodeliti
nekoj maini. To su:
Usvojena route adresa - Adresa 0.0.0.0 je drugi nain da kaemo "ceo Internet". Ali kako je 0.x.x.x skup
adresa klase A i sve ove 0.x.x.x moraju biti ostavljene sa strane, svih 16 miliona.
Loopback adresa - sve adrese koje zapo~inju sa adresom 127 u prvom bajtu nisu validne izvan lokalnog
ra~unara. Adresa 127.0.0.1 (koja spada u opseg adresa A klase) uobi~ajeno se naziva adresom povratne
petlje (loopback) i koristi se za testiranje lokalnog TCP/IP steka da bi se utvrdilo da li su konfiguracija i
funkcionisanje korektni. Ako aljemo poruku za 127.0.0.1, poruka e nam se vratiti, ukoliko ne postoji
neki problem u samom IP softveru; poruka poslata za loopback ne odlazi na mreu ve ostaje unutar IP
softvera odreene maine.
Mreni broj - Ponekad je potrebno jednim jedinstvenim brojem odrediti celu podmreu. Na primer, da
bismo rekli ruteru, " Da bi ova poruka stigla na podmreu ije je podruje od 100.100.100.0 do
100.100.100.255, prvo je usmeri u ruter 99.98.97.103", imamo vie naina za oznaavanje podruja
adresa 100.100.100.0 - 100.100.100.255. Adresa koja se zavrava binarnim nulama je rezervisana za
mreni broj. U naem 100.100.100.x primeru, krai nain za obeleavanje, koji se tie adresa od
100.100.100.0 do 100.100.100.255 je "100.100.100.0". Drugim reima kada se 0 koristi u mre`nom delu
adrese tada ona ozna~ava trenutnu mreù
IP broadcast adresa - Postoji jo jedna rezervisana adresa, - TCP/IP broadcast adresa. Ona lii na adresu
jedne maine, ali nije to; to je adresa koju bi koristili za broadcast svake maine na podmrei. Tu adresu
ine sve binarne jedinice.
Adresa usvojenog rutera - Svaka podmrea ima najmanje jedan ruter; u stvari, kad podmrea ne bi
imala ruter, onda ne bi mogla da ostvari komunikaciju sa drugim mreama, pa ne bi bila intranet. Po
konvenciji, prva adresa posle mrenog broja je adresa usvijenog gejtveja (rutera).
Intranet adrese - Ma koliko da je adresni prostor, koji dozvoljava dodelu IP adresa, veliki on je ipak
konaan i da ne postoji jedna tehnika poznata kao NAT (Network Adress Transslation) on bi brzo bio
dostignut. Prevoenje mrenih adresa (NAT) moe da se koristi sa usmerivaima, tako da moete da
koristite samo adresni prostor svoje interne mree, dok su usmerivau koji predstavlja vezu prema
Internetu dodeljuje jedna ili vie stvarnih registrovanih adresa. Koristei NAT, taj usmeriva moe da

manipulie IP adresama i portovima, odnosno da se ponaa kao proxy server za klijente u internoj mrei
kada komuniciraju sa spoljanjim svetom. U praksi su poznata nekoliko opsega koji su opet putem RFC
dokumenta broj 1918 definisana za upotrebu u lokalnim Intranet okruenjima i to su:
10.0.0.0 do 10.255.255.255
172.16.0.0 do 172.31.255.255
192.168.0.0 do 192.168.255.255
Sve ove adrese nisu validne za Internet pa prema tome vi{e privatnih mreà mogu da koriste ove ospege
za definisanje svog Intranet okruènja.

Uzimaju}i u obzir sve ove izuzetke onda dolazimo do stvarnog broja mreà i ra~unara koje moèmo da
adresiramo u svakoj klasi i on izgleda ovako:
Klasa A 126 mreà 16 777 214 ra~unara
Klasa B 16 384 mreà 65 534 ra~unara
Klasa C 2 097 152 mreè 254 ra~unara.

7.1.6 Maske podrmrea
Sa uvoenjem podmrea, vie se ne moe oslanjati na IP klase adresa da bi se odredio mreni ID u IP
adresi. Potrebna je nova vrednost da bi se utvrdilo koji deo IP adrese predstavlja adresu mree, a koji
adresu raunara, bez obzira na to da li se koriste klasno zasnovane adrese mree ili adrese podmree. RFC
950 (Request for Comments) definie korienje maske podmree (koja se jo naziva i maska adrese) kao
32-bitnu vrednost pomou koje se u nekoj IP adresi odreuje razlika izmeu adrese mree i adrese
raunara. Bitovi maske podmree definiu se na sledei nain: svi bitovi koji odgovaraju adresi mree
postavljeni su na vrednost 1 a svi bitovi koji odgovaraju adresi raunara postavljeni su na vrednost 0.
Svaki raunar u TCP/IP mrei zahteva masku podmree ak i na mrei sa samo jednim segmentom. U
sklopu svakog TCP/IP vora nalazi se ili podrazumevana maska podmree, ako koriste adrese mree
definisane na nivou klasa, ili namenska maska podmree, koja se koristi prilikom pravljenja podmrea ili
nadmrea.

7.1.6.1 Prikazivanje maski podmrea u decimaloj notaciji sa takom
Maske podmrea se esto prikazuju u decimalnoj notaciji sa takama. Kada su bitovi odreeni za adresu
mree i za adresu raunara, 32-bitni broj koji se tako dobije konvertuje se u decimalnu notaciju sa
takama. Obratite panju na to da maska podmree, iako izraena u decimalnoj notaciji sa takama, nije
IP adresa. Podrazumevana maska podmree zasnovana je na klasama IP adresa i koristi se na TCP/IP
mreama koje nisu podeljene na podmree. Tabela 1.3 pokazuje podrazumevane maske podmree koje
koriste format decimalne notacije sa takama.

A 11111111 00000000 00000000 00000000 255.0.0.0
B 11111111 11111111 00000000 00000000 255.255.0.0
C 11111111 11111111 11111111 00000000 255.255.255.0

Namenske maske podmree se razlikuju od ovih podrazumevanih maski podmrea i koriste se prilikom
pravljenja podmrea ili nadmrea. Na primer, 138.96.58.0 je 8-bitna adresa podmree mree 138.96.0.0
klase B. Osam bitova klasno zasnovane adrese raunara koriste se za oznaavanje adresa podmrea.
Maska podmree koristi ukupno 24 bita (255.255.255.0) da bi definisala adresu podmree. Adresa
podmree i njoj odgovarajua maska podmree u decimalnoj notaciji sa takama su: 138.96.58.0,
255.255.255.0

7.1.6.2 Oznaavanje maske podmree pomou duine mrenog prefiksa
S obzirom na to da se bitovi za adresu mree moraju izabrati po redu iz grupe bitova vee vanosti, maska
podmree oznai mrenim prefiksom koristei za to notaciju: /<broj bitova>. U tabeli 1.4 prikazane se
podrazumevane maske podmrea koje koriste ovu notaciju mrenog prefiksa.

A 11111111 00000000 00000000 00000000 /8
B 11111111 11111111 00000000 00000000 /16
C 11111111 11111111 11111111 00000000 /24
Na primer, mrena adresa klase B 138.96.0.0 sa maskom podmree 255.255.0.0 bi u notaciji mrenog
prefiksa bila prikazana kao 138.96.0.0/16.
Kao primer namenske maske podmree, 138.96.58.0 je 8-bitna adresa podmree mree klase B. Maska
podmree koristi ukupno 24 bita za odreivanje mrenog ID-a podmree. Mreni ID podmree i njena
odgovarajua maska se zato u notaciji mrenog prefiksa izraavaju kao: 138.96.58.0/24.
Notiranje mrenog prefiksa je poznato i kao notiranje besklasnog meudomenskog usmeravanja
(Classless Interdomain Routing, CIDR).

7.1.6.3 Odreivanje adrese mree
Za izdvajanje adrese mree iz neke IP adrese korienjem proizvoljne maske podmree, IP koristi
matematiku operaciju nazvanu logiko I. U operaciji logiko I, rezultat poreenja dva elementa je istinit
samo kad su oba elementa istinita; inate rezultat je neistinit. Ako ovaj princip primenimo na bitove,
rezultat je 1 kad su oba uporeenja bita jednaka 1, inae je rezultat 0. IP izvrava operaciju logiko I sa
32-bitnom IP adresom i 32-bitnom maskom podmree. Ova operacija je poznata kao logiko I na nivou
bitova. Rezultat operacije logiko I na nivou bitova kada se primeni na IP adresu i masku podmree
predstavlja mreni ID.
Na primer: Koji je mreni ID IP vora 129.56.189.41 sa maskom podmree 255.255.240.0 ?
Da bismo doli do rezultata, pretvorimo oba broja u njihove binarne ekvivalentne i poravnjajmo ih, jedan
iznad drugog. Zatim izvrimo operaciju logiko I na parove svih bitova i zapiemo rezultat.
10000001 00111000 10111101 00101001 IP adresa 11111111 11111111 11110000 00000000 maska
podmree 10000001 00111000 10110000 00000000 mreni ID
Rezultat izvrenja logikog I na nivou 32 bita IP adrese i maske podmree je mreni ID 129.56.176.0.

TCP\IP infrastruktura: DHCP (Dynamic Host Configuration Protocol)
Mree Microsoftovih operativnih sistema, koje se zasnivaju na TCP/IP protokolu, zahtevaju
primenu tri tehnologije, kako bi postigle uspenu IP konfiguraciju i upravljanje nazivima: Dynamic Host
Configuration Protocol (DHCP), Domain Name System (DNS) i Windows Internet Name Service
(WINS). Iz ove uvene trojke jedino WINS, u izvesnoj meri, predstavlja arhaizam, odnosno tehnologiju
koju, bar prema teoriji, moete potpuno zaboraviti.

7.2.1 BOOTP
Praenje upotrebljenih IP adresa i maina kojima su one dodeljene predstavlja neinventivan,
mehaniki posao, onaj posao u kome su raunari tako dobri i zbog kog su, u krajnjoj liniji, i izmiljeni.
Kao posledica ovog, nastao je jedan TCP/IP protokol, pod nazivom bootstrap protocol (doslovno,
bootstrap predstavlja konu traku, savijenu i uivenu, za vrh izama, sa one strane gde ulazi noga, radi
lakeg obuvanja; stoga bi se, u prenosno znaenju, termin bootstrap protocol mogao prevesti kao
pomoni protocol). U skraenom obliku, ovaj protokol se obino naziva BOOTP. Radi upotrebe
BOOTP protokola, mreni administrator mora najpre prikupit listu MAC adresa za svaku karticu. Nakon
toga, administrator e svakoj MAC adresi dodeliti po jednu IP adresu. Jedna ovakva tabela, sa
odgovarajuim parovima MAC adresa/ IP adresa se obino uva na nekom serveru, unutar intraneta date
kompanije. Na taj nain, kada neka BOOTP-kompatibilna radna stanica zapone svoj radni dan, ona e
preko mree emitovati svoj zahtev za dodelu odgovarajue IP adrese. BOOTP server e prepoznati MAC
adresu raunara-odailjaa i automaatski dodeliti odgovarajuu adresu ovoj radnoj stanici. Prema tome,
BOOTP je predstavljao (i jo uvek predstavlja) sasvim prikladan nain za konfigurisanje TCP/IP
protokola na nekom udaljenom raunaru, bez potrebe da mu fiziki pristupamo.


7.2.2 DHCP
Sposobnost BOOTP-a da IP adrese dodeljuje sa jedne centralne lokacije jeste sjajna, ali nije
dinamika, dok sa druge strane, u dananjem svetu PC raunara, mi nismo ni najmanje zainteresovani za
preuzimanje bootstrap programskog koda sa nekog centralnog servera; butovanje svojih raunara danas
obino vrimo sa lokalnog, read-only memorijskog ipa, poznatog pod nazivom BIOS, pa zatim sa
programskog koda koji je smeten na lokalnom hard disku. DHCP predstavlja znaajno poboljanje u
odnosu na BOOTP, koje se ogleda u tome da je potrebno samo da mu saoptimo opseg IP adresa koje
sme da dodeljuje, nakon ega e on zapoeti sa njihvom automatskom dodelom, po sistemu ko pre do
mene, dobie neto od mene (first come, first served), svim raunarima koji to od njega zatrae. Sa druge
strane, ukoliko elimo da DHCP, po svojoj funkciji i ponaanju, bude jo sliniji BOOTP protokolu, to
moete veoma lako postii; naime, kao i kod BOOTP-a, uz pomo BOOTP servera moemo odreene IP
adrese unapred dodeliti konkretnim MAC adresama. Ova tehnika se naziva DHCP rezervacijom. Kod
upotrebe DHCP-a, nepromenljive IP adrese je potrebno dodeliti samo malom broju raunara, kao to su,
na primer, lokalni BOOTP/DHCP server i podrazumevani mreni prolaz (default gateway). Dakle, DHCP
serveri su maine koje dodeljuju IP adrese svim raunarima koji zahtevaju pristup LAN-u. DHCP e
funkcionisati jedino pod uslovom da je TCP/IP softver na radnim stanicama, izgraen za upotrebu DHCP-
a, odnosno ukoliko TCP/IP softver u sebi sadri DHCP klijentski program. U dananje vreme skoro svaki
mreni operativni sistem sadri u sebi DHCP klijente- Mac, Linux i doslovno svi Microsoftovi desktop i
serverski operativni sistemi, nastali nakon 1994. godine.
DHCP pojednostavljuje administrativno upravljanje konfiguracijom IP adresa automatizovanjem
postupka konfiguracije adrese za klijente u mrei. DHCP standard omoguuje upotrebu DHCP servera
koji se definiu kao oni raunari na kojima radi DHCP servis. DHCP automatski alocira IP adrese i
srodne parametre TCP/IP konfiguracije na klijentima u mrei na kojima je omoguen DHCP. Svaki
ureaj u mrei koja se zasniva na TCP/IP-u mora imati jedinstvenu IP adresu da bi mogao da pristupi
mrei i njenim resursima. Bez DHCP-a, IP konfiguracija mora runo da se obavi za nove raunare,
raunare koji se premetaju iz jedne podmree u drugu i one koji su uklonjeni sa mree. Primenom
DHCP-a u mrei, ceo proces postaje automatizovan i njime se centralizovano upravlja. DHCP server
odrava grupu IP adresa i iznajmljuje adrese svim klijentima na kojima je omoguen DHCP kada se oni
prijave na mreu. S obzirom na to da su IP adrese dinamike (iznajmljene) a ne statike (trajno
dodeljene), adrese koje se vie ne koriste automatski se vraaju grupi raspoloivih adresa radi ponovne
alokacije. DHCP servis za Microsoft Windows 2003 server se zasniva na standardima Strune radne
grupe za Internet (IETF). DHCP detalji su definisani dokumentima zahteva za komentare (RFC) koje je
objavio IETF i druge radne grupe. RFC dokumenti predstavljaju serije izvetaja. predloga za protokole i
standarde za protokole koji se koriste na Internetu.
Kako funkcionie DHCP server
Isporuka IP adresa od strane DHCP-a zasniva se na ideji klijentskih iznajmljivanja (client leases).
Kada nekoj maini (DHCP klijentu) zatreba IP adresa, ona e je zatraiti od DHCP servera. Nakon toga,
DHCP server dodeljuje IP adresu ovom klijentu, ali samo na ogranieni vremenski period na taj nain
nastao je termin iznajmljena IP adresa (IP lease). Ukoliko smo svoj PC, koji poseduje IP adresu
iznajmljenu na period od etiri dana, restartovali nakon isteka dva dana, onda on nee slepo zahtevati
novu IP adresu; umesto toga on e otii na DHCP server od kojeg je dobio svoju IP adresu, te od njega
ponovo zatraiti istu adresu koju je imao pre restartovanja. Ako je taj DHCP server jo uvek u ivotu i
aktivan, on e potvrditi (acknowledge) taj zahtev i radnoj stanici dopustiti da nastavi sa korienjem ove
IP adrese. Sa druge strane, ukoliko su usled neke katastrofe, sa DHCP servera nepovratno izbrisane
inormaacije o iznajmljivanju, on e ovoj maini ili dodeliti traenu IP adresu (ukoliko je nije ve dodelio
nekoj drugojo maini), ili e joj poslati negativan odgovor (negative acknowledgement-NACK); pri tom
e DHCP server ovu NACK poruku zabeleiti u svom Event Log fajlu. Nakon toga, naa radna stanica bi
trebalo da bude dovljono pametna da na mrei potrai neki drugi DHCP server. Slino Bootp-u, DHCP
server pamti koja je IP adresa dodeljena nekom raunaru, tako to kreira odgovarajue parove IP i MAC
adresa. Pod normalnim okolnostima, DHCP server moe klijentu poslati nove informacije o
iznajmljivanju, samo u tano odreenim intervalima obnavljanja iznajmljivanja (lease renewal).
Meutim, DHCP klijenti se prijavljuju (check in) nakon svakog restartovanja, tako da e nakon svakog
restartovanja neke radne stanice, DHCP server moi da resetuje sve izmene u podacima o iznajmljivanju,

kao to su subnet maske ili DNS servisi.
Ve smo napomenuli da se DHCP zasniva na modelu klijent/server, kao to je prikazano na slici 1.11.
Administrator mree uvodi jedan ili vie DHCP servera koji uvaju informacije o TCP/IP konfiguraciji i
obezbeuju konfiguraciju adrese za klijente na kojima je omoguen DHCP u obliku ponude za
iznajmljivanje adrese. DHCP server uva informacije o konfiguraciji u bazi podataka koja sadri:
Valjane parametre TCP/IP konfiguracije za sve klijente u mrei.
Valjane IP adrese u grupi kako bi bile dodeljene
klijentima, kao i rezervisane adrese za runo
dodeljivanje
Trajanje iznajmljivanja koje nudi server - vreme u
kome IP adresa moe da se koristi pre nego to treba da
se objavi iznajmljivanje.
Klijent na kome je omoguen DHCP nakon prihvatanja
ponude o iznajmljivanju prima:
Valjanu IP adresu za mreu kojoj pristupa.
Dodatne parametre TCP/IP konfiguracije, koji se
nazivaju DHCP opcije.

Preuzimanje IP adrese sa DHCP servera
Procedura po kojoj DHCP klijent dobija IP adresu od DHCP servera sastoji se od etiri koraka:
Porukom DHCPDISCOVER emituje se zahtev za dodelu IP adrese, koji je upuen svim DHCP serverima
u dometu ujnosti.
Serveri odgovaraju porukom DHCPOFFER, koja sadri ponuenu IP adresu i period na koji se
iznajmljuje.
Klijent odabire najatraktivniju ponudu i alje povratnu, DHCPREQUEST poruku, kako bi potvrdio
izabranu IP adresu.
Server koji je ponudio ovu IP adresu zavrava proceduru slanjem poruke DHCPACK, koja predstavlja
potvrdu o pozitvnom reenju zahteva.

Dizajniranje multi-DHCP mrea
Oigledno je da je funkcija DHCP servera veoma vana, te da je ne bi trebalo tovariti na lea
jednog serverskog raunara. Na koji nain , dakle, moemo dva ili vie DHCP servera dovesti u online
reim, kako bismo postigli eljeni stepen tolerancije greke? Moda najbolji nain je da, prilikom
instaliranja DHCP serverskog softvera na vie razliitih raunara, na njima kreirati vie razliitih
podruja koja se odnose na jednu istu pod mreu. Pritom, treba strogo voditi rauna da se opsezi IP adresa
u ovim podrujima ne preklapaju, tako da onda sve funkcionie bez problema.

7.2.3 Prednosti DHCP-a
Primena DHCP-a u mrei ima sledee prednosti:
Bezbedna i pozdana konfiguracija - DHCP svodi na minimum greke u konfiguraciji koje nastaju zbog
runog konfigurisanja IP adresa, kao to su greke u pisanju, i sukobljenost adresa koja nastaje kada drugi
raunar grekom ponovo dobije IP adresu koja je trenutno dodeljena.
Smanjeno administriranje mree. TCP/IP konfiguracija je centralizovana i autorizovana.Administratori
mree mogu centralizovano da definiu globalnu TCP/IP konfiguraciju i TCP/IP konfiguraciju svojstvenu
podmrei. Klijentima se automatski moe dodeliti ceo skup dodatnih vrednosti TCP/IP konfiguracije
pomou DHCP opcija. Izmene adresa u konfiguraciji klijenata koje moraju esto da se auriraju, kao to
su klijenti sa udaljenih raunara koji se stalno premetaju, sada mogu efikasno i automatski da se obave
kada klijent na novoj lokaciji ponovo pokrene raunar. Veina rutera moe da prosledi zahteve DHCP
konfiguracije i tako eliminie zahtev da se DHCP server podeava u svakoj podmrei, osim ako ne postoji
neki drugi razlog da se to uradi.
Automatsko konfigurisanje IP-a - Klijenti koji rade pod Windowsom 2003 mogu automatski da
konfiguriu IP adresu i masku podmree ako DHCP server nije raspoloiv prilikom pokretanja sistema.
Ovo svojstvo, automatsko privatno IP adresiranje (Automatic Private IP addressing, APIPA) je korisno

za klijente na malim privatnim mreama, kao to su manja preduzea, manje kancelarije ili udaljeni
klijenti. Klijent servis DHCP-a u Windowsu 2003 prolazi kroz sledei proces da bi automatski
konfigurisao klijenta:
DHCP klijent pokuava da pronae DHCP server i dobije adresu i konfiguraciju.
Ako DHCP server nije pronaen ili ne odgovara, DHCP klijent automatski konfigurie svoju IP adresu i
masku podmree pomou adrese koja pripada mrei klase B rezervisanoj za Microsoft, 169.254.0.0, sa
maskom podmree 255.255.0.0. DHCP klijent proverava da li postoji sukobljenost adrese da bi potvrdio
da se IP adresa koju je odabrao ve ne koristi u mrei. Ako sukobljenost postoji, klijent bira drugu IP
adresu. Klijent e pokuati autokonfigurisanje do 10 adresa.
Kada DHCP klijent uspe sam da odabere adresu, on e konfigurisati mreni interfejs tom IP adresom.
Klijent zatim nastavlja u pozadini da proverava DHCP server svakih 5 minuta. Ako kasnije pronae
DHCP server, klijent e odbaciti informacije odreene autokonfigurisanjem. DHCP klijent zatim koristi
adresu koju je ponudio DHCP server (i sve druge informacije koje su sadrane u DHCP opcijama) da bi
aurirao parametre IP konfiguracije.
Ako je DHCP klijent prethodno iznajmio adresu od DHCP servera:
Ako je klijentovo iznajmljivanje i dalje valjano (nije isteklo) kada se pokree sistem, klijent e pokuati
da obnovi iznajmljivanje.
Ako za vreme pokuaja obnavljanja klijent ne uspe da pronae nijedan DHCP server, on e pokuati da
pinguje podrazumevani mreni prolaz koji je naveden kod iznajmljivanja i nastavie na jedan od sledeih
naina:
Ako ping uspe, DHCP klijent pretpostavlja da se jo nalazi u istoj podmrei u kojoj je dobio aktuelnu
iznajmljenu adresu i nastavlja da koristi iznajmljenu adresu. Podrazumeva se da e klijent tada u pozadini
pokuati da obnovi iznajmljivanje kada istekne polovina dodeljenog vremena za iznajmljivanje.
Ako ping ne uspe, DHCP klijent pretpostavlja da je premeten u mreu u kojoj DHCP servisi nisu
raspoloivi. Klijent zatim sam konfigurie svoju IP adresu na nain koji je prethodno opisan. Kada je
klijent autokonfigurisan, on pokuava svakih 5 minuta da pronae DHCP server i iznajmi adresu od
njega.

Lokalno uvanje - Microsoftov DHCP podrava lokalno uvanje koje omoguava klijentima da uvaju
DHCP informacije na svom disku. Lokalno uvanje je korisno zbog toga to kada se pokrene sistem
klijenata, on prvo pokua da obnovi iznajmljivanje iste IP adrese. Lokalno uvanje DHCP informacija
znai i da klijent moe da bude zaustavljen i ponovo pokrenut koristei prethodno iznajmljene adrese i
konfiguracije, ak i ako DHCP server nije na raspolaganju ili nije u mrei u vreme kada je pokrenut
raunar klijenata. Lokalno uvanje takoe omoguava automatsko konfigurisanje IP-a.

7.2.4 Proces iznajmljivanja DHCP-a
Klijent na kome je omoguen DHCP dobija iznajmljenu IP adresu od DHCP servera. Pre nego to istekne
iznajmljivanje, DHCP server mora da obnovi iznajmljivanje za klijenta ili klijent mora da ostvari novo
iznajmljivanje. Iznajmljena adresa se zadrava u bazi podataka DHCP servera priblino jedan dan nakon
isticanja. Ovaj period odlaganja titi iznajmljivanje klijenta u sluaju da su klijent i server u razliitim
vremenskim zonama, ako njihovi interni asovnici nisu sinhronizovani ili ako je klijent iskljuen iz mree
kada istekne iznajmljivanje. Prvi put kada klijent na kome radi DHCP zapone i pokua da se prikljui na
mreu, on automatski sledi postupak inicijalizacije da bi dobio iznajmljenu adresu od DHCP servera. Na
slici

DHCP klijent zahteva IP adresu tako to difuzno upuuje poruku DHCPDiscover u lokalnu mreu.
Klijentu se nudi adrsa kada DHCP server odgovori pomou poruke DHCPOffer koja sadri klijentovu IP
adresu i informacije o konfiguraciji za iznajmljivanje.
Klijent pokazuje da je prihvatio ponudu tako to e odabrati onuenu adresu i odgovoriti serveru pomou
poruke DHCPRequest.
Klijentu se dodeljuje adresa i DHCP server alje poruku DHCPAck kojom odobrava iznajmljivanje. Kada
klijent primi poruku o potvrdi, on konfigurie parametre TCP/IP -a koristei informacije DHCP opcija
kojeje dobio u odgovoru i priljuuje se u mreu.

7.2.5 Grupisanje DHCP Servera u klastere
Servis Windows Clustering omoguava da dva servera mogu da se upravljaju kao jedan sistem. Windows
2003 servis za grupisanje u klaster se moe koristiti za DHCP servere kako bi se obezbedila vea
raspoloivost, lake upravljanje i vea skalabilnost. Servis Windows Clustering moe automatski da
otkrije "pad" neke aplikacije ili servera i da ih brzo aktivira na serveru koji nije oteen, to korisnici
doivljavaju samo kao trenuti zastoj servisa. Windows Clustering omoguava da DHCP serveri budu
virtualizovani tako da u sluaju da jedan vor klastera otkae, prostor imena i svi servisi bie
transparantno rekonstruisani na drugom voru. To znai da nikakve izmene nisu vidljive za klijenta koji i
dalje vidi istu IP adresu za DHCP servere koji su grupisani u klaster.
Bez grupisanja u klastere, administratori mree mogu da podele opsege na servere, tako da e ako jedan
server otkae, najmanje polovina adresa ostati raspoloiva. Grupisaje u klastere efikasno koristi IP adrese
pa nije potrebno deliti opsege. Baza podataka koja se uva na spoljanjem disku prati dodeljene adrese i
druge aktivnosti i u sluaju da aktivan vor klastera otkae, drugi vor postaje DHCP server koji zna sve
adrese koje su dodeljene i ima pristup celom opsegu adresa. U svakom trenutku samo jedan vor radi kao
DHCP server, sa bazom podataka klastera Windowsa 2003, to omoguava transparentnu tranziciju po
potrebi. Na slici 1.11.b je generiki primer DHCP servera grupisanih u klaster. DHCP server 1 je aktivni
server, a DHCP server 2 je rezervni DHCP server.


7.2.6 DHCP i WINS
WINS je servis za imenovanje koji se koristi da registruje i razreava imena u adrese za NetBIOS klijente
u mreama zasnovanim na TCP/IP-u. Najee nije neophodno dodati WINS servere preko planiranog
broja DHCP servera. U mnogim sluajevima isti raunar servera moe efikasno da radi i kao WINS i kao
DHCP server u jednoj mrei. Kad je jedan server konfigurisan kao WINS server i kao DHCP,on moe da:
Administrira definisani interval IP adresa opsega i nadopsega za mreu.
Slui kao podrazumevani mreni prolaz koji omoguava IP prosleivanje izmeu povezanih fizikih
mrea. Da bi isti podrazumevani mreni prolaz bio podeen za sve DHCP klijent koji se nalaza u
podmreama, potrebno je dodeliti kod 3 DHCP opcije pomou IP adrese raunara servera kao vrednost
pri konfigurisanju DHCP opcija opsega.
Slui kao primarni WINS server za povezane fizike mree. Da bi se WINS server podesio za sve DHCP
klijente koji se nalaze u podmrei, potrebni je dodeliti kod 44 DHCP opcije (lista IP adresa za WINS
servere) i koristiti IP adresu raunara servera kao vrednost.
Da bi se obezbedilo da svi DHCP klijenti za razreavanje NetBIOS imena najpre koriste WINS (pre nego
to se pokua sa razreavanjem imena pomou difuznog upuivanja), potrebno je dodeliti kod 46 opcije
(WINS/NBT tip vora) da bi se tip WINS vora podesio na h-vor (hibridni vor).

7.2.7 DHCP i DNS
Serveri sistema imena domena (DNS) omoguavaju razreavanje imena za mrene klijente. DNS odrava
(izmeu ostalog) informacije koje povezuju potpuno kvalifikovano domensko ime (Fully Qualified
Domain Name, FQDN) raunara sa njegovom dodeljenom IP adresom(ama). Iako DHCP obezbeuje
moan mehanizam za automatsko konfigurisanje klijentske IP adrese, sve do nedavno DHCP nije
obavetavao DNS servis da je potrebno da aurira DNS zapise o klijentu, odnosno da aurira mapiranja
imena klijenta u IP adresu i IP adrese u ime klijenta koje odrava DNS server. Ako ne postoji nain da
DHCP bude u interakciji sa DNS-om, informacije koje odrava DNS za DHCP klijente ne moraju biti
ispravne. Na primer, klijent moe da dobije IP adresu od DHCP servera, ali DNS zapisi nee odraavati
novo dobijene IP adrese, niti e omoguiti mapiranje nove IP adrese u ime raunara (FQDN).
Da bismo obezbedili ovaj servis auriranja u Windowsu 2003, DHCP serveri i klijenti mogu da obave
registrovanje u DNS-u ako DNS server podrava DNS sa dinamikim auriranjem. Windows 2003 DNS
servis podrava dinamiko auriranje. Koristei protokol za dinamiko auriranje DNS-a Windows 2003
DHCP server moe da obavi registrovanje na DNS serveru i aurira pokazivake PTR (Pointer resouce
record) i adresne A (Address resource record) zapise resursa za raun svojih klijenata na kojima je
omoguen DHCP.
Mogunost da registruje A i PTR tipove zapisa dozvoljava DHCP serveru da za potrebe DNS registracije

deluje kao zastupniik za klijente koji koriste Microsoft Windows 95 i Windows NT 4.0. DHCP serveri
mogu da razlikuju klijente koji rade pod Windowsom 2003 od ostalih klijenata. Dodatni kod DHCP
opcije (kod opcije 81) omoguava da se FQDN ome klijenta vrati DHCP serveru. Ako se primenjuje,
DHCP server moe dinamiki da aurira DNS kako bi izmenio pojedine zapise resursa raunara na DNS
serveru pomou protokola za dinamiko auriranje.
Ova DHCP opcija dozvoljava DHCP serveru sledee mogunosti kod obrade DNS informacije za raun
DHCP klijenata koji ukljuuju kod opcije 81 u poruci DHCPRequest koju alju serveru:
DHCP server uvek registruje DHCP klijenta za pretraivanje napred (tip zapisa A) i za inverzno
pretraivanje (tip zapisa PTR) na DNS-u.
DHCP server nikada ne registruje informacije o mapiranju imena u adresu (tip zapisa A) za DHCP
klijente.
DHCP server registruje DHCP klijenta za pretraivanje napred (tip zapisa A) i za inverzno pretraivanje
(tip zapisa PTR) samo kada to zatrai klijent.
DHCP i statiki DNS servis nisu kompatibilni da bi informacije o mapiranju imena u adresu mogle da
budu sinhronizovane. Zbog toga su mogui problemi kada se DHCP i DNS zajedno koriste u mrei u
kojoj se koriste stariji statiki DNS serveri koji neogu da se dinamiki auriraju kada se izmeni
konfiguracija DHCP klijenta.
Da bi se izbegla neuspena pretraivanja DNS-a o DHCP klijentima kada radi statiki DNS
servis potrebno je uraditi sledee:
1.Ako se WINS serveri koriste u mrei treba omoguiti WINS pretraivanje za DHCP klijente koji koriste
NetBIOS.
2. Dodeliti rezervacije IP adrese sa neogranienim trajanjem iznajmljivanja za DHCP klijent koji koriste
samo DNS i ne podravaju NetBIOS. Kad god je mogue, treba nadograditi ili zameniti starije statike
DNS servere DNS serverioma koji podravaju dinamiko auriranje. Dinamiko auriranje podrava
Microsoft DNS servis koji je deo Windows-a 2003.

DHCP - INSTALACIJA
DHCP emo instalirati na isti nain kao i sve druge servise, iz Control Panel-a. Start Control
Panel Add/Remove Programs, a zatim na Add/Remove Windows
Components. Selektujemo Network Services i kliknemo na dugme Details. (slika 2.8) Selektujemo
Dynamic Host Configuration Protocol (DHCP), i pritiskamo dugme Ok. Kliknemo dugme Next da
zaponemo instaliranje servisa.
Na kraju pritiskamo Finish da bismo zatvorili wizard.

DHCP servis kontroliemo prozorom koji se nalazi u Administrative Tools:
Start Programs Administrative Tools DHCP. Izgled prozora je dat na slici 2.9.

Sa Windows 2003 svako moe postaviti DHCP server, ali server nee poeti sa podelom adresa, dok nije
odobren. Odobravanje se vri iz DHCP prozora, pri tom moramo biti prijavljeni kao Administrator
podruja. Desnim klikom mia na DHCP na levoj strani dobijamo padajui meni iz kojeg biramo Manage
authorized servers (ili kliknemo na server, zatim na Action Authorize) i videemo okvir za dijalog kao
na slici 2.10.a. Da bismo odobrili jedan server, pritiskamo na Authorize i dolazimo do okvira kao na slici
2.10.b u kome ukucavamo ime servera ili IP adresu.

Stvaranje opsega adresa
U cilju da DHCP da IP adrese mora da zna opseg IP adresa. Microsoft naziva opseg IP adresa i opisane
informacije vezane za njih, domenom. Da napravimo domen, kliknemo na ikonu servera, izaberemo New
Scope, kojim poinje New Scope Wizard. Pritiskom na dugme Next dolazimo do prozora sa slike 2.11.

U ovom prozoru, jednostavno identifikujemo domen, dajui mu ime i komentar. Zatim pritiskamo dugme
Next i vidimo ekran kao na slici 2.12.

Domen je jednostavno opseg IP adresa - odatle se one mogu "crtati". Moemo dodeliti domen svakoj
podmrei servisiranoj naim DHCP serverima. Mogue je za jedan DHCP server da rukuje viestrukim
mreama, meutim, DHCP server nam nee dozvoliti da napravimo vie od jednog domena u istoj
podmrei.
Poto moramo da imamo najmanje jednu prisutnu statiku IP adresu-adresu naeg servera, trebalo bi da
kaemo DHCP serveru da ne da tu adresu. Pritiskom na dugme Next dolazimo do dijaloga pomou koga
govorimo serveru koje adrese da "izbegava" (slika 2.13).

Moemo odrediti jednu adresu samu po sebi, ne moramo odrediti poinjujui i zavravajui adrese u
opsegu jedne adrese. Pritiskamo dugme Next i dolazimo do dijaloga kao na slici 2.14.

Korisnik dobija IP adresu samo za odreeni vremenski period pod nazivom zakup i do vremena kada
zakupljeni period istekne, korisnik mora zakupiti ili drugu adresu od DHCP servera, ili mora prestati sa
korienjem IP u potpunosti odmah. Usvojeno vreme za trajanje zakupa je 8 dana.
Postavljamo vremenski limit i pritiskamo dugme Next. Na sledeem dijalogu ostavljamo ekirano Yes, I
want to configure these options now i pritiskamo dugme Next.
Nema potrebe da idemo od radne stanice do radne stanice i podeavamo sve opcije u kartici Advanced za
TCP/IP osobine (podeavanje statikih adresa) poto nam DHCP dozvoljava da podesimo te stvari pravo
iz servera. DHCP moe omoguiti usvojene vrednosti za sve hostove TCP/IP parametara, ukljuujui
osnovne lanove:
Usvojen gejtvej DNS server
Naziv podruja WINS server Naravno, posle ovog podeavanja moemo prii pojedinano svakoj radnoj
stanici i promeniti opcije po naem izboru. Svaka druga opcija DHCP-a se ne ignorie s tim da je opte
pravilo da je bilo ta podeeno na klijentu na viem nivou od podeavanja koje predlae DHCP server.
Pritiskamo dugme Next i dolazimo do prozora na kao slici 2.15.

Upisujemo IP adresu usvojenog pristupa i pritiskamo dugme Next, posle koga vidimo ekran
kao na slici 2.16.

U ovom dijalog prozoru, govorimo DHCP serveru da kada god iznajmimo korisniku PC-a IP adresu iz
ovog domena, trebalo bi postaviti korisniku neku vrednost naziva DNS domena, i rei korisniku da moe
nai DNS servere na nekoj adresi. Klik na dugme Next, i dolazimo do dijaloga kao na slici
2.17.

Ovde govorimo korisniku gde da nae nae WINS servere. Klik na dugme Next, i dolazimo do dijaloga
kao na slici 2.18.

Na izlazu iz wizard-a, dobijamo pitanje da li smo spremni da ovaj server pone sa podelom zahteva za IP
adresama. Ostavljamo ekirano Yes, I want to activate this scope now i pritiskamo dugme Next, nakon
ega se zatvara wizard, startujui domen i stavljajui ga u proces. DHCP prozor tada izgleda kao na slici
2.19.

Obratimo panju na fasciklu nie u interfejsu oznaenom sa Server Options. Ona je korisna kada
postavljamo vie od jednog domena na server. Server Options nam dozvoljava da postavimo opcije za sve
date domene servera u jednoj operaciji. Desnim klikom na fasciklu Server Options i odaberemo opciju
Configure Options kojom dobijamo dijalog kao na slici 2.20.

Selektujui DNS moemo videti da nam je dozvoljen unos adresa DNS servera, kao to je to inio wizard.
Konfiguracija servera
Pre naputanja konfigurisanja, pogledajmo neke lanove konfiguracije servera. U prozoru DHCP, desnim
klikom na server, i odaberemo opciju Properties. Videemo stranicu sa tri tabulatora: General, DNS i
Advanced, kao to vidimo na slici 2.21.

Glavna stvar koju treba ovde primetiti je opcija "logovanja". To je usvojena opcija tako da je ne moramo
proveravati. Postoji sedam logova, po jedan za svaki dan u nedelji. Time je olakano nalaenje zapisa za
svaku akciju za odreeni dan. Logovi su u jednostavnom ASCII formatu, tako da ih moemo ispitati sa
Notepad-om. Logovi imaju imena dana u nedelji i nalaze se u //system32\dhcp. Biramo DNS tabulator i
vidimo ekran kao na slici 2.22.

DNS je baza podataka maina i naziva. Pod Windows 2003, domen je dovoljno pametan da komunicira
sa svojim lokalnim DNS serverom, aljui mu informaciju da je prisutan, da ima ime i IP adresu. Uz to,
DNS server, kod Windows 2000 i Windows 2003, je dovoljno pametan da uje ovu informaciju; stariji
DNS serveri nisu maine od kojih se oekuje da se registruju sa svojim lokalnim DNS serverom i lokalni
DNS server ne bi imao reenje o tome ta da, u stvari, radi sa tom informacijom. DNS serveri posle 1998.
godine imaju karakteristiku naziva dinamiki DNS, koji im omoguava da radije prihvate ovu
oznaku/adresu (naziv registracije) informacije od drugih maina, nego da informacija mora da se kuca
runo.
U sluaju da naa radna stanica u radu pre koristi NT4 nego Windows 2000/03, tada ona nije
programirana da ponudi informaciju oznaka/adresa svom DNS serveru, jer celokupna dinamika
tehnologija nije postojala 1996. godine kada je pisan Microsoft NT4. Sa take gledita razvoja DNS
servera koji radi na Windows 2000/03 serveru, tada su, stari Windows 9x, Windows for Workgroups i NT
korisnici obine komponente. Preciznije, sa take gledita DNS servera, ti korisnici ak i ne postoje, jer
ne postoji nain da DNS server zakljui da su oni tamo. To je ono to izvrava okvir za dijalog na slici
2.22. Windows 2003 DHCP server e primetiti kada podeli IP adrese maini, da ne zna nita o
dinamikom DNS-u.
Obratimo panju na opciju Dynamically update DNS and PTR records for DHCP clients that do not
request updates (for example, clients running Windows NT4). Treba oznaiti okvir. Klikom na dugme Ok
zatvaramo dijalog. Ako hoemo da znamo koliko nam je adresa ostalo, desnim klikom mia kliknemo na
domen i izaberemo Display statistics, i videemo prozor kao na slici 2.23.

Posle postavljanja DHCP-a na server, kako rei korisnicima da koriste taj DHCP?
Jednostavno, bilo koji Microsoft-ov operativni sistem od Windows for Workgroups preko Windows 9x,
NT4.x, Windows 2000/03, svi imaju DHCP konfiguraciju kao instaliranu opciju, mada neki od ovih
klijenata upuuje na to kao "automatsku" konfiguraciju pre nego na DHCP konfiguraciju. Kada sistem
jednom dobije IP adresu, moemo je videti kicanjem ipconfig/all u komand prompt-u. Na Windows 95
radnoj stanici, kliknemo na Start Run otkucamo winipcfg i pritisnemo Enter. Windows 98 podrava i

ipconfig i winipcfg. Windows NT podrava samo ipconfig. IPCONFIG je korisna i za druge DHCP
klijente, takoe. Moemo naterati DHCP klijenta da napusti svoju DHCP dobijenu IP adresu i da potrai
neku drugu, kucajui ipconfig/release i onda ipconfig/renew.

NAJEI PROBLEMI
Najei problem sa DHCP klijentima je kada oni ne uspeju da dobiju IP adresu ili druge konfiguracione
parametre od DHCP servera za vreme pokretanja sistema. Kada klijent ne uspe da dobije konfiguraciju,
potrebno je da odgovorimo na sledea pitanja da bismo brzo mogli da otkrijemo uzrok problema.
DHCP klijent nema konfigurisanu IP adresu ili ima IP adresu koja je konfigurisana kao 0.0.0.0.
Klijent nije mogao da stupi u kontakt sa DHCP serverom i iznajmi IP adresu zbog greke u mrenom
hardveru ili zato to DHCP server nije na raspolaganju. Prvo treba proveriti da li odgovarajui hardverski
ureaji klijenata (kablovi i mreni adapteri) rade pravilno na klijentu.
DHCP klijent ima autokonfigurisanu IP adresu koja nije pravilna za aktuelnu mreu.
Windows 2000 ili Windows 98 DHCP klijent ne moe da pronae DHCP server pa je koristio mehanizam
automatskog privatnog IP adresiranja (APIPA) za konfigurisanje IP adrese.U veim mreama je poeljno
iskljuiti ovo svojstvo, zbog administriranja mree.
Prvo treba koristiti komandu ping za testiranje veza od klijenta do servera. Zatim treba verifikovati ili
runo pokuati obnavljanje adrese iznajmljivanja klijenta. U zavisnosti od zahteva mree, moe biti
neophodno da se klijentu onemogui servis APIPA.
Nedostaju detalji o konfiguraciji DHCP klijenta.
Klijentu mogu nedostajati DHCP opcije u iznajljenoj konfiguraciji zbog toga to DHCP server nije
konfigurisan da ih distribuira ili zato to klijent ne podrava opcije koje distribuira server.
Za Microsoft DHCP klijente treba verifikovati da su najee koriene i podrane opcije konfigurisane
na jednom odnivoa dodeljivanja opcija: servera, opsega, klijenta ili klase. Potrebno je proveriti i
parametre DHCP opcija.

DHCP klijenti ne mogu da dobiju IP adrese od servera.
Ovaj problem moe nastati zbog toga to:
IP adresa DHCP servera je izmenjena i sada DHCP klijenti ne mogu da dobiju IP adrese. DHCP server
moe samo da opsluuje zahteve za opseg koji ima ID mree koji je isti kao i ID mree njegove IP adrese.
DHCP klijenti se nalaze preko usmerivaa od podmree u kojoj je smeten DHCP server i ne
mogu da prime adresu od njega. DHCP server moe moe da obezbedi IP adrese za raunare klijenata u
vie udaljenih podmrea samo ako usmeriva koji ih razdvaja moe da radi kao DHCP prenosni agent.
Vie DHCP servera postoji u istoj lokalnoj raunarskoj mrei (LAN - Local Area Network). Treba
potvrditi da u istom LAN-u nije konfigurisano vie DHCP servera pomou opsega koji se preklapaju.

User Nalozi I Grupne Polise Windows Server

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

User Nalozi I Grupne Polise Windows Server

Uploaded by

Copyright:

Available Formats

Administriranje mrea

V Upravljanje korisnikim nalozima

You might also like