You are on page 1of 16

Sistemet Active Directory 2010 KRIJIMI DHE ADMINISTRIMI I GRUPEVE

Data 11 MAJl,

Grupet reduktojne numrin e perdoruesve tek te cilet ne duhet te vendosim te drejtat dhe akseset. Ne vend qe ti vendosim te drejtat tek perdoruesit, ne i vendosim ato tek grupet. Si administratore te sistemit, ne duhet te kuptojme se si ti perdorim grupet, si ti krijojme, si te shtojme anetaret. Perpara se te krijojme grupet, ne duhet te kuptojme qellimin e krijimit te tyre, dhe se si ndikojne ato ne lehtesimin e administrimit. Nje grup eshte nje koleksion i llogarive te perdoruesve. Grupet lehtesojne administrimin duke na lejuar te vendosim te drejta dhe aksese tek grupet ne vend qe ti vendosim tek llogarite e perdoruesve. Llogarite e perdoruesve mund te jene anetare ne nje ose me shume grupe. Te drejtat kontrollojne Kur i japim te drejta, perdoruesi iton akses tek !urimet. Ne percaktojme edhe tipin e aksesit qe perdoruesi do te kete tek !urimi. Per shem!ull, nese disa perdorues duhet te le"ojne tek i njejti skedar, do te ishte praktike e mire ti shtonim keto llogari perdoruesish tek nje grup dhe me pas ti jepnim grupit te drejta le"imi tek skedari.

#igura $. %endosja e te drejtave tek grupet. Pervec llogarive te perdoruesve, ne mund te shtojme dhe grupe te tjera, kontakte dhe kompjutera si anetare te grupeve. Ne shtojme grupet si anetare te grupeve te tjera ne menyre qe te krijojme grupe me te konsoliduara. &e do te thote, ne rast se shume grupeve duhet ti caktojme te njejtat te drejta, krijojme nje grup tjeter dhe te gjithe grupet i anetaresojme tek grupi qe krijuam. Ne kete menyre ne minimi'ojme numrin e hereve qe duhet te caktojme te drejtat tek grupet.

(.L(L(

#aqe $ nga $)

Sistemet Active Directory 2010 Tipet e grupeve

Data 11 MAJl,

Ne mund te krijojme grupe per arsye te ndryshme sigurie, sic jane caktimi i te drejtave dhe akseseve, ose per arsye te tjera sic jane dergimi i email*ve. (ctive +irectory o ron krijimin e dy tipe grupesh, Grupe sigurie dhe Grupe shperndjarje. Tipi i grupit percakton se si ne i perdorim grupet. Te dy tipet e grupeve ruhen ne !a'en e te dhenave te (ctive +irectory, gje qe na lejon ti perdorim ato ne do kohe ne rrjetin tone. Grupet e sigurise -indo.s Server /001 perdor grupet e sigurise per te caktuar aksesin dhe te drejtat tek nje !urim. Grupet e shperndarjes Grupet e shperndarjes perdoren per unksione te ndryshme qe nuk lidhen me sigurine. Ne perdorim grupet e shperndarjes kur unksioni i perdorimit nuk lidhet me sigurine, sic eshte rasti i dergimit te email*ve. %etem programet qe perdorin (ctive +irectory mund te perdorin grupet e shperndarjes. Per shem!ull, 2icroso t 3"change Server perdor grupet e sigurise si lista shperndarje per dergimin e email*ve. Qellimet e grupeve1 Kur ne krijojme nje grup, duhet te 'gjedhim tipin e grupit dhe qellimin e grupit. Group scopes tregon se ku grupi aplikohet ne pemen e domain*it, apo orest*in. Kemi tre tipe grupesh qe jane, universal, global dhe domain local. Group Scope 4niversal (netaret e grupeve Llogari nga cdo domain !renda orestit ku ndodhet grupi universal. Grupe glo!ale nga cdo domain !renda orestit ku ndodhet grupi universal. Grupe universale !renda cdo domain*i ne !renda orestit ku ndodhet grupi universal. (netaret mund te jene nga cdo domain. (netaret mund te aksesojne !urimet 2und tu vendosen te drejta per, Ne cdo domain ose orest. Group scope mund te konvertohen ne, +omain Local Glo!al 5per aq kohe sa nuk ek'iston asnje grup universal si anetare i grupit6.

Group Scope

(.L(L(

#aqe / nga $)

Sistemet Active Directory 2010 Glo!al ne cdo domain. Llogarite nga i njejti domain sic eshte grupi glo!al prind. Grupe glo!ale nga i njejti domain sic eshte grupi glo!al prind. (netaret mund te jene vetem nga domain*7 lokal. (netaret mund te aksesojne !urime ne cdo domain. Llogari nga cdo domain. Grupe glo!ale nga cdo domain. Grupe universale nga cdo domain. Grupe +omain Local por vetem nga i njejti domain ku eshte dhe grupi prind +omain Local. (netaret mund te jene nga cdo domain lokal. (netaret mund te aksesojne !urimet vetem nga domain* 7 lokal. Te drejtet e anetareve mund te caktohen ne cdo domain.

Data 11 MAJl,

4niversal 5per aq kohe sa grupi nuk eshte anetare i ndonje grupi tjeter glo!al6.

+omain Local

Te drejtat e anetareve mund te caktohen vetem !renda te njejtit domain ku ndodhet dhe grupi prind +omain Local.

4niversal 5per aq kohe sa grupi nuk eshte anetare i ndonje grupi tjeter glo!al6.

Grupet Globale (.L(L( #aqe 1 nga $)

Sistemet Active Directory 2010

Data 11 MAJl,

Grupet Glo!al Security Groups jane grupet qe perdoren me se shumti per te organi'uar perdoruesit qe kane te njejtat kerkesa per akses ne rrjet. Nje grup glo!al ka disa nga karakteristikat e meposhtme, Anetaresim te limituar Ne mund te shtojme vetem anetare nga domaini ku krijohet grupi glo!al. Akses tek burimet ne cdo domain Ne mund te perdorim grupet glo!ale per te vendosur te drejtat dhe akseset tek !urimet qe ndodhen ne cdo domain ne peme ose orest. Grupet Domain Local Grupet e sigurise +omain Local Security Groups jane grupet qe perdoren me shpesh per te dhene te drejta tek !urimet. Nje grup +omain Local ka karakteristikat e meposhtme, Anetaresim te hapur Ne mund te shtojme anetare nga cdo domain. Akses te burimeve ne nje domain Ne mund te perdorim grupet +omain Local per te dhene te drejta per te aksesuar !urime qe ndodhen tek i njejti domain ku eshte krijuar grupi +omain Local. Grupet Universale Grupet universale jane nje nga tiparet e reja qe u ut tek sistemet 2icroso t -indo.s /000. Grupet 4niversal Security Groups jane grupet qe perdoren me shume per te dhene te drejta tek !urime ne domain*e te ndryshme. Nje grup sigurie 4niversal ka karakteristikat e meposhtme, Anetaresim te hapur 2und te shtojme anetare nga cdo domain ne orest. Akses tek burimet ne cdo domain Ne mund ti perdorim grupet universale per te vendosur te drejta per te aksesuar !urime qe ndodhen ne cdo domain ne orest.

(.L(L(

#aqe 8 nga $)

Sistemet Active Directory 2010 Eshte i disponueshem vetem ne domaine me nivel funksional indo!s $erver "##%&

Data 11 MAJl, indo!s "### native ose

Grupet universale nuk jane te disponueshem ne domaine me nivel unksional -indo.s /000 mi"ed. $i ndikojne grupet universale tek replikimi& Grupet e sigurise universale dhe anetaret e tyre listohen ne katalogun glo!al. Kur ne krijojme grupe universale, grupi qendron perkohesisht ne particionin e domain*it ku grupi krijohet deri sa katalogu glo!al ti !eje pyetje domain*it per ndryshimet. Pasi katalogu glo!al shikon o!jektin e ri, ndryshimet do te replikohen tek te gjithe kataloget glo!ale ne orest. Ne sistemet -indo.s /000, kur nje anetare i nje grupi universal ndryshon qellimin e grupit, i gjithe anetaresimi i grupit do te replikohet tek te gjithe kataloget glo!ale ne peme ose ne orest, duke sh ryte'uar nje nje sasi te madhe !ande te rrjeti dhe ngarkese procesori. Gjithashtu, nese anetaresimi ne grupe ndryshohet ne menyre te njekoheshme ne nje ose me shume domain controller*a, disa nga update*t e anetaresimeve mund te hum!asin gjate replikimit. Anetaresimi ne grupe &ellimi i grupit percakton anetaresimin e nje grupi. 9regullat e anetaresimit vendosin se c are anetaresh mund te kete nje grup. (netaret e nje grupi jane llogarite e perdoruesve, grupet e tjera, kontaktet, kompjuterat. Anetaresimi lokale Nje grup lokal eshte nje koleksion llogarish perdoruesish ne nje kompjuter. Ne i perdorim grupet lokale per te vendosur te drejta tek !urimet qe ndodhen ne kompjuterin lokal ku ndodhet grupi lokal qe eshte krijuar. -indo.s Server /001 krijon grupe lokale ne data!a'en lokale te sistemit. 4dhe'ime per perdorimin e grupeve lokale, Ne i perdorim grupet lokale vetem ne kompjutera ku i krijojme keto grupe. Te drejtat e grupeve lokale o rojne akses vetem tek !urimet tek kompjuteri ku ne kemi krijuar grupin lokal. Ne i perdorim grupet lokale ne kompjutera me 2icroso t -indo.s :P Pro essional dhe ato servera qe punojne me -indo.s Server /001. Grupet lokale nuk mund te krijohen tek domain controller*at sepse domain controllerat nuk kane nje data!a'e qe eshte e pavarur nga data!a'a e (ctive +irectory*se. Ne i perdorim grupet lokale vetem ne kompjuterat qe nuk i perkasin nje domain*i. Pra qe jane ne .orkgroup. Perdorimi i grupeve lokale ne kompjuterat qe jane anetare te nje domain*i na pengon ne administrimin qendror te grupeve. Grupet lokale nuk sh aqen ne (ctive +irectory, dhe ne duhet ti administrojme grupet lokale ne menyre te vecante tek cdo kompjuter ku ato jane krijuar.

(.L(L(

#aqe ; nga $)

Sistemet Active Directory 2010 9regullat e anetaresimit per grupet lokale per shijne,

Data 11 MAJl,

Grupet lokale mund te perm!ajne llogari perdoruesi lokal nga kompjuteri ku krijohen. Grupet lokale nuk mund te jene anetare te grupeve te tjere. 'rijimi dhe administrimi i grupeve Ne perdorim (ctive +irectory 4sers and <omputers per te krijuar grupe. 2e te drejtat e duhura, ne mund te krijojme grupe ne cdo domain ne orest, ne =4 qe ne mund te krijojme per te krijuar grupet. 3mri qe ne 'gjedhim per nje grup duhet te jete unik ne domain*in qe ne po e krijojme. Per te krijuar nje grup duhet te ndjekim hapat e meposhtem, Klikojme Start (dministrative Tools (ctive +irectory 4sers and <omputers Klikojme me te djathten tek domain*i ose ndonje =4 ku ne duam te krijojme grupin dhe 'gjedhim Ne.Group. Ne kutine e dialogut Ne. =!ject*Group qe sh aqet, shkruajme emrin e grupit tek kutia Group Name. %eme re se kutia Group Neme 5Pre*-indo.s /0006 plotesohet automatikisht kur shkruajme emrin e grupit. 2e pas 'gjedhim qellimin dhe tipin e grupit.

#igura /. Krijimi i grupeve.

(.L(L(

#aqe ) nga $)

Sistemet Active Directory 2010 (shirja e grupeve

Data 11 MAJl,

Ne kompanine qe ne administrojme, mund te na linde nevoja te shijme grupe qe nuk i perdorim me. #shirja e grupeve sher!en per te m!ajtur nen kontroll sigurine ne menyre qe te shmangim dhenien aksidentale te te drejtave per akses tek !urime nga o!lekte dhe grupe qe nuk duhet te kene me akses. <do grup ka nje identi ikues unik qe quhet Security 7denti ier S7+. -indo.s Server /001 perdor S7+ per te identi ikuar grupin dhe te drejtat qe i jane vendosur atij. Kur ne shijme nje grup, -indo.s Server /001 nuk e perdor me ate S7+ per grupet. Keshtu qe, ne nuk mund te rivendosim akses tek !urimet duke e rikrijuar grupin, sepse tashme, grupi qe rikrijojme nuk eshte me grupi qe ne shijme. Per te shire nje grup ndjekim hapat e meposhtme, Klikojme me te djathten tek grupi dhe me pas klikojme +elete. Ne dritaren e (ctive +irectory qe sh aqet klikojme >es. $htimi i anetareve tek nje grup Pasi ne krijojme nje grup, ne shtojme anetaret qe do te !ejne pjese tek ky grup. (netaret e grupeve per shijne llogari perdoruesish, kontakte, grupe te tjera si dhe kompjutera. Ne mund te shtojme kompjutera tek njej grup per ti dhene nje kompjuteri akses tek nje !urim i ndare tek nje kompjuter tjeter. Per te shtuar anetare tek perdorim konsolen (ctive +irectory 4sers and <omputers. Per te shtuar anetaret tek nje grup ne duhet te ndjekim hapat e meposhtme, Klikojme Start (ctive +irectory 4sers and <omputers dhe me pas shkojme ne tek kontenieri ku eshte krijuar grupi. Klikojme me te djathten dhe 'gjedhim opsionin Properties. Ne kutine e dialogut Properties per grupin, klikojme ta!in 2em!ers dhe me pas klikojme (dd. ?gjedhim 4ser*at, Kontaktet, kompjuterat ose grupet qe duam te shtojme si ne iguren e meposhtme,

(.L(L(

#aqe @ nga $)

Sistemet Active Directory 2010

Data 11 MAJl,

#igura 1. Shtimi i anetareve tek nje grup. 2e pas shtypim ta!in (dvanced dhe 'gjedhim o!jektet qe duam ti !ejme anetare te grupit dhe shtypim =K. )dr*shimi i +ellimit te grupeve Kur ne krijojme nje grup, grupi eshte i kon iguruar si nje grupsigurie me qellim glo!al pavarsisht nga niveli unksional i domain*it. 2egjithse ndryshimi i qellimit te grupit nuk lejohet ne domaine me nivel unksional -indo.s /000 mi"ed, qellimet e meposhtme te grupeve lejohen ne domaine qe kane nivel unksional -indo.s /000 native ose -indo.s Server /001. Nga glo!al ne universal per aq kohe sa grupi nuk eshte anetare i ndonje grupi tjeter qe eshte me qellim glo!al. Nga domain local ne universal per aq kohe sa grupi qe po ndryshon qellimin te mos jete anetare i ndonje grupi tjeter qe eshte domain local. 4niversal to glo!al, per aq kohe sa grupi qe po ndryshon qellimin nuk ka si anetare ndonje grup me qellim universal. 4niversal ne domain local. Per te ndryshuar qellimin e nje grupi ndjekim hapat e meposhtem, Klikojme Start (ctive +irectory 4sers and <omputers dhe shkojme ne vendndodhjen e grupit. Klikojme me te djathten grupin perkates dhe me pas klikojme Properties. Ndryshojme qellimin e grupit ne ta!in General te kutise se dialogut Properties.

(.L(L(

#aqe A nga $)

Sistemet Active Directory 2010 Praktike, Krijimi dhe administrimi i grupeve.

Data 11 MAJl,

Exercise 1: Creating a Global Group and Adding Members


In this exercise, you create a global security group and add members to the group.
_

To create a global group and add members 1. Log on to Server1 as Administrator. 2. On Server1, use the procedure provided earlier in this lesson to create a global security group in the Chicago O . !ame the global group Sales. 3. se the procedure provided earlier in this lesson to add as members o# the Sales global group. ser One and ser "ive

Exercise 2: Creating a Domain Local Group and Adding Members


In this exercise, you create a domain local group that you use to assign permissions to gain access to sales reports. $ecause you use the group to assign permissions, you ma%e it a domain local group. &ou then add members to the group by adding the security global group you created in 'xercise 1.
_

To create a domain local group and add members 1. On Server1, use the procedure provided earlier in this lesson to create a domain local group in the Chicago O . !ame the domain local group (eports. 2. se the procedure provided earlier in this lesson to add the Sales global group as a member o# the (eports domain local group.

(.L(L(

#aqe B nga $)

Sistemet Active Directory 2010

Data 11 MAJl,

KONTROLLI I AKSESEVE DHE TE DREJTAVE TE OBJEKTEVE TE AD -indo.s Server /001 perdor modelin e !a'uar ne o!jekte per te implementuar kontrollin e aksesit per te gjithe o!jektet e (ctive +irectory. <do o!jekt i (ctive +irectory ka nje pershkrues te sigurise qe percakton se kush ka te drejta per te patur akses tek o!jektet dhe cdo tip te aksesit qe lejohet. -indo.s Server /001 i perdor keto pershkrues te sigurise per te kontrolluar aksesin tek o!jektet. Per te kontrolluar aksesin tek o!jektet e (ctive +irectory, ne japim ose mohojme aksesin o!jekteve. Nje e drejte eshte nje autoritet per te kryer veprime ose !ashkesi veprimesh tek nje o!jekt dhe kjo e drejte lejohet ose mohohet nga o!ner,i i o!jektit. Nje princip sigurie eshte nje perdorues , nje grup, kompjuter, ose sher!im te cilit i caktohet nje identi ikues sigurie unik 5S7+6. Nje S7+ identi ikon ne menyre unike perdoruesit, grupet, kompjuterat ose sher!imet ne nje korporate dhe perdoret per te mena"huar principet e sigurise. Njesite =rgani'ative nuk jane principe sigurie dhe ne nuk mund te vendosim te drejta aksesi tek =4*te. Ne mund te vendosim te drejta aksesi vetem ne ato drive te ormatuar per te perdorur NT#S. -indo.s Server /001 ruan nje liste te te drejtave te aksesit te perdoruesve qe quhet (ccess <ontrol List 5(<L6, per cdo o!jekt te (ctive +irectory. (<L*ja e nje o!jekti tregon se kush mund te aksesoje nje o!jekt dhe veprimet speci ike qe nje perdorues mund te kryeje m!i ate o!jekt. Per te o ruar nje princip sigurie me akses tek nje o!jekt, ne shtojme kete princip sigurie tek (<L*ja e o!jektit. Te drejtat ?akonisht ne i caktojme te drejtat duke lejuar 5(llo.6 apo ndaluar 5+eny6. Te drejtat e ndalimit apo mohimit kane perparesi m!i te gjitha te drejtat e tjera. Per shem!ull, nese ne i mohojme te drejtat nje perdoruesi per te ituar akses tek nje o!jekt, perdoruesi nuk do ta kete kete te drejte, edhe nese neve lejojme te drejtat per nje grup tek i cili perdoruesi eshte anetare. Tipi i o!jektit percakton se cilat te drejta ne 'gjedhim. Per shem!ull, ne mund te vendosim te drejta per 9eset Pass.ord tek nje princip sigurie per nje o!jekt perdoruesi por jo per nje o!jekt printeri. Per cdo tip o!jekti ka nje grup me te drejta standarte dhe nje grup me te detajuar me te drejta speciale. ?akonisht te drejtat standart jane ato qe vendosen me shpesh. Ne mund te shikojme te drejtat standart tek ta!i Security i kutise se dialogut Properites per nje o!jekt si ne iguren e meposhtme,

(.L(L(

#aqe $0 nga $)

Sistemet Active Directory 2010

Data 11 MAJl,

#igura $. Kutia e +ialogut Property, ta!i Secutiry per nje o!jekt Per te pare te drejtat standart te nje o!jekti, ndjekim hapat e meposhtme, $. Klikojme Start dhe shkojme tek (dministrative Tools, dhe me pas tek (ctive +irectory 4sers and computers. Sigurohemi qe te selektojme (dvanced #eatures pasi perndryshe ne nuk do tem und te shikojme ta!in security tek propertite e nje o!jekti. Klikojme me te djathten tek o!jekti qe ne deshirojme ti shikojme te drejtat standarte dhe klikojme property. /. Ne kutine e dialogut Properties te nje o!jekti, klikojme ta!in Security. Klikojme principin e sigurise tek kutia e emrit te grupit apo te perdoruesit per te pare te drejtat standarte qe jane kon iguruar tek nje o!jekt. Ne ta!elen e meposhtme tregohen te drejtat standarte qe ndodhen tek te gjithe o!jektet dhe tipin e aksesit qe secila prej tyre lejon,

(.L(L(

#aqe $$ nga $)

Sistemet Active Directory 2010

Data 11 MAJl,

Te drejtat Standarte kompo'ohen dhe nga te drejtat speciale, te cilat na o rojne nje kontroll me te so istikuar te aksesit te o!jekteve. Per shem!ull, te drejta standarte rite per!ehen nga te drejtat rite All -roperties dhe All .alidated rites& Te drejtat speciale sh aqen kur klikojme ta!in (dvancet ne kutine e dialogut Properties te nje o!jekti sin e iguren e meposhtme ku tregohen te drejtat speciale,

#igura /. Kutia e dialogut te te drejtave Per te pare te drejtat speciale te nje o!jekti, ndjekim hapat e meposhtme, $. Klikojme Start(dministrative Tools (ctive +irectory 4sers and <omputers. Ne menune %ie. te o!jektit 'gjedhim opsionin (dvanced #eatures. 2e pas klikojme me te djathten o!jektin per te cilin duam te shikojme te drejtat speciale dhe me pas klikojme opsionin Property /. Ne kutine e dialogut Property klikojme ta!in Security dhe me pas klikojme (dvanced. 1. Ne kutine e dialogut (dvanced selektojme ato principe sigurie dhe te drejta ne listen qe sh aqet 5tek Permission 3ntries6 dhe me pas klikojme 3dit. 8. Tek Kutia e dialogut te Permission 3ntries per o!jektin, selektojme ta!in =!ject per te pare te drejtat speciale o!jektin qe 7 eshte vendosur nje princip sigurie. ?gjedhim ta!in Property per te pare te drejtat speciale per property*te qe 7 jane vendosur spricipit te sigurise. (.L(L( #aqe $/ nga $)

Sistemet Active Directory 2010 -erkatesia e /bjekteve

Data 11 MAJl,

Kur nje o!jekt krijohet, perdoruesi qe e krijon o!jektin merr automatikisht perkatesine e o!jektit. (dministratoret krijojne dhe kane perkatesine e shumices se o!jekteve ne (ctive +irectory dhe ne serverat e rrjetit. Perdoruesit krijojne dhe kane perkatesine e skedareve te te dhenave ne direktorite e tyre dhe ne disa skedareve te te dhenave qe ndodhen ne servera te rrjetit. Perdoruesit apo administratoret qe kane perkatesine e o!jekteve, kontrollojne se si te drejtat vendosen tek o!jekti dhe se kujt i jepen keto te drejta. Perkatesia mund te jete e , (dministratorit. Grupi i administratoreve ka perkatesine e skedareve dhe o!jekteve. Ky si grup ka te drejten Take =.nership o #iles or =ther =!jects <do perdorues ose grup qe ka perkatesine e te drejtave tek o!jekteve. Ne rastin kur kane te drejten e Take =.nership. Nje perdorues qe ka te drejtat e perdoruesve 9estore #iles and +irectories.

Ne sistemet (ctive +irectory mund te speci ikohen kuotat ne menyre qe te kontrollohet numri i o!jekteve qe nje princip sigurie mund te perm!aje ne nje particion direktorie te caktuar. Kuotat e (ctive +irectory mund te ndihmojne ne parandalimin e mohimit te sher!imit qe mund te ndodhi nese nje princip sigurie krijon o!jekte gjersa domain controlleri i cili ndikohet nga ky princip nuk ka me hapsire. Perdoruesit qe !ejne pjese ne grupet +omain (dministrators dhe 3nterprise (dministrators jane te perjashtuar nga kuotat. Ne disa raste, nje princip sigurie mund te m!ulohet nga disa kuota sic jane kuotat qe 7 caktohen perdoruesve dhe kuotat qe 7 caktohen grupeve ku !ejne pjese keto perdorues. Ne kete rast, kuota evektive eshte kuota qe ajo kuota qe ka madhesine me te madhe tek principi i sigurise. Nese nje principi sigurie nuk i caktohet nje kuote, nje kuote automatike i vendoset principit te sigurise. Nese nje kuote standarte nuk i vendoset ne menyre automatike nje particini, atehere particioni nuk ka limit. Particioni i skemes perjashtohet nga kuotat. Per te krijuar dhe mirem!ajtur kuotat ne (ctive +irectory, ne duhet te perdorim komandat dsadd +uota, dsmod +uota, dhe ds+uer* +uota. $i ndikon anetaresimi ne grupe tek kontrolli i aksesit Nje princip sigurie mund te jete anetare i disa grupeve, secili me te drejta te ndryshme qe o ron nivele te ndryshme aksesi tek nje o!jekt. Kur ne vendosim nje te lloj aksesi apo te drejte tek nje princip sigurie per te aksesuar nje o!jekt dhe ky princip sigurie eshte anetare i nje grupi tek i cili eshte vendosur nje akses i ndryshem, e drejta apo aksesi i principit te sigurise do te jete kom!inimi i principit te sigurise dhe i grupit. Per shem!ull, nese nje perdorues ka te drejta 9ead dhe eshte anetare i nje grupi me te drejta -rite, atehere perdoruesi do te kete te drejta 9ead dhe -rite. Kur ne i caktojme te drejtat nje grupi, ne duhet te percaktojme se cilet perdorues ndikohen nga keto te drejta. Grupet ose perdoruesit qe kane te drejta #ull <ontrol per nje dosje mund te shijne skedare dhe nendosje !renda dosjes tek e cila ato kane te drejta te plota.

(.L(L(

#aqe $1 nga $)

Sistemet Active Directory 2010 $i ndikon trashegimia tek kontrolli i aksesit

Data 11 MAJl,

Ka dy menyra se si i vendosen te drejtat nje o!jekti, +uke i vendosur te drejtat ne menyre eksplicite dhe duke ia vendosur te drejtat ne menyre jo te drejtperdrejte nepermjet trashegimise. Te drejtat qe vendosen ne menyre eksplicite percaktohen direkt tek o!jekti nga ai qe ka perkatesine e o!jektit. Te drejtat vendosen nepermjet trashegimise 'akonisht kalojne nga nje o!jekt prind tek nje o!jekt emije. Te drejtat e trasheguara lehtesojne punen e mena"himit te te drejtave dhe sigurojne va'hdueshmeri te te drejtave tek te gjithe o!jektet qe ndodhen nen nje kontenier 5tek i cili vendosen te drejtat dhe mund te quhet o!jekti prind6, dhe ne kete menyre nuk kemi nevoje te vendosim te drejtat tek cdo o!jekt !renda ketij kontenieri. Shem!ull Ne iguren 1 meposhte, shikojme se nese ne vendosim te drejta #ull <ontroll tek grupi Sales Group, te drejtat trashegohen tek o!jektet emije qe ndodhen ne njesine 3ast =4, qe jane <hicago =4 dhe <olum!us =4, dhe tek o!jektet e tyre respektive. Te drejtat per Sales Group vendosen ne menyre eksplicite 5qe do te thote qe ia vendosim ne te drejtat qe duam ti japim6, ndersa te drejtat per o!jektet emije trashegohen nga te drejtat e Sales Group.

#igura 1. Te drejtat te vendosura per o!jektet prind trashegohen nga o!jektet emije Pasi vendosim te drejtat tek nje o!jekt prind, o!jektet emije qe jane te krijuar tek o!jektet prind trashegojne te drejtat qe i caktohen o!jektit prind. Ka tre tregues me ane te te cileve ne dallojme te drejtat e trasheguara 'utite checkbo0 te te drejtave +e jane ngj*re gri Keto check!o"e ndodhen ne ta!in Security te kutise se dialogut Properties te nje o!jekti sic tregohet ne iguren $. Per sa i perket te drejtave qe ndodhen tek Permission 3ntry te nje o!jekti, keto check!o"e tregohen #aqe $8 nga $)

(.L(L(

Sistemet Active Directory 2010

Data 11 MAJl,

ne iguren /. Nese nje e drejte trashegohet, nje kuti check!o" 'akonisht !ehet ngjyre gri qe tregon qe nuk mund te ndryshohet. Nderkohe qe ne rastin e te drejtave speciale, ngjyra gri tek keto check!o"e nuk tregon te drejta te trasheguara. 'olona Inherited From Kjo kolone ndodhet tek lista e Permission 3ntries ne kutine e dialogut (dvanced Security Settings si ne iguren 8 meposhte. Nese nje e drejte trashegohet, emri i o!jektit prind sh aqet. 'ur nuk shfa+et butoni 1emove Ky !uton ndodhet ne kutine e dialogut (dvanced Security Settings ne iguren 8 si meposhte. Nese nje e drejte trashegohet, !utoni 9emove nuk mund te perdoret sepse e drejta duhet te hiqet tek o!jekti prind.

#igura 8. Kutia e dialogut (dvanced Security Settings Te drejtat Effective -ermissions Te drejtat 3 ective Permissions jane te gjithe te drejtat qe nje princip sigurie ka tek nje o!jekt duke per shire anetaresimin ne grupe dhe trashegimine nga o!jektet prind. Per te pare keto te drejta duhet te ndjekim proceduren e meposhtme, Klikojme Start (dministrative Tools (ctive +irectory 4sers and <omputers. Ne menune %ie. 'gjidhim (dvanced #eatures dhe me pas klikojme me te djathten tek nje o!jekt tek i cili duam ti shikojme keto te drejtat dhe klikojme Properties. Ne kutine e dialogut Property klikojme ta!in Security dhe me pas klikojme (dvanced Tek kutia e dialogut (dvanced Security Settings klikojme ta!in 3 ective Permission dhe me pas klikojme Select. Tek kutia e dialogut Select 4ser, <omputer, or Group shkruajme emrin e o!jektit tek kutia 3nter the =!ject Name to Select dhe me pas klikojme =K. <heck!o" 7 selektuar tregon te drejten 3 ective Permission per perdoruesin ose grupin per o!jektin ashtu sic tregohet ne iguren e meposhtme,

(.L(L(

#aqe $; nga $)

Sistemet Active Directory 2010

Data 11 MAJl,

#igura ;. 3 ective Permissions Ta! Administrimi i $peccial -ermissions Te drejtat standarte qe vendosen ne ta!in Security 'akonisht mja tojne per shumicen e puneve administrative. Gjithsesi nese do te na duhet te caktojme te drejtat speciale, ne duhet ti vendosim ato ne kutine e dialogut (dvanced Security Settings per nje o!jekt qe aksesohet duke perdorur konsolen (ctive +irectory 4sers and <omputes. Per te vendosur keto tip te drejtash duhet te ndjekim hapat e meposhtme, Klikojme Start (dministrative tools (ctive +irectory 4sers and <omputers, klikojme menune %ie., 'gjedhim (dvanced #eatures. Klikojme me te djathten tek o!jekti e duam te vendosim Special Permissions dhe klikojme Properties. Ne kutine e dialogut Properties klikojme ta!in Security dhe me pas klikojme (dvanced. Ne kutine e dialogut (dvanced kemi dy mundesi, o Per te vendosur te drejta speciale per nje princip sigurie klikojme (dd. Ne kutine 3nter The =!ject Name To Select shkruajme emrin e principit te sigurise dhe me pas klikojme =K. o Per te ndryshuar te drejtat speciale per nje o!jekt, klikojme hyrjen qe duam te ndryshojme ne listen Permission 3ntries dhe me pas klikojme 3dit. Ne kutine e dialogut Permission 3ntry te o!jektit mund te ndryshojme nje te drejte speciale ne ta!in =!ject and Properies. Ne kutine e dialogut (dvanced Security Settings per o!jektin klikojme =K Ne kutine e dialogut Properties klikojme =K.

(.L(L(

#aqe $) nga $)