You are on page 1of 166

Administriranje mreža

1. Čas Mrežni operativni sistemi i osnovni zadaci administriranja
U oblasti računarstva nove tehnologije se uvode vrtoglavom brzinom. Kompanije su u stalnoj trci
za svojim delom tržišta i za povećanjem profita zbog čega sve brže plasiraju inovacije u hardveru,
softveru i modelima obrade podataka. Svaki IT profesionalac, koji je u poslu duže od 15 minuta, zna da je
jedina konstanta u ovom svetu - promena. Ostati „up-to-date“ sa kompjuterskim tehnologijama je
neumoljiv proces. Danas, ljudi iz ove struke moraju konstantno da vode računa o ogromnoj količini
podataka koja je iz dana u dan sve veća i veća.
Jedna od revolucionarnih promena u računarskoj tehnologiji dogodila se u zadnjoj deceniji.
Širenje upotrebe mini i mikroračunara dovelo je do nastanka tehnologije obrade podataka po modelu
klijent-server. Uvođenje mini računara stvorilo je uslove za ekonomsku opravdanost decentralizacije
računarskih resursa do nivoa sektora preduzeća.
U oblasti informacionih tehnologija, server predstavlja računarski sistem koji pruža usluge drugim
računarskim sistemima – klijentima. Komunikacija između servera i klijenta odvija se preko računarske
mreže. Naziv server najčešće se odnosi na ceo računarski sistem, ali se ponekada koristi i samo za hardver
ili softver takvog sistema. Klijent i server zajedno obrazuju klijent-server mrežnu arhitekturu.
Kad se pod pojmom server podrazumeva računar, to se uglavnom odnosi na računar koji obavlja
serverske poslove. Server se može sastojati od standardnih računarskih komponenti koje se ugrađuju u
obične desktop računare, u slučaju da programi (aplikacije) koji se izvršavaju na serverima nisu složeni,
odnosno hardverski zahtevni. Serveri koji opslužuju složene progame, ili veliki broj korisnika, zahtevaju
specijalizovan hardver koji je optimizovan za upotrebu na serverima. Poseban hardver podrazumeva i
hard diskove visokih performansi, prvenstveno brzine i pouzdanosti. Procesorska brzina nije od ključne
važnosti pošto se većina servera bavi ulazno/izlaznim (I/O – input/output) operacijama i ne koristi
grafički korisnički interfejs (GUI – graphic user interface).
Pod serverom se podrazumeva i program koji od klijenta preko mreže prima zahteve, obrađuje ih i
opet preko mreže šalje odgovore klijentu. Programi koji se koriste na serverima su posebno razvijani za
serverske operativne sisteme i potrebe server-klijent okruženja. Primeri serverskih programa su DHCP,
DNS, mail server, ruter i drugi.
Operativni sistemi koji se koriste na serverima su specijalno dizajnirani za servere. Na serverima
se najviše koriste Linux, Solaris i FreeBSD operativni sistemi koji su razvijeni po uzoru na operativni
sistem Unix. Koriste se i serveri iz Microsoft Windows porodice: Windows NT, Windows 2000, Server
2003, Server 2008.
Za operativne sisteme za server karakteristično je:
 bezbednost i pouzdanost,
 mogućnost rekonfigurisanja softvera i hardvera bez zaustavljanja sistema
 fleksibilnost mrežnog povezivanja.
1.1

Svrha računarskih mreža i umrežavanja
Prvo i najvažnije, umrežavanje vršimo pri pokušaju rešavanja određenih problema, jer smatramo
da nam kompjuterske mreže mogu u tome pomoći. Primera radi, kompanija u kojoj radimo će možda
poželeti da postavi dopadljiv WEB sajt ili da stekne mogućnost slanja i primanja e-mail poruka, ili da
instalira jednostavan server za štampanje u nekoj manjoj kancelariji. Sve su ovo pojedinačni ciljevi, dok
mreža predstavlja način, odnosno alat za njihovo postizanje.
1. Osnovni cilj svakog mrežnog projekta sastoji se u pružanju neke vrste servisa.
Drugo, postoji mnogo različitih servisa koje mreža može pružiti, pri čemu je za svaku vrstu
servisa neophodan drugačiji softver, kako bi se ovi servisi uopšte mogli izvršiti. Pretpostavimo, na primer,
da želite da postavite neki web sajt na Internetu. Mrežni servisi, uključujući i web sajtove, zahtevaju
postojanje dve komponente: serverskog dela i klijentskog dela. Da bismo postavili sjajan web sajt, najpre
ćemo sam sajt kreirati uz pomoć HTML-a, da bismo zatim taj HTML fajl prebacili na svoj web server.
Ako nemamo odgovarajući web server, jedan od načina je da, na nekom od postojećih kompjutera,
instaliramo specijalnu vrstu softvera, koji će tom kompjuteru omogućiti da funkcioniše kao web server.
Međutim, to je samo prva polovina priče – da bi klijenti firme mogli nesmetano da uživaju u sadržaju
1

Administriranje mreža
ovog web servera, biće im neophodan jedan komad klijentskog softvera, poznat pod nazivom web
pretraživač (Web browser). Tako dolazimo do prve prave definicije iz oblasti umrežavanja:
2. Za svaki mrežni servis neophodno je postojanje serverskog softvera i klijentskog softvera.
Treće, informacijama moramo obezbediti neki način da od servera dođu do klijenata, to jest,
moramo uspostaviti fizički sistem po kome servisi mogu putovati. Ukoliko se severi i klijenti nalaze u
istom objektu, dovoljno je kreirati samo tzv. mrežu lokalnog područja (local area network – LAN), za čije
kreiranje je potrebno jednostavno razvući odgovarajuće kablove po prostorijama u tom objektu. Sa druge
strane, ako svoje servise želimo da ponudimo čitavom ostatku sveta, kao u slučaju web servera, tada će
nam biti neophodna neka vrsta WAN (wide area network – mreža šireg područja) konekcije sa
Internetom. U nekim drugim slučajevima, biće nam takođe potrebna WAN konekcija, ali ne sa
Internetom: naime, mnoge kompanije koje se sastoje od izdvojenih i međusobno prostorno izdvojenih
filijala, za njjihovo povezivanje koriste privatne komunikacijske linkove, poput iznajmljene linije (leased
line), T1 ili frame relay. Tako dolazimo do sledeće kockice našeg mrežnog mozaika: svaka mreža mora
posedovati hardverske uređaje za konekciju (svičeve (switches), hubove, rutere (routers), modeme), kao i
odgovarujuće linkove (telefonske linije, mrežne kablove, frame relay, DSL, kablovski modem, ISDN i
sl.), jer se u suprotnom,klijenti neće moći konektovati na serverske računare. Sledi jednostavan
zaključak:
3. Svaka mreža poseduje odrеđene hardverske uređaje za konekciju kao i odgovarujuće linkove.
Četvrto, radi pružanja mrežnih usluga (servisa), server i klijentski računari se moraju dogovoriti
oko načina prenošenja informacija preko mreže. Ovaj dogovor se naziva mrežnim protokolom (network
protokol), a jedan od ovih protokola koji ćemo najverovatnije koristiti na Windows Server 2003
kompjuterskim mrežama, nosi naziv „protokol za kontrolu prenosa/ Internet protokol“ (Transmission
Control Protocol/ Internet Protocol – TCP/IP). TCP/IP je osnovni mrežni protokol koji se upotrebljava na
Internetu, ali je isto tako činjenica da uopšte ne moramo biti na Internetu da bismo koristili ovaj protokol.
4. Ukratko, klijenti i serveri moraju govoriti istim mrežnim protokolom.
Peto, kada jednom uspostavimo komunikacijske kanale i neposredno pre nego što informacije
krenu da teku u oba smera, skoro je sigurno da ćemo morati malo ozbiljnije da se pozabavimo
bezbednošću. Ako smo se već opredili za upotrebu takvog alata kao što su kompjuterske mreže, logično je
da želimo biti sigurni da time nećemo povećati rizike svog poslovanja, a činjenica je da se ovaj alat može
oblikovati tako da svi mogući rizici budu maksimalno redukovani.
5. Mrežama je potrebna sigurnost.
Šesto i poslednje, kada konačno podesimo svoj fantastični mrežni servis, biće neophodno da
ljudima omogućimo način za pronalaženje tog sjajnog servisa. To se može postići upotrebom takozvanog
„nazivnog“ (naming) sistema. Prema tome, naša poslednja mrežna definicija glasi:
6. Mreže moraju korisnicima obezbediti način za pronalaženje željenog servisa.
1.2

Dužnosti administratora sistema
Da bi se efikasno iskoristio neki mrežni operatvni sistem potrebno je mnogo više nego sesti za
računar, uključiti ga i pokrenuti neku aplikaciju. Da bi sve to funkcionisalo na pravi način neko je
prethodno morao da pripremi kako naš računar tako i računarsku mrežu na koju je on priključen. Taj neko
nije niko drugi nego administrator sistema. Generalno gledano svaki računar kao i svaka mreža mora da
ima administartora sistema. Većina adminstratora sistema su oni koji su instalirali i podesili softver i
periferne uređaje u vreme isporuke računara. U večini slučajeva računari i ostaju u prvobitnom stanju jer
većina korisnika retko menja te pšostavke. Međutim, ako korisnik odluči da svoj računar priključi na
Internet ili da promeni pozadinu svog desktopa, on automatski preuzima ulogu administratora sistema. Ta
nova titula donosi i neke obaveze, jer bilo kakva promena na računaru može izazvati njegov pogrešan rad
ili još gore, dati mogućnost nekom nepoznatom uljezu da pristupi našem računaru. Nijedan korisnik čiji je
računar povezan sa Internetom, nije imun na posledice lošeg administriranja sistema, kao što su to
pokazali distribuirani napadi za uskarćivanje usluga (DDoS-Distributed Denial of Service) ili virusi i crvi
koji su potresali Internet zadnjih godina. Posledice svih ovih napada bile bi mnogo manje da su
administratori sistema bolje razumeli svoje obaveze i pravilno odradili svoj posao. Administratori sistema
verovatno bolje razumeju potrebu da sa administracija sistema vrši gotovo svakog dana, za razliku od
običnih korisnika koji smatraju da je dovoljno da se jednom podesi računar i da se više ništa ne dira.
2

Administriranje mreža
Po definiciji, administrator sistema predstavlja osobu koja ima pun pristup sistemu ili osoba koja je
superkorisnik (superuser) ili osnovni korisnik (root user). Mogučnosti svih ostalih korisnika sistema koji
nisu administratori su ograničena za razliku od administratora koji ima neograničena prava na sistemu:
svim korisničkim nalozima, njihovim matičnim datotekama, svim konfiguracionim parametrima i svim
sistemskim datotekama. Opšte je uvaženo pravilo da niko ne treba da se prijavljuje da radi sa sistemom
kao administrator jer mnogi poslovi vezani za sistema mogu bezbednije da se obave na drugi način, o
čemu ćemo govoriti kasnije. Kako administartor sistema ima sva prava na sistemu postoje mnoge njegove
dušnosti ali je njegova prva i osnovna da zna šta radi sa sistemom. Obavljanjem tih dužnosti administrator
može potpuno da prilagodi instalaciju potrebama sistema i omogući njen ispravan i efikasan rad. Sve
naredne pobrojane dužnosti javljaju se prilikom administracije bilo kog sistema i važe gotovo za sve
mrežne operativne sisteme.
1. Instaliranje i podešavanje servera Većina serverskih operativnih sistema dolazi sa velikim brojem
usluga i dodatnih programa koji omogučavaju instaliranje različitih serverskih opcija. U prvobitnim
operativnim sistemima podrazumevalo se da sve te usluge i dodatni programi budi aktivirani.
Međutim, kako je rastao broj računara tako su se i menjala pravila ponašanja ljudi koji su sa njima
radili. Javio se jedan sloj takvih korisnika, slobodno ih možemo nazvati računarskim kriminalcima,
čija je jedina zabava i svrha korišćenja računara da nekome nanesu neku vrstu štete: da umanje
performanse rada drugih računara ili mreža, izbrišu podatke ili potpuno onesposobe tuđe računare.
Takva realnost zahtevala je od mrežnih operativnih sistema da prilikom osnovne instalacije isključe
sve usluge, osim one osnovne, dok se one ne aktiviraju i odgovarajuće podese. Dužnost adminstartora
sistema je da odredi koje usluge su potrebne da se koriste, da ih omogući i pravilno podesi.
Nepotrebne usluge, koje se u sistemu ne koriste ne treba omogućavati jer to predstavlja potencialni
rizik po bezbednost celog sistema. Takođe, usluge koje nam trebaju a ne znamo da ih pravilno
konfigurišemo, bolje je isključiti nego nepravilno podesiti i omogučiti drugima da uđu u naš sistem.
2. Instaliranje i podešavanje aplikacija Podešavanje i prilagođavanje aplikacija je u izvesnoj meri
posao korisnika, ali ne sasvim. Kostur konfiguracije (skeleton) predstavljaju podrazumevani parametri
neke aplikacije, koje definiše i postavlja administrator. Ti parametri predstavljaju osnovu za
korišćenje aplikacije i bez njihovog postavljanja, aplikacije ne može da radi. Većina kompanija
podržava politiku da se ne dozvoli instaliranje aplikacija za koje dozvolu nije dao administrator
sistema. Dva su osnovna razloga: bezbedonost sistema i nelegalno korišćenje kopiranog (piratskog)
softvera. U doba kada se u računarskom svetu svakog dana pojavljuju neki zaraženi softveri (virusi,
crvi, trojanci, ...), postoji velika verovatnoća, da se nekim neovlašćenim programom, naruši integritet
celokupnog sistema, sa nesagledivim posledicama po njega. Sa druge strane treba sprećiti i
instaliranje nelegalnog softvera za koji nije kupljena licenca. Korišćenje nelegalnog softvera podleže
krivičnoj odgovornosti, kako administartora sistema, tako i kompanije u kojoj se taj softver koristi.
Kako je administrator sistema najodgovorniji za pouzdan rad sistema kao i korišćenje legalnog
softvera, jasno je da on treba da preduzme sve potrebne mere da obezbedi pouzdan i legalan rad
sistem. Baš zbog toga gotovo svi administratori sistema se slažu da kod administriranja sistema važi
jedno ’’surovo’’ ali zlatno pravilo: što se manja prava daju korisnicima to je sistem bezbedniji,
pouzdanije radi, a samim tim je smanjen posao administratora.
3. Pravljenje i održavanje korisničkih naloga Za svakog korisnika koji želi da radi se računarom i
mrežnim sistemom, mora da postoji korisnički nalog. Isti je slučaj i za svaki računar gde imamo
računarski nalog. Pravila dobrog ponašanja podrazumevaju da niko ko se nije prijavio na sistem ne
može da radi sa njim. Pre nego što napravi naloge za korisnike, administrator mora da donese neke
odluke koje se odnose na taj nalog. Kao prvo to se odnosi na politiku lozinki. Ko ih kreira, kako se
menjaju, koliki vremenski period važe, koliko su složene i td. Zatim koja prava treba dodeliti tom
korisničkom nalogu: sa kojim programskim paketima mu dozvoliti da radi, koliki prostor na disku
ima taj nalog, kojim datotekama mu omogućiti pristup i kakav, u kom vremenskom periodu mu
omogućiti rad i td. Ako ima više sličnih korisnika bolje napraviti grupni nalog koji će važiti za sve
njih. Donošenje ovih i nekih drugih odluka, deo je dužnosti administratora sistema u upravljanju
korisničkim nalozima. Bez obzira na to da li ova pravila utvrđuje administrator ili rukovodstvo
preduzeća, njih svakako treba propistai radi zaštite svih zainteresovanih. Obično važi pravilo da se to
uradi u pisanoj formi.
3

bude narušena bezbednost sistema ili dođe do greške u administraciji sistema. Pravilno nadgledanje omogućava administratoru sistema da na vreme otkrije neke nepravilnosti u radu i pravovremeno ih otkloni. Teško je zamisliti neku mrežnu instalaciju koja ne podržava ove dodatne usluge. Postoji čuvena izreka da je jedino potpuno bezbedan računar onaj koji nema nikakvih podataka. Pod fizičkom bezbednošću podrazumevamo da osiguramo računar da radi u optimalnim vremenskim uslovima. Ona može da bude fizička i tehnička. Posao administratora je da 4 . Na toj mreži biće samo oni računari za koje administrator da odobrenje. Obezbeđivanje sistema Verovatno da je bezbednost računar i integritet podataka jedan od najvažnijih zadataka administracije sistema. Sprovođenje bezbedonosnih mera je trajan proces. podešavanje i održavanje korisničkih servisa i opreme Već smo ranije pomenuli da svaki mrežni operativni sistem u sebi poseduje i veliki broj dodatnih servisa i usluga koje nudi klijentima. Poseban problem se javlja kada je potrebno vratiti rezervne kopije nazad u sistem. On mora da obezbedi da se nijedan podatak sa računara ili mreže ne ošteti. i MAIL servise koji su danas u najširoj upotrebi. FTP. gde i kada pamtiti rezervne kopije. Ako bi sve ovo bilo ispunkeno postavlja se pitanje za šta bi koristio takav računar. Stepen zaštite sistema u mnogome zavisi od toga na kojoj se mreži nalazi naši računari. Broj tih usluga sve više raste tako da nije redak slučaj da se vide i mnogi multimedijalni servisi kao što su IP telefonija. Ovde možemo da svrstamo i instaliranje VPN (Virtual Privaty Network). Ukoliko želimo da izvučemo maksimum iz našeg sistema neophodno je da pažljivo nadgledam naš sistem i primenimo dijagnostičke programe za pravovremeno pronalaženje problema. programske podatke (instalirane aplikacije) i prikupljeni podaci(baze podataka koje popunjavaju korisnici). 6. namernom ili slučajnom greškom korisnika sistema ili pak zlonamernim upadom spolja. Bez kopija podataka teško možemo da vratimo neki sistem ukoliko dođe do neke greške u hardveru sistema. drajveri). To pred njim postavlja novi zadatak jer je potrebno da se napravi celokupna strategija pamćenja i vraćanja podataka koja podrazumeva sledeće: šta. 7. kao i da onemoguće korišćenje sumnjivih sajtova na Internetu. nije priključen na nikakvu mrežu. od osetljivosti podataka kao i potreba za koje se oni koriste. Ovde se prevashodno misli na PRINT. Samo on može da napravi rezervne kopije kao i da iz njih restauira sistem. Administriranje mreža Instaliranje. Održavanje hardvera računara kao i aktivne/pasivne mrežne opreme takođe sa smatra kao jedan od zadataka administratora. Neke od odluka donose se pri samoj instalaciji sistema a neke je potrebno doneti nakon određenog perioda rada. Zato se preventivno prave planovi oporavka sistema kojih se u kriznim situacijama treba držati. kako. Obično se tada i dešavaju najveći propusti jer se to radi pod dosta velikim pritiskom.4. koji treba da spreče neovlaćeni pristup spolja. Sve podatke koji se nalaze u računarskom sistemu možemo podeliti na tri velike grupe: sistemske podatke (operativni sistem. Tehnička bezbednost podrazumeva podizanje softverskih barijera (firewall) i proxy servera. Nadgledanje i podešavanje performansi Podešavanje sistema je stalan proces u kome se koriste razne dijagnostičke alatke kao i alti za nadgledanje rada sistema. bilo greškom u podešavanju sistema. bilo to iz razloga da otkaže neka hardverska komponenta. Pravljenje rezervnih kopija i njihovo vraćanje Potreba za pravljenjem rezervnih kopija postojaće sve dok oprema ne postane savršena i dok ljudi ne izgube želju za uništavanjem tuđih resursa. 5. nije priključen na električno napajanje i nema prikačene nikakve ulazne uređaje (miš i tastaturu). Ovaj zadatak takođe spada u isključivu nadležnost administratora. WEB. dok će sva ostala infrastruktura ostati potpuno ne promenjena. da ga obezbedimo od fizičkog pritupa neovlašćenih lica kao i da sprečimo njgovo moguće fizičko oštećenje. IP televizija i video konferencije. Pored toga mnogi dijagnostički programi mogu da nam ukažu na loš rad neke od komponenti koju tada treba preventivno zameniti da ne bi u potpunosti otkazala. jedne lepe mogučnosti koja nam omogućava da u okviru zajedničke mrežne strukture postavimo i privatne mreže. koliko često. Nekada je potrebno i ispravnu komponentu zameniti sa nekom robusnijom i efikasnijom kako bi ubrzali rad sistema. Postavlja se pitanje šta od toga treba pamtiti ? U kojim vremenskim intervalima to treba raditi i da li su ti intervali isti za sve vrste podataka ? Da li je potrebno pamtiti kompletno sve podatke ili samo izmene od prethodnog pamčenja ? Koji je medijum bolji za pamćenje podataka: magnetni medijum (trake ili hard diskovi) ili optički medijum (CD i DVD) kao i da li je bolje to imati u sastavu samog računara-servera ili imati posebne zasebne magnetne jedinice za pamčenje ? Koje je vreme najbolje za pravljenje rezervnih kopija ? Sve su to pitanja na koja administrator mora da ima odgovor.

Svedoci smo da je broj nelegalnih upada u sistem kao i raznolikih destruktivnih softvera iz dana u dan sve veći i veći. II čas Uvod u WINDOWS SERVER 2003 2.1 Uvod u WINDOWS SERVER 2003 U samim začetcima računarske industrije samo su neke velike firme mogle da priušte sebi privilegiju da imaju glomazne centralne računare koji su bili jako skupi. čiji je prevashodni zadatak da od konkurencije ukradu najnovije pronalaske ili da na bilo koji način usporavaju ili onesposobljavaju njihove računare. jer neposredno upravlja svih hardverskim komonentama u sistemu. Računari nisu više privilegija velikh firmi. i da mu velika moć bude na dohvat ruke. a da se očuva njegova upotrebna vrednost. tj. Danas. sigurno jedna od odlučujućih. Pojavljuje se sve veći broj kompanija koje prave te računare. 2. service pack. ne postoji. Hiljade novih računarskih virusa koji se pojavljuju svakog meseca čine da rat virusa i antivirusnih programa besni nezamislivom žestinom. Sve je veći broj ljudi koji pokušavaju da na nelegalan način dođu do zarade ili unušte mukotrpan rad drugih ljudi. Sigurno da odlučujuću ulogu u tome igra jedan pouzdan mrežni operativni sistem. mi možemo da obezbedimo svoj računar tako da bar učinimo nedostupne neke stvari ili pak da znatno otežamo pristup nekim resursima koji ne mogu da se obezbede. imajući u vidu da bezbednost računara danas ne znači i njegovu bezbednost sutra. ali je ova bezbedonosna. U to vreme. razvio se i onaj drugi. što doprinosi smanjivanju cene sa jedne strane i neviđenog napretka u jačini tih računara sa druge strane. da je neki mnogo bolji od drugog. veoma mali broj kompanija (IBM i Digital Equipment Corp ) je proizvodio računare pa su samim tim i držali monopol nad njima. tamniji deo. Ranije smo naveli da pouzdana 100% zaštita računarskog sistema. Nije redak slučaj da pojedine kompanije unajmljuju softveraše. bar maksimalno oteža neovlašćen pristup. Međutim. I ono što fascinira u svemu tome. u kome konkurencija uspeva da obezbedi sve jača i moćnija oružja.Administriranje mreža pronađe pravu meru između maksimalne koristi i najstrože bezbednosti. 8. Teško je podvući crtu i opredeliti se za neki od njih. Administrator koji pretenduje da mu njegov sistem bude maksimalno zaštićen. Mnogi proizvođači bezbedonosnog softvera daju nam svakodnevno nove definicije tih napada kao i odgovarajućih alata da se oni spreće ili otklone. Sa druge strane i proizvođači mrežnih operativnih sistema pronalaze mnoge propuste u svome softveru tako da sa vremena na vreme objavljuji svoje dodtake tkz. Osamdesetih godina prošlog veka dolazi do velike ekspanzije malih personalnih računara koji drastično menjaju odnose na računarskom tržištu. konkurencija je sve veća. Prevashodna uloga administratora mreža je da u tom mrežnom ratu. Zloupotreba i prevara vrebaju svuda na mreži. Jednostavnost u instaliranju i korišćenju mrežnih resursa. da se poveže sa mrežom svih mreža Internetom. Gotovo da ne postoji ni jedna ljudska delatnost u kojoj oni nisu pronašli neku upotrebu.1.2 Windows server 2003-kratka istorija Istorija Windows mrežnih sistema počinje daleke 1992 godine sa pojavom prvog operativnog sistema koji je imao integrisanu podršku za umrežavanje više računara: Windows for Workgroups 3. Ova verzija 5 . I jedan i drugi pravac stalno prate najnovija događanja i stalno unapređuju svoje operativne sisteme novim verzijama koje nude sve bolja i bolja rešenja i dodatne servise. pravilnim izborom operativnog sistema. mora sve to da prati i preuzima odgovarajuće mere kako bi preventivnio zaštitio svoj sistem. Korisnici su mogli samostalno da podešavaju mrežne servise: da dele štampač i da određuju koje fajlove će deliti sa ostalim korisnicima koji koriste isti operativni sistem ili MS-DOS. već su postali sastavni deo svakog domaćinstva kao normalna potrebština. U izboru mrežnog operativnog sistema odlučuju i mnoge druge komponente. donelo je revoluciju u upotrebi mreže među PC računarima. U izboru mrežnih operativnih sistema izdvojila su se dva pravca koja danas gospodare gotovo svim mrežama i to su UNIX/LINUX i WINDOWS. Međutim. gotovo svako može da kupi računar. sa velikim razvojem računarske industrije. Hakeri upadaju u privatne mreže firmi širom sveta. Praćenje dodataka i novih verzija Jedan od zadataka administratora sistema je da spreči da se računar koristi u nedobronamerne svrhe kao i da se odbrani od spoljašnjih upada. njegovim postavljenjem kao i njegovim stalnim preventivnim održavanjem. Ne postoji ni jedan aplikacioni softver koji će bolje zaštititi vaš sistem od operativnog sistema koji to može da uradi na najnižem nivou – fizičkom. je neverovatna brzina kojom računari zahvataju gotovo svaku poru ljudskog stvaralaštva. a to je računarski kriminal. ako ne spreči.

5 Server. Sledeće godine izašla je poboljšana verzija. zbog straha da će napraviti konfuziju na tržištu o tome šta . Windows for Workgroups 3. Potom je preimenovan u „Windows.1. kao naslednik Windows Servera 2000. Microsoft je uklonio . Iako je dosta podsjećao na "obični" Windows. Server 2003 predstavljen je 24.NET. godine je izašla poslednja verzija Microsoftovog serverskog operativnog sistema pod nazivom Microsoft Server 2003. Iste godine je bio najavljen razvoj Windows NT 4. pod razvojnim imenom „Whistler Server“. Izvršene su izmene na gotovo svim servisima kao što su: poboljšani aktivni imenici.5 Workstation (Windows NT 3. Već krajem 1994 godine. Međutim.1. koji je smatran od strane Microsofta za kamen temeljac njihove Windows Server System linije. On je doneo jednu potpuno novu uslugu koja je u mnogome olakšala administraciju sistema: aktivni imenik (Active Directory). administratorima sistema pruža mnogo novih mogućnosti. a njegov naslednik Windows Server 2008 izašao je februara 2008. korisnici su oklevajući prešli na Windows 2000 Server. Tokom svog razvoja proizvod je prošao kroz nekoliko promena imena. Dobra osobina je da Windows 2003 dolazi sa takozvanim kompatibilnim modom koji omogućava da se starije aplikacije izvršavaju sa većom stabilnošću. i stekao ogromnu popularnost među mnogobrojnim korisnicima. na tržište izlazi Windows NT 3.5 Radna stanica) koja je trebala da zamijeni 9 meseci stari Windows NT 3. novi alati za podršku složenim GPO objektima kao i novi WEB servis (IIS 6. 1994 godine izlazi Windows NT 3. Prvi put je predstavljen beta testerima sredinom 2000. Windows ME je nastavak na seriju Windows 95/98 operativnih sistema.aprila 2003 godine. ovaj operativni sistem je u samom jezgru bio sasvim drugačiji. O tome nam svedoći i činjenica da je Microsoft za njega izdao servisni paket pre nego što je softver zvanično objavljen.NET Framework. samo malo nadograđen programima za podršku multimedijalnih sadržaja. On se pojavio 1996 god. Po prvi put tada imamo dva odvojena operativna sistema: jedan za server a drugi za klijente. godine izlaze Windows ME i Windows 2000. Ipak. godine. pod razvojnim imenom "Cairo". Microsoft ozbiljno ušao u mrežne operativne sisteme.NET znači. Windows 2003 Server je prvi operativni sistem koji je objavljen od strane Microsoft korporacije posle objavljivanja Trustworthy Computing publikacije (publikacija koju je objavio The Committee on Information Systems Trustworthiness.11 koja je doživela još veću popularnost. poboljšani DNS server. godine u pretposlednjoj beta verziji. 6 . koji se znatno razllikuje od Windowsa 2000 i ranijih mrežnih operativnih sistema.NET Server“ kao deo Microsoft-ovog truda da promoviše svoj novi razvojni alat. Iako običnom korisniku nema neke velike razlike u izgledu ova dva operativna sistema. Konačno 2003.0. oni se ipak razlikuju u samoj osnovi. već je služila kao mašina za razvijanje programa. unapređeni Terminal Service i više čarobnjaka za konfigurisanje gotovo svih servisa na koje čemo u narednim poglavljiva obratiti više pažnje. mrežni server i radna stanica (korisnička mašina u mreži). napravljeno je mnogo instalacija Windows Server 2003 još u beta verziji. kada je bilo dosta grešaka. Za razliku od svojih prethodnika.0. platforma koja nije bila namijenjena običnim korisnicima.Administriranje mreža operativnog sistema je imala je i programe za elektronsku poštu (Microsoft Mail) i organizator za radne grupe (Schedule+). ali ima sve alatke potrebne za efikasno administriranje mreže. Microsoft. godine. Poučeni ranijim primerom. a poboljšanje performansi u odnosu na Windows 2000 je neverovatna. tako da su jako često izdavane dopune za njih (service pack). Odlika tih operativnih sistema bila je jako nestabilna i nesigurna podrška mrežnim servisima.0).1 Advanced Server (server za mrežu) je izašao je Windows NT 3. 2000. Windows Server 2003 nije svemoćan čim se “izvadi iz kutije”. mnogi smatraju da je tek sa pojavom Windows NT linije. Među tim alatkama su one za integrisanje sa razvojnim okruženjem . kojom se definiše sigurnost i pouzdanost operativnog sistema [5]). Kao rezultat ovoga Windows 2003 Server je izašao sa brojnim sigurnosnim izmenama i dodacima. dok je Windows 2000 predstavljao nadgradnju Windows NT 4.NET iz naziva tokom 2002. Ali ni on nije bio imun na ranije bolesti ovih mrežnih operativnih sistema jer je bilo mnogo propusta u njegovom radu. Beta verzija ovog dugo očekivanog operativnog sistema pokazala se kao veoma stabilna. potom je naziv promenjen u „Windows 2002 Server“ za kratko vreme tokom 2001. Kao zamena za Windows NT 3. Windows Server 2003 je složen operativni sistem. Nova unapređena verzija Windows Server 2003 se pojavila decembra 2005.

baza podataka i datoteka u aktivni imenik 7 . što znači da za aplikacije na serveru ostaje 2GB. ugneždene (embedded) verzije. ali prema zvaničnoj specifikaciji ovaj softverski proizvod može se nabaviti u sledeća četiri „proizvodna izdanja“:  Windows Sever 2003. Zbog ovih osobina Standard Edition je pogodan za manja preduzeća Windows Server 2003 – Enterprise Edition Enterprise Edition predstavlja nadgradnju na Standard Edition. ako računamo 64-bitnu verziju. dostupnost i sigurnost na mreži. Standard Edition  Windows Sever 2003. zapravo. Eterprise Edition  Windows Sever 2003. Tradicija se nastavila i u Windows Serveru 2003. Ima sve mogućnosti kao i Standard Edition plus alate koji poboljšavaju pouzdanost. od toga operativni sistem rezerviše 2GB za sopstvene potrebe. Datacenter Edition  Windows Sever 2003. veliki broj različitih verzija Servera 2003.Administriranje mreža 2. Podržava servise direktorijuma. Web Edition Windows Server 2003 – Standard Edition Windows Server 2003 – Standard Edition je pouzdan. itd.3 Izdanja Windows Server 2003 Sa pojavom Windows Server 2000. štampanja. Glavna razlika je u tome što Enterprise Edition podržava rad sa serverima visokih performansi:  Podržava do osam mikroprocesora na serveru  Podržava 32 GB RAM-a. gde se za operativni sistem rezerviše samo 1GB memorije omogućavajući ostalim aplikacijama na serveru da koriste do 3GB. Međutim ova verzija ima i sledeća ograničenja:  Mogu se koristiti maksimaslno četri procesora na jednom serveru  Nije dozvoljeno više 4GB memorije. multifunkcionalni mrežni operativni sistem koji ima sve osnovne funkcije koje su potrebne za podršku malih do srednjih mreža. Postoji. datoteka. koji omogučavaju integraciju više direktorijuma. multimedije i Web servise.  Podržava Microsoft Metadirectory Services (MMS).. aplikacija. Microsoft je uveo jednu novinu jer je objavio i čitavu familiju novih server operativnih sistema.

kao što mu i samo ime kaže. Najčešće teškoće pri instalaciji nastaju zbog greške u planiranju (pogrešno definisanje particija. ali samo do 10 dolazećih SMB(Server Message Block) eza Web edition je. koji omogućava raspoređivanje procesorskih i memorijskih resursa u odnosu na potrebe aplikacija  Ima podršku za Hot Add Memory (HAM). idealno za servere koji se koriste kao Internet ili intranet serveri. Windows server 2003 – Datacenter Edition Windows server 2003 – Datacenter Edition je najmoćnija verzija u Windows Servera 2003 familiji. lokacija i servisa. on može da se promoviše u kontroler domena. već može da se od instalacije učini i nešto više od prostog postavljanja Windows-a 2003. Proširenja. Prodaje se samo kao OEM verzija. Microsoft je projektovao Datacenter Edition tako da bude najstabilnija. Web server izdanje ne podržava neke od naprednih servisa. kao što su:  Napredni alati koji obezbeđuju sigurnost na mreži.4 Priprema za instaliranje Windows Servera 2003 Pre nego što krenemo sa instalacijom potrebno je isplanirati neke stvari kako kasnije ne bi došli u situaciju da nešto ne možemo da uradimo.. Web Edition je optimizivan za Microsoftov Internet Information Services ( I I S ) Web server platformu. je specijalno dizajniran da omogućujući korisnicima jednostavan razvoj WEB stranica. prezentacija. Pravilnim planiranjem. Windows Server 2003. Windows Server 2003 – Web Edition Osnovna ideja kod izdavanja ove verzije je bila da se uđe na sve veće tržište WEB servera. mogu da se prilagode osobine i proširenja 8 . Windows Server 2003 – Enterprise Edition namenjen je za upotrebu u srednjim i velikim poslovnim sistemima. ali i dalje je potrebno da se unapred definiše neki plan. 2. kao na primer Internet Authorization Server (IAS)  Fax servise  Gateway servise  DHCP servise  Terminal servise Podržava:  Do dva procesora na serveru i  2 GB RAM memorije  neograničen broj anonimnih WEB povezivanja. Datacenter Edition predstavlja nadgradnju na Standard Edition. Ovaj operativni sistem karakterišu visoka pouzdanost i performanse. najpouzdanija i najmoćnija verzija Windows Severa 2003. poboljšanja i nove osobine povećavaju mogućnost da proces protekne glatko. 64-bitne i 128-bitne (dve 64-bitne) platforme. Datacenter je namenjen velikim preduzećima kojima su potrebni najmoćniji i najskuplji serveri koji retko „pucaju“ i retko se moraju restartovati.Administriranje mreža  Poseduje Windows System Resource Manager (WSRM). uz vrhunske serverske platforme i u potpunosti podržava 32-bitne. Razlika je u tome što Datacenter Edition podržava mnogo više procesora i memorije u jednom serveru:  Podržava i do 32 procesora na jednom serveru  Može se ugraditi RAM memorija od 64GB kod 32-bitnih i 512GB kod 64-bitnih platformi. ovaj operativni sistem je i najskuplji u familiji i ujedno i jedina verzija koju na možemo kupiti i instalirati sami. Kao i Enterprise Server Edition. Kao takav. Inicijalno svaka instalacija počinje sa instalacijom osnovnog serverskog programa. pa moramo da ponovimo postupak iz početka. Web Edition. koji omogućuje dodavanje memorije sistemu bez naknadnog ponovnog pokretanja sistema. Kada se jednom pokrene stabilan server. Planiranje ne služi samo za sprečavanje grešaka. kreiranje server člana kada on treba da bude kontroler domena ili neka druga jednostavna stvar).

Administriranje mreža
Windows-a 2003, tako da se buduće instalacije obave brže i lakše. Zato treba uraditi sledeće stvari:
 Proverimo minimalne sistemske zahteve, tako što ćemo posetiti Microsoftovu Web lokaciju i
pročitati odeljak System Requirements za Windows Server 2003.
 Pročitamo uputstva za instaliranje i napomene uz konkretno izdanje Windows Servera 2003, koja
se nalaze na njegovim kompakt diskovima.
 Odlučimo da li ćemo da nadograditi postojeći ili instalirati novi operativni sistem.
 Odlučimo kako ćemo plaćati korišćenje (licencu): po serveru ili po radnom mestu.
 Odlučimo da li nam je potrebna mogućnost biranja operativnog sistema prilikom svakog
pokretanja računara.
 Utvrdimo da li nam za instalaciju treba posebna particija?
 Izaberemo komponente koje ćemo instalirati, odnosno odredimo namenu servera.
 Odlučimo kako ćemo rešiti umrežavanje, IP, TCP/IP i razrešavanje imena.
 Odaberemo radne grupe ili domene.
 Izvadimo kablove svih UPS uređaja. Postupak instaliranja pokušava da prepozna sve uređaje
priključene ne serijske priključke računara, pa bi UPS mogao da izazove poteškoće u procesu
prepoznavanja.
2.4.1 Sistemski zahtevi i izbor hardvera
U bilo kojoj primeni računara sistemski resursi igraju glavnu ulogu i u osnovi određuju kvalitet aplikacije
koja se izvršava. Kod mrežnih operativnih sistema taj resurs, možda i najviše dolazi do izražaja. U suštini ne
postoji neka tačna podela na serverski i klijentski hardver, tj. bilo koji računar može biti i server i klijent. Pitanje se
postavlja samo na kvalitet usluge koji računar sa takvim resursima može da daje. Zato got ovo svaki proizvođač

mrežnih operativnih sistema, preporučuje odgovarajuče sistemske resurse u zavisnosti od namene servera
na kome će taj softver raditi. Tri resursa tu igraju glavnu ulogu i to su:
Brzina CPU
Iako se Server 2003 može pokrenuti i na nečemu što je tako sporo kao računar koji radi na
266MHz, po preporuci proizvođača minimalna brzina koju procesor treba da poseduje jeste 733MHz.
Ipak, preporučljivo je koristiti procesore koji funkcioniše na većim frekvencijama od bar 1GHz. pa na
više. Naravno, da jači i brži procesor daje i mnogo bolje rezultate, kao i upotreba višestrukih procesora.
Veličina operativne memorije - RAM
Obično smo skloni da smatramo kako je CPU osnovna komponenta koja definiše brzinu rada
operativnog sistema. Međutim, kao što je uvek bio slučaj sa članovima NT familije, posedovanje dovoljne
količine RAM-a, koja će OS-u dati prostora da diše, podjednako je važno za obezbeđivanje besprekornih
performansi servera. Ali, koliko bi tačno memorije bilo potrebno da obezbedimo? Ovo je veoma
nezgodno pitanje, jer odgovor u mnogome zavisi od funkcije samog servera: jednostavni fajl serveri i
serveri za štampanje mogu sasvim solidno funkcionisati sa 256 RAM-a, dok će računari na kojima se
izvšavaju SQL Server, Exchange Server, IIS i slične aplikacije, zahtevati bar nekoliko gigabajta RAM-a
za nesmetani rad.
Preporuka proizvođača je da Windows Server 2003 radi na minimumu od 512MB.
Sa druge strane, veća količina memorije otvara veći prostor za pojavu hardverskih otkaza u
memorijskim čipovima, te je upravo zbog toga neophodno upotrebiti memoriju sa takozvanim „kodom za
ispravljanje grešaka“ ECC (Error Correcting Code). Gubitak podataka može da nastane zbog lošeg
memorijskog čipa, ali do gubitka podataka mogu da dovedu i slučajni događaji (statički elektricitet,
kolebanje elek.napajanja). ECC je dobar zato što ne samo da detektuje greške u memoriji, nego ih
automatski i koriguje. U slučaju da dođe do promene napona, ECC detektuje problem i rešava ga bez
ikakvog upozorenja korisniku.
Veličina sekundarne memorije (HDD)
Bazična, ogoljena (bare-bones) instalacija operativnog sistema Windows Server 2003, Standard
Edition, progutaće oko 1.5GB slobodnog prostora na hard disku. Naravno, na svoj hard disk možemo
poželeti da, osim OS-a, instaliramo i neke druge programe, tako da će nam trebati znatno više od toga –
koliko tačno više zavisiće prvenstveno od toga šta želite da postignete sa svojim serverom. Ipak,
preporuka je da ne bi čak ni trebalo započinjati instalaciju bez minimum 4GB raspoloživog prostora na
disku. Po preporuci proizvođača, zahtevi koje Windows 2003 postavlja pred čvrsti disk su minimun 4GB
9

Administriranje mreža
slobodnog prostora plus dodatnih 1GB za svakih 256MB RAM-a. Ovo opet može da varira od budućih
namena servera, ukoliko će server imati dosta instaliranih aplikacija veličina diska može i da se utrostruči.
Kao što se iz prethodno navedenog vidi jako je teško specificirati neku optimalnu konfiguraciju za
rad Windows Servera 2003. Ukoliko će računar služiti za prosto deljenje datoteka i štampača onda nije
potrebno mnogo resursa, ali ako sa druge strane postoji potreba za Web serverom, mail serverom ili
upravljanjem korisničkim nalozima za hiljade korisnika, onda je potrebna velika količina memorije kako
operativne tako i sekundarne kao i procesor sa dosta velikim radnim taktom.
Međutim, za pouzdan rad jednog mrežnog operativnog sistema nisu bitne samo njegove
performanse u vidu veličine i brzine. Puno puta bolje je instalirati komponentu od proverenog
proizvođača smanjenih performansi, u odnosu na neku nesugurnu komponentu koja može da izazove
mnoge probleme. U tom pogledu kompanija Microsoft se pobrinula da pomogne svojim korisnicima.
Radi potpunog uvida u sve hardverske zahteve operativnog sistema, potrebno je pogledati listu
hardverske kompatibilnosti HCL (Hardware Compatibility List). Ako želimo dobar i pouzdan računarserver, potrebno je da svaka hardverska komponenta koja je instalirana na njemu, bude prisutna na ovoj
listi. Bilo koji hardverski uređaj koji se ne nalazi na listi, može prouzrokovati različite probleme, od
neispravnog rada aplikativnih programa, sve do pada čitavog operativnog sistema, pa čak i eventualne
nemogućnosti njegove instalacije. Ukoliko hardver nije na listi mora se imati njen OEM drajver koji
dolazi sa hardverom, ali opet postoji rizik, jer Microsoft nije testirao kako to radi. Ovu listu možemo
pronaćai na svom instalacionom CD-u za Windows Server 2003 (\Support\HCL.txt) ili na web stranici
ftp://ftp.microsoft.com/services/whql/HCL/.
2.4.2 Priprema BIOS-a
Najlakši način da se pokrene instalacija je taj da se u BIOS Setup-u namesti da se računar pokreće
sa CD-a. Među mnoštvom opcija treba naći onu koja govori sa kog uređaja će se startovati računar.
Naravno to se razlikuje od računara do računara i od proizvođača BIOS-a. Uglavnom to treba da izgleda
otprilike ovako: Advanced BIOS Setup/BOOT devices i onda ovde treba izabrati CD-ROM kako bi se
naglasilo računaru da je to prvi butabilni medijum. Pri nameštanju ove opcije treba biti oprezan jer kasnije
u fazi podizanja sistema, kada Setup zatraži da se sistem restartuje, treba vratiti opciju tako da se sistem
podiže sa čvrstog diska. Ukoliko se ovo ne odradi može desiti da se stalno vrtite u krug tj. da ostane u
stalnoj inicijalnoj fazi rada sa CD-om.
Još jedan deo priprema BIOS-a jeste konfiguracija i rezervacija prekida (interrupt reservation).
Pošto je većina sistema na kojima može da se pokrene Windows 2003 savremena ovaj korak bi trebalo da
bude lak. Problem se javlja pri pokušaju da se doda stara komponenta, koja ne podržava Plug and Play u
sistem koji to podržava. U slučaju da se poseduje neki stari mrežni adapter koji ne podržava Plug and
Play koji je podešen za prekid od 10. Kada se postavlja neki uređaj koji podržava Plug and Play, možda
će hteti da prekid inicijalizuje na 10, ne znajući da stara komponenta ima isti zahtev. Čim drajver
inicijalizuje karticu dolazi do problema. Stoga bilo bi najbolje da se u BIOS-u podesi da interrupt od 10
bude rezervisan za kartice koje ne podržavaju Plug and Play. Ovim se naglašava nekom uređaju koji
podržava Plug and Play da to područje ostavi na miru.
2.4.3 Podela na particije
Planiranje šeme podela na particije može biti deo koji se često zaboravlja prilikom instalacije.
Windows 2003 pruža neke napredne mogućnosti za upravljanje particijama prilikom instalacije i ono što
se tada odluči najverovatnije će ostati i u toku njegovog rada. Najbolje je znati kakav tip servera se pravi i
na osnovu te odluke odlučiti kolike će biti particije. Ukoliko je server jednostavan i predstavlja nekoliko
deljivih direktorijuma i štampača preporuka bi bila čuvanje podataka na jednoj a sistema na drugoj
particiji. U ovom slučaju na sistemskoj particiji bi bio dovoljan minimum od 2GB. Ako je server
namenjen za korišćenje RIS-a (Remote Installation Services) biće potrebna i treća particija koja je
pripremljena samo za ovaj servis. RIS ne može da čuva slike sistema na boot particiji. Uglavnom sa
današnjim cenama hard diskova sistemska particija ne bi trebalo biti manja od 20GB jer će sigurno na
serveru biti instalirano dosta aplikacija, pogotovo na serveru koji je namenjen za potrebe škole. Druga
particija treba služiti za skladištenje podataka i njena veličina takođe ne sme preći cifru manju od 20GB.
10

Administriranje mreža
Treba pomenuti i odabir sistema datoteka. Tu se ne postavlja pitanje jer je NTFS (NT File System) danas
postao nezamenljiv fajl sistem. Ali ukoliko se na server povezuje neki računar sa DOS operativnim
sistemom biće potreban FAT fajl sistem. Danas su takvu slučajevi retki i gotovo nemogući ali ipak treba
imati i ovu stvar na umu.
2.4.4 Tip i ime servera i veze na mreži
Server može biti instaliran ili kao samostalni server ili kao server koji pripada nekom domenu.
Samostalan server (standalone server) ne pripada nijednom domenu, već određenoj radnoj grupi.
Korisnici koji se nalaze u radnoj grupi mogu da koriste resurse sa servera ali ne mogu da koriste prednosti
aktivnog direktorijuma. Kod instalacije servera koji pripadaju nekom domenu on može biti instaliran kao
upravljač tog domena ili kao pridruženi server. Server koji je konfigurisan kao upravljač nekog domena
učestvuje kod svih prijavljivanja klijenata na taj domen i stara se o potpunoj bezbenosti tog domena. Ne
postoji neko ograničenje u pogledu ovog izbora, jer se i kasnije, nakon instalacije, moguće prebaciti status
servera iz jednog u drugog. Planiranje imena servera je potrebno samo u slučaju da se na mreži koja se
projektuje nađe više servera pa se može doći u situaciju da se ne zna koji server nosi koje ime. Ukoliko je
server na maloj LAN (Local Area Network) mreži i tu je jedini, onda ovaj korak nije potrebno planirati.
Ne treba davati isto ime serveru i korisnicima. Ukoliko postoji namera da se prijavi na server koji ima isto
ime kao i neko od korisnika, javiće se nekoliko grešaka. Ne zaboravimo da korisnici ne treba da brinu o
imenu servera. Šta ako se server nalazi u drugoj zgradi ili u drugom gradu? Rezultat svega ovoga je da o
ovome treba razmisliti, uključiti i korisnike i ljude koji će upravljati mrežom. Treba postignuti sporazum
o tome šta je bitno a šta ne. Iako postoji mogućnost da se kasnije lako promeni ime servera, nije lako
promeniti stotine korisničkih radnih stanica koje su povezane sa njim.
2.4.4 Licenciranje servera
Osnovna uloga bilo kojeg servera, a samim tim i mrežnog operativnig sistema je da pruži usluge
velikom broju korisnika. Microsoft je tu video još jednu mogućnost da zaradi, pa je uveo jedan potpuno
novi način mogućnosti da se sa njim radi – licenciranje servera za rad. Dva su osnovna režima izdavanja
licenci za rad i to per-seat i per-server.
1
- Licenca po korisniku (per-seat) zahteva da svaki klijent na mreži koji pristupa Windows 2003
serveru, ima svoju licencu. Ovo je najlakši metod za dodavanje licence, zato što se jedino broji koliko
klijenata ima. Ne treba brinuti o uporednim vezama za te klijente sa jednim serverom ili o tome sa koliko
servera klijent uspostavlja vezu.
2
- Licenca po serveru (per-server) se razlikuje u tome da svaka veza klijenta i servera zahteva
licencu. Ako je klijent povezan sa 25 različitih servera, tada je njemu potrebna po jedna licenca za svaki
server, dakle 25 licenci, ali postoji i uporedno korišćenje licence što je jednostavnije, jer je lakše za
praćenje.
3
- Licenca po uređaju (per-device) omogućuje prijavljivanje računara na server.
Licenciranje per-server je jednostavnije. Kaže se serveru da je kupljen određen broj licenci.
Serverov servis za licence (deo Windows-a 2003) tada prati koliko je ljudi povezano na računar u
određenom trenutku. Ako je kupljeno X licenci i X+1-va osoba pokuša da se poveže, onda je njoj
zabranjen pristup. Licenciranje per-seat podrazumeva licenciranje svake mašine, što znači da svaki
računar mora da ima svoju licencu. Generalno licenciranje per-seat je jevtinije.
2.5 Načini za instaliranje operativnog sistema
Postoji nekoliko načina da se instalira Windows Server 2003:
 Instalacija sa sistemskih disketa - ukoliko ne posedujemo butabilni CD-ROM drajv onda
instalaciju možemo pokrenuti i sa flopi diskete.
 Instalacija sa kompakt diska - ako je naš kompjuter podešen tako da se butuje sa CD-ROM
uređaja, onda Windows 2003 instalacioni program možemo direktno podići sa CD-a.
 Instalacija sa kompakt diska iz operativnog sistema – ukoliko nam postojeći operativni sistem
na našem računaru to omogućava, instalaciju možemo pokrenuti i sa CD-ROM drajva, bez
korišćenja butabilnih disketa.
11

exe pokrenemo s lokalnog CD čitača ili nekog čitača u mreži. tako što ćemo otkucati A:\winnt.5. Ako već imamo Windows NT ili Windows Server 2003 (završnu ili beta verziju). Pošto zadamo sistem datoteka. Pokretanje programa Setup učitava se u memoriju minimalan broj komponenata Windows Servera 2003. podiže se tekstualna verzija programa Setup. program Setup odmah počinje instaliranje datoteka u particiju. Sad bi trebalo izabrati sistem datoteka (FAT16. Pošto se radi o načinu koji je najviše zastupljen. 2. koja se naziva Remote Installation Services (RIS). 12 .exe možemo okrenuti iz direktorijuma I386 na instalacionom kompakt disku. u narednom poglavlju posvetićemo mu više pažnje i na njegovom primeru objasnićemo detaljnu instalaciju. Razume se. bez potrebe da fizički budu pored mašine kako bi pokrenuli instalaciju. Sledeći korak je podela diska. Ovi fajlovi se mogu nalaziti na deljenom CD-ROM-u ili se njihova kopija može nalaziti u nekom zajedničkom folderu. Program Setup zatim snima početnu konfiguraciju na disk i ponovo pokreće računar.5. Datoteke opoerativnog sistema Windows Server 2003 instaliraju se u direktorijum C:\Winnt. datoteku winnt32. program Setup će formatirati izabranu particiju. Prilikom podizanja. 4.exe iz korenskog direktorijuma s CD-a. 3.  Administriranje mreža Instalacija sa mreže – ovu vrstu instalacije možemo primeniti ako su Windows 2003 instalacioni fajlovi smešteni na nekom kompjuteru koji nam j dostupan kroz mrežu.1 Instalacija sa sistemskih disketa Ova instalacaji je postala deo istorije ali je zadržana ovde radi kompatibilnosti sa ranijim instalacijama Windows operativnih sistema. koji se zovu distribuconi direktorijumi (eng.2 Instalacija sa kompakt diska Računar možemo da podesimo i tako da se operativni sistem podiže s kompakt diska ili da izvršavanje datoteke winnt. FAT 32 ili NTFS).3 Instalacija sa mreže Server možemo da instaliramo i sa deljenih direktorijuma u mreži. Možemo da izaberemo postojeću particiju ili napravimo novu. prvo se pojavljuje ekran Setup Windows Servera 2003. Na ekranu se pojavljuju uobičajeni uslovi licence. Čim završi formatiranje. Na ciljnom računaru pravimo FAT particiju. Umetnemo disk 1 u disketnu jedinicu A:. onda ne bi trebalo da pravimo particije na drugim diskovima niti da ih formatiramo. distribution drives) ili serveri. Ukoliko na mreži ne postoji distribucioni direktorijum onda bi trebalo sa instalacionog kompakt diska direktorijuma Windows Servera 2003 kopirati direktorijum I386 ili ia64 (za sisteme sa procesorom Itanium) na neki disk. Kod u memoriji sadrži funkcije koje pokreću program Setup. Pošto je distribucioni dierktorijum pripremljen. 2. Ova particija trebalo bi da bude usklađena sa prethodno preporučenim parametrima. koji nas vodi kroz podešavanje servera. Da bi se sprečilo da neovlašćeni korisnici pristupaju distribucionim datotekama treba postaviti neophodna ograničenja pristupa. a hoćemo da sistem bude instaliran samo na jednom. Remote instalacija – Microsoft poseduje proceduru koja administratorima omogućava instaliranje OS-a na udaljenim računarima. postupak je sledeći: 1. 2. unošenja podataka koji se od nas traže i ponovnog pokretanja OS-a. možemo da koristimo staru dobru DOS-ovu komandu FDISK. ali ako nam je disk dovolj o velik (više od 2GB). a od nas se očekuje da ih prihvatimo. da bi ovaj način instaliranja trebalo primenjivati samo unutar svoje lokalne mreže. trebalo bi da se pridržavamo sledećeg postupka: 1.5. jer sve što je sporije od standardnih 10MB/s prouzrokovaće mučno spor proces instaliranja. Ako na sistemu imamo više diskova. a zatim ponovo pokrenemo računar. Postupak instaliranja sa kompakt diska sastoji se od više koraka. samo FDISK Windowsa 98 za FAT32 omogućava da ceo prostor formatiramo kao edan veliki disk. Da bi smo napravili particiju. Ako za početno instaliranje želimo da upotrebimo diskete. Posle ponovnog pokretanja računara. 5. Program Setup će od nas zatražiti da zadamo particiju na kojoj treba da bude inastaliran operativni sistem. Instaliranje se završava programom Installation Server Wizard. Druga mogućnost je da instalacioni program Setup pokrenemo sa DOS-ove komandne linije. 2. a zatim taj direktorijum podesiti za deljeno korišćenje. ili prosto pokrenemo setup.

koriteći kao odredište našu lokalnu disketnu jedinicu A:. i tada se pravi boot disketa. 2. koji određuje gde će se izvršiti instalacija. Ovde se prilogođavaju gotovo sve hardverske komponente. Treba izabrati da li se podešava Windows 2003. Završna faza obuhvata kopiranje datoteka. Za to mogu da posluže sistemske diskete Windowsa 95/98. podesi se BIOS Setup za pokretanje računara sa CD-a.1 Predinstalacija: Faza I Prva faza ili predinstalacija kreće tako što treba da se poveže na izvor instalacije. fino podešavanje sistema i uklanjanje privremenih datoteka. Pošto pristupimo distribucionon direktorijumu u mreži. Najočiglednije je da treba odabrati particiju na koju se želi da instalirati Windows 2003. U ovom slučaju to je CD. kreće se sa samom instalacijom. 1 2. 1 2. Pri startovanju postavlja se pitanje da li se sigurno želi da se računar startuje sa CD-a. imena računara u domenu itd. Mogu se obrisati postojeće particije.6. izabrati koji fajl sistem se želi (NTFS) i pritisnuti Enter.exe pravi četiri sistemske diskete za Windows Server 2003. Postoje dve stvari koje treba uraditi. potrebno je setiti se planiranja o podeli diska. Odgovara se potvrdno i kreće se sa instalacijom. Setup potom ispituje diskove i nakon toga se kopiraju sve Windows 2003 datoteke na particiju koju smo označili kao sistemsku. Po završetku formatiranja instalacija se nastavlja.2 Tekstualni deo Setup-a: Faza II Druga faza je tekstualni deo instalacije. Winnt. Treba znati da se kod brisanja particija i kreiranja novih. servisi. popravlja neka postojeća instalacija. 13 . Treća faza je grafička faza i predstavlja najdužu fazu instalacije. ali bi i običan DOS završio posao. ili neće ništa da se preduzima. podižemo računar pod operativnim sistemom koji može da radi klijent u mreži.6. Pre nego što se krene sa podelom diska na particije. treba imati DOS operativni sistem. Zatim se pojavljuje ekran Disk Partition and Installation Location. Za nastavak instalacije i potvrdu o slaganju sa ugovorom pritisne se F8. 3. Zatim se odvija sledeće: 1. Neophodno je naprviti i konfiguracione datoteke koje prijavlljuju ciljni računar mrežu i koje omogućavajukorišćenje sadržaja deljenih distribucionih servisa. započinjemo postupak instalacije pokretanjem programa winnt. Zatim.6 Proces instalacije Windows Serevr 2003 Nakon procesa planiranja instalacije. Znači. drajvere za mrežnu karticu. gube svi podaci na disku. Postupak koji se potom nastavlja isti je kao pri instaliranju sa sistemskih disketa. preko kojih se treba povezati na mrežu i povezati sa izvorom instalacije.exe kopira neke instalacione datoteke u privremeni direktorijum na ciljnom serveru. Prva faza je predinstalacioni Setup gde se definišu opcije kako će se odvijati instalacija. Nakon ove faze sledi faza podešavanja mrežnih komponenti i prilagožavanje našeg servera za rad u mreži.exe na ciljnom računaru pravi privremeni direktorijum $Win_nt$. U ovom slučaju instalacija se pokreće sa CDa što će verovatno i biti u 99% slučajeva.Kada se završi i ova faza. Instalacija počinje ekranom dobrodošlice. Instalacija sistema se može podeliti u više faza.exe sa distribucionog servisa. Izabere se ova opcija i pritisne se Enter. Winnt. Winnt. Po završetku kopiranja sam sistem se priprema za grafički deo Setup-a i restartovanje. Treba izabrati New (Unformated). Ukoliko se pritisne F3.Administriranje mreža 2. Nakon toga potrebno je da se novoformirane particije formatiraju. Odavde se može kompletno menjati šema podele diska na particije. 2. Druga faza je Setup koji se zasniva na tekstu. kreirati nove kao i formatirati iste bilo da su sa NTFS ili FAT sistemom. server je spreman za rad. U izvesnim slučajevima ukoliko se želi pokretanje instalacije sa mreže. Restartuje se računar. Ispod ovog ekrana nalazi se vrlo koristan program za podelu diska na particije. Za nastavak Setup-a pritiska se Enter taster nakon čega se pojavljuje ekran sa ugovorom o korišćenju softvera (Licence Agreemnet-om). opcija Quit će biti dostupna sve vreme instalacije. DOS klijent bi trebalo da sadrži sledeće datoteke:  Datoteke protokola TCP/IP  Minimalan broj datoteka koje su porebne za rad DOS-a  Uprvljačke programe za mrežne kartice 3.

o kompaniji ili organizaciji koja je vlasnik licence za softver i o računaru. Nakon toga sledi poslednja mogućnost da se podesi sistemsko vreme preko podešavanja datuma. Sledeći okvir za dijalog je onaj sa opcijama za licenciranje. Potom se traži unošenje serijskog broja (product key).  Name and Organization (Ime i organizacija): Ovde treba da upišemo ime osobe odovorne za softver i ime organizacije koja je vlasnik licence. Ukoliko instalacija pronađe modem. Podešavanje zona je posebno bitno u mrežama koje funkcionišu u različitim vremenskim zonama.  Licensing mode (Vrsta licence): Ovde se možemo opredeliti za licencu po serveru (eng. Unosi se ona informacija koja je dobijena pri kupovini proizvoda.2). Ukoliko želimo da aplikacije koristimo na serveru.). 14 . Od nas će se tražiti da unesemo podatke o sebi. tako da mora postojati drajver za svaki uređaj. je veoma važna. prikazivaće pogrešno vreme.3). Zato lozinka mora da zadovolji odreĐene kriterijume. onda u aplikativnom režimu biramo opciju CAL. Posle ove faze. naročito ako se instalacija vrši iz početka. Ove opcije su ubačene u Setup-u tako da nije potrebna kasnija konfiguracija svake Dial-up sesije.  Computer Name (Ime računara): Ovde se upisuje NetBios ime. kod oblasti i broj sa kojim se želi povezivanje. dobiće se poruka o nepoznatom uređaju (Uknown Device) . Tu se definišu formati brojeva. Server možemo podesiti i tako da koristi više jezika i regionalnih parametara. per-device). Lozinka mora imati najmanje 6 karaktera. Windows Server 2003 će od nas zatražiti sledeć podatke:  Language Options (Opcije koje se odnose na lokalni jezik): Ovde treba da zadamo jezik..3 Grafički deo Setup-a: Faza III Čim se uđe u grafički deo Setup-a. Ako se opredelimo za licencu po korisniku.. Windows će instalirati odgovarajući skup znakova za svaki od njih. koji će naši korisnici prepoznavati. Windows Server 2003 će nam predložiti ime. Windows nam daje prilličnu slobodu kada računarima dajemo imena. sem kod upravljača domena. Mnogi programi automatski uzimaju u obzir vremensku zonu i prilagoĐavaju vreme koje se prikazuje. vreme. lokalitet i odgovarajuću tastaturu. Ako izaberemo više jezika. perserver).). Lozinka administratora. koje bi trebalo da izmenimo u ime koje će nam nešto značiti. valuta. Ime organizacije koje se ovde unosi prikazuje na koga je proizvod registrovan.. mala slova (a. Windows 2003 pokreće Plug and Play fazu detekcije da bi konfigurisao hardver. Sledeći okvir je za unos imena i organizacije (Name And Organisation). odnosno. Ovo polje nikako ne bi trebalo da se ostavi prazno. c itd. Sada dolazi definisanje imena računara i lozinke administratora (slika 3. važno je samo da se tog pravila doslovno pridržavamo. Ako nema drajvera. Ovde treba podesiti opcije za zvanje. /.. Windows Server 2003 će preuzeti te podatke i započeti neinteraktivni deo postupka instaliranja. za licencu po korisniku (eng. brojeve (0. Najbolje je da mašinama dajemo imena u sladu sa nekim pravilom. per-seat) ili po uređaju (eng. treba da upišemo broj klijentskih pristupnih licenci (eng. 2 itd.~. b. Ukoliko kriterijum nije ispunjen Windows 2003 će dati upozorenje da šifra nije dovoljno jaka. Ovo je često i najduži deo Setup-a. kao i lokalni format tastature. Plug and Play faza detekcije pokušava da poveže pravi drajver sa svakim uređajem u sistemu. datum. Ovde dolazi do izražaja važnost HCL (Hardware Copmatibility List) liste. sledeći ekran će biti za podešavanje modema. vremena i vremenske zone (slika 3. u kome kopira softver za podešavanje računara. Ovaj program nas sada voditi kroz drugi korak postupka instaliranja.) i ne alfa numeričke karaktere (#. Ako je server konfigurisan sa pogrešnom vremenskom zonom.Administriranje mreža 1 2. prvi okvir za dijalog koji se javlja je Regional Configuration. Ne sme da sadrži reč „administrator“ ili „admin“.. za podršku instaliranim uređajima itd. ili će biti instaliran neki opšti drajver. Ime je već poznato. C itd.  Password for the Administrator Account (Lozinka administratorovog naloga): Ovo je nalog administratora lokalnog domena. To nema veze sa imenom računara i nije u vezi sa funkcijom servera na mreži. Kada je Plug and Play faza detekcije završena. B. CAL) koje smo platili. Nalog administratora je moćan i opasan i on se ne može zaključati. client access license. To znači da neko može da razbije sistem tako što će pokušati da se prijavi sa administratorskim nalogom. Mnogo je korisnije da se osmisli podesan sistem dodeljivanja imena. 1. čak i kad je vreme tačno podešeno.. Mora sadržati velika slova (A. pomoću terminalskih usluga.6.% itd).

klijenti i servisi. onda treba instalirati i protokol NetBIOS. U ovoj fazi instaliraju se mrežne komponente. biće nam potrebni i korisnićko ime i lozinka naloga koji ima pravo administratora i pravo pravljenja novih naloga u domenu. mrežni prolaz za NetWare mreže). U ovom slučaju ovo će se preskočiti jer će naš server biti registrovan na domenu. Naredna lista sadrži korake postupka. Ukoliko se izabere korisničko (custom) podešavanje.168. U standardnoj instalaciji. Windows Server 2003 će pokušati da prepozna mrežne kartice koje u ugrađene u sistem. pokreće protokol za automatsko podešavanje i sam sebi dodeljuje IP adresu. Osnovne opcije koje treba zadati jesu Client for Microsoft Networks (klijent za MIcrosoftove mreže). Podešavanje domena vršiće se preko Aktivnog direktorijuma.Tipične vrednosti pretpostavljaju da se žele programi Client for Microsoft Networks. Ako se koristi TCP/IP. broj prikazanih boja i elemente kao što je učestalost osvežavanja. DNS (Domain Network System)[6] ili HOSTS[6] datoteka. i one automatske i one koji zahtevaju naše učešće. dodeliće se statičke IP adrese. Ako sistem instaliramo u postojeći NT domen u kome postoji DNS ili WINS server.x. Transaction Server i IIS.  Radna grupa ili domen: U slučaju da instaliramo u postojećem domenu. Windows 2003 instalira samo TCP/IP (Transmission Control Protocol/Internet ptorokol) protokol. Ukoliko ćemo koristi i uslugu Gateway Services for Netware (GSNW. Najkritičniji element su IP adrese i neka vrsta rešavanja imena.168. Ukoliko se radi o maloj mreži. Sledeći okvir je podešavanje radne grupe i domena. podešavanje sistema i uklanjanje privremenih datoteka. Ako ne planiramo da koristimo uslugu poput servera za transakcije trebalo bi da uklonimo znak potvrde pored njegovog imena. možemo instalirati i protokol IPX/SPX. Windows Server 2003 će potražiti DHCP server u našoj mreži. Ovo je adresa C klase koja je rezervisana za LAN mreže male veličine. a koje mogu puno da utiču na mogućnost kasnijeg povezivanja na mrežu.  Display Serrings (Parametri ekrana): Ovi parametri određuju rezoluciju ekrana.0. Adresa servera će biti 192. U mrežnim opcijama treba da zadamo podatke važne za DHCP. 2.1.Administriranje mreža  Windows Server 2003 Components (Komponente Windows Servera 2003): Sledeći korak jeste da dodajemo opcione komponente i usluge. potrebne su statičke informacije.  Terminal Services (Terminalske usluge): Od nas će se tražiti da zadamo režim rada ovih usluga. pitanje je da li na mreži postoji DHCP (Dinamic Host Configuration Protocol) [6] server. a zatim čeka odziv DHCP servera. Pošto unesemo i ove podatke.  Instaliranje mrežnih komponenata: Sada se od nas traži da izaberemo mrežne komponente. Windows Server 2003 će preći na treći korak instalacionog postupka.  Prepoznavanje mrežne kartice: Pošto prepozna mrežnu karticu i instalira upravljačke programe za nju. 2 2. File and Print Sharing for Microsoft Networks (deljenje datoteka i štampača u MIcrosoftovim mrežama) i TCP\IP. On to čini tako što šalje poziv na DHCP priključku broj 75. kao u ovom slučaju. Time and Date (Vreme i datum): Ovi parametri nam omogućavaju da podesimo vremensku zonu i podatke o prelasku na letnje i zimsko računanje vremena. Kod ovog protokola postoje neke stvari koje se odnose na konfiguraciju. Ako Windows Server 2003 ne dobije IP adresu od DHCP servera. Potom možemo nastaviti postupak instaliranja tako što ćemo instalirati novu radnu grupu i kasnije uspostaviti odgovarajuće mrežne veze.x. Bez ovih komponenti ne postoji mogućnost da se ode negde sa TCP/IP-a. Instalaciono program kopira sve preostale 15 . Neke usluge će biti standardno izabrane.4 Instaliranje za rad u mreži pod Windowsom: Faza IV Kod podešavanja mreža postoje dve mogućnosti: custom i tipical.6. bilo da je u pitanju WINS (Windows Internet Name Service)[6]. a to je instaliranje podrške za rad na mreži. mogu se dodati ili ukloniti ili prilagoditi protokoli. TCP/IP using DHCP addresing i File Print Sharing. Ako ne postoji DHCP server. adresu DNS servera i ostalo. Adrese ostalih računara će ići po sledećem rasporedu 192.5 Poslednji korak postupka instaliranja: Faza V To je peta i poslednja faza postupka instaliranja koja obuhvata završno kopiranje datoteka.6. npr.

Sistem se restartuje (slika 3. računar se ponovo pokreće. kako bili dostupni kad sledeći put pokrenemo računar. Kad se to završi. Ovim se završava instalacija. razni dodaci i datoteke koje su potrebne za rad usluga ili komponenata koje će odmah biti korišćene ili koje će ostati „uspavane“ dok ne zatrebaju.Administriranje mreža datoteke na čvrsti disk. Datoteka boot. Među njima su datoteke s bitmapiranim slikama. 16 .4). Instalacioni program će zatim prieniti vrednosti parametara koje smo zadali u prethodnim fazama. Wizard završava kopiranje datoteka. Podaci o novoj konfiguraciji biće smešteni u baze podataka registra i na disk.ini se menja kako bi se sledeći put pri startovanju računara pokrenuo Windows 2003. konfigurisanje sistema i obavlja finalno prećišćavanje. U ovoj fazi se sve privremene datoteke uklanjaju sa računara.

3. korisnički nalozi i td.1 Domen kontroler (Domain controller) Domen kontroleri (Domain controllers) čuvaju direktorijume sa podacima. uključujući i proces logovanja korisnika. još više podiže značaj ove komponente. Jedna od najboljih odlika Windows Servera 2003 je njegova mogućnost da postane DomenKontroler. Sa druge strane Aktivni direktorijum je tesno povezan i sa bezbednošću. Serveri koji nisu na domenu nazivaju se samostalni (workgroup ili standalone) serveri. klijent računari. dokazivanje autentičnosti i pretragu po direktorijumima. čiji je glavni zadatak da skladisti korisnička imena i lozinke na centralni računar (DomenKontroler) ili na računare (više Domen-Kontrolera) i da na osnovu toga omogućava klijentima strogo kontrolisani rad na domenu tj. umesto da fajl prebacuju sa računara na računar. Postavlja se pitanje zašto ih uopšte smeštati na server. igraju ulogu skladišta za smeštaj fajlova sa podacima. Sve ove osobine aktivnog direktorijuma. mora da poseduje alate i servise koji će uspeti da odgovore na sve te složene zadatke koji stoje pred njima. Neki serveri su konfigurisani da obezbede identifikaciju klijenata (proveru autetntičnosti). pa njihovo postavljanje na centralni server predstavlja način da se oni učine dostupnim svim zainteresovanim korisnicima na mreži. 3.1. što. a drugi da pokreću aplikacije.3 Serveri fajlova (File servers) Ova usluga verovatno spada u najstarije usluge koje bilo koji server pruža. gde ćemo se detaljno upoznati sa njegovim karakteristikama.2 Windows Server kao aktivni imenik (Active Directory) Za logičku i hijerahijsku organizaciju informacija u imeniku koristi se struktuirano skladište podataka (datastore). koja je dosta kompleksna u narednim poglavljima biće više reći o njoj. koji predstavlja sastavni deo ovog operativnog sistema. manje ljudstvo kao i smanjeni troškovi adminstriranja takvih mreža. tako da mu mogu pristupiti svi korisnici. Kada više korisnika zahteva jedan isti fajl. koje mu omogućavaju da uspešno obavi ulogu jednog složenog a pouzdanog servera na mreži. Već smo ranije napomenuli da svaki mrežni operativni sistem koji pretenduje da bude vodeći operativni sistem. leži u tome da je na taj način najjednostavnije kreirati njihovu rezervnu kopiju (backup). Osobine domena dosežu daleko izvan ovog pasusa pa ćemo njemu posvetiti posebno poglavlje. a nisu domen kontroleri. Druga važna prednost skladištenja podataka na jednoj centralnoj lokaciji.1. kako sistemskim tako i korisničkim. Neke od njih ćemo prikazati u narednom poglavlju.Administriranje mreža III čas Arhitektura mrežnog operativnog sistema WINDOWS 2003 SERVER 3. Kada se na računaru. jer on na jednom mestu ima sve potrebne i bitne detalje vezane za mrežno administriranje. štampači. Tako i Widows Serever 2003 poseduje mnoge mogućnosti. 3. Bilo kakva greška može da prouzrokuje veoma opasne posledice po čitavu mrežu. Ono sadrži podatke o objektima i deljenim resursima u okviru jednog domena a to su: serveri. što u mnogome smanjuje troškove eksplatacije: manji broj servera.1. omogućavaju da se mreža jednog preduzeća izvede sa samo jednim domenom i upravljačkim mestom. Serveri fajlova (file servers). nazivaju se pridruženi (member) serveri. umesto da ih čuvate na svom lokalnom kompjuteru? U pojedinim slučajevia radi se o fajlovima koje kreirao neko drugi. koje se još naziva imenikom ili direktorijumom. Neki serveri samo predstavljaju prolazne računare koji omogućavaju korisnicima da komuniciraju sa drugim serverima i resursima na mreži. Na taj način je administratoru mreže olakšano upravljanje celokupnom mrežom. Treba napomenuti da u Windows Server 2003 mreži svi serveri koji su na domenu. taj fajl se može smestiti na server. Osnovna usluga sastoji se u obezbeđuju prostora na mreži gde možemo da smestimo i delimo fajlove sa drugim korisnicima na mreži. instalira Active Directory taj kompjuter automatski postaje domen kontroler.1 Windows Server 2003 okruženje U računarskoj mreži serveri igraju višestruku ulogu i njima se postavljaju mnogi zadaci koje oni moraju da izvrše sa velikim stepenom pouzdanosti. volumeni. na kome je već pokrenut Windows Server 2003. Kako se ovde radi o bitnoj karakteristici Windows Servera 2003. Windows Sever 2003 se isporučuje zajedno sa odgovarajućim softverom servera fajlova. delu računarske mreže. 17 . i upravljaju komunikacijom između korisnika i domena. putem provere identiteta prilikom prijavljivanja i kontrole pristupa objektima. dakle.

pristupi. On je dodeljivao NetBIOS imena svakom čvoru i na osnovu toga vršio povezivanje dva čvora. Directory Service je mrežni servis koji prepoznaje sve deljene resurse na mreži i tu informaciju čini dostupnom svim korisnicima na mreži. rešenje je nađeno u WINS servisu čiji je osnovni zadatak bio da vrši preslikanje NetBIOS imena u odgovarajuču IP adresu. Dodatan problem tu stvaraju i IP adrese iz tkz. 3. Pronalaženje IP adrese za dato simboličko ime naziva se preslikavanje imena (name resolution) i to predstavlja glavni zadatak ovih servera. te adrese nije ni malo lako pamtiti.1.4 Directory Service Svaki korisnik koji je logovan na mreži. obavlja sličan zadatak kao i DNS server : pamti nazive mrežnih računara. Directory Service prepoznaje taj resurs na mreži i daje tu informaciju korisniku. klijent računar. Sa gledišta administratora sistema ovakav način predstavlja ’’noćnu moru’’. Drugi način dodeljivanja IP adresa je mnogo efikasniji i praktičniji. Dolaskom TCP/IP mnogi stariji klijenti nisu mogli da vide ni imena IP čvorova. Protokol TCP/IP postao je standardni protokol povezivanja uređaja ne samo na Internetu već i na bilo kojoj računarskoj mreži. jer se o dodeljivanju adresa stara poseban DHCP server koji dinamički dodeljuje slobodne IP adrese pojedinim čvorovima u mreži.168. DNS server (Domain Namig System) ili nazivni sistem domena. Da bi i takvi čvorovi bili deo jedinstvene TCP/IP mreže. FTP serveri i štampači.x. jer je potrebno pojedinačno na svakom računaru podesiti IP adresu. Sigurno da je mnogo lakše pratiti pojedine čvorove putem njihovih simboličkih imena koja su uz to i hijerahijski organizovana. služi za praćenje svih čvorova na mreži putem njihovih simboličkih imena u Windows 2000/2003 mrežama. U njemu su napravljena mnoga poboljšanja koja olakšavaju razvoj aplikacija. niti njihove adrese. Međutim. I ovom servisu biće detaljnije reći u narednim poglavljima.Administriranje mreža 3. postoje neki uređaji koji zahtevaju fiksne IP adrese.1. Računar konfigurisan tako da obezdi DNS usluge na mreži naziva se DNS server. Skup usluga WINS i DNS rešava ovaj problem tako što omogućava da se umesto IP adresa.x) koje se koriste u Intranet mrežama.1. Neke od tih prednosti su: efikasno uvođenje u rad i upravljanje. Servis DNS omogućava čvorovima na mreži da se registuju i dobiju svoja imena na domenu. štampač ili komutator (swich). WINS server (Windows Internet Name Server) ili Windowsov server Internet naziva. Kod statičkog dodeljivanja adresa. Njegova upotreba nije neophodna na „čistim“ Windows 2000/2003 mrežama. 18 . Domain Name System (DNS) je Internet i TCP/IP standarni servis za imena. Directory Services su bitni zato što obezbeđuju način da se imenuje. koriste simbolička imena za čvorove. Međutim. smanjuju ukupne troškove korišćenja i daju bolje performanse. rukuje i zaštiti informacija o mrežnim resursima.7 Server aplikacija (Application server) Application server obezbeđuje infrastrukturu i servise neophodne za aplikacije u našem sistemu. Dodeljivanje adresa može biti organizovano na dva načina statički i dinamički. je zadužen za konfigurisanje specifičnih parametara TCP/IP protokola na svakom kompjuteru u mreži. Pored toga statičko dodeljivanje IP adresa može da izazove mnoge konflikte na mreži. Čvor može biti bilo koji mrežni uređaj: server. bilo da pristupi deljenom folderu ili da odštampa nešto na mrežnom štampaču. kao WEB serveri.6 WINS i DNS serveri Već smo ranije napomenuli da se svi čvorovi na mreži prepoznaju po jedinstvenim IP adresama. jer jednu istu IP adresu mogu da imaju više različitih čvorova. preko kojeg je taj čvor jednoznačno definisan na mreži.1. sa obzirom na broj cifara od kojih se one sastoje (treba upamtiti 12 dekadnih cifri). čvoru se dodeljuje fiksna adresa koju samo korisnik može da promeni. opiše. jer su zadržali stari način komunikacije putem NetBIOS-a. Kada korisnik zatraži deljeni folder na mreži. Pre pojave TCP/IP protokola.5 DHCP server DHCP server (Dynamic Host Configuration Protocol) ili protokol za dinamičko konfigurisanje hosta. Osnova njegovog funkcionisanja je da svaki čvor u mreži poseduje jedinstveni IP broj. ima potrebu da koristi mrežne resurse. glavno sredstvo za povezivanje dva mrežna resursa bio je NetBIOS servis. 3. koje se neće menjati. jer je njegov osnovni zadatak da pruži podršku nekim starijim Microsoftovim operativnim sistema (Win 9x). 3. rezervisanog prostora (192. Da bi smo u našu mrežu ugradili Active directory moramo prvo imati DNS server.

Ovakav način spustio je IIS jedan nivo niže. 3. što je za posledicu imalo da se radni procesi IIS. Doduše. kako bi sa drugih mail servera mogao primiti poruke upućene ka našoj organizaciji. služiti kao prijemna tačka. Ovaj server se brine o svim zadacima za štampanje putem skupa usluga spulera (spooler service) kao i o sigurnosti dokumenata koja treba da odštampa. moći ćete sebi da priuštite kupovinu nekog skupljeg ( a time. DTC i td.1. Nije baš svako voljan da na svoj sto postavi uređaj za štampanje. Time instaliramo i ostale gore nabrojane usluge servera aplikacija: ASP.Sledeća prednos FTP prenos je da IIS može da ponovo pokrene prekinuti FTP prenos. ovu funkciju možemo prepustiti svom ISP-u (Internet provajderu). veća proširivost i pouzdanost. Ukoliko ta usluga ne funkcioniše dobro. 3. WEB kontrole na serverskoj strani. Važna je činjenica da nam za razliku od HTTP prenosa ovde ne treba nikakav poseban WEB čitač. mada je činjenica da će nam instaliranje sopstvenog 19 . ukoliko štampač na ovaj način konfigurišete za „zajedničku upotrebu od strane većeg broja korisnika“. sa pošiljaoca na primaoca. FTP servis još uvek ima važnu ulogu u davanju usluge prenosa podataka. verovatno. Ovde se pod serverom podrzumeva specijalan program koji se izvršava na računaru. a osim toga. Visual Studio .Administriranje mreža pojednostavljena integracija i međuoperativnost.9 FTP server (File Transfer Protocol) Protokol za prenos podataka omogućava korisnicima da preuzimaju datoteke sa servera i da ih šalju na server. koji može da prihvati. Rad programera je u mnogome olakšan pa samim tim oni postižu produktivnost jer su im na raspolaganju mnoge nove pogodnosti u vidu: ASP. tako što će prikupljati email poruke od lokalnih korisnika na mreži i vršiti njhovo slanje ka drugim mail serverima preko Interneta i. Iako je zadnjih godina HTTP je postao dominantno sredstvo za prenos podataka.8 Web server Windows Sever 2003 u svom paketu nudi WEB server pod nazivom Internet Information Services (IIS) 6. većina korisnika će odbaciti takav operativni sistem. Dovoljno nam je da imamo FTP komandnu liniju ili neke pomoćne FTP programe nezavisnih proizvođača.1. kao i sve ASP ugrađene funkcije. te industrijskih uređaja visokih performansi za podršku štampanju. To znači da IIS možemo instalirati samo kao podopciju ili kao deo uloge servera aplikacija. izvršavaju u korisničkom kontekstu sa niskim privilegijama. i boljeg) modela štampača. tj. Nove tehnologije kao što su elektronska pošta i globalna mreža. Na taj način nema dupliranja u prenosu već se prenosi samo onaj deo datoteke koji nije prenet. Aplikacije razvijene pomoću Windows Servera 2003 obično imaju bolji odziv i veći stepen raspoloživosti jer njima može da upravlja malobrojno osoblje. Pritom. Serveri za štampanje (print servers) omogućavaju deljenje (sharing) štampača. Microsoft . već je sakriven pod stavkom Application Server. istovremeno.Time se smanjuju ukupni troškovi korišćenja i dobijaju bolje performanse. 3.11 Server elektronske pošte (E-mail server) E-mail serveri su apsolutno neophodni ukoliko planiramo da pružamo usluge elektronske pošte. 3.NET. iako nemaju štampać koji je fizički povezan za njihov računar. sadrži ugrađeni (buit-in) softver servera za štampanje. one su samo prebacile opterećenje koje čine papirne kopije. Server 2003 u sebi. Čak šta više.NET Framework.1. . Takav način izvršavanja znatno je umanjio opasnost od spoljašnjih napada hakera na naš sistem kao i smanjen prodor virusa. jedan od računara (ili više njih) mora igrati ulogu poštanske centrale. Za razliku od ranijih verzija ovaj servis više nije uključen u osnovnu instalaciju . Zato su i potrebe za lokalnim uređajima koji će moći da odštampaju te dokumente znatno porasle. štampanih dokumenata. takođe. On obuhvata podršku za preko 3000 različitih štampača. gde se tada prenos započinje od one tačke na kojoj je nastao prekid.1. COM+. prepozna i izvrši HTTP zahteve.NET. automatsko upravljanje memorijom. nisu bitno doprinele uklanjanju potrebe za dostavu pisanih.NET. Print serveri upravo predstavljaju uređaje koji omogućavaju korisnicima da štampaju dokumenta preko mreže. koji će na taj način igrati ulogu našeg mail servera. kod odvojen od sadržaja (omogućava paralelni rad programera i projektanata).10 Server za štampanje (Print server) Usluge štampanja predstavljaju jednu od osnovnih usluga po kojoj vrednujemo neki mrežni operativni sistem.

izvršavanje i skladištenje odigravaju na serveru. Windows Server 2003 nas neće sprećiti da to uradimo.15 Remote Installation Services (RIS) RIS je alat koji omogućava efikasno kopranje slike sa jedne radne stanice na desetine. dok se kompletna obrada. konektujem na mrežu.13 Configure Your Server alat Kada je Windows Server 2003 instaliran. iz operativnog sistema.1. Njegova glavna funkcija je da učestvuje u razmeni poruka i međusobnoj saradnji korisnika na mreži. ukoliko ne želimo da koristimo ovaj alat. čuvaju fajlove i koriste resurse na mreži kao da su instalirani na njihovim računarima. da bih na njemu. Pomoću terminal servera instaliramo aplikaciju na jednom mestu. U početku je softver tankih klijenata bio namenjen samo da radi kao emulacija glupog terminala. Korisnici mogu da pokrenu programe. lokalni dokumenat ili da štampaju udaljeni dokumenat na nekom lokalnom štampaču. 3.14 Komunikacioni server Ono što posebno izdvaja Windows Server 2003 od ostalih mrežnih operativnih sistema je njegova jednostavna integracija i saradnja sa drugim serverima na računarskoj mreži. IIS i td. tankim klijentima. Skup SMTP usluga može da obrađuje poštu koja stiže od klijenata na Internetu ili poštu generisanu na WEB lokaciji. a posebno u klijent/server arhitekturi. rešava još jedan veliki instalacioni problem . Uvek nam ostaje mogućnost da kasnije. današnji terminalni servis je znatno izmenjen kako bi omogućio korisnicima udobniji i produktivniji rad. a više korisnika onda može pristupiti aplikaciji bez instaliranja na svojim računarima. Obim podataka koji se prenosio na takav način bio je jako skroman i nije zahtevao veliki propusni opseg (prenosilo se od 10 do 30 Kb/s). DNS.problem tipa „kako da kompjuter. U okviru Windows Server 2003 ova usluga je podržana kroz SMTP (Simple Mail Transport Protocol) servis koji je sadržan u sklopu IIS-a. biti izvršeno instaliranje operativnog sistema Windows 2000.XP ili Server 2003. pristupimo raznim konzolama iz menija Administrative Tools ili da sa komandne linije uradimo isto. RIS servisi nam omogućavaju da neki server. Danas.Administriranje mreža mail servera pružiti znatno veću fleksibilnost. označimo kao RIS servere. istovremeno omogučavajući da svaka od tih mašina dobije jedinstveni SID (security identifier – bezbednosni identifikator). 3. ili čitav skup serverskih računara. kopiraju tekst iz dokumenata otvorenog u udeljenoj sesiji i ubacuju ga u drugi. Prednost ovakve organizacije je da mi možemo da definišemo više identiteta i servera za elektronsku poštu koji će biti pridruženi svakom domenu na serveru. to će zahtevati postojanje stalne veze sa Internetom. On podrazumeva da se usluge jakih servera mogu ponuditi i računarima sa ograničenim resursima tkz. On samo nudi sredstva pomoću kojih možemo da napravimo virtuelne servere elektronske pošte. Sa druge strane. Tu se pre svega izdvajaju Windows Exchange Server i Windows SQL Server. stotine pa čak i hiljade drugih kompjutera.12 Terminal server Terminalske usluge predstavljaju najveći obrt u računarstvu uopšte. Međutim. Sa druge strane.1. DHCP. To je korisnicima omogućavalo zadovoljavajući pristup računarskim resursima servera čak i preko sporih telefonskih linija. preko koji mi možemo da šaljemo poštu na zadate namenske E-mail servere. WINS.1. i korisnik se prvi put uloguje kao administrator sistema.RIS ne možemo upotrebiti za daljinsko instaliranje 20 . preko mreže. Ovaj servis ne pretvara naš server u praviserver elektronske pošte sa svim funkcijama. teško je zamisliti bilo kakvu mrežnu aplikaciju a koja ne koristi neku bazu podataka. terminal server omogućava pored pristupa programima na udaljenilm računarima. Upravo zbog toga Windows Server 2003 nam omogućuje veoma lako povezivanje sa serverom baze podataka i korišćenjem njegovih usluga. da korisnici mogu preko svojih zvučnika da preslušavaju zvučne zapise koji stižu na server. 3. Jedan RIS server sadrži sve fajlove koji su neophodni da bi na nekom kompjuteru moglo. verovatno dva najvažnija servera u mrežnom radu. na jednom serveru. sa potpuno praznim hard diskom. Ovaj alat se koristi da dodamo ili uklonimo neke od funkcija servera kao što su aktivni imenik. Windows Exchange Server ujedinjuje korisnike i servise na jednoj mreži i to u svakom trenutku i na svakom mestu. Međutim. Pored toga. preko mreže instalirao operativni sistem? Dakle. Bilo je predviđeno da se ograniči na primanje ekranskih prikaza i slanje unosa sa tastature i pritisaka miša. automatski se pokrene Manage Your Server alat.1. 3.

koje nazivamo dodatnim modulima – konzolama. MMC konzola po izgledu je veoma slična Windows Exploreru. koja pruža standardizovan. Ovaj okvir obično nudi dva prikaza: standardni i prošireni. U standardnom prikazu vide se kolone ili drugi objekti pomoću kojih obavljate upravljačke zadatke. 3. Window i Help. koje korisnik može po svojim zahtevima da bira i tako prilagodi svoje radno okruženje onako kako mu najviše odgovara. zajednički interfejs za jednu ili više aplikacija.jer nam MMC omogućava da kombinovanjem administrativnih modula sastavimo sopstvenu konzolu. Gotovo svi programi koji su učestvovali u inicijalizaciji i kontroli rada mrežne strukture prebačeni su u jednu novu alatku nazvanu Microsoft Management Console – MMC. Navešćemo neke važnije konzole koje dolaze sa Windows Server 2003. To znači da kada savladamo strukturu jednog modula. Pored toga. MMC konzola ne predstavlja ništa drugo nego skup različitih modula sa strogo specifciranim zadacima. prelazak na ujednačeniji pristup programima za postavljanje i kontrolu rada mreže. dok autorski režim rada podrazumeva kreiranje sopstvenih ili ispravku postojećih konzola sa znatno proširenim naredbama i funkcijama od korisničkog režima rada. Konzole možemo otvoriti i iz naših konzola što nam omogučava da napravimo namensku konzolu sa grupom modula koje najćešće koristimo. i prikazuje hijerarhijsku strukturu objekata kojima konzola upravlja (slično Windows Explorer-u). Drugim rečima. koja je započeta sa pojavom Windows Servera 2000. Korisnički režim rada podrazumeva rad sa već postojećim konzolama. Samo neke od tih konzola su smeštene u Administrative Tools. 21 .Administriranje mreža operativnog sistema na serveru koji igra ulogu DHCP ili RIS servera. u okviru ograničenja koja proističu iz različitih namena tih modula. Naime. Favorites.  okvir sa detaljima – površinski najveći deo MMC koji se nalazi na desnoj strani i služi da prikaže detalje objekta koji smo izabrali u konzolnom stablu.  konzolnog stabla – nalazi se na levoj strani prikaza MMC. koja najviše odgovara našim zahtevima. Storage (memorisanje podataka) i Services and Aplications (usluge i aplikacije). Većina datoteka tih konzola nalaze se u direktorijumu \systemroot\System32. dodatnim modulima: meniji i paleta alata sadrže komande za upravljanje roditeljskim i potomačkim prozorima. Ali to nije sve. a sama konzola (koja sedrži dodatne module) pruža željenu funkcionalnost. Administrator može da startuje bilo koju od ponuđenih konzola jednostavnim odabirom imena konzole.  palete alata – deo koji nam putem grafičkih prikaza ikonica omogučava da brzo izaberemo neku od komandi koje se nalaze u konzolnom meniju. samo sa manje dugmadi. View. Ona je postala osnovni administrativni alat za upravljanje Windows mrežnih sistema. Svaka konzola se sastoji od sledećih delova:  konzolnog menija – ovaj deo je različit od modula do modula ali postoje neke ključne opcije i komande koje će se koristiti gotovo kod svih modula: File. treba voditi računa o tome da na hard disk tog kompjutera kreiramo samo jednu.2 Microsoft upravljačka konzola (Microsoft management console) Jedna od velikih promena na polju administracije mrežnih operativnih sistema. U proširenom prikazu vide se još i područja sa naredbama i dodatnim podacima o izabranom objektu. to znanje možemo da primenimo i na ostale module. Tri su osnovne grane u ovoj konzoli: System Tools (alati za održavanje sistema). Postoji veliki broj različitih konzola koje se isporučuju sa Windows Serverom 2003 i sve one omogućavaju obavljanje različitih administrativnih poslova. Prilikom kreiranja prototip-kompjutera čija će slika zatim biti iskopirana na veliki broj kompjutera širom preduzeća. Action. ograničeni pristup sa više prozora i ograničenog pristupa sa jednim prozorom.msc (skračenica od Microsoft Console). MMC se može sačuvati sa raznovrsnim opcijama i režimima rada potrebnim za određene situacije. C: particiju. Funkcionalne komonente MMC-a su sadržane u tkz. kao ni na serveru koji predstavlja kontroler domena. Rad MMC konzole može da se odvija u korisničkom i autorskom režimu rada. i da takvu konzolu smestimo na disk i dalje koristimo. Nakon toga se automatski učitava MMC koji ustvari otvara izabranu konzolu. a nastavak imena im je . Razlikujemo tri režima rada u korisničkom režimu rada i to: puni pristup.  Konzola Computer Management – Verovatno predstavlja konzolu koja je najviše eksploatisana jer omogućava da upravljamo većim skupom sistemskih podataka kako na lokalnim tako i na udaljenim računarima. nastavljena je i sa Windows Serverom 2003. RIS može kopirati samo C: drajv i sve što se nalazi na njemu. a koji se koriste za konfigurisanje elemenata mrežnog okruženja.

lakše ćemo administrirati mašinu. podešavanje početnih parametara tih usluga. server datoteka. radne stanice i korisnike na mreži. tako i za softver drugih proizvođača. Komponente međusobno sarađuju prilikom obavljanja konkretnih zadataka operativnog sistema. 22 . Arhitektura Windowsa 2003 podeljena je u dva glavna sloja: korisnički sloj (eng.. DNS server i td. bilo negde na Internetu. Konzola Cluster Administrator – omogućava korisniku da može da grupiše više mrežnih čvorova u jedinstvene celine (cluster). hardver itd. Svi objekti operativnog sistema imaju interfejse pomoću kojih drugi objekti i procesi obezbeđuju njihovu funkcionalnost ili usluge. Windows XP i Windows Server 2003 su zasnovani na istom kodu i predstavljaju klijent i server izdanja istog operativnog sistema. 3. IIS.1. Konzola nam omogućava podešavanje sistema za korišćenje usluga koje se odnose na komponente aplikacija. koje se dalje u radu ponašaju kao jedna logička jedinica. sistema datoteka i način na koji OS koristi procesore. To je deo operativnog sistema koji omogućava drugim proizvođačima softvera da koriste usluge operativnog sistema pozivajući objavljene API funkcije i objektno orijentisane komponente. Sve operacije koje se izvode nad grupom automatski se prenose na sve čvorove mreže. instaliranje i podešavanje COM+ aplikacije kao i nadgledanje i podešavanje komponenata. Osnovna prednost je da ona sve te različite servise koje obavljaju serveri okuplja na jednom mestu i omogućuje administratoru pregledan i konforan rad na podešavanju tih servisa.1. a sagrađen je na osnovu Windows 2000 Servera.  Korisinički sloj Korisnički sloj Windowsa 2003 u suštini je sloj za podršku aplikacijama. namenjena su ovoj konzoli. kernel mode). Sve usluge i aplikacije instaliraju se u korisničkom sloju.3. Slojevi i razni podsistemi prikazani su na slici 2.3 Arhitektura Windows Servera 2003 Ukoliko poznajemo uloge raznih komponenata jezgra operativnog sistema. a sastoji se od nekoliko komponenata. Konzola Manage Your Server – podešavanje specifičnih serverskih uloga. bilo lokalno. Ova konzola ne nudi neke nove svoje alatke.  Sloj jezgra Sloj jezgra Windowsa 2003 ima pristup sistemskim podacima i hardveru. memoriju. već se oslanja na one koje već postoje u Windows Server-u 2003. kao što su server aplikacija.1 Režimi rada operativnog sistema Windows 2003 je modularni operativni sistem koji se satoji od komponenata. prikazivati primljene i odbijene zahteve za sertifikate kao i same sertifikate koje smo izdali.    Administriranje mreža Konzola Component Services – glavna funkcija ove konzole je da nam omogući alatke za upravljanje COM+ aplikacijama. koje suprikazane na slici 3. kako za Microsoftov softver. 3. user mode) i sloj jezgra (eng. Konzola Certification Authority – usluge izdavanja sertifikata omogućuju serveru da može da pravi sertifikate za sebe i za druge servere. Kada se pokrene ova konzola ona prikazuje sve trenutne aktivne servere i omogučava brzi pristup dodatnim lokalnim ili udaljenim informacijama o svakoj ulozi tog servera i njegovom podešavanju. Sastoji se od ugrađenih podsistema okruženja i od dodatnih (nezavisnih) podsistema. COM+ predstavlja standard koji obezbeđuje strukturu za razvoj distribuiranih aplikacija u klijent-server okruženju. kao što su to pre njih bili Windows 2000 Profesional i Windows 2000 Server. Ovom konzolom možemo da upravljamo uslugama izdavanja sertifikata: podešavati pravila za izdavanje sertifikata.

Mana ger PnP Mana ger Object Manager Device drivers Microkernel Power Mana ger Windo w Man.Administriranje mreža Win32 aplikacija Nezav. Graph Devic Driv. POSIX aplikacija WIN3 2 podsist . Mana ge Proc. OS/2 aplikacija POSIX podsist . Sloj apstrakcije hardera (HAL) Hardver Slika 3. podsist .1 Sistemska ahitektura Windows servera 2003 23 . OS/2 podsist . Korisnički režim Usluge koje se izvršavaju u režimu jezgra Executive Services I/O Mana ger File Syste ms SRM PC Mana ger Mem.

Web server nakon toga pretražuje još jednu listu. baza podataka. Student unosi svoje korisničko ime i lozinku i ako je to otkucano kako treba. Servis direktorijuma se razlikuje od direktorijuma po tome što je on istovremeno i izvor podataka ali i mehanizam koji te podatke stavlja na raspolaganje korisnicima. To je lista sa ljudima kojima je pristup dozvoljen kao i nivoima pristupa traženom resursu.1 Upoznavanje sa Aktivnim direktorijumom Jedan od prvih zadataka mreže je da obezbedi servis zajedničkih resursa. koja se ponekad naziva Lista sa kontrolama pristupa (Access Control List). postavi željeni upit i da na svom ekranu sačeka traženi izveštaj. Većina računara na mreži nije sigurana. Zato je ovde potrebno znatno moćnije sredstvo za kontrolu rada svih ovih objekata a to je upravo servis direktorijuma. Da bi se to ostvarilo gotovo svaki mrežni operativni sistem koristi dve osnovne tehnike: proveru autentičnosti i autorizacije prijavljenog korisnika. Server je podešen tako da svaki student može preko svog web pretraživača da prati informacije o svojim ispitima. kao što i jedan manji broj korisnika nema baš dobronamerne namere. nije dovoljan razlog za Web server da tom studentu dozvoli pristup do strane sa ispitima. Kao najbolji primer može da posluži sistem organizacije datoteka na našim računarima koje su raspoređene po direktorijima po nekoj zajedničkoj osobini. tako da to treba na neki način zabraniti. njihovih imena. pre svega zbog sledećih osobina koje u mnogome proširuju funkcionalnost direktorijum servisa: 24 . Povezan sa ovim prvim poslom je drugi zadatak svake mreže. On mora da upamti sve podatke koji su potrebni za korišćenje i upravljanje tim objektima na jednom mestu. poznat je pod nazivom Active Directory Users and Computers. Upravo iz tog razloga. Svi oni nemaju ista prava na mreži. server proverava njeno ime i lozinku. Active Directory predstavlja upravo jedan servis direktorijuma koji je implementiran u Windows mrežnim operativnim sistemima počevši od Windows Server 2000 pa na dalje. Nakon toga server kaže „Dokaži to“. klijentskih računara. lozinki i prava na mreži. Pretpostavimo da neki student želi da pogleda koje je ispite prijavio u junskom ispitnom roku. kako bi omogućio i korisnicima i administratoru mreže lako pronalaženje i upravljanje svim tim resursima.Administriranje mreža IV čas Pojam Microsoft-ovog servisa ’’Active Directory’’ i njegova organizacija 4. deljivih uređaja kao što su štampači i ploteri. Termin direktorijum odnosi se na kolekciju uskladištenih podataka o objektima. ima mnogo više objekata kao što su različiti tipovi servera. tj. On predstavlja značajno poboljšanje u odnosu na domenski model kakav je imao Windows NT. kao i uređaja za međusobno povezivanje istih. Alat koji omogućava kreiranje. i vremena kad ga je dobio. servis direktorijuma predstavlja istovremeno i alatku administratora i alatku krajnjeg korisnika na mreži. Autorizacija . štampača. koji je trebalo rešiti i omogučiti lakši i pregledniji rad administratorima mreža. Od trenutka kada je bilo koji student zatražio pristup školskoj lokaciji. koji su na neki način međusobno povezani. „Ko traži podatke?“ Radna stanica odgovara „Student XX“. centralno mesto na kome se čuvaju jednostavne stvari poput datoteka ili mnogo složenije stvari kao što su baze podataka kojima mogu da pristupe mnogi korisnici. Podrazumeva se da administrator školskog servera ne bi bio zadovoljan da svaki student može da prati izveštaj o ispitima drugih studenata. U distribuiranom računarskom sistemu ili javnoj računarskoj mreži – Internetu. Sa druge strane imamo sve veći broj korisnika koji su neprekidno na mreži tako da imamo povezano na stotine pa i nekoliko hiljada korisnika u jednoj mreži. desile su se dve osnovne stvari: Provera autentičnosti . upravljanje ovakvim složenim mrežnim strukturama predstavlja veliki i kompleksan problem. upoređujući ih sa listom poznatih korisnika i lozinki. pristup mrežnim resursima nije isti za sve. pita radnu stanicu studenta koji traži informaciju. U današnje vreme nije neobično videti mreže svetskih razmera u kojima se nalaze mnogi uređaji od klijentskih računara. servera. On samo treba da preko web servera škole pristupi na konkretnu lokaciju. nakon čega će doneti odluku da li je ispravna prijava na sistem. aplikacija. Drugim rečima.Web server na kome se nalazi izveštaj o ispitima. Posle toga prikazuje na ekranu računara klijenta/studenta jedan okvir za dijalog u kome se traži korisničko ime i odgovarajuča lozinka. Primer: Pretpostavite da server u školi ima podešen web server i bazu podataka sa imenima studenata. obezbeđivanje sigurnosti podataka koji se čuvaju na njoj. njihovim brojevima indeksa i prijavljenim ispitima.Sama činjenica da je student svojim korisničkim imenom i lozinkom dokazao da je to zaista on. modifikovanje ili brisanje korisničkih naloga kao i resursa mreže iz jedne tačke. korisnika. tj. Sa druge strane svaka ozbiljnija firma žele da zaštiti svoju informacionu aktivu od neželjenih upada sa strane.

To omogućava da se na izvestan način smanji količina funkcija koje su potrebne iz baza podataka. NTDS. Pored toga jedno distribuirano skladište podataka poboljšava raspoloživost i organizaciju podataka.DIT fajl sadrži u sebi znatno širi spektar različitih informacija o korisnicima. u tu svrhu su koristile jedan jedini fajl pod naazivom SAM (Securiti Accounts Manager). Kopija Outlook-a na računaru mora da zna gde da nađe odgovarajući server. Ranije verzije NT-a. svi operativni sistemi iz NT familije. koji većinu svojih korisničkih informacija čuva u pomenutom fajlu. drugi koji je server za štampanje. dakle. Ovaj podskup klasa baze podataka dobio je ime direktorijumi. dok je server server. Windows Server 2003 serveri takođe sadrže i upotrebljavaju SAM. njegovo kršteno ime i prezime. Kada se implementira u potpunosti. Ova datoteka je modifikovana baza Access-a.DIT se po mnogo čemu razlikuje od SAM-a. U slučaju Outlooka. Kada računar pristupa serveru datoteka on je njen klijent.1 do 4. Kada neko pokuša da pristupi deljivoj datoteci. zašto onda ne bismo imali centralizovani server za prijavljivanje. on zna gde da nađe mail server. u vreme NT4 i starijih operativnih sistema. Upravljanje klijentskom konfiguracijom – Uvode se savremenije tehnologije za upravljanje klijentskim računarima. ne može se dobiti datoteka sa servera datoteka ako se ne zna gde da se traži i ne mogu se proveriti prijavljeni ispiti sve dok se ne pronađe adresa škole. upotrebljavaju SAM fajlove na radnim stanicama. Očigledno je da je direktorijum dobijen iz baze podataka o korisnicima i informacijama o njima. oni koriste nešto drugo – nešto što se zove akivni direktorijum. poseduje u sebi jedan ili više fajlova. Ipak. sadržaj ovog fajla je bio šifrovan. Aktivni direktorijum je.DIT fajla i program koji upravlja ovim fajlom nazivaju se jednim imenom direktorijumski servis (directory service). Doduše. Uglavnom Aktivni direktorijum pojednostavljuje ovaj proces. koje nam omogućavaju da uz minimum administriranja i bez prekida rada klijenta podešavamo parametre tih računara. ali od trenutka kada je Windows Server 2000 ugledao svetlost dana. Aktivni direktorijum može da uštedi mnogo posla oko administracije i ostalih mrežnih funkcija. koja je u osnovi kreirana pomoću iste tehnologije kao i Microsoft Access. Drugo. NTDS. Nema prihvatljivog razloga. Pošto se u najvećem broju slučaja mail proverava preko Outlooka (klijent). Svaki operativni sistem. koji zajedno čine bazu podataka poznatih korisničkih naloga. stavljajući ime servera u Outlook-u. tako da Windows 2003 u suštini i sadrži jednu varijantu Access-ove mašine za rad sa bazama podataka. rok trajanja naloga. ili da odštampa neki dokument preko deljivog štampača. 25 . Do današnjeg dana. nalaze se u jednom distribuiranom skladištu podataka. nego što se u njih piše. Pronalaženje servera. opis. Danas se posao obavlja na principu klijent-server. tako da kontroleri domena aktivnog direktorijuma obično sadrže jednu varijantu Accessove data base mašine (engine) u svojoj mašineriji. Može se pretražiti Aktivni direktorijum u potrazi za ključevima koji su relevantni za konkretne deljive datoteke. čak i onaj koji se odlikuje najminimalnijom bezbedošću. Ovakvi serveri se nazivaju kontrolerima domena i na njima nema SAM fajlova. Računar treba da zatraži od direktorijuma imena kontrolera domena. Međutim NTDS. Centralizovano skladištenje podataka – Svi bitni podaci koji se odnose na funkcionisanje jedne mreže. Naravno. centralizovani server za proveru autentičnosti? Tada bi korisnici morali da upamte samo jednu lozinku (i da je menjaju) kao i samo jedno korisničko ime umesto prethodna dva. lozinku. zato što je to podešeno na odgovarajućem mestu. Imamo računar koji je servis baze podataka. verovatno po navici. koji dobija poruku od računara za razmenu (server). Aktivni direktorijum će ga proveriti. Opet se postavlja pitanje zašto se to ne zove baza podataka. nego što je to ikada bio slučaj sa SAM fajlovima. uključujući i Windows 2000 Professional i XP. naslednik SAM-a. Ovaj fajl je sadržao: korisničko ime korisnika. Kao prvo. Prema nekima baze podataka o korisnicima se mnogo češće čitaju. Informacije iz NTDS. Kada se proverava prijava ispita sa svog računara u gore pomenutom primeru web browser je klijent. Windows 2003 najveći deo svojih informacija o korisnicima čuva u datoteci pod imenom NTDS.DIT. kontroleri domena su takođe koristili SAM. Navedimo jedan primer. Po podrazumevanoj vrednosti.DIT predstavlja modifikovanu bazu podataka. Sada se postavlja pitanje šta je direktorijum. na jednom malom broju kompjutera biće smeštena centralizovana baza podataka aktivnog direktorijuma. od 3. kao što su mobilnost korisnika i otkaz diska. Na taj način omogučen je jednostavan pristup informacijama sa bilo koje lokacije u mreži a samim tim smanjili smo zahteve za administriranjem iste. U svakom slučaju klijent-server veza ne radi osim ako se klijentu ne pomogne da pronađe server. smanjuje mogućnost dupliranja podataka i omogučava jednostavan back-up tih podataka. dozvoljeno vreme prijavljivanja. naziv primarne grupe i informacije o korisničkom profilu.Administriranje mreža Upravljanje direktorijumima.

veću otpornost na greške. Rezultat takve organizacije je da Aktivni direktorijum može da se širi kako organizacija raste. LDAP je standardni protokol kod servisa direktorijuma a NSPI 26 . Rad sa drugim servisima direktorijuma – Rad Aktivnog direktorijuma zasniva se na standardnim protokolima za pristupanje direktorijumima kao što su LDAP (Lightweight Directory Access Protocol) i NSPI (Name Service Provider Interface).Dužnost DNS-a je da to siboličko ime pretvori u njegovu odgovarajuću IP adresu: 192. uređen i podesiv pogled na mrežne odnose. usklađivanje opterečenja kao i druga poboljšanja performansi sistema. To nam omogućava veću raspoloživost informacija. ali može biti i definisana i za svako svojstvo objekta pojedinačno. koji zahvaljujuči tehnici repliciranja stalno međusobno razmenjuju informacije i na taj način u svakom trenutku raspolažu pravim informacijama. Korelacija imena i IP adrese čuva se u DNS distribuiranoj bazi podataka. Primena standardnog interfejsa – Veliki deo proizvođača softvera nisu voljni da pišu programe koji zavise od slabo dokumentovanog sigurnosnog interfejsa.168. Takođe. On takođe omogućava da se naprave alati za kreiranje strukture Aktivnog direktorijuma. bezbedonosna politika može biti primenjena na lokalnom nivou ili na nivou lokacije.Hijerarhijska struktura aktivnih direktorijuma omogućava dodeljivanje administratorskih prava po segmentima mreže. korisničkih naloga i svih komponenti. To je slično traženju imena u telefonskom imeniku. Korisnik kome su dodeljena prava od strane višeg administratorskog autoriteta može izvršavati administratorske zadatke za taj specifični segment hijerarhijske strukture. SSL (Secure Socket Layer) i TLS (Transport Layer Security) koji koristi certifikate X 509. Razrešavanje imena je postupak kojim se DNS imena prevode u IP adrese. Upravljanje na osnovu te politike pojednostavljuje zadatke kao što su ažuriranje operativnog sistema. na osnovu LDAP komandi. domena.Administriranje mreža Podesivost – Podrazumeva laku prilagodljivost i proširivost objekata u Aktivnom direktorijumu.rs. Postavljanjem LDAP interfejsa u Aktivni direktorijum Microsoft je omogućio proizvođačima da integrišu sigurnost svojih proizvoda u sigurnost Windows-a.vtsnis. domenu ili organizacionoj jedinici. šume. Na primer korisnik može imati ograničena prava nad svojim kompjuterom a da mu u isto vreme budu dodeljena prava dad kreira nove korisnike u organizacionoj jedinici. Aktivni direktorijum podržava nekoliko protokola za proveru autentičnosti kao što su: Kerberos.edu. Zbog toga je Microsoft izabrao da postavi jedan industrijski standardni interfejs u svoj Aktivni direktorijum. organizacione jedinice. kao i zadatke koji se odnose na korisničke profile i blokade datih objekata. instaliranje aplikacija. Za ubrzanje rada ovde se koristi tehnika indeksiranja i napredne tehnike repliciranja. Organizacija koja ima jedan server sa par stotina objekata može da izraste u organizaciju sa hiljadama servera i milionima novih objekata. Administriranje na bazi politike – Ova karakteristika omogućava nam da unapred definišemo dozvoljene akcije i parametre za korisnike i računare na nekoj određenoj lokaciji. stabla. pod imenom LDAP (Lightweight Directory Access Protocol). svaki sa svojim aktivnim direktorijumom. zato što se boje da kada se pojavi naredna verzija operativnog sistema u kojoj će se promeniti programski interfejs. onda neka firma može da napravi alat koji će to olakšati. Delegirana administracija . oni ostaju na cedilu.Servis DNS (Domain Network System) omogućava razrešavanje imena klijentima koji imaju neki od Windows Server sistema. To znači ako su kontrolni programi za Aktivni direktorijum suviše teški za rad. Na primer. bez nekog dodatnog menjanja strukture Aktivnog direktorijuma. Kontrola pristupa može biti definisana za svaki objekat u direktorijumu. Replikacije podataka – Tehnika repliciranja predstavlja automatsko ažuriranje podataka na dva ili više objekta u mreži. Integracija sa sistemom domena (DNS) . kada se korisnik poveže na sajt koristi se ime tog sajta u formi www. u kome je ime pretplatnika povezano sa telefonskim brojem. Fleksibilna provera autentičnosti – Provera autentičnosti i davanje ovlašćenja korisnicima.1.0. To znači da u jednoj mreži možemo da imamo dva ili više kontrolera domena. umesto da koriste IP adrese koje se po pravilu teško pamte. Active Directory koristi DNS konvencije da bi stvorio hijerarhisku strukturu koja obezbeđuje poznat. obezbeđuje zaštitu podataka i minimizuje prepreke izlaska na Internet i nesmetanog rada na njemu. pa čak i do nekoliko miliona objekata po jednom domenu. Bezbedonosna integracija – Sistem bezbednosti Windows Server 2003 je direktno zavisan od bezbednosti Aktivnog direktorijuma. To je urađeno tako što je on organizovan u više sekcija u koje može da se smesti ogroman broj objekata. domena ili organizacione jedinice. Postupkom razrešavanja imena korisnici mogu da pristupe serverima na osnovu njihovih imena.

stablima i šumama. koje se takođe nazivaju klase objekata.3. serverima. Klasa user sastavljena je od mnogo atributa. računare. domene ili organizacione jedinice. itd. bazama podataka. opisuju koje je objekte moguće kreirati u Aktivnom direktorijumu. računarima i bezbednosnoj politici. predstavljaju se kao objekti (objects).Administriranje mreža predstavlja protokol koji se koristi kod Microsoft Exchange Servera. Objekat je jasno označen skup atributa koji predstavljaju mrežni resursi. na primer: podaci o korisnicima. Na primer. Kada se napravi neki objekat. štampačima. čiji se podaci nalaze u direktorijumu. Svaki objekat u Aktivnom direktorijumu primerak je klase objekta. Svaki atribut definisan je samo jednom i može se koristiti u više klasa. home directory. grupe. atributi skladište informaciju koja opisuje taj objekat. tako da Aktivni direktorijum može da upravlja objektima šeme istim operacijama upravljanja koje se koriste za upravljanje ostalim objektima u Aktivnom direktorijumu. u koje spada network address. koje predstavljaju logičke grupe objekata. Vrste primenjenih komponenata zavise od toga da li se radi o logičkoj ili fizičkoj strukturi organizacije. U suštini Aktivni direktorijum u potpunosti razdvaja logičku od fizičke strukture. Atributi objekta su osobine objekata u direktorijumu. organizacionim jedinicama. Resursi. Postoje dve vrste definicija u šemi: atributi i klase. Potpisan i šifrovan LDAP saobraćaj podrazumeva da paketi podataka stižu od poznatog izvora i da nisu neovlašćeno menjani. Potpisan i šifrovan LDAP saobraćaj – Ova opcija obezbeđuje verodostojnost podataka koji se šalju na mrežu. Zahvaljuči njima Aktivni direktorijum može da komunicira i sa drugim servisima direktorijuma koji koriste ove protokole. O atributima i klasama takođe se govori kao o objektima šeme ili metapodacima. 4.3 Komponente Aktivnog direktorijuma Da bi uspešno izgradio strukturu direktorijuma koji će zadovoljiti potrebe jedne organizacije Aktivni direktorijum koristi različite komponente. Svi objekti u Aktivnom direktorijumu mogu se organizovati u klase.1 Logička struktura U Aktivnom direktorijumu resursi se organizuju u logičku strukturu koja predstavlja logičku strukturu same organizacije. Primeri klasa objekata su one koje predstavljaju korisničke naloge. u atribute korisničkog naloga mogu da spadaju ime i prezime korisnika. Klase. koji mogu biti smešteni u Aktivnom direktorijumu. Šema Aktivnog direktorijuma je lista definicija koje određuju vrstu objekta i tipova podataka o tim objektima. Logička struktura organizacije predstavljena je sledećim komponentama Aktivnog direktorijuma: domenima. dok je fizička struktura organizacije predstavljena sa: sajtovima (fizičkim podmrežama) i kontrolerima domena. Komplet osnovnih klasa i atributa već se nalazi u samom Windows-u 2003. 4. Atributi se definišu odvojeno od klasa. 4. grupama. kao što su.2 Pregled servisa Aktivni direktorijum Aktivni direktorijum omogućava da se struktura direktorijuma osmisli u skladu sa potrebama firme. Svaka klasa predstavlja kolekciju atributa. Same definicije su smeštene kao objekti. odeljenje kome pripada i njegova e-mail adresa. Logičko grupisanje resursa omogućava pronalaženje resursa na osnovu 27 .

Domen u stvari predstavlja srž logičke strukture Aktivnih direktorijuma u okviru koga možemo smestiti milione različitih objekata. pod nazivom „grupne polise“ (group policies). unutar Aktivnih direktorijuma. Pošto se resursi grupišu logički. pristupe desetinama. koji igraju ulogu „servera za proveru autentičnosti“ ili „prijavnih servera“. Jedan domen može sadržati više fizičkih lokacija. Na ovaj način može se kreirati nešto što bi se moglo nazvati „adminstratorima odeljenja“ – odnosno. sa mogućnošću efikasnog pretraživanja. različitim pojedincima mogu se dodeliti različiti stepeni kontrole i moći nad ovim organizaacionim jedinicama.51. nalaze negde između administratora domena i običnih korisnika. „sistemskih polisa“ (system policies). Već smo napomenuli da objekti smešteni u jednom domenu. alat koji omogućava da izgled svog desktopa i ostala sistemska podešavanja ponesemo sa sobom. Nakon toga. Sledeće komponente pripadaju logičkoj strukturi Aktivnih direktorijum: 1. odnosno. Domen je i skup sigurnosnih principa kao što su korisnički i kompjuterski nalozi ali i drugih. pojavili korisnički profili. Domen skladišti informacije samo o objektima koji se u njemu nalaze. stotinama pa čak i hiljadama drugih kompjutera unutar domena konkretne organizacije. fizička struktura mreže korisniku može da bude nebitna. ACL) kontrolišu pristup 28 . Ovakvo grupisanje omogučava nam potpunu transparentnost fizičke strukture mreže. jer se resursi ne nalaze po njihovoj lokacije već na osnovu njihovih imena. To su stavke koje su članovima mreže potrebne da bi obavljali svoje poslove: štampači. prema nivou dozvoljenih prava. korisnici. u NT 3. koji se.Liste za kontrolu pristupa (Acces Control List. čime je korisnicima znatno olakšano pretraživanje željenih resursa na mreži. e-mail adrese. uz pomoć jednog naloga i lozinke. Na najjednostavniji način rečeno. koje su se složile oko centralizovanog čuvanja naziva i lozinki za korisničke i kompjuterske naloge. Zatim su. predstavljaju resurse koji se smatraju neophodnim za pravilno i bezbedno funkcionisanje mreže. Objekti na domenu su definisani od strane administratora i koriste zajedničku bazu podataka i jedinstveno ime. Grupisanje objekata u jedan ili više domena omogućava da mreža odslikava realnu strukturu organizacije. Domen (Domain) . koji se još nazivaju organizacionim jedinicama (organization units – OUs).  Domeni se dalje mogu deliti na subdomene. gde god da se ulogujemo.  Na domenima se čuva čuva i neprekidno ažurira indeks svih objekata na domenu. korisničkih naloga.  Domen predstavlja granicu bezbednosti jer se na njemu čuva jedna centralna lista korisnika i pripadajućih lozinki.Administriranje mreža njegovog imena. distribuirane komponente i drugi resursi. pod operativnim sistemom NT4. Sa pojavom Windowsa 2000. Logička struktura Aktivnih direktorijuma je fleksibilna i daje nam mogućnost projektovanja hijerarhije. koj kompjuteri koriste za izgradnju i kontrolu korisničkih okruženja. domeni postali mesto za centralizovano čuvanje tzv. Aktivni direktorijum može imati jedan ili više domena. Logičko grupisanje objekata omogućava nam da grupišemo objekte na osnovu njihove logičke pripadnosti a ne na osnovu fizičke lokacije. domen predstavlja grupu servera i radnih stanica. Pored toga. Najpre su se. baze podataka.  Oni omogućavaju kreiranje korisničkih naloga sa različitim nivoima snage. Ali. na domenima se mogu kreirati i tzv. korisnike sa velikim stepenom moći. u domenima su se već mogle centralizovati DNS informacije. Kako se NT tokom godina razvijao. poput dozvola za deljive štampače ili dozvola za pristup deljenim folderima. koja je razumljiva i korisnicima i administratorima. u jednoj deljenoj (shared) bazi podataka. preko običnih korisničkih naloga. od skoro potpuno obespravljenih „gostujućih“ naloga. do svemoćnih administratora domena.Jedan od najvažnijih kocepata u teoriji i praksi Microsoftovih mreža jeste pojam domena (domain). Direktorijum domena može da sadrži do deset miliona objekata teoretski. Svaki domen treba da izvrši sledeće zadatke:  Svi objekti mreže postoje unutar domena  Oni pružaju mogućnost upotrebe grupe serverskih računara. To je veoma važno – ustvari. poznatijih pod nazivom kontroleri domena. nalozi pod-administratora. a predstavljen je i usavršeni naslednik sistemskih polisa. dokumenta. to je od zaista suštinskog značaja za kompjuterske mreže svih dimenzija – jer se time korisnicima pruža mogućnost da. a ne na osnovu njegove fizičke lokacije. čitavog jednog seta instrukcija. ali u praksi mnogo je realniji broj od jednog miliona objekata. ali samo nad jednom manjom grupom kompjutera i korisnika. centralizovano čuvanje korisničkih i kompjuterskih naloga i lozinki je samo početak.. NT domeni su postali skladišta za čuvanje i nekih drugih objekata.

 Svi domeni u šumi imaju zajednički globalni katalog. Svi domeni koji pripadaju stablu dele jedinstven prostor imena kao i hijerahijsku strukturu imena. da odredi koje su od tih veza sporije i koja je cena prenosa podataka na tim vezama. Lokacije sadrže samo 29 . Sa druge strane ovakva organizacija omogućava nam fleksibilnost u organizaciji mrežne strukture jer se lako prilagođava svim promenama. Generalno gledano sva stabla imaju neke zajedničke osobine i to:  Imena podređenih domena u stablu sadrže imena nadređenih domena. koju koristimo da bi smo organizovali objekte u okviru domena. Organizaciona jedinica omogučava administratoru mreže da se prema većem skupu objekata odnosi kao prema jednom.yu i vets.  Između domena i stabala domena postoji implicitni dvosmerni odnos poverenja. administrator samo jednom dodelom dozvola na višem nivou.3. na bazi IP komunikacije. deljenja. on kompresuje saobraćaj za replikaciju i drugo. Organizaciona jedinica (Organizational unit) je jedna vrsta skladišta – kontejner. . prostor imena je jedinstven samo u okviru svakog stabla u šumi. potrebno je voditi računa da to budu samo one mreže koje imaju brze. Lokacija (site) predstavlja kombinaciju jedne ili više podmreža. Granice lokacije obično se poklapaju sa granicama LAN-a. Windows 2003 koristi ove podatke da bi pronašao sve moguće WAN veze. na primer administrativna prava. koje nam omogućavaju da pronađemo koja je najbolja ruta za replikacioni saobraćaj. rešava dodelu istih dozvola svim podređenim objektima. 4. U aktivnom direktorijumu podrazumeva je opcija da svi podređeni objekti nasleđuju dozvole od svojih nadređenih objekata. štampače i ostale objekte u Aktivnom direktorijumu.  Stabla u šumi imaju različite strukture imena koje su u skladu sa njihovim domenima. Svi domeni unutar tog stabla mogu da nesmetano pristupe tom skaldištu. 3. a koje su povezane visoko pouzdanom i brzom vezom u cilju lokalizovanja što je moguće više mrežnog saobraćaja. bezbednosne politike i liste za kontrolu pristupa.yu formiraju jednu šumu.edu. Hijerahija domena u stablu omogućava nam da povećamo bezbednost domena kao i da kompletno administriranje svedemo na jednu organizacionu jedinicu ili na jedan domen u stablu. Kada grupišemo podmreže u lokaciju. U jednom domenu hijerahija organizacionih jedinica je potpuno nezavisna tj. ne zavisi od hijerahije u drugom domenu. 4. U Aktivnom direktorijumu lokacije nisu deo prostora imena. već svaki domen uspostavlja svoju sopstvenu hijerarhiju. aplikacije. Na taj način. U fizičke komponente Aktivnog direktorijuma spadaju lokacije i kontroleri domena. aplikacije i druge organizacione jedinice iz istog domena. Grupisanje se vrši tako što jedan ili više domena dodajemo na postojeći nadređeni domen. jeftine i pouzdane međusobne veze. 1. računari. Sve šume imaju sledeće zajedničke karakteristike:  Sva stabla u šumi imaju zajedničku šemu. Sve bezbednosne politike i parametri. Stablo (Tree) predstavlja način za grupisanje jednog ili više domena. ali ne i lokacije. Organizaciona jedinica može sadržati objekte kao što su korisnički nalozi. To se uklapa sa standardom koji je definisao DNS.  U okviru stabla postoji zajednički globalni katalog koji predstavlja centralno skladište svih objekata koji pripadaju tom stablu. vide se računari i korisnici koji su grupisani u domene i organizacione jedinice.edu. Kada se pretražuje logički prostor imena.2 Fizička struktura Komponente koje se koriste da bi se uspostavila struktura direktorijuma koja će u potpunosti održavati fizičku strukturu jedne organizacije nazivaju se fizičkim komponentama. ACL sadrži dozvole koje su povezane sa objektima i kontrolišu koji korisnici mogu dobiti pristup objektu i određuju samu vrstu pristupa. 2. Šuma (Forest) predstavlja grupu ili hijerahijsko uređenje jednog ili više potpuno nezavisnih stabala. uz najmanju cenu. Na primer: Iako stabla vtsnis.  Domeni u šumi dejstvuju nezavisno. deljene datoteke. grupe. Administrator domena ima apsolutna prava da formira politiku samo u okviru tog domena. U Windowsu 2003 termin objekat obuhvata: datoteke. ali postojanje šume omogućava komunikaciju kroz celu organizaciju. on koristi informacije o cenama puta. On onda radi dve veoma korisne stvari: prvo.  Svim domenima unutar jednog stabla pripada zajednička šema koja predstavlja formalnu definiciju svih tipova objekata koje se smeštaju u servis Aktivnog direktorijuma. ne mogu da prelaze iz jednog domena u drugi.Administriranje mreža objektima domena.

 Kontroleri domena unutar jednog domena automatski jedan drugom repliciraju sve promene koje mogu da se dogode nad objektima koje oni kontrolišu.  Postojanje više kontrolera domena u domenu daje otpornost na greške. Kontroler Domena (domain controller) je računar čiji je operativni sistem Windows 2000. Jedna lokacija može da obuhvati korisničke naloge i računare koji su iz različitih domena. 4. Kontroler domena ima sledeće funkcije:  Svaki kontroler domena sadrži potpunu kopiju svih podataka Aktivnog direktorijuma za taj domen. 2003 Server i na kome je smeštena replika direktorijuma domena (baza podataka lokalnog domena). Kontroleri domena meĐusobno mogu imati različite podatke samo jedan kratak vremenski period. potrebno je obezbediti da se sve informacije budu dostupne svim korisnicima bez obzira na koji kontroler 30 . u stvari se vrši izmena na jednom od kontrolera domena.  Aktivni direktorijum primenjuje repliciranje sa više glavnih primeraka. stablu domena ili šumi domena. Globalni katalog treba da odgovara na upite korisnika ili programa o objektima koji su bilo gde na stablu ili šumi i to maksimalnom brzinom i uz najmanji mogući mrežni saobraćaj. Svi kontroleri domena u domenu su ravnopravni i svaki kontroler domena sadrži kopiju baze podataka direktorijuma u koju se može vršiti upis. na primer pokušaj prijave korisnika na sistem. Kada se izvrši neka operacija koja uzrokuje ažuriranje Aktivnog direktorijuma.3. Kontroler domena koji čuva kopiju globalnog kataloga naziva se server globalnog kataloga. upravlja izmenama tih podataka i replicira ih na druge kontrolere domena koji su u istom domenu. Replikacioni saobraćaj između kontrolera domena može da se kontroliše tako što će se odrediti koliko često će se replikacija obavljati i koliko će podataka Windows 2003 replicirati u jednom postupku. gde svaki kontroler nadgleda svoj deo oblasti.3.3 Globalni katalog Globalni katalog predstavlja centralno skladište informacija o objektima koji se nalaze u stablu ili šumi. 2.4 Repliciranje Sve informacije koje se nalaze u okviru Aktivnog direktorijuma moraju svakog trenutka da budu dostupne svim korisnicima i servisima na tom domenu.Administriranje mreža objekte računare i objekte veze koji se koriste da bi se konfigurisala replikacija između lokacija. Kako jedan domen može da ima jedan ili više kontrolera domena. Svaki kontroler domena opciono može da se konfiguriše kao server globalnog kataloga i preporuka je da svaka lokacija u mreži obavezno ima barem jedan server globalnog kataloga. drugi kontroler domena izvršava sve potrebne funkcije. osiguravajući na taj način bazbednost podataka u globalnom katalogu. Kako u okviru ovih konfiguracija možemo imati više kontrolera domena. Kontroler domena može da održava samo jedan domen i zadužen je za njegovu bezbedonosnu politiku. On se automatski kreira na inicijalnom kontroleru domena u prvom domenu u šumi. dok se svi kontroleri domena ne sinhronizuju sa Aktivnim direktorijumom.  Kontroleri domena vrše trenutnu replikaciju kada su u pitanju ažuriranja nekih važnih podataka.  Kontroleri domena upravljaju svim aspektima interakcije korisnika u domenu. Dve su osnovne funkcije koje treba da izvrši globalni katalog i to:  da omogući korisniku da može da se prijavi na mrežu tako što će mu dati informaciju o članstvu u unuverzalnim grupama. svi kontroleri domena unutar domena imaju kompletnu repliku dela direktorijuma koji pripada tom domenu. pri čemu nijedan kontroler domena nije glavni. Delimična replika podrazumeva one atribute koji se najčešće koriste u postupcima pretraživanja. Taj kontroler domena zatim replicira izmenu na sve druge kontrolere domena unutar domena. Ukoliko je jedan kontroler domena u oflajn stanju. na primer onemogućavanje korisničkog naloga.  da omogući pronalaženje informacija direktorijuma nezavisno od toga koji domen u šumi sadrži tražene podatke. One mogu da nastanu kada neki od kontrolera domena izmeni atribute nekog objekta pre nego što se izmena tih atributa u potpunosti ne prenese na drugi kontroler domena. Atributi objekata koji su replicirani u glavnom katalogu nasleđuju dozvole kao u izvornom domenu. 4. Na njemu je smeštena potpuna replika svih atributa objekata u direktorijumu mnjegovog matičnog domena i delimična replika svih atributa objekata sadržanih u direktorijumu svakog domena u šumi.  Kontroleri domena zaduženi su da detektuju i kolizije u radu kontrolera domena.

replikacija važi za sve kontrolere domena u okviru tog domena. tako i između lokacija. particije konfiguracije za sve domene u šumi. tada se radi o netranzitivnom poverenju. Svi ostali domeni koji imaju poverenje priznaju tu proveru i korisnik može nesmetano bez ponovne provere autentičnosti da radi sa resursima na tim domenima.  Smer – postoje jednosmerna i dvosmerna poverenja. Međutim. Kao i kod prethodne particije i ovi podaci su zajednički za sve domene u šumi i repliciraju se na svi kontrolerima domena. Repliciranje upravo obezbeđuje da se sve izmene u okviru jednog kontrolera domena reflektuju na sve ostale kontrolere doemna u okviru tog domena.  Particija konfiguracije – podaci o logičkoj strukturi postavljanja. To znači da ako domen A ima poverenje u domen B. particije konfiguracije za sve domene u šumi i particije domena za svoj domen. Odnos poverenja čine dva domena: domen koji ima poverenje i domen u koga se ima poverenje. a domen B ima poverenje u domen C. Svaka od tih kategorija informacija ima naziv particija direktorijuma ili kontekst imenovanja. 4. Globalni katalog skladišti i replicira sledeće podatke: particije šeme za šumu. Informacije direktorijuma se repliciraju na kontrolerima doemna kako unutar.  Tranzitivnost – poverenja mogu biti vezana za domene koji su u odnosu (netranzitivna) i nevezana (tranzitivna). To znači da zahtevi za proveru autentičnosti mogu da se prenose između dva domena u oba smera. Da bi se izbegao nepotreban saobraćaj usled repliciranja omogućeno je da se ovi podaci eksplicitno preusmere na kontrolere domena koje administrator odredi u okviru šume domena.  Particije domena – ova particija sadrži podatke o svim objektima u jednom domenu i ti podaci pripadaju samo jednom doemnu pa se ne repliciraju na druge domene. U dvosmernom poverenju domen A ima poverenje u doemn B i obrnuto.3. uključujući i podatke kao što su struktura domena ili topologija repliciranja nalaze se u ovoj particiji.5 Odnosi poverenja Odnos poverenja predstavlja vezu dva ili više domena koji veruju jedan drugom. Ukoliko domen A nema poverenje u domen C. Možemo da definišemo neke opšte karakteristike poverenja i to:  Metod pravljenja – postoje dva načina pravljenja poverenja i to implicitno(automatsko) i eksplicitno(ručno). što zavisi od tipa poverenja koje se pravi.  Particija direktorijuma za aplikacije – podaci koji se nalaze u ovoj particiji odnose se na dinamičke podatke pojedinačnih aplikacija u Aktivnom Direktorijumu. Na osnovu ovih podataka omogućeno nam je da kontrolišemo područje smeštanja kopija i proces repliciranja.Administriranje mreža domena su povezani. delimičnu repliku koja sadrži često korišćene atribute za sve objekte direktorijuma u šumi i potpunu repliku koja sadrži sve atribute svih objekata direktorijuma u domenu gde se nalazi globalni katalog. Možemo da razlikujemo sledeće oblike poverenja koja se pojavljuju u Windows Server 2003 familiji: Poverenje na nivou korena stabla – ovo poverenje pravi se implicitno kada se šumi doda osnovni domen novog stabla. 31 . Četiri osnovne particije informacija u Aktivnom direktorijumu su:  Particija šeme – sadrži informacije o objektima koji se mogu napraviti u direktorijumu kao i njihove atribute i oni su zajednički za sve domene u šumi.dit) mogu se podeliti u četiri osnovne kategorije. Nije moguće da se prave sva poverenja na oba načina. Sve informacije koje se čuvaju u Aktivnom Direktorijumu (fajl ntds. U ovu particiju smeštaju se podaci za bilo koji tip objekta osim za one objekate koji se odnose na principe bezbednosti (korisnici. To znači da ako je postavljena veza poverenja između domena. Ova particija se replicira na svim kontrolerima domena u šumi. Ovaj tip poverenja može se uspostaviti samo između korena dva stabla u istoj šumi i predstavlja tranzitivno i dvosmerno poverenje. provera autentičnosti prijavljivanja korisnika se vrši samo na jednom doemnu. Jednosmerno poverenje znači da domen A ima poverenje u domen B ali obrnuto ne važi. grupe i računari). kažemo da imamo tranzitivno poverenje ako domen A ima poverene u domen C. Kontroler domena uskladištava i replicira sledeće podatke: particije šeme za šumu. Jednosmerni odnos može biti tranzitivan ili netranzitivan. Repliciranje se upravo vrši na osnovu ovih particija jer one predstavljaju osnovne jedinice na osnovu kojih se radi repliciranje. U familiji Windows Servera 2003 provera autentičnosti korisnika i aplikacija vrši se putem jednog ili dva protokola poverenja: Kerberus verzija 5 ili NT LAN Manager (NTLM).

domenima ili organizacionim jedinicama.6 Upravljanje izmenama i konfiguracijama Upravljanje izmenama i konfiguracijama predstavlja skup funkcija preko kojih je moguće upravljati korisničkim i računarskim podacima i parametrima kao i instalirati i održavati softver na njima. Korisno je kada treba skratiti vreme prijavljivanja korisnika ako oni pripadaju različitim domenima koji su logički udaljeni u hejerahiji čume ili stabla. korisnićka ili računarska konfiguracija predstavlja rezultat GPO-a povezanih sa njihovom lokacijom. Loakalni GPO imaju svi računari koji rade pod Windows Server-om 2003 dok su nelokalni GPO povezani sa objektima servisa Aktivnog Direktorijuma: lokacijama. i omogučava nam da svi domeni u jednoj šumi imaju tranzitivno poverenje u sve domene druge šume.3. To naročito važi za mreže gde je aktivirano dinamičko dodeljivanje adresa (DHCP).8 Prostor imena (DNS i imenovanje objekata) Aktivni Direktorijum koristi DNS kao servis za imenovanje i lociranje domena. Ova opcija omogućava nam. koji će programi biti na raspolaganju korisnicima kao i definisanje različitih opcija u meniju Start. Prečica poverenja – pravi se eksplicitno od strane administratora sistema između dva domena u šumi. da se na više računara koji pripadaju jednoj grupi.  DNS ima ista pravila kod dodeljivanja adresa kao i Internet servis pa nam je princip povezivanja sa lokalnim resursima potpuno isti kao i sa Internet resursima. nelokalni GPO se primenjuju hijerahijski od najmanje restriktivne grupe (lokacije) do najrestrijktivnije grupe (organizacione jedinice).3. Ovo nam omogučava da uspostavimo oblik poverenja i sa nekim drugim operativnim sistemima koji koriste sistem bezbednosti Kerberus.Administriranje mreža Poverenje roditelj/dete – takoše se implicitno postavlja kada pravimo novi podređeni domen u stablu. Kod njih važi princip kumulativnosti. odredi kako će izgledati radna površina. Ovo poverenje nije tranzitivno na tri i više šuma.  DNS imena su stalnija od IP adresa. lokacijama.7 Grupne politike Grupne politike predstavljaju zbirke korisničkih i računarskih parametara konfiguracije koji se mogu povezati sa računarima. domenima i organizacionim jedinicama da bi odredili ponašanje radne površine korisnika. Nelokalni GPO mogu biti primenjeni ili na korisnike(nezavisno na kom računaru oni rade) ili na računare. Poverenje u području – pravi ga eksplicitno administrator sistema između područja van Windows Kerberus-a i domena Windows Server 2003.Da bi to ostvarili potrebno je da se naprave objekti grupne politike(Group Policy Object – GPO) koji će definisati radnu površinu svake grupe. Spoljni odnos poverenja – administrator sistema eksplicitno pravi ovo poverenje između dva domena koji pripadaju različitim šumama ili dva domena pod različitim operativnim sistemima. 4. već samo na dve šume i može biti jednosmerno ili dvosmerno. Imena servera se retko menjaju za razliku od IP adresa koje su promenljive veličine.Poverenje je tranzitivno i može biti jednosmerno ili dvosmerno. Poverenje je netranzitivno a može biti jednosmerno ili dvosmerno Odnos poverenje šume –takođe ga pravi administrator između dva osnovna domena šuma. U skladu sa svojstvima nasleđivanja u servisu Aktivnog Direktorijuma. 32 .3. Ovo poverenje stavlja sve objekte u domenima na raspolaganju svim drugim domenima iz istog stabla i ono je tranzitivno i dvosmerno. Kako se nelokalni GPO-i primenjuju hijerahijski. pa se lakše pamte od brojčanih IP adresa. domenom ili organizacionom jedinicom.Skup funkcija preko kojih je moguće pojednostavniti sve te zadatke treba da obuhvate sledeće zadatke:  upravljanje konfiguracijom radne površine svakog korisnika  upravljanje načinom primene i instaliranja softvera  instaliranje inicijalnog klijentskog operativnog sistema  zamena računara  4. Poverenje može biti tranzitivno ili netranzitivni i jednosmerno ili dvosmerno. Postoje dve vrste GPO lokalni i nelokalni. 4. On nam donosi sledeće prednosti:  DNS imena su lako čitljiva.

kao i upravljanje istim. Kako Aktivni Direktorijum podržava upite po atributima objekata. računara. lokacija gde su resursi. Nakon toga treba odrediti da li taj novi domen pripada novoj šumi. Kako on sadrži sve glavne komponente koje su potrebne za nesmetano i pouzdano funkcionisanje mreže. potrebno je da tačno znamo broj servera. brzinu veze. čak i kada objekat promeni svoju lokaciju. lokacije mrežnih barijera i td. On se uvek formira pri pravljenju objekta i predstavlja 128 bitni heksdecimalni broj koji je garantovano jedinstven. pređe iz jednog domena u drugi domen. potrebno je da strukturu domena zasnivamo na njemu. plan strukture organizacionih jedinica i plan strukture sajta. OU-organizaciona jedinica i DC-ime komponete domena. Kako usluge Aktivnog Direktorijuma nisu ništa drugo nego uredno razvrstavanje svih mrežnih resursa.  Relativno karakteristično ime – RDN(Relative distinguished name) predstavlja deo imena objekta koje je atribut samog objekta. istovremeno ćemo formirati i kontroler domena i novi domen. V čas Implementiranje servisa Aktivnog Direktorijuma 5. Ako izaberemo da to bude prvi kontroler domena za novi domen. odredimo broj domena kao i njihovo hijerahijsko organizovanje.1 Plan domena Kada planiramo strukturu domena potrebno je da počnemo od fizičkog okruženja mreže. a to su: plan domena. tako nam je omogućeno da pronađemo neki objekat i ako neznamo DN ime. ako postoji već DNS struktura. Uobičajeno je da se koriste tri vrsta skraćenica kod DN imena: CN-ime objekta. potrebno je da se razmotre i druge infrastrukture koje organizacija već koristi. da odredimo osnovni domen u mreži. Fizičko okruženje uključuje lokacije objekata u mreži. Kada počnemo da instaliramo Aktivni Direktorijum moramo da izaberemo kakav kontroler domena želimo da instaliramo: da li je to prvi kontroler domena za novi domen ili samo želimo da dodamo nov kontroler domena u postojeći domen. da li je on podređen domen u postojećem stablu domena ili predstavlja jedno novo stablo domena u postojećoj šumi. ili se preimenuje. ako se koristi Microsoft Exchange. Ravnopravni kontroleri domena obezbeđuju redudantnost i smanjuju opterećenje postoječih kontrolera domena.1 Planiranje Aktivnog Direktorijuma Od suštinskog značaja za funkcionisanje mrežnog operativnog sistema u jednoj organizaciji je da se dobro isplanira aktivni direktorijum shodno zahtevima te organizacije. Dodavanje novog kontrolera u već postojeći domen pravimo ravnopravni kontroler domena.  Globalno jedinstveni identifikator – svi objekti u Aktivnom Direktorijumu imaju svoj jedinstveni GUID (globally unique identifier) identifikator. 5.rs). Osim sagledavanja fizičkog okruženja.edu. Svaki otvoreni korisnički nalog ima jedno takvo ime poznato kao glavno korisničko ime (mirko@vtsnis. broj i kvalitet WAN konekcija. korisnika. broj potrebnih servera kao i servisa na tim serverima. vrstu mreže. bezbedonosnu politiku i td. Ovaj izbor se najčešće koristi kada 33 . broj korisnika na svakoj lokaciji. Slično ovome. plan prostora imena domena. U okviru ovog imena nalazi se ime domena koji sadrži taj objekat kao i kompletnu putanju kroz hijerahiju skladišta do objekta. na koje moramo da obratimo pažnju kod njegovog implementiranja. GUID broj se nikada ne menja. Koristeći fleksibilnost servisa Aktivnog Direktorijuma. verovatno će biti dobro da se ona i zadrži. Pre nego što počnemo da uvodimo servis Aktivnog Direktorijuma moramo proučiti poslovnu i organizacionu strukturu organizacije gde se on uvodi.  Glavno korisničko ime – UPN (user principal name) se sastoji od imena korisničkog naloga i imena domena koje identifikuje domen u kome se korisnički nalog nalazi.1. svaki i mali propust u njegovoj postavci može u mnogome da smanji funkcionalnost naše mreže. Na primer. Sve aplikacije obraćaju se objektima preko tog GUID identifikatora a ne aktuelnofg DN imena. možemo da kreiramo strukturu mreže koja će uspešno odgovoriti na zahteve organizacije u kojoj se ona instalira. štampača. po principima koje odrežuje LDAP protokol..Administriranje mreža Svaki objekat u Aktivnom Direktorijumu identifikuje se po imenu. Strukturu Aktivnog Direktorijuma čine četri osnovne komponente. kao i podataka koje smo sakupili. Pri tome Aktivni Direktorijum se koristi nizom konvencija za imenovanje objekata:  Karakteristična imena – svaki objekat u Aktivnom Direktorijumu ima svoj karakteristično ime (distinguished name-DN) koje na jedinstven način identifikuju objekat.

u zavisnosti šta najbolje odgovara potrebama naše mrežne strukture.  osnovni domen je jako mali pa je jednostavno izvršiti njegovo repliciranje. Svi domeni u stablu domena imaju susedne DNS prostore imena. 2. Za pravljenje više domena mora postojati nekoliko opravdanih razloga kao što su očuvanje postojeće strukture.1. korisnici imaju različit pogled na interne i eksterne resurse. To se preporučuje iz sledećih razloga:  mogućnost kontrolisanja broja administratora koji mogu da prave izmene u šumi domena. Njegova osnovna uloga je da definiše infrastrukturu cele mreže i da upravlja istom. upravljanje je olakšano jer nema poklapanja ili dupliranja održavanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednoznačno određeni. planiranje strukture domena treba da započnemo od jednog podređenog domena ispod osnovnog. Mnogo je bolje da se to reši putem organzacionih jedinica jer su one jednostavnije za delegiranje i administriranje. Kod dodeljivanja imena novokreiranim domenima važe neka pravila koje treba poštovati:  Dato ime treba da je jednostavno i da asocira na namenu domena. potreba da se optimizuje replikacijski promet kao i potreba da se postavi zaseban prostor imena. Jednostavna i precizna imena korisnici lakše pamte i omogućavaju korisnicima da potrebne resurse pronalaze intuitivno. Ako ipak dođemo do zaključka da nam treba organizacija sa više domena onda njih moramo organizovati u vidu jedne hijerahijske strukture. Treba imati u vidu da veći broj domena povećava troškove održavanja mreže. klijenti se moraju konfigurisati da razlikuju interne od eksternih resursa. jer svaka izmena 34 . pa samim tim predstavlja i najvažniji domen koji kreiramo. jer se te strukture često menjaju.  osnovni domen retko može da zastari jer je njegova uloga samo da služi kao osnova.  Kod davanja imena osnovnom domenu treba voditi računa da se ono neće menjati. Na raspolaganju imamo dva izbora: 1. problem da se interni resursi ne objave na eksternom javnom Internetu i duplirano održavanje podataka o internim i eksternim resursima na mreži. pre nego što počnemo da koristimo DNS u našoj mreži potrebno je da isplaniramo DNS prostor imena.Administriranje mreža imamo neki domen koji se nalazi na više različitih geografskih lokacija.2 Plan prostora imena domena U servisu Aktivnog Direktorijuma domeni imaju imena koja podležu DNS pravilima. Međutim. Preporučuje se da se doda samo taj jedan domen a da druge domene dodamo samo u slučaju kada taj prvi podređeni model domena više ne može da ispuni naše zahteve. Dobro bi bilo da taj osnovni domen šume bude namenski i da bude postavljen isključivo za administriranje infrastrukture celokupne šume. Kad određujemo osnovni domen moramo da vodimo računa da je on prvi domen koji pravimo u Aktivnom Direktorijumu. Tada se formira kontroler domena na svakoj lokaciji. da je unutrašnji prostor imena isti kao i spoljašnji: dobra strana je da su imena domena potpuno ista i na internoj privatnoj mreži kao i na spoljašnjem javnom Internetu. da su unutrašnji i spoljašnji prostor imena razdvojeni: pvde postoji jasna razlika između internih i eksternih resursa. Nakon što smo odredili namenski osnovni domen šume. Osnovna razlika između ove dve strukture odnosi se na strukturu DNS imena. dok kod šume domena svako stablo domena ima svoj sopstveni jedinstveni prostor imena. računare ili grupe u nju. potreba da se zadovolje posebni parametri bezbedonosne politike. 5. Loša strana je da zahteva mnogo složeniju strukturu konfigurisanja mreže sa dodatnim zaštitnim serverima (firewall i proxy serveri). Ali. šemu i globalni katalog. kako bi se smanjio saobraćaj pristupanja servisu Aktivnog Direktorijuma. Ono što je zajedničko za obe strukture je dele istu konfiguraciju. Iako je prostor imena isti. U većini slučajeva jedan domen može da zadovolji naše potrebe jer on može da se prostire preko više lokacija i da sadrži milione objekata. Ne treba praviti posebne domene koji bi održavali sektore i odelenja u okviru jedne organizacije. Razlikujemo dva prostora imena i to unutrašnji (interni naš prostor imena) i spoljašnji (eksterni prostor imena). stabla domena ili šume domena. administrativna i fizička podeljenost. najčešće zbog dodatnog upravljanja.  vlasništvo nad osnovnim domenom se lako može preneti bez premeštanja resursa. Pored toga svakoj organizacionoj jedinici možemo dodeliti neku grupnu politiku a onda na osnovu toga smeštati korisnike. i ovakva realizacija ima svoje mane koje se ogledaju u dvostrukim imenima za prijavljivanje: jedno za interni a drugo za ekstreni prostor imena koje je potrebno registrovati u oba domena.

deljene datoteke.grupsanjem više računarskih resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje. štampači i td. Treba koristiti standardne ASCII karaktere koji podležu DNS pravilima (RFC 1035). Zato.  Organizacioni model – ovde se organizacione jedinice prave upravo prema strukturi jedne organizacije. Postoji više razloga zašto se prave organizacione jedinice i to su:  Lakše održavanje resursa – organizacione jedinice predstavljaju neku vrstu skladišta u kojima smo smestili različite mrežne resurse: korisnike. Prednos ovog modela je da olakšava administriranje resursa. Što je veći broj nivoa to je i obiv administriranja komplikovaniji.3 Plan strukture organizacionih jedinica Organizacija jedinica predstavlja skladište koje definiše strukturu unutar nekog domena.1. ali se zato može dobiti veliki broj organizacionih jedinica. 5. grupe i ostale organizacine jedinice. Ono što je neophodno. Jednostavnim odeljivanjem određenih prava samo toj oraganizacionoj jedinici mi smo dodeli ta ista prava i svim resursima koji su smešteni u tu organizacinu jedinicu. jer su resurs upravo tako i razdeljeni po organizacionim jedinicama sa istim interesima. Kako su geografske granice stabilne. lokacija (sajt) predstavlja deo fizičke strukture servisa Aktivnog 35 . a u okviru njih druge i td. to je da organizacione jedinice prvog nivoa budu jedinstvene u domenu. Administratori često upotrebljavaju ovaj model organizovanja jer je lako prihvatljiv i shvatljiv. tako da administratori mogu da delegiraju administrativne zadatke svim ili samo jednoj organizacionoj jedinici. Broj nivoa domena treba ograničiti. Ovaj model ne mora potpuno da odražava način poslovanja organizacije za koju se organizaciona jednica pravi. ne duža od 255 znaka. računare.  Lakše delegiranje administrativnih zadataka .1. gde u okviru jedne organizacine jedince možemo da imamo druge organizacine jedinice. prema odelenjima i sektorima. Upotrebom mesta kao faktora koji određuje organizacionu jedinicu. prednost ovog modela je da administratorima znatno olakšava pronalaženje resursa na mreži. kao i njihovim administrativnim potrebama. Zato nam ona služi za upravljanje resursima na osnovu modela organizacije. 5. štampače.  Lakše deljenje korisnika prema grupnim strategijama – zahvaljujući organizacionim jedinicama lakše se drže na okupu svi resursi sa identičnim bezbedonosnim potrebama. a maksimalno pet. jer svaka organizacina jedinica ima jednoobrazne objekte. On olakšava jednostavno delegiranje zadataka. Potrebno je da dužina imena domena bude što manja.  Objektni model – podela resursa po organizacionim jedinicama ovde je definisano na osnovu klasa tih resursa. Preporučuje se da dubina domena bude tri do četri od vrha DNS hijerahije. Da bi se postiglo da ime domena bude jedinstveno u celom DNS okruženju potrebno je da svaki domen ima jedinstveno ime unutar sebi nadređenog domena. ali se uz manje modifikacije može uspešno primeniti. Postoji nekoliko uobičajenih modela koji nam pomažu da odredimo hijerahiju koja nam najviše odgovara i to:  Geografski model – resursi se ovde organizuju prema mestu gde se oni nalaze. To znači da unutar domena možemo napraviti hijerahijsku strukturu stabla. Preporućuje se da hijerahijska organizacija bude što plića kaoko bi bila lakše shvatljivija. računari. Klase predstavljaju skup resursa sa istim osobinama kao: korisnici. planiranje organizacionih jedinica podrazumeva da smo se dobro upoznali sa funkcionalnom organizacijom i strukturom preduzeća. Broj organizacionih jedinica u domenu nije ograničen i isključivo zavisi od potreba organizacije preduzeća. mi postavljamo čvrste temelje za dalju nadgradnju ka stablu domena. a izbegavati neke specijalne karaktere koji nisu standardni. One se mogu hijerahijski organizovati u vidu ugnježdavanja. grupe. dodelu prava i zabrana. Problem menjanja organizacije odelenja u preduzeću ne predstavlja neki problem jer se organizacione jedinice lako reorganizuju. Organizacione jedinice predstavljaju najmanje jedinice na kojima se može dodeliti grupna strategija ili delegirati administriranje.4 Plan strukture lokacije (sajta) Kao što smo već rekli.    Administriranje mreža tog imena može kasnije biti nemoguća ili će tražiti dodatni mukotrpni rad a samim tim i povećane troškove.

5.2 Administrativne alatke Aktivnog Direktorijuma Windows Server 2003 poseduje moćne i fleksibilne alatke koje nam olakšavaju administriranje jedne složene i velike baze podataka kao što je to baza kod Aktivnog Direktorijuma. 5. Najveću pažnju treba posvetiti kod projektovanja strukture lokacije/sajta za neku mrežu koja se prostire na nekoliko različitih fizičkih lokacija. računarske naloge. Sve te alatke možemo podeliti na dve velike grupe i to: 1) Alatke za Aktivni Direktorijum iz paketa Windows Support Tools – ove alatke većinom služe za konfigurisanje. Transakciona baza podataka predstavlja bazu podataka kod koje se ažuriranje podataka vrši iz nekoliko koraka. Na taj način omogućeno nam je da vršimo administriranje Aktivnog Direktorijuma i sa računara koji nisu kontroleri domena. premeštanje. odrediti oblasti mreže koje bi mogle da se povežu u sajtove. upravljanje i uklanjanje grešaka u servisu Aktivnog Direktorijuma. Tek ako primetimo da kontroler domena ne odgovara dovoljno brzo na zahteve korisnika treba formirati posebnu lokaciju. identifikujete fizičke veze koje poveziju te sajtove. vreme i cenu replikacije. oporavak i defragmentacija iste. Način njegove realizacije najviše utiče na proces prijavljivanja korisnika i provere njihove autentičnosti. bezbedonosne i distributivne grupe i prijavljene resurse u okviru našeg domena. izmenimo. promenimo funkcionalni nivo domena (režimi domena).  Active Directory Schema – Ova konzola je takođe na raspolaganju računaru konfigurisanom kao kontroler domena. ali je potrebno da se naknadno instalira iz komandne linije. potrebno je povremeno proveravati integritet podataka u njegovoj bazi. Struktura lokacije se ovde održava potpuno odvojeno od logičkog okruženja. Ovde treba obratiti pažnju na fizičke karakteristike tih lokacija.1 Obezbeđivanje integriteta baze podataka Aktivni Direktorijum predstavlja jednu vrstu transakcione baze podataka.3 Upravljanje Aktivnim Direktorijumom Da bi Aktivni Direktorijum radio pouzdano i efikasno. Kako su mrežne veze u jednoj LAN mreži po pravilu jako brze. cela ta mreža može da bude jedan lokacija. pre svega podrazumeva neke radnje koje treba primeniti na toj bazi podataka kao što su poravka. Jedna 36 . Projektovanje lokacije za mrežu koja se sastoji od jedne lokalne računarske mreže(LAN) je veoma jednostavno. Prema tome osnovni zadatak ove konzole je da pregledamo i menjamo šemu Aktivnog Direktorijuma. Administrativne konzole mogu biti instalirane i na drugim serverima.  Active Directory Users And Computers – kao što samo ime ove konzole kaže ona nam omogućava da dodamo. tačno definisati fizičke lokacije koje ćine domene. obrišemo i organizujemo korisničke naloge. To.Administriranje mreža Direktorijuma i predstavlja kombinaciju jedne ili više podmreža na bazi IP protokola koje su povezane vrlo brzim i pouzdanim vezama. Na raspolaganju su nam sledeće administrativne konzole:  Active Directory Domains And Trusts – ova konzola obezbeđuje interfejs za upravljanje domenima i odnosima poverenja između šuma i domena.3. Jedan domen može da obuhvati više lokacija kao što i jedna lokacija može da obuhvati više domena ili njegovih delova.  Active Directory Sites And Services – pomoću ove konzole Aktivnom Direktorijumu se daju informacije o fizičkoj konfiguraciji naše mreže. Glavna uloga lokacije je da obezbedi dobru povezanost na mreži. strukture domena. ali za to nam je potreban opcioni paket Administrative Tools. 2) Administrativne konzole za Aktivni Direktorijum – ove alatke se instaliraju automatski na računarima koji su konfigurisani kao kontroleri domena kada se instalira Aktivni Direktorijum. da dodamo ili uklonimo alternativne sufikse glavnog korisničkog imena (UPN) koje se koriste za pravljenje korisničkih imena i da prenesemo glavnu ulogu za operaciju imenovanja domena sa jednog kontrolera domena na drugi. Ovaj postupak je zamišljen tako. To znači da uz pomoć ove konzole možemo da obezbedimo interoperatibilnost sa drugim domenima. da bi se izbeglo slučajno menjanje šeme.Takođe vam omogućava da upravljamo i kontrolerima domena kao i organizacionim jedinicama. Te informacije Aktivni Direktorijum koristi da bi mogao da odredi kao da vrši repliciranje direktorijuma između kontrolera domena.. 5. kao i na replikaciju direktorijuma. obezbedite otpornost na greške konfigurisanjem mosta za povezivanje sajtova i odrediti način. promenimo funkcionalni nivo šume.

To znači da nije izvodljivo da biramo pojedinačne komponente podataka stanja sistema jer su svi oni međusobno povezani i zavisni jedni od drugih. Taj način nam daje potpuno novu.5 Integrisanje Aktivnog Direktorijuma sa drugim uslugama Postoji više Microsoftovih proizvoda koji su direktno spregnuti sa Aktivnim Direktorijumom. Automatsko defragmentisanje svoje baze podataka. na kome se nalazi baza podataka. On automatski kopira sve sistemske komponente i sve distribuirane servise koji su potrebni servisu Aktivni Direktorijum. ali zato traje dosta duže od prvog načina. datoteke pod zaštitom Windows File Protection i bazu podataka Certificate Services. Ako je server i kontroler domena onda ovi podaci uključuju i Aktivni Direktorijum i direktorijum Sysvol. ali ako baza podataka previše naraste moramo da primenimo drugi način a to je defragmentiranje van veze. Na ovaj način se ne vrši fizićka promena veličine baze podataka. Svi ovi podaci su nedeljivi kada se rade rezervne kopije. a samim tim i naruši normalan mrežni rad. Zato se on primenjuje samo u velikim mrežama koje su podložne čestim i velikim promenama. Aktivni Direktorijum obavlja svakih 12 sati potpuno samostalno i to radi u sklopu svog procesa uklanjanja smeća (Garbage Collection). Kada smo sve ove zadatke uradili možemo pristupiti pravljenju rezervne kopije putem posebnog čarobnjaka Backup Or Restore. Zato je neophodno da se bezbednost tih podataka digne na najveći mogući nivo kako se ne bi dogodilo da se oni izgube. ošteti ili on jednostavno otkaže. Ova defragmentacija je veoma delotvorna jer optimizuje skladištenje podataka u bazi podataka. program ntdutil. Ove komponente i servisi poznati su pod jedinstvenim imenom podaci o stanju sistema. već se samo oslobađa prostor u kome je moguće upamtiti nove podatke za resurse mreže. bazu podataka COM+ Class Registration. moramo da pripremimo datoteke koje želimo da kopiramo kao i medijum na koji kopiramo te podatke. prazan medijum treba da bude u uređaju i uređaj mora da zadovoljava HCL(Hardwre Compatibilitz List) listu za Windows Server 2003. Da bi smo to uradili na raspolaganju nam se nalazi alatka pod nazivom ntdsutil.3. 5. 5. Da bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam omogućava poništavanje operacija po segmentima i sigurno završavanje transakcija u bazi. tj. Ako se radi o izmenljivom medijumu potrebno je da obezbedimo sledeće: uređaj u kome se nalazi izmenljivi medijum mora da bude priključen na mrežu i uključen. Ako se desi da nije moguće izvršiti sve predviđene radnje za tu transakciju potrebno je poništiti sve one radnje koje su se izvršile i vratiti se na stanje pre početka izvršenja te transakcije. bezbedonosnih deskriptora i proverava replikaciju podataka. 5.exe koja radi u režimu Directory Service Restore. Ovaj postupak defragmetiranja otklanja probleme sa skladištenjem.3. broj obrisanih objekata. Kod Windows Serever 2003 ovi podaci uključuju bazu Registry. pre nego što pristupimo pravljenju rezervne kopije potrebno je da uradimo neke preliminarne zadatke. Samo članovi grupa Administrators i Backup Operators mogu da prave rezervne kopije.Baza podataka (fajl Ntds.3 Premeštanje Aktivnog Direktorijuma Ovu aktivnost vršimo u slučaju da se fizički disk. Za kontrolu semantičkog integriteta baze podataka Aktivnog Direktorijuma postoji posebna alatka tj. kompaktnu verziju datoteke. 5. Pre svega. datoteke za podizanje sistema.4 Defragmentacija baze podataka Postoje dva načina defragmentacije baze podataka i to automatska (na vezi) i ručna (van veze). a ne i za udaljene računare. ispravnost DNS strukture imena.dit) je kod takvih mreža dosta veliki i ima dosta ’’praznina’’ ako se primenjuje samo prvi način defragmentacije a to može dosta da uspori rad našeg Aktivnog Direktorijuma. Međutim. ona se ne smanjuje. Jedan od načina da se bezbednost tih podataka digne na veći nivo je pravljenje rezervne kopije tih podataka. 37 .2 Pravljenje rezervnih kopija servisa Aktivnog Direktorijuma Podaci koji se čuvaju u Aktivnom Direktorijumu predstavljaju jako bitne podatke za efikasno funkcionisanje jedne mrežne strukture.3.3. Rezervne kopije možemo praviti samo za stanje sistema lokalnog računara.Administriranje mreža transakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi podataka i ona zaokružuje kompletno izvršenje te radnje.exe koji nam omogučava da proverimo broj aktivnih referenci i veza. Instaliranje i podešavanje tih proizvoda predstavlja posebnu temu kojoj se mi nećemo baviti ovde.

11. Jedini preduslov koji treba da ispuni taj novi DNS server.yu. Ovde se dakle unosi ime koje će se registrovati kao zvanično ime. koju koristi i Microsoftov Access. Windows 2003 Server omogućava da se domeni postavljaju u stabla. tako da je njima potrebno ime koje mogu da prepoznaju. u potpuno novu šumu. 5.edu. Time se pokreće čarobnjak za instalaciju Active Directory Installation Wizard (slika 4. U jednostavnim kofiguracijama instaliranje DNS servera predstavlja trivijalan zadatak. kada imena domena nisu mogla da imaju više od 15 karaktera i kada se nije moglo osloniti na bilo kakvu hijerarhiju.  Aktivni Direktorijum i Microsoft Exchange – Program Microsoft Exchange omogućuje nam da u okviru mreže pouzdano razmenjujemo gotovo sve podatke. Ukoliko ste sigurni da mreža na kojoj se instalira kontroler domena radi 100% pod Windows-om 2000. Kako bi se konvertovao Windows 2003 Server u kontroler domena. U ovom slučaju biramo da želimo da kreiramo novi kontroler domena. Generalno je pravilo da barem jedan DNS mora biti instaliran u šumi domena da bi Aktivni Direktorijum ispravno radio. ili kreirati dete domen u već postojećoj šumi i da li se želi kreirati domen u postojećoj šumi. Time smo obezbedili da se podaci ne dupliraju i da su uvek sinhronizovani. Čarobnjak postavlja niz pitanja i na osnovu odgovora. Instalacija Aktivnog direktorijuma je veoma jednostavna. tako da je logično da Wizard treba da zna gde da stavi novo stablo. Mi biramo prvu opciju tj. Posle ekrana dobrodošlice pojaviće se okvir kao na slici 4. već i obratno. Mreža će verovatno sadržati neke računare koji rade pod mrežnim softverom koji je pisan u danima Windows 95.Administriranje mreža Napomenućemo samo nekoliko osnovnih proizvoda i objasniti šta nam oni donose. to je i stil označavanja imena domena nazvan NetBIOS. Uz Windows Server 2003 dolazi i Microsoftov DNS server ali se može instalirati i bilo koji drugi DNS server (na primer BIND server na UNIX-u). je da podržava protokol za dinamičko ažuriranje.exe) predstavlja grafički alat za nadgledanje operacija niskog nivoa i performansi replikovanja osnovnog domena – upravljača u kompletnom domenu.  Aktivni Direktorijum i DNS – DNS je osnovni način pronalaženja usluga i servera Aktivnog Direktorijuma u domenu. 38 . novi domen u novoj šumi.4 Instalacija Aktivnog Direktorijuma Na početku instalacije treba imati u vidu da je za instalaciju Aktivnog direktorijuma potrebna NTFS particija. Na taj način on u njemu podrazumevano skladišti sve podatke o korisnicima i njihovim nalozima. Iz tog razloga domen u Windows-u 2003 ima dva imena.edu. kreira kopiju kontrolera domena u nekom postojećem domenu. U našem slučaju to je vtsnis. Način na koji se kreira domen je jednostavan. svoje DNS ime (tj.10). Čarobnjak nudi opcije da li se želi kreirati novi domen ili da se napravi kontroler u postojećem domenu.9). podešava nova stabla. Međutim. 2003 (uključujući i servere i radne stanice) ime ne treba unositi. Klikne se na Next. Klikne se na dugme Next.edu. šumu ili domen.yu. vtsnis.8) nudi upravo ove opcije: da li se želi kreirati domen u novoj šumi. Aktivni Direktorijum može sasvim lepo da koristi i SQL Server kao svoj mehanizam baze podataka. Klijenti i različiti servisi koriste DNS za pronalaženje osnovnog domena radi prijavljivanja i administriranja mreže. preporučuje se da zajedno koriste i Aktivni Direktorijum i SQL Server.yu) i ime prema starom stilu označavanja domena (VTS). Sada je potrebno uneti ime domena koji se želi kreirati (slika 4. u neku postojeću ili da to bude neki poddomen.7.  Nadgledanje povereničkih odnosa i replikovanje – Active Directory Replication Monitor (Replmon. vraća kontroler domena u server. Nakon ovoga se klikne na Next i pojavljuje se ekran sa slike 4. Sledeći okvir (slika 4. Ovaj program ne samo da konvertuje server u kontroler domena.6). Tako da ako nam trebaju i kontrola pristupa i dobre performanse.  Aktivni Direktorijum i SQL Server – Mehanizam baze podataka Aktivnog Direktorijuma zove se Jet. Kako su ova stara imena bila izabrana. Posebna pogodnost je ta da se on može vrlo lako integrisati sa Aktivnim Direktorijumom. Sledeći okvir nam daje mogućnost upisa NetBIOS imena domena (slika 4. a stabla u šume. koje samo SQL Server može da nam pruži. da bi se prilagodila jednom starom mrežnom programskom interfejsu pod imenom NetBIOS. bira se opcija StartRun i unosi se DCPROMO. Ovi stari sistemi ne mogu da prepoznaju domen pod imenom vtsnis.

16. Ovim se smanjuje posao čuvanja. pa su administratori mreže morali da nekako osiguraju da sve datoteke NETLOGON-a budu kopirane. U konkretnom slučaju za vtsnis. Ovo je trenutak kada dinamičko ažuriranje ulazi u igru. Ranije je neko morao da sedne za računar i da unosi IP brojeve. 1 DCPROMO je dobio odgovor od DNS servera za vtsnis. Rezultat je da kad DCPROMO pronaĐe DNS server domena. koji još uvek nije podešen.yu. Nije poželjno da to može svako da uradi. Ovde je DCPROMO pokušao da pronaĐe i kontaktira DNS server za vtsnis.14 omogućava serverima. RFC 2136 definiše protokol za dodavanje. ipak biramo opciju da želimo da ga kasnije konfigurišemo i kliknemo na Next. Ovaj ekran može da znači jednu od dve stvari: 1 DCPROMO ne može da dobije odgovor od DNS servera za vtsnis. RFC 2136 podržava ideju dinamičkog ažuriranja.13 gde se treba pobrinuti o DNS-u. koji su generacijski izašli pre Windows-a 2000. Ranije verzije servera su sve informacije o konfiguraciji korisnika.15 Jedna od opcija Windows-a 2003 je da prepravi oštećene baze Aktivnog direktorijuma. 39 . ali je pronašao da oni nisu prihvatili dinamičko ažuriranje.Administriranje mreža Windows 2003 čuva bazu podataka Aktivnog direktorijuma u dva dela. Sledeći okvir sa slike 4.edu. koji se automatski kopira do drugih kontrolera domena. Kliknemo na Next i pojavljuje se ekran sa slike 4. ukoliko ste sigurni da nema servera sa ranijim verzijama druga opcija je bolja.12. stavke koje povezuju računare sa IP adresama. kao što je slučaj sa bazama podataka. ali je računar bio NT 4 server ili neki server koji ne podržava RFC 2136[7] (dokument u kojem je opisan DNS). podrazumevani profili i skriptovi za prijavljivanje. klikne se na Next i pojavljuje se okvir sa slike 4. Da bi se registrovao domen mora se reći toj organizaciji IP adresa za dva računara koji će služiti kao DNS serveri domena. Opet se klikne na Next i dolazi se do okvira sa slike 4. prva stvar koju ga pita je „da li podržavaš dinamičko ažuriranje?“. samom bazom i dnevnikom transakcija. Dve stvari koje treba imati na umu su. Zbog ovoga Windows 2003 traži lozinku koju će koristiti da prihvati onog ko želi da ponovo napravi bazu AD-a. 2003 upravlja informacijama o domenima i drugim Windows Serverima. To su bile na primer datoteke sistemskih polisa. DCPROMO izbacuje grešku. jer je NT 4 izašao pre RFC 2136 dokumenta. Pojavile su se neke teškoće koje su dovele do ove nevolje.edu. Ako to ne učini. koji se nalazio na primarnom kontroleru domena. Pretpostavlja se sada da je računar konfigurisan kao DNS server. DNS je samo baza podataka sa informacijama o adresama. jer ako se kaže Windows-u 2003 da ponovo napravi svoju bazu podataka. da baza podataka Aktivnog direktorijuma treba da bude na NTFS delu. Dinamičko ažuriranje je veoma bitno. Primarni DNS će se nalaziti na ovom računaru. Velika većina zapisa u svetu DNS baza podataka su jednostavni zapisi.yu. Aktivni direktorijum želi da može da doda nove podatke u DNS bazu bez restartovanja DNS-a. proveru autentičnosti korisnika.edu. gde je Windows 2000 morao malo da izgubi od svoje sigurnosti. to je u osnovi isto kao da mu se kaže da je uništi. Kod Windows-a 2003 nema ovakvih problema. Stavljanje dnevnika transakcija i AD baze podataka na različite diskove dovodi do toga da sistem može da ih istovremeno ažurira što opet dovodi do značajnog poboljšanja performansi. treba registrovati domen kod neke od organizacija koje se bave time (Web hosting kompanije). U slučaju da je DNS server konfigurisan pre pokretanja programa DCPROMO. NETLOGON informacije su bile potrebne i backup kontrolerima domena. Svi ovi podaci idu na direktorijum pod imenom Sysvol.edu. tako da nema DNS servera koji radi. Popuni se i klikne se na Next. Kada ljudi dodaju novi računar na internet.yu. Ovo nije prijatno jer donosi mnoštvo sigurnosnih problema koji su postojali kod NT-a 4. zapisi tog računara moraju nekako biti ubačeni u neki DNS server. kao i kontrolere domena čuvale na direktorijumu pod imenom NETLOGON. nakon čega će se pojaviti ekran kao na slici 4. modifikaciju i brisanje DNS zapisa u letu. Uglavnom Aktivni direktorijum neće raditi bez konfigurisanog DNS-a. koja je bitna za način na koji Windows 2000. Ovaj ekran će izaći i ukoliko računar nije povezan sa internetom. radi postizanja boljih performansi i da je dobra ideja da se dnevnik transakcija čuva na drugom fizičkom disku. Ranije je navedeno da na serveru Aktivnog direktorijuma treba imati najmanje jedan NTFS disk.yu. sprečio bi se prikaz ovog ekrana. Aktivni direktorijum se zasniva na ovome tako da on mora imati RFC 2136 kompatibilan server za svoje domene. Da bi se to prilagodilo. Stoga. Ovo je trenutak kada se to koristi.

000 korisnika trebalo bi da može da sedne za bilo koju od 10. potrebno je opet 10-30 minuta čekanja i još jedno restartovanje. kako bi proverili našu validnost. a jedan momak koji sedi za radnom stanicom A tvrdi da je Mark.000 radnih stanica. Pored toga.1 Pružanje „servisa za proveru autentičnosti“: kontroleri domena Kada pokušamo da pristupimo nekom deljenom direktorijumu ili deljenom štampaču. najpre mora da se proĐe kroz ceo proces kreiranja Aktivnog direktorijuma. da se uništi domen.17. imamo DC. u kome DC-i jedan drugog međusobno ažuriraju po pitanju izmena u njihovim bazama podataka.000 korisnika. Lepota upotrebe domena sastoji se u tome što jednom malom broju servera možemo dati blagoslov za čuvanje podataka o korisnicima i njihovim lozinkama – NTDS:DIT fajl – pa zatim.18 čime je završena instalacija Aktivnog direktorijuma.000 korisnika. tako da bilo koji kompjuter može reći. kako bi B mogao da odluči da li da nam dozvoli pristup željenom fajlu ili ne. ako sedimo za kompjuterom A i pokušavamo da pristupimo određenom fajlu sa deljenog direktorijuma na članskom serveru B.Administriranje mreža Ovaj poslednji ekran. na primer. zatim da se restartuje server. on to neće vršiti za bilo koji kompjuter.1 Definisanje domena „poverenje“ Sada.  Koji pružaju servis za proveru autentičnosti. treba pažljivo pročitati i ako nešto nije kako smo želeli. to jest. ja sam server B. na koju se svi Microsoftovi fajl serveri oslanjaju po pitanju provere autentičnosti. po treći put. pre nego što kliknemo na Finish. svaki od ovih 10.čiju će proveru autentičnosti on vršiti? Svakako. A i B će na kraju zajedno otići do kontrolera domena. o jednom centralnom servisu. postoji još uvek mogućnost da se vratimo i ispravimo ono što ne valja. Grupa servera. imamo server koji može vršiti proveru autentičnosti korisnika. Prema tome. ostatku mreže omogućiti upotrebu odgovarjućih servisa. onda će jedan od zadatka koji ovi DC-i obavljaju odnositi na proces pod nazivom replikacija (replication). Kako bi to postigli bez upotrebe domena? Morali bi da odgovarajuće zapise. da se na njoj prijavi za rad (loguje) i da obavi neki posao. Prema tome. ručno da unosimo u SAM fajlove na svakoj radnoj stanici posebno i u SAM fajlove na serverima. Svaki od ovih 10. dakle. Preciznije govoreći. Potom se pojavljuje okvir kao na slici 4. ili servisu baze podataka. kontroleri domena moraju se instalirati na Windows server 2003 računarima. Ali. Po nekim iskustvima najmanje 10 do 30 minuta. ili servisu za štampanje. onda će B zatražiti od A odgovor na pitanje ko smo mi uopšte. koji pružaju ove usluge.000 radnih stanica (među kojima je i naš kompjuter A) i 500 servera (među kojima je i naš server B). sledeće: „Hej. 5. no koji se ostali kompjuteri oslanjaju prilikom prijavljivanja korisnika. osim ukoliko smo mu eksplicitno zabranili pristup određenim resursima. čarobnjak završava sa ekranom koji je prikazan na slici 4. Neki PC (bilo da je u pitanju server ili radna stanica) može upotrebit DC na nekom domenu radi prover 40 . ili web servisu. U svakom slučaju.1. Pretpostavimo da imamo 10. kreiramo novu lozinku i sl.000 korisnika trebalo bi da ima mogućnost da dođe do bilo kog od ovih servera i potencijalno fajlovima ili štampačima na tom serveru. kontroleri domena su računari:  Na kojima je instalirana neka verzija NT Servera – da bi se iskoristile najnovije karakteristike aktivnog direktorijuma.  Koji obezbeđuju da njihove kopije domenskih informacija budu veoma kozistente: ako na svojoj mreži imamo pet DC-a . naziva se kontrolerima domena (domain controllers). Ovog puta treba zadati tačne vrednosti i naravno kada se sve to odradi. koji je veoma sličan f ajl servisu. 10. Taj okvir će potrajati na ekranu. AD obezbeđuje jednu centralnu bazu podataka o korisničkim nalozima. dakle. a nakon toga treba da se ponovo restartuje računar i na kraju ponovo pokrene čarobnjak Active Directory Installation Wizard. koje nastaju kada kreiraamo neki novi korisnički nalog. nakon čega treba da se pokrene čarobnjak Active Directory Installation Wizard. Razlog zašto se mora biti u potpunosti siguran. aktivni direktorijum će izvršiti proveru naše validnosti. Ovaj proces može da se ubrza sa dva SCSI (Small Computer System Interface)[8] diska. da li je on zaista Mark?“ Radi se . kada je direktorijum jednom spreman.4.  Na kojima se čuva baza podataka o domenskim informacijama. 5. pre nego što se klikne na Finish je što ukoliko se želi da se nešto promeni. što se obično skraćuje u DC’s. za svih 10.

com apex. Pre nego što radna stanica poveruje kontroleru domena koji će joj obezbediti korišćenje prijavnih servisa.biz zapadni. Prilikom podele organizacije.) podeljena na domene bigfirm.biz apex. dakle. Kompjuteri koji nisu članovi njednog domena. koje kompjuterski stručnjaci nazivaju strukturom stabla.com. ova dva domena se ne mogu uklopiti u jedno stablo.  Domen predstavlja grupu kompjutera koji veruju DC-ima datog domena. Osnovna prednost upotrebe stabala odnosi se.bigfirm. na primer.bigfirm. proveru autentičnosti mog vršiti upotrebm korisničkih naloga iz svog lokalnog SAM fajla. i  Različiti domeni mogu biti konfigurisani tako da veruju jedan drugom.bigfirm. koji radna stanica prepoznaje kao nalog lokalnog administratora. kompjuter koji su punopravni članovi nekog domena.com. doduše. kreirati jednu jedinstvenu strukturu.Administriranje mreža autentičnoti. Dakle. već i između domena i nekog drugog domena. kao i DC-ima na svom domenu. Na dalje. ili tako što će od kontrolera tog domena zatražiti proveru autentičnosti tog korisnika. imamo dav domena. domeni ispod njega nazivaju se deca-domeni (child domains).2 Izgradnja multi-domenskih struktura Stabla Praktično iskustvo u upotrebi NT-a . dok kompjuteri koji su članovi nekog domena veruju svom SAM fajlu. Pretpostavimo da naziv roota galsi bigfirm. po geografskom principu – istocni. uprkos činjenici da se kod ovih kompjuterskih stabala korenje nalazi na vrhu. Od ova dva domena možemo. da je naša kompanija Root(. što je zaista sjajna osobina. postoje i manje multi-domenske strukture. Ali. to možemo učiniti. a da drugi nastavi da egzistira pod nazivom bigfirm. Prilikom pridruživanja domenu. kreiranje i održavanje njihovih odnosa biti potpuno automatizovano. a „lišće“ na dnu. pre svega. 41 . tako što kreiranje i održavanje multi domenskih mreža čini znatno jednostavnijim. Tako dolazimo do još jedne prednosti aktivnog direktorijuma: automatski odnosi poverenja. nekada. Osnovna prednost šuma se sastoji u tome što će. pokazalo je da su ljudi prilikom izgaradnje multidomenskih mreža.biz i apex.biz i zapadni. pri čemu želimo da jedan njen deo zadrži naziv bigfirm. pod nazivom stabla (trees).biz. Prvi domen koji kreiramo naziva se korenom (root) stabla. moguće je kreirati odnose poverenja ne samo između mašina i domena. kad neka grupa domena bude jednom ugrađena u šumu. uspostavlja se „odnos poverenja“ (trust relationship) između PC-ja i DC-a.ome pretpostavimo da smo odlučili da zadržimo multi-domensku strukturu. Dok je. kažemo da kompjuteri koji nisu članovi nijednog domena. nasuprot tome. u sledećoj situaciji: prvo. ali ona ne može imati istocni. ali kad zaista uspostavimo zahtev za nje prijem u članstvo domen. Šume Pretpostavimo. proveru autentičnosti nekog korisnika mogu vršiti bilo upotrebom ovih lokalnih SAM naloga. U svetu Microsoftovih mreža. sada. jedino ukolikko se taj PC „pridruži“ (join) domenu i postane „član domena“ (domani member). veruju (trust) samo svom lokalnom SAM-u. Nalazimo se. MIcrosoftov softver zahteva postojanje dogovora između administratora na nivou domena i administratora na nivou radne stanice.1. Pored toga. zbog njihovih različitih naziva. na automatsko uspostavljanje odnosa poverenja.nazivroditeljskogdirektorijuma. kod kojih se takođe koristi karakteristika auatomatskog uspostavljanja poverenja. pravilo za davanje naziva deci-domenima glasi: dete-domen mora imati naziv u obliku naziv.bigfirm.biz. i drugo. aktivni direktorijum nam sada daje mogućnost da kreiramo sistem domena pod nazivom šuma (forest). 5. obično kreirali hjerarhije domena. Aktivni direktorijum omogućava izgradnju većih mreža. i pre nego što domen kontroler bude dovoljno verovao radnoj stanici da bi joj pružio ove prijavne servise. Kada neku mašinu prijavljujete domenu. adminidtrator neke multidomenske mreže morao da izgradi i stalno održava kompleksan sistem međusobnih odnosa poverenja. Prema tome. domen će nam odgovoriti: „Sada želim da mi pokažete nalog administratora koji može biti prepoznat na domenu“. odnosi poverenja mogu ići dalje od toga.biz oblik stabla.biz. obično smo na nju prijavljeni preko jednog naloga.

bigfirm. pošto istocni. tretirati kao jednu kancelariju. odnosno onih koji svakog dana rade samo tokom kratkog vremenskog perioda. ali strašno mrzimo Microsoftove alate za administraciju.3 Provera auentičnosti za veliki broj različitih proizvođača Microsoft je odlučio da svoj aktivni direktorijum opremi standardnim interfejsom. pod nazivom Lightweight Directory Acces Protocol (LDAP). spore) konekcij između ovih sajtova. jer AD može postići stepen kompresije od čak 10:1.biz veruje domenu bigfirm. Drugim rečima. nijedan mrežni dizajn neće izazivati nikakvu glavobolju: kada povežemo dve izdvojene kancelarije uz pomoć T1 linka. koji će biti izraženi na temelju LDAP interfejsa. pod operativnim sistemom NT4. od tog trenutka ih možemo. Tako. Nadalje. Pretpostavimo. kako bi AD mogao pametnija da koristi ove konekcije. u suštini. već često moramo da se pomirimo sa neminovnošću upotrebe nepouzdanih linkova. trebalo bi da kreiramo takozvanu šumu. bez obzira što su oni povezani samo jednim veoma sporim WAN linkom. Slika 3. Ne samo što se često suočavamo sa sporim linkovima. šuma ne predstavlja ništa drugo do grupu stabala.Administriranje mreža Umesto toga. kao na primer. Ažuriranje NT4 kontrolera domena obavljalo se svakih pet minuta.3 Šematski prikaz šume Na slici je prikazana šuma koja je izgrađena od bigfirm. verovatnije. neki ljudi ne bi voleli da AD ne troši uludo snagu svog procesora na kompresiju i dekompresiju podataka. stabla. već i vreme kada je on obično dostupan. kad god dođe do nekih izmena u bazi. pretpostavimo da je u svakoj od ovih kancelarija postojao po jedan kontroler domena.biz i apex.biz. Doduše. I za ovakve korisnike. kada korisnik promeni svoju lozinku ili kada administrator kreira novi korisnički nalog. koji u osnovi ne predstavljauju ništa drugo do grupu servera sa brzom međusobnom konekcijom – odnosno. međusobno konektovane sporim WAN linkom. serveri aktivnog direktorijuma Windowsa 2000 će obaviti kompresiju podataka pre nego što ih pošalje preko sporih WAN linkova. To zanči da će svaki kontroler domena uporno pokušavati da sve svoje izmene replikuje na kontroler domena. Nakon toga.4 Problemi vezani za konektivnost i replikaciju Sve veći broj kompanija jednostavno ne živi više samo u jednom gradu.1. neku drugu firmu sa drugog kraja zemlje. mogu posmatrati kao jedno stablo – aktivni direktorijum će automatski kreirati tranzitivne odnose poverenja. Kupili su.bigfirm.biz veruje domenu apex.com. AD servera 2003 nudi adekvaatno poboljšanje: sada imamona raspolaganju opciju za isključenje kompresije. Ali.5 AD podržava upotrebu direktorijumskih servisa na mreži 42 . sada prestavlja jednu organizaciju sa potrebom za kreiranje WAN mreže.sa aspekta međusobnih odnosa poverenja. mnogo važnijeg saobraćaja.com. da smo. AD i ovde donosi veoma značajno poboljšanje. šume. onda neka inteligentna nezavisna firma može jednostavno uleteti sa ponudom svojih alata. 5. organizacione jedinice.1.biz – potpuno automatski – verovati domenu apex. 5. jer poseduju dovoljno veliki propusni opseg WAN linka. ako nam se dopada AD.com stabala. Ideja se saatoji u tome da svoje preduzeće opisujemo uz pomoć termina sajtovi (sites). na primer. Od toga možemo imati velike koristi. onih koji čas rade čas ne rade. možemo definisati koliko su brze (ili. grupu servera koji egzistiraju na istoj LAN mreži. Sve to njihovo ćaskanje moglo bi u velikoj meri zagušititi WAN link i sprečititi prolazak nekog drugog.1. to će i istocni. Aktivni direktorijum omogućava da definišemo ne samo brzinu WAN linka. to znači da. Postojanje LDAPa znači da je (bar teoretski) moguće izgraditi alate pomoću kojih se može kreirati struktura aktivnog direktorijuma – domeni. tako da ono što je neka predstavljalo dve odvojene mreže lokalnog područja. Ukoliko je ovaj WAN link dovoljno brz. Između ovih kontrolera domena morala je da se redovno obavlja replikacija njihovih SAM baza podataka. Kao što se vidi sa slike. Microsoft je širom otvorio vrata za programere svih ostalih proizvođača. imali dve izdvojene kancelarije. Izuzev različitih nazivnih hijerarhija. ovi kontrolerori domena moraju komunicirati međusobno. Konkretno. tko što nam omogučava da našim WIndows 2000 i Server 2003 kontrolerima domena saopčtimo koliko su oni međusobno dobro konektovani. međutim. sva stabla u šumi se. ova kompresija će oduzeti malo procesorske snage ali će se višestruko isplatiti. Ovaj proces se naziva replikacijom aktivnog direktorijuma. Postavljanjem LDAP interfejsa na svoj aktivni direktorijum. korisnički nalozi i sve ostale komponente. 5. jer će svaki sajt (lokacija) obično sadržati svoj kontroler domena. a bigfirm. recimo. Ali.

Korisnički nalog pruža korisniku mogućnost da se prijavi na računar kako bi dobio pristup resursima na tom računaru. Svi korisnici se tretiraju kao bezbednosni subjekti (security principals) koji inicijalno imaju sva ovlašćenja. niti pristupati mreži. Browser još uvek postoji u Serveru 2003. Ova lista sadrži nazive servera. 5. Uprkos Microsoftovoj inicijativi za Windows bez administriranja (Zero Administration Windows. kao i u podršci aktivnog direktorijuma za njih. Da bi se to ostvarilo potrebno je da uradimo još jedan zadatak.1 Administriranje korisnika U predhodnom poglavlju objasnili smo osnovne pojmove i termine koje svaki administrator mora da zna kako bi mogao da organizuje logičku strukturu preduzeća – domen. možemo podesiti da određeni korisnik dobije na raspolaganje veći propusi opseg svakog utorka popodne. Na taj način.1. jer mu je to potrebno zbog prenošenja video-konferencija. upravljanje korisnicima i grupama postalo je znatno složenije u Windows Serveru 2003. A gde se sve te informacije čuvaju? – U aktivnom direktorijumu.Administriranje mreža Windows 2000. aktivni direktorijum i razne programske alatke drugih proizvođača. Ove informacije uključuju korisničko ime i lozinku koji su potrebni da bi se korisnik prijavio na sistem. Uzroci tome leže dobrim delom u objektima tipa korisnik (user) i grupa (group).1. grupe čiji je korisnički nalog član i prava i dozvole koje korisnik ima za pristupanje mrežnim resursima. Moramo istaći hvale vredne činjenice da je aktivni imenik otvoren i da podržava izuzetno upotrebljiv API (ADSI) i protokol za pristup (LDAP). koja se čuva u aktivnom direktorijumu. mrežne objekte (uređaje i računare) i ljude. pa zatim Network Neighborhood. ZAW). DN). Ovakav pretraživač se najpre nazivao Browser. Za svaki operativni sistem iz porodice Windows. Ali to nije dovoljno da bi organizovali jedan efikasan mrežni rad i omogućili korisnicima da nesmetano pristupaju svim mrežnim resursima. Međutim. U mrežnom domenu Windows-a (kao i na lokalnom računaru) definicija korisnika obuhvata samostalne procese. Po pravilu svaki korisnik računara ili mreže trebalo bi da ima jedan jedinstven korisnički nalog i bez njega niko ne može koristiti računar. To automatski čine razni 43 . Objekti tipa mašina (machine) izvedeni su od objekata tipa korisnik (User). raspoložive deljene resurse (shares) u sistemu. Verovatno da je ovo jedan od najdosadnijih poslova koje administrator obavlja jer je sa jedne strane jako jednostavan. nasleđenoj od Windowsa 2000. Korisnički nalog predstavlja zapis koji obuhvata sve informacije koje definišu korisnika u sistemu mrežnog operativnog sistema. ali njegovu ulogu lagano preuzima centralna lista servera i deljnih resursa. 6. na primer. nude nam mnoge alatke koje nam automatizuju rutinske poslove i olakšavaju pravljenje potrebnih naloga za rad. a čitava ideja se sastojala u tome da se korisniku omogući da jednostavno otvori odgovarajuči prozor i vidi koji mu resursi stoje na raspolaganju na internoj mreži kompanije. koja je izvedena od više roditelja. Da biste pristupili određenom objektu tipa korisnik. grupe i računare kao i upravljanje istim. u kodu programa ili skripta treba da zadate njegovo jedinstveno ime (distinguished name. To znači da je potrebno da što više naučimo o alatkama i resursima koje nam stoje na raspolaganju kako bi uspešno obavili posao i smanjili mogućnost nepravilnog korišćenja mrežnih resursa. Kada tome dodamo i probleme integrisanja Windowsa NT i postojećih mreža. a to je kreiranje naloga za korisnike. koji neki nazivaju i „srce“ administratorskog posla. XP i server 2003 omogućavaju da kontrolišemo propusni opseg (bandwidth) na svom intranetu uz pomoć takozvane QoS (Quality of Service) kontrole u TCP/IP protokolu. Svi objekti tipa korisnik izvedeni su od iste klase User aktivnog direktorijuma. Microsoft je hrabro poiušavao da na omogući jednostavno pretraživanje servera na lokalnoj mreži. podsistem za bezbednost Windows Servera 2003 ne pravi nikakvu razliku između čoveka i uređaja koji koriste resurse operativnog sistema.6 AD će jednog dana zameniti Browser Tokom proteklih godina. monoton i veoma sličan za mnoge korisnike tako da se rutinski obavlja.1 Pojam korisničkog naloga Da bi smo mogli da napravimo korisničke naloge i profile potrebno je da razumemo koji sve tipovi korisničkoh naloga postoje kao i njihove karakteristike. korisnik je svaki proces. kao i listu raspoloživih mrežnih štampača. VI čas Upravljanje korisnicima i resursima 6. računar ili tehnologija koja za obavljanje određenog posla mora da primeni drugi objekat u mreži ili drugi računar. posao koji nas kao administratora čeka u bliskoj budućnosti neće biti nimalo lak. U suštini. kao i da se prijavi na domen kako bi dobio pristup resusima mreže gde se taj domen nalazi. Sa druge strane je jako odgovoran jer se kreiranjem naloga daju određena prava za korišćenje mrežnih resursa i na taj način određuje rad mreže.

i druge koji su lokalni u odnosu na mrežu ili na domen. objekat tipa kontakt ne nasleđuje od svog roditelja bezbednost atributa. Korišćenjem ovih informacija operativni sistem potvrđuje autentičnost korisnika i zatim gradi token pristupa (access token) koji sadrži informacije o korisniku i bezbedonosne parametre i koji važi sve vreme dok je korisnik prijavljen. Ovaj nalog se pravi unutar nekog skladišta ili organizacione jedinice u bazi podataka Aktivnog direktorijuma na kontroleru domena. Preporuka je da se taj nalog uvek preimenuje u neko novo ime koje neće asocirati na nalog sa administrativnim zadacima. ili u domenu. na kojoj postoji njegov nalog. 2) Korisnički nalozi domena . Student se na svoju lokalnu mašinu loguje kao student sa lozinkom student. Na primer. Lokalni korisnik može da se prijavi na mašinu ispred koje sedi. za telefoniranje itd. U Windows Server 2003 razlikujemo tri osnovna tipa korisničkih naloga: 1) Lokalni korisnički nalozi – Izraz lokalni korisnik često opisuje dve vrste korisnika: jedne. Kako ovaj nalog ima dozvole za obavljanje svih zadataka u domenu. Proces prijavljivanja se ovde ne razlikuje od predhodnog slučaja jer i ovde korisnik daje svoje korisničko ime i lozinku. Kontaktima u aktivnom imeniku možete pristupati iz programa kao što su Outlook i Outlook Express ili iz svih drugih klijentskih programa koji su LDAP kompatibilni. ali ako nameravate da pišete skriptove koji pristupaju objektu.Administriranje mreža objekti grafičkog korisničkog okruženja. Distribucione liste Windows Servera 2003 sačinjavaju kontakti. Ugrađeni nalog Administrator koristi se da bi mogli da upravljamo celokupnom konfiguracijom računara i domena. Kada se pravi lokalni korisnički nalog on se formira samo u bezbedonosnoj bazi podataka računara na kome se pravi i ta se baza naziva lokalnom bezbedonosnom bazom podataka. Na primer: pretpostavimo da neko pokušava da pristupi deljenom štampaču na serveru. Nijedan od serverskih operativnih sistema ne zahteva od korisnika da se loguje sa 44 . Objekat tipa Contact je gotovo istovetan objektu u Windows-ovom adresaru (Windows Address Book. Korisnik može istovremeno da pripada i lokalnom računaru i domenu. ili na udaljenu mašinu za koju mu je dodeljeno pravo da se prijavljuje lokalno. Kontakt se koristi samo u komunikacijama: za razmenu poruka elektronskom poštom i faksom. Uobičajeni rad pod ovim nalogom treba izbegavati i koristiti ga samo kada se rade administrativni poslovi. koji su lokalni u odnosu na računar i prijavljuju se na njega da bi koristili usluge lokalno radne stanice. Namera drugog ugrađenog naloga Guest je da omogući korisnicima koji nemaju otvoren nalog. Takođe za ovaj nalog treba koristiti veoma složenu lozinku koja se ne može lako razbiti i koju ne treba previše ljudi da zna. Smatramo da je logično da lokalni korisnik bude onaj koji se lokalno prijavljuje na radnu stanicu ili na server. Čak i bez naloga na serveru. Ovde treba pomenuti i jedan novi objekat koji se pojavio u Windows Server 2003 mrežama. To su kontakti (contacts) koji su izvedeni od iste hijerarhije klasa kao objekat tipa korisnik. on može da radi na svom lokalnom računaru. Na nekoj NT radnoj stanici on bi morao da se loguje na lokalnom računaru. na sistem se treba prijaviti sa standardnim korisničkim nalogom a ako se želi da uradi neki administartorski posao treba korisititi program Run as. to može da bude server za aplikacije kome udaljeni klijent pristupa u okviru terminalske sesije. moramo ga jako dobro zaštititi od nedozvoljene upotrebe.Kada pominjemo generički korisnike u domenu ili korisnike uopšte logičnije je da o njima govorimo kao o korisnicima domena ili pripadnicima domena. treba da referencirate njegov GUID identifikator. Te informacije se samo koriste da bi računar proverio autentičnost lokalnog korisničkog naloga. Ta se informacija obavezno replicira na sve ostale kontrolere domena iz domena. Podrazumeva se da ovaj nalog nema nikakvu lozinku i da nije aktivan. I ovaj nalog možemo da preimenujemo ali ne da i obrišemo. WAB). Ovom nalogu dodeljuje se inicijalna lozinka koju smo naveli prilikom instaliranja servisa Aktivnog direktorijuma i predstavlja neizbrisiv nalog. Windows 95/98 računare ne zanima ko se loguje i oni uopšte nemaju korisničke naloge. Informacije iz te baze se ne repliciraju na kontrolere domena u domenu. Međutim. što korisniku omogućava da se prijavi samo na taj računar i da koristi samo njegove lokalne resurse. Ovi nalozi omogućuju korisnicima da se prijave na domen i dobiju pristup resursima bilo gde na mreži. ili domenu na kojem je omogućen Guest nalog. 3) Ugrađeni korisnički nalozi – predstavljaju naloge koji se automatski prave od strane operativnog sistema i obično su to dva naloga: Administrator i Gost (guest). da se prijave i koriste mrežne resurse. Odnosno. kako bi svi oni mogli da provere autentičnost korisnika prilikom prijavljivanja.

zatim se iz menija Action (slika 5. tako da je važan kada se korisnik loguje u okruženju sa više domena. organizacionim jedinicama i načelima. SID-ovi se koriste od kada je počeo NT. modifikovana Access baza podataka. student) i izabere se Universal Principal Name (UPN) sufiks. NTDS. gde se želi smestiti nalog). UPN sufiks je pointer na domen koji sadrži korisnički nalog. koja se obično nalazi u C:\winnt\system32\congif.MSC selektuje se kontejner Users (ili neki drugi kontejner/organizaciona jedinica. Kreiranje. znači sa @ simbolom. Lokalni korisnički nalozi na usamljenom serveru. UPN imena su pravljena prema e-mail imenima. To je. niti da se gleda na neki drugi način. Ova struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena.Administriranje mreža servera.2 Formiranje korisničkih naloga U Windows-u 2003.MSC) predstavlja glavnu alatku koja nam služi za za rad sa korisničkim nalozima. Pojavljuje se čarobnjak. u stvari. za jedan domen. ili domen nema nalog student. fajl se zove NTDS. ovaj alat se može pokrenuti na svakom Windows 2000/2003 računaru. kojoj je osnova Lightweight Directory Acess Protocol (LDAP). objavljenim aplikacijama i načelima bezbednosti.DIT i softver koji je pokreće obično se zovu servis direktorijuma. kako bi koristio privilegije gosta. Iako eksplicitno logovanje na domen zahteva da se upotrebi korisničko ime Guest. UPN sufiks je obično DNS ime domena i ne može se izabrati ništa osim podrazumevanog imena domena. Baza se ne može otvoriti u Access-u.1. kada se prvi put kreiraju. Kako je reč o Microsoft Managment Console (MMC) aplikaciji. koji će se dodavati korisničkom imenu u trenutku logovanja. konzola Active Directory Users and Computers (DSA. ili Aktivni direktorijum. automatski se dodeljuje identifikator bezbednosti (security identificator – SID). Upravo iz ovog razloga treba biti veoma pažljiv kada se omogućuje Guest nalog. Za Aktivni direktorijum. 6. 45 . kada se nalog obriše i njegov SID se briše sa njim. bezbednosnim grupama. resursima. ali se nad njom mogu vršiti upiti i može se menjati pomoću Active Directory Service Interface (ADSI). Korisnički ID su tu samo radi lakšeg interfejsa. već po SID-u. SID je jedinstven broj koji identifikuje nalog. Popunjavaju se polja First Name (ime). Last Name (prezime) i Full Name (puno ime). ili nekoj radnoj stanici se čuvaju u Security Accounts Manager (SAM) bazi podataka. SID-ovi se nikada ne koriste ponovo. ili edituje direktno. sa okvirom za dijalog prikazanim na slici 5. eksplicitno korisnik ne mora da se loguje na domen. U njoj su informacije o serverima i radnim stanicama.5. serveru članu. Active Directory Users and Computers administratoru obezbeđuje sredstva za izvršavanje sledećih zadataka: 1. menjanje i brisanje korisničkih naloga 2. Upravljanje grupama i članstvima u grupama 4. ili više njih. Potom se unosi korisničko logon ime (npr. ili domena da bi dobio pristup lokalnoj radnoj stanici. On radi na računaru i pokušava da pristupi resursima iz domena i naravno pristupa. u DSA. Dodeljivanje Log On scriptova korisničkim nalozima 3. Kreiranje i upravljanje grupnim načelima Da bi se kreirao korisnički nalog. jer sistem i ne zna korisnika po imenu. Korisničkim nalozima. radi tolerancije greške i uravnoteženja opterećenja. Pretpostavimo da ovaj server.4) izabere NewUser.DIT i podrazumevano se nalazi u direktorijumu „%system-root%\NTDS“.

zadaje se lozinka za korisnički nalog i potvrđuje se.1. što je činjenica koja unosi veliku konfuziju.+*?<> 5. puno ime. ali se ne može u potpunosti sastojati od tačaka i razmaka. dok se ne omogući (nalog nije uklonjen iz baze podataka). za lokalne naloge (ili jedinstveno u domenu). malim. logon ime i lozinku. korisničko ime ne sme sadržati : „ \ / []:. kao na primer novi zaposleni koje neće početi da rade još neko vreme.6. jednostavno potvrđuje sve informacije koje su date. ili velikim slovima. Međutim. za lokalni nalog (ni isto kao ime grupe u domenu). pa nije loše izabrati User must change password on Next logon (korisnik mora promeniti lozinku prilikom sledećeg logovanja). Ovo je korisno za naloge koji se koriste kao šabloni i za nove korisničke naloge koji se mogu kreirati mnogo unapred.Administriranje mreža Korisničko ime u Windows 2000/2003 sistemima mora poštovati sledeća pravila: 1. Tabela 5. Poslednji ekran ovog Create New Object čarobnjaka. Korisničko ime ne može biti isto kao ime grupe na lokalnom računaru. 46 . 2. jer je reč o potpuno različitim entitetima. Account is disabled (nalog je onemogućen) Ako je potvrđeno. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse. Korisničko ime može biti do 20 karaktera. korisnički nalog ignoriše politiku isticanja roka nikad ne ističe rok trajanja) lozinke.1: Opcije lozinke i naloga pri kreiranju novog korisničkog naloga Opcija Opis User must change password on Primorava korisnika da promeni lozinku sledeći put kada se prijavi. U narednom ekranu prikazanom na slici 5. nalog je onemogućen i niko ne može da se loguje na njega. Ime može sadržati razmake i tačke. ( korisnik ne može da menja lozinku) Password never expires (lozinci Ako je potvrđeno. Klikne se na Finish i korisnički nalog je kreiran. sprečava korisnika da promeni lozinku za nalog. 3. 4. ili izdavanja komandi sa komandne linije. ili izabrane opcije naloga.|=. ili u kombinaciji. Opcije lozinke i naloga sumirane su u tabeli 5. ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na računaru koji je član domena. Nijedna od opcija naloga nije potvrđena unapred. Ime mora biti jedinstveno na računaru. Treba izbegavati razmake jer se u tom slučaju ta imena moraju stavljati među znake navoda u slučaju pisanja skriptova. uključujući kontejner/organizacionu jedinicu gde će se nalog nalaziti. next logon (korisnik mora promeniti lozinku prilikom sledećeg logovanja) User cannot change password Ako je potvrđeno. Kada se popune sva polja o korisničkom imenu izabere se Next. a nije kontroler. Ovo je korisno za naloge koji pokreću servise i naloge za koje želite stalnu lozinku (na primer Guest).

pod Computer Configuration\Windows Settings\ Security Settings\ Local Polices\Security Options. Grupe su izuzetno moćni upravljački objekti. ili organizacionu jedinicu. ali može se izabrati dugme Logon Hours. U Organizacionoj kartici mogu se uneti informacije o nazivu nečijeg posla i poziciji u hijerarhiji organizacije. Odavde se brzo može kopirati nalog. Podrazumeva se da korisnik neće biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad. kroz koji se korisnicima i drugim grupama odobrava pristup određenim resursima. ide se na karticu Account. resetovati korisničku lozinku. tokom celog dana (24/7).2 Administriranje grupa Grupe predstavljaju skladišta više korisnika.Administriranje mreža 6. onemogućiti ili omogućiti nalog. Na ovom mestu može se odrediti i vreme kada je logovanje dozvoljeno. desnim tasterom se klikne na objekat korisničkog naloga i vidi se nekoliko opcija u kontekstualnom meniju. Kartica Telephones nudi mesta za brojeve za kućni. da bi se otvorile sve informacije o korisničkom nalogu. studijske grupe itd. upisati ime odseka u školi. Ukoliko je potrebno promeniti korisnikovo logon ime. dodati brojevi telefona. otvoriti korisnikovu home stranicu ili mu poslati E-mail. Za korisničke naloge ovi podaci predstavljaju atribute tih objekata koji nam omogućuju da korisnike možemo pronalaziti u direktorijumu po njima. premestiti nalog u drugi kontejner.1. faks i IP telefon i pejdžer. kontakata. Ove četiri pomenute kartice se ne mogu smatrati svojstvima naloga već su tu čisto informativnog karaktera. 47 . Da bi videli svojstva kreiranog naloga. Tu ključnu ulogu grupa ilustruje slika 6. U ovom meniju se može izabrati brisanje naloga i promena imena. To znači da grupe mogu da se koriste u ulozi bezbednosnog filtra.2. Grupe mogu da sadrže objekte tipa korisnik koji svi imaju ista prava pristupa mrežnim objektima. prikazuje polje za korisnikovu poštansku adresu. Grupe su zaostatak iz vremena Windows-a NT.2. Parametar se zove Automatically Log Off Users When Logon Hour Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy Object Editor-u. štampači itd. kako bi se zadali određeni sati i dani kada je dozvoljeno logovanje. može se dodati opis korisničkog naloga. ili UPN sufiks. što znači da su grupe nasleđene od ranije tehnologije i da su poboljšane u Windows Serveru 2003. Na kartici General. 6.3 Svojstva korisničkih naloga Svakom korisničkom nalogu domena koji smo napravili pridružen je skup podataka koji bliže određuju taj nalog. Kartica Address. Grupe su podržane u aktivnom imeniku i u bezbednosnom podsistemu lokalnog računara. čak i adresa web stranice. e-mail adresa. Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji. Iz kontekstualnog naloga se izabere Properties. one su prisutne u Windows Serveru 2003 i tako će i ostati. ali postoji parametar kojim se i ovo može postići.2.1 ilustruje filozofiju kontejnerskog objekta tipa grupa.NET. Slika 6. opcije naloga i slično. Grupa umanjuje rad administratora. tako što omogućuje da se dozvole i prava dodele grupi korisnika umesto da ih pojedinačno dodeljujemo svakom korisničkom nalogu. Grupe formiramo i koristimo prvenstveno da bismo prava pristupa objekata tipa korisnik i grupa ograničili na određenu bezbednosnu celinu. Iako grupe nekome mogu da se čine suvišnim pored organizacionih jedinica. mobilni. Treba imati u vidu da je Windows Server 2003 sagrađen na temeljima tehnologije . datoteke. računara ili drugih grupa (formiranje grupe je poznato i kao ugnežđivanje). Sasvim je razumljivo ako se pitamo zbog čega je Microsoft za građenje struktura ponudio i grupe i organizacione jedinice (OJ). upravljati članstvom u grupi. kao i mesto za unošenje komentara. kao što su deljeni resursi. direktorijumi.

To jest. počevši od Win 2000. kada bi one bile bezbednosni subjekti.1 Tipovi grupa Grupisanje mrežnih resursa u grupe najčešće se radi iz bezbedonosnih razloga. Za razliku od OJ. bezbedonosnim grupama se dodeljuju SID-ovi koji jednoznačno određuju svaku grupu. i omogučuju da dodeljujemo dozvole povezanim resursima um više domena. Mnogi ljudi veruju da su objekti tipa grupa postali suvišni jer postoje organizacione jedinice. Na primer.Administriranje mreža Object (object name) 1 Read 2 Execute 3 Write Slika 6.2. Ovaj tip je dostupan je samo u domenima čiji je funkcionalni nivo doemna postavljen na Win 2000 početni (native) ili Windows Server 2003. Njih karakteriše otvoreno članstvo-dodajemo članove iz bilo kog domena. tako da Windows Server 2003 koristi samo bezbedonosi tip grupa. Pri pravljenju grupe nije dovoljno da odredimo tip grupe već i njen domet. S druge strane. tj. Domet grupe omogućuje nam da koristimo grupe za dodeljivanje dozvola na različite načine. karakteristike ovog tipa su: otvoreno članstvo-dodajemo članove iz bilo kog domena i pristup resursima u jednom domenu-ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u istom domenu u kome se i grupa pravi. one postoje i validne su samo na toj radnoj stanici ili serveru koji nije kontroler domena. Lokalne grupe su lokalne za taj računar. Dve su osnovne karakteristike ovih grupa: ograničeno članstvo-možemo da dodajemo članove samo iz domena u kojem smo napravili globalnu grupu. To je izuzetna olakšica za administratore elektronske pošte. ona se može klasifikovati kao bezbedonosna ili kao distributivna. Domain local group (Lokalna grupa domena) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. ali se to nekada radi zbog jedinstvenog slanja poruka više korisnicima. Prednost grupe je to što ista grupa može da sadrži članove koji pripadaju različitim organizacionim jedinicama i domenima. računara i drugih grupa Grupe možemo da koristimo i za formiranje distribucionih lista (to je još jedna nova vrsta grupe). Ovaj tip grupe sadrži sve mogućnosti koje ima distributivna grupa.1 Grupe su zbirke ili skupine korisnika. serveru koji je član domena. postojati i na drugom.2. ili na WinXP radnoj stanici. Kao i korisničkim nalozima. 6. Oba tipa grupa čuvaju se u komponenti baze podataka servisa Aktivnog Direktorijuma što nam omogućava da ih koristimo bilo gde na mreži. 48 . 3) univerzalni – predstavljaju novu mogućnost. savršeno odgovara korišćenje grupa čiji članovi pripadaju organizacionim jedinicama kupljenih firmi ili njihovim podružnicama i službama.Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru. 2) lokalni u domenu . Bezbedonosne grupe su one koje se koriste za dodeljivanje prava i dozvola za pristup resursima.2. i pristup resursima u bilo kom domenuomogućava nam da grupu koristimo za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u stablu ili šumi. Kontroleri domena imaju zajednički Aktivni direktorijum koji je repliciran između njih. pristup resursima u bilo kom domenu-ovde se grupa koristi za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo kom domenu u šumi. možemo da formiramo grupu čiji će svi članovi pojedinačno dobijati svaku poruku koja grupi bude poslata elektronskom poštom. jedna organizaciona jedinica uvek pripada samo jednom domenu. odnosno lista za slanje. grupa je složen kontejner koji omogućava sve vrste kontrola korisničkih naloga i drugih objekata koje sadrži.2 Grupe predstavljaju bezbednosni filtar kroz koji se korisnicima i drugim grupama odobrava pristup resursima Slika 6. kada se u Windows-u pravi grupa. To bi bilo tačno kada bi bezbednosni podsistem i mehanizmi kontrole pristupa objektima prepoznavali organizacione jedinice. Poznata su tri osnovna tipa dometa grupa i to: 1) globalni – najčešće se koriste za organizovanje korisnika koji dele slične zahteve za pristup mreži. Shodno tome. Firmama koje nastaju složenim spajanjem ili kupovinom drugih firmi i internacionalnim kompanijama. tako da će lokalna grupa domena koja postoji na jednom računaru.

lokalne grupe domena se ne repliciraju u globalni katalog. koje žive u Aktivnom direktorijumu kontroleru domena. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena.2. Univerzalne grupe se mogu 49 . one su validne samo u svom kućnom domenu.MSC i pojaviće se opcija slanja e-maila članovima grupe. čak i u drugim šumama. „Server-član“ ili „radna stanica-član“ zadržavaju svoje lokalne korisnike i grupe. Mogu da sadrže korisnike iz sopstvenog ili domena od poverenja (trusted domain) i univerzalne. To su grupe sa adresama primalaca. Informacije o globalnim grupama se repliciraju između bratskih kontrolera domena. treba znati pravila i preporuke koje važe za ugneždavanje. One nemaju SID i ne pojavljuju se u ACL-u (Acces Control List). mogu upućivati u listama dozvola za objekat (ACL). Kad bi lokalna grupa domena bila validna u drugom domenu. ali se mogu koristiti samo kada je domen native (prirodan). kada se računar priključi domenu usamljeni narod postaje član neke veće uprave. Ovo će izbaciti program za rukovanje poštom i sistem će pokušati da poštu pošalje na e-mail adresu dobijenu iz informacija naloga. nego svakog od šefa selektovati posebno iz liste. Potrebno je samo kliknuti desnim tasterom ime grupe u DSA. ni univerzalna grupa. šefovi odseka škole. Univerzalne grupe se mogu kreirati na svakom kontroleru domena. potrebno je znati gde članstvo u toj grupi nešto znači ili gde se prihvata. ako se ustanove stari odnosi poverenja. članstvo u globalnoj grupi je ograničeno. Iako su lokalne grupe domena fleksibilnije po pitanju članstva. Ovi računari su svesni svog kućnog domena i svih ostalih domena u šumi Aktivnog direktorijuma. kao što se vidi opcija slanja maila nalogu korisnika. ali globalni katalog sadrži samo imena grupa. Lakše je adresirati mail na. Pretpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru škole i svi oni su smešteni u sigurnosnu grupu Administracija. postoje u različitom kontekstu od lokalnih grupa na radnim stanicama. više ne bi bila „lokalna“. U globalnu grupu se ne može smestiti ni lokalna. Pretpostavlja se da su unete e-mail adrese korisnika. Lokalne grupe domena. na primer. Ipak. Članstvo u lokalnim grupama domena trebalo bi da je relativno malo i da koristi ugneždavanje. Članstvo u univerzalnoj grupi je neograničeno fleksibilno. ali će sada u članstvo svojih lokalnih grupa primati i članove iz „federacije“. iako se informacije o članstvu repliciraju između kontrolera domena u istom domenu. jer su neuporedivo fleksibilnije po pitanju ugneždavanja. koji nisu članovi domena su kao usamljeni narod koji ne znaju za ostatak sveta. univerzalne i lokalne grupe domena. usamljenim ili serverima-članovima. Zbog toga lokalne grupe domena mogu da sadrže članove iz bilo kojeg od domena iz šume. Oni prepoznaju samo svoje lokalne grupe i korisnike. jer se koriste samo u ACLovima istog domena. Osim toga. 6. a članstvo je ograničeno na lokalne korisnike. ali je njegovo prihvatanje široko. One mogu da sadrže članove iz bilo kog od domena šume i mogu se koristiti na objektovom ACL-u unutar šume. globalne i univerzalne Glavna pitanja u vezi lokalnih. Na globalne grupe i „federalne“ (domen) naloge se sada. su smeštene u Aktivnom direktorijumu kontrolera domena.Administriranje mreža Globalne. već samo korisnički nalozi i globalne grupe iz istog domena. globalnih i univerzalnih grupa su gde se prepoznaju i šta mogu da sadrže. koji nisu lokalni. O globalnim grupama treba misliti kao o kontejnerima za korisnike i grupe kojima treba da ih drugi računari i domeni prihvate. a univerzalno je prihvaćeno u šumi. Sigurnosne grupe u Aktivnom direktorijumu su. nezvanične distribucione liste. Usamljeni server ili radna stanica. ili lokalnih.2 Oblast rada grupa: lokalne. Lokalne grupe su jedine kojima se mogu dodeliti prava za pristup resursima. Pošto grupe treba ugneždavati radi olakšanja davanja prava i dozvola. One su mnogo korisnije od globalnih. Pošto se koriste za dodeljivanje prava i dozvola. takođe. federacije. Globalne grupe mogu da sadrže samo članove iz istog domena. Distribuciona grupa nije sigurnosna. Članstvo u globalnoj grupi je suprotno od članstva u lokalnoj grupi domena. Globalne grupe se mogu koristiti u svakom ACL-u u šumi. a ne i članova. unutar domena i između domena. Obične lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima. što zahteva da su svi kontroleri domena na Windows-u 2000/2003. Drugi domeni imaju sopstvene lokalne grupe domena. kada se na njega kilkne desnim tasterom. Univerzalne grupe mogu da vrše funkciju globalnih. Ne samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi članovima grupe pod pretpostavkom da je za svakog korisnika popunjena e-mail informacija. dajući prava i dozvole za objekat.

Neki dobri primeri ugneždavanja se mogu precrtati iz šema ugneždavanja koje se automatski postavljaju u domenu. nalog više neće imati specijalne moći ni mogućnosti.3 Rad sa sigurnosnim grupama Veoma je važno unapred razmisliti o strukturi grupa. Ako se koriste samo univerzalne grupe. Na kraju treba sumirati i pravila ugneždavanja na Windows platformama. Globalne i univerzalne grupe mogu da spajaju domene. čak i šume. Lokalne grupe (počev od Windows 2000 do 2003 servera i radnih stanica) mogu da sadrže:  Grupe lokalnih domena. njihova imena pojavljuju u globalnom katalogu. Kad ima više domena. globalna grupa Domain 50 . To znači da bi u ovom slučaju mogle da se koriste isključivo univerzalne grupe. globalni katalog će se prepuniti i došlo bi do problema sa replikacijom. Administrator nalog na Windows računaru svoju snagu crpe iz članstva u lokalnoj Administratorskoj grupi. Dakle osnovna pravila su:  Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Poželjno je izbegavati direktno dodavanje korisnika a druge grupe treba samo ugnezditi. koje imaju željene privilegije i prava pristupa. Aktivni direktorijum automatski pravi globalnu Domain Admins grupu. ali članovi ne. Zbog toga bi članstvo u univerzalnoj grupi trebalo da bude dosta statično. ali zbog replikacije. Domeni i računari iz različitih šuma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije. Jedan je ugneždavanje administratorskih grupa. univerzalne iz kućnog domena  Globalne i univerzalne iz Windows pouzdanih domena Lokalne grupe domena (na kontroleru domena) mogu da sadrže:  Korisničke naloge iz bilo kog domena šume  Univerzalne i globalne iz bilo kog domena šume  Lokalne. dok se. ili pristup istim resursima. kao što se može pomisliti. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da kopiraju informacije iz drugih domena čime se neizmerno smanjuje opterećenje pri replikaciji. globalni katalog sadrži replike informacija o svakom domenu iz šume. u slučaju globalnih grupa.  Univerzalne grupe se koriste onako kako odgovara Administratoru.  Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena. najbolje je ugnezditi lokalne grupe (suprotno korisničkim nalozima) unutar univerzalnih grupa. ali se ovo može postići ručno stvorenim odnosima poverenja. Tako se štedi vreme i pojednostavljuje dodeljivanje dozvola za objekte. kojima će biti potrebne iste privilegije. U slučaju jednog domena verovatno će sve globalne grupe biti zamenjene univerzalnim.Administriranje mreža koristiti samo u Native režimu. Imena univerzalnih grupa i njihovo članstvo se repliciraju na druge servere globalnih kataloga (po jedan za svako mesto).  Iako je moguće. Ove globalne grupe treba stavljati u lokalalne. Druge grupe treba stavljati u lokalne i tako zadržati malo članstvo. Ako se izvuče Administrator izvan Administrators grupe. iako toj grupi ne dodeljuje široka administratorska prava. Kada se jednom ugnezde grupe sa mnogo članova (kao što su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa. od tog trenutka treba samo da se premešta članstvo u globalnim i univerzalnim grupama.2. Kada Windows postane kontroler domena. nije preporučljivo ugneždavati grupe zbog značajnog pada performansi. samo iz istog domena Globalne grupe mogu da sadrže:  Korisnike iz istog domena  Druge globalne grupe iz istog domena Univerzalne grupe mogu da sadrže:  Korisničke naloge iz bilo kog domena šume  Druge univerzalne grupe  Globalne grupe iz bilo kog domena šume 6. onda kada svi domeni budu na Windows 2000/2003 platformi. pa će veličina i vreme potrebno za replikaciju eksponencijalno rasti ako univerzalna grupa sadrži veliki broj objekata.

ili Enterprise Admins ukloni iz lokalne grupe na računaru. ili menjaju. 6. Domain Guests je automatski član lokalne grupe Guests na svim računarima. u kontejneru se mogu kreirati drugi korisnici i grupe. za domen vts. Backup Operators imaju pravo da zaštitno kopiraju fajlove i direktorijume. Ove grupe se ne mogu obrisati. Kada se u domenu kreira novi korisnički nalog. radi administracije. Ukupan efekat ovog ugneždavanja je da je član Domain Admins.2 daje spisak ugrađenih lokalnih grupa domena i njihove specijalne sposobnosti. Korisnički nalog ide u globalnu grupu Domain Users. podrazumevano su smešteni u kontejner Users. Efekat ovoga je da se korisničkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaki računar.2. administratorskog tipa.edu. ili kontroleru domena. Slika 5. Ovo je način da se brzo dodele dobro definisane administratorske uloge. DC) i pružaju pogodne kontejnere grupama za dodelu lokalnog administratorskog autoriteta. Ugrađene lokalne grupe su zajedničke za sve Windows sisteme iz istog mesta (server. imaju unapred određena prava i dozvole. radna stanica. Ovakvo podrazumevano ponašanje se može zaobići tako što se Domain Admins. člana domena. kao što je gore već rečeno. Nije loše pomenuti i par ostalih ugneždavanja.4 Ugrađene lokalne grupe domena Svi ugrađeni korisnički nalozi. Global. Članstvo grupe Domain Admins. Drugi primer za ugneždavanje grupa je članstvo lokalne Users grupe. a one koje su u Users kontejneru su Domain Local. ili Enterprise Admins u lokalnoj Administratorskoj grupi može se zameniti njihovim članstvom u specifičnim globalnim grupama. Članstvo u ovoj grupi korisniku daje svu moć i mogućnosti koje su date grupi. ali neke od njih su smeštene u kontejner BuiltIn. osim ako im se ne dodele. Na primer. ili Enterprise Admins grupe lokalni administrator za svaki računar. a Enterprise Admins (univerzalna grupa) je član lokalne Administrators grupe. Users automatski uključuje Domain Users. ili u domenu od poverenja. Na članu domena. kojoj su dodeljena lokalna prava i dozvole na sistemu.yu.Administriranje mreža Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. U kontejneru Users postoje i unapred definisane globalne grupe. iako oni neće imati nikakva posebna prava.2: Ugrađene grupe i njihova prava Korisnička prava Grupa: Administrators Lokalno logovanje Pristup ovom računaru sa mreže Preuzimanje vlasništva nad fajlovima Upravljanje revizijama i bezbednosnim logom Promena sistemskog vremena Obaranje sistema Forsirano obaranje sa udaljenog sistema Povratak (restore) fajlova i direktorijuma Dodavanje i uklanjanje drajvera uređaja Davanje višeg prioriteta procesu Zaštitno kopiranje (backup) fajlova i direktorijuma Grupa: Server Operators Lokalno logovanje Članovi mogu da Kreiraju i upravljaju korisničkim nalozima Kreiraju i upravljaju globalnim nalozima Dodeljuju prava korisnicima Upravljaju načelima revizije i bezbednosti Zaključavaju konzole servera Otključaju konzole Formatiraju hard disk servera Drže lokalne profile Dele i prestaju da dele direktorijum Dele i prestaju da dele štampač Kreiraju zajedničke programske grupe Zaključavaju server 51 . novi korisnik se automatski pridružuje Domain Users grupi. Tabela 5. Sada se postavlja pitanje u čemu je razlika? Lokalne grupe su specifične za računar. a globalna grupa Domain Users u lokalnu grupu Users. Server Operators imaju skup urođenih prava koja im omogućavaju da prave deljene fajlove i upravljaju servisima.24 prikazuje članstvo lokalne grupe domena Administrators. Grupe koje su u BuiltIn kontejneru su označene kao Builtin Local. a globalne se mogu prihvatiti u domenu. Ugrađene lokalne grupe. kao što su F&A Admins ili CS Admins. članovima domena. člana domena. umesto njihovog pravljenja od početka. ili Universal. čak i ako nemaju dozvolu da ih čitaju. Tabela 5. Ipak. Ali to nije preporuka.ni.

pa su članovi u suštini. zaštitno kopiraju i vraćaju fajlove na servere. Account Operators. Osim toga. otključavaju fajlove i menjaju sistemsko vreme. Backup operators. Članovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom Users. Mogu i da obore sistem. ni brisati korisničke naloge administratora. Print Operators. Članovi mogu da kreiraju. Gosti mogu da se loguju i pokreću aplikacije. Server Operators. Član Account Operators ne može da menja ni briše sledeće grupe: Administrators. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno. Backup Operators. Domain Admins. Print Operators i Server Operators. kreiraju. Administratori imaju skoro sva ugrađena prava. upravljati i brisati štampače koje deli server. Power Users i Guests. formatiraju hard diskove servera. mogu da se loguju na server i da obaraju server. Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. globalnim grupama i lokalnim grupama Obaranje sistema Dele i prestaju da dele štampač Grupa: Print Operators Lokalno logovanje Drže lokalni profil Obaranje sistema Dele i prestaju da dele štampač Grupa: Backup Operators Lokalno logovanje Drže lokalni profil Obaranje sistema Zaštitno kopiranje (backup) fajlova i direktorijuma Povratak (restore) fajlova i direktorijuma Grupa: Everyone Pristup ovom računaru sa mreže Zaključavaju server Grupa: Users (Nema) Kreiraju i upravljaju lokalnim grupama Grupa: Guests (Nema) (Nema) Grupa: Replicator (Nema) (Nema) Administrators. mogu se logovati na servere i obarati ih. Slično. Guests. Oni mogu i da obore i zaključaju radnu stanicu. Članovi ove grupe mogu kreirati. članovi ove grupe ne mogu menjati. zaključavaju i otključavaju servere. upravljaju i brišu deljene štampače na serverima. bez obzira na to da li na drugi način mogu da pristupaju tim fajlovima. Power Users.Administriranje mreža Promena sistema vremena Prelaženje preko toga što je server zaključan Obaranje sistema Formatiranje hard diska servera Forsirano obaranje sa udaljenog sistema Kreiraju zajedničke grupe Zaštitno kopiranje (backup) fajlova i Drže lokalni profil direktorijuma Povratak (restore) fajlova i Dele i prestaju da dele direktorijum direktorijuma Dele i prestaju da dele štampač Grupa: Account Operators Lokalno logovanje Kreiraju i upravljaju korisničkim nalozima. Ne mogu administrirati bezbednosna načela. Osim toga. Users. kao i administrirati ostale korisnike i grupe koji su kreirali. Server Operators mogu na mrežu da se loguju sa servera domena. a u svakom drugom 52 . ali mogu dodavati računare u domen. Ova grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. kao i da obaraju servere. svemogući u vezi administracije sistema. Korisnici mogu da pokreću aplikacije (ali ne i da ih instaliraju). Članovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisničke naloge i grupe i da menjaju i brišu većinu korisničkih grupa i naloga iz domena. onda ima pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. upravljaju i brišu deljene mrežne resurse na serverima. Članovi Backup Operators imaju pravo da zaštitno kopiraju i vraćaju fajlove. Accounts Operators.

Windows 2003 ima nekoliko ugrađenih globalnih grupa. Korisnički nalog se koristi za pokretanje Replicator servisa i trebalo bi da je jedini član grupe. Ova grupa je strogo za replikaciju direktorijuma. Tabela 5. Ako je potvrđeno. ne mogu da drže lokalni profil. Ova grupa sadrži sve korisničke naloge iz domena i podrazumeva se da je član svake lokalne Users grupe. tako i za svaku radnu stanicu u domenu. Podrazumeva se da je Domain Admins grupa član i Administrators lokalne grupe domena i Administratorskih lokalnih grupa svake Windows radne stanice u domenu. Tabela 5. One će se pojaviti samo na kontrolerima domena. između ostalih Domain Admins.3 Alatke za upravljanje korisnicima i računarima Windows Server 2003 se isporučuje zajedno sa alatkama koje omogućavaju upravljanje lokalnim nalozima i nalozima u aktivnom imeniku. Njihova namena može da bude da se korisnicima omogući pristup određenom servisu (kao DHCP Users. Server Operateri. 6. Pokreće se biranjem Start>AdministrativeTools>ActiveDirecto ry Users and Computers. kao deo konfiguracije određenog servisa. Replicator. korisniku se dodeljuju mogućnosti Admins administratora. kao u slučaju DHCP Administrators i DNS Admins.3 opisuje najvažnije ugrađene globalne grupe. Na Slici 6. Ove i druge predefinisane grupe mogu imati specijalna prava ili dozvole za određene stvari. ili da obezbede kontejner grupe za administraciju servisa. U kontejneru Users se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe. ili WINS Users). Članovi Domain Admins mogu da administriraju kućni domen. MMC modul Active Directory Users and Computers je glavna alatka za formiranje korisnika i upravljanje njima u mrežnim domenima. sprečava korisnika da promeni lozinku za nalog.3: Ugrađene globalne grupe Grupa Šta radi Domain Postavljanjem korisničkog naloga u ovu grupu. Na samostalnim računarima i pridruženim serverima (kao i na radnim stanicama koje rade pod Windows XP) te alatke su Users and Passwords (korisnici i lozinke) i Local Users and Groups (lokalni korisnici i grupe).Administriranje mreža pogledu imaju veća ograničenja nego Users.3 prikazan je modul Users and Computers.2. Domain Guests Ova grupa omogućava nalozima gosta da pristupaju resursima izvan granica domena. radne stanice iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu Domain Admins globalnu grupu domena. Domain Users Članovi Domain Users globalne grupe imaju normalan korisnički pristup i sposobnosti kako za sam domen. Slika 6. ali nemaju široka prava i dozvole kao Administratori. Domain Usres i Domain Guests. ako su im to dozvolili Administratori domena.2. Ugrađeni korisnički nalog Administrator za domen je automatski član Domain Admins globalne grupe.3 Modul Active Directory Users and Computers 53 . na upravljačima domena to je Active Directory Users and Computers (korisnici aktivnog imenika). Na primer. na svakoj radnoj stanici u domenu.

Terminal services. omogućavanjem neproverenog pristupa. Naravno. čak. što znači da postoje i validni su samo na toj lokalnoj mašini. čak. Slika 6. izaberete Connect to Another Computer. Možete da ga koristite bez poznavanja korisničkog imena i lozinke i zbog toga se podrazumeva da je onemogućen. ili u AD kontekstu.2. menjanje i brisanje korisničkih naloga  Dodeljivanje logon skriptova korisničkim nalozima  Upravljanje grupama i članstvima u grupama  Kreacija i upravljanje grupnim načelima 54 . primarno koristi za bušenje velike rupe u bezbednosti sistema.4 Zapazite korisnike i grupe koji su kreirani tokom instalacije Win2K3. Na usamljenom serveru (standalone). Active Directory Users and Computers mrežnom administratoru obezbeđuje sredstva za izvršavanje sledećih zadataka:  Kreacija. kada pokušava da se loguje.Administriranje mreža U slučaju da Vaša_Win2K3 mašina nije kontroler domena i ne koristite Aktivni direktorijum. Ovaj nalog se.4 Computer Management Local Users and Groups Napomena: Uobičajena bezbednosna praksa je preimenovanje i Guest i Administrator naloga. jedini ugrađeni nalozi su Administrator i Guest. što bi moglo da bude više nego dovoljno za razbijanje slabe lozinke. kao što je prikazano na Slici 6. Tačno. na kojem nisu instalirani posebni mrežni servisi kakvi su IIS. Ako je mašina na kojoj radite kontroler domena. u COMPMGMT. Za Guest nalog se ne traži lozinka. tako da ga možete koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na udaljenim usamljenim serverima. korisničke naloge kreirajte pomoću alata Computer Management (COMPMGMT. na usamljenom serveru. Korisnici kreirani pomoću COMPMGMT. Ipak. Podrazumeva se da je Guest onemogućen iz razloga predostrožnosti.MSC. Dobra je stvar što je Guest nalog siromašan po pitanju snage i mogućnosti. iz menija Action. ni ako postavite stroga lockout načela (koja zaključavaju nalog posle određenog broja neuspešnih pokušaja logovanja). DHCP ili DNS. neproverenog pristupa. U COMPMGMT.2.MSC je alat koji može raditi i na daljinu.MSC su lokalni nalozi. Ovo sprečava potencijalnog uljeza da koristi opšte poznata korisnička imena. ni posle milion propalih pokušaja logovanja. Na kontroleru domena. Ne može se obrisati ni onemogućiti. Nalog Administrator nije običan subjekat za ova načela i zato se ne može zaključati. nalog Administrator ima snagu i mogućnosti koje daleko prevazilaze obične smrtnike. za kreaciju naloga morate da koristite Active Directory Users and Computer (DSA.MSC).MSC otvorite Local Users and Groups. koje govori da je ona deaktivirana. Da bi ste ovo radili treba samo da. onemogućen je čvor Local Users and Groups i postoji X u crvenom krugu preko funkcije. COMPMGMT.MSC).

MSC selektujte kontejner Users (ili neki drugi kontejner/organizacionu jedinicu. koje koristi staru sintaksu IMEDOMENA\коrisničkoime. Pojaviće se čarobnjak.2.5 Kreacija novog korisnika Slika 6. Initials (inicijali). Slika 6.u slučaju naloga domena).6 Kreacija novog korisničkog naloga Da biste kreirali korisnički nalog.2. Zatim. Popunite polja First Name (ime). zadajte lozinku za korisnički nalog i potvrdite je. ali se ne može u potpunosti sastojati od tačaka i razmaka. Međutim. a nije kontroler. Korisničko ime može biti do 20 karaktera. UPN sufiks je pokazivač na domen koji sadrži korisnički nalog. Postavite i opcije lozinke i naloga sumirane u Tabeli 1 i izaberite Next. nećete ni moći da izaberete ništa osim podrazumevanog imena domena (osveljkovlahovic. prikazanom na slici 1. Kada popunite sve informacije o korisničkom imenu. unesite korisničko login ime (HePet) i izaberite Universal Principal Name (UPN) sufiks. + * ? < > Ime može sadržati razmake i tačke. sa okvirom za dijalog prikazanim na slici 1. u ovom slučaju). izaberite Next. Last Name (prezime) i Full Name (puno ime). kao što je prikazano na slici (inicijali i prezime su opciona polja). jer je reč o potpuno različitim entitetima. U narednom ekranu. u slučaju naloga domena). malim. zatim iz menija Action izaberite New > User. Uskoro ćemo popričati o UPN imenima. što je činjenica koja unosi veliku konfuziju. koje će se dodavati korisničkom imenu u trenutku logovanja. UPN sufiks je obično DNS ime domena i. Korisničko ime ne može biti isto kao ime grupe na lokalnoj mašini. Da bi se izbegla konfuzija sa specijalnim karakterima sintakse.edu. za lokalni nalog (ni isto kao ime grupe u domenu. ili u kombinaciji. Za logovanje na NT4. ili velikim slovima. gde želite da se nalog nalazi). Ipak. korisničko ime nesme sadržati sledeće znakove: “ / \ [ ] : . pa je dobra ideja nastaviti i izabrati User Must Change Password at Next Logon (korisnik mora promeniti lozinku prilikom sledećeg prijavljivanja).14. | = . ili izdavanja komandi sa komandne linije. Nijedna od opcija naloga nije postavljena unapred.2. Korisničko ime u Win2K3 mora poštovati sledeća pravila: Ime mora biti jedinstveno na mašini.Administriranje mreža 6. tako da je važan kada se korisnik loguje u okruženju sa više domena. za lokalne naloge (ili jedinstveno u domenu. znači sa @ simbolom. osim ako ste podesili alternativne sufikse. u DSA. izbegavajte razmake. ili Windows 95/98 mašinu postoji i logon ime nižeg nivoa. ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na mašini koja je član domena. UPN imena su pravljena prema e-mail imenima.6 Zadavanje lozinke i opcija naloga Tabela 1: Opcije lozinke i naloga pri kreiranju novog korisničkog naloga 55 . jer ovakva imena moraju da se stavljaju među znake navoda u slučaju pisanja skriptova.13.

uključujući kontejner/organizacionu jedinicu gde će se nalog nalaziti. Poslednji ekran ovog Create New Object čarobnjaka. otvorite korisnikovu home stranicu ili mu pošaljete mail (dva poslednja zahtevaju da su URL home stranice i e-mail adresa specificirani u informacijama naloga).15 jednostavno potvrđuje sve informacije koje ste dali. Čak i ako ponovo kreirate nalog sa istim imenom. kao što su novi zaposleni koji neće početi da rade još nekoliko nedelja. upravljate članstvom u grupi. korisnički nalog ignoriše politiku isticanja roka lozinke. puno ime. novi nalog neće imati prava ni dozvole starog naloga. odavde brzo možete da kopirate nalog. Pri kreiranju. nalog je onemogućen i niko ne može da se loguje na njega. Kliknite desnim tasterom objekat korisničkog naloga i videćete nekoliko opcija u kontekstualnom meniju. Ako je potrvrđeno. ili organizacionu jedinicu. Ako je potvrđeno. Izaberite Finish i korisnički nalog je kreiran.15: Potvrda informacija o novom korisniku Svojstva korisničkog naloga Hajde da se sada vratimo i pogledamo svojstva naloga koji smo upravo kreirali. ili da mu promenite ime. prikazan na slici 1. Ako je potvrđeno. onemogućite. Ovo je korisno za naloge koji pokreću seanse i naloge za koje želite stalnu lozinku (kao što je nalog Guest). sprečava korisnika da promeni lozinku za nalog. U ovom meniju možete i da izaberete da obrišete nalog. ili izabrane opcije naloga. resetujete korisnikovu lozinku. logon ime i lozinku. 56 . koji se zove SID. svakom korisničkom i grupnom nalogu se dodeljuje jedinstven identifikator. nije uklonjen iz baze podataka). Brisanje korisničkog. Slika 1. dok se ne omogući (međutim. premestite nalog u drugi kontejner. ili grupnog naloga briše jedinstven identifikator. ili omogućite nalog.Administriranje mreža Opcija User Must Change Password at Next Logon (Korisnik mora promeniti lozinku prilikom sledećeg prijavljivanja) User Cannot Change Password (korisnik ne može da menja lozinku) Password Never Expires (lozinci nikada ne stiče rok trajanja) Account is Disabled (nalog je onemogućen) Opis Primorava korisnika da promeni lozinku sledeći put kada se prijavi. Ovo je korisno za naloge koji se koriste kao šabloni i za nove korisničke naloge koje kreirate mnogo unapred. a lozinka za nalog nikada ne zastareva.

Kartica Telephones (slika 1. e-mail adresu. da biste otvorili sve informacije o korisničkom nalogu. faks i IP telefon i pejdžer.16.18) nudi mesta za brojeve za kućni.18: User Properties Telephones kartica Na slici 1. možete da dodate opis korisničkog naloga. upišete ime kancelarije u kojoj korisnik radi i dodate brojeve telefona.16: General svojstva korisnika Slika 1.17: User Properties Address korisnika Slika 1. Kartica Dial-In (slika 1. sa slike 1. čak i adresu web stranice. Na kartici General.20) omogućava kontrolu pristupa udaljenoj mreži (VPN) ili internetu preko dial-in dozvola: Allow Access (omogućen pristup) odnosno Deny Access (zabranjen pristup) (direktan način kontrole sa ove kartice). na koju možete da unesete informacije o nazivu nečijeg posla i poziciji u hijerarhiji firme. Kartica Address. Ukoliko kontrolu vršimo preko GPO-a potrebno je selektovati treću opciju: 57 . prikazanoj na slici 1.17. kao i mesto za unošenje komentara.19 vidite Organization karticu. mobilni.Administriranje mreža Iz kontekstualnog naloga izaberite Properties. prikazuje polje za korisnikovu poštansku adresu. Slika 1.

takođe. Slika 1. Parametar se zove Automatically Log Off Users When Logon Hours Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy snapinu. ali postoji parametar kojim se i ovo može postići.22).22: Zadavanje vremena kada je logovanje dozvoljeno 58 .21). Ovaj parametar se može postaviti i korišćenjem alata Domain Security Policy ili Local Security Policy (u zavisnosti od konteksta). tokom celog dana (24/7). omogućuje biranje Callback opcija (smanjenje telefonskih računa). informacijama o profilu i članstvima u grupama. pod Computer Configuration\Windows Settings\ Security Settings\Local Policies\Security Options. idite na karticu Account (slika 1. U oba slučaja parametar potražite pod Local Policies\Security Options. Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji. Slika 1. Na ovom mestu možete odrediti i vreme kada je logovanje dozvoljeno. Parametri naloga Ako treba da menjate korisnikovo login ime. opcije naloga i slično.Administriranje mreža Control Access Through Remote Access Policy.19: User Properties Organisation kartica Slika 1.20: User Properties Dial-In kartica Narednih nekoliko odeljaka će se pozabaviti upravljanjem parametrima naloga. Ova kartica Vam. ali Vi možete da izaberete dugme Logon Hours. da zadate određene sate i dane kada im je to dozvoljeno (vidi sliku 1. Napomena: Podrazumeva se da korisnik neće biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad. ili UPN sufiks.

21: Svojstva korisničkog naloga Podrazumeva se da korisnici sa svake radne stanice mogu da se loguju na domen. Izaberite opciju resetovanja lozinke i moći ćete da unesete i potvrdite novu lozinku. MPPE Strong (128-bit). X. videćete polje za potvrdu Account is Locked Out (nalog je zaključan). uključujući MPPE Standard (40-bit). Da biste lozinku resetovali.Administriranje mreža Slika 1. na primer. kliknite korisničko ime desnim tasterom. umesto onog koji stiže uz Win2K3. u oknu sa detaljima DSA.MSC.23).24: Resetovanje korisnikove lozinke Šta je u UPN imenu? 59 . ali ako opciju omogućite. što ću objasniti kasnije). DES podržava više nivoa šifriranja. da biste videli sve opcije). ali logon radne stanice se mogu zadati NetBIOS imenom (vidi sliku 1.21). IPSec 56-bit DES i IPSec Triple DES (3DES). Slika 1. Smart card opcija se koristi ako izaberete infrastrukturu javnog ključa kakva je. podrazumevani interval je šest nedelja (prođite kroz Account Options okvir. MPPE Standard (56-bit). Ako želite ručno da otključate nalog. samo ukinite znak potvrde iz polja. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku promeni pri sledećem logovanju. ako će nalog koristiti neku od implementacija Kerberos protokola. kao na primer User Must Change Password at Next Logon (korisnik mora promeniti lozinku pri sledećem logovanju) su same po sebi dosta jasne. Podrazumeva se da nalog nikada na zastareva. Većina njih. Potvrdite opciju Do Not Require Kerberos Preauthentication (ne zahteva Kerberos preautentifikaciju).24. Opcija Store Password Using Reversible Encryption (sačuvaj reverzibilno šifrovanje lozinke) se koristi za Windows 95/98 klijente. ali je Windows 2003 koristi. polje će biti potvrđeno i dostupno. Ipak. Slika 1. morate i dalje da koristite NetBIOS na Vašoj mreži. U dnu kartice Account vidite parametar za rok trajanja naloga. zatvorite list sa svojstvima naloga i. Potvrdite opciju Use DES Encryption Types for this Account (koristi DES tipove šifriranja za ovaj nalog). kao što je prikazano na slici 1. ako Vam treba Data Encryption Standard (DES). Ako je zaključavanje naloga posledica loših pokušaja logovanja (može se konfigurisati nekim od raznih Policy alata. Zapazite da korisnikova lozinka ne može da se resetuje na kartici Account. Sve verzije Kerberos protokola ne koriste ovu opciju.5O9. da bi se ovo moglo nametnuti. IPSec DES (40-bit).23: Zadavanje mašina na koje korisnik može da se loguje Ako ponovo pogledate karticu Account (slika 1.

Možete mu dati ime domena po želji. U NT-u 3 i 4.21 da postoje dva tipa korisnikovog logon imena. što u prevodu znači da Win2K3 korisnička imena poštuju uobičajenu e-mail konvenciju imenovanja. koja ima Ekop-Jug. ali ona radi za kompaniju po imenu Ekop.com. zasnovana na Internet standardu (RFC 822). Helena se može logovati kao HePet@EKOP. Slika 1. UPN imena omogućavaju lako pronalaženje naloga. Sve što oni treba da znaju je "Ja sam HePet@Ekop.com kao "alternativni" UPN sufiks za Ekop-Jug. ili IMEDOMENA\korisničkoime. ni da zbunjuje zaposlene. Svaki korisnički nalog ima Universal Principal Name (univerzalno glavno ime).com domen 60 . Prefiks i sufiks su spojeni @ znakom.com. Ovde je ideja reći mašini u kom domenu da traži nalog.Tek tada možete UPN sufiks da promenite od podrazumevanog na neki od alternativnih.25: Dodavanje UPN sufiksa Takođe.edu. Alat Vam dozvoljava da odredite alternativne UPN sufikse za domen. Korisnička imena su. alternativni UPN sufiks koji zadate u Domains and Trust Aktivnog direktorijuma ne mora da bude ime pravog domena. osoba može menjati poslove unutar organizacije i njen korisnički nalog se može seliti iz jednog domena u drugi. a nije neophodno svaki put menjati e-mail adresu i vrlo je nezgodno ako morate da menjate korisničko ime samo zato što ste unapređeni. Na primer. može odrediti Ekop. ako je nalog korisnika bio u domenu.com. a njegovu lokaciju čine transparentnom za korisnika. Tako. pokrenete Start>Administrative Tools>Active Directory Domains and Trusts i iz kontekstualnog menija opcije Active Directory Domains and Trusts izaberete Properties.25). Ovo ćete uraditi tako što. u Win2K3.com domenu. Win2K3 ime je HePet@OSVeljkoVlahovic. Standard za format ARPA Internet tekstualne poruke (Standard for the Format of ARPA Internet Text Message). Međutim. To mora biti UPN sufiks koji je za domen određen u Domains and Trust Aktivnog direktorijuma. koji je ime domena.Administriranje mreža Zapazite na slici 1. Njih ne treba da zamara "Vaš korisnički nalog je premešten u Ekop-Istok. UPN sufiks govori gde pri logovanju treba tražiti korisnički nalog i podrazumeva se daje to ime DNS domena. zapazićete da u zapisu korisničkog naloga ne možete proizvoljno da menjate UPN sufiks. Helenin nalog se može nalaziti u Ekop-Jug. Znači. korisnička imena su se povinovala konvenciji IMEMAŠINE\korisničkoime. Njeno podrazumevano UPN ime bi moglo da bude HePet@Ekop-Jug.com i to na vizit kartama imati kao svoju e-mail adresu. a pre-Windows 2000 ime je OSVELJKOVLAHOVI\HePet. u domenu Ekop-Jug.com".com i još tri domena. Nakon ovoga moćićete da upišete alternativni sufiks za domen nakon čega ga aktivirate klikom na Add (vidi sliku 1. ali ako EKOP ne želi celom svetu da objavi imena svojih različitih Win2K3 domena. koje se sastoji od prefiksa. koji je korisničko ime i sufiksa.

Administriranje mreža
i od sada treba da se logujete kao... a, da, i Vaša e-mail adresa se menja, pa to recite svojim prijateljima i
poslovnim partnerima...“

Informacije o profilu
Kartica Profile, prikazana na slici 1.26, je mesto gde se zadaje putanja korisničkog profila, login skript
i osnovna (home) fascikla. Ove opcije su većinom za klijente niskog nivoa (downlevel clients), što je novi,
snishodljiv, termin za sve pre-Win2K klijente, jer se svi ovi parametri i mnogi drugi mogu zadati uz
Group Policy parametre. Ipak, Group Policy radi samo na Win2K i Win2K3 sistemima.
Parametri korisnikovog radnog okruženja, od sadržaja Start menija do šeme boja i orijentacije miša,
se mogu čuvati na mreži, pa se korisnik može prijaviti sa bilo kog sistema i videti istu radnu površinu. U
tu svrhu možete specificirati deljenu mrežnu lokaciju. Ovo je takode korisno ako želite da primorate
korisnika (ili grupu) da zadrži iste parametre sve vreme. To se zove lutajući profil (roaming profile), ako
nije nametnut korisniku i ako on može da ga menja. Ako je korisnik prisiljen da učita profil i ne može da
se loguje bez njega, onda je to obavezujući profil (mandatory profile), ili deljeni obavezujući profil ako je
više korisnika vezano za njega. Grupna načela Win2K3 omogućavaju da konfigurišete preusmeravanje
fascikle i druge parametre radne površine, uveliko eliminišući potrebu za postojanjem lutajućih i
obavezujućih profila NT 4 stila, tako da je ova mogućnost najkorisnija za NT 4 klijente.
Logon ili login skript je onaj koji se izvršava u toku logovanja da bi konfigurisao korisnikovo
okruženje i dodelio mrežne resurse, kao što su mapirani drajvovi i štampači. Win2K3 ima
podrazumevanu putanju za čuvanje login skriptova (u SYSVOL koji je podrazumevano u \WINDOWS
direktorijumu, ali se može konfigurirati). Zbog toga je jedino što treba da odredite u okviru za dijalog ime
skripta.
Osnovna fascikla (home folder), takođe, poznata i kao osnovni direktorijum (home directory), je fascikla
koja je dodeljena korisniku za privatnu upotrebu. Iako aplikacije mogu imati svoje podrazumevane
fascikle za pamćenje i otvaranje fajlova, na komandnoj liniji će osnovna fascikla biti i podrazumevana
radna fascikla za korisnika. Moguće je specificirati lokalnu putanju za korisnikovu osnovnu fasciklu, ali
to je korisno samo ako će se korisnik lokalno logovati na mašinu. Za korisnike koji se loguju preko
mreže morate da izaberete opciju Connect i odredite mrežnu putanju, poštujući UNC konvenciju
\\imemašine\\imeservera\\imedirektorijuma. Za ime fascikle možete da koristite i promenljive,
%korisničkoime%, da biste naznačili da je ime osnovne fascikle isto kao i korisnički ID.
Kada za korisnika specificirate putanju osnovne fascikle, ako deoba na mreži već postoji i ako imate
prava da pišete u nju, Win2K3 će automatski kreirati osnovnu fasciklu za korisnika. Ovo
administratorima štedi mnogo vremena.
Tokom svake diskusije o osnovnim fasciklama se množe pitanja o tome kako ograničiti zauzimanje
prostora na disku. Win2K3 stiže sa jednostavnim sistemom za upravljanje kvotama; jednostavno treba da
ih omogućite za volumen, podesite pragove za upozorenja i slično.

61

Administriranje mreža

Slika 1.26: Svojstva korisničkog profila
Slika 1.27: Određivanje kvota za particiju Data (E:)

Članstvo u grupama
Da biste korisničkom nalogu odredili članstvo u grupi, otvorite karticu Member Of, u listi sa
svojstvima naloga. Kao što vidite na slici 1.28, podrazumeva se da je novi korisnik član grupe Domain
Users. Korisnik, Helena Petković, je, u ovom slučaju, takođe i član globalne sigurnosne grupe Nastavnici
(vidi sliku).
Desna kolona, Active Directory Folder (fascikli Aktivnog direktorijuma), govori o putanji do kontejnera
ili OU grupe. Da biste korisnika dodali drugoj grupi, izaberite Add, a zatim upišite ime grupe ili kliknite
na dugme Advanced > Find Now i grupu iz liste raspoloživih grupa (slika 1.29). Istaknite ime grupe i dva
puta kliknite, ili kliknite na ime grupe pa na dugme OK. Ako Vas kretanje kroz listu zamara, samo
otkucajte imena grupa, razdvojena tačka-zarezom. Zatim iskoristite dugme Check names, da biste
potvrdili da su imena koja ste ukucali važeća. Izaberite OK i vratićete se na karticu Member Of, a nove
grupe će biti prikazane u prozoru. Ponovo izaberite OK, i završili ste. Da biste korisnike uklonili iz grupa,
upotrebite dugme Remove, na kartici Member Of.

Slika 1.28: Podešavanje članstva u grupama

62

Administriranje mreža

Slika 1.29: Izbor korisnika i grupa

Upravljanje nalozima
U DSA.MSC više naloga možete da selektujete u oknu sa detaljima, tako što ćete držati taster Shift
dok pritiskate strelicu na dole, ili tako što ćete držati taster Ctrl dok klikćete svaki od naloga. Zatim, dok
su ti nalozi selektovani, kliknite desnim tasterom da biste videli kontekstualni meni. Odavde, možete da
izaberete da ih sve premestite u drugi kontejner ili OU, da ih dodate grupi, da onemogućite ili omogućite
naloge. Možete, takođe, svima da pošaljete mail, pod pretpostavkom da ste za naloge specificirali e-mail
adrese. Sve ove opcije su nasleđene iz Windows Servera 2000. Ono što je novost u Windows Serveru
2003 je mogućnost da se selektovani nalozi jednostavno prevuku u odgovarajući kontejner čime postaju
članovi te grupe odnosno OU (drag and drop funkcija).
Napomena: Promene korisničkih naloga, kao što je članstvo u grupama, neće imati efekta sve dok se
korisnik ne uloguje sledeći put. Slično, kod mašinskih naloga nova podešavanja će se primenjivati tek
nakon restartovanja mašine.
Možete da napravite i šablon za nalog i kopirate ga kako biste kreirali korisnike sa sličnim
parametrima. Svojstva koja se kopiraju uključuju parameter naloga (kao što je Password Never Expires),
članstvo u grupi, rok isteka naloga i UPN sufiks. Informacije o profilu (osnovni direktorijum, putanja
korisnikovog profila i logon script) se, takođe, kopiraju, a ako ste koristili promenljivu %username% za
zadavanje korisničke osnovne fascikle šablona, ona će se automatski kreirati za nove korisnike, kada se
nalog kopira.

Razumevanje grupa
Dodeljivanje korisnika grupama olakšava davanje kako prava za izvršavanje zadataka, tako i dozvola
za pristup resursima kao što su štampači i mrežne fascikle. U ovim nastojanjima Vam može pomoći
nekoliko ugrađenih grupa, sa ugrađenim pravima, koja bi trebalo da Vam budu bliska. Takođe, Vi ćete
želeti i da kreirate sopstvene grupe i da im dodeljujete određena prava i dozvole. Sa druge strane,
članovima grupa koje kreirate može biti data mogućnost da administriraju druge grupe, ili objekte, čak i
cele organizacione jedinice. Povrh svega, grupe u Win2K3 sada mogu da sadrže računare i kontakte, kao i
korisnike i druge grupe. Mogu se koristiti i kao e-mail distribucione liste. Zbog toga je važno da razumete
različite tipove grupa koje sada postoje u Win2K3 i kako da radite sa njima, da biste imali kontrolu, dali
pristup potrebnim resursima i konfigurisali prava. Ovo je tema nekoliko narednih odeljaka.

Kreacija grupa

63

ako ste ih izabrali iz liste). kako biste ta imena proverili (imena nije neophodno proveravati. a zatim Group. dođite do kontejnera u koji želite da smestite tu grupu. Izaberite OK. unesite opis. druge grupe. mada postoje pravila za ugnježdavanje. u Users and Computers Aktivnog direktorijuma. Da biste grupu naselili. Slika 1. da biste otvorili njen list sa svojstvima. Izaberite OK. Objašnjenje o tipovima grupa i njihovoj oblasti delovanja ćete naći u narednom odeljku. čak i računari.32. Na kartici General. ili grupe i izaberite Add. Istaknite korisnike. što je prikazano na slici 1. da biste grupu kreirali u selektovanom kontejneru. prikazanoj na slici 1. ili u organizacionoj jedinici.31: General kartica lista sa svojstvima grupe Slika 1.30: Informacije o novoj grupi Hajde da sada popunimo ostale informacije i da novoj grupi dodamo korisnike. u ugrađenom kontejneru. ako će se razlikovati. Dajte ime grupi (Administracija) i ime nižeg nivoa. što ćete čitati u narednim odeljcima.32: Dodavanje korisnika u grupu 64 . Grupe se mogu kreirati u korenu domena.31. ili ukucajte imena razdvojena tačka-zarezima i zatim izaberite Check Names. a tip Security. Članovi grupe mogu da dolaze i iz različitih organizacionih jedinica. u meniju Action izaberite New. Dok Vam je kontejner istaknut. Win2K3 dopušta da članovi grupe budu korisnici. ako postoji distribuciona lista za grupu.30. zatim izaberite oblast rada grupe i njen tip.Administriranje mreža Da biste napravili novu grupu. Kao što možete da vidite na slici 1. kao što je Users. Podrazumeva se da je delokrug Global. Slika 1. idite na karticu Members i izaberite Add. Pronađite i dva puta kliknite grupu koju ste upravo kreirali. da biste završili dodavanje i vratili se na list sa svojstvima. ako želite i e-mail adresu.

Da bi ste to uradili. Postoje tri glavna tipa sigurnosnih grupa. ili editujete objektovu Access Control List (ACL). Kao i korisnički nalozima. ili promenili lokalne ili univerzalne gruge kojima grupa Administracija pripada. kliknite desnim tasterom ikonu grupe u oknu konzole koje sadrži detalje i izaberite Move. na primer.33). Kada pregledate. imate mogućnost da je klasifikujete kao sigurnosnu (security). Ovi korisnički i grupni SID ulazi u ACL su upareni sa korisnikovim akreditivima kojima je dozvoljen. imena grupa koja se pojavljuju u listi su sigurnosne grupe (ponekad se one prikazuju kao SID-ovi ako su "prijateljska" imena takva da treba dugo vremena da se razreše). 65 . dok vršite selekciju više korisnika. jer kada su grupe u organizacionim jedinicama. ili kao distribucionu (distribution).33: Ugnježdene grupe Tipovi grupa: Sigurnosne grupe nasuprot Distribucionim grupama Kada u Win2K3 pravite grupu. lokalne.34). to olakšava delegaciju. globalne i univerzalne. Drugi način za dodavanje članova grupi je klik desnim tasterom na korisnički nalog i izbor Add Member to a Group.34: Premeštanje grupe u drugi kontejner Slika 1. Dođite do kontejnera koji će biti novi dom za grupu (slika 1. držite taster Ctrl. iako možda više volite o njima da mislite kao o četiri različite grupe: lokalne. I u paleti sa alatkama ćete pronaći dugme pomoću kojeg grupi možete da dodate jednog. otvorite karticu Member Of (slika 1. lokalne za domen. ili više selektovanih objekata. zatim kliknite desnim tasterom i izaberite Add Members to a Group. sigurnosnim grupama se dodeljuju SID-ovi. Ako u jednu grupu želite istovremeno da dodate nekolicinu selektovanih korisnika. Kartica Managed By je za opcione kontaktne informacije i ne mora obavezno da odražava direktno prepuštanje kontrole. ili zabranjen pristup objektu. Pregled sigurnosnih grupa Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. selektujte ga i izaberite OK. Slika 1. globalne i univerzalne.Administriranje mreža Da biste videli. Verovatno će u nekom trenutku biti neophodno premeštanje grupe iz jednog kontejnera u drugi.

Kada se Win2K3 mašina pridruži domenu (ili postane kontroler domena).Globalne grupe se koriste za dodelu prava i dozvola izvan granica mašine (i domena). Samo treba da kliknete desnim tasterom ime grupe u DSA. Kontroleri domena imaju zajednički aktivan direktorijum koji je repliciran između njih. nezvanične distribucione liste. kao što vidite opciju slanja maila nalogu korisnika. tako da će lokalna grupa domena koja postoji na jednom DC. Lakše je adresirati mail na ACME Menadžeri. nego ime svakog od menadžera pojedinačno selektovati iz liste. globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu 66 . univerzalne i. Distribucionoj listi ne možete da dodelite pravo na korišćenje štampača.MSC i videćete opciju slanja maila članovima grupe. kada njega kliknete desnim tasterom. Rad sa sigurnosnim grupama Kada jednom ugnezdite Vaše grupe sa mnogo članova (kao što su lokalne i univerzalne) i lokalnim grupama dodelite prava pri instalaciji resursa. Čemu onda one služe? Ako ste radili sa Exchange-om. postojati i na njegovom pobratimu. ili distribucionih grupa. Globalne. To jest. pa nalog više neće imati specijalnih moći ni mogućnosti. takođe. ali to nisu nalozi. lokalne grupe domena.Administriranje mreža Lokalne grupe su vrsta kakvu nalazite na usamljenom serveru. naravno. Grupa je isključivo za e-mail. telefon i sl. Administratorski nalog na Win2K3 mašini svoju snagu crpe iz članstva u lokalnoj Administrators grupi. Kontakti mogu biti članovi sigurnosnih. Active Directory automatski pravi globalnu Domain Admins grupu. tako da za kontakt ne postoji identifikator bezbednosti (SID) i ne mogu im se dodeliti korisnička prava i dozvole. ili nekim sličnim proizvodom. ili na WinXP Professional radnoj stanici. jednostavno. nije sigurnosna. serveru koji je član domena. obitavaju u Aktivnom direktorijumu kontrolera domena. Za distibucione grupe se ne kreiraju identifikatori bezbednosti. jer se ona ne pojavljuje u ACL-u. Tako ćete uštedeti vreme i pojednostaviti dodeljivanje dozvola za objekte. Distribucione grupe i kontakti U NT 4 svaka grupa je bila sigurnosna i mogla se koristiti za kontrolu pristupa resursima i dodeljivanje prava. dajući prava i dozvole za objekat. bliske su Vam distribucione liste. na primer. unutar domena i između domena. od tog trenutka treba samo da premećete članstvo u globalnim i univerzalnim grupama. Distribucione grupe nemaju SID i ne pojavljuju se u ACL-u. Distribuciona grupa. Vaše sigurnosne grupe u Aktivnom direktorijumuju su. one postoje i validne su na toj radnoj stanici. Lokalna grupa domena (domain local group) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. Pretpostavljajući da ste uneli mail adrese Vaših korisnika. kontakti su objekti u kojima se čuvaju informacije o ljudima. Neki dobri primeri ugnježdavanja se mogu precrtati iz šema ugnježdavanja koje se automatski postavljaju u domenu. pa članstvo u grupi nije uključeno u parametre korisnika koji se proveravaju pri logovanju. uključujuću e-mail. To su grupe sa adresama primalaca. Univerzalne grupe mogu da vrše funkciju globalnih. Izvucite Administrator izvan Administrators grupe. Napomena: Sigurnosnu grupu možete da pretvorite u distribucionu i da je ponovo vratite nazad. Slično. Jedna je ugnježdavanje administratorskih grupa. Lokalne grupe su lokalne za mašinu. ili serveru koji nije kontroler domena.

a Enterprise Admins (univerzalna grupa) je član lokalne Administrators grupe.F&A) su. GOR Zapad domen i GOR Istok domen. Ali. Članstvo grupe Domain Admins. u različitim domenima. nacionalne firme za IT konsalting i integracije. kao što je centralna fascikla za finansije. ili Enterprise Admins grupe lokalni administrator za svaku mašinu. Domain Guests je automatski član lokalne grupe Guests na svim mašinama . F&A Zapad i F&A Istok. Slika prikazuje planiranu organizaciju: Domeni Globalne grupe GOR Jug F&A Jug GOR Zapad F&A Zapad 67 Univerzalna grupa Lokalna grupa Deljeni resursi: GOR F&A F&A Central a Centralne finansije . koji se deli sa Win2K3 servera po imenu GOR ALFA1. za domen osveljkovlahovic. Oni sada. Users automatski uključuje Domain Users. Ovi resursi se nalaze u Centralne Finansije.35: Članovi lokalne grupe domena Administrators Neto efekat ovog ugnježdavanja je da je član Domain Admins. ili kontroleru domena.na primer. Slika 1. kao i ostale funkcionalne jedinice GOR-a. Ovakvo podrazumevano ponašanje možete da pregazite tako što ćete Domain Admins. ili Enterprise Admins u lokalnoj Administrators grupi možete da zamenite njihovim članstvom u specifičnim globalnim grupama. Drugi primer za ugnježdavanje grupa je članstvo lokalne Users grupe. člana domena.35 prikazuje članstvo lokalne grupe domena Administrators. GOR je kompanijske IT resurse grupisao u domene po regionima . postoje globalne grupe sa imenima F&A Jug. GOR Jug domen. smestili u univerzalnu grupu GOR F&A. Hajde da sada pogledamo zamišljeni slučaj Green Onion Resources (GOR). F&A Jug. a globalna grupa Domain Users u lokalnu grupu Users. Držanje ljudi koji se bave finansijama u različitim globalnim grupama.članicama domena. Pošto se domen nalazi u Native rešimu moguće je sve tri globalne grupe smestiti u jednu univerzalnu grupu koja će se zvati GOR F&A. Green Onion koristi Win2K3 Active Directory sa Win2K i Win2K3 kontrolerima domena. Ljudi koji se bave finansijama i knjigovodstvom (Finance and Accounting . Administratori GOR preduzeća su tri grupe. Korisnički nalog ide u globalnu grupu Domain Users. omogućava finiju kontrolu nad resursima karakterističnim za region i administraciju. ili Enterprise Admins ukloniti iz lokalne na mašini. Slika 1. Znači. Na članu domena. iako se smeštanje univerzalne grupe u lokalnu i dodeljivanje prava lokalnoj i dalje smatra dobrim načinom. mogu univerzalnu grupu koristiti za direktno dozvoljavanje pristupa F&A resursima širom organizacije. slično.edu. umesto korišćenja tri globalne grupe. postoje neki centralni resursi koji treba da budu dostupni svim F&A ljudima iz GOR-a. To je vrsta “svi korisnici u domenu" grupe. novi korisnik se automatski pridružuje Domain Users grupi. grupisani u globalne grupe po regionima. člana domena. Takođe bi trebalo da znate i par ostalih ugnježđavanja. Kada u domenu kreirate novi korisnički nalog.Administriranje mreža Administrators grupu. F&A Zapad i F&A Istok. kojoj su dodeljena lokalna prava i dozvole na sistemu. Neto efekat je da se korisničkom nalogu u domenu automatski dodeljuju privilegije lokalnog korisnika za svaku mašinu. administratorskog tipa.

Ugrađene lokalne grupe su zajedničke za sve Win2K3 sisteme iz istog mesta (server/DC/radnastanica) i pružaju pogodne kontejnere grupama za dodelu lokalnog administrativnog autoriteta. a one koje su u Users kontejneru (slika 1. ako je svih. Ipak. Kao sto ćete videli na slici 1. radi administracije. pristup deljenom resursu možete dodeliti direktno univerzalnoj grupi i potpuno premostiti smeštanje u lokalnu grupu. Takođe. što može biti posledica smrti domena. možda i neće. U čemu je razlika? Kao prvo. Ako ACL zapisi ukazuju na globalne. Članstvo u ovoj (ili bilo kojoj) grupi korisniku daje svu moć i mogućnosti koje su date grupi. a globalne se mogu prihvatiti u domenu. Na primer. kao sto su Guest i Administrator. Ovde je problem u tome što domeni i njihove globalne grupe mogu da dolaze i odlaze. Ugrađene lokalne grupe domena Možda ste.. pošto se ceo domen može izbrisati bez potrebe za reinstalacijom operativnog sistema. za slučaju više domena treba da se setite da globalni katalog mora replicirati imena i članove svih univerzalnih grupa iz šume. a zatim ga menjati manipulacijama sa članstvom grupe koja ima taj pristup. u toku prethodne ture po DSA. umesto njihovog pravljenja od početka. Ako prava pristupa uvek dodeljujete lokalnim grupama. Ovo je način da se brzo dodele dobro definisane administrativne uloge. Global. ili u domenu od poverenja.Administriranje mreža GOR Istok F&A Istok Ako za svoju organizaciju imate samo jedan domen i ne planirate ih više. imaju unapred određena prava i dozvole. pa.MSC. Ali je neuredno. Trenutno važi mišljenje da je lakše jednom podesiti pristup resursu. U kontejneru Users postoji i unapred definisane globalne grupe. iako oni neće imati nikakva posebna prava. ili Universal. Ali. čak i ako nemaju dozvolu da ih čitaju. ili raskinutog odnosa poverenja. mašina će ih uvek prepoznavati. grupe koje su u Builtin kontejneru su označene kao Builtin Local. zapazili da su svi ugrađeni korisnički nalozi. Onda možete dozvoliti. ili univerzalne grupe koje se više ne prepoznaju. Zapazite da ove grupe ne možete obrisati. ACL će taj zapis prijaviti kao: "Account Unknown" (nalog nepoznat) i sile tame će ojačali i umnožiti se i haos će zavladati. U nastavku teksta ću Vas upoznati sa pravima i dozvolama ugrađenih lokalnih grupa domena. Backup Operators imaju pravo da zaštitno kopiraju fajlove i direktorijume. u kontejneru možete da kreirate druge korisnike i grupe.37) su Domain Local. ili menjaju. 600 računarskih naloga iz raznih domena u jednoj univerzalnoj grupi dolazimo do problema u replikaciji (čitaj „performansama“). lokalne grupe su specifične za mašinu. 68 . Server Operators imaju skup urođenih prava koja im omogućavaju da prave deljene fajlove i upravljaju servisima. dobro. posebno u Win2K3. podrazumevano smešteni u kontejner Users. Ugrađene lokalne grupe. Ipak. strategija je savršeno prihvatljiva.36.. osim ako im ih dodelite. ili zabraniti pristup resursu tako što ćete manipulisali članstvom u lokalnoj grupi. na primer. neke grupe su u kontejneru Builtin.

pa su članovi. Backup Operators.MSC Users kontejner Administrators Administratori imaju skoro sva ugrađena prava. kao što su grupna načela. formatiraju fiksne diskove servera. kao i da obaraju servere. Account Operators. bilo u vezi sa administracijom. a dozvole (permissions) pružaju mogućnost pristupa resursima. upravljaju i brišu deljene mrežne resurse na serverima. prava (rights) pružaju mogućnost da se nešto uradi. ali mogu dodavati računare u domen. Server Operators Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima domena. mogu da se loguju na. u suštini. ni brisati korisničke naloge administratora. Osim toga. Account Operators Članovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju korisničke naloge i grupe i da menjaju i brišu većinu korisničkih grupa i naloga iz domena. zaštitno kopiraju i vraćaju fajlove na servere. i da obaraju servere. Backup Operators Članovi Backup Operators imaju pravo da zaštitno kopiraju i vraćaju fajlove. ili na drugi način ograničeno.36: DSA. kao što su fajlovi. bez obzira na to da li na drugi način mogu da pristupaju tim fajlovima. svemogući u vezi administracije sistema. Domain Admins.Administriranje mreža Slika 1. Član Account Operators ne može da menja ni briše sledeće grupe: Administrators. 69 . zaključavaju i otključavaju servere.MSC Builtin kontejner U opštem slučaju. Slično. Slika 1. Server Operators mogu na mrežu da se loguju sa servera domena. Članovi mogu da kreiraju. Osim toga. Print Operators Članovi ove grupe mogu kreirati.37: DSA. mogu se logovati na servere i obarati ih. upravljati i brisati štampače koje deli Win2K3 server. članovi ovi grupe ne mogu menjati. Print Operators i Server Operators. kao i objektima Aktivnog direktorijuma. otključavaju fajlove i menjaju sistemsko vreme. ili štampači. upravljaju i brišu deljene štampače na serverima. Ne mogu administrirati bezbednosna načela. kreiraju.

Specijalne ugrađene grupe Kao dodatak ugrađenim lokalnim i globalnim grupama. Vi tom korisniku dodoljujete mogućnosti administratora. onda ima i pravo da kreira lokalne grupe i upravlja grupama koje je kreirao. One će se pojaviti samo na kontrolerima domena. kao i administrirati ostale korisnike i grupe koje su kreirali. Ova grupa sadrži sve korisničke naloge iz domena i podrazumeva se da je član svake lokalne Users grupe. Sledeća tabela opisuje najvažnije ugrađene globalne grupe. kao što je anonimni FTP korisnik. tako i za svaku NT/Win2K/WinXP radnu stanicu u domenu. Anonymous Logon Korisnik koji se logovao anonimno. fajlova i poslova štampe. kao što su Domain Computers i Domain Controllers. ne mogu da drže lokalni profil. 70 . Na primer. Domain Users i Domain Guests. Replicator Ova grupa je strogo za replikaciju direktorijuma. Članovi Domain Admins mogu da administriraju kućni domen. nekoliko specijalnih grupa. Users Korisnici mogu da pokreću aplikacije (ali ne i da ih instaliraju). System Operativni sistem. Power Users i Guests. ako su im to dozvolili administratori domena. Tabela 2: Ugrađene globalne grupe Grupa Šta radi Domain Admins Postavljanjem korisničkog naloga u ovu globalnu grupu. Ugrađeni korisnički nalog Administrator za domen je automatski član Domain Admins globalne grupe. Creator Owner Kreator i/ili vlasnik poddirektorijuma. Win2K3 ima nekoliko ugrađenih globalnih grupa. Domain Users Članovi Domain Users globalne grupe imaju normalan korisnički pristup i sposobnosti kako za sam domen. Authenticated Users Svaki korisnik koji se predstavio sistemu. Podrazumeva se da je globalna Domain Admins grupa član i Administralors lokalne grupe domena i Adminislrators lokalnih grupa svake od NT. Neke predefinisane grupe. Network Svi korisnici koji su preko mreže vezani na računar. Članovi mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom Users. Korisnički nalog se koristi za pokretanje Replicator servisa. Mogu i da obore sistem. a u svakom drugom pogledu imaju veća ograničenja nego Users. Guests Gmogu da se loguju i pokreću aplikacije. Koristi se kao sigurnija alternativa za Everyone. između ostalih Domain Admins. Domain Guests Ova grupa omogućava nalozima gosta da pristupaju resursima izvan granica domena.Administriranje mreža Power Users Ova grupa postoji na XP Pro i serverima koji nisu kontroleri domena. Batch Nalog koji se logovao kao batch posao. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno. su određene za mašinske naloge. na svakoj NT/Win2K/WinXP radnoj stanici u domenu. radne stanice iz domena i svaki pouzdani domen koji u svoju lokalnu Administratore grupu ima dodatu Domain Admins globalnu grupu ovog domena. Oni mogu i da obore ili zaključaju radnu stanicu. uključujući sledeće: Interactive Svako ko računar koristi lokalno. Win2K ili Win2K3 radne stanice u domenu. koje nisu izlistane u DSA.MSC (ili Computer Management and Groups) će se pojaviti u ACL-ovima resursa i objekata.

ili izabrano pravo kliknite desnim tasterom i izaberite Security. ili izaberite Browse. Korisnička prava Pristup korisnika mrežnim resursima – fajlovima. mnogo je lakše voditi računa o bezbednosti kada se korisnička prava dodeljuju preko grupa. direktorijumima. ne brinite za svoju privatnost. Da biste grupu. Pitanje "mogu li lokalno da se logujem na server?" je primer prava. uključujući i one čiji su kreatori i vlasnici izričito ukinuli Read dozvolu članovima Backup Operators grupe. Ali. Korisnička prava se mogu dodeliti odvojeno jednom korisniku. "Da li mogu da menjam fajlove u OPERATIONS direktorijumu. Hajde da. 71 . Vi možete da kreirate nove grupe i da im dodeljujete skup korisničkih prava po Vašoj želji. istaknite ime grupe i izaberite Remove. izaberite Add i u okviru Add Users or Group. Na temelju članstva u toj grupi korisnik ima pravo da zaštitno kopira server. Konšćenjem grupnih načela (Group Policy) Vi kontrolišete ko će u Win2K3 dobiti koja prava. kao što se vidi na slici 1. Šta administratore čini različitim od korisnika? Administratori mogu da se loguju direktno na server. Grupe ugrađene u Win2K3 već imaju neka prava koja su im dodeljena. Dozvole regulišu koji korisnici mogu imati pristup objektu i na koji način. primenjuju na određene objekte. ili grupu koji nisu na kontroleru domena. Spisak prava i korisnika. Na slici 1. Administratori mogu da kreiraju korisnike i rade zaštitno kopiranje fajlova. ili grupa kojima su prava dodeljena. bolje je korisnika smestiti u grupu i definisati prava koja su dodeljena grupi. prosečan korisnik ne može jednostavno da sedne za Win2K3 server i da se loguje direktno na njega. na primer. Dozvole se. na BlGMASHINE serveru?" je primer dozvole. u opštem slučaju. Na primer. a ne pojedinačnim korisnicima. pogledamo korisnika koji je član ugrađene Backup Operators grupe. ili grupi dodali. grupe Interactive i Network zajedno formiraju lokalnu grupu Everyone. ili menjali pridružena lokalna prava za korisnika. korisnici ne mogu. ili uskraćuju pristup određenim objektima (na primer. davanje Read pristupa direktorijumu za određenog korisnika). uređajima – u Win2K3 se kontroliše na dva načina: dodeljivanjem korisniku prava (rights) koja pružaju. Otvorite Local Policies > User Rights Assignment.39 vidite Security informacije o pravu na promenu sistemskog vremena. Administratori se od korisnika razlikuju po tome što imaju prava koja korisnici nemaju. desno. ali iz razloga bezbednosti. mogućnost da se loguju na server) i dodeljivanjem objektima dozvola (permissions) koje određuju kome je dozvoljeno da koristi objekat i pod kojim uslovima (na primer. Pravilo je da korisnička prava imaju prednost nad dozvolama za objekat. prava Backup Operators grupe važe samo u saradnji sa backup rutinom. Kao što sam već rekao. kao što su fajlovi. iz Administrative Tools grupe. Prava. direktorijumi i štamgači. Da biste videli. ili korisnika dodali listi. prikazaće se u oknu sa detaljima. otkucajte ime. Da biste pravo ukinuli grupi. ili oduzeli pravo. na primer. ili upotrebite alat Domain Controller Security Policy za kontroler domena. da biste ga selektovali. korisniku daju ovlašćenje da izvrši određeni sistemski zadatak. Da biste korisniku. korisnici ne mogu. Dialup Korisnici koji sistemu pristupaju preko Dial-Up Networkinga. "Mogu li da uradim zaštitno kopiranje podataka i da ih povratim?" "Mogu li da menjam opcije štampača za deljeni štampač?" To su isto korisnička prava.38.Administriranje mreža Service Nalog koji se logovao kao servis. dva puta kliknite pravo prikazano u oknu sa detaljima. tako da pravo da se izvodi zaštitno kopiranje gazi dozvole date za fajlove i direktorijume. Ovo zahteva mogućnost gledanja i čitanja svih direktorijuma i fajlova na serverima. sa druge strane. Pogledajte grupe Users i Administrators. Slučajno. otvorite alat Local Security Policy. oni ne mogu tek tako da otvaraju fajlove na serveru i čitaju njihov sadržaj.

na primer. ili računare iz drugog domena. računare i druge OU. ne možete smestiti u OU Vašeg domena. ali samo iz svog kućnog domena.38: Local Users Rights Policy Slika 1. Administratori mogu da kreiraju i primenjuju grupna načela na OU.39: Zadavanje lokalnih načela bezbednosti za korisničko pravo Kako se ovde uklapaju organizacione jedinice? Organizacione jedinice (organizational unit .Administriranje mreža Slika 1.OU) su logički kontejneri u domenu. Globalne grupe. ali i dalje deliti zajedničke sigurnosne informacije i resurse. grupa i resursa u organizacione jedinice Vam 72 . a mogu i da delegiraju kontrolu nad OU. One mogu da sadrže korisnike. grupe. Grupisanje korisnika. Ideja je imati delove domena. OU su korisne samo za administraciju.

na primer. ili ukinuti prava. kao što je SMS. Prvi računari koje pridružujete Windows Server 2003 domenu jesu upravljači domena. ali samo jedne OU u jednom trenutku. teško je održati "standardne strukture". Pravljenje mašinskog naloga jednostavnije je od pravljenja korisničkog naloga. Ne možete da formirate Windows Server 2003 domen ako prethodno u njemu ne „podignete" upravljač domena. a o svemu što se tiče bezbednosti domena stara se aktivni imenik. Mašinski nalozi Mašinski nalozi (engl. i OU mogu da sadrže druge OU. Po čemu su OU različite od grupa? Korisnik može biti član mnogo grupa.Administriranje mreža pruža mogućnost da načela primenjujete mnogo finije i da. su 73 . U čemu se razlikuju OU i kontejner? OU je kontejner. a postavljanje novih aplikacija zadaje glavobolje. tako da grupama možete dodeliti. za njega počinju da važe određena grupna pravila (slika 1. odlučite ko čime upravlja i do kog nivoa. tako da ne možete. treba vam i ovlašćenje da pravite naloge. Muka je pakovati aplikacije. Korisnici se stalno igraju sa svojim parametrima. Windows formira dve nove grupe čija je namena da vam olakšaju upravljanje nalozima. Kada računar pridružujete domenu. svima iz organizacione jedinice Finansije dodeliti pristup štampaču. Kada računar postavite u organizacionu jedinicu. takođe. treba da za njega napravite nalog.MSC. Kontrolu nad kontejnerom možete delegirati (možete delegirati kontrolu nad bilo čime). Ti serveri igraju ulogu stražara domena. ne možete svakome iz sigurnosne grupe pripisati određeni skup aplikacija. computer account) bezbednosni je subjekt i direktni je potomak objekta User. kao što je to Users u DSA. tako i na malim mrežama. S druge strane. Kao i grupe. Imena grupa se pojavljuju u ACL-ovima.40: Mašinski nalog u OU sve nadležnosti lokalne baze podataka SAM. Windows Server 2003 povećava stepen bezbednosti i kontrole nad računarom tako što zahteva da on ima svoj nalog isto kao bilo koji korisnik. ali možete da objavite. ali na njega ne možete primeniti Group Policy (grupna načela). Instaliraju se usluge imenika. Postupak je isti kao kada pravite naloge za korisnike. samostalni server ili radnu stanicu pod Windows Serverom 2003.0). Promenom statusa servera u upravljač domena. ali ne samo kontejner. Samo odaberite organizacionu jedinicu u koju treba smestiti računar i iz menija modula izaberite New > Computer. Razume se. treba da postoji bezbedan način da se on prijavi u domen. OU se ne pojavljuju u ACL-ovima. sistemi za udaljeni menadžment. To su grupe Domain Admins i Domain Users. Da bi određeni računar mogao da učestvuje u Windows mreži (Windows Server 2003 ili Windows NT 4. Kada domenu dodate prvi pridruženi server. prestaju Slika 1. kako na velikim. ili pripišete knjigovodstveni tekst preduzeća celoj OU knjigovodstvo. Rad sa Group Policies Posao administratora se nikada ne završava.40). a Windows mu dodeljuje SID).

čak i sam Group Policy. Intellimirror.  Definisanje i nametanje parametara za Internet Explorer.MSC. Sa druge strane. grupna načela svoje informacije upisuju samo u određene delove Registra. ili dodeljivanje softverskih paketa korisnicima ili mašinama  Dodeljivanje start-up.GPO). parametri ostaju.  Konfigurisanje i standardizacija parametara za nove mogućnosti. tako da su u stanju da počiste za sobom onda kada se načelo ukloni. omogućavajući administratorima da lako instaliraju softver i primene standardizovane parametre na više korisnika i računara u celoj organizaciji. a za instalaciju mnogih aplikacija na NT. Grupna načela se delom čuvaju u Aktivnom direktorijumu. Konačno. grupna načela rade mnogo više od promene Registra. ili Win2K3 mašine su potrebne Admin privilegije. Change and Configuration Management (CCM). za vreme podizanja za parametre računara. kada se primene. Ovaj fenomen se obično zove tetoviranje (tattooing). Kada se radi o upravljanju konfiguracijom. se lako primenjuju pomoću grupnih načela. Ovde je ključna stvar da Group Policy pruža jedno mesto za administraciju.  Definisanje i nametanje ograničenja za korisničke stone računare. logon i logoff skriptova  Definisanje lozinke. Sistemska načela se primenjuju samo jednom: za vreme logovanja za korisničke parametre. a delom u SYSVOL. uglavnom samo ograničenja za stone računare i nekoliko sigurnosnih parametara. Ako u domenu imate Win9x ili WinNT4 Workstation mašine moraćete da koristite stare alate: Windows 9x profile i sistemska načela i Windows NT profile i grupna načela. Šta možete da radite pomoću grupnih načela? Evo kratke liste:  Objavljivanje. parametara koje je ranije bilo moguće konfigurisati editovanjem Registra. mnogo manji podskup svega ovoga. Vi zapravo treba da "obrnete načelo" (tako što ćete primeniti njemu suprotno).  Standardizacija mnogih drugih parametara bezbednosti za udaljene mašine. Group Policy (grupno načelo).Administriranje mreža nepotrebno složeni. Prvo. Pre Win2K. automatski vrši replikaciju sadržaja Active Directory i SYSVOL između kontrolera domena. primeni surovu politiku disk 74 .MSC ili DSSITE. koji se obično poziva preko kartice Group Policy Object Editor iz DSA. I grupna načela se primenjuju na ovaj način. uključujući preusmeravanje fascikli. tako da ne treba da brinete o njihovoj replikaciji. offline fascikle. u Registar upisuju permanentne promene. Neke karakteristike. uključujući lutajuće (roaming) profile i preusmeravanje fascikli. ili korišćenjem alata za konfigurisanje bezbednosti drugih proizvođača. kao što su offline fascikle. Objekti načela se prave pomoću Group Policy snap-ina. Uprkos modernim terminima. se postizao pomoću sistemskih načela.  Preusmeravanje određenih fascikli iz korisničkih profila (kao što su Start Menu. Koncepti Group Policy Administratori konfigurišu i primenjuju grupna načela tako što grade objekte grupnih načela (group policy object . mnoge od ovih mogućnosti. kao što su mogućnosti nametanja članstva u grupi i konfiguracije servisa u potpunosti su nove. ili da parametre promenite ručno. Napomena: Grupna načela možete da koristite samo za kontrolu WinXPPro i Win2000Pro mašina. ili Desktop) na neku centralnu lokaciju. shutdown. File Replication Service (FRS). treba se upoznati sa određenim terminima: System Policies (sistemska načela). Uklonite načelo. distribuciju softvera i kontrolu konfiguracije desktop-a (mislim upravljanje). ali se ponovo primenjuju u zadatim intervalima. sistemska načela. Šta ove reči znače običnom administratoru koji samo želi da zadrži neki kontinuitet u konfiguracijama stonih računara? CCM i Intellimirror su marketinški nazivi za grupu karakteristika upravljanja Win2K3 stonim računarom. zaključavanje i revizija načela za domen. distribuciju softvera i udaljenu konfiguraciju desktop-a. Isti GPO može da određuje skup aplikacija koje treba da se instaliraju na stonim računarima svih korisnika. GPO su kontejneri za grupe parametara (načela) koji se mogu primeniti na korisnike i grupe na mreži. disk kvote.

ili preusmeravanje fascikli. a Computer Configuration načela upravljaju parametrima specifičnim za mašinu. ta OU će biti jedina koja dobija Office aplikacije. na primer) ili jedan na mnogo (jedno načelo povezano sa nekoliko različitih OU). kao što su konfiguracija aplikacije. gde je GUID Global Unique Identifier za GPO. Možda se zovu grupna. verziju. uz nekoliko važnih izuzetaka. User Configuration se primenjuju na parametre specifične za korisnika. ni korisnike. Kada sam rekao da se GPO čuvaju u AD. ili tipovi parametara se ne mogu primeniti selektivno. ali se shell restrikcije mogu filtrirati za grupu za IT podršku. kao što su kvote za diskove. domen win2k3test. zaključavanje naloga i standardne parametre bezbednosti. kao sto su Word. Putanja strukture fascikle je WlNDOWS\SYSVOL\sysvol\Domainname\Policies\GUID\. Poenta je u tome da je nemoguće kreirati jedno monolitno načelo i onda određivati ko dobija koje parametre. Ostali će biti ostavljani "neaktivni". Recimo da ste kreirali GPO koji razvija set standardnih desktop aplikacija. revizije (auditing) i Event Log menadžment. ili ništa. za posebne funkcije. parametre bezbednosti. Važno: ne možete ih primeniti direktno na grupe. Primena grupnih načela je sve. ako za rešenje ovog problema upotrebite filtriranje. možete da uradite par stvari. ili organizacionom jedinicom. kao što je OU koja sadrži sve regularne korisnike. već samoj na sajtove. domenom. Načela su "sve ili ništa" Svaki objekat grupnih načela sadrži mnoge moguće parametre za mnoge funkcije. Može da se napravi jedan sveobuhvatan GPO. Možda je najbolji način pristupa ovome izrada GPO za raspored standardnog softvera i GPO za shell restrikcije. na primer. Deo sa kontejnerom se čuva u Aktivnom direktorijumu i sadrži informacije o svojstvima. Postoji načelo na nivou domena koje postavlja restrikcije za lozinke. Veza GPO . Alternativno možete da postavite dozvole za GPO. ni na 95/98 klijente. Svi računarski konfiguracioni parametri će se primeniti na sve Win2K i Win2K3/XP mašine u domenu. na grupu za IT podršku uopšte neće biti primenjeno ništa iz GPO. U Group Policy Object Editor snap-inu postoje dva glavna čvora. Načela su nasledna i kumulativna Parametri Group Policy su kumulativni i nasleđeni iz roditeljskih kontejnera Aktivnog direktorijuma. Na primer. "ovaj GPO povezan sa win2k3test. kada jednom konfigurišete skup načela i kažete AD-u da je. Group Policy Container (GPC) i struktura fascikli načela u SYSVOL. što ćete uskoro videti. Kada se povežu sa sajtom. zaista potrebna posebna načela. Oba se mogu primeniti na nivou domena. ili korišćenje tačka-zareza na početku linije u INF fajlu. a računarska za vreme podizanja sistema. jer je gomila različitih konfiguracionih alata grupisana zajedno u jedan snap-in. informacije o dostupnim aplikacijama i imena skript fajlova sa komandnim linijama. korisnička načela se primenjuju za vreme logovanja. Svaka OU ima načelo za širenje i održavanje standardnih desktop aplikacija. User Configuration i Computer Configuration.SDOU može biti mnogo na jedan (mnogo načela primenjeno na jednu OU. Setite se da se ništa neće primeniti ni na NT 4. status i listu komponenata. Ova fascikla sadrži administrativne šablone (ADM fajlove). domene i OU (što Microsoft skraćuje u termin SDOU). GPO može biti povezan i sa lokalnim načelom određene WinXP mašine. Excel i Outlook i da ste ubacili gomilu shell restrikcija kako biste sprečili korisnike da menjaju svoje konfiguracije. Win2K3 i dalje mora da pročita celo načelo. tako da su Vam ponekad. kao i preusmeravanje fascikli i restrikcije za 75 . individualni parametri. ili OU se zove povezivanje (linking). nešto kao stavljanje REM ispred komande u skriptu. ali reaguje samo na opcije koje ste omogućili. ili više različitih. Ipak. što će sprečiti da se načelo primeni na grupu za IT podršku (ovo se zove filtriranje). Nije neobično videti isto načelo i u User Configuration i u Computer Configuration čvorovima. postoji i prilično preklapanje.Administriranje mreža kvota i restrikcija na Explorer shell i definiše lozinku za ceo domen i politiku zaključavanja naloga. domenu. Čin dodele GPO-a sajtu. Međutim.com ima nekoliko različitih GPO. obično ćete konfigurisati samo neke od njih. Svi korisnički konfiguracioni parametri će se primeniti na sve korisnike na Win2K3 sistemima u povezanom domenu. Ipak. I jedna i druga se periodično osvežavaju. Objekti grupnih načela se čuvaju u dva dela. grupna načela uopšte nisu usmerena na grupe. Suprotno svom imenu. po jedan za svaki tip funkcije. Ali. to nije bilo potpuno ispravno. Ako ne želite da članovi grupe za IT podršku podležu ovim besmisleno strogim shell restrikcijama. Možete za ova načela da kreirate poseban GPO i povezete ga sa kontejnerom nižeg nivoa.com domenom".

Redosled primene grupnih načela Nasleđivanje i akumulacija su fini i jednostavni. šta ako su ista? Šta ako oba menjaju isti parametar i načelo domena tvrdi jednu stvar. Ili. da biste sačuvali zdrav razum. administratori domena imaju niz vrlo spornih parametara koje su uključili na nivou domena. Tako. Ako. kaže: "Uključi ga". ali postoji načelo koje konfiguriše sve ovo. da bi mogao da oboriš mašinu". dok neko pokušava da je koristi. Ipak. Block Inheritance (blokiraj nasleđivanje) je specijalan parametar koji sprečava da načela procure sa višeg nivoa na niže.MSC). a OU načelo: "Dozvoli obaranje pre logovanja". Na kontrolerima domena ona se osvežavaju na svakih pet minuta. Ako na primer. organizaciona jedinica Knjigovodstvo će efektno izbegavati nametnute parametre. Administratori mogu da ga koriste kao što bi koristili i alat Local Security Policy za konfigunsanje parametara naloga (kao što su minimalna dužina lozinke i broj propalih pokušaja 76 . To bi moglo da naškodi mentalnom zdravlju mrežnog administratora. Ako jedno načelo kaže: "Isključi ga". sajtovi. vrednostima iz narednih načela je onemogućeno da obrću one iz načela sa uključenim No Override. kao što je prikazano na slici 1. Group Policy Object Editor snap-in pruža mogućnost za gledanje postavke lokalnih načela na mašini. uključite Block Inheritance. Kada je za načelo uključeno No Override. Primeniće se samo načela organizacione jedinice Knjigovodstvo. zaključan. Postoji i protivudarac za sprečavanje primene Block Inheritance. A. Ako jedno načelo kaže: "Zaključaj". parametar je. kreirate GPO za određenu OU. Lokalna načela i objekti grupnih načela Kada za izradu i povezivanje grupnih načela koristite Active Directory Users and Computers. Oni se primenjuju samo pri logovanju. U tom slučaju administratori domena pobeđuju i ljudi iz OU Knjigovodstvo moraju da poštuju ista ograničenja kao i svi ostali. administratori iz računovodstva su napravih sopstvenu OU. bliže. To bi bilo loše. zatim OU unutar OU. Ako jedno načelo kaže: "Ostavi ga". korisnik može raditi u fascikli koja je preusmerena na novu lokaciju u mreži. sa sopstvenim načelima i uključili Block Inheritance. parametar ostaje zaključan. organizacione jedinice. ili podizanja mašine. samo dok se administratori domena ne opamete i dok ne uključe No Override. on se automatski fokusira na lokalnu mašinu. ili Active Directory Sites and Services. ili pri podizanju sistema. primaju parametre i od načela na nivou domena i od onih na nivou OU. sve dok načela koja se primaju od domena utiču na različite parametre od onih određenih OU načelom. No Override i Block Inheritance Kao što filtriranje može da se koristi za sprečavanje sveopšte primene načela. u suprotnom bi moglo da Vam se desi da aplikaciju deinstalirate. ali. opšta načela se mogu primeniti na ceo domen. pogodite šta biva? Na kraju je isključen. a načelo OU drugu? Načela se primenjuju sledećim redosledom: lokalno načelo. na primer. Kao i sva ostala tajna oružja i No Override i Block Inhentance je najbolje koristiti štedljivo. Kada je uključen. a zatim želite da sprečite da GPO win2k3test domena utiču na OU Knjigovodstvo. a oni raspušteni.41. OU načelo je primenjeno poslednje i zato ima prednost. No Override je jače od Block Inhentance. a treće: "Isključi ga".. Izuzeci za interval osvežavanja uključuju preusmeravanje fascikli i instalaciju softvera. a sledeće: "Isključi ga". isključen je. a sledeće: "Zaključaj".. vrednosti viših načela se uopšte neće primeniti u nižim kontejnerima. Ako otvorite alat Group Policy Object Editor koji stiže uz Win2K3 (GPEDIT. a sledeće. a sitnija u zavisnosti od OU. a sledeće: "Nije konfigurisano". kao što je Knjigovodstvo i podesite sve parametre neophodne za tu OU. takođe. domeni. poželjno je da izbegavate ovakva neslaganja medu načelima. u slučaju problematičnih situacija. Vi radite sa objektima grupnih načela da biste zadali skup parametara koji će biti primenjeni u trenutku logovanja korisnika. Intervali osvežavanja grupnih načela Načela se ponovo primenjuju svakih 90 minuta. U suprotnom. Ako načelo domena kaže: "Moraš biti ulogovan. Ako jedno načelo kaže: "Nije konfigurisano". postaje dosta komplikovano otkriti koja načela su gde primenjena. Korisnici i računari koji su i u domenu i u OU.Administriranje mreža desktop.

Administriranje mreža logovanja pre zaključavanja naloga) i podešavanje praćenja (auditing). dugme Browse Vam omogućava da locirate i pronađete objekte grupnih načela povezane na sajtove.43: Izbor objekata grupnih načela Slika 1.com Obavezno uključite razmak između /gpcomputer: i imena mašine. domene.win2k3test. samo ga ukucajte. svi parametri Group Policy su dostupni i za konfigurisanje lokalnih načela.42: Dodavanje Group Policy Object Editor snap-in Osim toga. kao što je prikazano na slici 1.MSC i gleda lokalno načelo na udaljenoj mašini je sledeća: GPEDIT. Sintaksa kojom se otvara GPEDIT. na primer: GPEDIT. objekat načela možete da selektujete kao argument kada pokrećete konzolu.MSC /gpcomputer: student2 ili. ovu opciju ima uključenu.MSC /gpcomputer: student2.43). ili izaberite dugme Browse. Slika 1. morate da imate Administrator prava za tu mašinu. ako selektujete opciju kojom ćete omogućiti promenu fokusa kada se snap-in pokrene sa komandne linije. OU.MSC /gpcomputer: imemašine Tako da možete da napišete. ili na objekat grupnih načela. konzola Group Policy Object Editor koja se isporučuje sa Win2K3. Računar možete selektovati dok svojoj upravljačkoj konzoli dodajete Group Policy snap-in. Snap-in se može fokusirati na lokalnu mašinu.42. Slika 1.MSC. Ako znate ime računara. GPEDIT. ili računare (Slika 1.41: Group Policy Object Editor snap-in Da biste se fokusirali na lokalna načela drugog računara. možete da napišete: GPEDIT. Uz izuzetak instalacije softvera i preusmeravanja fascikli. 77 .

Izrada grupnih načela Da biste u DSA. ili Disabled) uključena. ili OU. Još jedan primer toga da nam softver govori šta je najbolje za nas? Napomena: Ako koristite grupna načela. izaberite Properties. zatim potvrdite polje No Override (vidi sliku 1. Na primer. iz kontekstualnog menija. čak ni sa Block Inheritance.MSC otvorili Group Policy Object Editor snap-in. Slika 1. Ako je neka od opcija (No Override. Potvrdite polje Disabled. zatim načela za OU. Ne možete da otvorite GPEDIT. samo treba načelo da kliknete desnik tasterom.MSC sa prekidačem /gpcomputer: imeračunara i menjati parametre bezbednosti udaljene mašine. kliknite desnim tasterom ime domena u korenu konzole i. Setite se redosleda kojim se načela primenjuju: prvo na nivou sajta. lokalno se uvek procesira pre grupnih načela sajta. dok je No Override uključeno za načelo. zatim domena.Administriranje mreža Pri korišćenju GPEDIT. Zapazite da je Block Inheritance uključeno na nivou linka (sajt. Ono sprečava da se parametri grupnih načela višeg nivoa spuste na ovaj. isto načelo. istaknite načelo i izabente Options. Zapazite polje za potvrdu Block Policy Inheritance. Ako do sada niste kreirali druga načela. onemogućeno na nivou domena. primenjena na donjim nivoima ne mogu nadjačati vrednost ovog načela. videćete samo podrazumevano načelo domena. postojaće znak potvrde u odgovarajućoj koloni Group Policy kartice. u donjem levom uglu Group Policy kartice. da biste videli koji GPO su povezani na nivou domena. Pređite na karticu Group Policy. ili OU). Kada je ovo polje uključeno.45). Onemogućavanje načela ne onemogućava i sam objekat. da se na tom nivou ne procesira. teorijski bi moglo da se primeni na nivou sajta. Da biste videli kontekstualni meni.MSC za menjanje načela na udaljenoj mašini postoji jedno važno ograničenje.36. Izgleda da Microsoft to ne dozvoljava jer smatra da bi time bezbednost bila ugrožena. Obe opcije se mogu aktivirati pomoću kontekstualnog menija načela. ili ne primenjuje. 78 . Ekstenzija Group Policy Object Editor snap-ina sa parametrima bezbednosti neće raditi kada je alat fokusiran na udaljenu mašinu. ostala načela. domena. domen. ili OU. Ovo vredi ponoviti. da biste načelo isključili. prikazanu na slici 1.44: Group Policy kartica Da biste uključili No Override.

Read i Write su neophodni za promenu načela. ili računarskog dela načela. kao i opcije za onemogućavanje korisničkog.Administriranje mreža Slika 1. Zapazite da Domain Admins i Enterprise Admins imaju dozvole Read (čitanje) i Write (pisanje). a Read i Apply su neophodni primaocu načela. Slika 1. možete odlučiti da neka načela kreirate samo sa računarskim parametrima. ako ima takvih. Kartica General.47). prikazuje informacije o izradi i reviziji. primena načela i ažuriranja će se odvijati brže. kao i Delete (brisanje) i Create Child Objects (izrada podobjekata). U tom slučaju.46: Group Policy General svojstva Kartica Security otkriva podrazumevane dozvole za GPO (sliku 1.44 izaberite New. ako je neiskorišćeni deo GPO onemogućen u potpunosti.45: Group Policy opcije U prozoru sa slike 1. Win2K3 će kreirati načelo po imenu New Group Policy Object i dozvoliti Vam da mu promenite ime. a neka samo sa parametrima karakterističnim za korisnika. da biste videli i menjali svojstva novog objekta grupnih načela. da biste kreirali novi GPO. ili OU koji koriste ovaj GPO. Kliknite dugme Find Now da biste pretragu pokrenuli. Kartica Links Vam pruža mogućnosti pretrage za sajtovima. dok Authenticated Users imaju samo Read i Apply Group Policy (primena grupnih načela). Izaberite Properties. domenima. da biste u donjem delu videli dozvole. Istaknite ime sa vrha. U zavisnosti od načina na koji ste podelili domen u organizacione jedinice. 79 .46. prikazana na slici 1.

Istaknite načelo i izaberite OK. Slika 1. više načelo pobeđuje. oni će se primenjivati od dna ka vrhu. ili Down (dole). ili ga samo uklonili sa liste. Znači da GPO koji je na višem mestu liste ima viši prioritet.47: Lista dozvola za grupna načelo Vratite se na Group Policy karticu lista sa svojstvima domena.50.48: Povećanje prioriteta objektima grupnih načela Na kartici Group Policy izaberite dugme Add. Ako postoje parametri koji su u konfliktu. tako da se onaj sa vrha primenjuje poslednji. 80 . ili da ga uklonite sa liste.48. istaknite načelo i izaberite Delete. možete da potražite i GPO koji su povezani sa drugim domenima/OU. Ovo je važna poslastica koju treba da znate: ako je na jedan kontejner povezano više GPO. ili drugim sajtovima. da biste postojeći GPO povezali sa željenim kontejnerom. ili na dole u prozoru. Ako istaknete novi GPO koji ste upravo kreirali i izaberete dugme Up (gore). kao što vidite na slici 1. načelo možete da pomerite na gore.Administriranje mreža Slika 1. ili možete zatražiti listu svih GPO. Win2K3 će Vam ponuditi opciju da ga potpuno obrišete (slika 1.49).49: Uklanjanje objekta grupnih načela Slika 1. da biste ga dodali listi na kartici Group Policy. čuvajući načelo koje onda u nekom trenutku možete povezati sa nekim drugim kontejnerom. Da biste GPO obrisali. Kao što možete da vidite na slici 1.

da biste otvorili okvir za dijalog i dajte imena korisnika koji moraju biti. Slika 1. ali treba da se pripremite za činjenicu da nisu sva načela konfigurisana na isti način. u desnom oknu sa detaljima kliknite dva puta Maximum Password Age (maksimalna starost lozinke).OSVeljkoVlahovic. Biće Vam potrebno nekoliko primera. istražiti različita načela. Okvir za dijalog od Vas traži da unesete grupu. u ovom slučaju Računovodstvo Policy [DC1. pod Security Settings. Parametri konfiguracije računara se primenjuju na mašinu pri podizanju i u određenim intervalima osvežavanja. idite u Restricted Groups. otvoriti Group Policy Object Editor snap-in i videćete ime objekta načela u korenu prostora za ime. Na kartici Group Policy istaknite načelo i izaberite Edit. ili da je potražite.50: Povezivanje grupnog načela Hajde da sada pogledamo i izmenimo naše novo načelo.Administriranje mreža Slika 1. u posebnom prozoru. Slika 1. Kada se grupa doda spisku u desnom oknu sa detaljima.edu] Policy. Ovo nam nagoveštava da je načelo već gledano i editovano.  Da biste zadali interval koji može da protekne dok korisnik ne promeni lozinku. Ovo će. kliknite dva puta njeno ime. ili im je dozvoljeno da budu članovi grupe. 81 . omogućite ovaj parametar potvrđivanjem polja Define This Policy Setting i odredite vrednost vremenskog intervala. otvorite fasciklu i izaberite New > Package iz Action menija. onda konfigurišete njegova svojstva. u Computer Configuration\Windows Settings i izaberite Add Group iz Action menija. Kasnije ćemo. Parametri korisničke konfiguracije se primenjuju na korisnikovo radno okruženje pri logovanju i u određenim intervalima osvežavanja. Kada ga locirate i selektujete. bar što se interfejsa tiče. Članstvo u grupi možete definisati i za samu grupu. da bi se videli glavni čvorovi objekta grupnih načela. idite u Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy. Okvir za dijalog Open će Vas pitati za lokaciju paketa. da biste shvatili na šta mislim:  Da biste u Software Settings\Software Installation specificirali softverske pakete.51: Prostor za ime grupnog načela Kao što sam već pomenuo.  Da biste podesili načelo koje ograničava članstvo u grupi. postoje dva glavna tipa parametara. u skladu sa sadržajem.51 prikazuje načelo razvijeno u drvo konzole.

čime se svi sprečavaju od prijema grupnih načela. Izaberite dugme Properties i idite na karticu Security (ponovo prikazana na slici 1.MSC).53: Uskraćivanje Apply Group Policy dozvole Ako načelo želite da filtrirate za određenu mašinu (ili grupu mašina). Može se desiti da ste napravili grupno načelo kojim se ograničavaju stoni računari. Sada vidite Access Control List (ACL) za objekat načela.52: Security kartica grupnih načela Slika 1.52). Promene se upisuju u GPO kada izaberete OK. Filtriranje grupnog načela Vratimo se na karticu Security. dodajte tu grupu u ACL za objekat načela.53). za slučaj da članovi Domain Admins i Enterprise Admins nisu isti ljudi. ni računar neće primetiti promenu sve dok se načelo ne osveži. a ne želite da ga primenite na određenu grupu ljudi. Zatim biste u ACL jednostavno dodali ulaze za sigurnosne grupe za koje želite da prime načelo. Nije dovoljno „ne potvrditi“ polja za dodelu Read i Apply Group Policy. Moguće je u potpunosti ukloniti Authenticated Users iz ACL-a. Kliknite desni tasterom u prazan prostor okna (ili otvorite Action meni) i izaberite Properties. sve ih smestite u sigurnosnu grupu i tu grupu dodajte listi. Da biste izuzeli ostale od primanja načela. iako korisnik. Dodajte računarske naloge u sigurnosnu grupu. biće prazno. Nema opcije Save. Postoji alternativa dodavanju sigurnosne grupe u ACL i uskraćivanju Read i Apply dozvola. Desno okno.Administriranje mreža  Da biste podesili preusmeravanje fascikle. morate u Deny koloni da potvrdite polje pored Apply group Policy (slika 1. ali Deny polje morate da potvrdite za obe grupe. idite u User Configuration\Windows Settings\Folder Redirection i izaberite fasciklu (na primer: Start Menu).MSC (ili DSSITE. Kada završite sa konfigurisanjem parametara Group Policy. Deny ima prvenstvo u odnosu na Allow. zatim grupi uskratite (Deny) Read i Apply Group Policy dozvole. 82 . tako da Vi. zapravo. ili Apply za određeni parametar. ni Save Changes. sa detaljima. jednostavno zatvorite Group Policy prozor. treba da izaberete Deny opciju i za njih. tako da se podrazumeva da će se načelo primeniti na sve osim gostiju. primenite istu strategiju. Izaberite karticu Group Policy i istaknite načelo koje želite da filtrirate. u listu sa svojstvima objekata grupnih načela: otvorite DSA. Onima koji su članovi jedne grupe je potreban Deny samo za jednu grupu. Grupa Authenticated Users uključuje sve osim gostiju. pa će čak i Domain Admins i Enterprise Admins primiti parametre načela. domen) i izaberite Properties. Slika 1. Kliknite desnim tasterom kontejner povezan sa vašim GPO (u našem primeru. korisnici iz vaše specifične sigurnosne grupe su članovi i Authenticated Users. Pojaviće se list sa svojstvima i tu ćete moći da odredite lokaciju za Start Menu i konfigurišete parametre preusmeravanja. u zavisnosti od toga gde je link. Ipak. Da biste sprečili da i Domain Admins i Enterprise admins prime ovo načelo.

Administriranje mreža budite sigurni da ste im dodelili i Read i Apply Group Policy. da biste odredili redosled kojim će se izvršavati. Slika 1. u zavisnoti od toga da li skriptove dodeljujete Computer Configuration. po mogućstvu. Ako ste specificirali više skriptova. Ovo će fasciklu otvoriti u Exploreru. Software Settings\ Software Installation se mogu upotrebiti za objavljivanje. Kada se to od Vas zatraži. ili obaranju sistema. Postoji nekoliko parametara načela koji definišu kako će se Group Policy skriptovi izvršavati.54 prikazuje listu dozvola za Računovodstvo policy iz koje je uklonjeno Authenticated users i dodata je grupa Administracija. listama dozvola možete dodati i pojedinačne korisnike. Ona se nalaze u Administrative Templates čvoru.54: Group Policy ACL bez Authenticated Users Specificiranje skriptova pomoću Group Policy Možete da specificirate logon i logoff skriptove. ih otvorite za editovanje. ako ne želite da se načelo primenjuje na sve računare u povezanom kontejneru. shutdown. dodeljivanje. Ako želite da vidite skriptove smeštene u GPO i.56). ažuriranje. u System\Scripts za konfiguraciju korisnika ili računara. Uzgred.55 prikazuje skriptove koji su na raspolaganju u User Configuration. logon. navedite ime skripta i parametre. slika 1. Ovde. Global Unique Identifier (GUID) za objekat grupnih načela je dugačak string koji liči na {FA08AF4l-38AB-1lD3-BDlPC9B6902FA00B}. upotrebite dugmad Up (gore) i Down (dole). Napomena: I u slučaju User Configuration i Computer Configuration. kao i skriptove koji će se izvršavati pri podizanju. selektujte tip skripta (start-up. upotrebite dugme Show Files. ili Computer Configuration čvoru. Ova strategija je korisna. respektivno. Slika 1. u desnom oknu sa detaljima. u dnu lista sa svojstvima. pomoću Windows Settings u User Configuration čvoru. izaberite Edit. Da biste skriptu editovali ime i parametre (ne sam skript). Skriptovi koje napravite i pripišete treba da budu iskopirani u sledeću putanju u SYSVOL direktorijumu: \WINDOWS\SYSVOL\SysVol\imedomena\Policies\{GUID}\Machine\Scripts\Startup(Shutdown) (ili User\Scripts\Logon. Skriptove dodajte u spisak pomoću dugmeta Add (slika 1. da biste prikazali Scripts. ili ga istaknite i u Action meniju izaberite Properties. ili logoff). 83 . čak i uklanjanje aplikacija sa korisnikovog desktopa. ili Logoff. ili User Configuration čvoru). Razvijte Windows Settings. zatim. kliknite dva puta na tip skripta (na primer Logon).

Application Data čuva korisničke informacije specifične za aplikacije dok Desktop može da sadrži važne fascikle i prečice koje treba da su na samo jedan klik od korisnika.Administriranje mreža Slika 1. neka vrsta lokalnog kućnog direktorijuma.Ove fascikle su važan element korisnikovog radnog okruženja. Start Menu. Korisćenjem korisničkih profila možete unapred da konfigurišete sadržaj ovih fascikli i pripišete mrežne lokacije.55: Start-up skriptovi Group policy Slika 1.56: Dodavanje skripta u Group Policy Preusmeravanje fascikli Jedna od najkorisnijih stvari koju možete da uradite sa parametrima korisničke konfiguracije u Group Policy Object Editor-u je da korisnikovim fasciklama Application Data. dok je My Documents podrazumevano mesto na koje pamtite i sa kojeg pozivate fajlove. Start Menu sadrži programske grupe i prečice na programe. Ali. Desktop. ili My Documents kažete da ga prate od računara do računara. za razliku od 84 .

a dozvoliti svakom korisniku da ima sopstvene My Documents i Application Data fascike. Preusmeravanje fascikli Desktop i Start Menu na centralizovanu. Prvo. deljenu lokaciju olakšava standardizaciju korisničkog radnog okruženja i pomaže udaljenu podršku. Ovim se kreira podfascikla imenovana po korisniku. idite u User Configuration\Windows Settings\Folder Redirection\Start Menu. ako odredite mrežnu lokaciju za neke. ili sve ove fascikle. Hajde da pogledamo. tako da postoji par dodatnih stavki koje treba konfigurisati. Podrazumeva se da će se sadržaj odgovarajuće fascikle kopirati na novu lokaciju.edu\Računovodstvo. Opcije koje vidite na slici 1. ili izaberite Advanced. one se mogu redovno zaštitno kopirati i štititi od strane IT odeljenja. prouzrokujući "gradnju" profila. na serveru DC1. Moguće je specificirati deljenu lokaciju za Desktop i Start Menu fascikle. tako da. a u drugim slučajevima je moguće postaviti individualne preusmerene fascikle. jer će osoblje za podršku znati da su sve mašine konfigurisane na isti način. prvo izaberite sigurnosnu grupu. Da biste za Start Menu fasciklu odredili mrežnu lokaciju u Group Policy. da biste lokacije zadali na osnovu članstva u sigurnosnoj grupi.57 demonstrira preusmeravanje Start Menu fascikle za sve članove OSVeljkoVlahovic. One se ne kopiraju na mašinu na koju se korisnik loguje.58 prikazuju podrazumevane izbore. osim sto My Document ima podfasciklu My Pictures. Što je najlepše od svega. Samo korisnik će imati pristup fascikli. kombinujete i slažete. kliknite desnim tasterom istaknutu fasciklu Start Menu i. to je pogodnost za korisnika koji se loguje na različite mašine. Parametri za preusmeravanje svih ostalih fascikli su isti. Iz padajuće liste izaberite Basic. Čak i kad se načelo ukloni. jer preusmerene fascikle ne traže ažuriranje. Ima više dobrih razloga za korišćenje preusmeravanja fascikli. iz kontekstualnog menija. da biste odredili jednu lokaciju za Start Menu fasciklu. U našem slučaju će celo Računovodstvo koristiti istu Start Menu fasciklu. Slika 1.57. izaberite Properties. Potpunosti radi. parametri preusmeravanja za My Documents su prikazani na slici 1. dodavanjem %imekorisnika% u putanju. a zatim zadajte mrežnu putanju. Ako želite jednu lokaciju za Start Menu fasciklu samo otkucajte ciljnu lokaciju sa mrežnom putanjom. Za različite lokacije. da biste konfigurisali parametre preusmeravanja. fascikla će ostati preusmerena sve dok joj ne kažete da "ukine preusmeravanje". 85 . Zatim. List sa svojstvima će prijaviti da nijedno načelo nije podrazumevano za Start Menu preusmeravanje. kliknite karticu Settings. ako svi treba da dele fasciklu. preusmerene fascikle su sve vreme na jednom određenom mestu. Umesto korišćenja fascikle u korisnikovom lokalnom profilu. Ako se lutajući (roaming) profili i dalje koriste. treba da ukinete potvrde iz ovog polja (Grant the user the exclusive rights to My Documents). Takođe. ili pretraživanjem dođite do nje.Administriranje mreža ponašanja Default User profila. biće preusmerena (redirect) na lokaciju određenu u grupnim načelima. uvođenje preusmeravanja fascikli ubrzava sinhronizaciju profila servera sa lokalnim profilima pri prijavljivanju (logon) i odavljivanju (logoff).

Iz kontekstualnog menija izaberite Import Policy. File System Kreira šablone bezbednosti za dozvole za fajlove i fascikle. do sigurnosnih. Registry Kreira šablone bezbednosli Za ključeve Registra za dozvole koje kontrolišu ko može da menja koji ključ i kontrolišu Read pristup dolovima Registra. Group Policy šablon automatski traži u 86 . NTFS dozvole morate da podesite samo jednom. ili preko Group Policy. Sledi rezime glavnih kategorija parametara iz Security Settings. Account Policies Određuje ograničenje lozinke. nekoliko škakljivih dozvola i parametara Registra ćete morati da promenite samo jednom. ovi šabloni u inkrementima menjaju podrazumevane vrednosti. iako se načela za javne ključeve nalaze i u User Configuration čvoru. Pod pretpostavkom da ćete imati nekakvu standardizaciju na nivou organizacije. mnogo je sigurnije parametre konfigurisati offline i zatim ih primeniti. a onda kopirati u ostala. korišćenjem infrastrukture javnog ključa. prikazanog na slici 1. a čvor Security Settings će Vam svakako olakšati život. ili servera. velike su šanse da ćete želeti da učinite bar neke standardizovane promene. Restricted Groups Obavezuje i kontroliše članstvo u određenim grupama.57: Načelo za preusmeravanje korisnikove Slika 1.Administriranje mreža Slika 1. Event Log Cenlralizuje konfiguracione opcije za Event Log.58: Načelo za preusmeravanje My Documents fascikle Start Menu fascikle Parametri bezbednosti Security Settings (parametri bezbednosti). Local Policies Konfiguriše praćenje i dodelu korisničkih prava i razne parametre bezbednosti. na istoj putanji. nego se igrati živim grupnim načelom. zatim selektijte načelo iz liste šablona. koje radi. ili samo malo viša od podrazumevane. ili menjati pomoću Security Templates snap-ina. vrlo sigurnih i konfiguracija namenjenih za kontrolere domena. Ima ih više. System Services Standardizuje konfiguracije servisa i štiti od promena. Takođe. Glavnina parametara bezbednosti se nalazi u Computer Configuration\Windows Settings\Security Settings. načela zaključavanja i Kerberos načelo. Kada se primene direktno. One se. pomoću Group Policy. koji se ne mogu konfigurisati pomoću šablona. Kada god Vam je potrebna visoka bezbednost. sa izuzetkom Public Key Policies i IP Security Policies. mogu podesiti za jedno načelo. Možete ih gledati. Uvoz šablona bezbednosti Šabloni sa parametrima bezbednosti se instaliraju sa Win2K3 Serverom i na raspolaganju su nam kako bi olakšali teret prolaska kroz istraživanje i konfiguraciju ovih parametara. Ovi šabloni imaju oblik INF fajlova i nalaze se u \WINDOWS\security\templates. od osnovnih radnih stanica. radi obezbedjivanja da fajlovi i direktorijumi imaju i zadržavaju dozvole koje želite. čak. idite u Computer Configuration\Windows Settings\Security Settings i kliknite desnim tasterom Security Settings. Ovi parametri su isti kao i oni koji se nalaze u group policy Security Settings. Vrednosti parametara su u svakom šablonu unapred konfigurisane kako bi odgovarale potrebnom nivou bezbednosti. Public Key Policies Upravlja parametrima organizacije.59. zajedno sa Administrative Templates (administrativni šabloni) čine veliki deo Group Policy. Da biste šablon bezbednosti uvezli u Group Policy.

Microsoft Management Console. Promene specificirane u administrativnim šablonima koje se odnose na korisnika se upisuju u HKEY_CURRENT_User\Software\Policies. korisna načela su ona koja sprečavaju korisnike da dodaju. da bi promenio parameter selektovanog objekta grupnih načela. Task Scheduler. specificirati putanju za štampače u Aktivnom Direktorijumu. Svakako je korisno imati kontrolu parametara za Internet Explorer. Kada učitate Administrative Template. a one koje se odnose na računar u HKEY_LOCAL_Machine\Software\Policies. kao pomoć pri pretraživanju. ADM fajlovi se kopiraju u \SYSVOL\Imedomena\Policies\GUID\Adm. na primer. ili brišu štampače. 87 . Možete. da prilagođavaju prikaz. manje li više značajnoj. Windows Explorer. ili konfiguracije mašine. screen-saver-i i pozadiski tapet – drugim rečima. ukloniti Run… iz Start menija ili “Entire network” u My Network Places kako bi odvratili korisnike od njuškanja po različitim serverima. Slika 1. Windows komponente Zaista je veliki broj parametara koje možete konfigurisati u ovom čvoru. Šta možete da radite sa parametrima iz Administrative Templates? Među njihovim glavnim funkcijama je “spreči korisnika da promeni X”. Ovi. Terminal Services. takođe. Display sprečava korisnike da menjaju parameter prikaza.Administriranje mreža \WINDOWS\security\templates. ili dela Add\Remove Programs apleta. Kao što su rezolucija ekrana. Biće uvezen INF fajl. ili sakrij opciju Y”. a Vi mu možete reći da traži negde drugde ako je potrebno.ADM fajlovi nalaze se u \WINDOWS\inf. Korisno je. . Navešću nekoliko komentara o nekim od parametara koje ćete pronaći u Administrative Templates. Iako je zanimljivo igrati se postavljnjem restrikcija treba voditi računa o svakoj polisi. ili uklanjanje celog.59: Security Templates snap-in Administrativni šabloni Parametri iz Administrative Templates (administrativnih šablona) specificiraju izmene zapisa Registrya kojima se podešavaju razni aspekti korisničkog okruženja.. Takođe. Control Panel parametri Control Panel čvor uključuje nekoliko opcija za onemogućavanje. ili “onemogući.

pre nego što se data lozinka može upotrebiti ponovo. Maximum Password Age (maksimalna starost lozinke) Ova opcija zadaje vremenski period u kojem se lozinka može koristiti.EXE i REGEDIT.EXE. sa primerom spiska dozvoljenih aplikacija. videćete grešku u Event Logu. što nije loša ideja. pre nego što sistem od korisnika zatraži da izabere novu. Kontroleri domena će ove parametre primiti od načela naloga nivoa domena i ignorisati parametre u načelima povezanim sa OU. Tako da. mada obični korisnici ionako nemaju Read pristup većem delu Registra. Minimum Password Age (minimalna starost lozinke) Ovde zadata vrednost je period u kojem se lozinka mora koristiti. Ako načelo omogućite. Slika 52 prikazuje omogućeno načelo. na nesreću i dalje ne možete administratore da naterate da lozinke menjaju češće od svih ostalih (ne bez debele motke. u svakom slučaju). a labavije za ostale. tako da praćenje može da bude strože za "bezbednije" OU. pre nego što sistem korisnika dobije pravo da je promeni. ili korisnik neće moći ništa da pokrene. Slika 1. ako načelo OU nivoa sadrži ove parametre. Međutim.60: Načelo koje dozvoljava pokretanje samo dozvoljenih aplikacija Upotreba Group Policy za podešavanje Set Password i Account Lockout načela Važna primedba za lozinke. zaključavanje naloga i Kerberos grupna načela: primenjuju se samo na nivou domena. Čuveni parameter Run Only Allowed Windows Application (izvršavaj samo dozvoljene Windows aplikacije) se nalazi u System čvoru. Password Policy sadrži sledeće opcije: Enforce Password History (obavezna istorija lozinke) Omogućite ovu opciju i dajte broj novih lozinki koje moraju biti jedinstvene. U stvari. u User Configuration. 88 . Osam karaktera je dobra dužina lozinke.Administriranje mreža Sistemski parametri Onemogućavanje alata za editovanje Registra sprečava korisnike da pokreću REGEDT32. Minimum Password Length (minimalna dužina lozinke) Ova opcija definiše najmanji broj karaktera koje korisnikova lozinka mora da sadrži. morate da dodate listu dozvoljenih aplikacija. na OU se mogu primeniti različiti Local Policy parametri.

Ipak. da li je dozvoljen deo korisnikovog imena itd. načela se primenjuju u pozadini i korisnik će moći da se loguje dok se vrednosti načela i dalje menjaju. User Must Log On to Change Password (korisnik se mora logovati. korisnički nalog više neće biti zaključan i korisnik može ponovo da pokuša da se loguje. Group Policy Refresh Intervals for Users/Computers/Domain controllers (Intervali osvežavanja Group Policy za korisnike/računare/kontrolere domena) Ova odvojena načela određuju koliko često se GPO osvežavaju u pozadini. Ovo bi moglo da bude korisno zbog performansi. da bi promenio lozinku) Ova opcija sprečava neidentifikovane korisnike da menjaju lozinku tokom brutalnog napada. Group Policy načela Načela koja kontrolišu Group Policy se nalaze u Administrative Templates. Reset Account Lockout Counter After (vrati brojač posle) Ovaj parametar definiše vreme posle kojeg će brojanje neuspelih pokušaja logovanja početi ispočetka. Svako načelo (vidi primer na Slici 54) predstavlja barem dve od sledeće tri opcije: Allow Processing across a Slow Network Connection (dozvoli procesiranje preko spore mrežne veze) Neka načela se mogu isključiti kod sporih veza. Informacije koje slede su rezime najvažnijih konfiguracionih opcija. da biste sprečili korisnike da se loguju dok se sva grupna načela ne primene. da li moraju da se koriste slova i brojevi. da bi se pobojale performanse ("sporu vezu" možete da definišete pomoću parametra Group Policy Slow Link Detection). broj dozvoljenih karaktera. i u User Configuration i u Computer Configuration čvorovima (Administrative Templates\System\Group Policy). Accout Lockout Policy. Slika 1. Apply Group Policy for Users/Computers Synchronously during Start-up (sinhrono primeni grupna načela na korisnike/računare tokom podizanja) Omogućite ovaj parametar. Policy Processing Options (opcije procesiranja načela) Ova načela. svakoga sprečava da se loguje na nalog posle određenog broja neuspešnih pokušaja: Account Lockout Threshold (prag zaključavanja naloga) Ova vrednost definiše koliko puta korisnik može pokušati da se loguje pre nego što se nalog zaključa. Ovi parametri dozvoljavaju promene podrazumevanih pozadinskih intervala osvežavanja i dozvoljavaju fino podešavanje offset vremena. Takođe. na primer. Kada to vreme istekne. parametri bezbednosli i načela procesiranja Registra će se uvek primenjivati i ne mogu se isključiti. U suprotnom. sprečava korisnika da promeni svoju lozinku. ako je ona istekla. su na raspolaganju za prilagodjavanje ponašanja različitih GPO komponenata. načela će se osvežavati samo pri podizanju sistema i logovanju korisnika.61 prikazuje Computer Configuration opcije za Group Policy.Administriranje mreža Password Must Meet the Complexity Requirements of Installed Password Filter (lozinka mora da zadovolji zahteve složenosti koje određuje instalirani filter za lozinke) Filteri za lozinke definišu zahteve kao. Disable Background Refresh (onemogući osvežavanje u pozadini) Ako dopustile ovaj parametar. Hajde da našu diskusiju o grupnim načelima završimo ispitivanjem drugih Group Policy konfiguracionih opcija koje su stvarno uključene kao grupna načela („načela grupnih načela“). Store Password Using Reversible Encryption (lozinke pamti korišćenjem obrnutog šifriranja) Windows 9x klijenti i Macintosh klijenti treba da se identifikuju šifriranjem nižeg nivoa. 89 . jer ako imale 1. na Ethernetu bi moglo doći do zagušenja. dok korisnici i računari rade. Accout Lockout Duration (trajanje zaključavanja naloga) Ovaj parametar određuje interval u kojem će parametar biti zaključan. sa imenima kao Registry Policy Processing i Folder Redirection Processing. kada se omogući.500 računara koji na svakih 90 minuta osvežavaju načela.

da bih se bavio administracijom. Instalacija softvera i preusmeravanje fascikli se nikada neće osvežavati dok je korisnik logovan. univerzitetskim računarskim labotarorijama i kioscima u tržnim centrima. 90 . Drugi primer kada želite da računarska načela pregaze korisnička je ako želite da primenite stroža načela za mašine koje su izložene anonimnoj publici. ili turističkim atrakcijama. kao što su one u bibliotekama. Ponekad to nije odgovarajuće i umesto toga. ako nisu promenjeni. Na primer. načela treba primeniti u skladu sa objektima računarskih načela. Merge i Replace režimi. podrazumeva se da se GPO ne osvežavaju.61: Computer Configuration parametri za Group Policy Do Not Apply during Periodic Background Processing (ne primenjuje se tokom periodičnih pozadinskih procesiranja) Određuje komponente koje će se periodično osvežavati. Takođe se podrazumeva da korisnici primaju načela bez obzira na to koju mašinu upotrebe za logovanje.Administriranje mreža Slika 1. čak. Ipak da biste povećali sigurnost i sprečili da korisnik menja parametre načela. iako se GPO nisu promenili) Radi očuvanja mrežnih i sistemskih resursa. ako se logujem na server. da biste se obezbedili da se svi parametri ponovo primene posle svakog intervala osvežavanja. omogućite ovo načelo. ne odgovara mi da office aplikacije počnu da se instaliraju. ako postoje konflikti. Postoje dva režima za kontrolu ovog ponašanja (vidi sliku 1. Omogućavanje ovog načela može da izazove primetno pogoršanje performansi.62). tako da za njih opcija nije raspoloživa. Process Even If the Group Policy Objects Have Not Changed (procesira. User Group Policy Loopback Processing Mode (režim za obrnuto procesiranje korisničkih grupnih načela) Podrazumeva se da se korisnička načela procesiraju posle načela konfiguracije računara i da korisnička načela imaju prednost.

kao na Slici 57 i potvrdite polje pored Allow Processing across a Slow Network Connection. čak i preko spore veze. Vi možete promeniti definiciju spore veze. načelo se primenjuje bez obzira na to da li se korisnik loguje korišćenjem Dial-Up Networkinga. bar što se grupnih načela tiče. Kao što sam u prethodnom odeljku pomenuo.Administriranje mreža Slika 1. Da bi logon skriptovi radili preko sporih veza. bez obzira na brzinu veze. pa tek onda inicira vezu. Da biste promenili podrazumevani parametar. Sistem testira brzinu veze korišćenjem Ping uslužnog programa. parametri procesiranja načela za pojedinačne komponente (one imaju imena kao Folder Redirection Policy Processing i nalaze se na istoj putanji kao i detekcija spore veze. unesite broj u Kb/s. Omogućite načelo. Međutim. kao što su dial-up konekcije. otvorite načelo po imenu Scripts Policy Proccessing. Izaberite OK i načelo je podešeno. radi lista sa svojstvima načela).63:User Group Policy loopback processing mode načelo Merge Mode Prvo procesira korisnička načela. u Computer Configuration\ Administrative Templates\System\Group Policy) Vam omogućavaju da odredite da li će se delovi objekta načela procesirati preko spore veze. ovo nije opcija za načela Registra. Replace Mode Zanemaruje korisnička načela i procesira samo računarska. 91 . oni će se uvek izvršiti. Podrazumeva se da se ostali moduli neće primenjivari preko sporih veza. Još bolje. Ako je potrebno. Grupna načela na sporim vezama Grupna načela i dalje rade preko sporih veza.62: Opcije procesiranja skripta Slika 1. ponovite za ulaze za procesiranje ostalih načela. da biste potpuno onemogućili detekciju spore veze. zatim računarska. ili 0. Ponovo. u Administrative Templates\System\Group Policy (vidi Sliku 1. veza je brza. Podrazumevana definicija spore veze. Ovaj parametar.64. je dostupan i u User Configuration i u Computer Configuration. ni za parametre bezbednosti. Ako je vreme odziva Pinga ispod 2. ili se loguje sa keširanim akreditivima. Ipak. Ako onemogućite detekciju spore veze. zato Win2K3 sadrži načelo kojim se definiše spora veza i kojim se definiše kako se načela primenjuju preko detektovane spore veze. primenjivaće se sva načela.000 milisekundi. na primer. Zbog toga će računarska načela pregaziti konfliktna korisnička. po imenu Group Policy Slow Link Detection. je sve ispod 500 kilobita u sekundi. primena grupnih načela preko sporih veza može performanse da dovede u pitanje.

S komandne linije se pokreće program GPRESULT.65: Opcije procesiranja načela Planiranje grupne strategije i otkrivanje i otklanjanje grešaka u njoj pomoću RSoPa Ako imate iskustva u upravljanju grupnom strategijom u Windowsu 2000. Pokrenuće se čarobnjak RSoP. RSoP). Ona je ugrađena i u Windows Server 2003. koja dobrim delom obezbeduje sredstva za planiranje grupne strategije i otkrivanje i otklanjanje problema u radnim stanicama na koje se primeni. Resultant Set of Policy. Windows XP ima ugrađenu alatku Rezultujući Skup Pravila (engl.66. 92 . prikazan na slici 1. Desnim tasterom miša pritisnite opciju All Tasks u meniju i u kontekstnom meniju izaberite stavku Resultant Set of Policy (Planning). onda znate da nema lakog načina otklanjanja grešaka u problematičnim GP objektima. RSoP i GPRESULT su detaljno objašnjeni u datotekama ugrađene pomoći Windows Servera 2003. Da biste RSoP upotrebili za planiranje primene grupne strategije. RSoP funkcije ugrađene u Windows XP i Windows Server 2003 omogućavaju izvlačenje podataka o rezultujućem skupu pravila koja su primenjena na računar za kojim sedite ili na bilo koji drugi računar u domenu.Administriranje mreža Slika 1. u odrednici Troubleshooting GP (otkrivanje i otklanjanje grešaka grupne strategije).64: Group Policy Slow Link Detection svojstva Slika 1. RSoP pravi izveštaj o svim parametrima grupne strategije koji su primenjeni na korisnika i računar. pokrenite modul Active Directory Users and Computers (korisnici i računari aktivnog imenika) i u stablu izaberite bilo koju organizacionu jedinicu. koji otkriva sve parametre grupne strategije primenjene na korisnika i njegov računar. Time omogućava otkrivanje i otklanjanje grešaka u grupnoj strategiji i utvrđivanje promena radne površine i prostora korisnikovog računara koje RSoP prouzrokuje. niti lake metode prognoziranja ili testiranja ponašanja GP objekta u radu.

Istom konzolom možete pregledati druge računare (uglavnom radne stanice) i servere. računare i grupe. Alatka RSoP je nezaobilazna prilikom otkrivanja i otklanjanja grešaka. Slika 1. spora veza s mrežom i Windows Management Instrumentation (WMI) filtri. Rezultat rada RSoP-a za moj kontroler domena DC1 možete videti na slici 1. No. izveštaja radi otkrivanja i otklanjanja grešaka kao i simuliranje strategije iscrpljuje mogućnosti RSoP-a. ukoliko imate dozvolu da kao lokalni administrator ciljnog računara (a u njih podrazumevano spadaju svi članovi grupe Domain Administrators) pravite RSoP izveštaj. pravljenje sveukupne grupne stratgije. Zato je i dalje lako napraviti grešku u grupnoj strategiji. S obzirom na ove nedostatke. odgovor je negativan. RSoP će prikupiti podatke o grupnoj strategiji primenjenoj na tekući računar i prijavljenog korisnika. možete li da obnovite strategiju pomoću rezervne kopije? Ukoliko koristite samo standardne alatke koje se isporučuju sa operativnim sistemom. s raznim parametrima kao što su režim povratne petlje. na serveru otvorite RSoP konzolu (rsop. 93 .67. ili je potpuno uništiti. Da biste dobili RSop-ov izveštaj o ciljnom korisniku i računaru.Administriranje mreža Slika 1. Možete li da poništite promenu.66: Čarobnjak rezultujućeg skupa pravila (RsoP) Pomoću ovog čarobnjaka simulirate primenu grupne strategije na ciljnu organizacionu jedinicu ili korisnike.mmc). pomoć morate potražiti kod drugog proizvođača softvera. Nije se jednom desilo da se potpuno funkcionalan GP objekat uništi primenom administrativnog šablona na strategiju. možete li da napravite kopiju strategije iz laboratorije.67: Rezultat rada RsoP-a za OU Uprava RSoP konzola je na raspolaganju u Windowsu XP. njome sa Windows XP računara za podršku možete pregledati i druge radne stanice i korisnike. kliknite je desnim klikom i iz kontekstualnog menije pokrenite komandu Generate RsoP data.

Izveštaj se može i odštampati. Tu funkcionalnost pruža FAZAM 2000. FAZAM-ov RSoP omogućava i interaktivno usmeravanje alatke na svaki računar u domenu. U taj proces možete uložiti dane i sedmice rada.68: FAZAM 2000 (probna verija) Pravljenje rezervnih kopija i obnavljanje GP objekata Procedura izrade rezervnih kopija i obnavljanja celog aktivnog imenika trenutno je jedini način izrade rezervnih kopija GP objekata i njihovog obnavljanja. i sve to uništiti jednim pritiskom na pogrešno radio-dugme u okviru za dijalog Delete. FAZAM je akronim od Full Armor Zero Administration. com.68. Probnu verziju ovog softvera možete preuzeti s FullArmorove Web lokacije na adresi www. uništite ili na drugi način izgubite objekat grupne strategije (a mnogi admistratori 94 . Ulaganja u projektovanje i pravljenje grupne strategije veoma su velika. Pre nego što malo detaljnije opišemo ovu alatku. i dobijanje izvanrednih HTML izveštaja o rezultujućoj (sveukupnoj) grupnoj strategiji primenjenoj na računar i na korisnika. kontrolu izmena i uvođenje u rad grupne strategije. ukoliko se ošteti ili slučajno obriše. Ako oštetite. Slika 1. treba da znate da je Microsoft stavio verziju FAZAM-a 2000 smanjene funkcionalnosti u direktorijum podrške na instalacionom CD-u operativnog sistema Windows Server 2003. Interfejs probne verzije Fazam-a vidite na slici 1. Nijedna druga alatka na tržištu ni približno ne omogućava tako lako i komforno upravljanje. Ne postoji način da izaberete samo jedan objekat i obnovite ga u aklivnom imeniku. fullarmor.Administriranje mreža Upravljanje grupnom strategijom pomoću FAZAM-a 2000 Ako imate problema s grupnom strategijom koristite alatku FAZAM 2000 za upravljanje grupnom strategijom.

koju trenutno zovemo Resultant Set of Policy (RSOP). Zatim morate da gledate ACL-ove. Ovo značajno može da uspori logovanje. Osvežavajte načela suviše često. je neophodna za upravljanje načelima i rešavanje problema u vezi sa njima. osim ako brinete da bi korisnici mogli da menjaju svoje parametre. ako nešto pođe naopako. naravno. Za obnavljanje podrazumevanih objekata grupne strategije možete. Svaki put kada se korisnik loguje (ili se računar restartuje). ili mrežu. da biste videli da li ima filtriranja i da proverite da li su onemogućene opcije Block Inheritance i No Override. čita se i primenjuje svaki od GPO pridruženih korisničkim. da biste stigli do srži problema. morate da gledate svojstva svakog sajta/domena/OU. Tako arhitektura skladišta omogućava potpuno obnavljanje objekata grupne strategije. ili mašinu. nemate izbora nego da ga obnovite s rezervne kopije. To što to možete da izvedete. naravno). ne znači i da je dobra ideja. Zato. Najgore što možete da uradite za performanse je da na snazi imate mnogo različitih načela i da Group Policy kažete da se ponovo primenjuju posle svakog intervala. Mogućnost prikazivanja stvarne vrednosti načela. ali time ćete izgubiti parametre te grupne strategije. postoje još dva velika pitanja kojih treba da budete vrlo svesni. pa ćete videti da je mašina stalno zauzeta traženjem promene načela. to i dalje predstavlja ogromno administrativno opterećenje i rizičan poduhvat ukoliko nemate titanijumski oklop sličan FAZAM-u 2000. povežite se sa SQL Serverom i obnovite ga za nekoliko minuta. Više ne morate trošiti dane i sedmice (za koje vreme mreža ne radi uopšte ili radi u ograničenom obimu) da biste obnovili GP objekat koji je nestao. da biste videli koja načela su povezana sa kojim kontejnerima. ili računarskim kontejnerima (SDOU). logovanje duže traje. koristire RSoP. Drugo je da je probleme u vezi grupnih načela teško rešavati. FAZAM 2000 omogućava veoma lako pojedinačno pravljenje rezervnih kopija i obnavljanje GP objekata. Premda Windows Server 2003 ima mnogo novih karakteristika koje omogućavaju bolje upravljanje grupnom strategijom. kada stigne odobrenje komisije za kontrolu izmena. Teškoća u vezi sa rešavanjem problema potiče od nemogućnosti da vidite kumulativne parametre načela koji zapravo deluju na korisnika. Pitanje performansi je dosta jednostavno: što više načela treba da se primeni. Jedno je da grupna načela utiču na performanse mreže i sistema. Treba da hvatate beleške. Svaki GP objekat možete obnoviti u celosti. grupa i upravljanje njima. pa bi korisnici mogli da počnu da zovu tehničku podršku. Bez nje. čak i kada nema promena. Zato bi broj načela trebalo da svedete na minimum. FAZAM 2000 omogućava pravljenje i testiranje grupne strategije u laboratorijskom domenu. Ova arhitektura je idealna i za implementaciju kontrole izmena i upravljanje izmenama grupne strategije u aktivnom imeniku. a s njim i deo operativnog sistema. S druge strane. Konačna razmišljanja o grupnim načelima Pre nego što na Vašoj mreži počnete da konfigurišete grupna načela. Razmislite o potpunom ukidanju pozadinskih osvežavanja. GP objekat se iz laboratorije može preseliti u radni domen (posle temeljnog testiranja. upotrebiti uslužni program DCGPOFIX s komandne linije. Ako se GP objekat ošteti ili uništi.Administriranje mreža Windowsa 2003 doživeli su da podrazumevana strategija domena ili upravljača domena jednostavno nestane). Konačno. jer GP objekat možete da učitate u domen iz njegove skladišne lokacije u SQL Serveru. Implementiranje upravljanja izmenama Najkorisnija karakteristika alatke FAZAM 2000 jeste njena mogućnost pravljenja i testiranja GP objekata te snimanja definicija pravila u bazu podataka. morate da vidite vrednosti načela o kojima je reč. respektivno. Sledeća stvar koja bi mogla da zakoči mašinu. V Upravljanje korisničkim nalozima Srce administratorskog posla jeste kreiranje korisnika. Drugi način da ubrzate GPO procesiranje je da izbegavate dodelu GPO iz različitih domena. da bi izbegli načela. U mnogim 95 . FAZAM 2000 omogućava da napravite objekat i da ga snimite u lokalnu ili stonu verziju SQL Servera ili u najjači SQL Server 2000 za produkciju. je učestanost pozadinskog osvežavanja. Ako su pozadinska načela onemogućena. da bi pitali "šta nije u redu sa mrežom?". korisnička i računarska načela se ponovo primenjuju samo pri logovanju i pri podizanju.

Nalog administratora ima snagu i mogućnosti koje daleko prevazilaze obične korisnike. dodelilo članstvo u grupi.MSC) ili Group Policy (GPEDIT. Ukoliko je za nalog potrebno zadati načela. radi tolerancije greške i uravnoteženja opterećenja. Baza se ne može otvoriti u Access-u. Ova načela biće lokalna i nalaziće se u Registry bazi lokalnog računara.DIT i softver koji je pokreće se obično zovu servis direktorijuma. ali može se zadati putanja u DCPROMO rutini kao što je gore već pomenuto. Kako je reč o Microsoft Managment Console (MMC) aplikaciji. login script.DIT i podrazumevano se nalazi u direktorijumu „%systemroot%\NTDS“. ili nekoj radnoj stanici se čuvaju u Security Accounts Manager (SAM) bazi podataka. glavni administratorski alat za rad sa korisničkim nalozima. ili više njih. na usamljenom serveru. kojoj je osnova Lightweight Directory Acess Protocol (LDAP). istakne se nalog. izabrati Connect to Another Computer. objavljenim aplikacijama i načelima bezbednosti. Podrazumeva se da je Guest onemogućen iz razloga predostrožnosti. Na primer. U tom slučaju. Za Guest nalog se ne trazi lozinka.2 i kliknuti na Create. kao što su zaključavanje ili praćenje upotrebiće se Local Security Policy alat (SECPOL. To je. Ovaj nalog se.Administriranje mreža slučajevima. modifikovana Access baza podataka. kao što je prikazano na slici 5. Kako bi se promenila svojstva naloga. za jedan domen. ili Aktivni direktorijum. specificiran u RFC 1777[9]. omogućavanjem neproverenog pristupa. ili da mrežni primarni operativni sistem nije Windows 2000/2003.MSC). fajl se zove NTDS. poželjno je napraviti domen kako bi se iskoristile pogodnosti Aktivnog direktorijuma. klikne se desnim tasterom i izabere se Set Password. u stvari. Kako bi se korisniku dodelila lozinka. tako da se može koristiti za kreaciju lokalnih korisnika i grupa i upravljanje njima na udaljenim serverima u domenu ili na usamljenim udaljenim serverima. primarno koristi za bušenje velike rupe u bezbednosti sistema. 5. jedini ugraĐeni nalozi su Administrator i Guest. što bi moglo da bude više nego dovoljno za razbijanje slabe lozinke. koja se obično nalazi u C:\winnt\system32\congif. resursima. ili desnim tasterom miša na Users u Local Users and Groups i izabere se New User. korisničke naloge treba kreirati pomoću alata Computer Managment (COMPMGMT. Ova struktura podataka je replicirana u celom domenu na sve kopije kontrolera domena. Ne može se obrisati i onemogućiti čak ni zaključati.MSC se otvori Local Users and Groups.MSC je alat koji može da radi i na daljinu. DNS ili Terminal Service. Ove ugrađene grupe imaju unapred definisan skup prava i dozvola. ili edituje direktno. je Active Directory Users and Computers (DSA. COMPMGMT. ostala polja su opciona. Da bi se sve ovo uradilo treba samo iz menija Action. serveru članu. moguće je da neka mala organizacija ne želi da ima domen.MSC).1. ili da bi se korisniku dodelila dial-in dozvola. potrebno je samo ih učiniti članovima odgovarajuće grupe. Kako bi se korisnicima dodelila ta prava i dozvole. Guests. 96 . ni posle milion propalih logovanja. što znači da postoje i validni su samo na tom računaru. ukoliko računar na kome se radi nije kontroler domena i ne koristi se Aktivni direktorijum. Power Users. Ipak. lozinku i potvrdu lozinke. niti da se gleda na neki drugi način. Replicator i Users. U njoj su informacije o serverima i radnim stanicama. ali sa druge strane ovaj nalog je siromašan po pitanju snage i mogućnosti. može postojati potreba za postavljanjem Win2003 servera specijalne namene bez svih AD stvari.1 Active Directory Users and Computers za kreiranje naloga u domenu U Windows-u 2003. organizacionim jedinicama i načelima. bezbednosnim grupama. Za Aktivni direktorijum. Ovde se može primetiti da na usamljenom serveru. Lokalni korisnički nalozi na usamljenom serveru. Ipak. ovaj alat se može pokrenuti na svakom Windows 2000/2003 računaru. U COMPMGMT. Backup Operators. potrebno je kliknuti desnim tasterom korisnički nalog i izabrati Properties. Korisnici kreirani pomoću ovog alata su lokalni nalozi. Dodatne ugrađene grupe su kreirane u sistemu kontrolera domena. NTDS. kao DHCP. ali se nad njom mogu vršiti upiti i može se menjati pomoću Active Directory Service Interface (ADSI). posebno ukoliko su radne stanice bazirane na nekom od Windows Server operativnom sistemu. otvori se fascikla Users u Local Users and Groups i iz menija Action izabere se New User. Za otvaranje novog korisničkog naloga na sistemu koji nije kontroler domena. Standardne lokalne grupe koje su ugrađene u usamljeni server su Administrators. ako je mreža zasnovana na Unix ili Linux sistemu.MSC). na kojem nisu instalirani potrebni mrežni servisi. ili u AD kontekstu. kao što je prikazano na slici 5. Potrebno je popuniti polja za korisničko ime.

Administriranje mreža
Korisničkim nalozima, kada se prvi put kreiraju, automatski se dodeljuje identifikator bezbednosti
(security identificator – SID). SID je jedinstven broj koji identifikuje nalog. SID-ovi
se koriste od kada je počeo NT, jer sistem i ne zna korisnika po imenu, već po SID-u. Korisnički ID su tu
samo radi lakšeg interfejsa. SID-ovi se nikada ne koriste ponovo, kada se nalog obriše i njegov SID se
briše sa njim. SID-ovi izgledaju ovako:
$-1-5-21-D1-D2-D3-RID
$-1-5 je standardni prefiks, 1 je broj verzije koji se nije menjao od NT-a 3.1, a 5 znači da je NT dodelio
SID; 21 je, takođe, NT prefiks; D1, D2, D3 su 32-bitni brojevi koji su karakteristični za domen, jednom
kada se kreira domen, postave se D1 do D3 i svi SID-ovi u tom domenu nadalje imaju te iste tri vrednosti.
RID označava relativan identifikator. RID je jedinstven deo svakog dodeljenog SID-a. Svaki novi nalog
uvek ima jedinstven RID broj, čak, iako su korisničko ime i druge informacije isti kao za stari nalog. Na
ovaj način, novi nalog ne može imati prava i dozvole starog, čime je bezbednost očuvana.

5.2 Funkcije vezane za korisnike i grupe u DSA:MSC
Active Directory Users and Computers mrežnom administratoru obezbeđuje sredstva za izvršavanje
sledećih zadataka:
1 Kreiranje, menjanje i brisanje korisničkih naloga
2 Dodeljivanje Log On scriptova korisničkim nalozima
3 Upravljanje grupama i članstvima u grupama
4 Kreiranje i upravljanje grupnim načelima
Otvara se DSA.MSC tako što se pokreće iz Start menija, ili se izabere StartPrograms Administrative
ToolsActive Directory users and Computers.
Podrazumeva se da će DSA.MSC potražiti Operation Masters kontroler domena (DC) i poslati sve
promene i napraviti zahteve direktno tom računaru. Mora se imati u vidu da kontroler domena koji
ispunjava uslove koji su zadati, ne može proveriti ID broj novog naloga dok ne kontaktira Operation
Master. Poruka o ovome se može videti ako se kreira korisnički ID, dok je Operation Master nedostupan.
U DSA.MSC će se videti ime kontaktiranog kontrolera domena, na vrhu drveta konzole,a ime kreiranog
domena odmah ispod korena konzole, kao što se vidi na slici 5.3.

U levom oknu se vidi skup kontejnera i organizacionih jedinica koje su automatski kreirane sa domenom:
Builtin, Computers, Domain Controllers, ForeighnSecurityPrincipals i Users. Kao i kod svih aplikacija sa
konzolom klikne se na objekat u drvetu konzole (levo), da bi se njegov sadržaj i informacije videli u
detaljnom oknu (desno).
Kontejneri Users i Computers su podrazumevana mesta u koja se stavljaju korisnički, grupni i računarski
nalozi, što ne znači da se novi korisnici moraju tu smeštati jer po potrebi se mogu premeštati u nove
organizacione celine. Novi korisnički nalog se može stavitti u bilo koju organizacionu jedinicu, čak i
direktno u „domen“ kontejner.
Builtin je kontejner za one specijalne, ugraĐene, lokalne grupe, kao što su Administrators, Account
Operators, Guests i Users, koje postoje na svakom Windows Server računaru, uključujući i kontrolere
domena.
Domain Controllers je podrazumevana organizaciona jedinica za nove Windows 2003 kontrolere
domena. Ovde se nalozi nalaze kada se kreira AD. Kao i nalozi iz kontejnera Computers i AD nalozi se
mogu premeštati u druge organizacione jedinice.
ForeighnSecurityPrincipals je podrazumevani kontejner za objekte iz pouzdanih spoljnih domena
(trusted).
Da bi se napravilo nešto novo, selektuje se objekat u kojem se želi nalaziti to novo, i zatim se odabere
New, iz menija Action, ili desnim tasterom se izabere New iz Properties kontekstualnog menija. Kao što
se vidi na slici 5.4, može se kreirati deljena fascikla, korisnički nalog, štampač, organizaciona jedinica,
grupni nalog, kontakt ili računarski nalog. Svaki od ovih izbora pokreće odgovarajućeg čarobnjaka, kojim
97

Administriranje mreža
se pravi objekat. U svakom slučaju, da bi se popunili svi detalji, posle kreiranja objekta treba se vratiti i
editovati svojstva tog objekta (desnim tasterom na objekat i Properties).
Desni klik na objekat otvara kontekstualni meni. Prikazane mogućnosti se menjaju u zavisnosti od
objekta na koji je kliknuto desnim tasterom. Ukoliko se klikne desnim tasterom na korisnički nalog, može
se primetiti da postoje opcije za onemogućavanje naloga, resetovanje lozinke, ili pak desni klik na
računarski nalog daje opcije kao što su Move i Manage (Manage otvara COMPMGMT.MSC koji je
povezan sa selektovanim računarom).

5.3 Ugrađeni nalozi: Administrator i Guest
Kao što je već pomenuto kada je napravljen novi domen, kreirana su i dva naloga, Administrator i Guest.
Nalog Administrator je nalog koji ima potpunu vlast nad računarom, ili domenom u zavisnosti od
konteksta. Nalog Administrator se ne može obrisati, ali mu se može promeniti ime.
Nalogu Administrator je dodeljena lozinka kada je instaliran Windows 2003, a zatim i ponovo kada je,
radi kreiranja domena pokrenut DCPROMO.EXE. Prvo su lokalni Administratorski nalog i njegova
lozinka, a onda pri kreiranju domena, su novi Administratorski nalog i lozinka zamenili postojeći. Ovu
lozinku treba čuvati jer ne postoji način da se povrati.
Drugi nalog je Guest (gost). Guest znači da svako ko nema nalog na domenu može pristupiti.
Podrazumeva se da je ovaj nalog onemogućen i tako bi trebalo i da ostane. Kod Unix operativnog sistema
se može prijaviti sa korisničkim imenom Guest i praznom lozinkom, s tim što je nalog dosta ograničen po
pitanju stvari koje može da uradi.
Pretpostavimo da neko pokušava da pristupi deljenom štampaču na serveru, ili domenu na kojem je
omogućen Guest nalog. Student se na svoju lokalnu mašinu loguje kao student sa lozinkom studenti. Čak
i bez naloga na serveru, ili u domenu, on može da radi na svom lokalnom računaru. Windows 95/98
računare ne zanima ko se loguje i oni uopšte nemaju korisničke naloge. Na nekoj NT radnoj stanici on bi
morao da se loguje na lokalnom računaru. Nijedan od serverskih operativnih sistema ne zahteva od
korisnika da se loguje sa servera, ili domena da bi dobio pristup lokalnoj radnoj stanici. Pretpostavimo da
ovaj server, ili domen nema nalog student. On radi na računaru i pokušava da pristupi resursima iz
domena i naravno pristupa.
Iako eksplicitno logovanje na domen zahteva da se upotrebi korisničko ime Guest, eksplicitno korisnik
ne mora da se loguje na domen, kako bi koristio privilegije gosta. Upravo iz ovog razloga treba biti
veoma pažljiv kada se omogućuje Guest nalog.

5.4 Kreiranje novog korisničkog naloga
Da bi se kreirao korisnički nalog, u DSA.MSC selektuje se kontejner Users (ili neki drugi
kontejner/organizaciona jedinica, gde se želi smestiti nalog), zatim se iz menija Action (slika 5.4) izabere
NewUser. Pojavljuje se čarobnjak, sa okvirom za dijalog praikazanim na slici 5.5. Popunjavaju se polja
First Name (ime), Last Name (prezime) i Full Name (puno ime). Potom se unosi korisničko logon ime
(npr. student) i izabere se Universal Principal Name (UPN) sufiks, koji će se dodavati korisničkom imenu
u trenutku logovanja. UPN sufiks je obično DNS ime domena i ne može se izabrati ništa osim
podrazumevanog imena domena (VTS u ovom slučaju). UPN imena su pravljena prema e-mail imenima,
znači sa @ simbolom. UPN sufiks je pointer na domen koji sadrži korisnički nalog, tako da je važan kada
se korisnik loguje u okruženju sa više domena.

Korisničko ime u Windows 2000/2003 sistemima mora poštovati sledeća pravila:
1 Ime mora biti jedinstveno na računaru, za lokalne naloge (ili jedinstveno u domenu). MeĐutim,
ime korisničkog naloga u domenu može biti isto kao i ime lokalnog naloga na računaru koji je
član domena, a nije kontroler, što je činjenica koja unosi veliku konfuziju, jer je reč o potpuno
različitim entitetima.
98

Administriranje mreža
2 Korisničko ime ne može biti isto kao ime grupe na lokalnom računaru, za lokalni nalog (ni isto
kao ime grupe u domenu).
3 Korisničko ime može biti do 20 karaktera, malim, ili velikim slovima, ili u kombinaciji.
1 Da bi se izbegla konfuzija sa specijalnim karakterima sintakse, korisničko ime ne sme sadržati :
„\/[]:;|=,+*?<>
1 Ime može sadržati razmake i tačke, ali se ne može u potpunosti sastojati od tačaka i razmaka.
Treba izbegavati razmake jer se u tom slučaju ta imena moraju stavljati meĐu znake navoda u
slučaju pisanja skriptova, ili izdavanja komandi sa komandne linije.
Kada se popune sva polja o korisničkom imenu izabere se Next. U narednom ekranu prikazanom na slici
5.6, zadaje se lozinka za korisnički nalog i potvrĐuje se. Nijedna od opcija naloga nije potvrĐena
unapred, pa nije loše izabrati User must change password on Next logon (korisnik mora promeniti lozinku
prilikom sledećeg logovanja). Opcije lozinke i naloga sumirane su u tabeli 5.1.

Tabela 5.1: Opcije lozinke i naloga pri kreiranju novog korisničkog naloga
Opcija
User must change password
on next logon (korisnik mora
promeniti lozinku prilikom
sledećeg logovanja)
User cannot change password
( korisnik ne može da menja
lozinku)
Password never expires
(lozinci nikad ne ističe rok
trajanja)

Opis
Primorava korisnika da promeni lozinku sledeći put kada se prijavi.

Account is disabled (nalog je
onemogućen)

Ako je potvrĐeno, nalog je onemogućen i niko ne može da se loguje na
njega, dok se ne omogući (nalog nije uklonjen iz baze podataka). Ovo je
korisno za naloge koji se koriste kao šabloni i za nove korisničke naloge
koji se mogu kreirati mnogo unapred, kao na primer novi zaposleni koje
neće početi da rade još neko vreme.

Ako je potvrĐeno, sprečava korisnika da promeni lozinku za nalog.
Ako je potvrĐeno, korisnički nalog ignoriše politiku isticanja roka
lozinke. Ovo je korisno za naloge koji pokreću servise i naloge za koje
želite stalnu lozinku (na primer Guest).

Poslednji ekran ovog Create New Object čarobnjaka, prikazan na slici 5.7, jednostavno potvrĐuje sve
informacije koje su date, uključujući kontejner/organizacionu jedinicu gde će se nalog
nalaziti, puno ime, logon ime i lozinku, ili izabrane opcije naloga. Klikne se na Finish i korisnički nalog
je kreiran.

5.4.1 Svojstva korisničkih naloga
Da bi videli svojstva kreiranog naloga, desnim tasterom se klikne na objekat korisničkog naloga i vidi se
nekoliko opcija u kontekstualnom meniju, prikazanom na slici 5.8. Odavde se brzo može kopirati nalog,
99

U Organizacionoj kartici mogu se uneti informacije o nazivu nečijeg posla i poziciji u hijerarhiji organizacije. Izabere se opcija resetovanja lozinke. da bi se ovo moglo nametnuti.14. čak i adresa web stranice. mora se koristiti NetBIOS na mreži.4. ali može se izabrati dugme Logon Hours. 5. Podrazumeva se da korisnik neće biti otkačen iz sistema kada mu isteknu sati dozvoljeni za rad.13). Sve verzije Kerberos protokola ne koriste ovu opciju. Ako se ponovo baci pogled na karticu Accounts (slika 5. Iz kontekstualnog naloga se izabere Properties. ide se na karticu Account (slika 5. ali je Windows koristi.9. zatvori se lista sa svojstvima naloga. e-mail adresa. Opcija Store Password Reversible Encryption (sačuvaj reverzibilno šifrovanje lozinke) se koristi za Windows 95/98 klijente. Kartica Telephones nudi mesta za brojeve za kućni. Podrazumeva se da korisnici mogu da se loguju svakog dana u nedelji. MPEE Strong (128-bit) itd. Windows ime je dule@vts. Zanimljivo je da se korisnikova lozinka ne može resetovati na kartici Accounts. što se može primetiti na slici 5. upisati ime odseka u školi. prikazuje polje za korisnikovu poštansku adresu. otvoriti korisnikovu home stranicu ili mu poslati mail. kako bi se zadali odreĐeni sati i dani kada je dozvoljeno logovanje (slika 5.11).5. mobilni. 5. ali postoji parametar kojim se i ovo može postići. Tu je i zgodno polje za potvrdu koje korisnika primorava da lozinku promeni pri sledećem logovanju. Smart card opcija se koristi ukoliko se izabere infrastruktura javnog ključa. U verzijama pre-2000 operativnih 100 . studijske grupe itd. dodati brojevi telefona. premestiti nalog u drugi kontejner. Ove četiri pomenute kartice se ne mogu smatrati svojstvima naloga već su tu čisto informativnog karaktera. Podrazumeva se da nalog nikada ne zastareva. može se dodati opis korisničkog naloga. prikazanoj na slici 5. podrazumevani interval je šest nedelja.MSC klikne se desnim tasterom na korisničko ime. onemogućiti ili omogućiti nalog. da bi se otvorile sve informacije o korisničkom nalogu. Kako bi se lozinka resetovala. Ukoliko se želi da se nalog zaključa ručno potrebno je samo kliknuti na znak potvrde. tokom celog dana (24/7). polje će biti potvrĐeno i dostupno.ni.2 Parametri naloga Ukoliko je potrebno promeniti korisnikovo logon ime. ali ako je ova opcija omogućena. pod Computer Configuration\Windows Settings\ Security Settings\ Local Polices\Security Options. ili organizacionu jedinicu. Na kartici General. Podrazumeva se da korisnici svake radne stanice mogu da se loguju na domen. Opcija User must change Password at Next Logon je sama po sebi jasna. U ovom meniju se može izabrati brisanje naloga i promena imena. sa slike 5. Ipak. ili UPN sufiks. PotvrĐena opcija Do not require Kerberos Preauthentification[11] (ne zahteva Kerberos pre-autentifikaciju) znači da će nalog koristiti neku od implementacija Kerberos protokola. može se primetiti polje za potvrdu Accounts is locked Out (nalog je zaključan). Parametar se zove Automatically Log Off Users When Logon Hour Expire (automatski izloguj korisnika kada isteknu logon sati) i nalazi se u Group Policy Object Editor-u. U dnu kartice Accounts vidi se parmetar za rok trajanja naloga.4.edu. kao i mesto za unošenje komentara. dok je pre-Windows 2003 ime VTS\dule.3 UPN u imenu Gore je rečeno da postoje dva tipa korisnikovog logon imena. umesto onog koji stiže uz sam Windows.11). opcije naloga i slično. DES podržava više nivoa šifriranja.10. uključujući MPEE Standard (40-bit).yu . Ako je zaključavanje naloga posledica loših pokušaja logovanja (što se može konfigurisati raznim Policy alatima). Kartica Address. a onda se može uneti i potvrditi nova lozinka kao što se vidi na slici 5. resetovati korisničku lozinku. faks i IP telefon i pejdžer. MPEE Standard (56-bit). Na ovom mestu može se odrediti i vreme kada je logovanje dozvoljeno. PotvrĐena opcija Use DES encription types for this Account (koristi DES tipove šifriranja za ovaj nalog) znači da je potreban DES (Data Encryption Standard) [13]. ali logon radne stanice se mogu zadati NetBIOS imenom (slika 5.Administriranje mreža upravljati članstvom u grupi.11). i u okviru sa detaljima DSA.

Treba odabrati opciju Connect i odrediti mrežnju putanju. UPN imena omogućavaju lako pronalaženje naloga. ili deljeni obavezujući profil ako je više korisnika vezano za njega. Za ime fascikle se mogu koristiti i promenljive. logon skripta i osnovna (home) fascikla. Korisnička imena su. Student se može logovati kao student@vts.com kao alternativni UPN sufiks za vts. Tek tada se može promeniti UPN sufiks od podrazumevanog na neki od alternativnih. Korisnik Student ima nalog sa korisničkim imenom student i on se nalazi na domenu vts. MeĐutim. Kada se za korisnika specificira putanja osnovne fascikle. poštujući UNC konverziju \\imeračunara\imeservera\imedirektorijuma.yu. je mesto gde se zadaje putanja korisničkog profila. u Windows-u 2003. onda je to obavezujući profil (mandatory profile). Iako aplikacije mogu imati svoje podrazumevane fascikle za pamćenje i otvaranje fajlova. Osnovna fascikla (Home folder). Podrazumevano UPN ime je student@vts. pa se korisnik može prijaviti sa bilo kog sistema i videti istu radnu površinu. na komandnoj liniji će osnovna fascikla biti i podrazumevana radna fascikla za korisnika. kako bi se naznačilo da je ime osnovne fascikle isto kao i korisnički ID. Parametri korisnikovog radnog okruženja.edu. Logon ili login skript je onaj koji se izvršava u toku logovanja da bi se konfigurisalo korisnikovo okruženje i dodelili mrežni resursi. ali se može menjati).ni. osoba može menjati poslove unutar organizacije i njen korisnički nalog se može seliti iz jednog domena u drugi.yu. poznata i kao osnovni direktorijum (home directory). TakoĐe. niti recimo da zbunjuje korisnike. To se zove lutajući profil (roaming profile). MeĐutim. „%korisničkoime%“.edu. Grupna načela Windows-a omogućavaju da se konfiguriše preusmeravanje fascikle i drugih parametara radne površine. Windows ima podrazumevanu putanju za čuvanje login skriptova (u SYSVOL koji je podrazumevano u \WINNT direktorijumu. To mora biti UPN sufiks koji je za domen odreĐen u Domains and Trust Aktivnog direktorijuma. onda je potrebno specificirati relativnu putanju. prikazana na slici 5.com i to prikazivati kao svoju e-mail adresu. koji je korisničko ime i sufiksa. Ipak mogu se odrediti alternativni UPN sufiksi za domen. za Windows pre-2000 klijente. Tako. Windows će automatski kreirati osnovnu fasciklu za korisnika. koje se sastoji od prefiksa. Ukoliko organizacija ne želi da celom svetu objavi imena svojih domena. 5. tj.15. je fascikla koja je dodeljenja korisniku za privatnu upotrebu. ako deoba na mreži već postoji i ako postoje prava za pisanjem u njoj. a njegovu lokaciju čine transparentnim za korisnika. Ovo je zgodno ako treba korisnika (ili grupu) primorati da zadržava iste parametre sve vreme. U tu svrhu se može specificirati deljena mrežna lokacija. zasnovana na Internet standardu (RFC 822)[9]. Ako je korisnik prisiljen da učita profil i ne može se logovati bez njega. Svaki korisnički nalog ima univerzalno glavno ime (Universal Principal Name). Ove opcije su većinom za klijente niskog nivoa (downlevel clients). od sadržaja Start Menu-ja do šeme boja i orijentacije miša. Moguće je specificirati lokalnu putanju za korisnikovu osnovnu fasciklu. Može mu se zadati ime domena po želji. Ovo 101 . uveliko eliminišući potrebu za postojanjem lutajućih i obavezujućih profila pre-Windows sistema.Administriranje mreža sistema.ni. Alternativni UPN sufiks ne mora biti ime pravog domena. a nije neophodno svaki put menjati e-mail adresu.4. može odrediti vts. kao što su mapirani drajvovi i štampači. Prefiks i sufiks su spojeni znakom @. što u prevodu znači da Windows korisnička imena poštuju uobičajenu e-mail konvenciju imenovanja. Kao primer se može uzeti organizacija VTS koja ima četiri domena. koji je ime domena. Ovi parametri se mogu zadati i uz Group Policy parametre. ukoliko se dogodi da se login skripta nalazi u poddirektorijumu direktorijuma SYSVOL. ako je nalog korisnika bio u domenu (činjenica koje većina korisnika nije bila svesna). takoĐe. UPN sufiks govori gde pri logovanju treba tražiti korisnički nalog i podrazumeva se da je to ime DNS domena.ni. ne može se menjati proizvoljno UPN ime u zapisu korisničkog naloga. korisnička imena su se povinovala konvenciji IMERAČUNARA\korisničkoime. Standard for the Format of ARPA Internet Text Message (Standard za format ARPA Internet tekstualne poruke). ili IMEDOMENA\korisničkoime.4 Informacije o profilu Kartica Profile. se mogu čuvati na mreži. Zbog ovoga jedino što se treba odrediti jeste ime script-a.edu.yu.

Informacije o profilu (osnovni direktorijum.4. tako i dozvola za pristup resursima kao što su štampači i mrežne fascikle. 5. Kao što se vidi na slici 5. Zatim dok su ti nalozi selektovani . kopiraju. 5. a ako je korišćena promenljiva „%korisničkoime%“ za zadavanje korisničke osnovne fascikle šablona. da se onemoguće ili da se omoguće nalozi. Postoji mogućnost podešavanja posebne particije za korisnikove direktorijume i time se ograničava problem na tu particiju. Windows dolazi sa jednostavnim sistemom za upravljanje kvotama. na kartici Memeber Of. U DSA.5 Upravljanje nalozima Do sada je bilo reči o tome kako promeniti jedan nalog.5 Članstvo u grupama Kako bi se korisniku odredilo članstvo u grupi. takoĐe. Dodeljivanje korisnika grupama olakšava davanje kako prava za izvršavanje zadataka. upotrebljava se dugme Remove. ili se drži taster Ctrl dok se klikće levim tasterom miša. TakoĐe. tako što se drži taster Shift i strelica nadole. sa ugraĐenim pravilima. kako bi se davao pristup resursima i konfigurisala prava.MSC više naloga se selektuju u okviru sa detaljima. ona će se automatski kreirati za nove korisnike. Moguće je napraviti i šablon za nalog i kopirati ga kako bi se kreirali korisnici sa sličnim parametrima. ili u organizacionoj jedinici. Grupe se mogu kreirati i korenu domena. Kako bi se korisnik dodao drugoj grupi. zatim se 102 . kada se nalog kopira. članstvo u grupi. Povrh svega. (slika 5. Za uklanjanje korisnika iz grupe. može biti data mogućnost da administriraju druge grupe. kao i korisnike drugih grupa. kako bi se imala kontrola. da se dodaju grupi. otvori se kartica Member Of. rok isteka naloga (ukoliko je zadat) i UPN sufiks. ukoliko će se ime nižeg nivoa razlikovati treba uneti i njega. a zatim se ukuca ime grupe u koju treba premestiti korisnika. jednostavno treba ih omogućiti za odreĐeni disk.17). a sada će biti reči o tome kako promeniti nekoliko naloga istovremeno. ili objekte.5. je moguće svima poslati mail. pod pretpostavkom da za te naloge postoje specificirane e-mail adrese.Administriranje mreža administratorima štedi mnogo vremena. Kao što se vidi na slici 5. Treba iskoristiti opciju Check Names za potvrdu da li su imena važeća. Mogu se koristiti i kao e-mail distribucione liste. Dok je kontejner istaknut. podrazmeva se da je novi korisnik član grupe Domain Users. putanja korisničkog profila i logon script) se. Zbog toga je važno da se razumeju različiti tipovi grupa koji postoje u Windows-u 2003 i kako raditi sa njima. grupe mogu da sadrže računare i kontakte. govori o putanji do kontejnera ili OU grupe. Svojstva koja se kopiraju uključuju parametre naloga (kao što je Password Never Expires). desnim tasterom se klikne kako bi se video kontekstualni meni. mogu se izabrati svi i premestiti u drugi kontejner ili OU. a zatim Group (slika 5.18. Članovima grupa koje je korisnik sam kreirao. podesiti pragove za upozorenje i slično. doĐe se do kontejnera u koji se želi smestiti grupa. 5. čak i cele organizacione jedinice.19).16. u ugraĐenom kontejneru. izabere se Add.1 Kreiranje grupa Da bi se napravila nova grupa u Users and Computers Aktivnog direktorijuma. kao što su Users. Sve ovo iziskuje mnogo prostora na disku. Active Directory Folder (fascikla Aktivnog direktorijuma). Desna kolona. Izabere se OK. pa da se zatim pokreću skriptovi za čišćenje diska. Ime grupe neka bude Studenti. u meniju Action izabere se New. U ovim nastojanjima mogu pomoći nekoliko ugraĐenih grupa.

Ovo će izbaciti program za 103 . Izabere se OK. To su grupe sa adresama primalaca. nezvanične distribucione liste. 5. Globalne. kako bi se otvorio njen list sa svojstvima.2 Tipovi grupa Kada se u Windows-u pravi grupa. druge grupe. Da bi se grupa naselila.22. unese se opis i e-mail adresa. Ako je u jednu grupu potrebno istovremeno dodati nekoliko selektovanih korisnika. dajući prava i dozvole za objekat. na primer. Univerzalne grupe mogu da vrše funkciju globalnih. Sigurnosne grupe u Aktivnom direktorijumu su. ili lokalnih. nego svakog od šefa selektovati posebno iz liste. šefovi odseka škole. to olakšava delegaciju. Lokalne grupe su vrsta kakva se nalazi na usamljenom serveru. one postoje i validne su samo na toj radnoj stanici ili serveru koji nije kontroler domena. kako bi se kreirala grupa u selektovanom kontejneru. Na kartici General prikazanoj na slici 5. a tip Security. ako postoji distribuciona lista za grupu. Domain local group (Lokalna grupa domena) je specijalno ime za lokalnu grupu koja se nalazi na kontroleru domena. ili univerzalne grupe kojima grupa Studenti pripada.21. takoĐe. postojati i na drugom. One nemaju SID i ne pojavljuju se u ACL-u. Lakše je adresirati mail na. One su mnogo korisnije od globalnih. ona se može klasifikovati kao sigurnosna ili kao distribuciona.23). Da bi se popunile neke informacije o grupama. imena grupa koja se pojavljuju u listi su sigurnosne grupe. univerzalne i lokalne grupe domena. potrebno je pronaći željenu grupu (onu koju je upravo kreirana) i dva puta kliknuti na nju. ili na WinXP radnoj stanici. To jest. kao što se vidi opcija slanja maila nalogu korisnika. ili zabranjen pristup objektu. Globalne grupe se koriste za dodeljivanje prava i dozvola izvan granica domena. zatim se klikne desnim tasterom i izabere Add Members to a Group. Verovatno će u nekom trenutku biti potrebno premeštanje grupe iz jednog kontejnera u drugi. Pretpostavlja se da su unete e-mail adrese korisnika. Ukucaju se imena korisnika razdvojena tačka-zarezima i zatim se izabere Check Names. kako bi se ta imena proverila. Lokalne grupe su lokalne za taj računar. Kontroleri domena imaju zajednički Aktivni direktorijum koji je repliciran izmeĐu njih. jer su neuporedivo fleksibilnije po pitanju ugneždavanja. Ovi korisnički grupni SID-ovi ulazi u ACL-u su upareni sa korisnikovim akreditivima kojima je dozvoljen. jer kada su grupe u organizacionim jedinicama. Potom se izabere OK. Da bi se videle ili promenile lokalne. Distribuciona grupa nije sigurnosna. Kartica Managed By je za opcione kontaktne informacije i ne mora obavezno da održava direktno prepuštanje kontrole. Windows dopusta da članovi grupe budu korisnici.20. Da bi se to uradilo. što se može videti na slici 5. kao što se može videti na slici 5.MSC i pojaviće se opcija slanja maila članovima grupe.Administriranje mreža izabere oblast rada grupe i njen tip. su smeštene u Aktivnom direktorijumu kontroleru domena. unutar domena i izmeĐu domena. Potrebno je samo kliknuti desnim tasterom ime grupe u DSA. dok se vrši selekcija više korisnika. Kao i korisničkim nalozima. na primer. Kada se edituje objektovana Access Control List-a (ACL). da bi se završilo dodavanje.5. tako da će lokalna grupa domena koja postoji na jednom računaru. selektuje se i izabere OK (slika 5. otvori se kartica Member Of. Drugi način za dodavanje članova grupi je klik desnim tasterom na korisnički nalog i izbor Add Member to a Group. ali se mogu koristiti samo kada je domen native (prirodan). kada se na njega kilkne desnim tasterom. serveru koji je član domena. Članovi grupe mogu da dolaze i iz različitih organizacionih jedinica. ide se na karticu Members i izabere se Add. što zahteva da su svi kontroleri domena na Windows-u 2000/2003. Podrazumeva se da je delokrug Global. Sigurnosne grupe su one koje se koriste za dodeljivanje prava i dozvola. globalne. klikne se desnim tasterom na ikonu grupe u oknu konzole koja sadrži detalje i izabere se Move. DoĐe se do kontejnera koji treba biti novi dom za grupu. drži se taster Ctrl. univerzalne i podgrupa distribucione. Postoje tri glavna tipa sigurnosnih grupa: lokalne. sigurnosnim grupama se dodeljuju SID-ovi. čak i računari.

Lokalne grupe su jedine kojima se mogu dodeliti prava za pristup resursima. Obične lokalne grupe su jedini tip grupe koji postoji na usamljenim serverima i Windows sistemima. čak i u drugim šumama. a ne i članova. federacije. dok se. Oni prepoznaju samo svoje lokalne grupe i korisnike. Globalne grupe se mogu koristiti u svakom ACL-u u šumi. One mogu da sadrže članove iz bilo kog od domena šume i mogu se koristiti na objektovom ACL-u unutar šume. kada se računar priključi domenu usamljeni narod postaje član neke veće uprave. potrebno je znati gde članstvo u toj grupi nešto znači ili gde se prihvata. 104 . više ne bi bila „lokalna“. usamljenim ili serverima-članovima. Ovi računari su svesni svog kućnog domena i svih ostalih domena u šumi Aktivnog direktorijuma. Ipak. već samo korisnički nalozi i globalne grupe iz istog domena. Globalne grupe mogu da sadrže samo članove iz istog domena. O globalnim grupama treba misliti kao o kontejnerima za korisnike i grupe kojima treba da ih drugi računari i domeni prihvate. Na globalne grupe i „federalne“ (domen) naloge se sada. Mogu da sadrže korisnike iz sopstvenog ili domena od poverenja (trusted domain) i univerzalne. To znači da bi u ovom slučaju mogle da se koriste isključivo univerzalne grupe. ali članovi ne. Kad ima više domena.Administriranje mreža rukovanje poštom i sistem će pokušati da poštu pošalje na e-mail adresu dobijenu iz informacija naloga. Univerzalne grupe se mogu kreirati na svakom kontroleru domena. globalni katalog sadrži replike informacija o svakom domenu iz šume. 5. Kad bi lokalna grupa domena bila validna u drugom domenu. lokalne grupe domena se ne repliciraju u globalni katalog. Informacije o globalnim grupama se repliciraju izmeĐu bratskih kontrolera domena. U slučaju jednog domena verovatno će sve globalne grupe biti zamenjene univerzalnim. Pošto grupe treba ugneždavati radi olakšanja davanja prava i dozvola. Lokalne grupe domena. Ako u celoj organizaciji postoji samo jedan domen serveri globalnog kataloga ne moraju da kopiraju informacije iz drugih domena čime se neizmerno smanjuje opterećenje pri replikaciji. koji nisu članovi domena su kao usamljeni narod koji ne znaju za ostatak sveta.5. globalne i univerzalne Glavna pitanja u vezi lokalnih. Pretpostavlja se da postoji grupa ljudi koja radi u administrativnom sektoru škole i svi oni su smešteni u sigurnosnu grupu Administracija. pa će veličina i vreme potrebno za replikaciju eksponencijalno rasti ako univerzalna grupa sadrži veliki broj objekata. Drugi domeni imaju sopstvene lokalne grupe domena. globalni katalog će se prepuniti i došlo bi do problema sa replikacijom. postoje u različitom kontekstu od lokalnih grupa na radnim stanicama. a članstvo je ograničeno na lokalne korisnike. ali globalni katalog sadrži samo imena grupa. Ako se koriste samo univerzalne grupe. Pošto se koriste za dodeljivanje prava i dozvola. jer se koriste samo u ACLovima istog domena. Zbog toga bi članstvo u univerzalnoj grupi trebalo da bude dosta statično. ni univerzalna grupa. Zbog toga lokalne grupe domena mogu da sadrže članove iz bilo kojeg od domena iz šume. koji nisu lokalni. ali je njegovo prihvatanje široko. Usamljeni server ili radna stanica. ako se ustanove stari odnosi poverenja. globalnih i univerzalnih grupa su gde se prepoznaju i šta mogu da sadrže. treba znati pravila i preporuke koje važe za ugneždavanje. Iako su lokalne grupe domena fleksibilnije po pitanju članstva. mogu upućivati u listama dozvola za objekat (ACL). Članstvo u globalnoj grupi je suprotno od članstva u lokalnoj grupi domena. njihova imena pojavljuju u globalnom katalogu. Univerzalne grupe se mogu koristiti samo u Native režimu. „Server-član“ ili „radna stanica-član“ zadržavaju svoje lokalne korisnike i grupe.3 Oblast rada grupa: lokalne. Ne samo da se toj grupi mogu dodeliti prava na resurse nego se mogu i poslati mailovi članovima grupe pod pretpostavkom da je za svakog korisnika popunjena e-mail informacija. Imena univerzalnih grupa i njihovo članstvo se repliciraju na druge servere globalnih kataloga (po jedan za svako mesto). a univerzalno je prihvaćeno u šumi. Članstvo u lokalnim grupama domena trebalo bi da je relativno malo i da koristi ugneždavanje. U globalnu grupu se ne može smestiti ni lokalna. one su validne samo u svom kućnom domenu. iako se informacije o članstvu repliciraju izmeĐu kontrolera domena u istom domenu. ali će sada u članstvo svojih lokalnih grupa primati i članove iz „federacije“. u slučaju globalnih grupa. koje žive u Aktivnom direktorijumu kontroleru domena. članstvo u globalnoj grupi je ograničeno. Članstvo u univerzalnoj grupi je neograničeno fleksibilno. Osim toga. Poželjno je izbegavati direktno dodavanje korisnika a druge grupe treba samo ugnezditi.

2 Globalne grupe se koriste za skupljanje korisnika i drugih globalnih grupa iz istog domena. Lokalne grupe (počev od Windows 2000 do 2003 servera i radnih stanica) mogu da sadrže: 1 Grupe lokalnih domena. iako toj grupi ne dodeljuje široka administratorska prava. Ako se izvuče Administrator izvan Administrators grupe. Neki dobri primeri ugneždavanja se mogu precrtati iz šema ugneždavanja koje se automatski postavljaju u domenu.5. čak i šume.edu. univerzalne iz kućnog domena 2 Globalne i univerzalne iz Windows pouzdanih domena Lokalne grupe domena (na kontroleru domena) mogu da sadrže: 1 Korisničke naloge iz bilo kog domena šume 2 Univerzalne i globalne iz bilo kog domena šume 3 Lokalne. ili Enterprise Admins grupe lokalni administrator za svaki računar.Administriranje mreža Globalne i univerzalne grupe mogu da spajaju domene. Ukupan efekat ovog ugneždavanja je da je član Domain Admins. Ove globalne grupe treba stavljati u lokalalne.ni. 4 Iako je moguće. Ali to nije preporuka. nije preporučljivo ugneždavati grupe zbog značajnog pada performansi. ili Enterprise Admins u lokalnoj Administratorskoj grupi može se zameniti njihovim 105 . koje imaju željene privilegije i prava pristupa. Kada se jednom ugnezde grupe sa mnogo članova (kao što su lokalne i univerzalne) i lokalnim grupama se dodele prava pri instalaciji resursa. Kada Windows postane kontroler domena. nalog više neće imati specijalne moći ni mogućnosti. Administrator nalog na Windows računaru svoju snagu crpe iz članstva u lokalnoj Administratorskoj grupi. Slika 5. Članstvo grupe Domain Admins. Druge grupe treba stavljati u lokalne i tako zadržati malo članstvo. Jedan je ugneždavanje administratorskih grupa.4 Rad sa sigurnosnim grupama Veoma je važno unapred razmisliti o strukturi grupa. ali se ovo može postići ručno stvorenim odnosima poverenja. samo iz istog domena Globalne grupe mogu da sadrže: 1 Korisnike iz istog domena 2 Druge globalne grupe iz istog domena Univerzalne grupe mogu da sadrže: 1 Korisničke naloge iz bilo kog domena šume 2 Druge univerzalne grupe 3 Globalne grupe iz bilo kog domena šume 5. onda kada svi domeni budu na Windows 2000/2003 platformi. ili Enterprise Admins ukloni iz lokalne grupe na računaru.24 prikazuje članstvo lokalne grupe domena Administrators. globalna grupa Domain Admins i univerzalna grupa Enterprise Admins se automatski postavljaju u lokalnu Administrators grupu. kao što se može pomisliti. za domen vts. Dakle osnovna pravila su: 1 Lokalne grupe se koriste za dodeljivanje lokalnih privilegija i pristup lokalnim resursima. Na kraju treba sumirati i pravila ugneždavanja na Windows platformi. 3 Univerzalne grupe se koriste onako kako odgovara Administratoru. od tog trenutka treba samo da se premešta članstvo u globalnim i univerzalnim grupama. Aktivni direktorijum automatski pravi globalnu Domain Admins grupu.yu. člana domena. kojima će biti potrebne iste privilegije. najbolje je ugnezditi lokalne grupe (suprotno korisničkim nalozima) unutar univerzalnih grupa. ali zbog replikacije. ili pristup istim resursima. Ovakvo podrazumevano ponašanje se može zaobići tako što se Domain Admins. Domeni i računari iz različitih šuma ne veruju automatski jedni drugima i zbog toga ne razmenjuju grupne informacije. Tako se štedi vreme i pojednostavljuje dodeljivanje dozvola za objekte.

Administriranje mreža
članstvom u specifičnim globalnim grupama, administratorskog tipa, kao što su F&A Admins ili CS
Admins.

Drugi primer za ugneždavanje grupa je članstvo lokalne Users grupe. Na članu domena, ili kontroleru
domena, Users automatski uključuje Domain Users. Kada se u domenu kreira novi korisnički nalog, novi
korisnik se automatski pridružuje Domain Users grupi. Efekat ovoga je da se korisničkom nalogu u
domenu automatski dodeljuju privilegije lokalnog korisnika za svaki računar, člana domena. Korisnički
nalog ide u globalnu grupu Domain Users, a globalna grupa Domain Users u lokalnu grupu Users, kojoj
su dodeljena lokalna prava i dozvole na sistemu.
Nije loše pomenuti i par ostalih ugneždavanja. Domain Guests je automatski član lokalne grupe Guests
na svim računarima, članovima domena, a Enterprise Admins (univerzalna grupa) je član lokalne
Administrators grupe.

5.5.5 UgraĐene lokalne grupe domena
Svi ugraĐeni korisnički nalozi, podrazumevano su smešteni u kontejner Users. U kontejneru Users
postoje i unapred definisane globalne grupe, ali neke od njih su smeštene u kontejner BuiltIn. Kao što se
vidi na slici 5.25, grupe koje su u BuiltIn kontejneru su označene kao Builtin Local, a one koje su u Users
kontejneru, slika 5.26, su Domain Local, Global, ili Universal.
Sada se postavlja pitanje u čemu je razlika? Lokalne grupe su specifične za računar, a globalne se mogu
prihvatiti u domenu, ili u domenu od poverenja, kao što je gore već rečeno. UgraĐene lokalne grupe, radi
administracije, imaju unapred odreĐena prava i dozvole. Članstvo u ovoj grupi korisniku daje svu moć i
mogućnosti koje su date grupi. Ovo je način da se brzo dodele dobro definisane administratorske uloge,
umesto njihovog pravljenja od početka. Na primer, Server Operators imaju skup uroĐenih prava koja im
omogućavaju da prave deljene fajlove i upravljaju servisima. Backup Operators imaju pravo da zaštitno
kopiraju fajlove i direktorijume, čak i ako nemaju dozvolu da ih čitaju, ili menjaju. Tabela 5.2 daje spisak
ugraĐenih lokalnih grupa domena i njihove specijalne sposobnosti. UgraĐene lokalne grupe su
zajedničke za sve Windows sisteme iz istog mesta (server, radna stanica, DC) i pružaju pogodne
kontejnere grupama za dodelu lokalnog
administratorskog autoriteta. Ove grupe se ne mogu obrisati. Ipak, u kontejneru se mogu kreirati drugi
korisnici i grupe, iako oni neće imati nikakva posebna prava, osim ako im se ne dodele.
Tabela 5.2: UgraĐene grupe i njihova prava
Korisnička prava
Grupa: Administrators
Lokalno logovanje
Pristup ovom računaru sa mreže
Preuzimanje vlasništva nad fajlovima
Upravljanje revizijama i bezbednosnim
logom
Promena sistemskog vremena
Obaranje sistema
Forsirano obaranje sa udaljenog sistema
Povratak (restore) fajlova i
direktorijuma
Dodavanje i uklanjanje drajvera ureĐaja
Davanje višeg prioriteta procesu
Zaštitno kopiranje (backup) fajlova i
direktorijuma
Grupa: Server Operators

Članovi mogu da
Kreiraju i upravljaju korisničkim nalozima
Kreiraju i upravljaju globalnim nalozima
Dodeljuju prava korisnicima
Upravljaju načelima revizije i bezbednosti
Zaključavaju konzole servera
Otključaju konzole
Formatiraju hard disk servera
Drže lokalne profile
Dele i prestaju da dele direktorijum
Dele i prestaju da dele štampač
Kreiraju zajedničke programske grupe

106

Administriranje mreža
Lokalno logovanje
Zaključavaju server
Promena sistema vremena
Prelaženje preko toga što je server zaključan
Obaranje sistema
Formatiranje hard diska servera
Forsirano obaranje sa udaljenog sistema Kreiraju zajedničke grupe
Zaštitno kopiranje (backup) fajlova i
Drže lokalni profil
direktorijuma
Povratak (restore) fajlova i
Dele i prestaju da dele direktorijum
direktorijuma
Dele i prestaju da dele štampač
Grupa: Account Operators
Lokalno logovanje
Kreiraju i upravljaju korisničkim nalozima, globalnim
grupama i lokalnim grupama
Obaranje sistema
Dele i prestaju da dele štampač
Grupa: Print Operators
Lokalno logovanje
Drže lokalni profil
Obaranje sistema
Dele i prestaju da dele štampač
Grupa: Backup Operators
Lokalno logovanje
Drže lokalni profil
Obaranje sistema
Zaštitno kopiranje (backup) fajlova i
direktorijuma
Povratak (restore) fajlova i
direktorijuma
Grupa: Everyone
Pristup ovom računaru sa mreže
Zaključavaju server
Grupa: Users
(Nema)
Kreiraju i upravljaju lokalnim grupama
Grupa: Guests
(Nema)
(Nema)
Grupa: Replicator
(Nema)
(Nema)
Administrators. Administratori imaju skoro sva ugraĐena prava, pa su članovi u suštini, svemogući u
vezi administracije sistema.
Backup operators. Članovi Backup Operators imaju pravo da zaštitno kopiraju i vraćaju fajlove, bez
obzira na to da li na drugi način mogu da pristupaju tim fajlovima.
Server Operators. Server Operators lokalna grupa ima sva prava potrebna za upravljanje serverima
domena. Članovi mogu da kreiraju, upravljaju i brišu deljene štampače na serverima, kreiraju, upravljaju i
brišu deljene mrežne resurse na serverima, zaštitno kopiraju i vraćaju fajlove na servere, formatiraju hard
diskove servera, zaključavaju i otključavaju servere, otključavaju fajlove i menjaju sistemsko vreme.
Osim toga, Server Operators mogu na mrežu da se loguju sa servera domena, kao i da obaraju servere.
Accounts Operators. Članovima lokalne grupe Account Operators je dozvoljeno da u domenu kreiraju
korisničke naloge i grupe i da menjaju i brišu većinu korisničkih grupa i naloga iz domena.
Član Account Operators ne može da menja ni briše sledeće grupe: Administrators, Domain Admins,
Account Operators, Backup Operators, Print Operators i Server Operators. Slično, članovi ove grupe ne
mogu menjati, ni brisati korisničke naloge administratora. Ne mogu administrirati bezbednosna načela, ali
mogu dodavati računare u domen, mogu se logovati na servere i obarati ih.
Print Operators. Članovi ove grupe mogu kreirati, upravljati i brisati štampače koje deli server. Osim
toga, mogu da se loguju na server i da obaraju server.
Power Users. Ova grupa postoji na Professional sistemima i onima koji nisu kontroleri sistema. Članovi
mogu kreirati korisničke naloge i lokalne grupe i upravljati članstvom Users, Power Users i Guests, kao i
administrirati ostale korisnike i grupe koji su kreirali.
Users. Korisnici mogu da pokreću aplikacije (ali ne i da ih instaliraju). Oni mogu i da obore i zaključaju
107

Administriranje mreža
radnu stanicu. Ako korisnik ima pravo da se na radnu stanicu loguje lokalno, onda ima pravo da kreira
lokalne grupe i upravlja grupama koje je kreirao.
Guests. Gosti mogu da se loguju i pokreću aplikacije. Mogu i da obore sistem, a u svakom drugom
pogledu imaju veća ograničenja nego Users. Na primer, ne mogu da drže lokalni profil.
Replicator. Ova grupa je strogo za replikaciju direktorijuma. Korisnički nalog se koristi za pokretanje
Replicator servisa i trebalo bi da je jedini član grupe.
U kontejneru Users se mogu kreirati druge unapred definisane lokalne grupe domena i globalne grupe,
kao deo konfiguracije odreĐenog servisa. Njihova namena može da bude da se korisnicima omogući
pristup odreĐenom servisu (kao DHCP Users, ili WINS Users), ili da obezbede kontejner grupe za
administraciju servisa, kao u slučaju DHCP Administrators i DNS Admins. Ove i druge predefinisane
grupe mogu imati specijalna prava ili dozvole za odreĐene stvari, ali nemaju široka prava i dozvole kao
Administratori, Server Operateri.
Windows 2003 ima nekoliko ugraĐenih globalnih grupa, izmeĐu ostalih Domain Admins, Domain Usres
i Domain Guests. One će se pojaviti samo na kontrolerima domena. Tabela 5.3 opisuje najvažnije
ugraĐene globalne grupe.
Tabela 5.3: UgraĐene globalne grupe
Grupa
Domain
Admins

Domain
Users

Domain
Guests

Šta radi
Postavljanjem korisničkog naloga u ovu grupu, korisniku se dodeljuju mogućnosti
administratora. Članovi Domain Admins mogu da administriraju kućni domen, radne stanice
iz domena i svaki pouzdani domen koji u svoju lokalnu Administratorsku grupu ima dodatu
Domain Admins globalnu grupu domena. Podrazumeva se da je Domain Admins grupa član i
Administrators lokalne grupe domena i Administratorskih lokalnih grupa svake Windows
radne stanice u domenu. UgraĐeni korisnički nalog Administrator za domen je automatski
član Domain Admins globalne grupe.
Ako je potvrĐeno, sprečava korisnika da promeni lozinku za nalog.
Članovi Domain Users globalne grupe imaju normalan korisnički pristup i
sposobnosti kako za sam domen, tako i za svaku radnu stanicu u domenu. Ova grupa sadrži
sve korisničke naloge iz domena i podrazumeva se da je član svake lokalne Users grupe, na
svakoj radnoj stanici u domenu.
Ova grupa omogućava nalozima gosta da pristupaju resursima izvan granica domena, ako su
im to dozvolili Administratori domena.

5.6 Korisnička prava
Pristup korisnika mrežnim resursima, fajlovima, direktorijumima, ureĐajima, u Windows-u kontroliše se
na dva načina: dodeljivanjem korisniku rights (prava) koja pružaju ili uskraćuju pristup odreĐenim
objektima (na primer, mogućnost da se loguju na server) i dodeljivanjem objektima permissions (dozvola)
koje odreĐuju kome je dozvoljeno da koristi objekat i pod kojim uslovima (na primer, davanje read
pristupa direktorijumu za odreĐenog korisnika).
Administratori za razliku od korisnika mogu da se loguju direktno na server, mogu da kreiraju korisnike i
rade zaštitino kopiranje fajlova. Korišćene Group Policy (grupna načela) kontroliše se ko će u Windows-u
dobiti koja prava. Prava korisniku daju ovlašćenje da izvrši odreĐeni sistemski zadatak. Na primer,
prosečan korisnik ne može jednostavno da sedne za Windows 2003 server i da se loguje direktno na
njega. Pitanje „Mogu li lokalno da se logujem na server?“ je primer prava. Korisnička prava se mogu
dodeliti odvojeno jednom korisniku, ali iz bezbednosnih razloga, bolje je korisnika smestiti u grupu i
definisati prava koja su dodeljena grupi.
Dozvole se primenjuju na odreĐene objekte kao što su fajlovi, direktorijumi, i štampači. „Da li mogu da
108

čak. Da bi se videla ili menjala pridružena lokalna prava za korisnika ili grupu koji nisu na kontroleru domena. tako da pravo da se izvodi zaštitno kopiranje gazi dozvole date za fajlove i direktorijume.4: Korisnička lokalna prava Korisničko pravo Access this Computer from the Network Act as a part of the Operating System Add workstations to Domain Backup Files and Directories Opis Povezivanje na računar preko mreže Bypass traverse checking Preprečiti preko drveta direktorijuma. Da bi se korisniku ili grupi dodalo ili oduzelo pravo.27). Grupe ugraĐene u Windows-u 2003 već imaju neka prava koja su im dodeljena. Pravilo je da korisnička prava imaju prednost nad dozvolama za objekat.4 prikazuje korisnička prava sa opisima. Kao što je već pomenute ovo pravilo potiskuje dozvole za fajlove i direktorijume Create permanent shared objects Debug programs Authority bi trebalo da ima ovu privilegiju Kreiranje specijalnih stalnih objekata Debagovanje aplikacija 109 . Samo Local Security Ponašati se kao deo pouzdanog operativnog sistema. oni ne mogu tek tako da otvaraju fajlove na serveru i čitaju njihov sadržaj. treba istaknuti ime grupe i izabrati Remove. Pravo Backup Operators grupe važi samo u saradnji sa Backup rutinom. Spisak prava i korisnika ili grupa kojima su prava dodeljena prikazaće se u oknu sa detaljima desno (slika 5. Ovo zahteva mogućnost gledanja i čitanja svih direktorijuma i fajlova na serverima. treba otvoriti alat Local Security Policy. Uzmimo za primer korisnika koji je član ugraĐene Backup Operators grupe. Zatim treba otvoriti Local Policies/User Rights Assignment. Tabela 5. Dozvole regulišu koji korisnici mogu imati pristup objektu i na koji način. za kontroler domena. otkucati ime ili izabrati Browse i selektovati ga. Tabele 5. uključujući i one čiji su kreatori i vlasnici izričito ukinuli Read dozvolu članovima Backup Operators grupe. Da bi se pravo ukinulo grupi.Administriranje mreža menjam fajlove u profesori direktorijumu na Serveru?“ je primer dozvole. treba dva puta kliknuti pravo prikazano u oknu sa detaljima ili izabrati pravo klikom desnog tastera i biranjem opcije Security. Tako da ne treba brinuti za privatnost. ili se može upotrebiti alat Domain Controller Security Policy. Da bi se grupa ili korisnik dodali listi treba izabrati Add i u okviru za dijalog Select Users or Groups. Neki podsistemi imaju ovu privilegiju Učiniti računare članovima domena Zaštitno kopirati (Backup) fajlove i direktorijume. Na temelju članstva u toj grupi korisnik ima pravo da zaštitno kopira server. iz Administrative Tools grupe. Na slici 5.28 vide se Security informacije o pravu na promenu sistemskog vremena. iako korisnik nema druga prava pristupa na tom direktorijumu Change the system time Create a pagefile Postavljanje vremena za interni sat računara Kreiranje pagefile-a Create a token object Kreriranje tokena za pristup. ali postoji mogućnost kreiranja novih grupa i dodeljivanja skupa korisničkih prava istim po sopstvenoj želji.

u pagefile. 5. One mogu da sadrže korisnike. Mnoga prava. omogućava pregled i pražnjenje security log-a Logon as a batch job Logon as a service Logon localy Manage auditing and security log Prmorava računar da se obori sa udaljenog sistema Generiše zapise audit loga Povećava kvote objekata (svaki objekat ima dodeljenu kvotu) Modify firmware environment values Profile single process Menja sistemske promenljive okruženja (ne promenljive korisničkog okruženja) Koristi mogućnosti profilisanja Windows-a za posmatranje procesa Profile system performance Koristi mogućnosti profilisanja Windows-a za posmatranje sistema Remove computer from dotcking station Replace a process level token Restore files and directories Prenosivi računar vadi iz njegovog stonog proširenja Shutdown the system Syncronize directory service data Take ownership of files or other objects Menja pristupni token procesa Vraća i fajlove i direktorijume. Ovo pravo potiskuje dozvole za fajlove i direktorijume Obara Windows 2003 Ažurira informacije u Aktivnom direktorijumu Preuzima vlasništvo nad fajlovima. Ideja je imati delove domena. čiji su vlasnici bili drugi korisnici. Administratori mogu da kreiraju i primenjuju grupna načela na OU.sys) Loguje se na sistem kao batch queue usluga Izvršava usluge bezbednosi (korisnik koji vrši replikaciju se loguje kao servis) Lokalno se loguje na sam server OdreĐuje koji tipovi dogaĐaja i pristupa resursima treba da se prate. Globalne grupe. ili ono na profilisanje jednog procesa. Grupisanje korisnika. grupe. ali i dalje deliti zajedničke sigurnosne informacije i resurse.Deny access to this computer from the network Administriranje mreža Suprotno pravu Access this computer from the network. ali samo iz svog kućnog domena. direktorijumima i drugim objektima. grupa i resursa u organizacione jedinice pruža 110 . posebno ukida prava korisnicima/grupama koji bi ih normalno imali Deny Logon as a batch job Deny Logon as a service Deny Logon Locally Enable computer and user acounts to be trusted for delagation Force shutdown from a remote system Generate security audits Increase quotas Ukida pravo na logovanje kao batch posao Ukida pravo na logovanje kao servis Ukida pravo na lokalno logovanje OdreĐuje naloge koji će biti delegirani Increase scheduling priority Load and unload device drivers Lock pages in memory Podiže prioritet procesu Dodaje i uklanja drajvere iz sistema Zaključava stranice memorije. računare i druge OU. da bi sprečio njihovo izmeštanje (na primer. a mogu i da delegiraju kontrolu nad OU. korisna su samo programerima koji pišu aplikacije koje će se izvršavati pod Windows-om a većina nije data grupi ili korisniku.7 Group Policies Organizacione jedinice (organisation unit .OU) su logički kontejneri u domenu. OU su samo za administraciju. ili računare iz drugog domena ne mogu se smestiti u OU lokalnog domena. kao što su ono na debagovanje programa.

U čemu se razlikuju OU i kontejneri? OU jeste kontejner. User Configuration i Computer Configuration. ali se na njega ne može primeniti Group Policy. kao što su konfiguracija aplikacije ili preusmeravanje fascikli. U svakom slučaju. pa nije neobično videti isto načelo i u User Configuration i u Computer Congifuration čvorovima. Sa druge strane.MSC. GPO su kontejneri za grupe parametara (načela) koji se mogu primeniti na korisnike i grupe na mreži. Log On i Log Off skriptova 3 Definisanje lozinke. U Group Policy Object Editor-u postoje dva glavna čvora. Suprotno svom imenu. čak i sam Group Policy Grupna načela se delom čuvaju u Aktivnom direktorijumu a delom u SYSVOL tako da ne treba brinuti o njihovoj replikaciji. GPO može biti povezan i sa lokalnim načelom odreĐenog Windows računara. domenom ili organizacionom jedinicom. 5 Definisanje i nametanje parametara za Internet Explorer 6 Definisanje i nametanje ograničenja za korisničke stone računare 7 Preusmeravanje odreĐenih fascikli iz korisničkih profila ( kao što su Start Menu ili Desktop) na neku centralnu lokaciju 8 Konfigurisanje i standardizacija parametara za nove mogućnosti. a Computer Configuration načela upravljaju parametrima specifičnim za računar. revizije (auditing) i Event Log Managment. ne mogu se primeniti direktno na grupe. Isto tako mogu da se kreiraju odvojeni objekti za korisničku i računarsku konfigiraciju. Shut Down. ne može se svakome iz sigurnosne grupe pripisati odreĐeni skup aplikacija. I jedna i 111 . Neke karakteristike. tako da se grupama mogu dodeliti ili ukunuti prava. Isti GPO može da odreĐuje skup aplikacija koje treba da se instaliraju na stonim računarima svih korisnika. ali moguće je pripisati neki programski paket celoj organizacionoj jedinici. postoji i prilično preklapanje.Administriranje mreža mogućnost da se načela primenjuju mnogo finije i da se. korisnička načela se primenjuju za vreme logovanja. ni korisnike. domenu ili OU zove se povezivanje (linking). kao što su mogućnosti nametanja članstva u grupi i konfigurisanja servisa u potpunosti su nove. Treba biti spreman na dosta muke za vreme traženja načela koje treba aktivirati i odlučiti da li da se koristi korisničko ili računarsko načelo i imati na umu da se može kreirati načelo koje koristi oba tipa parametara. primeni surovu politiku disk kvota i restrikcija na Explorer Shell-u i definiše lozinku za ceo domen i politiku zaključavanja naloga. zaključavanje i revizija načela za domen 4 Standardizacija mnogih drugih parametara bezbednosti za udaljene računare parametara koje je ranije bilo moguće konfigurisati editovanjem Registra ili korišćenjem alata za konfigurisanje bezbednosti drugih proizvoĐača. koji se obično poziva preko kartice Group Policy iz DSA. kao što su offline fascikle. Imena grupa se pojavljuju u ACL-ovima. Može da se napravi jedan sveobuhvatan GPO ili više različitih po jedan za svaki tip funkcije. tako da se ne može. već samo na sajtove. Veza GPO-SDOU može biti mnogo na jedan (mnogo načela primenjeno na jednu OU.7. Kontrola nad kontejnerom se može delegirati. a računarska za vreme podizanja sistema. ali ne samo to. Pomoću grupnih načela može se obaviti: 1 Objavljivanje ili dodeljivanje softverskih paketa korisnicima ili računarima 2 Dodeljivanje Start-up. domene i OU (što Microsoft skraćuje u termin SDOU). 5. grupna načela uopšte nisu usmerena na grupe. Ipak. OU se ne pojavljuju u ACL-ovima. Čin dodele GPO-a sajtu. Možda se zovu grupna jer je gomila različitih konfiguracionih alata grupisana zajedno u jedan Object Editor. Kao i grupe i OU mogu da sadrže druge OU.MSC ili DSSITE. ali samo jedne OU u jednom trenutku.1 Koncepti Group Policy Administratori konfigurišu i primenjuju grupna načela tako što grade objekte grupnih načela (Group Policy Object -GPO). disk quote. na primer) ili jedan na mnogo (jedno načelo povezano sa mnogo različitih OU). takoĐe lakše odluči ko čime upravlja i do kog nivoa. Po čemu se OU razlikuju od grupa? Korisnik može biti član mnogo grupa. Kada se povežu sa sajtom. na primer svima iz jedne organizacije dodeliti pristup štampaču. User Configuration načela se primenjuju na parametre specifične za korisnika. Objekti načela se prave pomoću Group Policy Object Editor-a. kao što su kvote za diskove.

Ali ako se za rešenje ovog problema upotrebi filtriranje. parametar je. OU načelo je primenjeno poslednje i zato ima prednost. Ako jedno načelo kaže: „Nije konfigurisano“. sajtovi. Windows mora da pročita celo načelo ali reaguje samo na opcije koje su mu omogućene. parametar ostaje zaključan. obično se konfigurišu samo neki od njih.Administriranje mreža druga se periodično osvežavaju. sve dok načela koja se primaju od domena utiču na različite parametre od onih odreĐenih OU načelom. a ostali će biti ostavljani „neaktivni“. Ako jedno načelo kaže: „Zaključaj“. Administratori mogu da ga koriste kao što bi koristili i alat Local Security Policy za konfigurisanje parametara naloga (kao što su minimalna dužina lozinke i broj propalih pokušaja logovanja pre zaključavanja naloga) i podešavanje praćenja (auditing). Ipak kada se jednom konfiguriše skup načela i kaže AD-u da je. da je na primer.2 Izrada grupnih načela Da bi se u DSA. 5. ta OU biće jedina koja dobija Office aplikacije.yu domenom“.yu ima nekoliko različitih GPO. Svaka OU ima načelo za širenje i održavanje standarnih desktop aplikacija. domeni. zaključan. Na kontrolerima domena načela se osvežavaju svakih 5 minuta i postoji načelo koje konfiguriše upravo ovo. individualni parametri ili tipovi parametara ne mogu se primeniti selektivno. Postoji načelo na nivou domena koje postavlja restrikcije za lozinke. Svi korisnički konfiguracioni parametri će se primeniti na sve korisnike na Windows sistemima u povezanom domenu. Primena grupnih načela je sve ili ništa tako da su ponekad za posebne funkcije. opšta načela se mogu primeniti na ceo domen. na IT grupu uopšte neće biti ništa primenjeno na GPO. Izuzeci za interval osvežavanja uključuju preusmeravanje fascikli i instalaciju softvera. Poenta je u tome da je nemoguće kreirati jedno načelo i onda odreĐivati ko dobija koje parametre što se i ne želi. Oni se primenjuju samo pri logovanju ili pri podizanju sistema. Ako na primer administratori imaju niz spornih parametara koje su uključili na nivou domena. Dakle. MeĐutim. zatim OU unutar OU. Korisnici i računari koji su u i u domenu i u OU primaju parametre i od načela na nivou domena i od onih na nivou OU. potrebna posebna načela. Ukoliko se ne želi da članovi recimo IT gupe podležu ovim besmislenim restrikcijama. „dozvoli obaranje pre logovanja“.MSC otvorio Group Policy Object Editor treba kliknuti desnim tasterom ime domena u korenu konzole i iz menija izabrati Properties. sa sopstvenim načelima i uključili Block Inheritance. Načela se primenjuju sledećim redosledom: lokalno načelo.MSC) on se automatski fokusira na lokalni računar kao što je prikazano na slici 5. takoĐe. a OU načelo. a sledeće: „Nije konfigurisano“. organizaciona jedinica tog odseka će efektno izbegavati nametnute parametre dok administratori domena ne uključe No Ovverride.ni. Oba se mogu primeniti na nivou domena. Načela se ponovno primenjuju svakih 90 minuta. Recimo da je kreiran GPO koji razvija set standardnih Desktop aplikacija kao što su Word. Kao alternativa mogu se postaviti dozvole za GPO što će sprečiti da se načelo primeni na IT grupu (ovo se zove filtriranje). Na primer. moguće je uraditi par stvari. a administratori sa drugog odseka su napravili sopstveni OU. Ako načelo domena kaže: „Moraš biti logovan da bi mogao da oboriš računar“. Može da se za ova načela kreira poseban GPO i poveže sa kontejnerom nižeg nivoa kao što je OU koja sadrži sve regularne korisnike. Možda je najbolji način pristupa ovome izrada GPO za raspored standarnog softvera ili GPO za shell restrikcije. Zbog ovoga. poželjno je izbegavati ovakva neslaganja meĐu načelima. NasleĐivanje i akumulacija su jednostavni. „ovaj GPO povezan sa vts. Parametri Group Policy su kumulativni i nasleĐeni iz kontejnera Aktivnog direktorijuma. domen vts. a sledeće: „Zaključaj“. uz 30-minutnu „nasumičnost“ koja sprečava da kontroler domena bude istovremeno pogoĐen od strane desetina ili stotine računara. Excel. ali se shell restrikcije mogu filtrirati za IT grupu. vrednostima iz narednih načela je onemogućeno da obrću one iz načela sa uključenim No override.7. a sitnija u zavisnosti od OU. zaključavanje naloga i standardne parametre bezbednosti. Outlook i da je ubačena gomila shell restrikcija kao bi se sprečili korisnici da menjaju svoje konfiguracije. Svaki objekat grupnih načela sadrži mnoge moguće parametre za mnoge funkcije.29. Kada je za načelo uključeno No Override. Ako se otvori alat Group Policy koji stiže uz Windows (GPEDIT. Kako bi se videlo koji GPO su povezani na nivou domena 112 . kao i preusmeravanje fascikli i restrikcije za desktop. organizacione jedinice.ni. Kada je uključen vrednosti viših načela se uopšte neće primeniti u nižim kontejnerima. Block Inheritance je specijalan parametar koji sprečava da načela procure sa višeg nivoa na niži.edu.edu.

isto načelo. kako bi se dodao listi na kartici Group Policy. Na primer.edu. U vts. prikazuje informacije o izradi i reviziji. Na kartici Group Policy istakne se načelo i izabere se Edit. Kartica Security otkriva podrazumevane dozvole za GPO (slika 5. Klik na ime kontejnera (kao što je OU elektronskiodsek. Read i Write su neophodni za promenu načela a Read i Apply su neophodni primaocu načela.yu). teorijski bi moglo da se primeni na nivou sajta. treba istaknuti načelo i izabrati Options.37 prikazuje načelo razvijeno u drvo konzole. istakne se načelo i izabere se Delete. Znači da GPO koji je na višem mestu liste ima viši prioritet. kao i Delete (brisanje) i Create Child Objects (izrada podobjekata). ako je neiskorišćeni deo GPO onemogućen u potpunosti.ni.32. Ako do sada nisu kreirana druga načela. Na kartici Group Policy se izabere dugme Add.36. Kao što je već pomenuto.31). ostala načela. ili da se ukloni sa liste.ni. Zbog toga će Windows tražiti da se potvrdi postupak radi sigurnosti.Administriranje mreža treba preći na karticu Group Policy prikazanoj na slici 5. načelo može da se pomeri na gore ili na dole u prozoru. povezani kontejneri neće biti prikazani sve dok se ne izvrši pretraživanje. domenima. iz kontekstualnog menija se izabere Rename. da bi se u donjem delu videle dozvole. u posebnom prozoru. Klikne se na dugme Find Now. dok Authenticated Users imaju samo Read i Apply Group Policy (primena grupnih načela). Slika 5. ili se može zatražiti lista svih GPO-a. bar što se interfejsa tiče: 113 . Ovo nagoveštava da je načelo već gledano i editovano. postoje dva glavna tipa parametara. tako da se onaj sa vrha primenjuje poslednji. samo se istakne načelo. ili računarskog dela načela. da bi se postojeći GPO povezao sa željenim kontejnerom. može se odlučiti da li će se neka načela kreirati samo sa računarskim parametrima.35. ili OU.vts. ili OU koji koriste ovaj GPO.34.edu. primena načela i ažuriranje će se odvijati brže. Može se zapaziti da Domain Admins i Enterprise Admins imaju dozvole Read (čitanje) i Write (pisanje). da bi se kreirao novi GPO. postojaće znak pomoću kontekstualnog menija načela. Ovo je važna činjenica koju treba znati: ako je na jedan kontejner povezano više GPO-a. kao i opcije za onemogućavanje korisničkog. ako takvi postoje. U tom slučaju.ni. Pošto potraga za drugim linkovima zahteva vreme i resurse. slika 5. Parametri korisničke konfiguracije se primenjuju na korisnikovo radno okruženje pri logovanju i u odreĐenim intervalima osvežavanja. Zatim se istakne načelo i izabere OK. Kada je ovo polje uključeno. kako bi se videla i promenila svojstva informacije novog objekta grupnih načela. više načelo pobeĐuje. Onemogućavanje načela ne onemogućava i sam objekat. Windows će ponuditi opciju da se potpuno obriše. samo treba kliknuti desnim tasterom na načelo. Da bi se uključilo No Override. Ako se ta prilika propusti i završi se sa načelom koje se zove New Group Policy Object. a neka samo sa parametrima karakterističnim za korisnika.vts. Kartica General prikazana je na slici 5. oni će se primenjivati od dna ka vrhu. onemogućeno na nivou domena. čak ni sa Block Inheritance. čuvajući načelo koje se onda u nekom trenutku može povezati sa nekim drugim kontejnerom. Kako bi se GPO obrisao. Ako se istakne GPO koji je upravo kreiran i izabere dugme UP (gore) ili Down (dole). Sada treba izmeniti kreirano načelo.33). ili drugim sajtovima. kao što se vidi na slici 5. Potom se izabere Properties. Istakne se ime sa vrha. klikne se desnim tasterom i. u ovom slučaju Studenti Polisa [server. U zavisnosti od načina na koji se podeli domen u organizacione jedinice.edu. Treba pomenuti nekoliko primera jer nisu sva načela konfigurisana na isti način. Windows će kreirati načelo po imenu New Group Policy Object i dozvoliti da mu se promeni ime.30. Kao što se može videti na slici 5. Da bi se video kontekstualni meni. da bi se videla načela povezana sa njim. Ako postoje parametri koji su u konfliktu. ili Disabled) uključena. otvoriti Group Policy Object Editor i videće se ime objekta načela u korenu prostora za ime. Kartica Links pruža mogućnost potrage za sajtovima. Ako je neka opcija (No Override.yu listi sa svojstvima se izabere New. kako bi se videli glavni čvorovi objekata grupnih načela. Sada se treba vratiti na karticu Group Policy. videće se samo podrazumevano načelo domena. Parametri konfiguracije računara se primenjuju na računaru pri podizanju i u odreĐenim intervalima osvežavanja. kako bi se pretraga pokrenula. Ovo će. zatim potvrditi polje No Override (slika 5. može se potražiti GPO koji su povezani sa drugim domenima/OU.yu] Policy. ili samo uklonio sa liste. primenjena na donjim nivoima ne mogu nadjačati vrednost ovog načela.

Deny ima prvenstvo u odnosu na Allow. kada se izabere OK. Promene se upisuju u GPO. primenjuje se ista strategija. tako da zapravo treba izabrati Deny opciju i za njih. u listu sa svojstvima objekta grupnih načela: otvori se DSA. 4 Da bi se podesilo preusmeravanje fascikle. ide se na User Configuration\Windows Settings\Folder Redirection i izabere se fascikla (na primer. sa detaljima. Kako bi se sprečilo da i Domain Admins i Enterprise Admins prime ovo nečelo. Kako bi se izuzeli ostali od primanja načela. Zatim bi se u ACL jednostavno dodali ulazi za sigurnosne grupe za koje se želi da prime načelo. 3 Da bi se podesilo načelo koje ograničava članstvo u grupi. zatim se grupi uskrate (Deny) Read i Apply Group Policy dozvole. a Authenticated Users imaju Read i Group Policy.7. Desno okno. Okvir za dijalog Open će pitati za lokaciju paketa.38). Pojaviće se list sa svojstvima gde se može odrediti lokacija za Start Menu i treba konfigurisati parametre za preusmeravanje. u desnom oknu sa detaljima se klikne dva puta na Maximmum Password Age (maksimalna starost lozinke).39). u Computer Configuration\Windows Settings i izaber se Add Group iz Action Menu-a. sve ih treba smestiti u sigurnosnu grupu i tu grupu dodati listi. ili Apply za odreĐeni parametar i ako korisnik. onda se konfigurišu njegova svojstva. pa će čak i Domain Admins i Enterprise Admins primiti parametre načela. ide se u Restricted Groups. 5. Kada se završi sa konfigurisanjem parametara Group Policy.MSC (ili DSSITE. Sada se vidi Access Control List (ACL) za objekat načela. pa će se procedure za konfigurisanje parametara razlikovati od čvora do čvora i od zadatka do zadatka. Onima koji su članovi obe grupe je potreban Deny samo za jednu grupu. čime se svi sprečavaju od prijema grupnog načela. a ne želi se da se primeni na odreĐenu grupu ljudi. Kada se grupa doda spisku u desnom oknu sa detaljima. Doda se računarski nalog u sigurnosnu grupu. za slučaj da članovi Domain Admins i Enterprise Admins nisu isti ljudi. (ili grupu računara). jednostavno se zatvori Group Policy prozor. tako da se podrazumeva da će se načelo primeniti na sve osim gostiju. otvori se fascikla i izabere se NewPackage iz Action menija. Nije dovoljno ne potvrditi polja za dodelu Read i Apply Group Policy jer korisnici iz specifične sigurnosne grupe su članovi iz Authenticated Users. Start Menu). biće prazno. Okvir za dijalog traži da se unese grupa. Domain Admins i Enterprise Admins imaju Read i Modify dozvole. Može se desiti da je napravljeno načelo kojim se ograničavaju radne stanice. 2 Da bi se zadao interval koji može da se pokrene dok korisnik ne promeni lozinku. mora se u Deny koloni potvrditi polje pored Apply Group Policy (slika 5. Grupa Authenticated Users uključuje sve osim gostiju. Izabere se dugme Properties i ide se na karticu Security (ponovo prikazana na slici 5. ni Save Changes. 114 . Klikne se desnim tasterom kontejner povezan sa GPO (u ovom slučaju domen) i izabere se Properties. pod Security Settings. Poenta svega ovoga je da Group Policy sadrži više različitih čvorova za postizanje različitih zadataka.3 Filtriranje grupnog načela Sada se treba vratiti na karticu Security. Izabere se kartica Group Policy i istakne se načelo koje treba filtrirati. treba biti siguran da im je dodeljeno i Read i Apply Group Policy. Nema opcije Save. Članstvo u grupi se može definisati i za samu grupu. Ipak. u zavisnosti od toga gde je link). omogućava se ovaj parametar potvrĐivanjem polja Define this Policy Settings i odreĐuje vrednost vremenskog intervala. Moguće je u popunosti ukloniti Authenticated Users iz ACL-a.Administriranje mreža 1 Da bi se u Software Settings\Software Installation specificirali softverski paketi. doda se ta grupa u ACL za objekat načela. ni računar neće primetiti promenu sve dok se načelo ne osveži. ide se u Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy. Ukoliko načelo treba filtrirati za odreĐeni računar. Nema jednog načina za konfigurisanje parametara. Kada se locira i selektuje. Postoji alternativa dodavanju sigurnosne grupe u ACL i u skraćivanju Read i Apply dozvole. Kao što je već istaknuto. Klikne se desnim tasterom u prazan prostor okna (ili se otvori Action Menu) i izabere se Properties.MSC. klikne se dva puta njeno ime kako bi se otvorio okvir za dijalog i daju se imena korisnika koja moraju biti. ili da sе potraži. ali Deny polje se mora potvrditi za obe grupe. ili im je dozvoljeno da budu članovi grupe.

1 Povezivanje DOS radnih stanica U ranijim verzijama Windows operativnih sistema. Iz ove liste. koji je. može se uraditi dosta toga. Naravno.EXE Fokusiraćemo se na treću komponentu. Uglavnom za priključenje DOS radne stanice na Windows 2003 server. Ukoliko bi želeli da vidimo sve zajedničke resurse na serveru VTSSERVER trebalo bi da su ukuca NET VIEW \\VTSSERVER. postoje i druge NET funkcije vredne pomena. trebalo bi ukucati NET USE LTP1: \\VTSSERVER\CANON. 6. U stvari. resursi se moraju pronaći pomoću naredbe NET VIEW. potrebno je povezati klijente na server. Na primer. ovi alati su izostavljeni sa pojavom Windows 2000 sistema. Ova naredba mora da bude u UNC formatu: \\imeservera\zajedničkiresurs.edu. NET PASSWORD /DOMAIN: VTS STUDENT staralozinka novalozinka menja staru lozinku korisnika STUDENTI u novu. u stvari. program NET. Umesto toga. To znači da ukoliko korisnik traži tehničku pomoć za povezivanje DOS radne stanice na Windows 2000/2003 operativni sistem. Ovo je. jer DOS ne prepoznaje ovaj tip imena domena. Sledeća funkcija je VIEW. potreban je instaliran DOS operativni sistem sa najmanje tri komponente: 1 config. Drugi razlog za nedostatak DOS alatki na Windows 2003 Server CD-u je što postoje poboljšane verzije metode za instalaciju. ukoliko se želi da se usmeri na LTP1 port za štampač zajedničkog štampača iz domena VTS sa imenom CANON. NET LOGOFF odjavljuje korisnika sa domena na koji je prijavljen.40 prikazuje listu dozvola za blanket Studenti Policy iz koje je uklonjeno Authenticated Users i dodata je grupa Studenti. potrebno je povezati se sa njim. instalirati ga. ukucava se NET LOGON STUDENTI/ DOMAIN:VTS. Adresa domena je ime domena nižeg nivoa.bat. na domen VTS. a ne novo. ili config. pa tek onda se povezati na izvor instalacije. dakle.sys koja učitava drajvere za mrežnu karticu 2 autoxec. VI Povezivanje klijenata na Windows 2003 Server Pošto su kreirani korisnici i dodeljena prava. TakoĐe. Umesto toga. Ovde će se povezati radne stanice sa DOS.yu. Ova strategija je korisna ako se ne želi da se načelo primeni na sve računare u povezanom kontejneru. U DOS-u nije moguće otvoriti CD drajv. ostaće uskraćen iste. prijavljivanje sa korisničkim imenom STUDENTI. Windows 98 i Windows XP operativnim sistemom. NET VIEW je naredba mnogo važnija za DOS klijente nego za bilo kog drugog. ukucava se NET USE D: \\VTSSERVER\APPS. Ovo je zbog toga što DOS nema čitač koji bi mogao da prikaže jednostavnu listu resursa na mreži. staviti CD i pokrenuti instalaciju. Prvi razlog je taj da je Microsoft DOS proglasio za „nepodržani“ operativni sistem. kao što je NET.ni.2 Povezivanje Windows 98 radnih stanica 115 . Sada kada je pronaĐjen ciljni zajednički resurs. Prvi je domen. tako da je potrebna i oznaka za drajv ili port na koji se treba povezati. na tri glavne funkcije NET komande. APPS u domenu VTS. Da bi se korisnik prijavio na domen sa korisničkim akreditivom koji je već definisan.Administriranje mreža Slika 5. 6. potrebno je ubaciti disketu sa drajverima za CD drajv. Postavlja se pitanje zašto je to tako. tj. Postoje dva načina za fokusiranje VIEW naredbe. može se usmeriti naredba VIEW na odreĐeni server sa listom zajedničkih resursa.EXE. ukucavanje NET VIEW /DOMAIN:VTS će obezbediti listu servera koji su registroani na VTS domen. puno ime domena vts. Ukoliko je potrebno usmeriti se na drajv D: sa izlistanim serverom i zajedničkim resursom. Unosi se USE. postojali su razni alati za podizanje mreže. Prva je LOGON koja klijenta prijavljuje na domen.sys koje učitavaju program za upravljanje mrežnim funkcijama 3 alatke za rad u komandnoj liniji koje izvršavaju komande na mreži. NET TIME \\VTSSERVER sinhronizuje sat na radnoj stanici sa onim na serveru. koristeći programe i štampače putem NET interfejsa. Slično.

Pošto verovatno ništa od ovoga ne postoji pritisne se dugme Add. ponovo će se pojaviti aplet Network Control Panel. naći će se dva dodatna tabulatora u Network Control Panel-u. koji je prikazan na slici 6. videće se sa leve strane lista proizvoĐača adaptera. Trebalo bi da se vidi jedan prazan okvir za dijalog za konfigurisanje.Administriranje mreža Povezivanje Windows 98 radnih stanica na mrežu se može vrlo lako obaviti. a umrežavanje se predstavlja kao bitna mogućnost radne stanice. Sada. on sam instalira skup unapred odreĐenih vrednosti. U okvir Windows NT Domain. Ide se na tabulator Configuration.1. pre nego što se uĐe u operativni sistem. Iz odgovarajućih razloga TCP/IP je automatski konfigurisan da koristi DHCP. a zatim da se selektuje Properties. gde se mogu označiti svojstva Client for Microsof Network klijenta. Ime računara mora da bude jedinstveno. kada je radna stanica priključena na mrežu. kao što je prikazano na slici 6. instaliranje komponenti za mrežu u Windows-u 98 i napraviti ih sposobnim za komunikaciju sa serverom je lako.4. dobiće se okvir za dijalog sa zahtevom za prijavljivanje na mrežu. Za početak.7). najmanje jedan protokol i najmanje jedan mrežni adapter. Ukoliko je potrebno ovo promeniti. Ukoliko se adapter ne nalazi na listi. saopštava se radnoj stanici da se verifikacija obavlja sa korisničim nalogom zvaničnog domena. mogu se dodati usluge. uzima se Client for Microsoft Network. kao dodatak tabulatoru Configuration. Od ovog trenutka. Počinje se u Network Control Panel-u (selektuje se StartSettingsControl Panel. Network Control Panel-a. a sa desne strane odgovarajući adapteri.2). Za razliku od Windows NT-a. pretpostavlja se da je radna stanica potpuno opremljena i da radi pod operativnim sistemom Windows 98 i da nema instalirane komponente. Izabere se odgovarajući adapter i pritisne se OK. Ovo omogućava da se bude u jednoj radnoj grupi. kako bi se konfiguracija prilagodila odgovarajućem okruženju. a zatim se otvori Network aplet). Radna grupa je VTS. Kao što se može videti ime novog računara je Student1. potrebno je pronaći i povezati se sa resursima koji će dovesti do mreže. kao što su zajednički fajlovi i zajedničko štamanje. potrebno je kliknuti na dugme Have Disk i locirati odgovarajuće drajvere za adapter. selektuje se adapter. Nakon brzog kopiranje jednog ili dva fajla. takoĐe. Teoretski. jednostavna. Iz liste sa tipovima komponenti.2. a zatim izabrati opciju Properties. a da se bude prijavljen na bilo koji domen.3. Pretpostavlja se da se ima Plug and Play kojim se eliminišu sve sumnje vezane za instaliranje mrežnih kartica.6 Štiklirajući opciju Log on to Windows NT domain. ili tako što će se selektovati. uvek kada se podiže operativni sistem radne stanice. Potrebno je imati najmanje jedan tip klijenta za umrežavanje. zatim se pritisne Add još jednom. zajedno sa posebnim okvirom za dijalog u kome će se izmeniti (slika 6. 6. kako bi se otvorio okvir za dijalog prikazan na slici 6. može se izabrati protokol iz Network Control Panel-a. Windows 98 računar ne mora da pripada domenu. Počinje se sa dodavanjem adaptera. ili duplim klikom miša. baš kao na Windows 2000/2003 računarima. Videće se okvir za dijalog na slici 6.4. U Windows 98 kao što se može videti na slici 6. Dodatno. Windows ovo zna i da bi olakšao. i jedino je dostupan protokol TCP/IP. Sada će Windows pitati koja se vrsta komponente želi instalirati (slika 6. Ukoliko lozinka nestane dobiće se poruka.5. da bi mogao da se prijavi na taj domen. Adapter je beskoristan bez klijenta kome će biti dodeljen i protokola pomoću koga će komunicirati. Promena lozinke je. U okviru za dijalog Select Network Adapters. Posebno treba obratit pažnju na tabulator Identification. Resursi se pronalaze tako što se dva puta klikne na ikonicu Network Neighborhood na 116 . Drugim rečima instaliranje i konfigurisanje svih mrežnih komponenti ne zahteva više rada i znanja nego što bi bilo potrebno klijentima da sami obave instaliranje.1 Priključivanje na mrežu Kao što je prikazano na slici 6. unosi se domen gde se nalazi korisnički nalog.

Administriranje mreža Desktop-u (Network Neighborhood je prikazan na slici 6. Ostalo je još radnu stanicu pridružiti domenu. treba izabrati StartSettingsPrinters. Duplim klikom na mrežni adapter se otvara Properties za taj adapter. Pored mrežnog adaptera (ukoliko nije instaliran kako treba). Ono što se traži u Network Neighborhood-u je lista za pretraživanje radne grupe ili domena.9). Pojaviće se lista svih instaliranih komponenti u sistemu. Postoji još jedna karakteristika za Windows 98 klijente.edu. U dnu ovog ovkira stoji mogućnost podešavanja i DNS servera koji će radna stanica koristiti. vts. (Windows Adress Book se ažurira tokom instaliranja Aktivnog direktorijuma). ova kratka instalacija ne daje direktan pristup u središte Aktivnog direktorijuma. treba duplim klikom odabrati ikonu sa nazivom System. U polje Computer Name se unosi ime računara koje će biti i ime u domenu.8). stajaće uzvičnik. Ukoliko se ne želi pristupiti domenu unosi se korisničko ime za lokal. treba uraditi sledeće. Opet se bira u Control Panel-u ikona System. 6. kako bi se Aktivni direktorijum napravio javnim resursom koji je dostupan Windows 98 klijentima. Očigledno. Očigledno. ili je iz bilo kog drugog razloga mrežna kartica ostala neistalirana. U stvarnom svetu server će u 99% slučajeva imati statičku IP adresu.ni. Pojavljuje se okvir sa slike 6. Na Windows 2003 CD-u pod direktorijumom Clients je direktorijum Win9X. Sada se mogu pretraživati resursi Servera kroz My Network Places. Instalira se jednostavnim kliktanjem dugmeta Next. instalira sve potrebne komponente. Potrebno je reći Reinstall Drivers i korisnik će biti upitan da izabere neki od ponuĐenih adaptera ili da navede lokaciju gde se nalazi odgovarajući drajver klikom na opciju Have Disk (slika 6.10) dobiće se okvir gde se treba odlučiti hoće li radna stanica imati statičku IP adresu ili DHCP adresu (slika 6. On donosi nove alate ali nema novoinstaliranih programa. tamo izabrati Add Printer i selektuje se resurs. ali ovoga puta se ide na karticu Computer Name. Druga nova opcija je integrisana sa novom verzijom Windows Adress Book-a. Ipak ukoliko to nije slučaj. Windows XP po unapred definisanom rasporedu. Zatim se može videti da je jedini zajednički resurs Windows (ukoliko postoji bilo koji zajednički štampač.12. Potrebno je resetovati računar i pri sledećem logovanju stajaće Log On prozor koji će tražiti korisničko ime i lozinku za pristup domenu. U njemu će se naći samo jedan izvršni fajl. tako da sada treba samo napraviti pregled kroz ključne zahteve. ukoliko je ime isto. mnogo spremnije za umrežavanje. Najvažnije su nove opcije i mogućnosti u meniju Find u Windows Explorer-u. Sve osnovne komponente za umrežavanje su već prisutne i uključene u osnovnu instalaciju Windows-a. gde se otvara Wizard za instalaciju adaptera. koji instalira Directory Service Clients za Windows. Dakle ukoliko se dva puta klikne na Internet Protocol (sa slike 6. Duplim klikom server otkriva listu zajedničkih resursa na njemu. Može se pretraživati i dublje unutar fajlova i potfascikli zajedničke fascikle. a nakon toga se restartuje računar. Za radne stanice. tako što se desnim tasterom klikne na zajednički resurs i izabere se Map Network Drive. Potom se pojavljue okvir System Properties gde treba izabrati karticu Hardware/Device Manager. ili usmeriti drajv direktno do zajedničkih resursa. Sve promene treba potvrditi sa OK. Za pridruživanje stanice domenu u dnu ovog okvira se bira opcija Change. ipak će skoro uvek preovladavati smenjeni administratorski zahtevi protokola DHCP. Sada postoji instaliran Aktivni direktorijum.11). naravno ukoliko su dodeljene odgovarajuće dozvole.3 Povezivanje Windows XP radnih stanica Windows XP radne stanice su u odnosu na Windows 98 klijente. U Control Panel-u. dok se u polje Member Of unosi ime domena kome će stanica pripadati. osnove umrežavanja se nalaze u mrežnom adapteru. Dakle ovde treba uneti IP adresu. biti vidljiv ovde). 117 . ali daje osnovne i obavezne funkcije. ona omogućava da se pronaĐu ljudi koji se nalaze u Aktivnom direktorijumu. Nema konfigurisanja i nema nikakvog selektovanja. on će takoće.10). Predhodno u File Menu-ju nije bila dostupna mogućnost Printers.yu. Ovaj Directory Service Clients omogućava Windows 9x klijentu da vidi novi Active Directory u Windows-u 2000/2003. Kako bi se priključili na štampač. pa će se instalacijom adaptera instalirati i sve ostale potrebne komponente (slika 6. Vrši se potvrda sa OK.

Svi sistemi na istoj fizičkoj mreži moraju imati isti mrežni ID.24 Notacija w. predstavlja jedinstveni 48-bitni kod. Tako i svaki računar koji je povezan na neku mrežnu strukturu. Najednostavnije je da ti subjekti imaju svoju jedinstvenu adresu preko koje su tačno prepoznatljivi i određeni. i predstavljena je pomoću 12 heksadecimalnih digita. uobičajeno je da se IP adresa podeli u četiri 8-bitna polja koja se nazivaju okteti.2 Ethernet adrese Svaka Ethernet adresa. Na primer. Adresa svakog računara mora biti jedinstvena u odnosu na mrežu kojoj pripada. Mrežni ID identifikuje jednu grupu računara. Svaki oktet se konvertuje u decimalni broj (brojni sistem sa osnovom 10) u rasponu od 0 do 255 i odvaja se tačkom (. (Pod terminom mrežni ID podazumeva se svaki broj IP mreže. koji nudi 280 000 000 000 000 (280 biliona) mogućnosti. ruter ili drugi TCP/IP uređaj na mreži. koji se nalaze na istoj fizičkoj mreži. IP adresa identifikuje lokaciju sistema na mreži isto kao što adresa ulice pokazuje kojoj se gradskoj četvrti nalazi određena zgrada. Zato je potrebno da se celokupni adresni prostor hijerahijski organizuje tj. a svaka Ethernet kartica ima dve adrese: jednu IP adresu i jednu Ethernet adresu. ravnom. Primer IP adrese u binarnom i decimalnom formatu izgleda ovako: 11000000 10101000 00000011 00011000 192.1 IP ADRESE I ETHERNET ADRESE U svakoj vrsti komunikacije između dva subjekta najbitije je da oni budu jedinstveno određeni kako bi ta komunikacija mogla da se uspostavi. Ove adrese se administriraju iz jednog centra i prodavci Ethernet čipova moraju da nabavljaju blokove adresa.). mora da ima jedinstvenu adresu preko koje bi bio prepoznat na njoj.Administriranje mreža VII čas Mrežni servis DHCP 7. Postoje naravno i drugi načini za pristupanje nekoj mrežnoj strukturi. na Ethernet kartici. Kao što adresa ulice mora da se odnosi na jedinstveno mesto prebivališta. Ovaj format se naziva decimalna notacija sa tačkama. Sam Ethernet koristi približno jednu četvrtinu od ovog broja (po dva bita se ostavljaju sa strane za administrativne funkcije).y.x. koja se još naziva i MAC adresa (Media Access Control). Mrežni ID mora biti jedinstven za sve međusobno povezane mreže. IP adresa je adresa mrežnog sloja i potpuno nezavisna od adrese sloja veze za prenos podataka (kao što je MAC adresa). Svaki TCP/IP računar se identifikuje na osnovu logičke IP adrese. kao najprostijeg i najrasprostranijegt na TCP/IP mrežama. kao što se ponekad piše 00-20-AF-F8-E7-71. mrežnih uređaja. linijskom adresnom prostoru bilo kakvo grupisanje računara predstavlja jako veli problem.168.z se koristi kada je reč o generalizovanoj IP adresi. Zamislite samo Internet i neki uređaj koji treba da pamti MAC adrese svih računara na njemu kao i uređaja koji treba da pomognu kod uspostavljanja veza. Umesto da se radi sa svih 32 bita odjednom. ali mi ćemo se držati ovog Ethernet primera. tako i IP adresa mora da bude globalno jedinstvena i da ima jedinstveni format. koja je ograničena IP ruterima. tabele rutiranja) a to ni malo nije lak zadatak jer se radi o velikom broju podataka. grupiše u više adresibilnih celina koje će obuhvatiti više računara. U našem primeru.3. ali to je i dalje mnogo mogućih adresa. Da bi se to ostvarilo potrebno je pamtiti sve MAC adrese tih računara/uređaja na jednom mestu (tkz. MAC adresa je unapred određena i ukodirana na ploči. Zato je i uvedeno IP adresiranje koje prestavlja hijerahijski adresni prostor. 00 20 AF F8 E7 71 ili. Jedinstvena IP adresa je neophodna za svaki računar i mrežnu komponentu koji za komunikaciju koristi TCP/IP.3 IP adresiranje Prepoznavanje računara putem MAC adrese može da predstavlja jako veliki problem a naročito na višim slojevima u OSI referentnom modelu. IP adresa ima 32 bita. 7. Računari su obično povezani na mrežu pomoću Ethernet kartice. MAC adresa se obično naziva i adresom drugog sloja jer pripada sloju podataka u 7-slojnom OSI modelu.1. Očigledno je da je to nemoguće.1. ID računara označava radnu stanicu. server. Problem se još više usložnjava ako je potrebno uspostaviti vezu između dva računara koji nisu direktno povezani već se veza uspostavlja preko više računara tj. 7. prefiks 00-20-AF je u vlasništvu 3Com-a tako da sve MAC adrese na 3Com-ovim karticama počinju sa ovim prefiksom. bez obzira na to da li je on zasnovan na klasama mreža. Pošto se ovde radi o tkz. koja je prikazana na slici 1. Svaka IP adresa sastoji se od adrese mreže (mrežni ID) kojoj taj računar pripada i adrese računara (ID računara). na podmrežama ili nadmrežama).6 118 .

svaka vrednost u notaciji w. da bi konvertovali jednu IP adresu 11001010000011111010101000000001 u format ove notacije. Svaki od ovih 8-bitnih brojeva treba konvertovati u njegov decimalni ekvivalent i tako dobijamo IP adresu koja se koristi 202. B i C koje se dodeljuju računarima.Administriranje mreža Kako se vrednost od 8 bitova može rangirati od 0 do 255. Bit najveće važnosti u adresi klase A je uvek postavljen na nulu. Preostalih 8 bita (zadnji oktet) predstavljaju ID računara. Time je omogućeno 2 097 152 mreža i 254 računara po mreži.Adrese klase B su dodeljene mrežama od srednjih do velikih dimenzija. Na primer. Na slici 1. Sledećih 14 bitova dovršavaju mrežni Id.x.Adrese klase C se koriste za male mreže. 119 . Klasa C .z može biti u rasponu od 0 do 255. Klasa A . Dva bita najveće važnosti u adresi klase B su uvek postavljena na binarnu vrednost 1 0. potrebno je da je prvo podelimo u grupe od 8 bitova: 11001010 00001111 10101010 00000001. Klasa adresa definiše mogući broj mreža i broj računara po mreži.9 prikazana je struktura adresa klase B.y. Sledećih sedam bitova (koji dovršavaju prvi oktet) određuju mrežni ID. Na slici 1. Preostalih 16 bitova (zadnja dva okteta) predstavljaju ID računara. Microsoftov TCP/IP podržava adrese klasa A.4 Klase adresa Da bismo lakše prepoznavali pojedine IP adrese zajednica korisnika Interneta je na početku definisala pet klasa adresa da bi se obuhvatile mreže različitih veličina. 7.10 je prikazana struktura adresa klase C.1. Ovim se omogućava 16384 mreže i 65534 računara po mreži. Ostala 24 bita (poslednja tri okteta) predstavljaju ID računara. Sledećih 21 bita (koji sa prva tri sačinjavaju prva tri okteta) dovršavaju mrežni ID. Tri bita najveće važnosti adrese klase C uvek su postavljena na binarnu vrednost 1 1 0.15. Ovim se omogućava 126 mreža i 16 777 214 računara po mreži.8 prikazana je struktura adresa klase A.Adrese klasa A su dodeljene mrežama sa vrlo velikim brojem računara. Na slici 1.1.170. Klasa B .

255. B i C koje se mogu koristiti za IP adrese računara. Četiri bita najveće važnosti u adresi klase D su uvek postavljena na binarnu vrednost 1110.98.1.sve adrese koje zapo~inju sa adresom 127 u prvom bajtu nisu validne izvan lokalnog ra~unara.Svaka podmreža ima najmanje jedan ruter. dok su usmerivaču koji predstavlja vezu prema Internetu dodeljuje jedna ili više stvarnih registrovanih adresa.Klasa E je eksperimentalna adresa namenjena budućoj upotrebi.0. kraći način za obeležavanje.0 do 100.Postoji još jedna rezervisana adresa. Prevođenje mrežnih adresa (NAT) može da se koristi sa usmerivačima. Tu adresu čine sve binarne jedinice.Ponekad je potrebno jednim jedinstvenim brojem odrediti celu podmrežu. Drugim rečima kada se 0 koristi u mre`nom delu adrese tada ona ozna~ava trenutnu mre`u  IP broadcast adresa .TCP/IP broadcast adresa. Koristeći NAT. Adresa 127. poruka će nam se vratiti. Na primer. Adresa koja se završava binarnim nulama je rezervisana za mrežni broj.100. to je adresa koju bi koristili za broadcast svake mašine na podmreži.2 je zbirni pregled adresa klase A.0 do 100. ukoliko ne postoji neki problem u samom IP softveru.Ma koliko da je adresni prostor.5 Rezervisane adrese Postoje neka specijalna pravila za IP adrese.z 126 16 777 214 B 128-191 16384 65 534 w.Adrese klase D su rezervisane za IP adrese sa višeznačnim upućivanjem. pa ne bi bila intranet.z je rezervisana za testiranje povratne petlje i komunikaciju između procesa na lokalnom računaru.0 je drugi način da kažemo "ceo Internet". A 1-126 w x.100.x.0. Tabela 1. da bismo rekli ruteru.x skup adresa klase A i sve ove 0.100. To su:  Usvojena route adresa . ali nije to. veliki on je ipak konačan i da ne postoji jedna tehnika poznata kao NAT (Network Adress Transslation) on bi brzo bio dostignut. Ona liči na adresu jedne mašine. Bitovi najveće važnosti u adresi klase E su postavljeni na 1 1 1 1.x.x.  Loopback adresa . poruka poslata za loopback ne odlazi na mrežu već ostaje unutar IP softvera određene mašine.0 .0.1. imamo više načina za označavanje područja adresa 100.103".  Adresa usvojenog rutera . kad podmreža ne bi imala ruter.255.100. Postoji čitav skup brojeva koje nikada ne možemo dodeliti nekoj mašini.0. Preostali bitovi određuju adresu koju prepoznaju zainteresovani računari.x moraju biti ostavljene sa strane.x. Microsoft podržava adrese klase D u aplikacijama za višeznačno upućivanje podataka na računare koji su opremljeni za takav prenos u okviru međumrežne strukture.Administriranje mreža Klasa D .100.100. 7. tako da možete da koristite samo adresni prostor svoje interne mreže.y z 2 097 152 254 * Adresa klase A 127.100.x. Klasa E . koji se tiče adresa od 100.100.100. U našem 100.100.x primeru.Adresa 0.y. u stvari. koji dozvoljava dodelu IP adresa.z C 192-223 w. taj usmerivač može da 120 .100.100. svih 16 miliona.  Intranet adrese . Ako šaljemo poruku za 127.x.0. prva adresa posle mrežnog broja je adresa usvijenog gejtveja (rutera). Ali kako je 0.255 je "100. Po konvenciji. " Da bi ova poruka stigla na podmrežu čije je područje od 100.100. . onda ne bi mogla da ostvari komunikaciju sa drugim mrežama.0.x y.100.97.1 (koja spada u opseg adresa A klase) uobi~ajeno se naziva adresom povratne petlje (loopback) i koristi se za testiranje lokalnog TCP/IP steka da bi se utvrdilo da li su konfiguracija i funkcionisanje korektni. prvo je usmeri u ruter 99.100.100.0".y.  Mrežni broj .100.

3 pokazuje podrazumevane maske podmreže koje koriste format decimalne notacije sa tačkama.1.0 klase B.168. koja se koristi prilikom pravljenja podmreža ili nadmreža. a koji adresu računara.0. Kada su bitovi određeni za adresu mreže i za adresu računara. bez obzira na to da li se koriste klasno zasnovane adrese mreže ili adrese podmreže.255.2 Označavanje maske podmreže pomoću dužine mrežnog prefiksa S obzirom na to da se bitovi za adresu mreže moraju izabrati po redu iz grupe bitova veće važnosti. A 11111111 00000000 00000000 00000000 121 /8 .0.0.0. 7.255.255  192. 32-bitni broj koji se tako dobije konvertuje se u decimalnu notaciju sa tačkama. više se ne može oslanjati na IP klase adresa da bi se odredio mrežni ID u IP adresi.255. U praksi su poznata nekoliko opsega koji su opet putem RFC dokumenta broj 1918 definisana za upotrebu u lokalnim Intranet okruženjima i to su:  10. U tabeli 1.6. iako izražena u decimalnoj notaciji sa tačkama. 138.1 Prikazivanje maski podmreža u decimaloj notaciji sa tačkom Maske podmreža se često prikazuju u decimalnoj notaciji sa tačkama.0. U sklopu svakog TCP/IP čvora nalazi se ili podrazumevana maska podmreže.58. maska podmreže označi mrežnim prefiksom koristeći za to notaciju: /<broj bitova>.0) da bi definisala adresu podmreže.1.0. Na primer.6 Maske podrmreža Sa uvođenjem podmreža.0 do 10. ako koriste adrese mreže definisane na nivou klasa. 7. Uzimaju}i u obzir sve ove izuzetke onda dolazimo do stvarnog broja mre`a i ra~unara koje mo`emo da adresiramo u svakoj klasi i on izgleda ovako: Klasa A 126 mre`a 16 777 214 ra~unara Klasa B 16 384 mre`a 65 534 ra~unara Klasa C 2 097 152 mre`e 254 ra~unara.4 prikazane se podrazumevane maske podmreža koje koriste ovu notaciju mrežnog prefiksa.96.96.255 Sve ove adrese nisu validne za Internet pa prema tome vi{e privatnih mre`a mogu da koriste ove ospege za definisanje svog Intranet okru`enja.58. Maska podmreže koristi ukupno 24 bita (255.255.96. odnosno da se ponaša kao proxy server za klijente u internoj mreži kada komuniciraju sa spoljašnjim svetom. RFC 950 (Request for Comments) definiše korišćenje maske podmreže (koja se još naziva i maska adrese) kao 32-bitnu vrednost pomoću koje se u nekoj IP adresi određuje razlika između adrese mreže i adrese računara.255.0 je 8-bitna adresa podmreže mreže 138. Tabela 1.31. ili namenska maska podmreže.Administriranje mreža manipuliše IP adresama i portovima.0 do 192.16.0 11111111 11111111 11111111 00000000 255.255. Podrazumevana maska podmreže zasnovana je na klasama IP adresa i koristi se na TCP/IP mrežama koje nisu podeljene na podmreže.6. 255.255  172.255. Osam bitova klasno zasnovane adrese računara koriste se za označavanje adresa podmreža.255. nije IP adresa.255. A B C 11111111 00000000 00000000 00000000 255. Obratite pažnju na to da maska podmreže. Adresa podmreže i njoj odgovarajuća maska podmreže u decimalnoj notaciji sa tačkama su: 138.0.0 11111111 11111111 00000000 00000000 255.0 do 172.0 Namenske maske podmreže se razlikuju od ovih podrazumevanih maski podmreža i koriste se prilikom pravljenja podmreža ili nadmreža.168. Potrebna je nova vrednost da bi se utvrdilo koji deo IP adrese predstavlja adresu mreže.0 7.255.255. Svaki računar u TCP/IP mreži zahteva masku podmreže čak i na mreži sa samo jednim segmentom. Bitovi maske podmreže definišu se na sledeći način: svi bitovi koji odgovaraju adresi mreže postavljeni su na vrednost 1 a svi bitovi koji odgovaraju adresi računara postavljeni su na vrednost 0.0.0.1.

96. Radi upotrebe BOOTP protokola.2 TCP\IP infrastruktura: DHCP (Dynamic Host Configuration Protocol) Mreže Microsoftovih operativnih sistema.0 bi u notaciji mrežnog prefiksa bila prikazana kao 138.0. rezultat je 1 kad su oba upoređenja bita jednaka 1.0/16. u prenosno značenju. Ako ovaj princip primenimo na bitove. Notiranje mrežnog prefiksa je poznato i kao notiranje besklasnog međudomenskog usmeravanja (Classless Interdomain Routing. ali nije dinamička.0.255. IP izvršava operaciju logičko I sa 32-bitnom IP adresom i 32-bitnom maskom podmreže.96. zahtevaju primenu tri tehnologije.56. u krajnjoj liniji. onaj posao u kome su kompjuteri tako dobri i zbog kog su. inače je rezultat 0. pretvorimo oba broja u njihove binarne ekvivalentne i poravnjajmo ih. Mrežni ID podmreže i njena odgovarajuća maska se zato u notaciji mrežnog prefiksa izražavaju kao: 138.0 sa maskom podmreže 255.58. Prema tome. Na primer: Koji je mrežni ID IP čvora 129. IP koristi matematičku operaciju nazvanu logičko I. rezultat poređenja dva elementa je istinit samo kad su oba elementa istinita.Administriranje mreža B 11111111 11111111 00000000 00000000 /16 C 11111111 11111111 11111111 00000000 /24 Na primer. sa odgovarajućim parovima MAC adresa/ IP adresa se obično čuva na nekom serveru.2.2 DHCP Sposobnost BOOTP-a da IP adrese dodeljuje sa jedne centralne lokacije jeste sjajna. mrežna adresa klase B 138. nastao je jedan TCP/IP protokol.96. inate rezultat je neistinit. 7.176. sa one strane gde ulazi noga.41 sa maskom podmreže 255. i izmišljeni. butovanje svojih kompjutera danas obično vršimo sa lokalnog. unutar intraneta date kompanije. BOOTP je predstavljao (i još uvek predstavlja) sasvim prikladan način za konfigurisanje TCP/IP protokola na nekom udaljenom kompjuteru.0 ? Da bismo došli do rezultata. Jedna ovakva tabela. jedan iznad drugog.0 je 8-bitna adresa podmreže mreže klase B. možete potpuno zaboraviti. pod nazivom „bootstrap protocol“ (doslovno. predstavlja arhaizam. bar prema teoriji.0.189.0/24.240. 7. kada neka BOOTP-kompatibilna radna stanica započne svoj radni dan. mi nismo ni najmanje zainteresovani za preuzimanje bootstrap programskog koda sa nekog centralnog servera. BOOTP server će prepoznati MAC adresu kompjutera-odašiljača i automaatski dodeliti odgovarajuću adresu ovoj radnoj stanici. poznatog pod nazivom BIOS.0. pa zatim sa 122 . u današnjem svetu PC računara.56. Kao posledica ovog. Domain Name System (DNS) i Windows Internet Name Service (WINS).58. Rezultat operacije logičko I na nivou bitova kada se primeni na IP adresu i masku podmreže predstavlja mrežni ID.2. mehanički posao. stoga bi se. 10000001 00111000 10111101 00101001 IP adresa 11111111 11111111 11110000 00000000 maska podmreže 10000001 00111000 10110000 00000000 mrežni ID Rezultat izvršenja logičkog I na nivou 32 bita IP adrese i maske podmreže je mrežni ID 129. mrežni administrator mora najpre prikupit listu MAC adresa za svaku karticu. termin „bootstrap protocol“ mogao prevesti kao „pomoćni protocol“). U skraćenom obliku. odnosno tehnologiju koju. U operaciji logičko I. 7. CIDR). Zatim izvršimo operaciju logičko I na parove svih bitova i zapišemo rezultat. ovaj protokol se obično naziva „BOOTP“. administrator će svakoj MAC adresi dodeliti po jednu IP adresu. 138. Ova operacija je poznata kao logičko I na nivou bitova. za vrh čizama. dok sa druge strane. koje se zasnivaju na TCP/IP protokolu.96. savijenu i ušivenu.3 Određivanje adrese mreže Za izdvajanje adrese mreže iz neke IP adrese korišćenjem proizvoljne maske podmreže. u izvesnoj meri. bootstrap predstavlja kožnu traku. bez potrebe da mu fizički pristupamo. Iz ove čuvene trojke jedino WINS.6. radi lakšeg obuvanja.1 BOOTP Praćenje upotrebljenih IP adresa i mašina kojima su one dodeljene predstavlja neinventivan. Kao primer namenske maske podmreže. read-only memorijskog čipa.255. Nakon toga.1. Na taj način. Maska podmreže koristi ukupno 24 bita za određivanje mrežnog ID-a podmreže. 7. kako bi postigle uspešnu IP konfiguraciju i upravljanje nazivima: Dynamic Host Configuration Protocol (DHCP). ona će preko mreže emitovati svoj zahtev za dodelu odgovarajuće IP adrese.

DHCP serveri su mašine koje dodeljuju IP adrese svim kompjuterima koji zahtevaju pristup LAN-u. Dakle. Linux i doslovno svi Microsoftovi desktop i serverski operativni sistemi. ali samo na ograničeni vremenski period – na taj način nastao je termin „iznajmljena IP adresa“ (IP lease). Ukoliko smo svoj PC. Već smo napomenuli da se DHCP zasniva na modelu klijent/server. Nakon toga. Sa druge strane. naime. Primenom DHCP-a u mreži. Pod normalnim okolnostima. ili će joj poslati negativan odgovor (negative acknowledgement-NACK). kao i kod BOOTP-a. uz pomoć BOOTP servera možemo određene IP adrese unapred dodeliti konkretnim MAC adresama. godine. nastali nakon 1994. odnosno ukoliko TCP/IP softver u sebi sadrži DHCP klijentski program. ukoliko želimo da DHCP. Kada nekoj mašini (DHCP klijentu) zatreba IP adresa. te od njega ponovo zatražiti istu adresu koju je imao pre restartovanja. onda on neće slepo zahtevati novu IP adresu. Svaki uređaj u mreži koja se zasniva na TCP/IP-u mora imati jedinstvenu IP adresu da bi mogao da pristupi mreži i njenim resursima. DHCP server čuva informacije o konfiguraciji u bazi podataka koja sadrži: 123 . ona će je zatražiti od DHCP servera. DHCP server može klijentu poslati nove informacije o iznajmljivanju. Nakon toga. računare koji se premeštaju iz jedne podmreže u drugu i one koji su uklonjeni sa mreže. on će potvrditi (acknowledge) taj zahtev i radnoj stanici dopustiti da nastavi sa korišćenjem ove IP adrese. DHCP predstavlja značajno poboljšanje u odnosu na BOOTP. koje se ogleda u tome da je potrebno samo da mu saopštimo opseg IP adresa koje sme da dodeljuje. svim kompjuterima koji to od njega zatraže. nakon čega će on započeti sa njihvom automatskom dodelom. DHCP automatski alocira IP adrese i srodne parametre TCP/IP konfiguracije na klijentima u mreži na kojima je omogućen DHCP. DHCP standard omogućuje upotrebu DHCP servera koji se definišu kao oni računari na kojima radi DHCP servis. tako da će nakon svakog restartovanja neke radne stanice. IP konfiguracija mora ručno da se obavi za nove računare. on će ovoj mašini ili dodeliti traženu IP adresu (ukoliko je nije već dodelio nekoj drugojo mašini). DHCP detalji su definisani dokumentima zahteva za komentare (RFC) koje je objavio IETF i druge radne grupe. adrese koje se više ne koriste automatski se vraćaju grupi raspoloživih adresa radi ponovne alokacije. DHCP server moći da resetuje sve izmene u podacima o iznajmljivanju.  Kako funkcioniše DHCP server Isporuka IP adresa od strane DHCP-a zasniva se na ideji klijentskih iznajmljivanja (client leases). DHCP server održava grupu IP adresa i iznajmljuje adrese svim klijentima na kojima je omogućen DHCP kada se oni prijave na mrežu. nepromenljive IP adrese je potrebno dodeliti samo malom broju kompjutera. first served). DHCP servis za Microsoft Windows 2003 server se zasniva na standardima Stručne radne grupe za Internet (IETF). izgrađen za upotrebu DHCP-a. po sistemu „ko pre do mene. Slično Bootp-u. DHCP pojednostavljuje administrativno upravljanje konfiguracijom IP adresa automatizovanjem postupka konfiguracije adrese za klijente u mreži. Bez DHCP-a. ceo proces postaje automatizovan i njime se centralizovano upravlja. koji poseduje IP adresu iznajmljenu na period od četiri dana. to možete veoma lako postići. umesto toga on će otići na DHCP server od kojeg je dobio svoju IP adresu. Kod upotrebe DHCP-a. Administrator mreže uvodi jedan ili više DHCP servera koji čuvaju informacije o TCP/IP konfiguraciji i obezbeđuju konfiguraciju adrese za klijente na kojima je omogućen DHCP u obliku ponude za iznajmljivanje adrese. Sa druge strane.Mac. kao što su. predloga za protokole i standarde za protokole koji se koriste na Internetu. na primer. DHCP klijenti se „prijavljuju“ (check in) nakon svakog restartovanja. Međutim. ukoliko su usled neke katastrofe.Administriranje mreža programskog koda koji je smešten na lokalnom hard disku. restartovali nakon isteka dva dana. samo u tačno određenim intervalima obnavljanja iznajmljivanja (lease renewal). po svojoj funkciji i ponašanju. dobiće nešto od mene“ (first come. tako što kreira odgovarajuće parove IP i MAC adresa. U današnje vreme skoro svaki mrežni operativni sistem sadrži u sebi DHCP klijente. DHCP server dodeljuje IP adresu ovom klijentu. Ako je taj DHCP server još uvek u životu i aktivan. lokalni BOOTP/DHCP server i podrazumevani mrežni prolaz (default gateway). naša radna stanica bi trebalo da bude dovljono pametna da na mreži potraži neki drugi DHCP server. pri tom će DHCP server ovu NACK poruku zabeležiti u svom Event Log fajlu. bude još sličniji BOOTP protokolu.11. DHCP server pamti koja je IP adresa dodeljena nekom kompjuteru. sa DHCP servera nepovratno izbrisane inormaacije o iznajmljivanju. Ova tehnika se naziva DHCP rezervacijom. S obzirom na to da su IP adrese dinamičke (iznajmljene) a ne statičke (trajno dodeljene). RFC dokumenti predstavljaju serije izveštaja. DHCP će funkcionisati jedino pod uslovom da je TCP/IP softver na radnim stanicama. kao što je prikazano na slici 1. kao što su subnet maske ili DNS servisi.

Pritom.vreme u kome IP adresa može da se koristi pre nego što treba da se objavi iznajmljivanje. koji je upućen svim DHCP serverima u dometu čujnosti. kao i rezervisane adrese za ručno dodeljivanje o Trajanje iznajmljivanja koje nudi server .Administratori mreže mogu centralizovano da definišu globalnu TCP/IP konfiguraciju i TCP/IP konfiguraciju svojstvenu podmreži. o Ako DHCP server nije pronađen ili ne odgovara.DHCP svodi na minimum greške u konfiguraciji koje nastaju zbog ručnog konfigurisanja IP adresa. osim ako ne postoji neki drugi razlog da se to uradi.2.Klijenti koji rade pod Windowsom 2003 mogu automatski da konfigurišu IP adresu i masku podmreže ako DHCP server nije raspoloživ prilikom pokretanja sistema. 2. o Dodatne parametre TCP/IP konfiguracije. Ovo svojstvo. na njima kreirati više različitih područja koja se odnose na jednu istu pod mrežu. te da je ne bi trebalo „tovariti na leđa jednog serverskog računara“. i sukobljenost adresa koja nastaje kada drugi računar greškom ponovo dobije IP adresu koja je trenutno dodeljena. kao što su klijenti sa udaljenih računara koji se stalno premeštaju. Smanjeno administriranje mreže.3 Prednosti DHCP-a Primena DHCP-a u mreži ima sledeće prednosti: Bezbedna i pozdana konfiguracija . kako bismo postigli željeni stepen tolerancije greške? Možda najbolji način je da. Serveri odgovaraju porukom DHCPOFFER. 3. TCP/IP konfiguracija je centralizovana i autorizovana. 7. 4. Klijentima se automatski može dodeliti ceo skup dodatnih vrednosti TCP/IP konfiguracije pomoću DHCP opcija. koja sadrži ponuđenu IP adresu i period na koji se iznajmljuje. koja predstavlja potvrdu o pozitvnom rešenju zahteva.  Preuzimanje IP adrese sa DHCP servera Procedura po kojoj DHCP klijent dobija IP adresu od DHCP servera sastoji se od četiri koraka: 1. koji se nazivaju DHCP opcije. Klijent servis DHCP-a u Windowsu 2003 prolazi kroz sledeći proces da bi automatski konfigurisao klijenta: o DHCP klijent pokušava da pronađe DHCP server i dobije adresu i konfiguraciju. Većina rutera može da prosledi zahteve DHCP konfiguracije i tako eliminiše zahtev da se DHCP server podešava u svakoj podmreži. automatsko privatno IP adresiranje (Automatic Private IP addressing. možemo dva ili više DHCP servera dovesti u online režim. kako bi potvrdio izabranu IP adresu. Klijent na kome je omogućen DHCP nakon prihvatanja ponude o iznajmljivanju prima: o Valjanu IP adresu za mrežu kojoj pristupa. dakle. DHCPREQUEST poruku. APIPA) je korisno za klijente na malim privatnim mrežama. sada mogu efikasno i automatski da se obave kada klijent na novoj lokaciji ponovo pokrene računar. DHCP klijent automatski konfiguriše svoju IP 124 . Klijent odabire najatraktivniju ponudu i šalje povratnu. Porukom DHCPDISCOVER emituje se zahtev za dodelu IP adrese. Izmene adresa u konfiguraciji klijenata koje moraju često da se ažuriraju. prilikom instaliranja DHCP serverskog softvera na više različitih kompjutera. tako da onda sve funkcioniše bez problema.  Dizajniranje multi-DHCP mreža Očigledno je da je funkcija DHCP servera veoma važna. Server koji je ponudio ovu IP adresu završava proceduru slanjem poruke DHCPACK. Na koji način . kao što su manja preduzeća. treba strogo voditi računa da se opsezi IP adresa u ovim područjima ne preklapaju. kao što su greške u pisanju. o Valjane IP adrese u grupi kako bi bile dodeljene klijentima.Administriranje mreža o Valjane parametre TCP/IP konfiguracije za sve klijente u mreži. Automatsko konfigurisanje IP-a . manje kancelarije ili udaljeni klijenti.

254. on će pokušati da pinguje podrazumevani mrežni prolaz koji je naveden kod iznajmljivanja i nastaviće na jedan od sledećih načina: o Ako ping uspe.Administriranje mreža adresu i masku podmreže pomoću adrese koja pripada mreži klase B rezervisanoj za Microsoft. 169.Microsoftov DHCP podržava lokalno čuvanje koje omogućava klijentima da čuvaju DHCP informacije na svom disku. Klijent zatim nastavlja u pozadini da proverava DHCP server svakih 5 minuta.0. o Ako ping ne uspe. Ako kasnije pronađe DHCP server. čak i ako DHCP server nije na raspolaganju ili nije u mreži u vreme kada je pokrenut računar klijenata.255. Kada je klijent autokonfigurisan. o Kada DHCP klijent uspe sam da odabere adresu.4 Proces iznajmljivanja DHCP-a Klijent na kome je omogućen DHCP dobija iznajmljenu IP adresu od DHCP servera. DHCP klijent proverava da li postoji sukobljenost adrese da bi potvrdio da se IP adresa koju je odabrao već ne koristi u mreži. Klijent će pokušati autokonfigurisanje do 10 adresa.0. on automatski sledi postupak inicijalizacije da bi dobio iznajmljenu adresu od DHCP servera.0. Ako sukobljenost postoji. Lokalno čuvanje takođe omogućava automatsko konfigurisanje IP-a. klijent će pokušati da obnovi iznajmljivanje. sa maskom podmreže 255. Pre nego što istekne iznajmljivanje. o Ako za vreme pokušaja obnavljanja klijent ne uspe da pronađe nijedan DHCP server. ako njihovi interni časovnici nisu sinhronizovani ili ako je klijent isključen iz mreže kada istekne iznajmljivanje. Iznajmljena adresa se zadržava u bazi podataka DHCP servera približno jedan dan nakon isticanja.0. on pokušava svakih 5 minuta da pronađe DHCP server i iznajmi adresu od njega. DHCP klijent zatim koristi adresu koju je ponudio DHCP server (i sve druge informacije koje su sadržane u DHCP opcijama) da bi ažurirao parametre IP konfiguracije. Ovaj period odlaganja štiti iznajmljivanje klijenta u slučaju da su klijent i server u različitim vremenskim zonama. DHCP klijent pretpostavlja da je premešten u mrežu u kojoj DHCP servisi nisu raspoloživi. klijent će odbaciti informacije određene autokonfigurisanjem. on će konfigurisati mrežni interfejs tom IP adresom. Lokalno čuvanje . Prvi put kada klijent na kome radi DHCP započne i pokuša da se priključi na mrežu. Lokalno čuvanje je korisno zbog toga što kada se pokrene sistem klijenata. klijent bira drugu IP adresu. Klijent zatim sam konfiguriše svoju IP adresu na način koji je prethodno opisan. 7. DHCP server mora da obnovi iznajmljivanje za klijenta ili klijent mora da ostvari novo iznajmljivanje. DHCP klijent pretpostavlja da se još nalazi u istoj podmreži u kojoj je dobio aktuelnu iznajmljenu adresu i nastavlja da koristi iznajmljenu adresu. on prvo pokuša da obnovi iznajmljivanje iste IP adrese. Na slici 125 . Lokalno čuvanje DHCP informacija znači i da klijent može da bude zaustavljen i ponovo pokrenut koristeći prethodno iznajmljene adrese i konfiguracije.2. Podrazumeva se da će klijent tada u pozadini pokušati da obnovi iznajmljivanje kada istekne polovina dodeljenog vremena za iznajmljivanje. o Ako je DHCP klijent prethodno iznajmio adresu od DHCP servera: o Ako je klijentovo iznajmljivanje i dalje valjano (nije isteklo) kada se pokreće sistem.

U mnogim slučajevima isti računar servera može efikasno da radi i kao WINS i kao DHCP server u jednoj mreži. Baza podataka koja se čuva na spoljašnjem disku prati dodeljene adrese i druge aktivnosti i u slučaju da aktivan čvor klastera otkaže. Na slici 1. Klijentu se nudi adrsa kada DHCP server odgovori pomoću poruke DHCPOffer koja sadrži klijentovu IP adresu i informacije o konfiguraciji za iznajmljivanje. prostor imena i svi servisi biće transparantno rekonstruisani na drugom čvoru. on konfiguriše parametre TCP/IP -a koristeći informacije DHCP opcija kojeje dobio u odgovoru i priljučuje se u mrežu. U svakom trenutku samo jedan čvor radi kao DHCP server. što korisnici doživljavaju samo kao trenuti zastoj servisa. Windows Clustering omogućava da DHCP serveri budu virtualizovani tako da u slučaju da jedan čvor klastera otkaže. 7. drugi čvor postaje DHCP server koji zna sve adrese koje su dodeljene i ima pristup celom opsegu adresa. Kada klijent primi poruku o potvrdi. Kad je jedan server konfigurisan kao WINS server i kao DHCP.2.6 DHCP i WINS WINS je servis za imenovanje koji se koristi da registruje i razrešava imena u adrese za NetBIOS klijente u mrežama zasnovanim na TCP/IP-u.5 Grupisanje DHCP Servera u klastere Servis Windows Clustering omogućava da dva servera mogu da se upravljaju kao jedan sistem.11. sa bazom podataka klastera Windowsa 2003. To znači da nikakve izmene nisu vidljive za klijenta koji i dalje vidi istu IP adresu za DHCP servere koji su grupisani u klaster. o Služi kao podrazumevani mrežni prolaz koji omogućava IP prosleđivanje između povezanih fizičkih mreža. administratori mreže mogu da podele opsege na servere.on može da: o Administrira definisani interval IP adresa opsega i nadopsega za mrežu. što omogućava transparentnu tranziciju po potrebi.o o o o Administriranje mreža DHCP klijent zahteva IP adresu tako što difuzno upućuje poruku DHCPDiscover u lokalnu mrežu. a DHCP server 2 je rezervni DHCP server. Grupisaje u klastere efikasno koristi IP adrese pa nije potrebno deliti opsege. Najčešće nije neophodno dodati WINS servere preko planiranog broja DHCP servera.2.b je generički primer DHCP servera grupisanih u klaster. tako da će ako jedan server otkaže. Windows 2003 servis za grupisanje u klaster se može koristiti za DHCP servere kako bi se obezbedila veća raspoloživost. Klijent pokazuje da je prihvatio ponudu tako što će odabrati onuđenu adresu i odgovoriti serveru pomoću poruke DHCPRequest. Bez grupisanja u klastere. lakše upravljanje i veća skalabilnost. najmanje polovina adresa ostati raspoloživa. Klijentu se dodeljuje adresa i DHCP server šalje poruku DHCPAck kojom odobrava iznajmljivanje. 7. Da bi isti podrazumevani mrežni prolaz bio podešen za sve DHCP klijent koji se nalaza u 126 . Servis Windows Clustering može automatski da otkrije "pad" neke aplikacije ili servera i da ih brzo aktivira na serveru koji nije oštećen. DHCP server 1 je aktivni server.

potrebni je dodeliti kod 44 DHCP opcije (lista IP adresa za WINS servere) i koristiti IP adresu računara servera kao vrednost. o Služi kao primarni WINS server za povezane fizičke mreže. Ako ne postoji način da DHCP bude u interakciji sa DNS-om. Windows 2003 DNS servis podržava dinamičko ažuriranje.2. odnosno da ažurira mapiranja imena klijenta u IP adresu i IP adrese u ime klijenta koje održava DNS server. Da bismo obezbedili ovaj servis ažuriranja u Windowsu 2003. Da bi se obezbedilo da svi DHCP klijenti za razrešavanje NetBIOS imena najpre koriste WINS (pre nego što se pokuša sa razrešavanjem imena pomoću difuznog upućivanja).Administriranje mreža podmrežama. o DHCP server registruje DHCP klijenta za pretraživanje napred (tip zapisa A) i za inverzno pretraživanje (tip zapisa PTR) samo kada to zatraži klijent. DHCP server može dinamički da ažurira DNS kako bi izmenio pojedine zapise resursa računara na DNS serveru pomoću protokola za dinamičko ažuriranje. potrebno je dodeliti kod 3 DHCP opcije pomoću IP adrese računara servera kao vrednost pri konfigurisanju DHCP opcija opsega. klijent može da dobije IP adresu od DHCP servera.Ako se WINS serveri koriste u mreži treba omogućiti WINS pretraživanje za DHCP klijente koji koriste NetBIOS. o DHCP i statički DNS servis nisu kompatibilni da bi informacije o mapiranju imena u adresu mogle da budu sinhronizovane. DHCP serveri mogu da razlikuju klijente koji rade pod Windowsom 2003 od ostalih klijenata. FQDN) računara sa njegovom dodeljenom IP adresom(ama). Da bi se izbegla neuspešna pretraživanja DNS-a o DHCP klijentima kada radi statički DNS servis potrebno je uraditi sledeće: 1. Iako DHCP obezbeđuje moćan mehanizam za automatsko konfigurisanje klijentske IP adrese. Dodatni kod DHCP opcije (kod opcije 81) omogućava da se FQDN ome klijenta vrati DHCP serveru. Na primer. Ako se primenjuje. treba nadograditi ili zameniti starije statičke DNS servere DNS serverioma koji podržavaju dinamičko ažuriranje. sve do nedavno DHCP nije obaveštavao DNS servis da je potrebno da ažurira DNS zapise o klijentu. 7. o DHCP server nikada ne registruje informacije o mapiranju imena u adresu (tip zapisa A) za DHCP klijente.0. Dodeliti rezervacije IP adrese sa neograničenim trajanjem iznajmljivanja za DHCP klijent koji koriste samo DNS i ne podržavaju NetBIOS. Ova DHCP opcija dozvoljava DHCP serveru sledeće mogućnosti kod obrade DNS informacije za račun DHCP klijenata koji uključuju kod opcije 81 u poruci DHCPRequest koju šalju serveru: o DHCP server uvek registruje DHCP klijenta za pretraživanje napred (tip zapisa A) i za inverzno pretraživanje (tip zapisa PTR) na DNS-u. Da bi se WINS server podesio za sve DHCP klijente koji se nalaze u podmreži. ali DNS zapisi neće odražavati novo dobijene IP adrese. niti će omogućiti mapiranje nove IP adrese u ime računara (FQDN). Mogućnost da registruje A i PTR tipove zapisa dozvoljava DHCP serveru da za potrebe DNS registracije deluje kao zastupniik za klijente koji koriste Microsoft Windows 95 i Windows NT 4. Koristeći protokol za dinamičko ažuriranje DNS-a Windows 2003 DHCP server može da obavi registrovanje na DNS serveru i ažurira pokazivačke PTR (Pointer resouce record) i adresne A (Address resource record) zapise resursa za račun svojih klijenata na kojima je omogućen DHCP. 2. informacije koje održava DNS za DHCP klijente ne moraju biti ispravne. Zbog toga su mogući problemi kada se DHCP i DNS zajedno koriste u mreži u kojoj se koriste stariji statički DNS serveri koji neogu da se dinamički ažuriraju kada se izmeni konfiguracija DHCP klijenta. DNS održava (između ostalog) informacije koje povezuju potpuno kvalifikovano domensko ime (Fully Qualified Domain Name. potrebno je dodeliti kod 46 opcije (WINS/NBT tip čvora) da bi se tip WINS čvora podesio na h-čvor (hibridni čvor). Dinamičko ažuriranje podržava Microsoft DNS servis koji je deo Windows-a 2003. Kad god je moguće. DHCP serveri i klijenti mogu da obave registrovanje u DNS-u ako DNS server podržava DNS sa dinamičkim ažuriranjem. 127 .7 DHCP i DNS Serveri sistema imena domena (DNS) omogućavaju razrešavanje imena za mrežne klijente.

a. 128 . ali server neće početi sa podelom adresa. iz Control Panel-a. zatim na ActionAuthorize) i videćemo okvir za dijalog kao na slici 2. Izgled prozora je dat na slici 2. Tools: Sa Windows 2003 svako može postaviti DHCP server.Administriranje mreža DHCP .10. (slika 2. pritiskamo na Authorize i dolazimo do okvira kao na slici 2.INSTALACIJA DHCP ćemo instalirati na isti način kao i sve druge servise. DHCP servis kontrolišemo prozorom koji se nalazi u Administrative StartProgramsAdministrative ToolsDHCP. Kliknemo dugme Next da započnemo instaliranje servisa. Odobravanje se vrši iz DHCP prozora.10.9. pri tom moramo biti prijavljeni kao Administrator područja. dok nije odobren.b u kome ukucavamo ime servera ili IP adresu. StartControl PanelAdd/Remove Programs. Da bismo odobrili jedan server. Selektujemo Network Services i kliknemo na dugme Details. a zatim na Add/Remove Windows Components. i pritiskamo dugme Ok. Desnim klikom miša na DHCP na levoj strani dobijamo padajući meni iz kojeg biramo Manage authorized servers (ili kliknemo na server. Na kraju pritiskamo Finish da bismo zatvorili wizard.8) Selektujemo Dynamic Host Configuration Protocol (DHCP).

Pritiskom na dugme Next dolazimo do prozora sa slike 2. dajući mu ime i komentar. Microsoft naziva opseg IP adresa i opisane informacije vezane za njih. U ovom prozoru. kojim počinje New Scope Wizard. Da napravimo domen.Administriranje mreža Stvaranje opsega adresa U cilju da DHCP da IP adrese mora da zna opseg IP adresa. izaberemo New Scope. kliknemo na ikonu servera. domenom.12. Zatim pritiskamo dugme Next i vidimo ekran kao na slici 2.11. 129 . jednostavno identifikujemo domen.

trebalo bi da kažemo DHCP serveru da ne da tu adresu. međutim. Moguće je za jedan DHCP server da rukuje višestrukim mrežama. Pritiskom na dugme Next dolazimo do dijaloga pomoću koga govorimo serveru koje adrese da "izbegava" (slika 2. Možemo odrediti jednu adresu samu po sebi.odatle se one mogu "crtati". Pošto moramo da imamo najmanje jednu prisutnu statičku IP adresu-adresu našeg servera. 130 . DHCP server nam neće dozvoliti da napravimo više od jednog domena u istoj podmreži. Možemo dodeliti domen svakoj podmreži servisiranoj našim DHCP serverima. Pritiskamo dugme Next i dolazimo do dijaloga kao na slici 2.13).14. ne moramo odrediti počinjujući i završavajući adrese u opsegu jedne adrese.Administriranje mreža Domen je jednostavno opseg IP adresa .

DHCP može omogućiti usvojene vrednosti za sve hostove TCP/IP parametara. Nema potrebe da idemo od radne stanice do radne stanice i podešavamo sve opcije u kartici Advanced za TCP/IP osobine (podešavanje statičkih adresa) pošto nam DHCP dozvoljava da podesimo te stvari pravo iz servera. 131 . Na sledećem dijalogu ostavljamo čekirano Yes.Administriranje mreža Korisnik dobija IP adresu samo za određeni vremenski period pod nazivom zakup i do vremena kada zakupljeni period istekne.15. Svaka druga opcija DHCP-a se ne ignoriše s tim da je opšte pravilo da je bilo šta podešeno na klijentu na višem nivou od podešavanja koje predlaže DHCP server. Postavljamo vremenski limit i pritiskamo dugme Next. Pritiskamo dugme Next i dolazimo do prozora na kao slici 2. ili mora prestati sa korišćenjem IP u potpunosti odmah. Usvojeno vreme za trajanje zakupa je 8 dana. I want to configure these options now i pritiskamo dugme Next. korisnik mora zakupiti ili drugu adresu od DHCP servera. posle ovog podešavanja možemo prići pojedinačno svakoj radnoj stanici i promeniti opcije po našem izboru. uključujući osnovne članove: Usvojen gejtvej DNS server Naziv područja WINS server Naravno.

trebalo bi postaviti korisniku neku vrednost naziva DNS domena. Klik na dugme Next.18. i reći korisniku da može naći DNS servere na nekoj adresi. govorimo DHCP serveru da kada god iznajmimo korisniku PC-a IP adresu iz ovog domena. i dolazimo do dijaloga kao na slici 2. i dolazimo do dijaloga kao na slici 2.Administriranje mreža Upisujemo IP adresu usvojenog pristupa i pritiskamo dugme Next.16. posle koga vidimo ekran kao na slici 2.17. Klik na dugme Next. 132 . Ovde govorimo korisniku gde da nađe naše WINS servere. U ovom dijalog prozoru.

Obratimo pažnju na fasciklu niže u interfejsu označenom sa Server Options. dobijamo pitanje da li smo spremni da ovaj server počne sa podelom zahteva za IP adresama.19.20.Administriranje mreža Na izlazu iz wizard-a. Desnim klikom na fasciklu Server Options i odaberemo opciju Configure Options kojom dobijamo dijalog kao na slici 2. Ostavljamo čekirano Yes. 133 . startujući domen i stavljajući ga u proces. Server Options nam dozvoljava da postavimo opcije za sve date domene servera u jednoj operaciji. DHCP prozor tada izgleda kao na slici 2. I want to activate this scope now i pritiskamo dugme Next. nakon čega se zatvara wizard. Ona je korisna kada postavljamo više od jednog domena na server.

po jedan za svaki dan u nedelji. U prozoru DHCP. Glavna stvar koju treba ovde primetiti je opcija "logovanja". Konfiguracija servera Pre napuštanja konfigurisanja. desnim klikom na server. i odaberemo opciju Properties. To je usvojena opcija tako da je ne moramo proveravati. Postoji sedam logova.21. tako da ih možemo ispitati sa 134 . Logovi su u jednostavnom ASCII formatu. Videćemo stranicu sa tri tabulatora: General. DNS i Advanced.Administriranje mreža Selektujući DNS možemo videti da nam je dozvoljen unos adresa DNS servera. kao što vidimo na slici 2. Time je olakšano nalaženje zapisa za svaku akciju za određeni dan. kao što je to činio wizard. pogledajmo neke članove konfiguracije servera.

stariji DNS serveri nisu mašine od kojih se očekuje da se registruju sa svojim lokalnim DNS serverom i lokalni DNS server ne bi imao rešenje o tome šta da. je dovoljno pametan da čuje ovu informaciju. Sa tačke gledišta razvoja DNS servera koji radi na Windows 2000/03 serveru. šaljući mu informaciju da je prisutan. jer ne postoji način da DNS server zaključi da su oni tamo. Pod Windows 2003. Windows 2003 DHCP server će primetiti kada podeli IP adrese mašini. sa tačke gledišta DNS servera.22. da ima ime i IP adresu. kod Windows 2000 i Windows 2003. tada ona nije programirana da ponudi informaciju oznaka/adresa svom DNS serveru. nego da informacija mora da se kuca ručno. Klikom na dugme Ok zatvaramo dijalog. domen je dovoljno pametan da komunicira sa svojim lokalnim DNS serverom. ti korisnici čak i ne postoje. To je ono što izvršava okvir za dijalog na slici 2. Biramo DNS tabulator i vidimo ekran kao na slici 2. u stvari. DNS server. godine kada je pisan Microsoft NT4.Administriranje mreža Notepad-om. Uz to. Obratimo pažnju na opciju Dynamically update DNS and PTR records for DHCP clients that do not request updates (for example.23. desnim klikom miša kliknemo na domen i izaberemo Display statistics. godine imaju karakteristiku naziva dinamički DNS. Preciznije. da ne zna ništa o dinamičkom DNS-u. tada su. Windows for Workgroups i NT korisnici obične komponente. U slučaju da naša radna stanica u radu pre koristi NT4 nego Windows 2000/03.22. i videćemo prozor kao na slici 2. stari Windows 9x. koji im omogućava da radije prihvate ovu oznaku/adresu (naziv registracije) informacije od drugih mašina. Treba označiti okvir. clients running Windows NT4). Ako hoćemo da znamo koliko nam je adresa ostalo. DNS je baza podataka mašina i naziva. radi sa tom informacijom. 135 . jer celokupna dinamička tehnologija nije postojala 1996. DNS serveri posle 1998. Logovi imaju imena dana u nedelji i nalaze se u //system32\dhcp.

kako reći korisnicima da koriste taj DHCP? Jednostavno. takođe. kucajući ipconfig/release i onda ipconfig/renew. Nedostaju detalji o konfiguraciji DHCP klijenta. NAJČEŠĆI PROBLEMI Najčešći problem sa DHCP klijentima je kada oni ne uspeju da dobiju IP adresu ili druge konfiguracione parametre od DHCP servera za vreme pokretanja sistema.U većim mrežama je poželjno isključiti ovo svojstvo. potrebno je da odgovorimo na sledeća pitanja da bismo brzo mogli da otkrijemo uzrok problema. klijenta ili klase. Kada sistem jednom dobije IP adresu. Windows NT podržava samo ipconfig. Prvo treba koristiti komandu ping za testiranje veza od klijenta do servera. Prvo treba proveriti da li odgovarajući hardverski uređaji klijenata (kablovi i mrežni adapteri) rade pravilno na klijentu. možemo je videti kicanjem ipconfig/all u komand prompt-u.Administriranje mreža Posle postavljanja DHCP-a na server. U zavisnosti od zahteva mreže. IPCONFIG je korisna i za druge DHCP klijente.x.0. Potrebno je proveriti i parametre DHCP opcija. NT4. Windows 2000 ili Windows 98 DHCP klijent ne može da pronađe DHCP server pa je koristio mehanizam automatskog privatnog IP adresiranja (APIPA) za konfigurisanje IP adrese. kliknemo na StartRun otkucamo winipcfg i pritisnemo Enter. DHCP klijenti se nalaze preko usmerivača od podmreže u kojoj je smešten DHCP server i ne mogu da prime adresu od njega. Ovaj problem može nastati zbog toga što: IP adresa DHCP servera je izmenjena i sada DHCP klijenti ne mogu da dobiju IP adrese. DHCP klijent nema konfigurisanu IP adresu ili ima IP adresu koja je konfigurisana kao 0. DHCP server može samo da opslužuje zahteve za opseg koji ima ID mreže koji je isti kao i ID mreže njegove IP adrese. može biti neophodno da se klijentu onemogući servis APIPA. svi imaju DHCP konfiguraciju kao instaliranu opciju. Windows 98 podržava i ipconfig i winipcfg. bilo koji Microsoft-ov operativni sistem od Windows for Workgroups preko Windows 9x. DHCP klijent ima autokonfigurisanu IP adresu koja nije pravilna za aktuelnu mrežu. mada neki od ovih klijenata upućuje na to kao "automatsku" konfiguraciju pre nego na DHCP konfiguraciju. Klijentu mogu nedostajati DHCP opcije u iznajljenoj konfiguraciji zbog toga što DHCP server nije konfigurisan da ih distribuira ili zato što klijent ne podržava opcije koje distribuira server. Zatim treba verifikovati ili ručno pokušati obnavljanje adrese iznajmljivanja klijenta. Kada klijent ne uspe da dobije konfiguraciju. Na Windows 95 radnoj stanici. Možemo naterati DHCP klijenta da napusti svoju DHCP dobijenu IP adresu i da potraži neku drugu. Klijent nije mogao da stupi u kontakt sa DHCP serverom i iznajmi IP adresu zbog greške u mrežnom hardveru ili zato što DHCP server nije na raspolaganju. opsega.0. Windows 2000/03. zbog administriranja mreže.0. Za Microsoft DHCP klijente treba verifikovati da su najčešće korišćene i podržane opcije konfigurisane na jednom odnivoa dodeljivanja opcija: servera. DHCP klijenti ne mogu da dobiju IP adrese od servera. DHCP server može može da obezbedi IP adrese za računare klijenata 136 .

Local Area Network). 137 . Više DHCP servera postoji u istoj lokalnoj računarskoj mreži (LAN . Treba potvrditi da u istom LAN-u nije konfigurisano više DHCP servera pomoću opsega koji se preklapaju.Administriranje mreža u više udaljenih podmreža samo ako usmerivač koji ih razdvaja može da radi kao DHCP prenosni agent.

uključujući TCP/IP. Pomoću sistema razrešavanje imena koji se zasniva na difuznom upućivanju kao što je NetBIOS. WINS je izgrađen na osnovu protokola koji je definisala Stručna radna grupa za Internet (IETF) u zahtevu za komentarima (RFC) a koji obavlja registrovanje imena. Microsoft je koristio ovaj NetBIOS interfejs za projektovanje svojih mrežnih komponenti. kada dinamičko adresiranje putem DHCP-a dodeli nove IP adrese računarima koji se premeštaju u podmrežama.VIII čas WINS Administriranje mreža Mrežni servis WINS i DNS KRATKA ISTORIJA WINS-a Mada WINS serveri nisu potrebni u mreži koja se sastoji isključivo od računara koji rade pod Windows-om 2003. možemo da koristimo ime serverdatoteka01 umesto nove IP adrese zbog toga što WINS vodi evidenciju o izmenama IP adresa koje su pridružene određenom imenu. NetBIOS ime kao što je "WINserver01" može biti "WINserver01. uspostavlja sesije između dva logička imena u mreži i podržava pouzdan prenos podataka između računara koji su uspostavili sesiju. Komunikacije koje se zasnivaju na NetBIOS-u koriste NetBIOS imena za jedinstveno identifikovanje resursa i drugih čvorova u mreži. Na primer.com" kao FQDN. NetBIOS ime može biti registrovano kao jedinstveno ime. razrešavanje imena je suštinski deo mrežnog administriranja. NetBIOS imena su dužine 16 bajta.itreskit. Protokoli koji su implementirani u Microsoftovim mrežnim komponentama.0. Ovo omogućava da sistem radi preko rutera i eliminiše potrebu za datotekom LMHOSTS čime se ponovo omogućava dinamičko razrešavanje NetBIOS imena i neosetna integracija sa servisom DHCP. ovo upućivanje ne može ići preko rutera što znači da imena mogu samo lokalno da se razrešavaju. Razrešavanje imena omogućava da pretražujemo mrežu i uspostavimo vezu sa resursima pomoću razumljivih imena kao što su "mojprinter" ili "serverdatoteka" umesto da pamtite IP adresu nekog računara. ili kao grupno ime.) NetBIOS imena se dinamički registruju kada se računar i servisi pokrenu i kada se korisnici prijave. Uvek kada se računaru koji smo nazvali "serverdatoteka01" dinamički dodeli nova IP adresa ta izmena je transparentna. WINS i NetBIOS Da bismo razumeli potrebu za WINS-om. Pomoću datoteka LMHOSTS informacije o razrešavanju imena se čuvaju u statičkom formatu čto predstavlja teret za održavanje. DNS koristi potpuno kvalifikovano domensko ime (FQDN) koje se sastoji od imena računara i imena domena. veće mreže postaju zagušenije kada se računari uključuju u mrežu i emituju poruke svim drugim čvorovima da bi razrešili IP adrese. oni su neophodni za sve mreže koje se sastoje od računara koji se zasnivaju na starijoj arhitekturi Windowsa NT 4. NetBIOS prostor imena je linearan što znači da se imena mogu koristiti samo jednom u mreži. zbog toga što dodeljivanje može da se menja tokom određenog vremena. Ovaj sloj omogućava da se komponente koje nisu iz NetBIOS-a uklope u NetBIOS okruženje. Pamćenje IP adresa je još nepraktičnije kada za dodeljivanje adresa koristimo DHCP. sadrže NetBIOS interfejs ili sloj za mapiranje. Kada sa računarom serverdatoteka01 uspostavljamo vezu sa drugog čvora. 138 . koje se mapira u više adresa. Windowsa98 ili Windowsa95. NetBIOS je interfejs na nivou sesije koji aplikacije koriste za komunikaciju na transportnom nivou koji je kompatibilan sa NetBIOS-om. On uspostavlja logička imena u mreži. Bez obzira da li se u mreži koristi DNS ili WINS. (Za razliku od ovoga. moramo da razumemo istoriju NetBIOS-a kji je za PCDOS aplikacije nastao pre više od 10 godina kao interfejs između programskih jedzika višeg nivoa i širokopojasnih mreža IBM PC-Network. Pored zagušenja. koje se mapira u jednu adresu. WINS podržavaju DHCP servisi. WINS je stvoren da bi rešio probleme razrešavanja imena koje je zasnovano na difuznom upućivanju i datotekama LMHOSTS. razrešavanje i deregistrovanje pomoću datagrama jednoznačno upućenih serveru NetBIOS imena. baza podataka WINS automatski beleži izmene.

Koristi mešanu komunikaciju B-čvora i P-čvora za registrovanje i razrešavanje NetBIOS imena. B-čvor P-čvor M-čvor H-čvor Koristi IP difuzno upućene poruke za registrovanje razrešavanje NetBIOS imena u IP adrese. koje pripada samo jednom procesu na jednom računaru. ova veza koristi servis File and Priner Sharing for Microsoft Networks na serveru datoteka koji ste odredili.Administriranje mreža RAZREŠAVANJE NetBIOS IMENA Razrešavanje NetBIOS imena predstavlja proces uspešnog konvertovanja NetBIOS imena u IP adresu. moramo da konfigurišemo 139 . Deljenje datoteka i štampača uvek odgovara određenom NetBIOS imenu. Primer procesa u kome se koristi NetBIOS ime je servis File and Priner Sharing for Microsoft Networks na računaru koji radi pod Windowsom 2003. Računari koji rade pod Windowsom 2003 su unapred konfigurisani kao H-čvorovi. oni su nabrojani i u tabeli 1. kada su konfigurisani za WINS server oni koriste postupak H-čvora. kada pokušamo da uspostavimo vezu sa računarom pod nazivom CORPSERVER. NetBIOS ime CORPSERVER [20] mora biti razrešeno u IP adresu. Precizan mehanizam pomoću koga se NetBIOS imena razrešavaju u IP adrese zavisi od toga koji tip NetBIOS čvora je konfigurisan za računar koji traži da se razreši ime. znak 0x20. servis File and Priner Sharing for Microsoft Networks registruje jedinstveno NetBIOS ime koje se zasniva na imenu računara. Pre nego uspostavimo vezu za deljenje datoteka i štampača. Kada pokrenete računar. NetBIOS ime koje odgovara servisu File and Priner Sharing for Microsoft Networks na tom računaru je: CORPSERVER [20] Obratimo pažnju na korišćenje razmaka za dopunjavanje imena računara. M-čvor prvo koristi razrešavanje zasnovano na difuznom upućivanju. NetBIOS ime je ili jedinstveno ime. koristi upit za server. ako je potrebno. Predstavlja hibrid B-čvora i P-čvora. Računari koji rade pod Windowsom 2003 mogu da koriste modifikovano razrešenje imena B-čvora. Kada na osnovu imena inicirate vezu za deljenje datoteka sa računarom koji radi pod Windowsom 2003. Na primer. NetBIOS ime je 16-bajtna adresa koja se koristi za identifikovanje NetBIOS resursa u mreži. Računar koji je H-čvor uvek najpre pokušava upit za server a difuzno upućivanje koristi samo ako ne uspe direktan upit. ono se dopunjuje razmacima da bi bilo dugačko tačno 15 znakova. Koristi komunikaciju od čvora do čvora sa serverom NetBIOS imena (na mrežama koje rade pod Windowsom 2003 to je WINS server) za registrovanje i razrešavanje NetBIOS imena u IP adrese. Za računare koji rade pod Windowsom 2003 se podrazumeva da koriste postupak razrešavanje imena B-čvora. Ime koje servis registruje je ime računara dužine 15 znakova plus 16. mora biti stvorena TCP veza. zatim. Da bi NetBIOS imena udaljenih računara mogla biti razrešena. ili grupno ime koje može da adresira više procesa na više računara. Da bismo uspostavili tu TCP vezu. Dokument RFC 1001 definiše tipove NetBIOS čvorova. DA bi smanjili IP difuzno upućivanje poruka. ovi računari koriste datoteku LMHOSTS za pronalaženje parova imena i IP adresa pre nego što koriste IP difuzno upućivanje B-čvora.5. Ako ime računara nije dugačko 15 znakova.

Računare koji rade pod Windowsom 2003 i koji koriste servis Active Directory morate da konfigurišete sa IP adresom WINS servera ako oni treba da komuniciraju sa računarima koji rade pod Windowsom NT.Administriranje mreža računare koji rade pod Windowsom 2003 sa IP adresom nekog WINS servera. Windowsom 2000/03. Windowsom95 ili Windowsom98 na kojima nije omogućeno korišćenje servisa Active Directory. 140 .

Povremeno ćemo morati da zaustavimo WINS server zbog offline sažimanja. Na kraju. koristićemo WINS upravljačku konzolu da bismo napravili rezervnu kopiju datoteka baze podataka WINS servera. pravimo rezervne kopije i ponovo vraćamo bazu podataka WINS serveru. S obzirom da se ove stavke ažuriraju svaki put kada se na mrežu prijavi klijent koji ima WINS. ali nije direktno proporcionalna broju aktivnih stavki klijenata.5 serveri i Windows 2003 serveri.log J50. obavlja se sažimanje baza podataka WINS-a. ove stavke "zaguše" bazu podataka. raste baza podataka WINS a mnoge stavke WINS klijenata postaju zastarele. Ona može da ostane u direktorijumu %SystemRoot%\System32\Wins nakon pada sistema. Podsistem relacione baze podataka na WINS serveru pristupa ISAM (engl. Da bi se WINS klijent prijavio na mrežu. ažuriranu verziju generičkog podsistema skladištenja koji koriste Microsoft Exchange 5. J50. on mora da registruje svoje ime računara i IP adresu na WINS serveru. WINS . U suprotnom. iako WINS redovno obavlja online sažimanje na taj način se smanjuje ali ne i eliminiše potreba za offline sažimanjem. S obzirom da je i sažimanje baze podataka dinamičko. on prvo kontaktira WINS server da bi ovaj razrešio upit pomoću informacije o mapiranju iz baze podataka servera. Na primer. Upravljanje bazom podataka Baza podataka WINS-a za Windows 2003 koristi napredne performanse tzv. Tako nastaje pojedinačna stavka mapiranja u bazi podataka WINS-a za klijenta. Ova ISAM baza podataka je replicirana baza podataka koja sadrži mapiranja za NetBIOS imena računara u IP adrese. nije potrebno da zaustavimo WINS server da bi se obavilo sažimanje baza podataka. ovaj postupak je poznat i kao online sažimanje. informacije koje se čuvaju u bazi podataka WINS servera ostaju tačne.mdb Winstmp. Datoteke baze podataka koje se čuvaju u direktorijumu %SystemRoot%\System32\Wins opisane su u tabeli 1. Privremena datoteka koju pravi WINS servis. Datoteka baze podataka WINS servera koja sadrži dve tabele. Međutim. Baza podataka je koristi kao datoteku za straničenje za vreme operacija održavanja indeksa. Datoteka kontrolnih tačaka koja se koristi kada se pokrene baza podataka WINS da bi odredila da li je poslednji put pravilno zatvorena i da su sve baze podataka konzistentne. indexed sequential access methodindeksno sekvencijalni metod pristupa) bazi podataka.6. Kako se neaktivne stavke mreže množe.chk Wins. Veličina baze podataka zavisi od broja WINS klijenata u mreži.INSTALACIJA .log i J50xxxxx. tabelu mapiranja IP adrese u ID vlasnika i tabelu mapiranja imena u IP adresu.mdb Datoteka događaja za sve transakcije obavljene u bazi podataka.BAZE PODATAKA WINS-a Kada klijent treba da uspostavi kontakt sa drugim računarom u mreži. Da bi neiskorišćeni prostor mogao da se ponovo koristi. extensible storage engine). Ova baza podataka ne ograničava broj zapisa koje WINS server može da replicira ili sačuva. U Windowsu 2003 sažimanje baze podataka WINS servera se dešava u pozadini kao automatski proces tokom besposlenog vremena a nakon ažuriranja baze podataka. pregledamo. Ovu datoteku koristi WINS da bi oporavio podatke ako je to neophodno. WINS upravljačka konzola obezbeđuje alate kojima treba da održavamo. datoteka kontrolnih tačaka služi da se odredi iz koje datoteke događaja treba početi oporavljanje podataka. podsistema proširenog skladištenja (engl.

To će se verovatno desiti vrlo retko. treba da shvatimo da ne treba stavljati WINS server na svaku podmrežu. tada stavljamo WINS server na tu mašinu. Uobičajeni način da ponovo popunimo WINS server je da stavimo funkciju WINS servera na istu mašinu koja se. WINS server je najzauzetiji ujutru. U StartProgramsAdministrative Tools imamo novi prozor pomoću koga kontrolišemo WINS. StartControl PanelAdd/Remove Programs. potrebno je da prvo da ga instaliramo. ukoliko ne popunimo ponovo WINS server. ako tu radi WINS server? Normalno. klijent bi našao server sasvim dobro. To radimo iz Control Panel-a.Kada planiramo koliko WINS servera nam je potrebno i gde da ih stavimo. međutim. (slika 2. uzrokujući da klijent odustane od servera. samo za korist tolerancije greške. Kliknemo dugme Next da započnemo instaliranje servisa. vraća se prenosu. Dobra ideja je da imamo drugu mašinu koja radi kao sekundarni WINS server. takođe. koji će limitirati kapacitet oznake rezolucije na samo njenu lokalnu podmrežu i uzrokovaće dosta vike. Na kraju pritiskamo Finish da bismo zatvorili wizard. Ako imamo kopiju kontrolera područja. a zatim na Add/Remove Windows Components.24) Selektujemo (čekiramo) Windows Internet Name Service (WINS). osim ukoliko imamo hiljade korisnika priključenih na jedan WINS server. kada se svi loguju. što povećava promet podmreži. Selektujemo Network Services i kliknemo na dugme Details. (slika 2. tako da verovatno neće uticati na performanse našeg servera. WINS server može biti previše zauzet da odgovori klijentu blagovremeno. kada svi uključuju računare i registruju imena. ako naiđe radna stanica i ne može da nađe WINS server. Zašto WINS klijent ne bi našao WINS server. Da bi postavili WINS server. kao i kontroler područja.25) . WINS softver ne koristi puno vremena centralne procesorske jedinice. takođe. ponaša kao kontroler područja. Setimo se da. ali u nekom malom procentu slučajeva. i pritiskamo dugme Ok.

. WINS će redovno obezbeđivati kopije baze podataka. Kontrolni okvir (Backup database during server shutdown) nam dozvoljava da kažemo WINS-u da. obezbeđuje kopije posebno kada je server isključen. Kliknemo na karticu Database Verification i videćemo stranicu kao na slici 2.27. ali koriste NetBIOS na TCP/IP. Desnim klikom pritisnemo na server na levoj ploči WINS servera izaberemo Properties. takođe. ako popunimo ime direktorijuma u Default Backup Path.Prva stvar koju trebamo uraditi na našem WINS serveru jeste da ga informišemo o mašinama na našoj podmreži koje nisu WINS klijenti.26. Dolazimo do okvira kao na slici 2.

Ako to omogućimo. kada se svi loguju i pokušavaju da registruju svoja sistemska imena.Opcija na vrhu. međutim. Već smo pomenuli da je WINS najzauzetiji ujutru odmah ujutru. Enable Burst Handling se koristi da reši problem starog WINS-a. Vlasnik u našem slučaju znači " WINS server koji generiše originalno ime zapisa". tada WINS dodaje puno informacija u Event Viewer-u i samim tim usporava rad WINSa i samog sistema. Pritiskamo sada karticu Advanced i dolazimo do stranice kao na slici 2. Možemo postaviti Log detailed events to Windows event log uključenim ali. govori našem WINS serveru da periodično proverava zapise u odnosu na druge servere u našoj podmreži. Pre registrovanja imena. pre nego slučajnog servera. dozvolićemo njegovu proveru svakih 24 sata.28. u osnovi ako omogućimo ovo. da se uveri da nema . WINS mora da proveri svoju bazu podataka. kao što je usvojeno i proveru u odnosu na "vlasnika". Verify database consistency every __ hours.

burst mode.com nego njegovu IP adresu 172. reskit. da niko ne pokušava da registruje ime kompjutera koji već postoji. Deljenje se obično zasniva na organizacionim i geografskim kriterijumima. Prostor imena je grupisanje u kojem se imena mogu koristiti za simboličk predstavljanje neke druge informacije. kakve su IP adrese. i u kojem su uspostavljena određena pravila za dodeljivanje i za korišćenje imena. Neki prostori imena.duplikata. Svaki čvor u DNS stablu predstavlja DNS ime. dalje deljenje i dodeljivanje imena DNS domena i računara u tom delu prostora imena. korisnici više vole da koriste zgodnija imena. ažurianje i distribucija datoteke HOSTS nisu više bili mogući. što daje šansu da stvarno proverimo registraciju kada su stvari usporenije. Ovaj sistem imenovanja podržava širenje Interneta kao i stvaranje imena jedinstvenih na celom internetu i na privatnim TCP/IP intranetovima.12 prikazan je deo prostora imena domena Interneta od korenog domena i DNS domena Interneta najvišeg nivoa do zamišljenog DNS imena sa imenom reskit.23. kao i druge domene (koji se nazivaju poddomeni). Na slici 1.com koji sadrži računar Mfgserver. Tada kaže " Vratite se i ponovo se registrujte za nekoliko minuta". Svaka organizacija dobija nadležnost nad delom prostora imena domena i odgovornost za administriranje. DNS UVOD U SISTEM IMENA DOMENA Mada TCP/IP za lociranje i povezivanje sa resursima (sa računarima i drugim mrežnim TCP/IP uređajima) koriste IP adrese.12. Zbog toga WINS ide u kratak način rada .16. ne mogu da se dele i moraju se ditribuirati u celosti. definisan u RFC 1034 i 1035. koristi se na Internetu kao standardna konvencija za dodeljivanje imena za lociranje računara zasnovanih na IP-u. I datoteka HOSTS i DNS koriste prostor imena. Zbog toga je korišćenje datoteka HOSTS postalo sve veći problem za administratore. Na primer. računari i serveri. Samo se pomera u kratak način rada kada ima puno zahteva istaknutih registracija u svom redosledu. Stvaranjem delova prostora imena domena i DNS domena privatnih TCP/IP mreža podržava se dalji rast Interneta i mogućnost stalnog širenja grupisanja imena i administriranja. Kako se povećao broj računara i korisnika na Internetu. Pre pripeme DNS-a na Internetu su se za lociranje resursa u TCP/IP mrežama koristile datoteke sa imenom HOSTS. kakav je DNS strukturirani su hijerarhijski i sadrže pravila po kojima se prostor imena deli u podskupove imena radi distribucije i poveravanja nadležnosti delova prostora imena.com je DNS domen. Neki primeri DNS imena su DNS domeni. Na primer.reskit. kakav je prostor imena HOSTS. Sistem imena domena. Mrežni administratori su u njih upisivali imena i IP adrese a računari su ih koristii za razrešavanje imena. a za to treba vremena. u značenju da se slaže sa svakim zahtevom registracija. I organizacije mogu da naprave privatnu mrežu koja nije vidljiva na Internetu i da koriste vlastiti prostor imena domena. DNS domen je grana ispod čvora. Prostor imena domena Sistem imenovanja na kojem se zasniva DNS je hijerarhijska i logička struktura stabla koja se naziva prostor imena domena. na slici 1. DNS domeni mogu da sadrže računare ili server. DNS zamenjuje datoteku HOSTS distribuiranom bazom podataka kojom se realizuje hijerarhijski sistem imena.55. Drugi prostori imena. korisnici više vole ime ftp. . Dalje deljenje je važan koncept u DNS-u.

za razliku od relativnog imena koje se navodi u odnosu na neki DNS domen koji nije koreni.com.13 prikazan je taj primer poddomena.com može da podeli ovaj domen i napravi dva poddomena: noam. i sastavljeno je od imena računara (Mfgserver).reskit.com jeste Mfgserver.com.com) i završne tačke (. Svaki čvor u stablu DNS domena identifikuje se potpuno kvalifikovanim domenskim imenom (FQDN). Na slici 1.com sadrži sajtove u Severnoj Americi (NOrth AMerica) i u Evropi.Na primer. kako je reskit poddomen domena . FQDN je DNS domensko ime koje je nedvosmisleno i sa apsolutnom tačnošću ukazuje na njegovu lokaciju u odnosu na koren DNS stabla domena. DNS administrator DNS domena reskit. Na primer.com i eu. domensko ime za reskit je reskit. FQDN ime za server u DNS domenu reskit. Na primer.com.reskit.).com.reskit. DNS domen reskit. Završna tačka je standardni separator između oznake domena najvišeg nivoa i oznake praznog stringa koja se odnosi na koren. primarnog DNS sufiksa (reskit. Prostor imena domena Interneta . Domensko ime Računari i DNS domeni dobijaju imena u zavisnosti od njihovog položaja u stablu domena.

Osnovni pojmovi DNS-a DNS serveri. . Svaki DNS server sadrži zapise resursa koji su mu potrebni za odgovaranje na upite za deo prostora imena nad kojim je nadležan.com.Korenom (najviši nivo) prostora imena domena Interneta upravlja Uprava za registrovanje Internet imena koja poverava administrativnu odgovornost za delove prostora imena domena organizacijama koje se priključuju na Internet.  Geografski domeni. Kao odgovor na upit. ISO) u dokumentu 3166.) Zone. da pruže pokazivač na drugi server koji može dad pomogne u razrešavanju upita ili da odgovore da ne poseduju traženu informaciju ili da takva informacija ne postoji. Ispod korenog DNS domena nalaze se domeni najvišeg nivoa i njima takođe upravlja Uprava za registrovanje Internet imena. Oni dobijaju troslovna imena kojima se označava osnovna funkcija ili aktivnost organizacija u tom domenu.arpa. Datoteke koje sadrže zapise resursa za zone za koje je server nadležan.reskit. Server može biti nadležan za više zona. Zapisi resursa. domen reskit. Ispod domena najvišeg nivoa Uprava za imena na Internetu poverava domene organizacijama koje se povezuju na Internet. uključujući i DNS server. Neprekidni delovi DNS prostora imena za koje je server nadležan. Razrešavači su obično ugrađeni u pomoćne programe ili im se može prići kroz bibliotečke funkcije. Datoteke zona. dok je zona deo DNS prostora imena koji se uglavnom čuva u datoteci i može da sadrži više domena. može da kontroliše drugi DNS server. Primarna zona je primerak zone koji se ažurira.reskit. Organizacioni domeni odnose se uglavnom na organizacije u SAD i većina njih pripada nekom od ovih organizacionih domena. Postoje tri vrste domena najvišeg nivoa:  Organizacioni domeni. IP6. Oni dobijaju oznake od dva slova koja označavaju zemlju i koje propisuje međunarodna organizacija za standardizaciju (International Standards Organization. a svaku particiju ili zonu. koji se koristi za verziju 6 IP inverznog pretraživanja. Zone Zona je neprekidan deo DNS prostora imena.com sadrži dva poddomena: noam. Svaka zona je vezana za određeni čvor domena.com i eu. Koristeći zonu. DNS server odgovara na upite o računarima iz svoje zone i nadležan je za tu zonu. To je poseban domen pod imenom in-addr. Prema tome. U većini implementacija DNS-a. Međutim. DNS razrešavači. Razrešavač može da se izvršava na bilo kojem računaru. Više informacija nalazi se u dokumentu RFC 1886. Na slici 1. Programi koji pomoću DNS upita traže informacije od servera.INT. Postoji takođe i jedan poseban domen. Računari na kojima se izvršavaju programi DNS servera koji sadrže informacije DNS baze podataka o strukturi stabla DNS domena. Domen može da se podeli u više particija. dok je sekundarna zona kopija zone koja se replicira sa glavnog servera.14. (DNS server je nadležan za neprekidni deo DNS prostora imena ako sadrži informacije o tom delu prostora imena. Ona sadrži niz zapisa koji se čuvaju na DNS serveru. DNS serveri takođe pokušavaju da razreše upite klijenata. DNS domen je grana prostora imena. DNS serveri mogu da pruže traženu informaciju. Razrešavači mogu da komuniciraju sa udaljenim DNS serverima ili sa programom DNS servera koji se izvršava na lokalnom računaru. Te organizacije koriste DNS servere za upravljanje mapiranjem imena u IP adrese i obratno za uređaje koji se nalaze u njihovom delu prostora imena. zone su realizovane kao tekstualne datoteke.14 prikazan je primer DNS domena koji sadrži dve primarne zone. Organizacije kojima je poveren deo prostora imena domena su zatim nadležne za dodeljivanje imena računarima i mrežnim uređajima u svom dodeljenom domenu i za njegovo dalje deljenje. kao što se vidi na slici 1. Nadležnost za poddomen noam.com poverene je serveru noamdc1. koji se oristi za mapiranje IP adresa u imena (što se naziva inverzno pretraživanje).noam.com. U ovom primeru. zone nisu domeni. Skupovi informacija u DNS bazi podataka koji mogu da se koriste za obradu klijentskih upita.reskit.  Inverzni domeni.reskit.

a možemo i istu zonu da čuvamo na više servera da bismo rasporedili opterećenje i povećali otpornost na greške. Kada DNS server primi DNS upit. Za svaku zonu moramo da imamo primarni server.com nadležan je za zonu reskit. Sekundarni server zone takođe povremeno uspostavlja vezu sa glavnim serverom zone i proverava da li su se podaci zone promenili.reskit.noam. DNS server možemo konfigurisati tako da upravlja jednom zonom ili sa više njih. on pokušava da pronađe zahtevanu informaciju uzimajući podatke iz svojih lokalnih zona. što znači da server može da čuva primarni primerak jedne zone i sekundarni primerak druge zone ili da čuva samo primarni ili samo sekundarni primerak jedne zone. Možemo da napravimo više zona da bi poverili administrativne zadatke različitim grupama i postigli efikasniji raspored podataka. reskitdc1. DNS serveri mogu da čuvaju primarne i sekundarne zone. Server možemo da konfigurišemo tako da čuva onoliko različitih primarnih i sekundarnih zona koliko je to praktično. Server sa koga se zona replicira može da bude primarni ili sekundarni server zone i ponekad se naziva glavnim serverom sekundarne zone.com koja sadrži i poddomen eu.com. on može da pokrene prenošenje podataka zone koje se naziva transfer zone. server koji čuva primarnu zonu smatra se primarnim serverom te zone.reskit. Ako jesu.reskit. Nasuprot tome. zato što server nije nadležan za zahtevani DNS domen i zato nema podatke o zahtevanom domenu. sekundarne zone se repliciraju sa drugog servera.com nadležan je za zonu noam. ona se konfiguriše sa IP adresom servera sa kojeg zona treba da se replicira. Kada se na sekundarnom serveru zone definiše zona. Za svaku zonu.jedan server noamdc1. server može da proveri svoj keš.com. Ako to ne uspe. Prilikom pokretanja sekundarnog servera zone. poveže se sa drugim DNS serverima da bi razrešio upit ili da uputi klijenta na drugi DNS server koji bi mogao imati odgovor.reskit. Osim toga. on uspostavlja vezu sa glavnim serverom zone i pokreće transfer zone. u zavisnosti od naših potreba. a drugi server. za jednu zonu ili za više zona. DNS SERVERI Na DNS serveru se mogu čuvati podaci za nijednu zonu. a server koji čuva sekundarne zone smatra se sekundarnim serverom za te zone. za svaku zonu bi trebalo da imamo .

inače niko neće moći da razrešava imena u toj zoni ukoliko primarni server otkaže. kod replikacije baze podataka servisa Active Directory šalje se samo krajnji rezultat svih izmena u zapisu. Svaki DNS server koji se izvršava na kontroleru domena je zato nadležan za tu zonu i može da je ažurira.INSTALACIJA Instaliranje DNS servisa je isto kao i instaliranje bilo kojih drugih mrežnih servisa . VIŠESTRUKA REPLIKACIJA Active Directory podržava višestruko repliciranje (engl.znači: StartControl PanelAdd/Remove Programs.29) Selektujemo (čekiramo) Domain Name System (DNS).bar jedan sekundarni server. što označava repliciranje u kome svaki kontroler domena može da pošalje ili primi ažurirane informacije koje se čuvaju u bazi podataka servisa Active Directory. a zatim na Add/Remove Windows Components. multimaster replication). što znači da se kopiraju samo bitne izmene. (slika 2. ili WINS . Ovakva replikacija se razlikuje od punog transfera zone DNS-a u kome se kopira cela zona. DNS . Ovakva replikacija se razlikuje i od postupnog transfera zone u kome server prenosi sve izmene koje su napravljene od poslednje izmene. Replikacija se obavlja po pojedinim svojstvima. Kliknemo dugme Next da započnemo instaliranje servisa. . Selektujemo Network Services i kliknemo na dugme Details.DHCP. informacije o zoni se repliciraju u svim kontrolerima domena unutar domena servisa Active Directory. Međutim. Kada čuvamo primarnu zonu u servisu Active Directory. i pritiskamo dugme Ok. U StartProgramsAdministrative Tools imamo novi prozor pomoću koga kontrolišemo DNS.

što inicira wizard kao na slici 2.32.31a. Kreiraćemo zonu vts -zona za pretraživanje unapred.31b. desnim klikom na fasciklu Forward Lookup Zones i izborom New Zone. . (zona za pretraživanje unapred) koja je preporučena za manje mreže i pritiskamo Next čime dolazimo do prozora kao na slici 2. slika 2. ili zonu za pretraživanje unapred i unazad. Ovde govorimo wizard-u da li da kreira zonu za pretraživanje unapred.31 i 2.32 Kliknemo na Next i dolazimo do prozora (slika 2.) u kome biramo tip zone.PRIMER: Kliknemo na znak plus pored SERVER-a i videćemo fasciklu pod nazivom Forward Lookup Zones i drugu fasciklu sa nazivom Reverse Lookup Zone. Biramo Create a forward lookup zone.

35.34. dozvoljava obnavljanje od strane bilo kog klijenta.33. Ovde određujemo da li će DNS zona prihvatati samo dinamička podešavanja ili ne.Ovde biramo da li će naš server održavati zonu. . Ovde ukucavamo naziv zone (vts). dozvoljava samo "ručno" obnavljanje zone. Pritiskamo Next čime dolazimo do ekrana kao na slici 2. i pritiskamo Next da bi videli sliku 2. Biramo This server maintains the zone i pritiskamo Next da bi videli sliku 2. Do not allow dynamic updates. Opcija Allow only secure dynamic updates je dostupna samo zonama koje su pod kontrolom aktivnog direktorijuma. Allow both nonsecure and secure dynamic updates.

Prvo polje je polje serijskog broja . te je vredno truda pogledati malo bolje kako on funkcioniše. ukoliko server ne može da razreši ime. do jednog od potencijalno mnogih sekundarnih za zonu.Serial number. Nama to nije potrebno. jer možemo rezrešiti imena pomoću naših (korenih) servera.Ovde nas wizard pita da li hoćemo da. posle čega dobijamo poslednji i potvrdni prozor wizarda.37). Pritiskamo Next. pošalje upit serverima koje definišemo IP adresama.36. Ono pokazuje koliko je promena načinjeno u zoni od njenog kreiranja. Desnim klikom na fasciklu vts i biramo Properties. Ovo je važno dugme zato što je to način kojim unapređujemo sekundarni DNS server u primarni za zonu. Sledeća kartica je Start of Authority (slika 2. Ovo polje ne menjamo i . posle čega dolazimo do kartice General. Wizard ima nekoliko postavki sa kojima se možda nećemo složiti. kao na slici 2. Ovde se nalazi dugme za pauziranje zone i dugme koje nam omogućava da menjamo status servera od primarnog za zonu.

Kartica Zone Transfers izgleda kao na slici 2. koji vrši pretvaranje naziva u domenu vts i posle 59 minuta ponovo mu se javi potreba za pretvaranje naziva. Drugim rečima.38) u kojoj sami određujemo nazive za druge servere naziva. To je e-mail adresa.yu je način kojim SOA podatak čuva adresu hotmaster@vts.ni. Poslednje polje. Sledeće tri brojke pokazuju sekundarnim serverima kako da dobiju informacije od primarnog servera. Responsable person sadrži e-mail adresu onoga koga treba kontaktirati u vezi sa problemima i pitanjima. adresu možemo zameniti bilo kojom odgovarajućom adresom. Polje sa nazivom Refresh interval govori svim sekundarnim serverima da kontaktiraju primarni server najmanje jednom u 15 minuta. Polje Expires After govori sekundarnim serverima da.yu. zastarele i da ih odbace. Sledeća kartica je Name Servers (slika 2. U svakom slučaju. tada u suštini sekundarni server jednostavno prestaje da odgovara na raspitivanja o pretvaranju naziva. trebali bi da pretpostave da su informacije.vts. Preostala dva polja govore drugim DNS serverima koliko dugo da pamte podatke o pretvaranju naziva. ne mora da se ponovo raspituje kod jednog od DNS servera domena vts. TTL je skraćenica od Time To Live i izražena je u formatu: dani:sati:minuti:sekunde. ako nisu uspeli da uspostave kontakt sa primarnim DNS serverom tokom jednog dana.ni. Minimum (default) TTL savetuje druge DNS servere koliko dugo da čuvaju informacije primljene od ovog od servera. ali čudno formatirana . koje poseduju. TTL for this record nam omogućava da podesimo drugačiji TTL samo za ovaj SOA podatak. Ovo polje je nazvano Minimum TTL zato što svaki podatak u fajlu DNS zone može imati svoj odvojeni TTL.Primary Server određuje autoritet DNS servera za ovaj domen. Usvojena vrednost je 1 sat.ac. Retry interval polje govori sekundarnim serverima da pokušaju komunikaciju sa primarnim serverom svakih 10 minuta. tako da bilo koji DNS server. Ukoliko u tome ne uspeju.hotmaster. kada sekundarni server ne može da pristupi primarnom serveru duže od jednog dana.ac. .39.

vts. Ali poznavanje naziva naših sistmskih mašina može pomoći lošim momcima da ugroze sigurnost naše mreže. Zahvaljujući dinamičkom DNS-u.ac. server za poštu ili dajemo drugi naziv za datu mašinu. Kao standardno usvojeno. da imenujemo prihvatljive DNS servere za ograničeni prenos. Ali moraćemo da unesemo neke od njih odmah. Desnim klikom na fasciklu _msdcs. tako da nam Windows 2003 daje opciju da sasvim onemogućimo prenos.40. korisnike ili. oni moraju kopirati informaciju iz fajla zone primarnog servera u sopstveni fajl zone .Da bi sekundarni serveri mogli da funkcionišu. u slučaju da postoje.da bi se osigurali da je njihova baza podataka naziva i IP adresa ažurirana. . biramo New Host i dolazimo do okvira kao na slici 2. više ne moramo ukucavati naziv za svaki host u našoj podmreži.ni. Pritiskom na Ok potvrđujemo uneta podešavanja i zatvaramo prozor.transfer zona.yu. ili samo serverima naziva koji su na kartici Name Servers. ovaj DNS server će preneti sadržaj njegovih fajlova zone na bilo koji drugi server koji ih zatraži. samo zato na naš DNS server zna o kojoj mašini govorimo kada imenujemo drugi server naziva. Kada je u pitanju sigurnost mreže treba konsultovati administratore. Kopiranje zonskih informacija sa jednog servera na drugi se naziva zone transfers . ljude koji određuju politiku sigurnosti mreže.

NSLOOKUP je standardni komandni alat koji postoji u većini implementacija DNS servera.ac. .1. potvrđujemo unete vrednosti i zatvaramo prozor.yu na adresi 160. Sada bi naš DNS server trebao da funkcioniše. Pritiskom na Ok. Pokreće se sa komand prompta kucanjem komande nslookup<ime><server>. Pomoću dijagnostičkog alata NSLOOKUP proveravamo DNS server. uključujući i Windows 2003 implementaciju.vts.99.ni. za verifikovanje da su zapisi resursa pravilno dodati ili ažurirani u zoni i za otklanjanje drugih problema koji se odnose na server. Takođe čekiramo kontrolni okvir Create associated point (PTR) record. koji će kreirati pointer podatak u zoni za pretraživanje unazad. gde je ime vlasnik zapisa koji tražimo. NSLOOKUP na komandnoj liniji nudi mogućnost za obavljanje upita za testiranje DNS servera i dobijanje detaljnih odgovora.37.PRIMER: U polju IP address popunjavamo informacije o LAN router-u domena _msdcs. a server je server kome želimo da pošaljemo upit. Ove informacije mogu biti korisne za otkrivanje i rešavanje problema prilikom razrešavanja imena.

216. ili. U svetu Microsoftovih operativnih sistema ova specijalna verzija socketa naziva se Winsock.99. Pritom. Klijent.amazon. Klijent. radna stanica adresu WINS dobila od DHCP servera. koji se po prvi put pojavio na jednom proizvodu kompanije Sytek. Ukoliko ih imaju na rasolaganju. koristi WINS). na kompjuteru koji če igrati ulogu WINS servera morate instalirati NT 4 ili neki noviji serverski operaativni sistem (on neće raditi ni pod jednim starijim OS-om. Ali.10. sve svoje mrežne aplikacije kreirao na temeljima mrežnog API-ja (interfejs aplikacionog programiranja) pod nazivom Network Basic Input-Output System (NetBios). svet kompjuterskih mreža bio je prilično negostoljubivo mesto. dizajniranog da. on će odmah otići do WINS servera i uredno mu se pretstaviti. prilikom instaliranja TCP/IP softvera na konkretnoj radnoj stanici. TCP/IP mrežnog kljientskog softvera. poznat pod nazivom socketi (sockets). U osnovi. Kada otvorimo direktorijum My Network Places. Potreban nam je. prateći ko se sve nalazi na mreži i obavljajući previženje naziva na zahtev klijenata. pokušava da pridobije pažnju primarnog WINS servera i da se registruje na toj mašini. uključujući i NT Workstation). kada po prvi put startujete nekog WINS klijenta (što je skraćeni naziv za bilo koji PC na kome se izvršava neka vrsta Microsoftovog. koji može naziv www. od 1985. rečeno jezikom WINS-a. Ovaj postupak konvertovanja naziva kompjutera u njegovu IP adresunaziva se prevođenjem (rešavanjem) naziva (name resolution). ali koji je kasnije promovisan i proširivan od strane IBM i MIcrosofta. ovi kljienti će upotrebiti sledeće alate: oHOSTS fajl. poseduje jedinstvenu IP adresu. klijent će pokušaati sa registracijom na sekundarnom WINS 156 .182. Sa ovim problmom bili su suočeni i NetBios i Winsock ali su oni došli do različitih rešenja. NetBios upotrebljava Windows Internet Name Service (WINS) server. u njemu bi serveri trebalo da budu prokazani po svom nazivu. kako većina kompjutera poseduje po nekoliko NetBIOS naziva.com prevesti u 208. dakle neki server baze podataka (databaseserver). dobija dve IP adrese WINS servera: jednu za „primarni“ i jednu za „sekundarni“ WINS sevrer. godine pa naovamo. klijenti znaju adresu WINS servera. ali niko ne voli da ove adrese koristi za identifikaciju servera. koja je označena kao primarni WINS server.com .15 i nazov \\PERSONNEL prevesti u 220. ukoliko postoji oEmitovanje poruka (broadcasts) oLMHOSTS fajl. pri pokušaju prevođenja nekog NetBIOS naziva u IP adresu. zatim.amazon. koriste nekoliko različitih metoda. u određenom vremenskom periodu ne odgovori na ovaj zahtev klijenta. 208. u toku procesa iznajmljivanja IP adrese. Jedna od zajdničkih osobina NetBiosa i Winsocka sastoji se u tome da oba API-ja žele da podrže upotrebu jednostavnih naziva kompjutera.  Prevođenje naziva pre pojave WINS-a Klijenti koji su napisani pre pojave WINS-a. u stvari.182. Nakon toga WINS server će se ponašati kao NBNS server. kao na primer \\PERSONNEL. klijenti će sve ove nazive registrovati na WINS serveru.216. za potrebe prevođenja NBT naziva. ukoliko postoji oDNS server.15. izvršiće registraciju svog naziva. Radi prevođenja naziva. Ustvari.10. a ne preko svoje IP adrese.32.99.WINS  NetBios i Winsock Microsoft je. sa druge strane. ili je. ukoliko mašina. Tačno je da svaka mašina na Internetu. Winsock obavlja prevođenje naziva uz pomoć Domain Name System (DNS) servera. isto tako kompanija Amazon reklamira prodaju knjiga preko www. ukoliko je prisutan na mreži  WINS: NetBIOS nazivni servis za Windows Pre pojave WINS-a. pak. Da bi WINS servis uopšte funkcionisao. a ne po IP adresi 220.32. odnodno kljienti bez definisanog WINS servera. gde je svako izvikivao poruke i gde su mnoga pitanja (barem ona koja se odnose na prevođenje naziva) ostajala bez odgovora. Sa druge strane Internet populacija je upotrebljavala potpuno drugačiji mrežni API. kao i na bukvalno svim Server 2003 mrežama. bilo na osnovu toga što ste ovu adresu ručno uneli.

Veoma slično načini na koji DHCP klijenti pokušavaju da blagovremeno produže svoj period iznajmljivanja. klijent će se registrovati na sekundarnom WINS-u. biti izraženo opterećeni u smislu procesorske snage. Naime. ali u praksi to znači da će WINS serveri. Može se reći da je.  Dizajniranje multi-WINS mreže Teorija višestrukih WINS servera kaže da biste. takođe. Sve to odlično funkcioniše u teoriji. ukoliko WINS server primeti da mreži već postoji neki kompjuter sa tim nazivom. ako radna stanica. neće uspeti da zadovolje osnovne kriterijume pri izvršavanju svog osnovnog zadatka – prevođenje naziva. aktivnog direktorijuma. radna stanica će ujedno moći da proveri da li poseduje naziv koji je potpuno jedinstven na datoj mreži. još od 1985. radna stanica neće svoj naziv smatrati registrovanim i neće ga uzeti u svoju tabelu NetBIOS naziva. bukvalno. kada svoju radnu stanicu isključite. mogli imati jedan WINS server u Evropi. Afrikanci na afričkom na afričkom serveru a Amerikanci na severno-američkom severu. ne bi radio ništa drugo osim sortiranja/spajanja zapisa. Što se. donje granice tiče. To. znači da ne bi bilo loše rezervisati relativno mali broj servera – možda čak i samo jedan – koji. izgleda da je najkraći interval obnavljanja. nazivni sistem na Microsoftovim mrežama okrenut je naglavačke. ukoliko takav fajl uopšte postoji na njenom hard disku. pak. a to je ostlo na snazi i pod operativnim sistemima XP i server 2003. Evropljani će obavljaati svoju registraciju na evropskom serveru. ili ako radna stanica otkrije da je WINS server nedostupan? Problem dupliranih naziva. saopštavajući mu da joj NetBIOS naziv više nije potreban. apsolutno 157 . u pravilnim vremenskim intervalima. nakon njenog startovanja. koji WINS server može da prihvati. Kao rezultat toga. on će radnoj stanici reći: „Ne možete upotrebiti taj naziv“. takože. ona će ka WINS serveru uputiti zahtev za „oslobađanjem naziva“ (name release). za razliku od primarnog.serveru. naravno. ono zbog činjenice da se sadržaj ove baze podataka nije mnogo promenio u odnosu na jučerašnji dan. kao i poruka kojom server potvrđuje prijem tog zahteva (acknowledgement). ako je tako konfigurisana). NT 3. ne može da pronađe WINS server na mreži onda će se vratiti na upotrebu starih metoda.  DNS: centrala naziva u aktivnim direktorijumima Pojavom Windoesa 2000 ili. koji se naziva intervalom važenja (renewal interval). Ali. A. preko WAN linkova ka Evropi i Americi. pre nego što istekne period važenja njihovih trenutnih naziva. kako se to ože postići? Sigurno je da ni u kom slučaju ne bismo želeli da vršimo prenos čitave afričke baze podataka sa nazivima. A onda bi se. 40 minuta. omogućavajući WINS serveru da ovaj naziv upotrebi za registraciju neke druge mašine. radi kreiranja jedne globalne svetske liste WINS zapisa. Windows 9x. rešava se veoma jednostavno – umesto da radnoj stanici pošalje odgovor daje registracija protekla „uspešno“ WINS server će joj odgovoriti da je čitav postupak pretrpeo „neuspeh“. recimo. ako ni zbog čega drugog. fiksni period važenja. Microsoftovim mrežama suvereno vladao NetBIOS. na taj način što bi.x i 4. Ako je. jedan u Africi i jedan u severnoj Americi. Tokom procesa registracije svog naziva na WINS serveru. predstavljaju usmerene (directed) IP poruke. kako bi se postigla ušteda u propusnom opsegu WAN linkova. šta ako nešto krene naopako? Šta ako pokušavate da registrujete naziv koji je već dodeljen nekoj drugoj radnoj stanici. preciznije. one mogu bez poteškoća preći preko rutera. nekom vrstom sortiranja/spajanja njihove baze podataka bio načinje svojevrstan amalgam od ova tri servera. godine i pojave MS-neta. Ali. ali i daće konsultovati LMHOSTS fajl (ili možda HOSTS fajl. ovaj period traje 6 dana (144 časa). sekundarni server voljan da komunicira sa klijentom. Po podrazimevanoj vrednosti. WINS klijenti takože šalju „zahtev za obnavljanjem naziva“.x. tako da. Kao i kod DHCP-a. od kojih se traži svo to sortiranje i spajanje zapisa. zasnovanoj na upotrebi TCP/IP protokola. ova tri WINS servera mežusobno povezivala. Kao rezultat toga. S obzirom da i zahtev za registracijom. što znači da će se uglavnom oslanjati na emiotovanje poruka. registracija naziva na WINS serveru ima. Stoga je svakoj mreži. pa preko različitih verzija LAN Managera i operativnih sistema Windows for Workgroups. Ali. WINS na svoje nazivne zapise kači odgovarajuće vremenske i sekvencijalne brojčane oznake.

com domenu. izmišljen još davne 1984. a-z. pre pojave WINS-a. ujedinjeni preko domena aktivnog direktorijuma. pravila koja su u izvesnom smilslu.com sastoji od četiri različita dela. DNS serveri. obično za svega par sekundi. DNS-ova sposobnost rasta – njegova srazmernost (scalability) – predstavlja veliki plus za Aktivni Direktorijum. Drugo. dok preostali delovi. odmah obratiti lokalnom serveru zaduženom za minasi. ili „nazivnog prostora“ (name space).  Anatomija DNS naziva DNS poseduje sopstvena pravila za davnje naziva kompjuterima.bigfirm. LMHOST fajlolvi. kao podrška pri prevođenju NetBIOS naziva.com.test.biz naziv domena/sufiksa  DNS nazivni prostor Ogromna veličina mreža na kojima DNS može upravljati nazivima bukvalno je zapanjujuća. pojavom mreža koje se zasnivaju na aktivnom direktorijumu. na primer. Nasuprot tome. godine. tako da se. možete bez problema pronaći adresu bilo kog drugog kompjutera na Internetu.minasi. DNS predstavlja sistem za prevođenje naziva. Dakle. ako svoj web pretraživač usmerimo na www.minasi. dati IP adresu tog kompjutera. jer bez njega ne možete pronaći željene resurse na Internetu. Baza podataka sa nazivima svih kompjutera na Intrenetu predstavlja zaista velliku bazu koja se svakog trenutaka menja – ali. Sa bilo kog kompjutera na Inernetu. DNS nazovi se sastoje iz više delova. naziv kompjutera mypc.biz. ako su uopšte i postojali. Ovaj sistem Vam omogućava da svoj web pretraživač usmerite na mašinu sa „prijateljskim nazivom“. saznajemo da se ovaj kompjuter nalazi na domenu test. uzećemo za primer neki PC kompjuter.bigfirm. on će Vam.minasi. To praktično znači da je vlasnik ovog domena odgovoran da nam omogući nesmetano pronalaženje www mašine na minasi. Ako neki DNS naziv rastavite na delove. sve se potpuno izmenilo. 158 . Nadalje. ne uspevši da u svojoj bazi pronađe IP asresu kompjutera www. a nepobitno se dokazao i kao jednostavan i fleksibilan način za upravljanje nazivima na najvećoj mreži na svetu. Dužina svkog dela ne može biti veća od 63 karaktera. odnosno. može se rastaviti na sledeća dva dela: mypc + naziv mašine + test. na njegovoj desnoj strani.minasi. upotrebom takozvane globalne DNS hijerhije. DNS sada predstavlja srce AD nazivnog sistema.com. dok maksimalna dužina čitavog naziva iznosi ukupno 255 karaktera. DNS omogućava znatno jednostavnije korišćenje e-maila. predstavljaju naziv njegovog DNS domena ili DNS sufiksa. čiji pun naziv glasi myps. mđusobno odvojenih tačkama. Na mrežama koje se sastoje isključivo od Windows 2000 i novijih operaativnih sistema i aplikacija.minasi.com domen.com. Da bi smo započeli sa analizom načina funkcionisanja DNS hijerarhije.test. DNS je od presudnog značaja. naziv mašine mypc. naš lokalni DNS server će se. zahtevajući od njega da „prevede“ ovaj naziv. zaključujemo da naziv kompjutera glasi mypc. restriktivnija od onih kojima so morali da se povinujemo pod NetBIOS-om.  Upoznavanje sa hijerarhijom Odgovornost za praćenje odnosa na relaciji „nazivi IP adrese“ spuštena je na lokalni nivo – na primer. Ako mu date naziv bilo kog kompjutera na Internetu. Prema RFC 1123. ipak besprekorno funkcioniše. ako pokušavamo da pronađemo www. Bez obzira koju vrstu domena koristite. pri čemu je kompanija Acme jednostavno zanemarila upravljanje nazivima na svom domenu. 0-9 i ’’-’’. prilikom kreiranja DNS naziva možete upotrebiti isključivo sledeće karaktere: A-Z.com. WINS je potpu no izlišan. Prvo. koji je za potrebe Interneta.acme.bio neophodan WINS.com.test. imali su drugorazredan značaj. uz pomoć takoćvanih MX zapisa. ta njihova lenjost će uticati samo na potencijalne posetioce nekog Acme računara. deo koji se nalazi krajnje levo predstavljaće naziv konkretnog kompjutera. Međutim. primera radi.

Morali bismo.  Zašto je DNS hijerarhiju potrebno graditi baš na ovakav način Poznato je da se u. prethodno morao da dobije odgovarajuće odobrenje od osobe koja je zadužena za upravljanje domenom minasi. svaki put kada na mrežu postavimo neki novi kompjuter o tome bismo morali da obavestimo nekog službenika u centralnom svetskom skladištu HOSTS fajla i da zatim živimo u nadi da će on blagovremeno izvršiti ažuriranje tog fajla. koji je pod kontrolom kompanije Network Solutions.com. dakle.com? On je. kada na mrežu priključimo novi kompjuter. kada se Internet (koji još uvek nije nosio naziv Internet. uočićemo da se na samom kraju kopletnog naziv nalazi još jedna tačka. izvršio ažuriranje HOSTS fajla.minasi. za koje nam je baš stalo da imaju mogućnost pronalaženja nažeg Web servera. jer je. Znači. vidimo da test predstavlja subdomen ili dete-domen domena pod nazivom minasi. za kreiranje domena „minasi.com“. u tu svrhu nije potrebno pribaviti saglasnost drugih . koja je bila priključena na ARPAnet. radi kreiranja minasi. Ako malo pažljivije pogledamo.acme. ICANN-a više uopšte ne interesuje kako će Network Solutions delegirati odgovornosti nad svojim subdomenima. radi kreiranja domena minasi. postavio novi kompjuter na svoju lokalnu mrežu. domen com predstavlja dete-domen domena „.com – nakon što je ICANN (root momci) jednom prepustio kontrolu nad direktorijumom . zatim.com domenom. sve što poseduje IP adresu naziva hostom.Čitajući s leva na desno. Kada bi neko.com ili saralee. ili ICANN). a ovaj bi. dakle. Prema tome.com. kompanija Network Solutions nije morala da traži dozvolu od ljudi iz ICANN-a da bi dodlila domen minasi.kao.minasi.com domena bila je potrebna samo dozvola ljudi koji upravljaju .test. Ako pretpostavimo da na Internetu ima 200 milona kompjutera i da svaki zapis u HOSTS fajlu ima dužinu od oko 40 karaktera – to bi ukupno iznosilo oko 8 gigabajta. šta predstavllja minasi. jednostavno. na jednom serveru MIT Instituta.. Dakle. radi kreiranja domena com bilo je potrebno zahtevati dozvolu . To praktično znači da je kreator domena test. dete-domen (child domen) domena pod nazivom. koja je vlasnik root (. Root domen 159 . u stvari.com.com uopšte ne bismo morali da tražimo dozvolu od Network Solutions.“ koji se izgovara kao „dot“ i naziva korenom (root) DNS hijerarhije. da se svakog dana po jedanput konektujemo na neki centralni server i da sa njega preuzmemo 8 giga podataka. com.com – bilo je potrebno samo zeleno svetlo samo od roditeljkog (parent) . ili drugim rečima. pod nazivom „minasi“. ako bismo poželeli da kreiramo još neki subdomen domena minasi. u slučaju kada web sajt www. Jedanput dnevno.com želimo da prebacimo sa jednog kompjutera na drugi.) domena (U početku. na nekoj udaljenoj lokaciji. Prema tome. posedovati najažurniju verziju našeg HOSTS fajla. Na isti način. sadržao listu svih hostova na tadašnjem Internetu.koja se dodeljuje samo jednom . TCP/IP svetu. ibm.com. ali je kasnije ova odgovornost prebačena na neprofitnu organizaciju pod nazivom Internet Corporation for Assigned Names and Numbers.com domena. mypc.com momcima iz Network Solutions. onda bi ta osoba jednostavno kontaktirala nekog iz MIT-a. neko je morao da od ljudi koji su zaduženi za domen com zatraži dozvolu za kreiranje jednog subdomena domena com. Nadalje. Nadalje.com. nego ARPAnet) sastojao od svega par stotina kompjutera. Dakle. ili nekom postojećem nazivu promenimo IP adesu . Ovaj fajl je nazvan HOSTS.test. Ali. na primer.minaasi. Na početku 80-ih godina prošlog veka. ko god to bio. vlasništvo nad korenim domenom je pripadalo Vladi SAD. Što je još gore. postojao je fajl koji je sadržao listu naziva i IP aadresa ovih „nekoliko“ kompjutera.com kompanija. kao što su microsoft. Strogo precizno govoreći.. svi korisnici bi se konektovali na MIT server i sa njega preuzeli sveže ažuriranu verziju HOSTS fajla.com.com nije kompletan DNS naziv – mypc.od odgovarajuće organizacije. menjajući pri tom IP adresu tog sajta – onda bi nam preostalo smo da će svi stanovnici Internetlenda.

com .com.2 Hijerarhija javnog DNS-a  Top-level domeni Ispod root domena postoji doslovno na stotine takozvanih top-level (najvišeg nivoa) domena. vojne i obrazovne institucije.com. Ovo ostrvo broji ukupno 604 stanovnika a 1995 godine njihov glavni izvozni artikal je bio kokosovo brašno. Primera radi. čitava nazivna hijerarhija DNS-a bila je pod kontrolom jednog konzorcijuma različitih agencija Vlade SAD.mil i .minasi.net i .minasi. Nadalje. Gde će naš lokalni DNS server potražiti adresu www mašine na domenu minasi.org. daleko najrasprostranjeniji domeni su.cc domena“. U opštem slučaju.minasi.com.rs. Među njima su svakako najpoznatiji .000 stanovnika). poznatog pod nazivom InterNIC.rs doj.com prevede u odgovarajuću IP adresu. očigledno je da Ottawa odlučuje o tome ko će vršiti registraciju na . danas možda svi stanovnici ovog malenog ostrva žive od bogatstva koje su steli kao „kraljevi dot.com.domen Mypc Slika 3. Kako pretraživač mora da sazna IP adresu www.net u ispravnom stanju. čime je ova firma dobila odrešene ruke. Top-level domeni . . kako će naš DNS server uopšte da pronađe DNS server za minasi.com hq. međutim. kao i da na . . kojoj je.tv sajtovima neće moći da se prodaju televizori bez prethodne dozvole Tuvalanaca. po pitanju održavanja top-level domena .(root) .com minasi.com . doduše nešto brojnija (oko 10.com. . sve do kasnih 90-ih godina.gov Domen najvišeg nivoa (top-level) waco.org i .edu obično se odnose na državne.vel domni nalaze Različiti top-level domeni nalaze se pod kontrolom različitih organizacija.org microsoft.. Pojedine Države odlučile su da svoj top-level domen ponude na registraciju kao što je to slučaj sa ostrvskom državom Cocs Keeling Island koju mnogi njeni žitelji upotrebljavaju kao alternaativu .uk i tako dalje.doj. Velika Britanija . Jednostavno – obratiće se DNS serveru za domen minasi. . Radi kreiranja second-level domena.tv.net i . Tada je. .com.doj. koji su postali neka vrsta globalnih „svaštarskih“ (catch all) domena.  Second-level domeni: pretraživanje hijerarhije Second-level domen može se kreirati samo uz blagoslov vlasnika roditeljskog domena. Drugi interesantan primer predstavlja takođe jedna ostrvska država. ovaj konzorcijum sklopio ugovor sa privatnom firmom Network Solutions. . Ali.minasi.com.gov mswatch.gov .net Domen drugog nivoa (second –level) . po imenu Tuvalu.com mašine on će od loalnog DNS servera zatražiti da naziv www.com. Pretpostavimo da smo web pretraživač usmerili na www.minasi.net domenima.com test.org ili . Međutim. roditeljski domen može da uradi samo jednu stvar: da odgovornost za nazive na second-level domenu „delegira“ na nkoj od mašina. važi pravilo da adresu DNS servera bilo kog domena možete pronaći tako što ćete je zatražiti od DNS servera njegovog 160 . svakako. Naime. Sjedinjene Američke Države poseduju . igrom slučaja dodeljen top-level domen sa marketinški izuzetnim nazivom .us.ca domenu.gov Subdomen ili dete .gov.org domeni. koji su pod suverenom kontrolom kompanije Network Solutions sa sedištem u severnoj Virdžiniji. svaka država poseduje sopstveni top level domen – za Srbiju to je .

to znači da adresu DNS servera z domen com možete dobiti sa servera njegovog roditeljskog „. sve dok konačno ne pronađe DNS server koji može odgovoriti na njegovo pitanje. a DNS servere za domen com pronašli smo tako što smo upitali root.com DNS servera.minasi. locira adresu DNS servera za domen root.com. 6.dns – običan ASCII fajl. koji se može pregledati uz pomoć Notepada – a smešten je unutar direktorijuma \\winnt\system32\dns (ili. potrebno je da budu ispunjena dva uslova: 161 . da smo odlučili da naš domem podelimo na više subdomena ili dece-domena.com DNS server. 9. on će od njega zatražiti adrese DNS servera za do men com. nakon čega će od minasi. on je od njega zatražio adresu DNS servera za domen com. s obzirom da root nema roditelja? Odgovor glasi: „upotrebićemo trik“. konačno. Radi pronalaženja DNS servera za domen com. Dakle.com. pod nazivom root hints file. Svaki primerak DNS serverskog softvera sadrži jednu vrstu liste sa trikovima.minasi.minasi. deca-domeni ili subdomeni Pretpostavimo sada. naš DNS server je odlučio da poraži root DNS servere.com i. Zamislite da smo kreirali jedan subdomen pod nazivom test. od nekog servera sa com domena.minasi. jer su oni odgovornost za prevođenje naziva na domenu minasi. dok DNS serveri za domen com sadrže u sebi NS zapise. naš DNS server je zaključio da treba da pronađe minasi.roditeljskog (parent) domena – drugim rečima.com. sve dok ne dođe do roota. 4. videli smo da DNS server vrši prevođenje naziva tako što najpre kreće nagore po DNS hijerarhiji. root i com domeni ne bi trebalo da budu sposobni za prevođenje naziva www na domenu minasi. zatražiti adresu minasi. Kada. jer domen com predstavlja roditeljski domen minasi.com domena. kreirali smo jedan subdomen i dodelilil mu naziv test. 8. Da sumiramo šta se sve dogodilo kada je naš lokalni server pokušao da prevede naziv www. Koristeći IP adresu root DNS servera. naš DNS server je saznao iz root hints fajla. Da bi pronaša minasi.com. DNS servere DNS servere za minasi. u kome su navedeni nazivi i IP adrese ukupno 13 „korenih“ DNS servera. na jemu se može pronaći fajl pod nazivom cashe. Šta je potrebno da bismo to postigli? –Delegiranje. 3.com DNS server. naš DNS server je zaključio da treba da pronađe adrese servera za domen com.com: 1. izvršit prevođenje naziva koje smo mu zadali.com DNS servere. kojima se odgovornost za domen com delegira na DNS com servere. Prvo. Ali. Da bi ovaj subdomen zaista postao realnost. kojima se odgovornost nazivnog servera za domen minasi. 2. ali od koga bi trebali da zatražimo adrese DNS servera za root. Naš DNS server je uzeo jednu od ovih adresa. zatražio adrese minasi. to jest na minasi. Ukoliko se radi o DNS serveru zasnovanom na nekom od Microsoftovih operativnih sistema. da se vratimo na početak. Taj minasi.com. Preciznije govoreći. Root DNS server je našem DNS serveru dao adrese DNS servera za domen com. u \windows\system32\dns).com DNS servera. zar root serveri ne bi trebalo da budu sposobni da sami prevedu naziv www.com servere.minasi.com. naš DNS server. pa zatim. root domen sadrži u sebi takozvane NS (name server) zapise.minasi. dakle. naš posao još uvek nije završen. pa zatim.com. jer se sada postavlja pitanje „Kako glasi IP adresa (ili adrese) DNS servera na com domenu?“ U skldu sa malopre definisanim pravilom.com servera zatražiti IP adresu mašine pod nazivom www. Iz prethodnog primera. sa prevođenjem naziva www.com? Odgovor je – ne. 7. IP adrese root DNS servera.com delegirali na jednu konkretnu grupu DNS servera.com DNS server je izvršio prevođenje traženog naziva i našem DNS serveru poslao IP adresu kompjutera www. Ali.  Domeni trećeg nivoa. eventualno.com DNS servera zatražio prevođenje naziva www. koja se nalazi na domenu minasi. Naš DNS server je od minasi.com pronašli smo uz pomoć servera za domen com. poslao je našem serveru adresu servera za domen minasi. od tog DNS servera za domen com. 10. 5.com.“ –root domena. DNS serveri na com domenu mogu nam saopštiti adrese svih servera na domenu minasi. u svom root hints fajlu.com delegira na minasi. DNS server domena com. da bi zatim krenuo u suprotnom smeru.minasi. koje kaže da adrese DNS servera nekog domena možete dobiti od DNS servera njegovog roditeljskog domena. Dakle.

Ova mašina bi. kreirati jedan NS zapis koji kaže „Unutar domena minasi. 3.11 Bezbednost Prvi zadatak svake mreže jeste da pruži određeni servis – ona predstavlja centralno esto za skladištenje jednostavnih objekata. od definisanja strogih pravila pristupa podacima do šifrovanja.  I drugo kad nedvosmisleno utvrdimo sa kim razgovaramo – odnosno.11.11. tako i moderne kompanije nastoje da sačuvaju svoja informaciona dobra. bezbednost kompjuterskih mreža se tipično svodi na dva osnovna elementa: provera autentičnosti (authentication) i autorizacija (authorization). svode na samo dva elementa: proveru autentičnosti (authentication) i dozvole (permissions)  Kao prvo. Administratori mreže moraju da obezbede da podaci uvek budu pouzdani i nepristupačni za druge. tako što ćemo.minasi. odmah iza leđa ovog prvog zadatka nala zi se drugi zadatak kompjuterske mreže: bezbednost. Postoje mnogobrojni mehanizmi koji se mogu upotrebiti za kao pomoć za očuvanje integriteta i tajnosti podataka. sama činjenica da je provera autentičnosti uspešno obavljena ne znači da će toj osobi automatski biti dozvoljen pristup. Na isti način kao što vlasnici radnje zaključavaju uazna vrata. To se postiže proverom autentičnosti. kad smo proverili njegovu autentičnost – moramo biti u stanju da na odgovarajućem mestu pronađemo podatke o tome šta je toj osobi dozvoljeno da uradi. sve se one. U opseg tih mehanizama spada sve.com subdomen. Mada postoji širok spektar bezbednosnih mera.1Potreba za bezbednošću Podaci jednog preduzeća ključni su za njegov opstanak i moraju da budu veoma dobro zaštićeni. poput e-maila. kao što su baze podataka. onda nemojte pitati mene. već ovaj drugi DNS server. u suštini. Nekada je većina kompjuterskih mreža bila slabo obezbeđena. To ćemo uraditi delegiranjem odgovornosti nazivnog servera.2Unošenje podataka Podaci su podložni napadu i krađi od trenutka kada korisnik upiše svoje ime i lozinku. ali je sama ljudska priroda neizbežno dovela do korenitih promena na ovom planu. pa ako želite da pronađete bilo koji naziv iz tog subdomena. radi prevođenja naziva mašina sa test.com. ormare sa dokumentima i registar kase da bi sačuvali svoja fizička dobra. morala imati stalan pristup Internetu.com domena. želeli bismo mogućnost identifikacije korisnika koji ulaze u našu mrežu. ostatak sveta moramo obavestititi da. Drugim rečima. deljeni štampači ili faks servisi. ili čak potpuno neobezbeđena.  Prvo moramo jednom od svojih kompjutera dodeliti ulogu DNS servera za test. naravno. pravljenja rezervnih kopija i obezbeđivanja stalne raspoloživosti podataka. 3. Drugo. Koliko često ste morali da upisujete lozinku dok vam je neko virio preko ramena? Bez obzira na brzinu kojom 162 . Bez obzira koje proizvođač mrežnog softvera koji koristimo. video konferencije i svih drugih tehnologija koje će se pojaviti u budućnosti. unutar DNS baze podataka na domenu minasi. Sve ovo ima za cilj da ljudima omogući različite oblike komunikacije. Međutim. to jest koje dozvole on poseduje. treba da potraže upravo njegov DNS server. tako da je sad apsolutno nemoguć povratak na staro.“ IX čas Sistemi datoteka X čas Deljenje i bezbednost datoteka 3. kao što su fajlovi. i nekih kompleksnijih objekata.com postoji jedan subdomen pod nazivom test.miinasi.

Cilj napadača mogu da budu računari na vašoj fizičkoj lokaciji ili cela vaša mreža. nadole kroz slojeve mrežnih protokola do mrežnog interfejsa upravljača domena. Kada tu vrstu aplikacije pokrenete unutar svoje mreže. odnosno postavljanjem komunikacionih zapreka niskog nivoa koje troše resurse servera dok ga potpuno ne obore.. koji se izvršava kada se učitaju određene datoteke. Ovo ubrzano postaje najjpopularniji način uništavanja vašeg truda: prvo. ona počinje da obavlja svoj prljavi posao. Ponekad se server obara samo da bi se prilikom ponovnog podizanja pokrenuo skriveni kod. ili u obliku syn napada. korisnik se loguje bez rizika odavanja tajnih podataka. poslovnu strategiju itd. Da bi se to sprečilo.BAT. Čitači pametnih kartica jedno su od najsofisticiranijih rešenja za utvrđivanje identiteta unutar domena Windowsa 2003. Na Internetu postoji velika količina virusnog koda koji možete slobodno preuzeti. Špijuniranje: Neki ljudi bi rado provalili u vaš „zabran“ da bi saznali poslovne tajne vaše organizacije. šteta je često nepopravljiva. što ne mora dabude nešto po čemu biste je odmah otkrili. najpre. brojeve bankovnih računa itd. Neprijateljske aplikacije: Na Internetu postoje „neprijateljski nastrojene“ aplikacije koje posetioci Web lokacija preuzimaju ništa ne suteći. Ako nisu šifrivani ili ako su vrlo slabo šifrovani. u Windowsu 2003 se koriste slođene tehnologije šifrovanja prilokom prenosa podataka i mrežnih komunikacija. pokušavaju da upadnu u baze podataka da bi ukrali brojeve kreditnih kartica.kucate. Oni ne žele da budu otkriveni i nastaviće da se kriju u vašem okruženju dok to bude potrebno. Odbrana od ovakve vrste napada je najteža. 3. Iako rukovanje prislušnim uređajima i špijuniranje obično nisu deo zadatka administratora mreže ili servera. Ova vrsta aplikacije poznata je i pod nazivo trojanski konj. pošto je kradljivcu potrebna i sama kartica da bi ostvario svoju nameru. finansijske podatke. jer najčešće ne znate gde napadaju niti šta traže. s ciljem da pronađe podatke koji bi ogli da budu korisni napadaču.3Prenos podataka Operativni sistem računara ili uređaja za unošenje podataka mora da prosledi podatke. Obaranje sistema: Svrha ove vrste napada j e da vas uništi.11. ono će prepisati vaše korisničko ime iz prijavnog ekrana i prijaviti se pod njim s nekog drugog računara. postoji mogućnost da neko ko prisluškuje saobraćaj na mreži presretne razmenu podataka između vašeg ulaznog uređaja i upravlajča domena. Zbog toga se svakog meseca pojavljuju nove varijacije postojećih 163 . jer ste povezani Internetom ili korisnicima dozvoljavate daljinski pristup. Hakeri.11.4Šta ugrožava bezbednost sistema?     Postoji mnogo razloga zbog kojih bi neko ugrozio bezbednost vašeg sistema. Pooću pametne kartice (smart card). Ukoliko napadači ostanu neotkriveni. prepraviti ili poboljšati svojim kodom. zlonamernici će pokupiti vaše lozinke brže nego što možete zamisliti.. Napadači su izuzetno motivisani da uspešno ostvare napad. Napadi virusa: Svakako najčešća vrsta napada na mrežu obavlja se putem virusa. Dobar primer toga su datoteke koje se izvršavaju prilikom podiazanja sistema kao što je AUTOEXEC. Napad kojim se sistem toliko zaguši da ne mož da obavlja svoje funkcije (Denial of Service. Ovo je najopasnija pretnja po bezbednost. špijuniranje putem mreže postje svakim danom sve verovatnije. ili bilo kog drugog sagovornika. Kada ne budete za svojimradnim stolom. DoS) može da bude u obliku zatrpavanja vašeg mrežnog prolaza (cilj je vaš prolaz na Internet) ogromnim brojem elektronske pošte. U mreži ima milion mesta na kojima može da se sakrije blok koda. nacrte proizvoda preduzeća. lične tajne zaposlenih. Podaci mogu da budu presretnuti bilo gde duž cele te putanje. koji pokreće određene procese. zbog zavisnosti vaše organizacije od mreže i drugo. 3. zato što napadač ne mora da bude fizički prisutan u vašoj mreži da bi izveo napad. jer je toliko jednostavno i zato što se na taj način dolazi do navećih dragocenosti. čitaju sadržaj datoteka i poruke elktronske pošte i gde god mogu. Suprotno tvrdnjama da postoje desetine hiljada potpuno različiti virusa.samo vrlo mali broj ljudi može da tvrdi da su sami napisali određeni virus od početka do kraja. putem mreže. kao i pri upisivanju datoteka na diskove i za njihovu zaštitu.

Hakeru je neuporedivo jeftinije i bezbednije da iz svog skrivenog kutka pokuša da upadne u mrežu kroz ulaz za daljinsko pristupanje ili vezu sa Internetom. od naerne zloupotrebe dodeljenih prava. moramo se uveriti i da sadržaj poruka koje šaljemo neće biti pročitan ili izmenjen dok one putuju mrežom. Iako smo još daleko od kancelarije bez papira. 3. Neznanje čini da korisnici često nemaju ažurne kopije antivirusnog softvera. Više nije tako. Opasnost može stići iz unutrašnjeg okruženja ako bezbednost sistema ugrožavaju ljudi koji su povezani sa firmom. Neke možete da otkrijete i očistite omoću antivirusnog softvera. Na primer: neko kome su data ovalšćenja administratora mreže može ih zloupotrebiti da bi sebi obezbedio pristup tajnim podacima. već je rezulta lošeg rada lenjog administratora servera ili mreže. Prema tome.6Unutrašnje okruženje Pretnje po bezbednost iz untrašnjeg okruženja potiču od zaposlenih u firmi. može da prikupi poverljive podatke i pošalje ih svom vlasniku.11. ponovnim pokretanjem operativnog sistema ili samim raspakivanjem komprimovane datoteke. nego najpre napada antivirusni softver. Izbrisane datoteke možete obnovite iz rezervnih kopija. mogućnosti upada u nihove mreže postale su još privlačnije. zaposlene u njoj ili njeeno poslovanje. da mu je pridružen digitalni potpis (javni ključ) pouzdanog proizvođača softvera. Oni pišu štetan kod koji korisnici nepažnjom preuzimaju sa Interneta. izbrisani direktorijumi za elektronsku poštu i tome slično. Poruke elektronske pošte danas imaju status korespodencije koja je vlasništvo firme i mogu da se koriste kao dokaz u sudskim sporovima ili kao izvor informacija pri planiranju napada na određenu osobu ili organizaciju. koristeći unutrašnje informacije. To mogu da budu zaposleni. bio je da ugrozite neku jenu fizičku imovinu. ljudi u ugvornom odnosu sa firmom ili klijenti firme. a njihovi napadi dolaze spolja. ili da preuzimaju sve vrste „smeća“ sa Interneta. Takav kod se može pokrenuti na više načina. Bezbednost sistema može da bude ugrožena na razne načine. zloglasni Backdoor-G. Napade obično izvode unutar sistema. Osim toga. To su potpuni stranci. uvodeći na taj način iz spoljašnjeg okruženja potencijalno opasan sadržaj u mrežu. Opasnost dolazi iz spoljnog okruženja kada bezbednost ugrožavaju ljudi koji nisu u ugovornom odnosu sa firmom. Pošto danas i mnogo manje kompanije mpogu sebi da priušte stalne veze sa Internetom. npr. Više nije ni neophdno da napadači unapred odaberu svoje ciljeve. Poruke elektronske pošte treba da budu zaštićene na dva nivoa. npr. 3. pod uslovom da se u vašoj firmi strogo poštuju pravila za izradu rezervnih kopija. Njihove posledice mogu da budu izbrisane datoteke. Veoma se lako može pratiti put kojim je poruka prošla Internetom dok nije stigla do sistema za elektronsku poštu. neznalice ili da prave nenamerne greške.5Spoljno okruženje Do nedavno. do otpunog neznanja ili gluposti. problem spada u oblast šifrovanja metodom javnog ključa. ipak se prema porukama elektronske pošte odnosima kao prema razglednicama. koji antivirusni softver otkriva nakon što ovaj izvrši svoj kod. Moramo biti sigurni da su osobe sa kojima komuniciramo zaista one za koje se izdaju. već zbog neznanja. druge su mnogo opasnije. Ne samo što time obara vaš PC pre nego što ga otkrijete. obnavljanje izbrisanih datoteka administratoru je izgubljeno vreme. gotovo svi podaci s čuvaju negde u mreži u deljenim datotekama i bazam podataka. jer to mora sam da uradi. U većini slučajeva. zaista je navažnije definisati pravila koja obezbeđuju da kod preuzet sa Interneta bude proverenog porekla. Kod. To znači da su mreža i server prepuni dragocenih podataka. već ih puštamo u promet tako da svako može da pročita njihov sadržaj. Ponekad to čine spolja. jedini način da ugrozite bezbednost neke organizacije ili da napadnete nju. 164 .virusa. Potpuno neznanje ili nenaerne greške često su uzrok glavobolja adminstratora. zatim. Ne stavljamo ih u zapečaćene koverte. koji mogu da budu zlonamerni. a ponekad bezbednost sistema nije ugrožena zbog nečije osvete ili zle namere.11. oštećenje baze podataka. Iako većina među nama više komunicira lektronskom poštom nego običnom. Često uzrok nema nikakve veze sa korisnicima. Zaštita poruka elktronske pošte postaje izuzetno važna. Bezbednost sistema može da bude ugrožena spolja i iznutra.

 Njegov prepoznatljivi GUI interfejs umnogome olakšava početne korake u njegovoj primeni Činjenica da Windows Server 2003 koristi GUI interfejs koji je. kao i veliki broj alata nezavisnih (thirdparty) proizvođača. navigacija kroz Server 2003 neće zadavati neke naročite probleme.1 po prvi put ugledao svetllost dana. sam po sebi. bez obzira čto je za ovaj operativni sistem kreiran čiroki spektar različitih GUI interfejsa.XI čas XII čas XIII čas XIV čas XV čas Evidentiranje događaja u WINDOWS SERVER 2003 Bezbedonosna pitanja u mrežnim operativnim sistemima Daljinsko povezivanje na mrežu (RAS servis) Organizacija mrežnih usluga (FTP. neke stvari su malo ispremeštane. zbog čega bismo upotrebili NT ili njegovu najnoviju inkarnaciju Windows Server 2003?  On je lider na tržištu Većinaa statističkih podataka ukazuje da familija Microsoftovih operativnih sistema vlada najvećim delom tržišta – po nekim statistikama oni su instalirani na 43 procenata svih serverskih računara. ujedno podrazumeva da je za ove operativne sisteme najlakše pronaći stručne konultante. tehničku podršku.  Mnogi alati se isporučuju „u paketu“ Kada je NT 3. WEB. Novell NetWare. oni su još uvek tromi i nespretni. Doduše. kad se jednom nauči Windows. Intranet) Terminalske usluge 4 ZAŠTO KORISTITI WINDOWS SERVER 2003 Kompjutersku mrežu bismo mogli izgraditi na temelju velikog broja drugih operativnih sistema. u osnovi. uglavnom oslanjaju na uptrebu komandne linije. kao i čitavu grupu drugih korisnih alata. IBM-ovih OS/400 ili MVS. Upotrebom Severa 2003 često možemo sami otkriti kako da rešimo neki problem. uključujući Unix. kod njegovog glavnog konkurenta 165 ... u poređenju sa onim operativnim sistemima koji se radi obavljanja zadataka iz oblaasti upravljanja. Compaqov VMS. bilo je prosto očaravajuće to što je on u sebi sadržao dial-in modul. Činjenica da im pripada lavovski deo tržišta. isti kao kod Windowsa 9x/Me – ujedno znači da stotine miliona ljudi već uapred zna kako da uspešno krstare po 2003 desktopu. koje je. tako što ćemo malo „prošetati“ po GUI interfejsu – on je. mnogo zahvalniji za istraživanje. ali uopšte uzev. Linux. PRINT. Mada Linux predstavlja prilično moćan operativni sistem činjenica je da njegov korisnički interfejs nije za početnike.

Primera radi. nije Microsoftov marketinški stil. jer na taj način imate mogućnot da uočite ključne pogreške svojih rivala. sistem za šifrovanje fajlova (Encrypted File System). Naime. tu je još bio i besplatan web server i još mnoge druge stvari. Kada se analiziraju Microsoftovi proizvodi. nego da mukotrpno traže najbolji mogući alat za svaku pojedinačnu oblast kompjuterskih mreža.. Da rezimiramo – zašto upotrebiti baš Server 2003? On je prilično pouzdan. koji služi da bilo kom korisniku onemogućite prisvajanje celokupnog slobodnog prostora na hard disku nekog deljenog fajl servera. mogu zasovoljiti većinu svojih mrežnih potreba korišćenjem jednog programskog paketa: Servera 2003. Nadalje. Xerox. ali su oni imali dovoljno novca i upornosti da ovaj projekat izguraju do kraja. već. neosporna je činjenica da je za većinu ljudi mnogo isplativije da kupe jedan jedini proizvod. takođe ukrao. većina će to prokomentariati kao otvorenu krađu tuđih ideja. Međutim. Daleko od toga da su svi ovi alati savršeni. Naprotiv. koji se sasvim pristojno uklapa u skoro sve njihove mrežne potrebe. sistem za dodeljivanje kvota na disku (disk quota systema). nije ništa manje zadivljujući – ali je MIcrosoft uspeo da sve vreme drži na odstojanju svoje glavne konkurente. i drugi operativni sistemi su počeli da u svoje osnovne verzije uključuju sve više dodatnih karakteristika – primera radi . GUI interfejs.uk u to vreme. nije izmislila kompanija Apple. očigledno je da u njima verovatno nećemo naći neke vrhunske alate. činjenica je da je izuzetno teško ustanoviti ko je zaista kreator originalnih primenjenih ideja.0. pokušaje i pokušaje. Novell NetWarea. FTP server. Microsoft poseduje nešto što će mnogi nazvati nepoštenom prednošću. Od tada pa naovamo. njihova prva dva mrežna produkta. sofisticirani Internet ruter. primera radi. bila su prilično slaba u poređenju sa konkurentskim. osnovna vezija Servera 2003 (pored svoje bazične funkcije servera fajlova i servera štampanja) sadrži još i: web server. Primera radi. ponekad može predstavljati ogromnu prednost. oličena u operativnim sistemima Windows CE 1. Neki kažu da je MIcrosoft ukrao najbole ideje od Novella i Apllea. Veoma mali broj larakteristika Windows Servera 2003 predstavlja nešto što u životu nikada niste videli. širok spektar različith alata koji se isporučuju u paketu sa Linuxom. na SQL-u zasnovani server baze podataka i mnoštvo drugih alata. kao i na implementaciju novih alata kojima podržava svoje konkurente. što je konačno dovelo do nastanka daleko savršenijeg proizvoda – operativnog sistema NT. ponovo. trebalo posebno kupovati. alate za centralizovanu distribuciju softvera (Group Polices).0 i 2. Uesto toga. u vreme kada su drugi operativni sistemi naplaćivali debele pare za njegovo korišćenje. e-mail server. izgleda. dvostepeni sistem skladištenja podataka na disku (Remote Storage Manager). koje pokušavaju minimiziraju broj dobavljča sa kojima posluju. U svakom slučaju. od kojih dsu najžšći bili momci iz PalmOS-a. I dok ogorčeni protivnici Microsofta svim silama nastoje da ovu kompaniju predstave kao gomilu stručnjaka za otimačinu.. Istina. kako Server 2003 pruža makar osnovnu mogućnost za upravljanje kvotama. tako što je u svakoj verziji ponudio potpuno novih pomoćnih alata. ovaj softverski gigant svu svoju snagu usredsrežuje na postepeno poboljšanje svojih proizvoda.. može da uradi većinu stvari koje se obično zahtevaju od mrežnog operativnog sistema. onda se pojavio Pocket PC koji će od PalmOS-a definitivno preoteti mnogo veći deo tržišta nego što je to Windows CE ikada bio u stanju. MS-Net i LAN Manager. koja se ogleda u dovoljnoj količni novca za nebrojene pokušaje. navodno. to. Ne biti prvi momak u gradu. mnoge prodavnice. godine. svi njihovi prethodni napori da slome konkurenciju na tržištu palmtop računara. koji je MIcrosoft. Još jedan primer ovakve strategije desio se 2001. njegova cena je razumna i već ga upotrebljava dovoljno veliki broj ljudi. tako da je mala verovatnoća da ćemo strašno pogrešiti ako se opredelimo za njegovu primenu. sa pojavom Microsoftovog operativnog sistema Pocket PC 2002. a njihov IPX/SPX predstavlja Flagrantnu „krađu“ jednog protokola kopanije Xerox. rezultovali su u dva prilično neslavna pokušaja. Osim toga. Novell nije izmislio umrežavanje. NT je sadržao i potpuno besplatan paket TCP/IP protokola. ipak. što u ni u kom slučaju nije bez osnova. alate za automatizovanu instalaciju radnih stanica (Remote Installation Services). on se sastoji od destilovanih dobtih ideja velikog broja ljudi. 166 . prilično je trom i nepouzdan.