Professional Documents
Culture Documents
• Ranije verzije NT-a, od 3.1 do 4, u tu svrhu su koristile jedan jedini fajl pod nazivom
SAM (Securiti Accounts Manager).
• Ovaj fajl je sadržao: korisničko ime korisnika, ime i prezime, lozinku, dozvoljeno
vreme prijavljivanja, rok trajanja naloga, opis, itd.
• Ipak, na jednom malom broju računara biće smeštena entralizovana baza podataka
Aktivnog direktorijuma .
1
Aktivni direktorijum
• U najjednostavnijem obliku ga možemo uporediti s gigantskim
telefonskim imenikom koji omogućava korisniku da pomoću imena i
prezimena pronañe odreñeni telefonski broj i da zatim automatski
uspostavi vezu s vlasnikom tog broja.
2
Čemu služi direktorijum?
• Upravljanje aplikacijama (Application Management) –
olakšava distribuiranje aplikacija.
– Omogućava kreiranje i korišćenje konfiguracionih objekata i
informacija bez obzira na to gde korisnik instalira ili poziva
aplikaciju.
• Distribuirana administracija (Distributed
Administration) - omogućava da se administrativne
funkcije i odgovornost raspodele na više celina.
– Usluga distribuiranog imenika omogućava da se administriranje
korisnika i mrežnih resursa raspodeli širom organizacije.
– Pošto aktivni imenik može da bude izdeljen tako da potpuno
preslikava organizacionu strukturu preduzeća, moguća je i
raspodela administrativnih poslova po delovima te strukture.
3
X.500 specifikacija
• Osnova prvih direktorijuma je bila X.500 specifikacija.
• Deo aplikacionog sloja u ISO OSI modelu – grupa
protokola.
• Cilj specifikacije X.500 bio je da obezbedi standarde i
interfejse za otvorenu i meñuoperativnu globalnu i
distribuiranu uslugu direktorijuma.
• X.500 čine mnogobrojne komponente (baze podataka)
koje meñusobno sarañuju kao jedinstvena celina.
• Kičma sistema je baza podataka direktorijuma (Directory
Information Database, DIB).
• Od samog nastanka, X.500 je bio opterećen brojnim
ograničenjima; pored toga specifikacija je bila previše
detaljna.
LDAP
• Specifikacija X.500 je definisala protokol pomoću koga
su servisi mogli da pristupaju podacima u X.500 bazama
podataka.
• Protokol za pristup imeniku (Directory Access
Protocol, DAP) –opsežan skup funkcija koje su klijentu
omogućavale da dodaje podatke u X.500 imeniku, menja
ih i briše.
• Laki protokol za pristup imeniku (Lightweight
Directory AccessProtocol, LDAP ) - DAP je bio previše
složen i pružao je veću funkcionalnost od one koja je bila
potrebna za realizovanje usluge imenika, pa je
napravljena pojednostavljena verzija.
4
LDAP - Osobine
• LDAP je smešten na TCP/IP steku, a ne na OSI steku.
• Svaki klijent koji ima IP adresu može da šalje i prima
pakete pomoću IP protokola, ali i da pristupa uslugama
imenika koji podržava LDAP protokol i koristi ih.
• LDAP može da obavlja hiperpretraživanje, što je
mogućnost jednog imenika da tražene informacije dobija
od drugog imenika.
• Još od svog “ranog detinjstva”, LDAP je implementirao
bogat skup API funkcija zasnovanih na jeziku C, pa je C
postao de facto programski jezik za usluge direktorijuma.
5
LDAP Komponente 2/2
• Funkcionalni model:
– Odreñuje metode pretraživanja i menjanja objekata u imeniku.
– Opisuje operacije dodavanja i menjanja stavki u imeniku,
brisanja i pretraživanja objekata.
• Topološki model:
– Na koji način organizovati stablo
– Propisuje kako se usluge imenika uklapaju u druge kompatibilne
imenike ili kako sarañuju s njima.
– Mogućnost LDAP imenika da referenciraju druge imenike ili da
od njih traže podatke sastavni je deo ovog modela.
11
12
6
Registar i Aktivni direktorijum 2/2
Razlike
• Aktivni direktorijum je:
– distribuirana baza sa više glavnih primeraka – multi-
master (imenici u mreži ravnopravnih članova
ažuriraju jedan drugog gotovo u realnom vremenu);
– sagrañen na osnovu otvorenih Internet standarda;
– objektno orijentisan;
– meñuoperativan sa DNS-om;
– sposoban da obradi zahtev svakog mrežnog klijenta
koji koristi TCP/IP;
– sposoban da se širi do gigantskih razmera.
13
Napomena
14
7
Aktivni direktorijum i domeni
15
Domeni
• Domen Aktivnog direktorijuma je grupa računara koji
dele zajedničku bazu podataka Aktivnog direktorijuma.
• Ime domena mora biti jedinstveno i lokalno i na
Internetu.
– Npr. ne mogu postojati dva domena microsoft.com, ali je
moguće imati domen roditelj microsoft.com sa potomcima
seatle.microsoft.com i ny.microsoft.com.
• AD može imati jedan ili više domena.
• Ime se mora registrovati (www.internic.net).
• Svaki domen ima sopstvene bezbednosne politike i
odnose poverenja (trust relationships) s drugim
domenima.
• Domeni mogu da se prostiru na više fizičkih lokacija, a te
lokacije mogu imati više podmreža.
16
8
DNS
• Sistem imena domena (Domain Name System DNS) je
hijerarhijski sistem za imenovanje računara, servisa ili
resursa povezanih na mrežu (lokalnu ili Internet).
• DNS predstavlja distribuiranu bazu podataka.
• Ljudi više vole mnemonička imena, ali su ona teška za
obradu ruterima, koji treba da prosleñuju poruke.
• Zato DNS prevodi imena resursa u mreži u numerički
oblik (npr. www.microsft .com u IP adresu 65.55.12.249).
• Različiti nivoi unutar hijerarhije definišu računare i
organizacione domene.
– Npr. u imenu zeta.microsoft.com, zeta predstavlja ime računara,
microsoft je organizacioni domen, a com je domen najvišeg
nivoa.
17
DNS
18
9
Izvorni domeni najvišeg nivoa
Sufiks Namena Primer
com Komercijalne organizacije (preduzeća) microsoft.com
edu Obrazovne institucije berkeley.edu
gov Vladine (državne) institucije nasa.gov
rs, uk Oznaka države blic.rs
int Meñunarodne organizacije () eu.int
org Nekomercijalne organizacije ieee.org
net Organizacije za umrežavanje mci.net
mil Vojne institucije army.mil
info Informativne lokacije windows .info
name Lična imena petar.name
museum Muzeji, muzejska udruženja smithsonian.museum
19
DNS
20
10
Šuma
• Svaki domen ima DNS ime domena (npr.
microsoft.com).
• Kada jedan ili više domena dele iste podatke u
direktorijumu, onda oni čine šumu.
• Iz ovoga sledi da je šuma sinonim za Aktivni
direktorijum.
• Imena domena u toj šumi mogu biti susedna i
nesusedna u DNS hijerarhiji.
21
11
Nesusedna imena
• Ako domeni u šumi imaju nesusedna (discontiguous) imena, oni formiraju posebna
stabla u okviru šume.
• Šuma može imati jedno ili više stabala domena.
• Više stabala se formira kada je potrebno imati više imenskih prostora u istoj
organizaciji (npr. kada se kupi firma i želi da se zadrži njeno ime).
23
24
12
Odnosi poverenja 2/2
(Trusted Relationships)
25
Organizacione jedinice
• Organizacione jedinice su podgrupe unutar domena koje
obično održavaju funkcionalnu ili poslovnu strukturu
organizacije.
13
Razlozi za korišćenje organizacionih jedinica
27
28
14
Lokacije
29
Server član
30
15
Kontroler domena
• Kontroler domena je računar na kojem se izvršava
verzija Windows Server OS-a i koji ima instaliran Aktivni
direktorijum.
Replikacija
32
16
Replikacija
• Zbog multimaster strukture, svi kontroleri
domena imaju istu odgovornost.
• Meñutim, neki kontroleri domena mogu dobiti
prednost u odnosu na druge za odreñene
zadatke.
• Npr. neke zadatke je najbolje da obavlja jedan
server – ažuriranje šeme.
• Server koji izvršava ovakav tip zadatka zove se
master operacija (operations master).
– Npr. schema master ili domain naming master –
uloge kreiranja šeme i dodeljivanja imena domena
33
Algoritmi za replikovanje
• Najnovije izmene treba da budu što efikasnije
distribuirane (min. opterećenje mreže).
• Algoritmi za replikovanje imaju tri ključna zadatka:
– utvrñivanje izmena koje treba replikovati
– sprečavanje nepotrebnih replikacija (beskonačni ciklus izmena
koje lutaju mrežom)
– rešavanje sukoba (kada dva administratora unose promene u isti
objekat u isto vreme.)
• Ti algoritmi su samoučeći i samoisceljući: ako neki
kontroler domena smatra da mu nedostaju izmene
učinjene u nekom drugom kontroleru domena, on
zahteva da mu se te izmene proslede.
34
17
Globalni katalog 1/3
36
18
Globalni katalog 3/3
• Na njemu je smeštena potpuna replika svih atributa
objekata u direktorijumu njegovog matičnog domena i
delimična replika svih atributa objekata sadržanih u
direktorijumu svakog domena u šumi.
37
38
19
Objekti i šema 1/2
39
40
20
Struktura AD i arhitektura smeštaja
podataka
• Struktura Aktivnog direktorijuma i arhitektura smeštaja
podataka sastoji se iz 4 dela:
– Domeni i šume AD-a.
• Zajedno sa organizacionim jedinicama čine jezgro logičke strukture
AD-a. Šuma definiše jedinstven direktorijum i predstavlja
bezbednosni okvir.
– DNS podrška za AD.
• DNS obezbeñuje servis za razrešavanje imena za lokaciju
kontrolera domena, kao i hijerarhijsku strukturu koju AD može
iskoristiti za kreiranje imena koji će odraziti organizacionu strukturu.
– Šema.
• Šema sadrži definicije objekata smeštenih u direktorijumu.
– Skladište podataka (data store)
• Deo Aktivnog direktorijuma koji upravlja skladištenjem i
pretraživanjem podataka na svakom kontroleru domena.
41
Šuma
Informacije o
Informacije o domenu i OJ
šumi su
su smeštene na kontrolerima
smeštene na
odgovarajućih domena
svim
kontrolerima
domena
42
21
DNS podrška za AD
• AD koristi DNS kao svoj mehanizam za lociranje kontrolera domena.
• Kad god se izvršava neka od glavnih operacija (autentikacija,
ažuriranje, pretraživanje) koristi se DNS za lociranje kontrolera
domena, a ti kontroleri domena koriste DNS za meñusobno
lociranje.
– Na primer, kada se korisnik s nalogom prijavi na neki AD domen,
računar korisnika koristi DNS da odredi kontroler domena za domen na
koji korisnik želi da se prijavi.
• Da bi se izvršila prijava (logon) na mrežu koja se sastoji od AD
šume, klijentov računar mora prvo da locira najbliži kontroler
domena.
• To je neophodno za inicijalnu autentikaciju kako računara, tako i
korisnika, kao i za autorizaciju korisnika za korišćenje datoteka i
resursa koji su mu potrebni. DNS podrška omogućava računaru
klijenta da locira kontroler domena.
43
Šema 1/1
• Šema aktivnog direktorijuma sadrži definicije svih
objekata u direktorijumu.
• Postoji jedna šema za svaku šumu.
• Kopija šeme postoji na svakom kontroleru domena u
šumi.
• Na taj način svaki kontroler domena ima brzi pristup za
bilo koju definiciju objekta koja mu je potrebna, a svaki
kontroler domena koristi istu definiciju kada kreira objekt,
čime se obezbeñuje integritet podataka.
• To rezultira situacijom da se svi objekti kreiraju na isti
način, pri čemu nije bitno koji kontroler domena kreira ili
modifikuje objekat jer svi koriste istu definiciju objekta.
44
22
Šema 2/2
45
Skladište podataka
46
23
Upravljanje korisnicima i grupama
47
Šta je korisnik?
• Korisnik je svaki proces, računar, ureñaj ili tehnologija
koja za obavljanje odreñenog posla mora da primeni
neki objekat u mreži ili neki računar.
48
24
Kontakti
Korisnički nalozi
• Korisnički nalog predstavlja zapis koji obuhvata sve informacije koje
definišu korisnika u sistemu mrežnog operativnog sistema.
50
25
Tipovi korisničkih naloga
51
52
26
Korisnički nalozi domena
53
54
27
Administratorski nalog
• Ugrañeni nalog Administrator koristi se da bismo mogli
da upravljamo celokupnom konfiguracijom računara i
domena.
Nalog Guest
• Namera drugog ugrañenog naloga Guest je da omogući
korisnicima koji nemaju otvoren nalog, da se prijave i
koriste mrežne resurse.
56
28
Razlozi za postojanje naloga Guest
57
Mašinski nalozi
• Mašinski nalozi (engl. computer accounts) bezbednosni je subjekt i
direktni je potomak objekta User.
58
29
Formiranje korisničkih naloga
60
30
Rad s korisničkim nalozima
61
UPN
62
31
Format korisničkog imena
• Korisničko ime može biti do 20 karaktera, malim, ili velikim slovima,
ili u kombinaciji.
Grupe 1/4
• Grupe predstavljaju skladišta (skupove) koji se sastoje
od više korisnika, kontakata, računara ili drugih grupa.
64
32
Grupe 2/4
65
Grupe 3/4
66
33
Grupe 4/4
67
68
34
Tipovi grupa 1/2
69
70
35
Domet grupa
71
Globalne grupe
72
36
Lokalne grupe
73
74
37
Univerzalne grupe
• Nova opcija od Windows Servera 2000.
• Njih karakteriše:
– otvoreno članstvo-dodajemo članove iz bilo kog domena,
– pristup resursima u bilo kom domenu-ovde se grupa koristi
za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo
kom domenu u šumi.
• One su mnogo korisnije od globalnih, ili lokalnih, jer su
neuporedivo fleksibilnije, ali se mogu koristiti samo kada
je domen native (prirodan), što zahteva da su svi
kontroleri domena na Windows-u 2000/2003.
• Poželjno je izbegavati direktno dodavanje korisnika, već
samo ugnezditi druge grupe.
– Razlog: replikuju se i imena i članstvo – vreme replikacije raste.
75
Primer
76
38
Primer
• Držanje ljudi koji se bave finansijama u različitim
globalnim grupama, u različitim domenima, omogućava
finiju kontrolu nad resursima karakterističnim za region i
administraciju.
• Ali, postoje neki centralni resursi koji treba da budu
dostupni svim F&A ljudima iz GOR-a, koji se nalaze u
Centralnim Finansijama.
• Moguće je sve tri globalne grupe smestiti u jednu
univerzalnu grupu koja će se zvati GOR F&A.
• Zatim se sve smešta u Lokalnu grupu (lokalna grupa
dopušta pristup samo lokalnim resursima).
77
Standardne grupe
78
39
Neke standardne grupe 1/2
40
Dozvole i prava
Primeri
• Primeri prava:
– da se logujete na sistem,
– da izmenite sistemsko vreme,
– da isključite sistem (shutdown)
– da radit backup fajlova i direktorijuma
• Primeri dozvola:
– u vezi s datotekama
– kontrola sadržaja domena i OJ-a
– mogućnost kontrole ko može pokrenuti i zaustaviti
odreñeni servis
82
41
Dozvola - primer
• Primer dozvola za fajl – Grupa Everyone može da čita i izvršava sadržaj
fajla.
83
ACL
• ACL (Access Control List) – lista za kontrolu pristupa
• ACE (Access Control Element) – element liste za kontrolu pristupa – jedan red u listi.
84
42
Prava
• Prava su u principu slična dozvolama, ali se ne dodeljuju
preko ACL-ova.
85
Dodeljivanje prava
86
43
Grupne polise 1/2
87
– itd.
88
44
GPO Primer
89
90
45
Voditi računa o ukupnim troškovima
nabavke i korišćenja
• Ukupni troškovi nabavke i korišćenja (UTK) su
finansijska procena ukupnih direktnih i indirektnih
troškova proizvoda ili sistem.
91
92
46
Nove grupe
• Pre nego što kreirate novu grupu,
proverite da li je ona zaista potrebna.
93
94
47
Odrediti bezbednosni nivo
95
96
48
Delegiranje odgovornosti
97
49
Planiranje aktivnog direktorijuma
99
Osnove planiranja
50
Komponente planiranja
1) plan domena,
2) plan prostora imena domena,
3) plan strukture organizacionih jedinica i
4) plan strukture sajta.
101
102
51
Plan domena 2/4
104
52
Plan domena 4/4
106
53
Plan strukture OJ 1/2
• Organizacione jedinice se mogu hijerarhijski
organizovati u vidu ugnježdavanja.
107
108
54
Plan strukture lokacije (sajta) 1/ 2
110
55