Aktivni direktorijum

SAM (Security Accounts Manager)

• Svaki operativni sistem, čak i onaj koji se odlikuje najminimalnijom bezbedošću,
poseduje u sebi jedan ili više fajlova, koji zajedno čine bazu podataka poznatih
korisničkih naloga.

• Ranije verzije NT-a, od 3.1 do 4, u tu svrhu su koristile jedan jedini fajl pod nazivom
SAM (Securiti Accounts Manager).

• Ovaj fajl je sadržao: korisničko ime korisnika, ime i prezime, lozinku, dozvoljeno
vreme prijavljivanja, rok trajanja naloga, opis, itd.

• Svi operativni sistemi iz NT familije, uključujući i Windows 2000 Professional i XP,

upotrebljavaju SAM fajlove na radnim stanicama.

• Po podrazumevanoj vrednosti, Windows Server 2003 serveri takoñe sadrže I

upotrebljavaju SAM.

• Ipak, na jednom malom broju računara biće smeštena entralizovana baza podataka
Aktivnog direktorijuma .

1
 Aktivni direktorijum
• U najjednostavnijem obliku ga možemo uporediti s gigantskim
telefonskim imenikom koji omogućava korisniku da pomoću imena i
prezimena pronañe odreñeni telefonski broj i da zatim automatski
uspostavi vezu s vlasnikom tog broja.

• Aktivni direktorijum je univerzalno distribuirano spremište za podatke

kroz koje na standardizovan način može da se pristupa svim mrežnim
objektima, kao što su konfiguracije aplikacija, usluge, računari,
korisnici i procesi, i to širom cele lokalne mreže ili šire mreže čiji je
ona deo.

• AD je ključan za kreiranje mreža Win Servera i upravljanje njima, kao

i za povezivanje starijih verzija Windows mreža (NT).

• Važan je i za povezivanje sa Internetom.

• AD je stoprocentno LDAP i IP kompatibilan.

Čemu služi direktorijum?

• Jednokratno prijavljivanje (Single Sign-On) -
prijavljivanje na različite aplikacije i resurse u sistemu
pomoću jednog ID-a i lozinke, koristeći Kerberos, MIT-
ovu tehnologiju identifikacije korisnika.
– Kerberos to čini tako što koristi “ulaznice” (engl. tickets) –
identifikacione značke – koje dodeljuje direktorijumski servis.

• Upravljanje promenama (Change management) –

obezbedjivanje standardnih metoda i procedura za
efikasno i blagovremeno upravljanje promenama IT
infrastrukture (npr. izmene podataka i konfiguracije).

2
 Čemu služi direktorijum?
• Upravljanje aplikacijama (Application Management) –
olakšava distribuiranje aplikacija.
– Omogućava kreiranje i korišćenje konfiguracionih objekata i
informacija bez obzira na to gde korisnik instalira ili poziva
aplikaciju.
• Distribuirana administracija (Distributed
Administration) - omogućava da se administrativne
funkcije i odgovornost raspodele na više celina.
– Usluga distribuiranog imenika omogućava da se administriranje
korisnika i mrežnih resursa raspodeli širom organizacije.
– Pošto aktivni imenik može da bude izdeljen tako da potpuno
preslikava organizacionu strukturu preduzeća, moguća je i
raspodela administrativnih poslova po delovima te strukture.

Osnova aktivnog direktorijuma

3
 X.500 specifikacija
• Osnova prvih direktorijuma je bila X.500 specifikacija.
• Deo aplikacionog sloja u ISO OSI modelu – grupa
protokola.
• Cilj specifikacije X.500 bio je da obezbedi standarde i
interfejse za otvorenu i meñuoperativnu globalnu i
distribuiranu uslugu direktorijuma.
• X.500 čine mnogobrojne komponente (baze podataka)
koje meñusobno sarañuju kao jedinstvena celina.
• Kičma sistema je baza podataka direktorijuma (Directory
Information Database, DIB).
• Od samog nastanka, X.500 je bio opterećen brojnim
ograničenjima; pored toga specifikacija je bila previše
detaljna.

LDAP
• Specifikacija X.500 je definisala protokol pomoću koga
su servisi mogli da pristupaju podacima u X.500 bazama
podataka.
• Protokol za pristup imeniku (Directory Access
Protocol, DAP) –opsežan skup funkcija koje su klijentu
omogućavale da dodaje podatke u X.500 imeniku, menja
ih i briše.
• Laki protokol za pristup imeniku (Lightweight
Directory AccessProtocol, LDAP ) - DAP je bio previše
složen i pružao je veću funkcionalnost od one koja je bila
potrebna za realizovanje usluge imenika, pa je
napravljena pojednostavljena verzija.

4
 LDAP - Osobine
• LDAP je smešten na TCP/IP steku, a ne na OSI steku.
• Svaki klijent koji ima IP adresu može da šalje i prima
pakete pomoću IP protokola, ali i da pristupa uslugama
imenika koji podržava LDAP protokol i koristi ih.
• LDAP može da obavlja hiperpretraživanje, što je
mogućnost jednog imenika da tražene informacije dobija
od drugog imenika.
• Još od svog “ranog detinjstva”, LDAP je implementirao
bogat skup API funkcija zasnovanih na jeziku C, pa je C
postao de facto programski jezik za usluge direktorijuma.

LDAP Komponente 1/2

• Model podataka:
– Opisuje način na koji se pristupa podacima u imeniku.
Model podataka je neposredan naslednik modela
podataka iz specifikacije X.500.
– Objektima se pridružuju podaci tako što se atributima
objekata dodeljuju vrednosti.
• Organizacioni model:
– Model obrnutog stabla, koji je takoñe neposredan
naslednik modela iz specifikacije X.500.
• Bezbednosni model:
– Odreñuje način na koji se kontroliše i štiti pristup
podacima. LDAP koristi identifikaciju pomoću lozinki
primenom tehnologije Kerberos. Koristi i SSL.
10

5
 LDAP Komponente 2/2

• Funkcionalni model:
– Odreñuje metode pretraživanja i menjanja objekata u imeniku.
– Opisuje operacije dodavanja i menjanja stavki u imeniku,
brisanja i pretraživanja objekata.

• Topološki model:
– Na koji način organizovati stablo
– Propisuje kako se usluge imenika uklapaju u druge kompatibilne
imenike ili kako sarañuju s njima.
– Mogućnost LDAP imenika da referenciraju druge imenike ili da
od njih traže podatke sastavni je deo ovog modela.

11

Registar i Aktivni direktorijum 1/2

Sličnosti
• Prvenstvena namena registra je da stabilizuje operativni
sistem kao spremište za podatke.
• Služi za upravljanje podacima i konfigurisanje aplikacija i
računara.
• Sličnosti sa Aktivnim direktorijumom:
– takoñe baza podataka, ponešto šifrovana i složena, ali ipak baza
podataka;
– otvoren i pristupačan;
– softverski sistem koji može da se programira;
– struktura koja može da se replicira (od jednog originala), čime se
obezbeñuje osnova za distribuiran sistem;
– sistem hijerarhijskih struktura, koji sadrži zapise s podacima o
konfiguraciji.

12

6
 Registar i Aktivni direktorijum 2/2
Razlike
• Aktivni direktorijum je:
– distribuirana baza sa više glavnih primeraka – multi-
master (imenici u mreži ravnopravnih članova
ažuriraju jedan drugog gotovo u realnom vremenu);
– sagrañen na osnovu otvorenih Internet standarda;
– objektno orijentisan;
– meñuoperativan sa DNS-om;
– sposoban da obradi zahtev svakog mrežnog klijenta
koji koristi TCP/IP;
– sposoban da se širi do gigantskih razmera.

13

Napomena

• Konfiguracione podatke o aplikacijama nikako

ne čuvati u tekstualnim datotekama.

• Uvek koristiti registar ili Aktivni direktorijum.

14

7
 Aktivni direktorijum i domeni

15

Domeni
• Domen Aktivnog direktorijuma je grupa računara koji
dele zajedničku bazu podataka Aktivnog direktorijuma.
• Ime domena mora biti jedinstveno i lokalno i na
Internetu.
– Npr. ne mogu postojati dva domena microsoft.com, ali je
moguće imati domen roditelj microsoft.com sa potomcima
seatle.microsoft.com i ny.microsoft.com.
• AD može imati jedan ili više domena.
• Ime se mora registrovati (www.internic.net).
• Svaki domen ima sopstvene bezbednosne politike i
odnose poverenja (trust relationships) s drugim
domenima.
• Domeni mogu da se prostiru na više fizičkih lokacija, a te
lokacije mogu imati više podmreža.
16

8
 DNS
• Sistem imena domena (Domain Name System DNS) je
hijerarhijski sistem za imenovanje računara, servisa ili
resursa povezanih na mrežu (lokalnu ili Internet).
• DNS predstavlja distribuiranu bazu podataka.
• Ljudi više vole mnemonička imena, ali su ona teška za
obradu ruterima, koji treba da prosleñuju poruke.
• Zato DNS prevodi imena resursa u mreži u numerički
oblik (npr. www.microsft .com u IP adresu 65.55.12.249).
• Različiti nivoi unutar hijerarhije definišu računare i
organizacione domene.
– Npr. u imenu zeta.microsoft.com, zeta predstavlja ime računara,
microsoft je organizacioni domen, a com je domen najvišeg
nivoa.

17

DNS

• Domeni najvišeg nivoa su koreni u hijerarhiji –

domeni korena.

• Oni su organizovani na sledeći način:

– geografski, korišćenjem kodova zemalja (rs, uk)
– po vrsti organizacije (com)
– po funkciji (mil, edu)

18

9
 Izvorni domeni najvišeg nivoa
Sufiks Namena Primer
com Komercijalne organizacije (preduzeća) microsoft.com
edu Obrazovne institucije berkeley.edu
gov Vladine (državne) institucije nasa.gov
rs, uk Oznaka države blic.rs
int Meñunarodne organizacije () eu.int
org Nekomercijalne organizacije ieee.org
net Organizacije za umrežavanje mci.net
mil Vojne institucije army.mil
info Informativne lokacije windows .info
name Lična imena petar.name
museum Muzeji, muzejska udruženja smithsonian.museum

19

DNS

• Normalni/osnovni domeni (npr. microsoft.com)

se zovu i domeni roditelji.

• Oni mogu biti podeljeni u poddomene, koji se

koriste za različite službe, sektore ili geografske
lokacije (jacob.seattle.microsoft.com).

20

10
 Šuma
• Svaki domen ima DNS ime domena (npr.
microsoft.com).
• Kada jedan ili više domena dele iste podatke u
direktorijumu, onda oni čine šumu.
• Iz ovoga sledi da je šuma sinonim za Aktivni
direktorijum.
• Imena domena u toj šumi mogu biti susedna i
nesusedna u DNS hijerarhiji.

21

Stablo (Susedna imena)

• Kada domeni imaju susednu (contiguous) strukturu
imenovanja, kaže se da su u istom stablu domena.

• U gornjem primeru domen koren ima dva potomka, koji

imaju svoje poddomene.
• Svi domeni su deo istog stabla, jer imaju isti domen
koren.
22

11
 Nesusedna imena
• Ako domeni u šumi imaju nesusedna (discontiguous) imena, oni formiraju posebna
stabla u okviru šume.
• Šuma može imati jedno ili više stabala domena.
• Više stabala se formira kada je potrebno imati više imenskih prostora u istoj
organizaciji (npr. kada se kupi firma i želi da se zadrži njeno ime).

23

Odnosi poverenja 1/2

(Trusted Relationships)

• Često je potrebno da resursi iz jednog domena,

npr. korisnici, treba da pristupaju resursima u
drugom domenu.

• Podrazumeva se da resursi iz jednog stabla i

šume veruju jedan drugom.

• Pošto to ne važi za domene na drugim stablima

u drugim šumama, ti odnosi moraju eksplicitno
da se postave.

24

12
 Odnosi poverenja 2/2
(Trusted Relationships)

• Odnos poverenje koji važi u samo jednom

smeru je jednosmeran odnos poverenja.

• Kada poverenje važi u oba smera, odnos je

dvosmeran.

• Odnosi poverenja su tranzitivni (tj. ako A veruje

B-u i B veruje C-u, tada i A veruje C-u)

25

Organizacione jedinice
• Organizacione jedinice su podgrupe unutar domena koje
obično održavaju funkcionalnu ili poslovnu strukturu
organizacije.

• To su logičke jedinice koje sadrže korisničke naloge,

deljene resurse i druge organizacione jedinice.
– Npr. domen microsoft.com može imati organizacione jedinice
Human Resources, IT, Engineering, Marketing.
– Ove organizacione jedinice mogu dalje da se granaju.

• Objekti smešteni u organizacionu jedinicu mogu da doñu

samo iz domena roditelja.
- Npr. org. jedinice pridružene s domenom seattle.microsoft.com
sadrže samo objekte za taj domen, ne možete dodavati objekte
iz ny.microsoft.com.
26

13
Razlozi za korišćenje organizacionih jedinica

• Dozvoljavaju da dodelite polisu grupe (npr. prava pristupa)

malom skupu resursa u domenu, bez primene polise na ceo
domen – omogućava upravljanje polisama na odgovarajućem
nivou u preduzeću.

• Stvaraju manje, upravljivije poglede na objekte direktorijuma u

domenu – pomaže efikasnijem upravljanju resursima.

• Omogućuju delegiranje autoriteta i lako kontrolisanje

administrativnog pristupa resursima domena.

27

Logičke i fizičke strukture

• Logičke strukture služe za za organizovanje objekata direktorijuma
i upravljanje mrežnim nalozima i mrežnim resursima.

• Logičke strukture uključuju:

– šume domena
– stabla domena
– domene
– organizacione jedinice

• Fizičke strukture omogućuju mapiranje strukture fizičke mreže.

• Služe da olakšaju komunikaciju mreže i da postave fizičke granice
oko mrežnih resursa.
• Fizičke strukture uključuju:
– lokacije (grupa računara na jednoj ili više IP podmreža)
– podmreže

28

14
 Lokacije

• Lokacija (sajt) je grupa računara na jednoj

ili više IP podmreža.
• Lokacije se koriste za preslikavanje fizičke
strukture mreže.
• To preslikavanje je nezavisno od logičkih
struktura domena.
– Moguće je stvoriti više lokacija unutar domena
ili jednu lokaciju koja opslužuje više domena.

29

Server član

• Server član (member server) je računar na

kojem se izvršava verzija Windows Server OS-a
i koji nema instaliran Aktivni direktorijum.
• Pripada domenu.
• Serveri članovi obično imaju funkcije sledećeg
tipa: fajl serveri, aplikativni serveri, serveri baze
podataka, itd.
• Serveri članovi umesto Aktivnog direktorijuma
sadrže lokalnu bazu podataka naloga: Security
Accounts Manager (SAM).

30

15
 Kontroler domena
• Kontroler domena je računar na kojem se izvršava
verzija Windows Server OS-a i koji ima instaliran Aktivni
direktorijum.

• Objekti u direktorijumu su distribuirani na svim

kontrolerima domena u šumi i svi kontroleri domena
mogu biti direktno ažurirani.

• Svaki kontroler domena u šumi poznaje stukturu stabla

za celu šumu, uključujući i veze izmeñu stabala.

• Replikacija aktivnog direktorijuma je proces kojim se

promene koje nastanu u Aktivnom direktorijumu
automatski prenose na druge kontrolere domena koji
sadrže iste podatke.
31

Replikacija

• Domeni mogu imati jedan ili više kontrolera

domena.
• Kada postoji više kontrolera domena, oni
automatski meñusobno repliciraju podatke u
direktorijumu koristeći multimaster model
replikacije.
• Ovaj model dozvoljava bilo kojem kontroleru
domena da obrañuje promene u direktorijumu, a
potom replicira te promene u drugim
kontrolerima domena.

32

16
 Replikacija
• Zbog multimaster strukture, svi kontroleri
domena imaju istu odgovornost.
• Meñutim, neki kontroleri domena mogu dobiti
prednost u odnosu na druge za odreñene
zadatke.
• Npr. neke zadatke je najbolje da obavlja jedan
server – ažuriranje šeme.
• Server koji izvršava ovakav tip zadatka zove se
master operacija (operations master).
– Npr. schema master ili domain naming master –
uloge kreiranja šeme i dodeljivanja imena domena

33

Algoritmi za replikovanje
• Najnovije izmene treba da budu što efikasnije
distribuirane (min. opterećenje mreže).
• Algoritmi za replikovanje imaju tri ključna zadatka:
– utvrñivanje izmena koje treba replikovati
– sprečavanje nepotrebnih replikacija (beskonačni ciklus izmena
koje lutaju mrežom)
– rešavanje sukoba (kada dva administratora unose promene u isti
objekat u isto vreme.)
• Ti algoritmi su samoučeći i samoisceljući: ako neki
kontroler domena smatra da mu nedostaju izmene
učinjene u nekom drugom kontroleru domena, on
zahteva da mu se te izmene proslede.

34

17
 Globalni katalog 1/3

• Globalni katalog predstavlja centralno skladište

informacija o objektima koji se nalaze u stablu ili
šumi.

• On se automatski kreira na inicijalnom

kontroleru domena u prvom domenu u šumi.

• Kontroler domena koji čuva primerak globalnog

kataloga naziva se server globalnog kataloga.
35

Globalni katalog 2/3

• Dve su osnovne funkcije koje treba da

izvrši globalni katalog i to:
1) Obezbeñuje ulaznu tačku za utvrñivanje
identiteta korisnika – za login.
2) Da omogući pronalaženje informacija
direktorijuma nezavisno od toga koji domen
u šumi sadrži tražene podatke.

36

18
 Globalni katalog 3/3
• Na njemu je smeštena potpuna replika svih atributa
objekata u direktorijumu njegovog matičnog domena i
delimična replika svih atributa objekata sadržanih u
direktorijumu svakog domena u šumi.

• Delimična replika podrazumeva one atribute koji se

najčešće koriste u postupcima pretraživanja.

• Svaki kontroler domena opciono može da se konfiguriše

kao server globalnog kataloga i preporuka je da svaka
lokacija u mreži obavezno ima barem jedan server
globalnog kataloga.

37

Struktura aktivnog direktorijuma

38

19
 Objekti i šema 1/2

• Smeštanje informacija u AD se obavlja preko

objekata, a svi objekti su definisani u šemi.

• Definicije objekata sadrže informacije, kao što su

tip podataka i sintaksa, koje AD koristi za
proveravanje da li su objekti validni.
– Npr. ako je reč o telefonskom broju, sintaksa može da
ograniči unos cifara od 0-9.

• Podaci ne mogu biti smešteni u AD pre nego što

se u šemi definišu objekti za njih.

39

Objekti i šema 2/2

• Podrazumevana (default) šema sadrži sve definicije
objekata koje su AD-u potrebne za funkcionisanje, ali je
moguće dodati i nove objekte.

• Korisnik vidi AD kao logičku strukturu čiji su elementi

domeni i šume, ali je sam direktorijum implementiran
kroz fizičku strukturu koja se sastoji iz baze podataka
smeštene na svim kontrolerima domena u šumi.

• Sve pristupe bazi podataka kontroliše AD.

40

20
 Struktura AD i arhitektura smeštaja
podataka
• Struktura Aktivnog direktorijuma i arhitektura smeštaja
podataka sastoji se iz 4 dela:
– Domeni i šume AD-a.
• Zajedno sa organizacionim jedinicama čine jezgro logičke strukture
AD-a. Šuma definiše jedinstven direktorijum i predstavlja
bezbednosni okvir.
– DNS podrška za AD.
• DNS obezbeñuje servis za razrešavanje imena za lokaciju
kontrolera domena, kao i hijerarhijsku strukturu koju AD može
iskoristiti za kreiranje imena koji će odraziti organizacionu strukturu.
– Šema.
• Šema sadrži definicije objekata smeštenih u direktorijumu.
– Skladište podataka (data store)
• Deo Aktivnog direktorijuma koji upravlja skladištenjem i
pretraživanjem podataka na svakom kontroleru domena.

41

Struktura AD i arhitektura skladišta podataka

Šuma

Informacije o
Informacije o domenu i OJ
šumi su
su smeštene na kontrolerima
smeštene na
odgovarajućih domena
svim
kontrolerima
domena

42

21
 DNS podrška za AD
• AD koristi DNS kao svoj mehanizam za lociranje kontrolera domena.
• Kad god se izvršava neka od glavnih operacija (autentikacija,
ažuriranje, pretraživanje) koristi se DNS za lociranje kontrolera
domena, a ti kontroleri domena koriste DNS za meñusobno
lociranje.
– Na primer, kada se korisnik s nalogom prijavi na neki AD domen,
računar korisnika koristi DNS da odredi kontroler domena za domen na
koji korisnik želi da se prijavi.
• Da bi se izvršila prijava (logon) na mrežu koja se sastoji od AD
šume, klijentov računar mora prvo da locira najbliži kontroler
domena.
• To je neophodno za inicijalnu autentikaciju kako računara, tako i
korisnika, kao i za autorizaciju korisnika za korišćenje datoteka i
resursa koji su mu potrebni. DNS podrška omogućava računaru
klijenta da locira kontroler domena.

43

Šema 1/1
• Šema aktivnog direktorijuma sadrži definicije svih
objekata u direktorijumu.
• Postoji jedna šema za svaku šumu.
• Kopija šeme postoji na svakom kontroleru domena u
šumi.
• Na taj način svaki kontroler domena ima brzi pristup za
bilo koju definiciju objekta koja mu je potrebna, a svaki
kontroler domena koristi istu definiciju kada kreira objekt,
čime se obezbeñuje integritet podataka.
• To rezultira situacijom da se svi objekti kreiraju na isti
način, pri čemu nije bitno koji kontroler domena kreira ili
modifikuje objekat jer svi koriste istu definiciju objekta.

44

22
 Šema 2/2

• Samo jedan kontroler domena može da menja

šemu (schema master).

• Tu ulogu može imati bilo koji kontroler domena,

koja se eksplicitno dodeljuje i može se menjati.

• Integritet podataka se obezbeñuje replikacijom.

45

Skladište podataka

• Skladište podataka (data store) je deo

direktorijuma koji upravlja smeštanjem i čitanjem
podataka na svakom kontroleru domena.

• Jedna od komponenti je baza podataka koja

sadrži podatke Aktivnog direktorijuma.

46

23
 Upravljanje korisnicima i grupama

47

Šta je korisnik?
• Korisnik je svaki proces, računar, ureñaj ili tehnologija
koja za obavljanje odreñenog posla mora da primeni
neki objekat u mreži ili neki računar.

• Podsistem za bezbednost Windows Servera 2003 ne

pravi nikakvu razliku izmeñu čoveka i ureñaja koji koriste
resurse operativnog sistema.

• Svi korisnici se tretiraju kao bezbednosni subjekti

(security principals) koji inicijalno imaju sva ovlašćenja.

• Svi objekti tipa korisnik izvedeni su od iste klase User

aktivnog direktorijuma, koja je izvedena od više roditelja.

48

24
 Kontakti

• Kontakti (contacts) su izvedeni od iste hijerarhije klasa

kao objekat tipa korisnik.

• Meñutim, objekat tipa kontakt ne nasleñuje od svog

roditelja bezbednost atributa.

• Kontakt se koristi samo u komunikacijama: za razmenu

poruka elektronskom poštom i faksom, za telefoniranje
itd.
– kontaktima možemo pristupati npr. iz Outlook-a

• Distribucione liste Windows Servera 2003 sačinjavaju

kontakti.
49

Korisnički nalozi
• Korisnički nalog predstavlja zapis koji obuhvata sve informacije koje
definišu korisnika u sistemu mrežnog operativnog sistema.

• Ove informacije uključuju korisničko ime i lozinku koji su potrebni da

bi se korisnik prijavio na sistem, grupe čiji je korisnički nalog član i
prava i dozvole koje korisnik ima za pristupanje mrežnim resursima.

• Korisnički nalog pruža korisniku mogućnost da se prijavi na računar

kako bi dobio pristup resursima na tom računaru, kao i da se prijavi
na domen kako bi dobio pristup resursima mreže gde se taj domen
nalazi.

• Korisničkim nalozima se pri kreiranju automatski dodeljuje

identifikator bezbednosti (SID – security identificator.)

50

25
 Tipovi korisničkih naloga

• Postoje tri tipa korisničkih naloga:

1) Lokalni korisnički nalozi
2) Korisnički nalozi domena
3) Ugrañeni korisnički nalozi

51

Lokalni korisnički nalozi

• Lokalni korisnik je korisnik koji se lokalno prijavljuje na radnu stanicu
ili server.

• Lokalni korisnik može da se prijavi na mašinu ispred koje sedi, na

kojoj postoji njegov nalog, ili na udaljenu mašinu za koju mu je
dodeljeno pravo da se prijavljuje lokalno.
– Na primer, to može da bude server za aplikacije kome udaljeni klijent
pristupa u okviru terminalske sesije.

• Kada se pravi lokalni korisnički nalog on se formira samo u

bezbednosnoj bazi podataka računara na kojem se pravi i ta se
baza naziva lokalnom bezbednosnom bazom podataka.

• Informacije iz te baze se ne repliciraju na kontrolere domena u

domenu.

52

26
 Korisnički nalozi domena

• Ovi nalozi omogućuju korisnicima da se prijave na domen i dobiju

pristup resursima bilo gde na mreži – važe na nivou cele
organizacije.

• Korišćenjem lozinke i šifre operativni sistem potvrñuje autentičnost

korisnika i zatim gradi token pristupa (access token) koji sadrži
informacije o korisniku i bezbedonosne parametre i koji važi sve
vreme dok je korisnik prijavljen.

• Ovaj nalog se pravi unutar nekog skladišta ili organizacione jedinice

u bazi podataka Aktivnog direktorijuma na kontroleru domena.

• Ta se informacija obavezno replicira na sve ostale kontrolere

domena iz domena.

53

Ugrañeni korisnički nalozi

• Predstavljaju naloge koji se automatski

prave od strane operativnog sistema.

• Obično su to dva naloga: Administrator i

Gost (guest).

54

27
 Administratorski nalog
• Ugrañeni nalog Administrator koristi se da bismo mogli
da upravljamo celokupnom konfiguracijom računara i
domena.

• Ovom nalogu dodeljuje se inicijalna lozinka koju smo

naveli prilikom instaliranja servisa Aktivnog direktorijuma
i predstavlja neizbrisiv nalog.

• Preporuka je da se taj nalog uvek preimenuje u neko

novo ime koje neće asocirati na nalog sa
administrativnim zadacima.

• Preporučuje se prijavljivanje sa standardnim korisničkim

nalogom, a ako se želi da se uradi neki administratorski
posao treba korisititi program Run as. 55

Nalog Guest
• Namera drugog ugrañenog naloga Guest je da omogući
korisnicima koji nemaju otvoren nalog, da se prijave i
koriste mrežne resurse.

• Podrazumeva se da ovaj nalog nema nikakvu lozinku i

da nije aktivan. I ovaj nalog možemo da preimenujemo.

• Ima pravo da se lokalno prijavljuje na lokalni računar ili

server – može da koristi ograničene resurse (e-mail,
štampač itd.)

• Nalog se može isključiti.

56

28
 Razlozi za postojanje naloga Guest

• Novi korisnik može da obavi deo posla dok čeka

da se otvori novi nalog.

• Korisnik čiji je nalog blokiran iz nekog razloga

može da pristupi Intranetu kompanije i lokalnim
resursima.

• Zaposlenom koji je suspendovan zbog prekršaja

može da se omogući ograničen pristup.

57

Mašinski nalozi
• Mašinski nalozi (engl. computer accounts) bezbednosni je subjekt i
direktni je potomak objekta User.

• Da bi odreñeni računar mogao da učestvuje u Windows mreži, treba

da postoji bezbedan način da se on prijavi u domen.

• Windows Server 2003 povećava stepen bezbednosti i kontrole nad

računarom tako što zahteva da on ima svoj nalog isto kao bilo koji
korisnik.

• Kada računar pridružujete domenu, treba da za njega napravite

nalog, a Windows mu dodeljuje SID.

• Postupak je isti kao kada pravite naloge za korisnike.

58

29
 Formiranje korisničkih naloga

• Konzola Active Directory Users and Computers

je glavna alatka za rad s korisničkim nalozima.

• Postoji samo na računaru koji je domen

kontroler.

• Lokalni korisnički nalozi na serveru članu ili

radnoj stanici čuvaju se u SAM (Security
Accounts Manager) bazi podataka.
59

Active Directory Users and Computers

60

30
 Rad s korisničkim nalozima

• Active Directory Users and Computers

pruža administratoru sredstva za sledeće
aktivnosti:
1) Kreiranje, menjanje i brisanje korisničkih
naloga
2) Dodeljivanje Log On scriptova korisničkim
nalozima
3) Upravljanje grupama i članstvima u grupama
4) Kreiranje i upravljanje grupnim načelima

61

UPN

• Pri kreiranju naloga može se uneti i UPN

(User Principal Name).
• To je puno ime korisničkog naloga,koje se
sastoji iz korisničkog imena i imena
domena, razdvojenih znakom @.
• Npr. john@seattle.microsoft.com
• To ime mora biti jedinstveno u šumi.

62

31
 Format korisničkog imena
• Korisničko ime može biti do 20 karaktera, malim, ili velikim slovima,
ili u kombinaciji.

• Da bi se izbegla konfuzija sa specijalnim karakterima sintakse,

korisničko ime ne sme sadržati : „ \ / [ ] : ; | = , + * ? < >

• Ime može sadržati razmake i tačke, ali se ne može u potpunosti

sastojati od tačaka i razmaka.
– Treba izbegavati razmake jer se u tom slučaju ta imena moraju stavljati
meñu znake navoda u slučaju pisanja skriptova, ili izdavanja komandi
sa komandne linije.

• Ime mora biti jedinstveno na računaru, za lokalne naloge ili

jedinstveno u domenu.
– Meñutim, ime korisničkog naloga u domenu može biti isto kao i ime
lokalnog naloga na računaru koji je član domena, a nije kontroler, što
može biti zbunjujuće.
63

Grupe 1/4
• Grupe predstavljaju skladišta (skupove) koji se sastoje
od više korisnika, kontakata, računara ili drugih grupa.

64

32
 Grupe 2/4

• Grupe su podržane u aktivnom imeniku i u

bezbednosnom podsistemu lokalnog računara.

• Grupa umanjuje rad administratora, tako što

omogućuje da se dozvole i prava dodele grupi
korisnika umesto da ih pojedinačno dodeljujemo
svakom korisničkom nalogu.

65

Grupe 3/4

66

33
 Grupe 4/4

• Grupe formiramo i koristimo prvenstveno da bismo prava

pristupa objekata tipa korisnik i grupa ograničili na
odreñenu bezbednosnu celinu.

• To znači da grupe mogu da se koriste u ulozi

bezbednosnog filtra, kroz koji se korisnicima i drugim
grupama odobrava pristup odreñenim resursima.

• Grupe možemo da koristimo i za formiranje distribucionih

lista (to je još jedna nova vrsta grupe), odnosno lista za
slanje.

67

Grupe i organizacione jedinice

• Organizacione jedinice nisu bezbednosni subjekti (npr.

ne možete nekom iz OJ Finansije dodeliti pristup
štampaču).

• Grupa može da sadrži članove koji pripadaju različitim

organizacionim jedinicama i domenima.

• Jedna organizaciona jedinica uvek pripada samo jednom

domenu.

68

34
 Tipovi grupa 1/2

• Grupe se mogu klasifikovati kao bezbednosne i

distributivne.

• Oba tipa grupa čuvaju se u Aktivnom

direktorijumu, što nam omogućava da ih
koristimo bilo gde na mreži.

• Kao i korisničkim nalozima, bezbednosnim

grupama se dodeljuje SID koji jednoznačno
odreñuje grupu.

69

Tipovi grupa 2/2

• Bezbednosnim grupama mogu da se šalju

poruke elektronskom poštom.

• Distributivnoj grupi možemo pridružiti kontakte i

korisničke naloge.
– pošto su kontakti znatno jednostavniji objekti,
preporučuje se da se velike distribucione grupe
popunjavaju isključivo kontaktima.

70

35
 Domet grupa

• Domet grupa (group scope) odreñuje

četiri vrste grupa:
1) Globalne
2) Lokalne
3) Lokalne u domenu
4) Univerzalne

71

Globalne grupe

• Imaju dve karakteristike:

– ograničeno članstvo: možemo da dodajemo članove
samo iz domena u kojem smo napravili globalnu
grupu
– pristup resursima u bilo kom domenu: omogućava
nam da grupu koristimo za dodeljivanje dozvola za
pristup resursima koji se nalaze u bilo kom domenu u
stablu ili šumi.
• Prema tome, globalne grupe se koriste za
dodelu prava i dozvola izvan granica mašine.

72

36
 Lokalne grupe

• Obične lokalne grupe su jedini tip grupe koji

postoji na usamljenim serverima i Windows
sistemima.
• Usamljeni server ili radna stanica, koji nisu
članovi domena prepoznaju samo svoje lokalne
grupe i korisnike.
• Lokalne grupe su jedine kojima se mogu dodeliti
prava za pristup resursima, a članstvo je
ograničeno na lokalne korisnike.

73

Lokalne grupe u domenu

• Imaju dve karakteristike:

– otvoreno članstvo: dodajemo članove iz bilo
kog domena
– pristup resursima u jednom domenu: ovde se
grupa koristi za dodeljivanje dozvola za
pristup resursima koji se nalaze u istom
domenu u kojem se grupa i pravi.

74

37
 Univerzalne grupe
• Nova opcija od Windows Servera 2000.
• Njih karakteriše:
– otvoreno članstvo-dodajemo članove iz bilo kog domena,
– pristup resursima u bilo kom domenu-ovde se grupa koristi
za dodeljivanje dozvola za pristup resursima koji se nalaze u bilo
kom domenu u šumi.
• One su mnogo korisnije od globalnih, ili lokalnih, jer su
neuporedivo fleksibilnije, ali se mogu koristiti samo kada
je domen native (prirodan), što zahteva da su svi
kontroleri domena na Windows-u 2000/2003.
• Poželjno je izbegavati direktno dodavanje korisnika, već
samo ugnezditi druge grupe.
– Razlog: replikuju se i imena i članstvo – vreme replikacije raste.
75

Primer

76

38
 Primer
• Držanje ljudi koji se bave finansijama u različitim
globalnim grupama, u različitim domenima, omogućava
finiju kontrolu nad resursima karakterističnim za region i
administraciju.
• Ali, postoje neki centralni resursi koji treba da budu
dostupni svim F&A ljudima iz GOR-a, koji se nalaze u
Centralnim Finansijama.
• Moguće je sve tri globalne grupe smestiti u jednu
univerzalnu grupu koja će se zvati GOR F&A.
• Zatim se sve smešta u Lokalnu grupu (lokalna grupa
dopušta pristup samo lokalnim resursima).

77

Standardne grupe

• Standardne (podrazumevane, ugrañene) grupe se ne

instaliraju sve odjednom, već kako se instaliraju
odreñene komponente ili mogućnosti OS-a, tako se i one
dodaju.

• Omogućavaju da se brzo formira početni oblik domena.

• Na primer, Server Operators imaju skup uroñenih prava

koja im omogućavaju da prave deljene fajlove i
upravljaju servisima.

78

39
 Neke standardne grupe 1/2

• Administrators – prilikom instaliranja jedini

korisnički nalog koji je član ove grupe je
Administrator
• Account Operators – članovi mogu da prave
nove korisnike i grupe i mogu menjati i brisati
atribute korisnika i grupa u domenu.
• Domain Users – pošto je ovo globalna grupa,
ima smisla da svakog korisnika dodate u nju, a
potom pridružite grupu listi korisnika odreñenog
objekta, ako je potrebno da svi pristupaju tom
objektu.
79

Neke standardne grupe 2/2

• Backup Operators – mogu da prave rezervne kopije

sistema i da ga obnavljaju.
• Everyone – član grupe je automatski svaki korisnik
računara i mreže.
• Power Users – Ova grupa postoji na XP Pro i serverima
koji nisu kontroleri domena. Članovi mogu kreirati
korisničke naloge i lokalne grupe i upravljati članstvom
Users, Power Users i Guests.
• Interactive – svi korisnici koji trenutno koriste računar.
• Network – svi korisnici koji su putem mreže uspostavili
vezu s računarom. Network + Interactive = Everyone
80

40
 Dozvole i prava

• Dozvola je (permission) je konfiguracioni parametar koji

kontroliše stepen pristupa nekom objektu u mreži (npr.
datoteci).

• Reguliše se pomoću ACL-ova (Acess Control List – lista

prava pristupa).

• Dok dozvole daju različita prava pristupa raznim

objektima, prava (rights) vam dopuštaju da uradite
odreñenu stvar (npr. da se logujete na server).

• Ili: prava omogućuju izvršavanje odreñenih funkcija, a

dozvole odreñuju nivo ili vrstu pristupa objektu.
81

Primeri

• Primeri prava:
– da se logujete na sistem,
– da izmenite sistemsko vreme,
– da isključite sistem (shutdown)
– da radit backup fajlova i direktorijuma
• Primeri dozvola:
– u vezi s datotekama
– kontrola sadržaja domena i OJ-a
– mogućnost kontrole ko može pokrenuti i zaustaviti
odreñeni servis
82

41
 Dozvola - primer
• Primer dozvola za fajl – Grupa Everyone može da čita i izvršava sadržaj
fajla.

83

ACL
• ACL (Access Control List) – lista za kontrolu pristupa
• ACE (Access Control Element) – element liste za kontrolu pristupa – jedan red u listi.

84

42
 Prava
• Prava su u principu slična dozvolama, ali se ne dodeljuju
preko ACL-ova.

85

Dodeljivanje prava

86

43
 Grupne polise 1/2

• Suprotno svom imenu, grupne polise (grupna

načela) uopšte nisu usmerene na
(bezbednosne) grupe.
• Važno: ne možete ih primeniti direktno na
grupe, ni na korisnike, već samo na sajtove
(lokacije), domene i OJ (što Microsoft skraćuje u
termin SDOU).
• Administratori konfigurišu i primenjuju grupna
načela tako što grade objekte grupnih načela
(Group Policy Object - GPO).

87

Grupne polise 2/2

• Šta možete da radite pomoću grupnih polisa?

– Objavljivanje ili dodeljivanje softverskih paketa korisnicima ili mašinama

– Dodeljivanje start-up, shutdown, logon i logoff skriptova

– Definisanje lozinke, zaključavanje i revizija polisa za domen.

– Definisanje i nametanje parametara za Internet Explorer.

– Definisanje i nametanje ograničenja za korisničke desktop računare.

– Preusmeravanje odreñenih fascikli iz korisničkih profila (kao što su Start

Menu, ili Desktop) na neku centralnu lokaciju.

– itd.

88

44
 GPO Primer

• Isti GPO (Group Policy Object) može da odredi

skup aplikacija koje treba da se instaliraju na
stonim računarima svih korisnika, primeni
politiku disk kvota i definiše lozinku za ceo
domen, kao i politiku zaključavanja naloga.

• Može da se napravi jedan sveobuhvatan GPO,

ili više različitih, po jedan za svaki tip funkcije.

89

Strategije upravljanja korisnicima i

grupama

90

45
 Voditi računa o ukupnim troškovima
nabavke i korišćenja
• Ukupni troškovi nabavke i korišćenja (UTK) su
finansijska procena ukupnih direktnih i indirektnih
troškova proizvoda ili sistem.

• To znači da su troškovi koji nastaju usled rada računara,

mreže i aplikacija znatno veći od zbira nabavnih cena
pobrojanih elemenata.

• Naizgled beznačajni previdi mogu mnogo da koštaju.

• Svi naredni nabrojani principi utiču na UTK.

91

Ne upravljajte korisnicima, već

grupama
• Pogrešno je da pristupom resursima,
bezbednosnim parametrima i privilegijama
korisnika upravljate za svakog od njih
pojedinačno.

• Ako doñete u situaciju da odreñenom korisniku

morate da omogućite direktan pristup resursima,
to treba da bude privremeno rešenje, pre nego
što se prebaci u neku grupu.

92

46
 Nove grupe
• Pre nego što kreirate novu grupu,
proverite da li je ona zaista potrebna.

• S formiranjem nove grupe, UTK se

povećava na više načina:
– povećava se količina saobraćaja u mreži i
izmeñu sistema (dozvole, replikacije itd.)
– dodatni posao dokumentovanja i održavanja
grupa

93

Koje su vrste pristupa i privilegija

neophodne?

• Potrebno je imati obrazac zahteva za

kreiranje naloga gde će biti navedeni:
– pristup aplikacijama i bibliotekama
– pristup podacima (bazama podataka, deljenim
folderima itd.)
– pristup ureñajima (štampačima, skenerima,...)
– komunikacije (e-mail)

94

47
 Odrediti bezbednosni nivo

• Lozinke s kratkim rokom trajanja

• Ograničavanje perioda prijavljivanja na
sistem
• Ograničavanje lokacija s kojih je moguće
prijaviti se na sistem

95

Koristiti lokalne grupe

• Korišćenjem lokalnih grupa se štite resursi i

smanjuje opterećenje.

• Prvo formirati “zaštitne” (gatekeeper) grupe, tj.

lokalne grupe koje kontrolišu pristup resursima.

• U te grupe se zatim ugnezde globalne i

univerzalne grupe, čime se obezbeñuje dodatni
nivo kontrole pristupa i dozvola.

96

48
 Delegiranje odgovornosti

• Decentralizacija upravljanja – smanjenje

posla administratora i bolje poznavanje
potreba na lokalnom nivou.

• Može se npr. odrediti administrator za

svaku organizacionu jedinicu.

97

Broj izmena svesti na minimum

• Ako je posao upravljanja korisnicima i

grupama dobro organizovan, nema
potrebe za stalnim promenama.

• Kad god se nešto promeni, to se

prosleñuje svim upravljačima domena –
stalne izmene mogu da pogoršaju
performanse.
98

49
 Planiranje aktivnog direktorijuma

99

Osnove planiranja

• Aktivni direktorijum se planira u skladu sa

zahtevima date organizacije.

• Moramo proučiti poslovnu i organizacionu

strukturu organizacije gde se on uvodi.

• Potrebno je da tačno znamo broj servera,

računara, korisnika,štampača, lokacija gde
su resursi, bezbednosnu politiku itd.
100

50
 Komponente planiranja

• Strukturu planiranja Aktivnog Direktorijuma

čine četiri osnovne komponente:

1) plan domena,
2) plan prostora imena domena,
3) plan strukture organizacionih jedinica i
4) plan strukture sajta.

101

Plan domena 1/4

• Kada planiramo strukturu domena potrebno je da počnemo od
fizičkog okruženja mreže, da odredimo osnovni domen u mreži,
odredimo broj domena kao i njihovo hijerahijsko organizovanje.

• Fizičko okruženje uključuje:

– lokacije objekata u mreži,
– broj korisnika na svakoj lokaciji,
– broj potrebnih servera kao i servisa na tim serverima,
– vrstu mreže, brzinu veze, broj i kvalitet WAN konekcija, lokacije
mrežnih barijera itd.

• Osim sagledavanja fizičkog okruženja, potrebno je da se razmotre i

druge infrastrukture koje organizacija već koristi. Na primer, ako
postoji već DNS struktura, verovatno će biti dobro da se ona i zadrži.

102

51
 Plan domena 2/4

• Razmotriti model samo sa jednim

domenom.

• Veći broj domena povećava troškove

održavanja mreže,najčešće zbog
dodatnog upravljanja.

• Jedan domen može da se prostire preko

više lokacija i da sadrži milione objekata.
103

Plan domena 3/4

• Dodavanje novog kontrolera u već postojeći domen
pravimo ravnopravni kontroler domena.

• Ravnopravni kontroleri domena obezbeñuju

redudantnost i smanjuju opterećenje postoječih
kontrolera domena.

• Ovaj izbor se najčešće koristi kada imamo neki domen

koji se nalazi na više različitih geografskih lokacija.

• Tada se formira kontroler domena na svakoj lokaciji,

kako bi se smanjio saobraćaj pristupanja servisu
Aktivnog Direktorijuma.

104

52
 Plan domena 4/4

• Za pravljenje više domena mora postojati

nekoliko opravdanih razloga kao što su:
– očuvanje postojeće strukture,
– administrativna i fizička podeljenost,
– potreba da se zadovolje posebni parametri
bezbedonosne politike,
– potreba da se optimizuje replikacijski promet
– kao i potreba da se postavi zaseban prostor imena.

• Preporučuje se da dubina domena bude tri do

četiri od vrha DNS hijerahije, a maksimalno pet.
105

Plan prostora imena domena

• Kod dodeljivanja imena novokreiranim

domenima važe neka pravila koje treba
poštovati:
– Dato ime treba da je jednostavno i da asocira na
namenu domena.
– Kod davanja imena osnovnom domenu treba voditi
računa da se ono neće menjati,
– Da bi se postiglo da ime domena bude jedinstveno u
celom DNS okruženju potrebno je da svaki domen
ima jedinstveno ime unutar sebi nadreñenog domena.

106

53
 Plan strukture OJ 1/2
• Organizacione jedinice se mogu hijerarhijski
organizovati u vidu ugnježdavanja.

• To znači da unutar domena možemo napraviti

hijerahijsku strukturu stabla.

• Organizacione jedinice predstavljaju najmanje

jedinice na kojima se može dodeliti grupna
strategija ili delegirati administriranje.

107

Plan strukture OJ 2/2

• Modeli strukture OJ:

– Geografski model
• resursi se ovde organizuju prema mestu gde se oni nalaze.
– Organizacioni model
• organizacione jedinice se prave prema strukturi jedne
organizacije, prema odeljenjima i sektorima.
– Objektni model
• podela resursa po organizacionim jedinicama ovde je
definisano na osnovu klasa tih resursa.
• Klase predstavljaju skup resursa sa istim osobinama kao:
korisnici, računari, grupe, štampači itd.

108

54
 Plan strukture lokacije (sajta) 1/ 2

• Lokacija (sajt) predstavlja deo fizičke strukture

servisa Aktivnog direktorijuma
• To je kombinacija jedne ili više podmreža na
bazi IP protokola koje su povezane vrlo brzim i
pouzdanim vezama.
• Struktura lokacije se ovde održava potpuno
odvojeno od logičkog okruženja, strukture
domena.
– Jedan domen može da obuhvati više lokacija kao što i
jedna lokacija može da obuhvati više domena ili
njegovih delova.
109

Plan strukture lokacije (sajta) 2/ 2

• Najveću pažnju treba posvetiti kod projektovanja

strukture lokacije/sajta za neku mrežu koja se
prostire na nekoliko različitih fizičkih lokacija.
• Potrebno je:
– definisati fizičke lokacije koje čine domene,
– odrediti oblasti mreže koje bi mogle da se povežu u
lokacije (sajtove),
– identifikovati fizičke veze koje povezuju te lokacije,
– odrediti način, vreme i cenu replikacije.

110

55