AKTIVNI DIREKTORIJUM

Microsoft Windows mreže podržavaju dva modela servisa direktorijuma:

radnu grupu i domen. Radna grupa označava saradnju bez centralnog
upravljanja. Time se ističe razlika između ovakve mreže i velikih mreža sa
servеrima.

Model domena karakteriše jedan imenik poslovnih resursa – servis Active

Directory. Jedna od najznačajnijih mogućnosti servera 2008 je mogućnost da
bude domen kontroler (engl. Domain Controller – DC), koji omogućava smeštanje
i kontrolu korisnika na centralnom računaru (domen kontroler).

Aktivni Direktorijum je univerzalno distribuirano spremište podataka kroz

koje se na standardiziran način može pristupati svim mrežnim objektima, kao što
su konfiguracije aplikacija, usluge, računala, korisnici i procesi, i to širom cijele
lokalne mreže ili šire mreže ciji je ona deo. To nam omogućava logićka struktura
imenikaI

Aktivni Direktorijum sadrži podatke. U njegovom najjednostavnijem obliku,

možemo ga usporediti s gigantskim telefonskim imenikom koji omogućava
korisniku da pomoću imena i prezimena pronađe određeni telefonski broj. U svetu
informacijskih tehnologija Aktivni Direktorijum je mnogo više od telefonskog
imenika. On je regulator prometa u mrežnom svetu jedne kompanije.

Aktivni Direktorijum možemo opisati kao integrirani skup rešenja za

distribuciju podataka, organizaciju resursa, sigurnost i administraiciju mreže.
Oslanja se na Domain Name System (DNS) za lociranje resursa i određivanje
prostora imena domena.

Aktivni Direktorijum omogućava centralizovanu administraciju tj. sa jednog

računara je moguće kontrolirati sve resurse mreže (korisničke račune, mrežne
konekcije, računala, štampaće idr.) gde god se oni nalazili.

Planiranje Aktivnog Direktorijuma

Pre instaliranja Aktivnog Direktorijuma moramo proučiti organizacionu

strukturu za koju se pravi računarska mreža. Potrebno je da znamo broj servera,
računara, korisnika, štampača, lokacija gde su resursi, bezbedonosnu politiku itd.
Tek tada možemo da kreiramo strukturu mreže. Strukturu Aktivnog Direktorijuma
čine četri snovne komponente: plan domena, plan prostora imena domena, plan
strukture organizacionih jedinica i plan strukture lokacije.
Plan domena

Plan domena obuhvata odredjivanje osnovnog domena u mreži, broj domena kao i njihovo
hijerahijsko organizovanje. Takođe obuhvata i fizičko okruženje što uključuje lokacije objekata u
mreži, broj korisnika na svakoj lokaciji, broj potrebnih servera kao i servisa na tim serverima, vrstu
mreže, brzinu veze, broj i kvalitet WAN konekcija, lokacije mrežnih barijera itd. Kada počnemo da
instaliramo Aktivni Direktorijum moramo da izaberemo kakav kontroler domena želimo da
instaliramo: da li je to prvi kontroler domena za novi domen ili samo želimo da dodamo nov kontroler
domena u postojeći domen. Nakon toga treba odrediti da li taj novi domen pripada novoj šumi, da li je
on podređen domen u postojećem stablu domena ili predstavlja jedno novo stablo domena u postojećoj
šumi. Kad određujemo osnovni domen moramo da vodimo računa da je on prvi domen koji pravimo u
Aktivnom Direktorijumu. Njegova osnovna uloga je da definiše infrastrukturu cele mreže i da upravlja
istom. Nakon što smo odredili namenski osnovni domen šume, planiranje strukture domena treba da
započnemo od jednog podređenog domena ispod osnovnog. U većini slučajeva jedan domen može da
zadovolji naše potrebe jer on može da se prostire preko više lokacija i da sadrži milione objekata. Ne
treba praviti posebne domene koji bi održavali sektore i odelenja u okviru jedne organizacije, jer se te
strukture često menjaju. Mnogoje bolje da se to reši putem organzacionih jedinica jer su one
jednostavnije za delegiranje iadministriranje. Pored toga svakoj organizacionoj jedinici možemo
dodeliti neku grupnu politiku a onda na osnovu toga smeštati korisnike, računare ili grupe u nju. Ako
ipak dođemo do zaključka da nam treba organizacija sa više domena onda njih moramo organizovati u
vidu jedne hijerahijske strukture, stabla domena ili šume domena, u zavisnosti šta najbolje odgovara
potrebama naše mrežne strukture.

Plan prostora imena domena

Razlikujemo dva prostora imena i to unutrašnji (interni naš prostor imena) i spoljašnji
(eksterni prostor imena). U okviru toga imamo dve mogućnosti:

 da je unutrašnji prostor imena isti kao i spoljašnji: dobra strana je da su imena domena ista i na
internoj privatnoj mreži kao i na spoljašnjem javnom Internetu. Loša strana je da zahteva
mnogo složeniju strukturu konfigurisanja mreže, klijenti se moraju konfigurisati da razlikuju
interne od eksternih resursa. Iako je prostor imena isti, korisnici imaju različit pogled na
interne i eksterne resurse.
 da su unutrašnji i spoljašnji prostor imena razdvojeni: ovde postoji jasna razlika između
internih i eksternih resursa, upravljanje je olakšano jer nema poklapanja ili dupliranja
održavanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednoznačno
određeni. Ali, ovde postoje dvostruka imena za prijavljivanje: jedno za interni a drugo za
ekstreni prostor imena koje je potrebno registrovati u oba domena.
 Prilikom dodeljivanja imena novokreiranim domenima dato ime treba da je jednostavno i da
asocira na namenu domena. Broj nivoa domena treba ograničiti. Preporučuje se da dubina domena
bude tri do četri od vrha DNS hijerahije, a maksimalno pet.

Plan strukture organizacionih jedinica

Organizacione jedinice predstavljaju najmanje jedinice na kojima se može dodeliti grupna

strategija ili delegirati administriranje. Postoji više razloga zašto se prave organizacione jedinice i to
su: lakše održavanje , lakše delegiranje administrativnih zadataka (grupsanjem više računarskih
resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje), lakše
deljenje korisnika prema grupnim strategijama. Ž

Broj organizacionih jedinica u domenu nije ograničen i isključivo zavisi od potreba

organizacije preduzeća. Ono što je neophodno, to je da organizacione jedinice prvog nivoa budu
jedinstvene u domenu. Postoji nekoliko uobičajenih modela koji nam pomažu da odredimo hijerahiju
koja nam najviše odgovara i to:

 Geografski model – resursi se ovde organizuju prema mestu gde se oni nalaze.
 Organizacioni model – ovde se organizacione jedinice prave upravo prema strukturi jedne
organizacije, prema odelenjima i sektorima.
 Objektni model – podela resursa po organizacionim jedinicama ovde je definisano na osnovu
klasa tih resursa. Klase predstavljaju skup resursa sa istim osobinama kao: korisnici, računari,
grupe, štampači i td..

Plan strukture lokacije

Lokacija predstavlja deo fizičke strukture servisa Aktivnog Direktorijuma i predstavlja

kombinaciju jedne ili više podmreža na bazi IP protokola koje su povezane vrlo brzim i pouzdanim
vezama. Glavna uloga lokacije je da obezbedi dobru povezanost na mreži. Način njegove realizacije
najviše utiče na proces prijavljivanja korisnika i provere njihove autentičnosti, kao i na replikaciju
direktorijuma. Kako su mrežne veze u jednoj LAN mreži po pravilu jako brze, cela ta mreža može da
bude jedan lokacija. Najveću pažnju treba posvetiti kod projektovanja strukture lokacije/sajta za neku
mrežu koja se prostire na nekoliko različitihfizičkih lokacija.

Upravljanje Aktivnim Direktorijumom

 Da bi Aktivni Direktorijum funkcionisao pouzdano i efikasno, neophodno je povremeno vršiti
poravku, premeštanje, oporavak i defragmentaciju.

Aktivni Direktorijum predstavlja jednu vrstu transakcione baze podataka.

Jedna transakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi
podataka i ona zaokružuje kompletno izvršenje te radnje. Ako se desi da nije
moguće izvršiti sve predviđene radnje za tu transakciju potrebno je poništiti sve
one radnje koje su se izvršile i vratiti se na stanje pre početka izvršenja te
transakcije. Da bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam
omogućava poništavanje operacija po segmentima i sigurno završavanje
transakcija u bazi. Za kontrolu semantičkog integriteta baze podataka Aktivnog
Direktorijuma postoji posebna alatka tj. program ntdutil.exe koji nam omogučava da
proverimo broj aktivnih referenci i veza, broj obrisanih objekata, ispravnost DNS
strukture imena, bezbedonosnih deskriptora i proverava replikaciju podataka.

Bezbednost podataka u Aktivnom Direktorijumu potrebno je održavati na najveći mogući nivo

kako se ne bi narušio normalan mrežni rad. Jedan od načina da se bezbednost tih podataka digne na
veći nivo je pravljenje rezervne kopije tih podataka. U tu svrhu moramo da pripremimo datoteke koje
želimo da kopiramo kao i medijum na koji kopiramo te podatke. Pravljenju rezervne kopije se vrši
putem posebnog čarobnjaka Backup Or Restore. On automatski kopira sve sistemske komponente i
sve distribuirane servise koji su potrebni servisu Aktivni Direktorijum na medijumu koji smo odabrali.
Rezervne kopije možemo praviti samo za stanje sistema lokalnog računara, a ne i za udaljene
računare. Samo članovi grupa Administrators i Backup Operators mogu da prave rezervne kopije.

Premeštanje Aktivnog Direktorijuma vršimo u slučaju da se fizički disk, na kome se nalazi

baza podataka, ošteti ili on jednostavno otkaže. Da bi smo to uradili na raspolaganju nam se nalazi
alatka pod nazivom ntdsutil.exe koja radi u režimu Directory Service Restore.

Postoje dva načina defragmentacije baze podataka i to automatska i ručna. Automatsko

defragmentisanje svoje baze podataka, Aktivni Direktorijum obavlja svakih 12 sati potpuno
samostalno i to radi u sklopu svog procesa uklanjanja smeća (Garbage Collection). Ovaj postupak
defragmetiranja otklanja probleme sa skladištenjem, ali ako baza podataka previše naraste moramo da
primenimo drugi način a to je defragmentiranje van veze. Taj način nam daje potpuno novu,
kompaktnu verziju datoteke, ali zato traje dosta duže od prvog načina. Zato se on primenjuje samo u
velikim mrežama koje su podložne čestim i

velikim promenama.

DNS je osnovni način pronalaženja usluga i servera Aktivnog Direktorijuma u domenu.

Klijenti i različiti servisi koriste DNS za pronalaženje osnovnog domena radi prijavljivanja i
administriranja mreže. Generalno je pravilo da barem jedan DNS mora biti instaliran u šumi domena
da bi Aktivni Direktorijum ispravno radio. U jednostavnim kofiguracijama instaliranje DNS servera
predstavlja trivijalan zadatak. Uz Windows Server 2008 dolazi i Microsoftov DNS server ali se može
instalirati i bilo koji drugi DNS. Jedini preduslov koji treba da ispuni taj novi DNS server, je da
podržava protokol za dinamičko

ažuriranje.
 INSTALACIJA AKTIVNOG DIREKTORIJUMA

Za instalaciju Aktivnog direktorijuma je potrebna NTFS particija. Da bi se

konvertovao Windows 2008 Server u kontroler domena, potrebno je izabrati Start-
Run i uneti DCPROMO. Time se pokreće Active Directory Installation Wizard. Ovaj program ne
samo da konvertuje server u kontroler domena, već i obratno, vraća kontroler domena u server.
Instalacija Aktivnog direktorijuma je veoma jednostavna.

Wizard će ponuditi opcije da li se želi kreirati novi domen ili da se napravi

kontroler u postojećem domenu. Mi želimo da kreiramo novi kontroler domena.
Windows Server 2008 omogućava da se domeni postavljaju u stabla, a stabla u
šume. Sada treba odabrati da li se želi kreirati domen u novoj šumi, ili kreirati
domen u već postojećoj šumi. Mi biramo novi domen u novoj šumi.
 Sada je potrebno uneti ime domena koji se želi kreirati. Biramo domen bane.com. Server
nakon toga proverava da li ime koje smo uneli već postoji. Ukoliko ne postoji vrši
se verifikacija NetBIOS imena na osnovu unetog.
 Sada je potrebno izvršiti izbor funkcionalnog nivoa za šumu. Mogućnosti
su: Windows 2000, Windows Server 2003 i Windows Server 2008. Ukoliko
izaberemo Windows Server 2008 funkcionalni nivo svi ostalih računari na kojima
se diže server moraju biti iz familije 2008. To znači da u šumu nećemo moći da
instaliramo Windows Server 2000 ili Server 2003 mašine. Zauzvrat, ovaj nivo
omogućava iskorišćenje svih dotupnih opcija najnovijeg sistema. Ukoliko
postavimo Server 2003 ili Server 2000, opcije koje nudi Server 2008 će biti
prilagođene da budu kompatibilne sa tim sistemima. Optimalno je izabrati
Windows Server 2003.

Pošto nije pronašao nijedan DNS server DCPROMO ga može instalirati u

ovom trenutku. DNS je Name Resolution Servis koji razrešava imena u brojeve.
DNS servis je hijerarhijski distribuirana baza podataka. Ovo znači da je baza
podataka logički odvojena, i da omogućava različitim serverima hostovanje
rasprostranjene baze podataka DNS imena. Administratori moraju da konfigurišu
klijentske kompjutere na mreži tako da njihova kompjuterska imena mogu da
budu razrešena u IP adrese. Kada konfigurišemo klijenta za razrešavanje imena
(Name Resolution), mi time osiguravamo da oni mogu da komuniciraju sa drugim
kompjuterima koristeći imena kompjutera. Da bi dva hosta mogla da komuniciraju
na mreži, MAC adresa svakog hosta mora da bude identifikovana. IP adresa je
udružena sa MAC adresom, a ime kompjutera je udruženo sa IP adresom.
Razrešavanje imena (Name Resolution) je proces dobijanja IP adrese koja je
udružena sa imenom kompjutera. Poznavanje različitih metoda za razrešavanja
imena kompjutera može da vam umnogome pomogne u odrađivanju ovih
administrativnih zadataka.
 Tokom instaliranja DNS-a potrebno je da mrežnim adapterima dodelimo
statičke adrese kako bi funkcionisanje DNS-a bilo korektno.

Biramo IP adresu servera na 192.168.0.1 i subnet maska 255.255.255.0.

 Aktivni direktorijum se čuva u fajlu NTDS.DIT. u direktorijumu NTDS a
direktorijum SYSVOL sadržati sve podatke koji se repliciraju na druge kontrolere
domena. Ove foldere možemo i promeniti.

Sada je potrebno kreirati lozinku za evenntualne popravke oštećene baze

Aktivnog direktorijuma. Zatim se pojavljuje prozor koji sadrži spisak svih opcija
koje smo izabrali.
Konačno, pokreće se proces kreiranja Aktivnog direktorijuma.

Postupak kreiranja Aktivnog direktorijuma se završava klikom na Finish.

Administrativne alatke Aktivnog Direktorijuma

Windows Server 2008 poseduje moćne i fleksibilne alatke koje nam olakšavaju
administriranje jedne složene i velike baze podataka kao što je to baza kod Aktivnog Direktorijuma.
Sve te alatke možemo podeliti na dve velike grupe i to:

 Alatke za Aktivni Direktorijum iz paketa Windows Support Tools – ove alatke većinom služe
za konfigurisanje, upravljanje i uklanjanje grešaka u servisu Aktivnog Direktorijuma.
 Administrativne konzole za Aktivni Direktorijum – ove alatke se instaliraju automatski na
računarima koji su konfigurisani kao kontroleri domena kada se instalira Aktivni
Direktorijum. Administrativne konzole mogu biti instalirane i na drugim serverima, ali za to
nam je potreban opcioni paket

Administrative Tools. Na taj način omogućeno nam je da vršimo administriranje Aktivnog

Direktorijuma i sa računara koji nisu kontroleri domena. Na raspolaganju su nam sledeće
administrativne konzole:

Active Directory Domains And Trusts – ova konzola obezbeđuje interfejs za upravljanje domenima i
odnosima poverenja između šuma i domena. To znači da uz pomoć ove konzole možemo da
obezbedimo interoperatibilnost sa drugim domenima, promenimo funkcionalni nivo domena (režimi
domena), promenimo funkcionalni nivo šume, da dodamo ili uklonimo alternativne sufikse glavnog
korisničkog imena (UPN) koje se koriste za pravljenje korisničkih imena i da prenesemo glavnu ulogu
za operaciju imenovanja domena sa jednog kontrolera domena na drugi.

Active Directory Sites And Services – pomoću ove konzole Aktivnom Direktorijumu se daju
informacije o fizičkoj konfiguraciji naše mreže. Te informacije Aktivni Direktorijum koristi da bi
mogao da odredi kao da vrši repliciranje direktorijuma između kontrolera domena.

Active Directory Users And Computers – kao što samo ime ove konzole kaže ona nam omogućava da
dodamo, izmenimo, obrišemo i organizujemo korisničke naloge, računarske naloge, bezbedonosne i
distributivne grupe i prijavljene resurse u okviru našeg domena.Takođe vam omogućava da
upravljamo i kontrolerima domena kao i organizacionim jedinicama.

Active Directory Schema – Ova konzola je takođe na raspolaganju računaru konfigurisanom kao
kontroler domena, ali je potrebno da se naknadno instalira iz komandne linije. Ovaj postupak je
zamišljen tako, da bi se izbeglo slučajno menjanje šeme. Prema tome osnovni zadatak ove konzole je
da pregledamo i menjamo šemu Aktivnog Direktorijuma.