Лекција 49.50.51. ОРС

Групе представљају

складишта више

корисника, контаката,

рачунара или

других група

(формирање групе је

познато и као
угнежђивање).

Група умањује рад

администратора, тако
што омогућује да се

дозволе

и права доделе групи
корисника уместо да

их појединачно

додељујемо.

Групе су изузетно
моћни управљачки

објекти јер их
формирамо и

користимо

првенствено да бисмо

права приступа
објеката типа

корисник и

група ограничили на

одређену

безбедносну целину.

Врсте корисничких налога

1.Локални кориснички налози - локални корисник је онај који се локално пријављује на радну станицу или на сервер. Овај налог се формира само у безбедоносној бази података рачунара на коме се прави. Информације из те базе се не реплицирају на контролере домена у домену.
2.Кориснички налози домена - корисник може истовремено да припада и локалном рачунару и домену. Ови налози омогућују корисницима да се пријаве на домен и добију приступ мрежним ресурсима. Прави се унутар неког складишта или ОЈ у бази података АД на контролеру домена.
Овај податак се обавезно реплицира на остале контролере домена у домену
3. Уграђени кориснички налози - представљају налоге који се аутоматски праве од стране ОС и обично су то три налога:
I Administrator - овај налог користи се за управљање укупном конфигурацијом рачунара и домена.
II Guest – улога налога Guest је да омогући корисницима који немају отворен налог да се пријаве и користе мрежне ресурсе.
III HelpAssistant - представља примарни налог за успостављање сесије Remote Assistance и аутоматски се креира када затражите ову сесију

Формирање корисничких налога

•У Win.Server OS, конзола Active Directory Users and Computers представља главну алатку за рад са корисничким налозима

•Локални корисн. налози на усамљеном серверу, серверу члану, или некој радној станици се чувају у
Security Accounts Manager (SAM) бази

•Корисничким налозима, када се први пут креирају, аутоматски се додељује идентификатор
безбедности (security identificator – SID).

•SID је јединствен број који идентификује сваки креирани налог.

•SID се никад не користи поново, брисањем налога брише се његов SID.

•Алат Active Directory Users and Computers администратору обезбеђује средства за извршавање
следећих задатака:

Креирање, мењање и брисање корисничких налога
•Додељивање Log On скриптова корисничким налозима

•Управљање групама и чланствима у групама

•Креирање и управљање групним начелима

•Да би се креирао кориснички налог, селектује се домен у коме желимо да формирамо налог и из
менија који се појави изабере New. Након тога се бира User или неки други контејнер, где се жели
сместити налог.

Корисничкоиме у Windows системима мора поштоватиследећа правила:

Име мора бити јединствено на рачунару, за локалненалоге (или

јединствено у домену). Међутим, име корисничког налога у домену

може бити исто као и име локалног налога на рачунару којије члан

домена, а није контролер, што је чињеница која уноси велику конфузију,

јер је реч о потпуно различитим ентитетима.

Корисничко име не може бити исто као име групе на локалном рачунару,

за локални налог (ни исто као име групеу домену).

Корисничко име може бити дугачко до 20 карактера и укључујемала и

велика слова или њихову комбинацији.

Да би се избегла конфузија са специјалним карактерима синтаксе,

корисничкоиме не сме садржатисимболе: „ \ / [ ] : ; | =

, + * ? < >

Име може садржати размакеи тачке, али се не може у потпуности

састојати од тачака и размака. Треба избегавати размаке јер се у том

случају та имена морају стављати међу знакова навода у случају

писања скриптова, или издавања командиса командне линије.

Опције пријављивања

Корисничке налоге

можемо да користимо

да би смо:

Омогућили некоме да
се пријави на рачунар

или домен.

Омогућили процесима
и сервисима да раде.

Управљамо

корисничким

приступом ресурсима

као што су објекти

АД и њиховим

поставкама, дељеним
фолдерима,фајловима,

принтерима

Сваки налог који се

креира у АД има бројне

опције које одређују

како

се кориснички налог

прихвата на мрежи и то

су:

User must change password at next logon
User cannot change password
Password never expires
Store passwords using reversible encryption
Account is disabled
Smart card is required for interactive logon
Account is trusted for delegation
Account is sensitive and cannot be delegated
Use DES encryption types for this account
Do not require Kerberos preauthentication

Својства корисничких налога

Сваком корисничком налогу домена који смо направили придружен је скуп података који ближе
одређују тај налог.
За корисничке налоге ови подаци представљају атрибуте тих објеката који нам омогућују да кориснике
можемо проналазити у АД по њима.
Да би видели својства креираног налога, десним тастером се кликне на објекат корисничког налога и из
менија се изабере Properties.
Одавде се брзо може копирати или брисати налог, променити име налога, прављати чланством у групи,
онемогућити или омогућити налог, ресетовати корисничку лозинку, преместити налог у други контејнер
или ОЈ, отворити корисникову home страницу или му послати E-mail.
На картици General, може се додати опис корисничког налога, уписати име одсека у школи, студијске
групе, бројеви телефона, е-маил адреса итд.
Картица Address, приказује поље за корисникову поштанску адресу.
Картица Telephones нуди места за бројеве за кућни, мобилни, IP телефон, као и место за уношење
коментара.
У Организационој картици могу се унети информације о називу нечијег посла и позицији у хијерархији
организације.

Својства рачунарских

налога

Сваки рачунар који

ради под OS Microsoft

Windows, Windows

Vista, Windows 7 или
Windows Server 2003,

2008 и 2012, а који

треба

да буде члан домена,
има свој рачунарски

налог у AD.

Слично као и

кориснички налог,

рачунар.налог

омогућује

аутентификацију

и праћење приступа
рачунара мрежи и

доменским ресурсима.

У AD, рачунарски
налози су такође

SECURITY PRINCIPLES.

Ово значи да рачунари

морају да поседују
налоге и лозинке.

Да би био потпуно

аутентификован у AD,
корисник мора да има

валидан

кориснички налог, али

исто тако, корисник
мора да се пријави у

домен са

рачунара који такође

мора да поседује

валидан рачунарски

налог.

Рачунари су одговорни
за одрађивање кључних

задатака, као сто су

аутентификација
корисника при

пријављивању на

домен, за дистрибуцију

Internet Protocol IP

Addresses, за

одржавање интегритета

активног

директоријума и за

постављање заштитних

шаблона (Security

Templates).

Две основне функције рачунарских налога су:
1. Сигурност (Security) - Рачунарски налог мора бити креиран у AD за корисникеда би
могли да искористе све предности и карактеристикекоје пружа AD. Када је рачунарски
налог креиран, рачунар тада може да користи напредан процес аутентификације као сто
је KERBEROS аутентификација и IP заштита (IPSec) да би могао да шифрује IP
саобраћај.
2. Менаџмент (Management) - Рачунарски налози помажу систем администратору да
управља мрежном структуром. Систем администратор користи рачунарске налоге да
управља функционалношћудесктоп окружења, аутоматизацијом инсталације софтвера
користећи AD.
Када систем администратор креира рачунарски налог, може да изабере организациону
јединицу у коју ће да га постави.
Када се рачунар придружује домену, као и ако при инсталацији самог OS одредимо да
рачунар приступа одређеном домену, тај налог ће се аутоматски поставити у контејнеру
Computers
Након тога, администратор може да премести рачунарски налог из
контејнера Computersу било коју организациону јединицу - Pre-staging

Администрирање група

Групе представљају складиштавише корисника, контаката, рачунара или других група (формирање групе је познато и као угнежђивање).
Група умањује рад администратора, тако што омогућује да се дозволе и права доделе групи корисника уместо да их појединачно додељујемо.
Групе су изузетно моћни управљачки објекти јер их формирамо и користимо првенствено да бисмо права приступа објеката типа корисник и група огранчили на одређену безбедносну целину.
Могу да садрже објекте типа корисник који сви имају иста права приступа мрежним објектима, као што су дељени ресурси,директоријуми, датотеке.
Можемо да користимо и за формирање листа за слање ткз. дистрибуционих листа.
Представљају изузетну олакшицукод слања Еmail порука већем броју корисника
Предност групе је то што иста група може да садржи чланове који припадају различитим организационим јединицама и доменима.
Једна ОЈ увек припада једном домену.

Типови група

1.Administrators: имају скоро сва уграђена права, па су чланови у суштини, свемогући у вези администрације система.
2. Backup operators: имају право да заштитно копирају и враћају фајлове, без обзира на то да ли на други начин могу да приступају тим фајловима.
3. Server Operators: локална група има сва права потребна за управљање серверима домена.
Чланови могу да креирају, управљају и бришу дељене мрежне ресурсе на серверима, заштитно копирају и враћају фајлове на сервере, форматирају хард дискове сервера, закључавају и откључавају сервере, откључавају фајлове и мењају системско време.
4.Accounts Operators: дозвољено је да у домену креирају корисничке налоге и групе и да мењају и бришу већину корисничких група и налога из домена осим из група: Administrators, Domain
Admins, Account Operators, Backup Operators, Print Operators и Server Operators.
5. Print Operators: могу креирати, управљати и брисати штампаче на серверу
6. Power Users: Чланови могу креирати корисничке налоге и локалне групе
и управљати чланством Users, Power Users и Guests.
7. Users: Корисници могу да покрећу апликације (али не и да их инсталирају).

Груписање мрежних ресурса у групе најчешће се ради из безбедоносних разлога, али и због
јединственог слања порука према више корисника
Група се може класификовати као безбедоносна или као дистрибутивна.
Оба типа група чувају се у компоненти базе података сервиса AD што нам омогућава да их
користимо било где на мрежи.
Безбедоносним групама се додељују SID-ови који једнозначно одређују сваку групу.
Дистрибуционе групе нису сигурносне и оне немају SID и не појављују се у ACL-у (Acces
Control List).
Сигурносне групе у Активном директоријуму су, такође,незваничне дистрибуционе листе.
При прављењу групе поред типа групе важно је одредити и њен домет.
Домет групе омогућује да користимо групе за додељивањедозвола
Позната су три основна типа домета група и то:
1. Глобални домет
2. Локални домет
3. Унивезални домет

Домети група
1. Глобални – најчешће се користе за организовање корисника који деле сличне захтеве за приступ
мрежи. Две су основне карактеристике ових група: ограничено чланство - можемо да додајемо
чланове само из
домена у којем смо направили глобалну групу, и приступ ресурсима у
било ком домену - групу користимо за додељивање дозвола за
приступ ресурсима који се налазе у било ком домену у стаблу или шуми.
2. Локални у домену – налазе се на усамљеном серверу, серверу који је
члан домена, или на радној станици. Локалне групе су локалне за тај
рачунар. Карактеристике овог типа су: отворено чланство - додајемо
чланове из било ког домена и приступ ресурсима у једном доменуовде се група користи за
додељивање дозвола за приступ ресурсима који
се налазе у истом домену у коме се и група прави.
3. Универзални – представљају нову могућност, почевши од Win 2000, и
омогућују да додељујемо дозволе повезаним ресурсима у више
домена. Карактерише их отворено чланство - додајемо чланове из било
ког домена, приступ ресурсима у било ком домену - омогучује
додељивање дозвола за приступ ресурсима који су у било ком домену

Групне полисе

Помоћу групних начела може се обавити:
Објављивање или додељивање софтверских пакета корисницима или рачунарима
Додељивање Start-up, Shut Down, Log On и Log Off скриптова
Дефинисање лозинке, закључавање и ревизија начела за домен
Стандардизација многих других параметара безбедности за удаљене рачунаре параметара које је
раније било могуће конфигурисати едитовањем Регистра или коришћењем алата за
конфигурисање безбедности других произвођача. Неке карактеристике, као што су могућности
наметања чланства у групи и конфигурисања сервиса у потпуности су нове.
Дефинисање и наметање параметара за Internet Explorer
Дефинисање и наметње ограничења за корисничке стоне рачунаре
Преусмеравање одређених фасцикли из корисничких профила ( као што су Start Menu или
Десктоп) на неку централну локацију
Конфигурисање и стандардизација параметара за нове могућности, као што су offline фасцикле,
диск quote, чак и сам Group Policy

Ажурирање налога

Када треба модификовати корисничке и рачунарске налоге ?
Систем администратори су одговорни за креирање корисничких и рачунарских налога у AD а
самим тим и за њихово одржавање. Да би одрадили ове задатке, систем администратори
морају да буду добро упознати са различитим поставкама за сваки кориснички и рачунарски
налог.
Поставке за кориснички налог - Корисници могу да користе поставке корисничких налога да би
дошли до одређених информација везаних за друге кориснике, као што су телефонски именик
или да потраже корисника на основу локације његовог рад.места која је наведена у поставкама
корис. налога
Поставке за рачунарски налог - Да би систем администратор могао да одржава рачунарски
налог, мора да буде у стању да пронађе физичку локацију тог рачунара. Најчешће коришћен
параметар за налоге рачунара у AD је Location and Managed by Properties. Ова поставка је
корисна јер помоћу ње можемо да документујемо физичку локацију рачунара на мрежи.
Такође, картица Manage by у поставкама за рачунарске налоге даје нам листу индивидуа које
су одговорне за тај рачунар

Зашто омогућити или онемогућити корисничке и рачунарске налоге?
Након креирања корисничких налога, треба одрађивати повремене
административне задатке да бисмо осигурали да мрежа настави да испуњава
потребе организације. Ови административни задаци укључују омогућавање
и онемогућавање корисничких и рачунарских налога. Када омогућимо или
онемогућимо налог, дајемо или забрањујемо приступ налогу.
Примери:

Ако ће корисник бити одсутан два до три месеца са посла. По одласку

корисника треба онемогућити кориснички налог, а омогућити му га кад
се поново врати на посао.

Када додајемо корисничке налоге који ће се користити у будућности, али

из безбедносних разлога их треба онемогућити док не буду потребни.

Онемогућити налог када не желимо да се корисник пријави на мрежу са

дељеног рачунара.

Омогућавање и
онемогућавање
налога

Креирање корисничког налога

Корак 1:
Након пријављивања на Windows Server
2012 бирамо Start Menu и након
тога изаберемо Administrative Tools

Корак 2:

Из листе опција које се појављују
треба изабрати опцију

Active Directory Users
and Computers.

Корак 2:

Исти мени Open AD Users and Computers
можемо отворити и из Server Manager или
једноставним задавањем команде dsa.msc из
командног режима (RUN) апликацију можемо
покренути истовременим
притискањем тастера [Windows Key] + [R] са
тастатуре.

Корак 3:

Појавиће се мени који ће показати
постојећи домен и понудиће нам се
многе доступне опције као што су
Account, Bulletin, Computers, Users и
друге.

Корак 4:

Изаберите ваш домен и затим опцију New.
Након тога изабрати User ако желимо да
додамо налог за новог корисника.

Корак 5:

Појавиће се форма за унос
података за новог корисника.
Након уношења података
потребно је изабрати опцију
Next.

Корак 6:

Појављује се нова форма у
којој је потребно унети
Password за новог корисника.
Постоје још четири опције које
је потребно изабрати и које се
везане за унети Password.

Корак 7:

Након задавања опције Next појавиће се
прозор у коме ће се наћи збирно све опције
које су у претходним корацима задате. Ако
је све уреду треба изабрати опцију Finish
како би се формирао нови налог.