Лекција 52.53.54. ОРС

– Контрола подешавања рачунара помоћу групних
полиса је метода која омогућава администраторима да
најефикасније управљају и контролишу конфигурације и
подешавања рачунара у мрежи. Ово се обично постиже
применом групних полиса које се користе за дефинисање
конфигурационих подешавања и ограничења за
рачунаре и кориснике у мрежи.

– Објекти су у Активном
Директоријуму распоређени у
оквиру структуриране хијарархије
која укључује три нивоа:
– Forest (шума), Tree (стабло)
и Domain .
– Активни Директоријум не може
постојати без барем једног домена и
обратно.

– Domain представља основну и независну административну
јединицу Активног Директоријума, границу
административних надлежности и јединицу логичког
структурирања у оквиру AD. Објекти унутар домена деле
заједничку directory database партицију домена (стога је
домен и основна јединица репликације), јединствени DNS
назив домена, као и „трaст“ релације прем другим доменима.
Групне полисе којима се подешава и дефинише окружење на
радним станицама и корисничким налозима, придружују се
објектима на нивоу истог домена и не могу се везивати за
објекте других домена – ово се у потпуности односи и на сва
безбедносна подешавања и параметре, као и на ACL (Access
Control Lists) које су важеће унутар домена у коме су
креиране.

– Наравно, предузеће или организација
може имати више од једног домена у свом
Активном Директоријуму. Различити
сектори или одељења се могу раздвојити у
различите домене. Вишеструки домени
чине логичку структуру стабла – Tree,
уколико деле основни (root) домен стабла,
односно креирају „parent-child“ структуру.
– На пример, it-modul.rs би могао бити root,
а redakcija.it-modul.rs и administracija.it-
modul.rs итд. child гране стабла it-modul.rs
домена.

– Уколико баратамо са различитим доменима и
вишеструким структурама стабла – у оквиру једне
веће целине, долазимо до структуре шуме –
Forest. Шума представља скуп свих домена у
Активном Директоријуму, и бива креирана као
таква, макар постојао само један домен.

– На крају овог набрајања логичких
структура поменућемо и Организационе
једнице (OU – Organizational Units), објекте
које се надовезују као елемент логичке
хијарархије најнижег нивоа, а изузетно су
важни као основни сегмент
функционалног повезивања у AD.

– Organizational Units (OU) су контејнери који се креирају
унутар Domain контејнера и служе за обједињавање у
логичку целину, елементарних објеката AD као што су
кориснички налози, налози рачунара, сигурносне групе и
друге организационе јединице. OU би биле први, основни
ниво обједињавања објеката унутар Domain -а.

– Поменули смо да се OU могу „гњездити“ једна у другу, и
овај начин развијати структуре/хијарархије контејнера за
смештај објеката у оквиру Domain-а. На овај начин се веома
ефикасно може отпратити хијарархијска структура
организације предузећа по секторима – одељењима и
пресликати реална организација фирме на логичке објекте
унутар Активног Директоријума.

– Organizational Units су и најмањи контејнер односно
јединица структуре за коју се могу везивати Групне
Полисе (Group Policy) и делегирати административна
права за њих. Ово је од изузетне важности јер се
пресликавањем организационе структуре фирме, на овај
начин грануларно може подешавати реално десткоп
окружење, кориснички и налози рачунара, по свим
параметрима подешавања које омогућују Групне Полисе,
а број ових параметара није мали.

– Group Policy – Групне Полисе су једна од
најлепших и најкориснијих ствари у оквиру AD DS
сервиса. Могли би смо их дефинисати као
средство за централизовану контролу и
управљање окружењем корисникана мрежи, било
да су то кориснички налози или радне станице.
Полисама се корисничко окружењеможе
централно модификовати на много различитих
начина, практично у скоро свим сферама
администрирања, од десктоп окружења,
параметара оперативног система, аспеката
мрежног функционисања, публиковању и
контроли апликација, пропагирању скрипти, итд.

– За управљање Групним Полисама користи се Group Policy Menagement
Console (Windows Server 2008 и 2008R2 платформе). Ова конзола
обједињује све неопходне алате потребне за креирање и
модификацију GPO (Group Policy Objects), управљање правима и
дозволама, копирање, импортовање и бекап, као и репортинг
компоненте.

– GPO (Group Policy Objects) су објекти који
репрезентују једно или више подешавања за
контролу и управљање окружењем путем групних
полиса. Када се GPO подешавање или више њих
дефинишу (кроз GPMC интерфејс), да би била
функционална, потребно је повезати
(линковати) Group Policy Object са одговарајућим
контејнером Активног Директоријума над којим
желимо да подешавања буду ефективна.

– Постоје три нивоа AD контејнера за које се могу
конфигурисати (линковати) GP објекти: OU
(Organizational Unit), Domain и Site . Будући да у
хијарархији објеката Активног Директоријума често
постоји већи број полиса и објеката распоређених на
различитим локацијама у три поменута нивоа,
разумљиво је да су врло могуће и честе ситуације да
поједина GPO подешавања различитих нивоа
међусобно буду конфликтна.

Начин пропагације (процесирања) GPO објеката је следећи:

Site GPO > Domain GPO > OU GPO > Child OU GPO

Практично, ово значи да се прво процесуира GPO објекат највишег нивоа
( Site ), затим Доменски, па све до најниже OU ( Organizational Unit ) при
чему, уколико постоји конфликт, наредна полиса преписује претходну па
ће у крајњем превагнути GPO везан за најнижи OU ниво. Што је ниво AD
контејнера за који се полиса везује нижи, сигурније је да ће се полиса
извршти, тј неће бити надјачана „специфичнијом“ полисом на још
нижем нивоу.

– Сваки GPO објекат поседује две
основне секције: User
Configuration и Computer
Configuration у оквиру којих се може
дефинисати велики број параметара.
Подешавања у оквиру Computer
Configuration се односе на
конфигурацију
рачунара/оперативног система и
извршавају се током подизања
система, док се User
Configuration односи на подешавања
корисничког налога и извршавају се
током логин процеса.

Пример: рецимо да смо на нивоу домена it-modul.rs
креирали и линковали GPO која дефинише proxy порт и
сервер за Интернет Експлорер у оквиру User Configuration,
као и додатно подешавање које блокира да корисници у
оквиру ИЕ мануелно мењају параметре за проксирање.

Рецимо, такође да у оквиру домена it-modul.rs имамо две
OU: Redakcija и Administracija.

OU Administracija има линковану GPO која форсирано
дозвољава промену proxy подешавања у оквиру Интернет
Експлорера, а OU Redakcija нема везану такву полису.

– У резултату, OU Redakcija ће имати пропагирану
доменску полису и корисницима ће ИЕ бити
закључан за промене proxy сервера, док ће OU
Administracija имати додатну полису са
откључаним ИЕ proxy подешавањима, која ће
надјачати доменску.

Контрола корисничких
подешавања помоћу групних полиса

– Контрола корисничких подешавања помоћу
групних полиса је метода која омогућава
администраторима да дефинишу и контролишу
конфигурациона и корисничка подешавања за
кориснике у мрежи. Ово се обично постиже
применом групних полиса које се користе за
дефинисање конфигурационих подешавања и
ограничења за кориснике у мрежи, као што су
ограничења приступа, ограничења софтвера, и
слично. Ово може да се користи да се осигура
безбедност и контрола над корисничким
подешавањима.

– Постоји доста доступних опција за управљање објектима
групних полиса. Администратор треба да размисли да ли ће
да пређе на коришћење ADMX шаблона за поставке групних
полиса или ће и даље наставити да користи АДМ шаблоне.
Администратор такође има опцију да користи стартер GPOs
као базу за изградњу нових GPOs. Такође, администратор
треба да одреди да ли ће повезати GPOs на више локација
или ће ипак креирати више GPOs. Да би осигурао могућност
опоравка GPOs у случају да је опоравак потребан,
администратор би требало да размисли о томе на који начин
ће GPOs бити сачувани у Backup-u. На крају, администратор
може да делегира управљање GPOs на неколико различитих
начина.

– Да би успешно администрирао објекте групних полиса,
администратор мора имати на уму следеће:

Алатка за администрирање GPOs је Гроуп Group Policy Management(GPMC). Ова алатка је укључена
као карактеристика у Windows Server 2008. Администратор такође може да инсталира GPMC конзолу
на Windows Vista SP1 преузимањем и инсталирањем Remote Server Administration tools.

GPO је састављен од Group Policy контејнера и Group Policy шаблона. Group Policy контејнер је
смештен у активном директоријуму. Group Policy Template је смештен у SYSVOL Share-u на доменским
контролерима.

Када се нови GPO креира, он мора да буде реплициран на друге доменске контролере у домену. Све
док репликација не буде комплетна, GPO који се примењује на корисника или компјутер, може да
буде неконзистентан.

Нови ADMX формат за административне шаблоне смањује величину GPO због тога што су ADMX
фајлови лоцирани на централној локацији и не копирају се у фолдер за сваки GPO. Ово процесуирање
GPO чини много бржим и смањује величину SYSVOL-а.

Администратор би требало да креира централни смештај за ADMX фајлове. Ово се не одрађује
аутоматски у току инсталације.

ADMX фајлове је лакше прошириватиу
поређењу са ADM фајловимазбог тога
што су ADMX фајлови XML фајлови. Ово
омогућава администраторима дадодају

нове поставке у групне полисе. Нове

поставке могу да се користе за
подешавањереџистри кључева.

ADMX фајлови могу да се користе само у
Wиндоwс Сервер 2008 и Wиндоwс Виста

оперативним системима. У случају да
имамо сервер и клијенте нижег нивоа,
мораћемо да наставимо да користимо

ADM фајлове.

Администраторможеда одради

миграцију прилагођених ADM фајлова у

ADMX формат користећи ADMX

Мигратор.

Када одрађујемо отклањање решења

примењивања поставки групних
полиса, потребно је да користимо

Group Policy Reporting карактеристику

GPMC конзоле или GPResulte.exe.
Помоћу ове две карактеристике

можемо да видимо поставке које су

примењене на корисника или

компјутер.

Када планирамо имплементацију
групних полиса, потребно је да
користимо Group Policy Modeling

Wizard у GPMC конзоли. Ова

карактеристика нам омогућава да

видимо утицај промене чланства сајта,
чланства у сигурносној групи, промене

WMI филтере, споре линкове,

Loopback процесуирање и померање

корисничких и компјутерских објеката

у нову организациону јединицу.

Стартер GPOs

Стартер GPOs смештају колекцију поставки полиса

административних шаблона у једном објекту. Стартер GPOs

садржесамо административне шаблоне. Када креирамо нови GPO

из Стартер GPO, нови GPO ће имати све поставке

административногшаблона које је дефинисао Стартер GPO. На

овај начин Стартер GPOs се понаша као шаблон за креирање GPOs.

GPMC (Group Policy Management конзола) смешта Стартер GPOs у

фолдеру под именом Стартер GPOs, који се налази SYSVOL
фолдеру. Индивидуални СтартерGPO можеда се експортује

унутар .Cab фајла за лаку дистрибуцију.

Копирање објеката групних полиса (GPOs)

Copy карактеристика је уграђена у GPMC конзолу и нуди лак начин миграције
поставки групних полиса из једног домена у други. По реду, да бисмо могли да
одрадимо ове операцију, потребна нам је Read дозвола на објекту групне полисе у
изворном домену и Write дозвола у дестинационом домену (домену у који желимо
да мигрирамо GP поставке) да бисмо могли да креирамо нови GPO. Да бисмо
ископирали GPO, потребно је да кликнемо десним кликом на GPO и затим
кликнемо на Copy. Након тога можемо да навигирамо до дестинационог домена,
десни клик на Group Policy Object контејнер и кликнемо на Paste. Cross-Domain
Copying Wizard ће се појавити да нам олакша процес копирања GPOs. Чаробњак ће
можда од нас тражити конфигурацију табеле миграције (Migration Table) да би
могао да комплетира процес копирања GPO у други домен. Migration Table се
користи за превођење специфичних GPO информација које можда не одговарају у
потпуности новом домену. На пример, можда ћемо имати GPO који је
конфигурисан да нуди преусмеравање фолдера за кориснике који се налазе у
изворном домену. Када покушамо да копирамо GPO у нови дестинациони домен,
табела миграције се може искористити за одређивање нових URL информација
које се односе на преусмеравање фолдера које су потребне новом домену.

Backup-овање и рестаурација GPOs

Сигурност и управљање инфраструктуром активног директоријума највише
лежи у групним полисама. Из тог разлога, од критичног је значаја планирање и
одржавање стратегије прављења резервне копије објеката групних полиса који
се налазе унутар нашег окружења. GPMC нуди карактеристику уз помоћ које
можемо да правимо копије индивидуалних објеката групних полиса (GPOs) или
целих сетова GPOs који су конфигурисани у нашем домену. Backup функција
такође може да се искористи и за експортовање GPOs које треба да буду
мигрирани или импортовани у друге домене или шуме активног директоријума.

GPMC Backup карактеристика прави резервне копије GPOs у дестинациони
фолдер који одредимо у току самог процеса прављења копија. По реду, да бисмо
одрадили прављење копија, морамо да имамо Read дозволу на објекту групне
полисе и Write дозволу на фолдеру у који планирамо да сместимо GPO.
Препоручује се да дестинациони фолдер за GPO Backup буде заштићен и да само
ауторизовани корисници могу да имају приступ фолдеру.

Потребно је користити следеће кораке да

бисмонправили резервне копије

индивидуални објекат групне полисе

(GPO) унутар домена:

у GPM конзоли навигирамо до Group

Policy Objects контејнера,

да бисмо направили све копије GPOs у

домену, десни клик на Group Policy

Objects контејнер и кликнемо на Back Up
All. Ако желимо да направимо копије само

једног GPO, тада кликнемо на Back Up,

у Location пољу, упишемо целу стазу која
води до фолдера у којем ће се смештати
GPO копије. Такође, можемо да дамо и

опис који се односи на задатак прављења

копија,

кликнемо на Back Up дугме да бисмо
започели процес прављења и чувања

копије.

– GPMC конзола такође дозвољава
администраторима да управљају и рестаурирају
објекте групних полиса. Технички, за сваки GPO се
прави копија одвојено и садржи информације о
верзији, време чувања и опис. Ово нам помаже да
рестаурирамо или најсвежију верзију специфичног
објекта групне полисе или ранију верзију, ако је
потребно. По реду да бисмо могли да извршимо
рестаурацију GPO, морамо да имамо привилегије
које нам омогућавају да креирамо објекте групних
полиса у домену и Read дозвола за фолдер у којем
се налазе бекаповани објекти групних полиса.

Потребно је следити

следеће кораке приликом

рестаурације

GPOs унутар домена:

У GPMC конзоли

навигирамо до Group

Policy Object контејнера.

Да бисмо управљали

бекапованим објектима
групних полиса (GPOs),

десни клик на Group

Policy Object контејнер и

затим кликнемо на

Manage Backups. Отвара
нам се Manage Backups

бокс.

Селектујемо GPOs који

желимо да рестаурирамо

и кликнемо на Restore
дугме. Можемо, такође,
да искористимо и View

Settings дугме да видимо

извештај о томе које

поставке су

конфигурисане унутар
објекта групнеполисе.

Делегирање административне контроле

над објектима групних полиса
(Delegating Management of GPOs)

Активни директоријум нам омогућава

да ефикасно управљамо објектима

коришћењем Delegating Administrative

Control над објектима. Користимо

(Delegation of Control Wizard) чаробњака
и MMC конзолу за додељивање дозвола

одређеним корисницима да бисмо

могли да обављају разне
административне задатке.

Делегирање контроле је могућност додељивањаодговорности зауправљање
објектима активног директоријума другом кориснику, групи или
организацији. Делегирањем контроле можемо да елиминишемо потребу за
креирањем више администраторских налога који имају уграђени ауторитет.

Можемо да делегирамоследеће типове контроле:

Дозволе за креирање или модификовањеобјеката у одређеној организационој
јединици.

Дозволе за модификовањеспецифичних атрибута објеката, као што су
додељивањедозволеза ресетовање корисничких налога.

Делегирање административне

контроле

Делегирана администрацијау

активном директоријуму

помажеупрошћавање

административнесуштине

управљања мрежом користећи

могућност дистрибуирања
административних задатака

на групу корисника. Са

делегираном

администрацијом можемо да

доделимо основне

административнезадатке

регуларним корисницима или

групама, и да доделимо
domen-wide и forest-wide
административнезадатке
корисницима од поверења:
Domain Admins и Enterprise

Admins групама.

Делегирањем контроледајемо
групамау нашој организацији

више контроле над својим

локалним ресурсима. Такође
штитимо мрежу од намерних
или малициозних штета тако
што смо ограничили чланство

у групи Administratros.

Начини за дефинисање

делегирања

административне

контроле

Делегирану

административну

контролу дефинишемо
на следећа три начина:

Променом поставки

одговарајућег

контејнера.

Креирањем и брисањем
објеката специфичног
типа у организационој
јединици, као што су
корисници, групе или

штампачи.

Ажурирањем

специфичних поставки

на објектима

специфичног типа у

организационој

јединици. На пример,
можемо да делегирамо
дозволу за постављање

лозинки неком

корисничком налогу

или свим корисничким

налозима у

организационој

јединици.

Delegation of Control Wizard

Користимо Delegation of Control Wizard да одредимо корисника или групу којој
желимо да делегирамо контролу. Можемо такође да користимо овог чаробњака
да доделимо дозволе организационој јединици и објектима за приступ и
модификовање објеката.

Delegate Parmissions. Користимо Delegation of Control Wizard да доделимо
дозволе на нивоу организационих јединица. Морамо ручно да додељујемо
додате специјалне дозволе на нивоу објеката.

У Active Directory Users and Computers десни клик миша на организационе
јединице којима желите да делегирате контролу. Затим клик на Delegate
control да бисте покренули Wizard. Такође, можете селектовати организациону
јединицу и онда кликнути на Delegate control у Action менију.

Делегирање администрације GPOs

Једна од највећих предности

активног директоријума је опција

за делегирање многих

административних задатака

унутар организације. Управљање
групним полисама такође је један

од задатака који можемо да

делегирамо на одређеног

корисника или групу корисника.

Имамо три опције за делегирање
администрације групних полиса.

Прво, можемо да делегирамо

дозволе за креирање, брисање и
модификовање објеката групних
полиса (GPOs). По defoltu, само

Domain Admins група, Group Policy

Creator Owners група и System

Account поседују ово право. Group
Policy Creator Owner група поседује

додатну рестрикцију у томе да
чланови ове групе имају дозволу
да модификују поставке само за

GPO који су сами креирали.

Можемо да доделимо право да
креира и брише GPOs било којем
кориснику или групи корисника
селектовањем Delegation картице
на Group Policy Object контејнеру и

затим клик на ADD.

– Друга опција за делегирање администрације групних полиса је
делегирање права за управљање линковима групних полиса (Manage
Group Policy Links). Ова опција не даје дозволу администраторима да
модификују сваки објекат групне полисе, али им даје право да додају и
уклањају GPO линкове за контејнер објекат. Најлакши начин за
додељивање нивоа ових дозвола је коришћење Delegation of Control
Wizard. У Active Directory Users and Computers конзоли десни клик на
објекат којим желимо да управља одређени корисник или група и затим
кликнемо на Delegate Control да бисмо стартовали Delegating of Control
Wizard. Када стартујемо чаробњака на нивоу организационе јединице,
један од стандардних задатака који можемо да делегирамо је дозвола за
управљање линковима групних полиса (Manage Group Policy Links).

Трећи начин за делегирање администрације групних полиса је давање
корисницима права да генеришу Set of Policy (RsoP) информације. Можемо поново
да користимо Delegation of Control Wizard за додељивање права за Generisanje RsoP
алатке и у Logging и у Planning режиму.

Такође, можемо да искористимо GPMC конзолу да делегирамо право за управљање
GPO линковима, Group Policy Modeling и Group Policy Results. Делегатион картица
која се налази на домену или на контејнеру организационе јединице нуди
могућност за додавање и уклањањекорисника и група и примењивање
специфичних дозвола.

– Додељивање скрипти уз помоћ Групних Полиса

– Администратори могу да користе Групне Полисе за додељивање
скрипти корисницима и компјутерима. Скрипт је Batch fajl или
Microsoft Visual Basic Script који може да изврши код или да одради
задатке за управљање. Можемо да користимо поставке Групних
Полиса за аутоматизовање процеса стартовања скрипти. Имамо
поставке за скрипте и у Computer и у User Configuration чвору у
Групним Полисама. Можемо да искористимо Групне Полисе за
стартовање скрипти при стартовању компјутера или кад радимо
ShutDown, и када се корисници пријављују или одјављују са
компјутера (login анд Log off). Као и са свим осталим поставкама у
Групним Полисама, довољно је да конфигуришемо скрипту једном,
након тога Windows Server 2003 ће константно имплементирати и
додељивати поставке кроз мрежу.

Поставке у Групним Полисама можемо да искористимоза додељивање
конфигурацијускрипти које раде аутоматски кад се компјутер стартује
или након гашења машине, као и кад се корисник пријави или одјави са
неког компјутера. Можемо да поставимо сваки скрипт који ради у
Windows Server 2003 оперативном систему, укључујући батцх фајлове,
.EXE извршне програме и скрипте који су подржани у Windows Script Host
(WSH).

Да би лакше управљали и конфигурисаликорисничко окружење, можемо:

Стартујемо скрипте који ће одрађивати задатке које ми не можемо или не
желимо да одрадимо. На пример, можемо да попунимо корисничко
окружење са свим мрежним конекцијама, конекцијама ка штампачима,
пречицама за потребне апликације, и корпорацијске документе
Очистимо десктоп када се корисник одјави или кад угаси компјутер.
Можемо да уклонимо све конекције које су додате са Logon или StartUp
скриптом тако да компјутер буде у истом стању у каквом је био кад је
корисник стартовао машину.

– За имплементацију скрипта, користимо Групне Полисе
да би додали тај скрипт у одговарајућу поставку Групних
Полиса. Тиме одређујемо да скрипт ради у току: Startup,
Shutdown, Logon, Logoff-a.

54. Одржавање директоријумских сервиса
у рачунарском систему
(база, логови, дефрагментирање базе,
онлајн, офлајн)

– Одржавање директоријумских сервиса у рачунарском
систему (база, логови, дефрагментација базе, online,
offline) укључује задатке као што су одржавање базе
података, логова и извођење радњи као што су
дефрагментација базе, online и offline.

LINKuniversity (link-university.com)

Логови се користе за праћење догађаја и активности који

се дешавају унутар система, а одржавање ових логова

обично подразумева редовно прегледање истих за грешке
или потенцијална сигурносна питања, и архивирање или

брисање старих логова према потреби.

Одржавање базе података подразумева осигурање да су

подаци смештени у њој тачни, комплети и ажурни.
Такође може укључивати и backup базе података и
праћење и решавање проблема који се јаве са њом.

Дефрагментација базе, познато и као оптимизација базе,
може помоћи у побољшању перформанси реорганизацијом
података на начин који смањује количину фрагментације,
што може успорити добављање података.

Online одржавање односи се на радње које се могу извести
док су директоријумски сервиси у активној употреби.

Offline одржавање односи се на радње које је потребно
извести док су директоријумски сервиси offline, тако да
корисници не могу приступити сервисима.

– За све ове задатке важно је
створити комплетан план
одржавања, који може бити
аутоматизован и заказан за редовне
интервале, и да се промене исправно
тестирају пре него што се
имплементирају у производном
окружењу.