Download - M3_adm_grup
-
UNIUNEA EUROPEAN
GUVERNUL ROMNIEI
MINISTERUL MUNCII, FAMILIE I PROTECIEI SOCIALE
AMPOSDRU
Fondul Social European POS DRU 2007-2013
Instrumente Structurale
2007 - 2013
OI POS DRU
MINISTERUL EDUCAIEI, CERCETRII I INOVRII
Investete n oameni!
ATENIONARE!
Coninutul acestei platforme de instruire a fost elaborat n cadrul proiectului Dezvoltarea resurselor umane n educaie pentru administrarea reelelor de calculatoare din colile romneti prin dezvoltarea i susinerea de programe care s sprijine noi profesii n educaie, n contextul procesului de reconversie a profesorilor i atingerea masei critice de stabilizare a acestora n coli, precum i orientarea lor ctre domenii cerute pe piaa muncii. Coninutul platformei este destinat n exclusivitate pentru activiti de instruire a membrilor grupului int eligibil n proiect.
Utilizarea coninutului n scopuri comerciale sau de ctre persoane neautorizate nu este permis.
Copierea, total sau parial, a coninutului de instruire al acestei platforme de ctre utilizatori autorizai este permis numai cu indicarea sursei de preluare (platforma de instruire eadmin.cpi.ro).
Pentru orice probleme, nelmuriri, sugestii, informaii legate de aspectele de mai sus v rugm s utilizai adresa de email: [email protected]
Acest material a fost elaborat de o echip de experi din S.C. Centrul de Pregtire n Informatic S.A., partener de implementare a proiectului POSDRU /3/1.3/S/5, compus din:
- Mihaela Tudose
- Veronica Iuga
- Lidia Bjenaru
- Rodica Majaru
1
Versiunea materialului de instruire: V2.0
eAdmin
-
3. Administrarea grupurilor de lucru
Caracteristici generale ale sistemelor de operare Microsoft Windows Numim sistem de operare un ansamblu de programe care gestioneaz resursele calculatorului. Sistemul de operare este cel care permite i controleaz accesul la resursele (componentele) hardware. Prin componentele sale specializate, sistemul de operare controleaz echipamentele periferice, ofer mijlocul (instrumentul) de comunicare cu utilizatorul i lanseaz n execuie alte programe. ntr-un sens larg se spune c sistemul de operare este interfaa dintre utilizator i hardware-ul calculatorului. Caracteristici generale ale sistemelor de operare din familia Microsoft Windows includ: 1. multitasking 2. memorie virtual 3. multiprocesare simetric 4. plug & play 5. lucrul offline cu fiiere (sincronizare) 6. tiprirea n reea 7. sistem de fiiere FAT16, FAT32, NTFS inclusiv cote de ocupare a
discului, securitatea accesului, compresia fiierelor 8. sistem de criptare a fiierelor 9. criptarea datelor transmise ntre calculatoare (IPSec) 10. tentificare Kerberos (inclusiv smart card ) 11. logon secundar (run as)
Reele de calculatoare Microsoft Windows Numim reea de calculatoare un grup de calculatoare conectate ntre ele i care comunic n aa fel nct un utilizator poate avea acces att la resursele locale ct i la resurse partajate aflate la distan. Resursele reelei pot fi partajate (share) ntre mai muli utilizatori. n funcie de rolul pe care l ndeplinesc sistemele Microsoft Windows, reelele respect fie modelul egal la egal, fie pe cel cu domenii. ntr-o reea de calculatoare exist relaii de tip client server: clientul cere acces, iar server-ul servete, adic ofer serviciul solicitat. Serviciul solicitat este oferit dac cel care l-a cerut era n drept s-l cear i dac are suficiente privilegii pentru a folosi ceea ce i se pune la dispoziie.
2
eAdmin
-
Calculatoarele client (n general calculatoarele pe care le folosesc utilizatorii) formuleaz cereri pentru obinerea de date sau pentru accesul la un serviciu. Cererile lor sunt trimise calculatoarelor care ndeplinesc rol de server. Exemple de servere: servere de fiiere i imprimare server de baze de date server de pot electronic server de fax server pentru servicii director de resurse
Rolurile de client i server ale calculatoarelor stau la baza stabilirii modelului logic al reelei:
I. Reele Egal la egal (peer to peer-P2P) se compun din calculatoare care se consider toate egale ca rang1. Fiecare calculator ndeplinete att rol de server ct i de client: atunci cnd cere acces la un fiier aflat n alt parte ndeplinete rolul de client; dac ofer acces la unul din fiierele lui, atunci acioneaz ca un server. Aceste reele se numesc grupuri de lucru (workgroup). Marele dezavantaj al acestui model este imposibilitatea stabilirii unor reguli stricte i sigure de acces la resurse. Securitatea reelei nu este punctul forte al acestui model. Reelele P2P se construiesc prin adugarea ad-hoc de noduri n reea. n reelele ad-hoc eliminarea unui nod nu are un impact deosebit asupra reelei n ntregul ei. Calculatoarele componente ale unui grup de lucru sunt considerate autonome (standalone).
II. Domeniile Windows Server sunt grupuri de calculatoare pe care ruleaz sisteme de operare Microsoft Windows i care folosesc n comun o baz de date central, comun, numit director. Aceast baz de date conine conturile utilizatorilor i informaii legate de securitatea resurselor reelei. Fiecare persoan care folosete calculatoare incluse n domeniu, primete un cont unic de utilizator. Acest cont are acces la resursele domeniului. Directorul unui domeniu se afl pe controlerul de domeniu. Controlerul de domeniu este un server care controleaz toate aspectele legate de securitatea accesului la resurse i de administrarea domeniului.
Activitatea de administrare a unei reele cuprinde n general urmtoarele operaii (activiti): Gestiunea conturilor utilizatorilor Gestiunea resurselor Salvarea / restaurarea datelor Supravegherea (monitorizare) activitilor din reea
1 n limba englez peer nseamn semen, egal, dar i nobil, aristocrat, pair.
3
eAdmin
-
Windows Help este instrumentul de nvare cel mai rapid i mai comod. La baza sistemului de se afl o baz de date care poate localiza uor informaia de care are nevoie un utilizator (eventual administratorul reelei) aflat n impas. Pentru buna administrare a reelei, trebuie cunoscut mai nti mediul de operare. Iat cteva instrumente: Scheduled Tasks (sarcini programate, planificate) Administrative tools (instrumente de administrare) Control panel (panoul de control) Registry (regitrii) System properties (proprietile sistemului) Computer management (gestionarea calculatorului), System information (informaii despre sistem) i Local users and groups (conturi locale pentru utilizatori i grupuri).
Active Directory Users and Computers (utilizatori i calculatoare din Active Directory)
Event viewer (vizualizarea evenimentelor) Task manager (gestionarul de taskuri) Performance (performane) Printers (Imprimante) Shared foders (dosare, foldere partajate) Disk management (gestiunea discului) Backup (salvare) Network and Dial-up connections (conexiuni n reea i prin dial-up) Network monitor (supravegherea reelei) Configure your server (configurai-v serverul) Add/remove programs (adugare / eliminare de programe) Microsoft Management Console - mmc (Consola Microsoft)
Modelul egal la egal sau grupurile de lucru
Un grup de lucru se compune din mai multe calculatoare egale ca rang. Administrarea unei astfel de reele se realizeaz distribuit, separat la fiecare calculator n parte. n reelele care respect modelul grupurilor de lucru (workgroup) utilizatorii sunt autentificai local: baza de date Registry local calculatorului conine o structur de informaii care reprezint numele de utilizatori locali i grupurile locale din care fac parte acetia. Cnd un utilizator (autentificat local) dorete acces la o resurs aflat la distan, el trebuie reautentificat la calculatorul care deine resursa.
4
eAdmin
-
Caracteristicile modelului workgroup sunt urmtoarele: Pentru a avea acces la un calculator (local) utilizatorul trebuie s fie
autentificat local (s treac prin procedura de deschidere de sesiune logon).
Resursele sunt distribuite n reea, dar sunt considerate ca fiind locale fiecrui calculator.
Accesul la o resurs aflata la distan se face n urma unei reautentificri, ce are loc la calculatorul care deine resursa.
Administrarea reelei nu se face centralizat: fiecare calculator este administrat separat.
Fiecare calculator deine o baz de informaii SAM2 Security Account Manager unde se afl toate conturile locale. Pentru ca un utilizator s poat avea acces la resurse distribuite n reea, el trebuie s aib cte un cont de utilizator local pe fiecare calculator care deine resursele folosite n reea.
Se recomand ca ntr-un grup de lucru s existe cel mult 10 calculatoare Grupurile de lucru devin greu de administrat dac conin mai mult de 10 calculatoare. Mai mult chiar, numrul de conexiuni simultane la un calculator cu sistem de operare de tipul client, cum este Windows XP, este de maxim 10.
Proprietile sistemului De la prima ntlnire cu calculatoarele, administratorul trebuie s ncerce s le cunoasc ct mai bine. Primul pas este cutarea proprietilor calculatorului.
2 Baza de informaii SAM se afl n Registry (se va folosi utilitarul regedt32.exe)
5
eAdmin
-
Primele informaii cu care ne ntlnim sunt legate de numele calculatorului, apartenena la un grup de lucru (workgroup) sau la un domeniu.
Computer Management.
Fereastra de lucru ofer multe informaii!
6
eAdmin
-
Conturile utilizatorilor i grupurile de utilizatori Un cont utilizator este o structur de informaii care descrie i identific un utilizator. Informaiile sunt folosite la deschiderea de sesiune (logon). Fiecare persoan care folosete resursele unei reele trebuie s aib un cont utilizator. Imediat ce dispune de un cont, un utilizator l poate folosi pentru a fi autentificat local sau n domeniu. Cu acest cont el va putea avea acces la resursele locale (ale calculatorului respectiv) i la resursele reelei (resurse aflate la distan i partajate). Exist la unele sisteme de operare din familia Windows utilizatori aa-zii preconstruii (deja construii), ca de exemplu Administrator, Guest. Calculatorul local poate fi gestionat prin utilitarul Computer Management. Printre alte informaii, aici exist i lista utilizatorilor cunoscui local, respectiv Local Users and Groups. Un grup este o colecie (list) de nume de conturi utilizator. Dac un grup are asociat un set de privilegii n raport cu resursele reelei, atunci fiecare membru al grupului se bucur de acest set de privilegii. Un cont utilizator poate face parte din mai multe grupuri. n acest caz privilegiile asociate contului sunt cele care se obin din nsumarea celor atribuite fiecruia din grupurile din care face parte. Sistemele de operare Microsoft Windows folosesc grupuri preconstruite (ca de exemplu Administrators, Backup Operators, Users, etc.), grupuri cu identiti speciale (exemplu: Everyone, System, etc.) i grupuri construite de utilizatori. Grupurilor li se asociaz privilegii. Apartenena unui cont utilizator la un grup i confer contului respectiv toate privilegiile care sunt asociate grupului.
7
eAdmin
-
Drepturile utilizatorilor i apartenena la grupuri Pentru sistemele de operare Microsoft Windows privilegiile se compun din drepturile utilizatorilor i permisiunile la resurse. Drepturile sunt operaii (aciuni) pe care un utilizator le poate efectua asupra sistemului n ansamblu (s fac shut down, s schimbe data i ora sistemului, s salveze i s restaureze fiiere, s instaleze drivere, etc.). Iat cteva din drepturile utilizatorilor (User Rights): Logon locally dreptul de a face logon (de a deschide sesiune) folosind
calculatorul local Change system time dreptul de a modifica data i ora sistemului Shut down dreptul de a opri funcionarea calculatorului Access this computer from the network dreptul de a avea acces din
reea (folosind orice calculator) la calculatorul local. Unele dintre drepturi sunt asociate grupurilor preconstruite. Grupul Administrators (Administratori). Membrii acestui grup au control deplin asupra calculatorului sau domeniului. Grupul Users (Utilizatori) - Membrii acestui grup pot executa numai acele sarcini pentru care au primit drepturi, ca de exemplu: lansarea n execuie a aplicaiilor, acces la imprimantele din reea, oprirea funcionrii calculatorului. Membrii acestui grup nu pot crea grupuri locale i nici utilizatori locali, nu pot partaja dosare (foldere). Grupul Power Users (Utilizatori privilegiai) este un grup preconstruit aflat pe calculatoare non-controlere de domeniu. Membrii acestui grup pot executa unele sarcini administrative, dar nu dein controlul deplin asupra sistemului. Ei pot s: creeze conturi pentru utilizatori i grupuri (la calculatorul local) modifice i s tearg conturile pe care le-au creat partajeze resurse
Grupul Backup Operators (Operatori de Backup ) - Membrii acestui grup pot s salveze i s restaureze fiiere aflate la acel calculator, indiferent de permisiunile pe care le au la fiierele respective. Ei mai pot s deschid sesiune folosind calculatorul acela i pot opri funcionarea lui.
8
eAdmin
-
Utilizatori locali i grupuri locale n modelul egal - la - egal utilizatorii deschid sesiune folosind conturile locale. Prin deschiderea de sesiune utilizatorii sunt autentificai i vor avea acces la resurse locale, n limita privilegiilor. Conturile locale ale utilizatorilor se afl n baza de date registry. Computer management este utilitarul pe care l folosim pentru crearea i gestionarea conturilor utilizator.
9
eAdmin
-
Contul unui utilizator poate fi ters, redenumit i i se poate schimba parola asociat.
Un cont utilizator are urmtoarele proprieti: 1.utilizatorul trebuie s-i modifice parola la urmtoarea deschidere de sesiune 2.utilizatorul nu poate schimba parola 3.parola nu expir niciodat 4.contul este indisponibil 5.cont blocat (n urma ncercrilor repetate, nereuite de deschidere de sesiune)
Utilizatorii fac parte din grupuri. Dac un grup de utilizatori are asociate privilegii atunci fiecare membru al grupului beneficiaz de acele privilegii. Informaia asociat cu profilul utilizatorului se compune din:
1. Calea pn la folderul care indic profilul utilizatorului. Profilul descrie imaginea desktop, care se afieaz n urma autentificrii utilizatorului, mpreun cu constante de lucru ale utilizatorului, ca de exemplu: mrimea pictogramelor, mrimea i culoarea ferestrelor, informaii despre formatul de afiare a datei, etc. Calea implicit a acestui folder este: %systemroot%\Documents and Settings\%username% 2. Logon script se refer la fiierul cu
comenzi care va fi executat la fiecare deschidere de sesiune. Acest fiier ar putea, de exemplu, configura mediul de operare al utilizatorului, astfel nct el s lucreze numai cu anumite aplicaii i n anumite condiii. 3. Utilizatorul ar putea avea i un dosar (director, folder) personal numit generic acas, acolo unde i salveaz lucrrile i unde i plaseaz informaiile de lucru de care are nevoie. Acest dosar personal se poate afla pe un hard disc local sau se poate afla undeva la distan, la un alt calculator. n acest din urma caz, utilizatorul se va conecta la resursa aflat la distan folosind o unitate logic:
10
eAdmin
-
n acest exemplu va fi folosit unitatea logic Z: pentru conectarea la dosarul personal al utilizatorului.Utilizatorii au, n general, toate permisiunile la dosarul lor personal (acas).
Utilizatorii pot fi grupai n grupuri de utilizatori. Dac un utilizator face parte dintr-un grup, atunci el are aceleai privilegii cu cele ale grupului din care face parte.
Iat un exemplu de grupuri preconstruite pentru sistemul de operare Windows XP Professional:
Pentru sistemele de operare Windows Server 2003 grupurile preconstruite sunt:
La instalarea sistemului de operare sunt create implicit grupurile locale numite preconstruite. Grupul local Administrators i cuprinde pe administratorii sistemului: sunt cei care au privilegii complete asupra sistemului; pot instala / dezinstala orice componenta hard i / sau soft, pot face orice fel de operaie de configurare, pot crea, terge, modifica orice cont utilizator i / sau de grup. Utilizatorii locali fac n mod implicit parte din grupul Users.
11
eAdmin
-
Includerea unui cont utilizator ntr-un grup preconstruit i ofer acelui utilizator privilegiile asociate grupului. De exemplu, incluznd un cont utilizator n grupul Administrators, utilizatorul primete privilegii de administrator.
Administrators Au privilegii complete, inclusiv acelea de a-i modifica drepturile i permisiunile
Backup operators
Pot s fac salvri i restaurri de fiiere (backup i restore) indiferent de permisiunile pe care le au la nivelul fiierelor. Pot face log on (deschidere de sesiune) i shut down (oprirea calculatorului)
Power users
Pot crea conturi de utilizator, le pot modifica i terge pe cele create; pot crea grupuri locale i pot modifica lista membrilor pentru aceste grupuri. Nu pot modifica grupurile Administrators i Backup operators. Nu pot prelua posesia asupra fiierelor i nu pot face salvarea/restaurarea fiierelor i nici nu pot instala/dezinstala drivere.
Pot partaja (share) resurse.
Users Pot efectua sarcini obinuite: lansarea n execuie a unor aplicaii, pot folosi imprimantele locale i de reea, pot opri calculatoarele cu rol de staii de lucru.
Guests Sunt utilizatori ocazionali care deschid sesiunea folosind contul Guest
Replicator Asigur funciile de replicare; conturile utilizator obinuite nu trebuie incluse sub nici un motiv n acest grup.
Accesul la resursele locale. Permisiuni
Pentru sistemele de operare Microsoft Windows privilegiile utilizatorilor se compun din drepturi i din permisiuni la resurse. Drepturile (user rights) sunt operaii (verbe, aciuni) pe care le pot executa utilizatorii asupra sistemelor vzute n ansamblu. Politica local de securitate (local security policy) conine componenta user rights (drepturile utilizatorilor).
12
eAdmin
-
Aceste drepturi se refer la operaii de tipul: Accesul din reea la acest calculator Salvarea fiierelor i a directoarelor (dosare) Restaurarea fiierelor i a directoarelor (dosarelor) Modificarea datei sistemului Deschiderea de sesiune folosind echipamentele acestui calculator nchiderea calculatorului Etc.
La ntrebarea cine poate face la sistem? Rspunsul este :
Controlul modului n care utilizatorii pot face logon este realizat prin politica asociat conturilor.
13
eAdmin
-
i
Accesul la dosare i fiiere aflate pe hard discul calculatorului local poate fi controlat (restricionat) numai n situaia n care unitatea logic respectiv (de exemplu C:) adreseaz o partiie formatat NTFS (New Technology File System).
Unitile de disc formatate NTFS au o proprietate numit security unde se pot asocia reguli de securitate a accesului la dosare i fiiere
14
eAdmin
-
Permisiuni NTFS
Sistemul de fiiere NTFS3 este singurul care poate asigura protecia i securitatea accesului local la fiiere i dosare. Pentru volumele NTFS se poate controla strict accesul local al utilizatorilor la dosare i fiiere. Acest lucru nu este asigurat de celelalte sisteme de fiiere acceptate de Windows, adic FAT16 i FAT32. Pentru acestea din urm, accesul local al unui utilizator nu poate fi restricionat n nici un fel. Sistemele de operare Microsoft Windows asociaz permisiuni dosarelor i fiierelor aflate n partiii formatate NTFS. Permisiunile sunt acordate utilizatorilor individuali sau grupurilor. Dac un utilizator nu are nici o permisiune asupra unui fiier sau dosar, atunci el nu poate efectua nicio operaie asupra acelui obiect. Fiecare dosar i fiier dintr-o partiie NTFS are asociat cte o list ACL (Access Control List list care controleaz accesul). n lista ACL se afl nscrise perechi de informaii de tipul: ce utilizator (sau grupuri, sau eventual calculatoare) au acces i ce tip de acces le este permis. Pentru ca un utilizator s aib acces la un dosar sau fiier el trebuie sa fie cuprins n lista ACL (direct sau indirect, prin apartenena la un grup). Dac utilizatorul nu apare n lista ACL atunci el nu are acces la acel obiect!
n dreptul permisiunilor asociate unui cont utilizator sau unui grup de utilizatori apar aa numitele permisiuni speciale, de exemplu: Full Control (control deplin, complet), Modify (modific), Read & Execute (citete i execut), .a.m.d.
Acestor permisiuni de ordin mai general le corespund permisiuni specifice strict delimitate, dup cum urmeaz (vizibile dup folosirea butonului ):
3 NTFS=New Technology File System
15
eAdmin
-
Verbele Allow (permite) i Deny (nu permite, neag) indic semnificaia permisiunii. De exemplu, asocierea Delete - Allow arat c este permis operaia de tergere.
Permisiuni NTFS pentru fiiere Utilizatorul:
Full control (control deplin)
Schimb permisiuni, ia n posesiune (devine proprietar) i execut toate operaiile permise prin toate celelalte permisiuni NTFS
Modify (modific)
Modific i terge fiierul i execut operaiile permise prin Write i Read & Execute
Read & Execute (citete i execut)
Lanseaz n execuie aplicaia i execut operaiile permise prin Read
Write (scrie)
Suprascrie fiierul, schimb atributele fiierului, citete proprietarul i permisiunile
Read (citete) Citete fiierul, citete atribute, proprietar i permisiuni
16
eAdmin
-
Permisiuni NTFS pentru foldere Utilizatorul:
Full control (control deplin)
Schimb permisiuni, ia n posesiune, terge subfoldere i fiiere, execut toate aciunile permise prin celelalte permisiuni NTFS
Modify (modific)
terge folderul i execut operaiile permise prin Write i Read & Execute
Read & Execute (citete i execut)
Traverseaz foldere i execut operaiile permise prin Read i List folder contents.
Write (scrie)
Creeaz fiiere i subfoldere noi n folder, schimb atributele folderului, citete proprietarul i permisiunile
Read (citete)
Citete fiiere i subfoldere, atribute, proprietar i permisiuni
List folder contents (listeaz coninut folder)
Citete numele fiierelor i ale subfolderelor
Full Control Modify
Read & Execute
List Folder
Contents (numai pentru dosare)
Read Write
Control deplin Modific
Citete &
Execut
Listeaz coninut
folder (numai pentru
foldere)
Citete Scrie
Traverse Folder/Exec
ute File (traverseaz
folder / execut fiier)
x x x x
List Folder/Read
Data x x x x x
17
eAdmin
-
(listeaz folder /
citete date) Read
Attributes (citete atribute)
x x x x x
Read Extended Attributes (citete atribute extinse)
x x x x x
Create Files/Write
Data (creaz
fiiere/scrie date)
x x x
Create Folders/App
end Data (creaz
foldere/adaug date)
x x x
Write Attributes
(scrie atribute)
x x x
Write Extended Attributes
(scrie atribute extinse)
x x x
Delete Subfolders and Files (terge
subfoldere i fiiere)
x
18
eAdmin
-
Delete (terge) x x Read
Permissions (citete
permisiuni)
x x x x x x
Change Permissions
(schimb permisiuni)
x
Take Ownership
(ia n posesie)
x
Permisiunile sunt asociate att conturilor de utilizator ct i grupurilor. Permisiunile efective ale unui utilizator se obin prin nsumarea tuturor permisiunilor care i revin individual i prin apartenena la grupuri (un utilizator poate face parte din mai multe grupuri simultan). Permisiunea deny suprascrie permisiunile corespunztoare allow (permis). De exemplu, dac un utilizator are, asupra aceluiai fiier, permisiunea Read Allow i Read Deny, atunci permisiunea efectiv, cumulat este Read Deny. Permisiunile NTFS asociate unui dosar se propag (se motenesc) n ierarhia de subdosare i fiiere, dac nu cumva motenirea este inhibat.
19
eAdmin
-
Exerciiu practic:
1. Ce permisiuni are utilizatorul la Folder1? Dar la Fiier1? 2. Ce permisiuni are utilizatorul la Fiier2 ?
Conectarea la reea
Conexiune activ, corect
Mediul de transmisie deconectat
Driver dezafectat (nu funcioneaz)
20
eAdmin
-
Starea conexiunii n reea este indicat de una dintre aceste pictograme.
21
eAdmin
-
componenta client / server: client for Microsoft Networks
sau file and printer Sharing for Microsoft Networks
Transport: TCP
Reea: IP
protocol
Driver: Intel PRO/100 VE
Placa de reea: Adresa MAC Mediul de transmitere a datelor
n situaia configurrii corecte a tuturor componentelor necesare conectrii, putem spune c avem un calculator conectat la reea. Reamintim definiia unei reele de calculatoare: mai multe calculatoare interconectate i care comunic ntre ele, astfel nct utilizatorul s poat folosi n limita privilegiilor (permisiuni i drepturi) - resursele locale ale calculatorului dar i resurse aflate la distan. Pentru sistemele de operare din familia Windows care folosesc protocolul TCP/IP, calculatoarele pot fi identificate prin numele NetBIOS dac este activ protocolul NetBIOS peste TCP/IP.
Protocolul NetBIOS peste TCP/IP este cel care rezolv numele NetBIOS al calculatorului, deci calculatorul poate fi identificat prin nume. Este suficient n aceste condiii s cunoatem numele calculatorului din reea pentru a ajunge la resursele aflate acolo. Ajungnd aici este momentul s verificm dac ntr-adevr reeaua funcioneaz. Vom ncerca nti s folosim aplicaia My Network Places, n traducere locurile din reea care mi sunt accesibile
22
eAdmin
-
Partajarea resurselor
Resursele partajate sunt cele care pot fi accesate din reea, adic de utilizatori care folosesc alte calculatoare dect cel care deine resursa. Resursele partajabile sunt dosarele i imprimantele. Prin partajare se stabilesc pe de o parte - numele prin care resursa va fi recunoscut n reea, iar pe de alt parte utilizatorii care o pot folosi precum i tipul de acces permis. Permisiunile de partajare pot fi asociate individual fiecrui utilizator sau pot fi asociate grupurilor din care fac parte utilizatorii. Pentru aceeai resurs partajat se vor specifica permisiuni diferite pentru grupuri sau utilizatori diferii. Atunci cnd un utilizator ncearc s se conecteze i s foloseasc o resurs aflat la distan se cunoate deja lista grupurilor din care face parte (autentificarea utilizatorilor nseamn i stabilirea listei de grupuri din care fac parte). Se construiesc astfel permisiunile de acces pentru resursele aflate la distan. Dac un utilizator face parte din mai multe grupuri, atunci permisiunile lui de acces pentru o resurs aflat la distan - se obin prin nsumarea celor asociate grupurilor din care face parte i a celor asociate individual, dac este cazul. Specificatorul deny (interzis) este mai puternic dect corespunztorul allow (permis).
23
eAdmin
-
Pentru a fi disponibile de la distan resursele trebuie partajate (share):
\cursant
Permisiunile de partajare (share) indic tipul de acces permis prin partajare:
24
eAdmin
-
Read asigur: vizualizarea numelor fiierelor i subfolderelor trecerea dintr-un subfolder (subdosar) n altul vizualizarea (citirea) datelor din fiiere lansarea n execuie a programelor
Change asigur permisiunea Read plus: adugarea de fiiere i subdosare modificarea datelor din fiiere tergerea subfolderelor i a fiierelor
Full Control asigur Read i Change plus: Modificarea permisiunilor pentru fiiere i foldere (n format NTFS) Luarea n posesie a fiierelor i dosarelor (n format NTFS)
Atenie: permisiunile de partajare (share) au efect numai n situaia accesului de la distan. Pentru accesul la resursele locale nu funcioneaz aceste restricii! Imprimantele, la rndul lor, sunt disponibile ca resurse din reea numai dup ce au fost partajate. Permisiunile de partajare i efectele lor sunt urmtoarele: Print utilizatorii se pot conecta la imprimant i pot transmite documente spre tiprire. Manage printers utilizatorii pot executa operaiile permise prin print i au n plus controlul complet asupra obiectului printer. Ei pot modifica valorile asociate caracteristicilor de lucru din obiectul printer, pot partaja imprimanta, pot modifica permisiunile de partajare existente. Manage documents utilizatorii pot rearanja documentele n coada de ateptare, pot opri sau relua servirea cererilor de tiprire afiate n coada de ateptare.
Accesul la resursele aflate la distan Accesul la resursele aflate la distan se face n limita permisiunilor de partajare. Pentru accesul la dosare partajate care sunt nsoite i de permisiuni NTFS cele dou seturi de permisiuni se combin. Rezultatul se obine prin intersectarea permisiunilor de partajare cu cele NTFS.
25
eAdmin
-
Pentru a ajunge la o resurs aflat la distan un utilizator trebuie s cunoasc numele calculatorului (sau alt identificator al calculatorului) la care dorete s se conecteze i numele de partajare al resursei pe care o va folosi. n exemplu care urmeaz \\duo2 este numele calculatorului, iar \doc este numele de partajare al unei resurse. La fel se ntmpl i dac se folosete aplicaia My Network Places.
Configurarea serverelor
n sens larg, serverele sunt calculatoarele care pot pune la dispoziie servicii. Microsoft pune la dispoziie sisteme de operare Windows Server 2003, disponibile n ediii diferite, ca de exemplu: Web Edition, Standard, Enterprise, Datacenter. Sunt sisteme de operare care pot deine servicii. Serviciile sunt cele care ofer funcionalitate reelei; rolurile pe care le ndeplinete un server sunt date de serviciile instalate i configurate. La prima ntlnire cu un sistem de operare server facem cunotin i cu aplicaia Manage your server. Este un vrjitor (wizard) care l conduce i ndrum pe administrator n activitile legate de administrarea curent a reelei.
26
eAdmin
-
eAdm
in Ceea ce urmeaz sunt rolurile pe care le poate ndeplini un server Microsoft Windows Server 2003:
27
eAdmin
-
Cel mai simplu rol este cel de server de fiiere. Pentru a fi server de fiiere calculatorul trebuie s fie conectat la reea, s comunice corect cu celelalte calculatoare din reea i s aib resurse partajate puse la dispoziia utilizatorilor din reea. Fiind vorba de sistemul de operare Windows trebuie s fie activ procedura File and Print Server for Microsoft Networks. n msura n care dosarele partajate (share) se afl pe discuri cu sistem de fiiere NTFS putem vorbi de caracteristici deosebite ale discului i deci ale serverului de fiiere:
Volumul F: a fost ales drept resurs disponibil n reea. Aici se vor afla dosare partajate disponibile utilizatorilor. Fiind vorba de formatul NTFS, caracteristicile hard discului includ: cote alocate pe disc, permisiuni NTFS, posibilitatea de lucru offline cu fiierele, alturi de permisiunile de partajare. Exact ctre aceste caracteristici ne ndrum i vrjitorul pentru rolul de file server.
28
eAdmin
-
29
eAdmin
-
Spre final facem cunotin cu un format nou al aplicaiei Computer Management:
30
eAdmin
-
Manage Your Server nu este dect unul dintre utilitarele care stau de la nceput la ndemna administratorului. Pentru administratorul local al calculatorului sunt disponibile implicit urmtoarele utilitare, grupate sub numele Administrative Toos (Instrumente de administrare).
31
eAdmin
-
Strategii locale de securitate. Drepturile utilizatorilor. Strategia de audit.
Politicile (numite i strategii) de securitate sunt implementate prin ceea ce se numete Local Security Policy (Politica Local de Securitate).
32
Aici identificm pentru moment politici politica conturilor locale
blocarea conturilor politici locale
drepturile utilizatorilor opiuni de securitate
Pentru deschiderea de sesiune n afar de politicile asociate conturilor mai trebuie avute n vedere i drepturile utilizatorilor. Pot face logon acei utilizatori care au dreptul Logon locally.
(strategii) care se refer la: parole
audit eAdmin
-
Remarcm aici grupul Users, acoperitor pentru toi utilizatorii locali. n plus e vorba despre utilizatori care nu au alte restricii, legate de parol sau de blocarea conturilor.
n mod implicit regulile de securitate implementate nu specific nimic la aceste capitole; sarcina Administratorului este ns i aceea de a nu lsa pe oricine s foloseasc orice calculator! Din categoria drepturilor utilizatorilor vom remarca n cele ce urmeaz preluarea posesiei asupra fiierelor i a dosarelor, adic:
33
eAdmin
-
Administratorii (grupul local de Administratori) sunt singurii n msur s devin proprietarii fiierelor i ai dosarelor. Proprietarul are sau i arog toate permisiunile asupra obiectelor. Cu alte cuvinte, o dat devenii proprietari, Administratorii pot modifica permisiunile asociate dosarelor i fiierelor. Obiectele (foldere / dosare i fiiere) din volume NTFS sunt nsoite de cteva caracteristici importante: proprietar (owner) i procedura de audit (sau procedura de supraveghere):
De multe ori administratorul este interesat s tie care au fost aciunile utilizatorilor, dac ele au fost n concordan sau nu cu limitrile restriciile dorite de administrator. ntr-o astfel de situaie, administratorul pornete o activitate de supraveghere a accesului la diferite obiecte recunoscute de sistemul de operare. Operaia de audit va funciona dup parcurgerea urmtoarei succesiuni de pai: 1. Activarea operaiei de audit pentru dosare i fiiere. Este vorba despre activarea procedurii de audit din Local Security Policy. Auditul (supraveghere) se va referi la accesul la obiecte (dosare i fiiere). Vor fi supravegheate toate ncercrile de acces, att cele reuite ct i cele nereuite (success i failure).
34
eAdmin
-
2. Alegerea obiectelor supuse supravegherii i persoanele supravegheate (utilizatori i / sau grupuri).
35
eAdmin
-
Dup cum au fost configurate condiiile de audit, va fi supravegheat utilizatorul CPI\madalina i i vor fi evideniate ncercrile de citire a fiierului i cele de preluare a posesiunii! 3. n msura n care utilizatorul va lucra cu fiierul i va efectua sau mcar
va ncerca s efectueze operaiile marcate, n aceeai msur operaiile vor fi nregistrate n jurnalul evenimentelor legate de regulile de securitate a accesului la resurse.
36
eAdmin
-
37
eAdmin
-
Propunere de tem practic 1. Identificai numele calculatorului dumneavoastr (inclusiv apartenena la
un grup de lucru sau la un domeniu). Identificai adresa IP a conexiunii de reea. Identificai i notai principalele caracteristici ale calculatorului pe care l folosii:
Tip procesor Dimensiune memorie Tip de hard disc, capacitate Periferice ataate Sistemul de operare instalat Caracteristicile conexiunii la reea
Notai rspunsurile inclusiv metoda de rezolvare.
2. Ce aplicaii sunt instalate pe calculatorul dumneavoastr? Dar servicii? Ce
aplicaii sunt active n acest moment? Notai orice fel de observaii, inclusiv metoda de rezolvare!
3. Construii un cont utilizator local. Verificai dac poate face Shut down i
n caz contrar facei cuvenitele modificri. Deschidei sesiunea folosind contul creat. Configurai ecranul desktop plasnd cteva scurtturi (shortcut). Terminai cu Shut down. Deschidei o noua sesiune de lucru folosind acelai nume de utilizator. Observai dac modificrile aduse imaginii desktop au rmas aceleai. Cum explicai? Notai orice fel de observaii, inclusiv metoda de rezolvare!
4. Continuai exerciiul 3. Pentru acelai utilizator creai un folder personal de
lucru, unde i poate pstra n siguran lucrrile, fiierele. Partajai acest dosar pentru a putea fi folosit n reea. Verificai, testai ce utilizatori pot avea acces la folder i la coninutul lui.
5. Continuai exerciiul 4. De la mai multe calculatoare mai muli utilizatori se
conecteaz la resursa partajat i citesc fiierele aflate acolo. Care sunt utilizatorii conectai acum, de la ce calculator s-au conectat, ce fiiere citesc?
6. Notai-v caracteristicile aplicaiilor: Computer Management, Event Viewer
i Performance Monitor. Folosii orice posibilitate de help on line pentru a nva cum se utilizeaz ele. Nu uitai: notai orice fel de observaii, inclusiv metoda de rezolvare!
38
eAdmin
-
Ce ai nvat n acest modul? s identificai deosebirile dintre grupurile de lucru i domenii s folosii conturile utilizatorilor pentru accesul la resursele locale i la
resurse aflate la distan s folosii grupurile de utilizatori s identificai i s folosii drepturile i permisiunile utilizatorilor s partajai resurse i s asigurai utilizatorilor accesul la resursele
partajate n reea s supravegheai (audit) accesul utilizatorilor la resurse
39
eAdmin
3. Administrarea grupurilor de lucruCaracteristici generale ale sistemelor de operare Microsoft WindowsReele de calculatoare Microsoft WindowsModelul egal la egal sau grupurile de lucruProprietile sistemuluiConturile utilizatorilor i grupurile de utilizatoriDrepturile utilizatorilor i apartenena la grupuri
Utilizatori locali i grupuri localeAccesul la resursele locale. PermisiuniPermisiuni NTFS
Conectarea la reeaPartajarea resurselorAccesul la resursele aflate la distan
Configurarea serverelorStrategii locale de securitate. Drepturile utilizatorilor. Strategia de audit.Propunere de tem practicCe ai nvat n acest modul?