Utisci korisnika

Veoma sam zahvalna na Vašem brzom odgovoru i želela bih da Vam se zahvalim na pažnji koju ste pokazali. Radica Nedelčev - Beograd

"Slučajno sam na nekoj diskusiji Infostuda našla vaš link i prosto sam zapanjena, obradovana i neizmerno ponosna što i u SRBIJI možemo da se služimo e-learning opcijom usavršavanja."…


Kompletna lista utisaka

Testiranje online

Arhitektura računara

Za one koji žele da znaju više.

Windows OS

Ovo bi svakako trebalo da probate.

Odnosi s javnošću

Koliko znate PR?

Pogledajte još neke od testova

Newsletter

Ukoliko želite da Vas redovno obaveštavamo o novostima sa Link eLearning sajta prijavite se na našu newsletter listu.

Ime:

Prezime:

Email:


Anketa

Arhiva anketa

BAZA ZNANJA


Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Konfiguracija objekata aktivnog direktorijuma i konfiguracija poverenja

Autor: Test Instruktor

Naziv jedinice: Delegiranje administrativnog pristupa objektima u aktivnom direktorijumu i dozvole (Permissions)


Materijali vezani uz ovu lekciju:

- Test delegiranje administrativnog pristupa objektima u aktivnom direktorijumu i dozvole (permissions)
- Delegiranje administrativnog pristupa objektima u aktivnom direktorijumu i dozvole (Permissions) (PDF dokument)



Delegacija upravljanja - administracije, predstavlja zgodan način za primenu dozvola na organizacione jedinice (OU) i korisničke naloge u Aktivnom direktorijumu, čime se određenim korisnicima ili grupama korisnika dodeljuju prava za upravljanje objektima u okviru određenog kontejnera u Aktivnom direktorijumu. Koncept delegacije upravljanja se može uporediti sa standardnom strukturom fajlova i foldera, u kojoj se korisnicima dodeljuju ACL dozvole za pristup, čitanje, izmenu određenog fajla ili foldera. Delegiranje upravljanja objektima u aktivnom direktorijumu je mehanizam osmišljen da domenskim administratorima dozvoli da "prenesu" upravljanje specifičnim zadacima na određene korisnike/administratore koji u tom slučaju mogu da upravljaju određenim objektima u okviru Aktivnog direktorijuma.

Da biste efikasno delegirali administrativne zadatke, morate da znate na koji način aktivni direktorijum kontroliše pristup objektima koji su smešteni unutar direktorijumskog servisa. Kontrola pristupa (Access Control) uključuje sledeće:

  • Podaci o identitetu (Credentials of the Security Principle) subjekta koji pokušava da odradi zadatak ili ostvari pristup resursima.
  • Autorizacioni podaci koji se koriste za zaštitu resursa ili za autorizaciju zadatka koji se obavlja.
  • Provera pristupa koja poredi podatke o identitetu protiv autorizacijskih podataka da bi se odredilo da li subjekat (Security Principle) ima odobren pristup resursima ili da li subjekt može da odradi željeni zadatak.

Kada se korisnik uloguje u AD DS domen, odrađuje se proces autentifikacije i korisnik tom prilikom dobija svoj Access Token. Access Token uključuje SID korisničkog naloga, SID svake sigurnosne grupe kojoj korisnik pripada, listu privilegija koje poseduje korisnik i sigurnosne grupe u kojima se korisnik nalazi. Access Token pomaže u odrađivanju administrativnih zadataka ili prilikom pristupa objektima koji se nalaze u aktivnom direktorijumu.

Sigurnost se primenjuje na mrežne resurse ili na objekat aktivnog direktorijuma preko autorizacijskih podataka koji su smešteni u Security Descriptor-u svakog objekta. Security Descriptor se sastoji od sledećih komponenata:

  • Object Owner: SID trenutnog vlasnika objekta. Vlasnik je najčešće i kreator objekta ili subjekat koji je preuzeo vlasništvo nad objektom.
  • Primary Group: SID primarne grupe trenutnog vlasnika objekta. Ovu informaciju koristi samo Portable Operating System Interface for UNIX (POSIX) podsistem.
  • Discretionary access control list (DACL): Lista Access Control zapisa (ACEs) koji definišu dozvole svakog subjekta za neki objekat. Svaki subjekat (Security Principal) kog dodamo u Access Control List-u dobija set dozvola koje određuju nivo mogućnosti koje korisnik može da odradi sa objektom. Ako se korisnik ne nalazi u ACE, bilo individualno ili kao član grupe, taj korisnik neće imati pristup objektu.
  • System Access Control List (SACL): Definiše postavke za Audit na objektu uključujući i to koji subjekat će biti praćen i operacije koje će biti praćene.


Kada korisnik pokuša da pristupi mrežnom resursu ili objektu aktivnog direktorijuma, odrađuje se provera pristupa i svaki ACE se proverava sve dok se ne pronađe SID korisnika ili grupe. Pristup se dalje određuje dozvolama koje su konfiguisane u ACE.


Deny & Allow ACEs u DACL-u

ACEs zapisi su izlistani u DACL po specifičnom redosledu, koji ima direktan uticaj na ishod provere pristupa. U toku provere pristupa, ACEs se proveravaju u sekvencama. Provera sekvenci se izlistava ovako:

  • ACEs koji su eksplicitno dodeljeni, proveravaju se pre nasleđenih ACEs
  • Za svaki set eksplicitnih ili nasleđenih ACEs, Deny ACEs se uvek procenjuju pre Allow ACEs. To znači da u slučaju da korisnik ima dozvolu Deny, ona će stupiti na snagu iako njegova grupa u kojoj se on nalazi poseduje dozvolu Allow. Dozvole Deny uvek imaju prednost u odnosu na dozvolu Allow.

 

Šta su to dozvole (Permissions)?

Dozvole definišu tip pristupa, koji je dodeljen korisnicima, grupama ili kompjuterima za objekat. Na primer, administrator može da dopusti jednom korisniku da pročita sadržaj   fajla, a drugom korisniku da dopusti da menja sadržaj tog istog fajla kao i da svim ostalim korisnicima zabrani pristup fajlu. Takođe, administratori mogu da postave slične dozvole za printere tako da određeni korisnici mogu da konfigurišu printer, a ostali samo da štampaju.

Dozvole se stavljaju na objekat, kao što su fajlovi, objekti u aktivnom direktorijumu i Registry objekti. Dozvole mogu da se dodele svim korisnicima, grupama i kompjuterima.


Tipovi dozvola

Kada administrator postavi dozvole, on određuje nivo pristupa za grupe i korisnike. Dozvole koje možemo da dodelimo nekom objektu zavise od tipa objekta. Na primer, dozvole koje su dodeljene za File su drugačije od dozvola koje su dodeljene ključevima Registry-ja. Neke dozvole su ipak iste za većinu tipova objekata. To su sledeće dozvole:

  • Read Permissions
  • Write Permissions
  • Delete Permissions

 

Šta su to standardne i specijalne dozvole (Standard and Special Permissions)

 

Administratori mogu da dodeljuju standardne i specijalne dozvole za objekte. Najčešće se dodeljuju samo standardne dozvole dok specijalne dozvole administratorima pružaju mogućnost za fino podešavanje pristupa objektima.


Standardne dozvole (Standard Permissions)

Sistem postavlja defoltni nivo sigurnosnih postavki za specifične objekte. Standardne dozvole su najjednostavnije dozvole koje sistemski administrator koristi svakog dana.

Lista omogućenih standardnih dozvola varira u zavisnosti od tipa objekta na kom modifikujemo sigurnost.

Specijalne dozvole (Special Permissions)

Specijalne dozvole sadrže mnogo detaljnije dozvole. Standardna NTFS dozvola Read sastoji se od sledećih specijalnih dozvola:

  • List Folder/Read Data
  • Read Attributes
  • Read Extended Attributed
  • Read Permissions

Ako sistem admnistrator ukloni specijalnu dozvolu, koja se odnosi na neku standardnu dozvolu, standardna dozvola neće više biti selektovana.

Kreiranje delegiranja za OU

1. U konzoli Active Directory Users and Computers, desni klik na kontejner za koji se dodeljuje delegiranje administracije i klik na opciju Delegate Control (Slika 1).

 Slika 1.


2. Otvoriće se čarobnjak Delegation of control Wizard (Slika 2).

Slika 2.

3. U sledećm koraku čarobnjaka potrebno je izabrati korisnika ili grupu korisnika kojima se dodeljuju delegirana prava upravljanja objektima AD u okviru datog kontejnera (Slika 3).

Slika 3.


4. Nakon odabira korisnika ili grupe korisnika kojima se dodeljluje delegirano pravo upravljanja objektima, na raspolaganju imamo dve opcije: Delegate the following common tasks tj. delegiranje uobičajenih administrativnih zadataka koji su izlistani u donjem okviru a koje je potrebno čekirati i Create a custom task to delegate odnosno preciznije određeni zadaci koji se mogu odnositi samo na objekte u tom kontejneru, objekte u kontejnerima dete ili samo na određene objekte u okviru datog kontejnera (Slika 4). Mi ćemo u ovom primeru delegirati korisnika John Smith da ima mogućnost kreiranja, izmene i brisanja korisničkih naloga u kontejneru Salesman, tako što smo čekirali prvu dozvolu iz liste: Create, delete and manage user accounts.

 Slika 4.

5. Sledi zaključni korak u kome su navedeni delegirani korisnici i zadaci koje oni mogu da obavljaju (Slika 5).

Slika 5.



Za više informacija vezano za kontrolu pristupa, pogledajte Access Control Components na:

http://technet.microsoft.com/en-us/library/cc700835.aspx

http://technet.microsoft.com/en-us/magazine/2006.05.grouppolicy.aspx


Smatrate da je ova lekcija korisna?  Preporučite je. Broj preporuka:0


Molimo Vas unesite svoje podatke i dobićete pristup besplatnim lekcijama.

Ime: 
Prezime: 
Email: