Gestiunea Utilizatorilor DE Retea Sub Windows Server 2012
GESTIUNEA UTILIZATORILOR DE
REȚEA SUB WINDOWS SERVER 2012
Cuprins
1. Descrierea sistemului de operare Windows Server 2012
1.1 Definiția unui sistem de operare
1.2 Noutăți în sistemul de operare Windows Server 2012
1.3 Instalare Windows Server 2012
1.4 Server Core și Full Instalation
1.5 Securitate și protecție în Windows Server 2012
1.5.1 AppLocker
1.5.2 Bitlocker
1.5.3 Kerberos
1.5.4 NTLM
1.5.5 Controlul accesului (Access Control)
1.6 Windows Server Backup
2. Rolurile unui server (Server Roles)
2.1 Active Directory Domain Services (ADDS)
2.1.1 Ce este ADDS
2.1.2 Ce este și cum se instalează un controller de domeniu
2.1.3 Organizarea/ierarhia ADDS
2.1.4 Relațiile de încredere între domenii
2.1.5 FSMO (Flexible Single Master Operations)
2.1.6 Nivelurile Funcționale (Functional Levels)
2.1.7 Conturi și grupuri AD
2.2 RODC (Read Only Domain Controller)
2.3 Group Policy
2.4 DNS (Domain Name System)
2.4.1 DNSSEC (Domain Name System Security Extensions)
2.4.2 DFS (Distributed File System)
2.5 ADFS (Active Directory Federation Services)
2.6 HYPER-V
2.7 Windows Deployment Services (WDS)
3. Gestionarea confidențialității
3.1 Activarea Windows
3.2 SmartScreen Filter
4. Descrierea aplicației practice
6. BIBLIOGRAFIE
Descrierea sistemului de operare Windows Server 2012
Definiția unui sistem de operare
Un sistem de operare reprezintă un ansamblu de programe care asigură utilizarea optimă a resurselor fizice și logice ale unui sistem de calcul.Rolul sau de bază este acela de a gestiona funcționarea componentelor hardware ale sistemului de calcul.Pe scurt,asigură comunicarea utilizatorului cu sistemul de calcul.
Cele mai răspândite sisteme de operare sunt cele create de Microsoft.Această companie a creat sisteme de operare precum cele pentru utilizatori (începând cu Windows 1.0 în 1985 până la Windows 8.1 în prezent) dar și pentru asigurarea serviciilor într-o rețea, acestea numindu-se sisteme de operare de tip server.
Sistemele de operare de tip server sunt versiuni mai puternice ale sistemelor de operare pentru utilizatori și sunt destinate pentru a asigura mai eficient resursele dintr-o companie, precum bazele de date,servicii de mesagerie, Internet \ intranet etc.
Prima versiune de sistem de operare pentru server a fost lansată în 1993 și poartă numele de Windows NT 3.1 Advanced Server. Codul sursă pentru acest sistem de operare a fost scris în limbajul de programare C, iar pentru partea de grafică și cea de rețea s-a folosit C++.
Următoarele versiuni ale sistemelor de operare pentru servere au fost: Windows NT 3.5 Server, Windows NT 3.51 Server, Windows NT 4.0 Server (disponibil în mai multe ediții), Windows 2000 Server,după care, saltul major la vremea respectivă -Windows Server 2003.
Fiecare ediție de Windows Server 2003 a fost orientată spre un anumit tip de activitate, precum:
Windows Server 2003 Standard Edition – a fost destinat pentru companiile mici și mijlocii.Oferea la vremea respectivă partajarea de resurse în rețea, conectivitate la Internet securizată, dar și caracteristici avansate de rețea precum Internet Authentication Service(IAS), multiprocesare simetrică pe patru direcții (SMP).
Windows Server 2003 Enterprise Edition- a fost conceput pentru companiile medii și mari. Era recomandat pentru serverele care rulau aplicații precum crearea de rețele, baze de date sau site-uri Web.
Windows Server 2003 Datacenter Edition- a fost destinat pentru a asigura cele mai înalte nivele de fiabilitate și disponibilitate cum ar fi: soluții pentru bazele de date, software de planificare a resurselor .
Windows Server 2003 Web Edition- proiectat pentru construirea și găzduirea aplicațiilor Web, pagini Web. Includea următoarele caracteristici: IIS 6.0, Microsoft ASP.NET pentru implementarea aplicațiilor Web, Web Distributed Authoring and Versioning ce permite publicarea și gestionarea informațiilor pe Web.
Windows Storage Server.
Doi ani mai târziu apare Windows Server 2008, iar în 2010 Windows Server 2008 R2, cu imbunatatatiri și noutăți semnificative față de primele versiuni.
Ultima versiune este Windows Server 2012 R2 apărută în anul 2013, și aduce câteva îmbunătățiri la caracteristicile și funcțiile predecesorului său din 2012, Windows Server 2012.
Ca și versiunile disponibile în anii trecuți, și aceasta are mai multe ediții pentru necesități diferite:
Windows Server 2012 Datacenter- această ediție este destinată celor care utilizează pe scară largă mașinile virtuale. Fiecare licență acoperă până la două procesoare fizice și un număr nelimitat de mașini virtuale.
Windows Server 2012 Standard- această ediție dispune de toate caracteristicile ediției Datacenter, diferența constând în faptul că ediția Standard prin numărul de mașini virtuale reglementate de licență. La fel ca și ediția Datacenter, licența este disponibilă per două procesoare.
Windows Server 2012 Essentials-este concepută pentru mediile mici de afaceri. Aceasta este limitată la 25 de utilizatori și nu suportă virtualizare.
Windows Server 2012 Foundation-aceasta ediție este disponibilă doar cu achiziționarea unui nou server. Și acesta este proiectat pentru întreprinderi mici, și este limitată la doar 15 utilizatori. Nu suporta virtualizare, dar oferă în schimb infrastructura de rețea de bază: Active Directory, Remote Control, partajare de fișiere și imprimare.
1.2 Noutăți în sistemul de operare Windows Server 2012
Principalele modificări care se regăsesc în ultima versiune sunt:
Comutarea între versiunea Core și versiunea GUI. Instalarea unui Server Core asigură o securitate mai bună și performanțe mai înalte. O mare parte din hackerii din ziua de astăzi se folosesc de vulnerabilitățile unui sistem de operare cu interfață grafică, iar în Server Core nefiind disponibilă o interfață grafică, posibilitatea unui atac este destul de redusă.Performanțele înalte se datorează faptului că o versiune Core folosește semnificativ mai puține resurse. În versiunile anterioare (Windows Server 2008, Windows Server 2008 R2 etc.) trecerea de la la Server Core la o versiune cu interfață grafică, nu era posibilă, prin urmare trebuia decis înainte ce funcție să îndeplinească serverul respectiv și ce va trebui instalat pe el: Server Core sau oricare altul cu interfață grafică. O dată instalat,nu se putea face comutarea între cele două. Lucrurile s-au schimbat în Windows Server 2012 și nu mai este nevoie de acest sacrificiu. Se poate trece foarte ușor dintr-un mod în altul, acest lucru datorându-se faptului că versiunea Core face parte din suita de roluri a unui server obișnuit , care poate fi activat sau dezactivat, în funcție de necesități.
Server Manager. În versiunile anterioare ale sistemelor de operare pentru servere, această caracteristică oferea multe facilități atunci când un server trebuia administrat cum ar fi: instalare și dezinstalare de roluri sau caracteristici, configurare, modificări la nivel de spațiu de stocare ,setări pentru Firewall etc. În Windows Server 2012, sunt păstrate toate aceste facilități. Noutatea constă în faptul că acum, suportă și capabilități multi-server.Acest lucru înseamnă că rolurile și caracteristicile unui server pot fi instalate prin rețea, remote, atât serverelor fizice cât și celor virtuale.Oferă și posibilitatea de a crea un grup de servere care să fie administrat, adică mai multe servere administrate împreună în același timp.
SMB 3.0. Protocolul SMB(Server Message Block) a fost îmbunătățit semnificativ atât în Windows Server 2012 cât și în Windows 8. Noua versiune suportă noi caracteristici pentru serverele de fișiere cum ar fi un failover transparet, criptare SMB ba chiar și SMB PowerShell.
Spațiul de stocare. Storage Space, așa cum se numește în limba engleză, oferă posibilitatea de a folosi alte harduri (normale și mai puțin scumpe) pentru a crea un storage pool ce poate fi divizat ulterior în spații de stocare utile, și folosite ca și harduri fizice.Pot folosi metode de redundanță cum ar fi mirroring-ul sau paritatea.
Replicarea Hyper-V. Este un mecanism de replicare care funcționează ca o metodă de disaster recovery, lucru foarte util având în vedere faptul că SMB ar putea să nu fie capabil să lanseze în rețea o soluție de replicare complexă. Acest mecanism, înregistrează modificările de pe hardurile unei mașini virtuale și folosește compresia pentru a salva lățimea de bandă din rețea ,în procesul de replicare de la un server primar către o replică.
ReFS. Sau Resilient File System, este noul sistem de fișiere asemănător cu NTFS dar fără câteva caracteristici cum ar fi compresia fișierelor sau EFS. În schimb ReFS permite verificarea datelor și auto corecția și este conceput să lucreze cu caracteristica Storage Space , pentru crearea spațiilor de stocare logice redimensionabile. Ideea de bază a acestui sistem de fișiere este scalabilitatea, iar ca dovada, suportă ,în practică până la 16 exabytes.
Licența simplificată. Microsoft a ascultat dorința utilizatorilor și o dată cu apariția lui Windows Server 2012 a făcut posibilă obținerea de licențe, mult mai simplă. În acest sens au fost dezvoltate doar patru ediții ale acestui sistem de operare: Datacenter, Standard, Enterprise și Foundation. Primele două ediții au licența în funcție de numărul de procesoare iar cele două din urmă au licența per server cu o limitare a numărului de conturi de utilizator (15 pentru Foundation și 25 pentru Enterprise).
Cerințele minime de sistem pentru instalarea Windows Server 2012 sunt:
De menționat este faptul că Windows Server 2012 nu mai are suport pentru procesoare pe 32-biti sau procesoare Itanium.
1.3 Instalare Windows Server 2012
Instalarea sistemului de operare este foarte ușoară și se aseamănă destul de mult cu deja obișnuitul Windows 7.
Prima imagine după introducerea unui DVD cu sistemul de operare și după restart, va fi cea în care se va cere apăsarea oricărei taste pentru bootare.
Așteptați până procesul de setup încarcă fișierele necesare.Durata acestui pas depinde de configurația hardware.
Odată încărcate fișierele necesare, procesul de setup continuă cu pasul în care alegeți câteva caracteristici cum ar fi limba pentru sistemul de operare, pentru tastatura etc.
Odată apăsat butonul Next, se poate începe instalarea sistemului de operare.
Următorul pas pune la dispoziție cele patru ediții de Windows Server 2012: două cu interfață grafică și două în varianta Core.
În următorul pas sunt prezentați termenii referitori la licența.
Următorul pas pune la dispoziție cele două tipuri de instalare: Upgrade (în cazul în care este instalată deja o versiune de Windows și se dorește să se păstreze setările dar să se treacă la o versiune mai nouă) și Custom (presupune o instalare de la început a unei versiuni de sistem de operare incluzând și setări legate de partiții).
Următorul lucru care trebuie făcut este partiționarea.Se afișează spațiul total de stocare, urmând ca utilizatorul să specifice spațiul exact pe care îl dorește.Adițional se crează automat și o partiție de 350 MB (față de versiunile anterioare ale Windows Server, unde partiția folosită de sistem era de 100 MB) care va fi folosită numai de sistem (System Reserved).
Odată creată și aleasă partiția, începe instalarea fișierelor necesare sistemului de operare.
După instalare se va cere o parola pentru administrator care se va folosi ulterior pentru logare.
După logare va porni automat unealta pentru administrarea serverelor, Server Manager.
1.4 Server Core și Full Instalation
Când se instalează Windows Server 2012, există posibilitatea de a alege între Server Core Installation și Server with a GUI. Opțiunea “Server with a GUI” din Windows Server 2012 este echivalentul opțiunii “Full Installation” din Windows Server 2008 R2. În Windows Server 2008 R2, în timpul instalării, se putea alege doar o instalare Core sau Full, așadar nu se putea comuta între cele două.
Instalarea Server Core presupune instalanouă) și Custom (presupune o instalare de la început a unei versiuni de sistem de operare incluzând și setări legate de partiții).
Următorul lucru care trebuie făcut este partiționarea.Se afișează spațiul total de stocare, urmând ca utilizatorul să specifice spațiul exact pe care îl dorește.Adițional se crează automat și o partiție de 350 MB (față de versiunile anterioare ale Windows Server, unde partiția folosită de sistem era de 100 MB) care va fi folosită numai de sistem (System Reserved).
Odată creată și aleasă partiția, începe instalarea fișierelor necesare sistemului de operare.
După instalare se va cere o parola pentru administrator care se va folosi ulterior pentru logare.
După logare va porni automat unealta pentru administrarea serverelor, Server Manager.
1.4 Server Core și Full Instalation
Când se instalează Windows Server 2012, există posibilitatea de a alege între Server Core Installation și Server with a GUI. Opțiunea “Server with a GUI” din Windows Server 2012 este echivalentul opțiunii “Full Installation” din Windows Server 2008 R2. În Windows Server 2008 R2, în timpul instalării, se putea alege doar o instalare Core sau Full, așadar nu se putea comuta între cele două.
Instalarea Server Core presupune instalarea unui sistem de operare fără interfață grafică , nevoie apărută în urma dorinței de a limita suprafața de atacuri posibile. Un alt avantaj al unei astfel de instalări este faptul că ocupă mult mai puțin spațiu pe disk, față de o instalare Full. Mentenanța este deasemenea mai ușoară.
Windows server 2012 a introdus abilitatea de a înlătura componente de pe hard disk, reducând astfel dimensiunea sistemului de operare.
În mod normal, toate componentele sunt instalate pe hard disk în folderul WinSxS,chiar dacă aceste componente nu sunt efectiv activate.
Acest lucru permite instalarea de roluri sau caracteristici fără să fie nevoie de inserarea unui Windows Server media.
Când se face instalarea lui Windows Server 2012 în modul Core, interfața grafică (GUI) și celelalte instrumente de administrare, nu sunt instalate pe hard în folderul WinSxS, iar acest lucru reduce dimenisunea sistemului de operare la aproximativ 4.3 GB.
Dacă ulterior, se dorește adăugarea interfeței grafice sau a instrumentelor de administrare, o sursă de instalare este necesară, cum ar fi folderul WinSxS, sau un mediu de instalare extern(poate fi și un share).
Cu opțiunea Core, interfața grafică standard nu există, administrarea serverului realizându-se folosind doar linia comandă, respectiv Windows PowerShell.
Instalarea, configurarea și dezinstalarea rolurilor local, se fac cu ajutorul Windows PowerShell.
Următoarele roluri sunt disbonibile în varianta Core:
– Active Directory Certificate Services
– Active Directory Domain and Services
– DHCP Server
– DNS Server
– Web Server
– File Services
– Active Directory Lightweight Directory Services (AD LDS)
– Hyper-V
– Print and Document Services
– Streaming Media Services
– Windows Server Update
– Routing and Remote Access Server cu urmatoarele sub-roluri:
Remote Desktop Services Connection Broker
Licesing
Virtualization
Conversia de la varianta Core a server-ului la GUI se face în două moduri:
1. în cmd se tastează comanda "sconfig", iar acolo există opțiunea "Restore Graphical User Interface". După restart, server-ul va porni cu interfața grafică.
2. în PowerShell se tastează comanda "Install-WindowsFeature Server-Gui-Shell, Server-Gui-Mgmt-Infra".
Există posibilitatea de a instala o versiunea intermediară între Server Core și Full și poartă numele de Server Core with GUI Management (Minimal Server Interface).Această versiune are în plus față de varianta Core câteva caracteristici instalate cum ar fi : MMC(Microsoft Management Console), Server Manager și câteva instrumente din Control Panel.Spre deosebire de varianta Full, nu are browser-ul Internet Explorer 10, iar Start Screen și Desktop-ul lipsesc.
Trecerea de la Server with a GUI la Minimal Server Interface se face cu ajutorul lui Server Manager.
Full Installation
Această opțiune conține toate instrumenetele de administrare ale server-ului.Instalarea, configurarea și dezinstalarea rolurilor se face cu ajutorul Server Manager dar și cu PowerShell.
Comutarea de la varianta cu interfață grafică la varianta Core se face prin intermediul comenzii: "Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -Restart" rulată în PowerShell.
Dacă se face comutatarea la varianta Core, caracteristicile și roulurile instalate, care au nevoie de interfață grafică, vor fi automat, dezinstalate.Pentru a nu fi luat prin surprindere de efectele care le-ar putea avea această conversie, se poate specifica opțiunea "-WhatIf" în Windows PowerShell, pentru a vedea exact ce caracteristici și roluri Windows vor fi afectate.
Această conversie se poate face și din interfață grafică: "Server Manager->Manage->Remove Roles and Features->Features->User Interfaces and Infrastructure".După restart, serverul va fi în varianta Core.
În versiunile anterioare de Windows, chiar dacă un rol sau o caracteristică au fost dezinstalate, fișierele binare rămâneau în continuare pe hard și consumau spațiu. În Windows Server 2012, după dezinstalarea unui rol, există posibilitatea de a șterge complet acele fișiere.Pentru reinstalarea unui rol căruia i s-au șters fișierele binare este nevoie de o sursă de instalare.
Securitate și protecție în Windows Server 2012
AppLocker
AppLocker este o unealtă puternică din punct de vedere al securității. Deobicei, restricționează accesul utilizatorilor la aplicații, la fișiere executabile, script-uri, fișiere de tip DLL sau fișierele folosite de Windows. AppLocker a fost introdus prima oară în Windows Server 2008 R2.
AppLocker a fost îmbunătățit în Windows Server 2012, prin faptul că i s-a adăugat abilitatea de a administra politici pentru aplicații “ambalate”. Aceste tipuri de aplicații sunt de fapt niște pachete care conțin aplicația propriu-zisă împreună cu script-uri și alte resurse pentru a simplifica configurarea software.
Versiunea AppLocker din Windows Server 2012, are în plus ,două tipuri de fișiere care pot fi administrate prin politici: fisere .mst(fișiere utilizate de Windows pentru personalizarea setărilor pentru instalare,pentru aplicațiile Windows Installer) și fisere .appx (applicatii semnate digital ce conțin codul aplicațiilor și script-uri).
AppLocker poate fi folosit de exemplu pentru a împiedica utilizatorii să folosească un program expirat, sau o aplicație care consumă foarte multă bandă.
Un lucru foarte util este faptul că , AppLocker nu are nevoie de locația fișierelor executabile care se doresc a fi blocate. Acesta va bloca aplicațiile neautorizate indiferent că sunt pe un USB , pe un share sau local.
Se accesează prin Group Policy Editor atât pentru politica locală cât și pentru politica de domeniu: Computer Configuration-Windows Settings- Security Settings-Application Control Policies-AppLocker.
Pentru ca regulile din AppLocker să fie aplicate, este nevoie ca serviciul Application Identity Service să fie activat. Poate fi activat fie prin Group Policy, fie cu ajutorul consolei de servicii: Administrative Tools-Services.
Bitlocker
BitLocker Drive Encryption este o caracteristică a sistemului de operare ce protejează datele. A fost disponibilă prima oară, în Windows Vista. În timp, s-au adus îmbunătățiri privitoare la securitatea oferită de BitLocker. Acest aspect s-a bazat pe necesitatea de a oferi protecție mai multor dispozitive și partiții.
BitLocker a fost, ulterior integrat cu sistemul de operare, oferind protecție împotriva furtului de informații, pierderii lor sau a înstrăinării informațiilor fără voia posesorului.
Pe servere, BitLocker se instalează separat (nu este integrat cu sistemul de operare). Pe lângă aplicația software propriu-zisă, se instalează și Enhanced Storage, folosit pentru criptare hardware.
BitLocker oferă cea mai bună protecție atunci când este folosit cu o platformă, numită Trusted Platform Module.TPM este o componentă hardware instalată în mare parte pe computerele de generație mai nouă.
Computerele pe care rulează Windows 8.1, Windows RT 8.1 sau Windows RT pot fi protejate folosind Drive Encryption, care este o versiune mai personalizată a lui BitLocker.
Pe computerele care nu au TPM versiunea 1.2 sau una ulterioară, se poate folosi totuși BitLocker pentru protecția datelor.Totuși pentru această implementare este necesară o cheie introdusă la startup pentru a porni computerul.
BitLocker oferă și opțiunea de a bloca procesul de startup al unui computer,până când utilizatorul introduce un PIN sau un dispozitiv cum ar fi un USB ce conține cheia pentru startup.
Există două unelte in Remote Server Administration Tools cu care BitLocker poate fi administrat:
1. BitLocker Recovery Password Viewer.Permite vizualizarea parolelor pentru recuperare stocate în AD DS.Se poate folosi această unealtă pentru recuperarea datelor stocate pe o partiție criptată folosind BitLocker.BitLocker Password Viewer este o extensie pentru Active Directory Users and Computers Microsoft Management Console (MMC).
Cu ajutorul acestei unelte se pot examina proprietățile unui computer cu scopul de a vizualiza parolele de recuperare pentru BitLocker.Pentru a vizualiza aceste parole de recuperare, utilizatorul trebuie să fie administrator de domeniu.
2.BitLocker Drive Encryption Tools.Include unelte de tip linie comandă pentru administrare BDE și cmdlets pentru Windows PowerShell.
O carateristica nouă în Windows Server 2012 pentru BitLocker este deblocarea în rețea (Network Unlock). Această caracteristică este des folosită la nivel mai înalt (enterprise) pe sisteme bazate pe Windows. Ceea ce face de fapt această caracteristică, este că deblochează automat dispozitivele protejate cu BitLocker ,imediat cum acestea sunt introduse în rețea. De reținut este faptul că, acea conexiune trebuie să fie prin fir, nu WI-FI sau de la distanță (remote). Aceasta este o soluție pentru utilizatori, deoarece nu trebuie să mai țină minte PIN-ul sau cheile USB pentru deblocare. Bineînțeles că există și o configutatie opțională care poate cere totuși un PIN sau o cheie.
De menționat este faptul că BitLocker nu se găsește pre-instalat pe sistemul de operare atunci când vorbim de Windows Server 2012. Pentru instalare se poate folosi atât interfață grafică cât și PowerShell.
Comanda pentru instalare din PowerShell este: Add-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools –Restart
După restartarea serverului, o altă comandă trebuie introdusă pentru a activa BitLocker pe o anumită partiție: Enable-BitLocker -MountPoint “D:” -EncryptionMethod Aes128 –UsedSpaceOnly –RecoveryPasswordProtector.
Se va afișa pe ecran o parolă de recuperare cu lungimea de 48 de digiți.Această parolă va fi folosită în cazul decriptării sau folosirii datelor de pe partiția D, de aceea este indicat să fie stocată într-un loc sigur.
Există trei tipuri de criptare care pot fi specificate: AES128, AES256 sau HARDWARE pentru dispozitivele care permit acest lucru.
Parametrul folosit mai sus “-UsedSpaceOnly” este și el nou în Windows Server 2012 și în Windows 8. El specifică faptul că doar spațiul folosit trebuie criptat, nu și spațiul liber, făcând astfel posibilă, o criptare mai rapidă.
Parametrul “-RecoveryPasswordProtector” generează o parolă de recuperare de 48 biți, parola folosită la deblocarea partiției. Dacă serverul are un chip TPM atunci se poate adăuga parametrul “-TPMandPinProtector” ,iar atunci parola de recuperare este stocată pe acest chip și în locul parolei se va cere un PIN pentru deblocare.
Pentru a verifica statusul procesului de cripatare se dă comanda : manage-bde –status d:
Pentru dezactivarea BitLocker se folosește comanda: Disable-BitLocker –MountPoint “D:”
Kerberos
Kerberos-ul este un protocol de autentificare folosit pentru verificarea identității unui utilizator sau host. A fost dezvoltat la Universitatea MIT (Massachusetts Institute of Techonology) în jurul anului 1984.
Scopul acestui protocol este de a permite unui client să își demonstreze identitatea față de un server aflat la distanță.
Numele protocolului face referire la un câine cu trei capete, conform mitologiei grecești, cu numele Cerberos. Cele trei “capete” ale protocolului sunt: KDC(Key Distribution Center), utilizatorul și server-ul care permite accesul.
KDC este implementat ca serviciu de domeniu. Folosește Active Directory ca și bază de date și Global Catalog pentru a face conexiuni cu alte domenii. KDC este un singur proces care asigură două tipuri de servicii:
Authentication Service (AS). Înainte ca un utilizator să aibă permisiunea să se logheze într-un domeniu, cere un TGT(Ticket-Granting Tickets) de la serviciul de autentificare din domeniul respectiv.Serviciul de autentificare returnează acest TGT, iar utilizatorul se poate loga în domeniu.
Ticket-Granting Services (TGS).Acest serviciu rezolvă problemele de conexiune ale calculatoarelor dintr-un singur domeniu. Când un client dorește să aibă acces la computer, stabilește transparent un contact cu acest servicu (TGS) din domeniu, și returnează un TGT pentru computer, permițând astfel, utilizatorului să se logheze.
KDC este localizat pe domain controller, ca și Active Directory. Ambele servicii sunt pornite automat de către Local Security Authority (LSA)și rulează ca și parte a acestui LSA.
Niciunul dintre aceste servicii nu pot fi oprite. Dacă KDC-ul este indisponibil în rețea, atunci și Active Directory devine indisponibil, iar domain controller-ul nu mai administrează domeniul.
Kerberos-ul asigură o autentificare criptată prin combinația unei chei secrete și a unei criptări destul de puterinca. Acest lucru asigură integritatea și confidențialitatea datelor, deoarce se transmit multe parole, de exemplu, între un utilizator și server-ul care face autentificarea. Criptarea se face cu ajutorul unor chei simetrice, folosind algoritmi precum: DES sau 3DES. Există suport și pentru AES cu toate că nu a fost impelentat peste tot încă. Kerberos nu asigură doar autentificări de genul : client-server, ci și autentificări pentru anumite aplicații sau servicii cum ar fi: telnet ,ftp sau oricare alte servicii sau aplicații care cer parolă, iar utilizatorul se loghează în timp real.
NTLM
NTLM este tot un protocol de autentificare disponibil în două versiuni: 1 și 2. Protocolul de autentificare NTLM este bazat pe un mechanism provocare-raspuns (challenge-response). Acest mecanism constă în demonstrarea către un domain controller că utilizatorul cunoaște parola asociată contului.
Două acțiuni sunt executate atunci când NTLM este folosit:
Se contactează un serviciu de autentificare de pe domain controller în cazul în care calculatorul sau utilizatorul apartin unui domeniu;
Sau caută in baza de date locală în cazul în care contul este unul local.
Autentificarea prin NTLM este încă folosită pe sistemele care sunt configurate ca și workgroup (nu aparțin unui domeniu) sau doar pentru o conectare locală în cazul în care un computer aparține unui domeniu spre deosebire de protocolul Kerberos care este de preferat într-un mediu cu Active Directory.
Un lucru care trebuie menționat este acela că, nu există nicio modificare în versiunea Windows Server 2012 față de versiunile anterioare, în ceea ce privește acest protocol de autentificare.
Tot procesul de autentificare prin NTLM se rezumă la trei tipuri de mesaje întâlnite adesea sub numele de: Tipul 1 – negocierea, Tipul 2 – “provocarea” și Tipul 3 – autentificarea.
Deși este încă întâlnit pe sistemele mai noi, deoarece se dorește compatibilitatea cu sistemele mai vechi la nevoie, acest protocol are și dezavantaje ,în mod special față de rivalul sau, Kerberos. De exemplu, este vulnerabil la atacurile de tip “pass the hash”, ceea ce înseamnă că un atacator poate intra în posesia unor date cum ar fi credentiale de logare.
Controlul accesului (Access Control)
Calculatoarele pe care rulează sisteme de operare Windows pot face mai ușoară administrarea resurselor unui sistem sau a resurselor dintr-o rețea prin intermediul a două procese unite: autentificare și autorizare (permisiune). După procesul de logare al unui utilizator, sistemul de operare folosește tehnologiile de control ale accesului pentru a implementa faza a doua a procesului de protejare a resurselor: determină dacă user-ul autentificat are permisiunile necesare pentru accesarea resurselor.
Resursele partajate sunt disponibile utilizatorilor sau grupurilor de utilizatori și este nevoie de protejarea lor împotriva accesului neautorizat. Pentru a fi mai ușor de recunoscut și de diferențiat, utilizatorii sau grupurile de utilizatori sunt identificați de sistemul de operare printr-un identificator unic de securitate (SID- Security Identifier). Acestora le sunt asignate permisiuni care informează sistemul de operare ce utilizator are dreptul să facă o modificare și unde.
Fiecare grup său proces are un SID înregistrat de o anumită autoritate cum ar fi un domain controller într-o bază de date. Sistemul generează acest SID care identifică fiecare etnitate în momentul în care aceasta este creată. SID-ul poate fi alocat o singură dată unei singure entități din sistem.
De fiecare dată când un user se loghează, sistemul crează un token de acces ce conține SID-ul acestuia, drepturile lui dar și SID-urile fiecărui grup din care face parte utilizatorul.
Utilizatorii sau grupurile de utilizatori execută acțiuni precum scriere, citire, modificare de resurse partajate sau obiecte (Read, Write, Modify), sau pot avea acces total (Full Control). Prin obiecte se înțelege de la fișiere sau regiștrii până la obiecte din Active Directory. Resursele partajate folosesc liste de control ale accesului (ACL- Access Control List) pentru asignarea de permisiuni.
Permisiunile sunt deobicei asignate pe grupuri de securitate, din care fac parte utilizatori în funcție de structura unei organizații, deoarce sunt mult mai ușor de administrat decât dacă aceastea ar fi asignate utilizatorilor, individual.
Există și posibilitatea moștenirii permisiunilor , iar acest lucru ajută destul de mult administratorii în administrarea sau asignarea lor. De exemplu, dacă într-un folder se află două fișiere ,acestea vor moșteni permisiunile folder-ului. Bineînțeles, această setare este opțională și doar permisiunile marcate pentru moștenire, se vor moșteni.
Pe lângă permisiuni există și drepturi pentru utilizatori (sau grupuri) , diferența dintre ele fiind aceea că , permisiunile sunt asociate obiectelor (fișiere,foldere etc.) iar drepturile pentru utilizatori permit anumite privilegii utilizatorulilor, cum ar fi :backup-uri de fișiere sau directoare, accesarea controlului de la distanță etc.
1.6 Windows Server Backup
Windows Server Backup este o caracteristică ce permite soluții de backup de bază și recuperarea datelor de pe serverul pe care este instalat.
Poate fi folosit atât pentru un backup pentru toate pârtiile, dar și pentru anumite partiții selectate, starea sistemului sau fișiere și foldere specifice. Chiar dacă nu oferă soluții mai complexe pentru backup, este foarte util deoarece se poate efecuta un backup atât pentru un calculator local cât și pentru unul administrat la distanță (remote). Poate fi și programat să ruleze automat, și este folosit atât în companii mici cât și în companii mai mari (enterprise).
Față de versiunea anterioară (Windows Server 2008/ 2008 R2) are câteva îmbunătățiri semnificative cum ar fi:
Se poate face backup și pentru mșinile virtuale. În versiunea anterioară acest lucru nu era posibil, iar backup-ul se efectua pentru întreg hard disk-ul (nu se putea face backup separat);
În Windows Server 2008 backp-ul pentru partiții mai mari de 2 TB nu era posibil. În Windows Server 2012 această limitare de spațiu a fost extinsă;
Se poate determina o regulă care să determine ștergerea de backup-uri ce nu mai sunt necesare pentru a obține spațiu pentru backup-uri adiționale.
Pentru a avea acces la uneletele de backup și de recuperare, Windows Server Backup trebuie instalată o caracteristică cu numele Windows Server Backup Features, disponila de altfel în Server Manager. Această caracteristică instalează automat alte trei caracteristici subordonate:
Windows Server Backup Microsoft Management Console (MMC) snap-in
Unealta pentru linie comandă -Wbadmin
Windows PowerShell pentru Windows Server Backup
Pașii necesari instalării :
Server Manager-Add Roles and Features-Role Based or Feature Based installation-Selectarea server-ului dorit-Features-Windows Server Backup;
Urmează confirmarea instalării după care începe instalarea propriu-zisă.
După terminarea instalării, în fereastra de Server Manager , în colțul din dreapta sus, există un icon-“Notification” care arată derularea fiecărui task și statusul după finalizarea task-ului.
Există și posibilitatea de a face backup din linie comandă rulând comanda wbadmin /?.
De precizat este faptul că, pentru a instala aceste caracteristici,utilizatorul trebuie să fie membru al grupului Backup Operators sau în grupul de administratori.
Comanda wbadmin rulează doar într-un command prompt cu permisiuni elevate (click dreapta pe cmd-run as administrator) indiferent de grupul din care face parte utilizatorul.
Mai jos sunt explicate câteva exemple de comenzi cu ajutorul wbadmin:
wbadmin enable backup- această comandă configurează și activează un backup programat;
wbadmin disable backup- dezactivează backup-urile zilnice;
wbadmin start backup- rulează un back-up o singură dată. Dacă nu se specifică niciun parametru se folosesc setările din backup-ul zilnic;
wbadmin stop job- oprește backup-ul sau recuperarea de date care rulează în acel moment;
wbadmin get items- afișează o listă cu elemntele incluse în backup;
wbadmin start recovery- rulează o recuperare a datelor,partițiilor, aplicațiilor sau fișierelor;
wbadmin get fisk- afișează o listă cu hard-urile online;
wbadmin start systemstatebackup-incepe un backup cu starea sistemului.
Rolurile unui server (Server Roles)
2.1 Active Directory Domain Services (ADDS)
2.1.1 Ce este ADDS
Active Directory este o bază de date ce cuprinde obiecte ordonate într-o manieră ierarhică. Exemple de obiecte în Active Directory sunt: utilizatori, computere, imprimante, grupuri, servicii etc. Faptul că aceste obiecte sunt aranjate ierarhic ajută la o mai bună administrare a lor într-o rețea. Fiecare obiect este unic în rețea și este caracterizat de o serie de atribute.
Instalarea Active Directory se face destul de simplu: prin promovarea unui server membru, ca și controler de domeniu (DC- Domain Controller).
În Windows Server 2008 promovarea unui controler de domeniu se făcea rulând comanda “dcpromo” după care trebuiau urmați pașii din wizard. Odată, promovat server-ul, Active Directory se instalează automat.
În Windows Server 2012, lucrurile sunt puțin diferite deoarece nu se mai rulează comanda “dcpromo”, Active Directory se instalează ca un rol, după care urmează promovarea controler-ului de domeniu.
Un lucru important de menționat, este faptul că dintr-un singur controler de domeniu se pot promova alte controlere din aceeași rețea, fără a fi present fizic lângă server. Practic, se face o lansare în rețea (deploy) a acestei funcții.
Prin definiție, orice computer pe care rulează un Windows Server care conține o copie a bazei de date Active Directory este un controler de domeniu. Un controler de domeniu asigură servicii de autentificare pentru domeniu.
2.1.2 Ce este și cum se instalează un controller de domeniu
Iată cum se instalează Active Directory și cum se promovează un server ca DC (domain controller) pe Windows Server 2012:
Primul lucru care se întâmplă după ce este pornit un Windows Server 2012 este faptul că Server Manager pornește automat. (La fel se întâmplă și în Windows Server 2008). Din Server Manager se alege, Add Roles and Features.
În următorul pas se specifică tipul instalării. În acest scop sunt puse la dispoziție două tipuri de instalare: Role-based or feature-based installation (configurarea unui singur server prin adăugare de roluri,caracteristici) sau Remote Desktop Services Installation (este un rol care permite utilizatorilor să deschidă sesiuni la distanță). Vom alege primul tip de instalare.
Așa cum am menționat mai devreme, Windows Server 2012 pune la dispoziție posibilitatea de a face instalări de roluri în rețea sau promovări de controlere de domeniu fără a neceista prezența unei persoane lângă server-ul respectiv. Așadar, în următorul pas trebuie ales pe care din server-ele aflate în rețea se doreșre instalarea Active Directory. Din moment ce în aplicația mea există doar un singur server în rețea, nu voi putea alege decât unul.
În următorul pas ne sunt prezentate toate rolurile. În partea dreapta există o scurtă descriere pentru fiecare rol. Vom alege Active Directory Domain Services.
Anumite roluri pot cere, adițional ca anumite caracteristice să fie instalate înainte de instalarea rolului proriu-zis. În acest caz, sistemul de operare vine în ajutor, iar în momentul în care este necesară instalarea adițională de caracteristici, sunt specificate exact care sunt acestea pentru fiecare rol și apare o atenționare că va urma instalarea lor. Rolul Active Directory nu face o excepție de la această regulă și sunt prezentate caracteristicile care trebuiesc instalate înaintea rolului. Ce rămâne de făcut este: click pe butonul “Add Features”.
În cazul în care, odată cu rolul Active Directory, se dorește instalarea și a altor caracteristici, pe lângă cele necesare instalării rolului, o putem face la secțiunea “Features”. În acest caz pentru a putea face mai ușoară administrarea politicilor de securitate, de exemplu, am ales să instalez și “Group Policy Management”.
În următorul pas sunt date câteva sfaturi legate de ADDS și din nou sunt prezentate câteva idei generale.
În penultimul pas se va cere o confirmare a celor ce am selectat, și se oferă posibilitatea de a da un restart automat server-ului după instalare, lucru care este indicat după o instalare majoră cum este acest caz.
În ultimul pas se execută instalarea propriu-zisă, și este prezentată o bară de progres a instalării.
După instalare, în colțul din dreapta sus în Server Manager există o iconița pentru notificări. Acolo se va putea vedea și faptul că instalarea a fost efectuată cu success dar și faptul că server-ul trebuie promovat la DC.
Se selectează “Promote this server to a domain controller” și un wizard de configurare va apărea. Prima setare care trebuie făcută se referă la poziția acestui server în organizație (poate fi primul DC dintr-o pădure sau nu, poate fi un domeniu nou sau nu ). În funcție alegere (în situația de față voi alege “Add a new forest”), se vor cere informații legate de domeniu. Despre aceste opțiuni voi vorbi pe larg puțin mai târziu. Având în vedere că nu există niciun “forest” și niciun domeniu încă, se va cere numele domeniului părinte (sau rădăcina).
Următoarele setări fac referire la nivelul de funcționalitate (functional levels) din noul domeniu. Acest pas este destul de important. Avem de ales ca niveluri de funcționalitate dintre Windows Server 2003 până la Windows Server 2012. Acest lucru se referă la ce sisteme de operare vor fi “permise” în domeniu. Dacă vom selecta de exemplu, Windows Server 2003, acest lucru înseamnă că în domeniul meu vor fi și server-e cu acest sistem de operare și chiar mai noi. Dacă voi selecta Windows Server 2008 înseamnă că în domeniul meu nu vor exista server-e cu sistem de operare Windows Server 2003 și nici nu vor putea fi adăugate ulterior. Pe scurt aceste niveluri se referă la interoperabilitatea mai multor sisteme de operare de tip server într-un domeniu.
Tot aici se poate selecta dacă server-ul să fie DNS (Domain Name System) și GC (Global Catalog). Aceste două setări sunt bifate de obicei în mod implicit, deoarece un controler de domeniu trebuie să fie și GC și DNS. Voi explica mai târziu în detaliu cele două roluri. Se va cere de asemenea și parola pentru “Directory Services Restore Mode”, pe scurt în cazul în care se întâmplă ceva cu contul de administrator și este nevoie de anumite setări, parola setată aici, poate fi de mare ajutor.
După aceste setări ,în secțiunea de “Additional Options” se fac setări legate de NetBIOS. NetBIOS este un acronim de la Networking Basic Input/Output System și oferă servicii legate de nivelul sesiune al modelului ISO/OSI. Deși numele ar putea sugera asta, nu este un protocol de rețea.În general NetBIOS oferă trei tipuri de servicii dar ceea ce se cere aici se referă la serviciul de nume pentru înregistrări de nume. În funcție de numele pus domeniului, NetBios name se va completa automat.
Următoarele setări se referă la locația bazei de date Active Directory, locația log-urilor și a folder-ului SYSVOL. Acestea sunt completate implicit și calea către aceste foldere nu ar trebui schimbată. În folderul NTDS (NT Directory Services) va fi creat ulterior fișierul NTDS.DIT care va fi practic inima Active Directory, și va conține toate entitățile. SYSVOL (System Volume) este un director partajat în rețea ce conține o copie a fișierelor publice ale server-ului , fișiere ce trebuiesc partajate deoarece joacă un rol important în procesul de replicare. Termenul de SYSVOL se referă la un set de fișiere și foldere localizate pe un controler de domeniu și se replică prin intermediul FRS (File Replication Service) sau DFS (Distributed File System).
Urmează un sumar cu ceea ce s-a selectat și cu setările făcute.
Se va face o verificare a cerințelor.
Urmează un restart automat al server-ului așa cum am specificat într-unul din pașii de mai sus.
La repornirea server-ului, logarea se face direct în domeniul instalat- NATALIA cu contul de administrator.
La pornirea Server Manager , în partea de jos se pot vedea roulurile instalate (ADDS, DNS) și câteva opțiuni de configurare pentru fiecare, sau posibilități de “troubleshooting” cum ar fi “Events” sau “Services”.
2.1.3 Organizarea/ierarhia ADDS
Structură ierarhică Active Directory poate fi privită ca un număr de niveluri. Cel mai de sus nivel este numit “forest” (pădure). Forest-ul acționează ca o limită pentru o organizație. În mod implicit , forest-ul conține un singur domeniu, cunoscut și sub numele de “forest root domain”(primul domeniu creat în forest). Un forest reprezintă o grupare de arbori (tree) cu spații de nume distincte.
Iată cum arată un exemplu de forest cu mai multe domenii (abc.net, test.com, local.org) cu relație de încredere (trust relationship) între ele.
Figura 2.1.3-1
Numele forest-ului este dat de numele primului domeniu creat în forest. De exemplu, dacă primul domeniu creat din cele trei a fost “abc.net”, forest-ul va avea și el același nume.
Arborele (Tree) reprezintă o grupare de domenii din același spațiu de nume. Între domenii pot exista relații de tip părinte-copil (parent-child) adică, un subdomeniu este “fiul” domeniului părinte.
Numele subdomeniului (child-domain) se formează prin concatenarea unui sufix la numele părintelui ca de exemplu românia.abc.net, care este un subdomeniu al domeniului abc.net.
Figura 2.1.3-2
Domeniul, conform terminologiei Microsoft este reprezentat de un grup de calculatoare ce fac parte dintr-o rețea și folosesc în comun aceeași bază de date, unde sunt reprezentate resursele rețelei.
Domeniile sunt recunoscute în rețea prin nume, iar calculatoarele care sunt membre ale unui domeniu respectă politica de securitate a domeniului.
Este suficientă o singură sesiune de logon, pentru ca un utilizator să fie recunoscut în domeniu și să aibă acces la resursele acestuia în funcție de perimisiunile și privilegiile pe care le are.
Reprezentarea grafică a unui domeniu, este așa cum am văzut mai sus, un triunghi. Prin reprezentarea de triunghi se evidențiază ideea de frontieră de securitate și așezare ierarhică. Domeniul este constuit în jurul unui controler de domeniu, iar într-un domeniu trebuie să existe cel puțin un controler de domeniu. Acesta deține toate informațiile despre domeniu și resursele rețelei, și este folosit și ca server de autentificare. Instalarea propriu-zisă a serviciului Active Directory transformă un server membru într-un controler de domeniu.
Următoarea componentă logică în ierarhia Active Directory este unitatea organizațională (OU- Organizational Unit). Acesta este de fapt un container folosit cu scopul de a organiza obiectele în cadrul unui domeniu. Furnizează, desigur și un mod de a delega administrarea utilizatorilor și a resurselor.
Legătură dintre structura logică Active Directory și structură fizică a rețelei se obține prin folosirea termenului de “Site”. Acesta descrie organizarea fizică, și geografică a rețelelor. Ele conțin obiecte numite subretele (subnets) și ajută la gestionarea traficului în rețea. Site-urile pot fi legate între ele prin legături între site-uri (site links). Prima legătură se numește implicit “DEFAULTIPSITELINK”. Fizic, un site înseamnă o subrețea sau mai multe, interconectate în care funcționează controlere de domeniu. În acest mod, resursele se găsesc după nume indiferent de locația unde se află. Calculatoarele dintr-un site, fac de obicei parte din aceeași subrețea.
Site-urile și subretelele sunt reprezentate în Active Directory de obiecte, create cu ajutorul Active Directory Sites and Services.
Calculatoarele, odată adăugate în domeniu, se asignează automat unui site în funcție de adresa IP și masca de rețea. Pentru controlere de domeniu lucrurile stau puțin diferit. Apartenența la un site a unui controler de domeniu este derminată de locația obiectului din Active Directory.
Când se crează primul controler de domeniu într-un forest, un site implicit este creat, și se numește “Default-First-Site-Name”. Atâta timp cât acest site este singurul din domeniu, toate controlere-le de domeniu vor fi asignate acestui site. În cazul în care sunt mai multe site-uri într-un domeniu, vor trebui create subretele care vor asigna adresele IP către “Default-First-Site-Name” dar și către celelalte site-uri adiționale. În imaginea de mai jos se poate vedea un singur server, și anume cel creat de mine cu numele “DC”.
Obiectele de tip server sunt create în Active Directory de aplicații sau servicii și sunt plasate într-un site pe baza adresei IP. Când se adăugă un rol nou unui server, obiectul sau este creat în site-ul care conține subrețea din care face parte adresa IP a server-ului. Dacă adresa IP a unui controler de domeniu nu se mapează niciunui site în forest, atunci obiectul acestuia este creat într-un alt site al unui alt controler de domeniu care este sursa replicării pentru Active Directory.
În DNS (Domain Name System) există o înregistrare de tip SRV (Service Record) care identifică site-urile după nume. Controlerele de domeniu au în DNS o înregistrare de tip host (A) care identifică adresele IP. Când un client deschide o sesiune de logon (caută un controler de domeniu), trimite de fapt numele site-ului din care face parte, către DNS. DNS-ul folosește numele site-ului pentru a localiza controler-ul de domeniu din acel site (sau din cel mai apropiat site al clientului). DNS-ul trimite apoi, adresa IP a controler-ului de domeniu ,clientului cu scopul de a-l ajuta să se conecteze la el. Din acest motiv este foarte important să ne asigurăm că adresa IP asignată controler-ului de domeniu se mapează cu subrețeaua asociată site-ului. Altfel, când un client trimite o cerere de logon către un controler de domeniu, adresa IP returnată ar putea fi una a unui site aflat destul de departe, sau a altei subretele. Când se întâmplă acest lucru, performanțele sunt foarte scăzute și generează trafic inutil în rețea.
Definițiile sau setările din Site permit ca replicarea Active Directory să fie precisă printr-o componentă a sistemului de operare numită KCC (Knowledge Consistency Checker).
Site-urile au trei benificii destul de importante:
Replicarea- controlere-le de domeniu dintr-un domeniu sunt setate să replice modificările între ele în condițiile în care sunt conectate, via legăturilor de rețea. În cazuri reale se folosesc site-urile și legăturile dintre acestea pentru optimizarea replicării între controlere-le de domeniu.
Locația Serviciilor- sunt multe alte servicii care pot fi integrate cu Active Directory precum: DFS, servicii de mail etc. Prin folositea site-urilor și a legăturilor între acestea, utilizatorii pot fi orientate către cel mai apropiat server pentru servicii.
Autentificarea- când un utilizator se loghează în domeniu, acest lucru înseamnă ca încearcă să comunice cu controler-ul de domeniu care îi asigură acest serviciu. Să presupunem ca avem două site-uri diferite : A și B. Dimineața sunt 100 de utilizatori care încearcă să se logheze în site-ul B. Pentru a comunica cu un controler de domeniu din site-ul A va fi nevoie de mult timp și de multă bandă, dar cu setările făcute corect și cu server-ul plasat în site-ul care trebuie, se pot orienta toți utilizatorii către site-ul B pentru a comunica cu controler-ul de domeniu.
Așa cum am menționat în exemplul instalării unui controler de domeniu, acesta trebuie să fie obligatoriu și Global Catalog (GC) deoarece este primul controler de domeniu din forest. Global Catalog reține informații parțiale despre fiecare obiect din Active Directory. Căutările care sunt orientate către un Global Catalog sunt mai rapide pentru că nu implică referințe la alte controlere de domeniu.Când în utilizator sau un serviciu face o căutare în Active Directory, cererea de căutare este trimisă la un GC prin portul TCP 3268, port folosit de Active Directory pentru direcționarea acestor cereri către un GC. GC-urile sunt identificate în DNS prin înregistrări de țip SRV (_gc).
O altă responsabilitate a unui GC este aceea de a recunoaște UPN-urile (User Principal Names). Toți utilizatori se loghează de obicei în domeniu cu un username de forma: numele_domeniului\username (format NTLM) sau sub forma UPN-urilor (folosește formatul unei adrese de e-mail) care este: username@numele_domeniului.ext . GC-urile sunt folosite pentru a transforma acest format de nume, UPN, într-un username. GC-ul are stocate suficiente informații despre utilizator pentru a-i permite sau nu logarea în domeniu.
În Active Directory există trei tipuri de grupuri ce pot fi create: grupuri de domeniu (domain local groups), grupuri globale (global groups) și grupuri universale (universal groups). Grupurile universale pot conține orice obiect din orice domeniu de încredere (trusted domain) și sunt utilizate pentru a putea aplica permisiuni pentru orice resursă din domeniu.
Apartenența la un grup unviersal este reținută de obicei de către un GC și este replicată în forest. Când un utilizator deschide o sesiune de logon, această este trimisă la controler-ul de domeniu care trebuie să știe cărui grup universal aparține utilizatorul și în funcție de aceasta, i se permite sau nu logarea în domeniu. Dacă apartenența la un grup nu poate fi determinată, utilizatorul nu se poate loga în domeniu. Singura excepție de la această regulă este contul de Administrator care se poate loga oricând în domeniu. Prin urmare, pentru ca orice utilizator să se logheze într-un domeniu este nevoie de un controler de domeniu care să fie și Global Catalog.
Se recomandă să existe un GC în fiecare site. Dacă GC-ul este într-un site aflat la distanță, atunci cererea de logon a unui utilizator trebuie să traverseze tot WAN-ul pentru a-i fi rezolvată, iar acest lucru generează o performanță redusă și un timp îndelungat de așteptare.
Rolul de GC poate fi modificat prin Active Directory Sites and Services.
Pentru a vedea dacă un server este GC sau pentru a face un server normal, GC se efectuează următorii pași: Server Manager- Tools- Active Directory Sites and Services- Sites- Servers- va apărea în fereastra din dreapta un conector cu numele de “NTDS Settings”- click dreapta-Properties. În această fereastră va apărea și opțiunea de a bifa “Global Catalog”. În exemplul creat de mine, controler-ul de domeniu a fost setat de la început să fie Global Catalog, fiind primul controler de domeniu din forest.
Pentru a evita crearea unui Global Catalog în fiecare site ,există posibilitatea de a folosi “universal group membership chaching” (UGMC). UGMC permite controler-ului de domeniu să stocheze în cache apartenetna unui utilizator la un grup universal. Cache-ul este reactualizat, în mod implicit la fiecare 8 ore. Ca rezultat al acestui lucru, controlere-le de domeniu pot procesa cererile de logon inițializate de către un utilizator fără a fi nevoie de un Global Catalog.
Acesta setare, “universal group membership caching” se activează pe site. Ca aceasta să funcționeze, trebuie ca măcar o dată un GC să fi fost activ și prezent când un utilizator a inițiat procesul de logon și setarea să fi fost și ea activă. UGMC reține setările pentru fiecare utilizator, în mod individual.
Activarea acestei setări se face astfel: Server Manager-Tools-Active Directory Sites and Services- Sites- click pe site-ul unde dorim să facem activarea UGMC- Click dreapta NTDS Setting-Properties, și va apărea setarea “Enable Universal Group Membership Caching”.
Din punct de vedere logic baza de date Active Directory este divizată în trei partiții:
Domain partition- care conține obiectele specifice unui domeniu;
Configuration partition- conține informații despre structura fizică;
Schema partition- conține definițiile tuturor obiectelor și atributele acestora.
Fiecare controler de domeniu conține o copie a acestor trei partiții, chiar mai mult de atât, ultimele două (Configuration partition și Schema partition) sunt comune tuturor controlerelor de domeniu, în timp ce Domain partition nu se replică între mai multe domenii.
Schema și Configuration partition
se replică între domenii
abc.net local.org
Domain partition se
replică între DC-uri din
același domeniu
Figura 2.1.3-3
Configuration partition conține o referință către fiecare domeniu și către fiecare controler de domeniu din forest.
2.1.4 Relațiile de încredere între domenii
Când se vorbește de Active Directory, încrederea înseamnă legătură stabilită între domenii care face posibilă autentificarea utilizatorilor dintr-un domeniu, în alt domeniu.Toate legăturile de încredere dintr-un forest, între domenii sunt tranzitive și în două sensuri (two-way).
În figura de mai jos este ilustrată ideea de încredere: Dacă domeniul A are încredere în domeniul B, iar domeniul B în domeniul C, acest lucru înseamnă că utilizatorii din domeniul C pot accesa resurse din domeniu A (în limita permisiunilor). De reținut este faptul că numai membrii grupului Domain Admins pot administra aceste legături de încredere.
Domeniul A
Domeniul B
Domeniul C
Figura 2.1.4-1
Un controler de domeniu autentifică utilizatorii și aplicațiile folosind protocoalele Kerberos V5 sau NTLM. Așa cum am arătat la început, kerberos-ul este protocolul implicit pentru calculatoarele din Active Directory. Dacă se întâmplă ca un calculator să nu suporte autentificarea prin Kerberos, atunci se folosește NTLM.
Relatiiile de încredere se stabilesc întotdeauna între două domenii. Din punct de vedere direcțional acestea se împart în:
One-way (într-o singură direcție)
Two-way (în ambele direcții)
Transitive
Nontransitive
O relație de tipul one-way înseamnă că domeniul A are încredere în domeniul B. Toate relațiile de tip one-way sunt nontranzitive (nontransitive). Cererile de autentificare pot fi trimise numai dinspre domeniul de încredere către domeniul în care se încrede. Acest lucru înseamnă că, dacă domeniul A are o relație de tip one-way nontranzitiva cu domeniul B, și domeniul B are același tip de relație cu domeniul C, domeniul A nu are niciun fel de relație de încredere cu domeniul C.
Relațiile de tip two-way sunt de obicei tranzitive, adică ambele domenii se încred unul în celălalt. De obicei toate relațiile de încredere dintr-un forest sunt de tipul two-way și tranzitive. Când este creat un subdomeniu (child domain), este creată automat o relație de tip two-way tranzitivă între domeniul părinte și subdomeniu.
Relațiile de încredere sunt de patru tipuri:
External
Realm
Forest
Shortcut
Relațiile de încredere de tipul “External” se stabilesc cu domeniile dintr-un forest extern. Acestea sunt necesare atunci când utilizatorii încearcă să acceseze resure dintr-un domeniu localizat într-un forest separat.
Forest 1 Forest 2
Figura 2.1.4- 2
Când se stabilește o relație de încredere între un anumit domeniu dintr-un forest și un domeniu extern forest-ului, directoarele de securitate (security principals-utilizatori, grupuri și calculatoare) din domeniul extern pot accesa resurse din domeniul intern. Active Directory Domain Services crează un OU implicit numit “Foreign Security Principals” în domeniul intern cu scopul de a reprezenta fiecare obiect din domeniul extern cu care s-a stabilit o relație de încredere. Aceste obiecte de pot vedea accesând Active Directory Users and Computers.
Relațiile de încredere de tip “realm” se folosesc când se dorește crearea unei relații de încredere între un domeniu non-Windows și un domeniu cu Active Directory. Acest tip de relație permite interoperabilitatea între mai multe platforme, altele decât cele bazate pe Windows, cum ar fi UNIX. Și aceste relații pot fi one-way sau two-way, tranzitive sau nontranzitive.
Relațiile de încredere la nivel de forest se crează între “forest root domain”, adică primul nivel în ierarhia Active Directory, iar ca acest lucru să fie posibil, trebuie ca nivelul de funcționare (functional level) să fie minim Windows Server 2003. Crearea unei relații de încredere la acest nivel înseamnă relații de încredere între fiecare domeniu din fiecare forest. Și acestea pot fi one-way sau two-way, tarnzitive sau non tranzitive.
Cererile de autentificare urmează anumite căi între arborii de domeniu,iar atunci când ne confruntăm cu un forest complex, acest proces poate dura un timp destul de îndelungat. Aici intervin relațiile de tip “shortcut” care scurtează căile pe care cererile de autentificare trebuie să le parcurgă între domenii localizate în arbori diferiți. Ca și celelalte tipuri de încredere, și acesta poate fi one-way sau two-way.
Toate aceste setări legate de relațiile de încredere se setează din Active Directory Domains and Trusts.
2.1.5 FSMO (Flexible Single Master Operations)
Rolurile FSMO sau “Operations Masters” sunt controlere de domeniu cu funcții foarte importante care execută task-uri specifice iar acest lucru poate fi făcut de un singur controler de domeniu într-un mediu mai complex (mai multe controlere de domeniu).
Există 5 roluri “operations masters”:
Primary Domain Controller
RID Master
Infrastructure Master
Domain Naming
Schema Master
Primele trei roluri se instalează automat pe primul controler de domeniu dintr-un domeniu, iar ultimele două roluri sunt automat instalate pe primul controler de domeniu dintr-un forest.
Rolul de “Primary Domain Controller Emulator” sau “PDC Emulator” se regăsește pefiecare domeniu. Inițial a fost creat pentru compatibilitate cu domeniile pe Windows NT 4.0. Este responsabil și pentru schimbările parolelor, blocarea conturilor, și sincronziarea timpului. Când o parolă este schimbată, controlerul de domeniu care intiaza procesul de schimbare a acesteia, trimite modificarea către PDC Emulator, care actualizează GC-ul și asigură o replicare imediată către celelalte controlere de domeniu din domeniu.
Acest rol este folosit foarte des, iar nefuncționarea lui poate crea probleme. Dacă o parolă este schimbată, iar PDC Emulator nu funcționează, nici replicarea nu este imediată și atunci utilizatorul nu se poate loga sau nu poate accesa anumite resurse. Un alt exemplu ar fi, în cazul în care sunt diferențe mari de timp între sisteme; rezultatul este același: utilizatorul nu se poate loga deoarece serviciul Kerberos eșuează.
Rolul “Infrastructure Master” este folosit pentru a urmări modificările obiectelor din Active Directory. Spre exemplu, când un membru al unui grup este redenumit sau este mutat în alt grup, rolul “Infrastructure Master” este responsabil cu actualizarea grupului astfel încât acesta să știe noul nume sau noua locație a membrului.
În cazul în care acest rol nu este operațional, utilizatorii nu simt efectele. Dar se poate observa dacă a fost modificat un număr mare de utilizatori, sau apartenența lor la anumite grupuri.
Rolul “Relative Identifier (RID) Master”. Când se crează un utilizator,grup, sau calculator este creat pe un controler de domeniu, îi este asignat un ID unic de securitate (SID). Acest SID identifică domeniul din care fac parte obiectele. Un alt ID- “relative ID” identifică obiectul dintr-un domeniu. Rolul de “RID Master ” este responsabil pentru asignarea acestor ID-uri (identificatori relativi), controlerelor de domeniu.
În caz de nefuncționalitate al acestui rol, obiectele nu pot fi mutate între domenii. Utilizatorii nu simt pierderea acestui rol. Se poate verifica de către administrator când crează obiecte, și domeniul depășește limită pentru identificatorii relative (500).
Rolul de “Schema Master” este câte unul pe fiecare forest. Acest rol controlează toate actualizările (updates) și toate modificările din “schema partition”. Alterarea partiției “schema” nu afectează utilizatorii, dar nu se mai pot instala aplicații, cum ar fi Microsoft Exchange.
Rolul “Domain Naming Master” controlează adăugarea adițională sau scoaterea domeniilor dintr-un forest.
Cea mai ușoară metodă de a vedea care dintre aceste roluri sunt instalate pe un controler de domeniu, este prin rularea comenzii: netdom query fsmo.
Pentru a vedea rolurile: “RID Master”, “PDC Emulator”, “Infrastructure Master” se poate folosi și Active Directory Users and Computers, iar pentru rolul “Domain Naming Master” se poate folosi Active Directory Domains and Trusts. Pentru rolul de “Schema Master” se folosește Active Directory Schema. De menționat este faptul că, pentru a vedea acest rol utiliyatorul trebuie să fie membru al grupului Schema Admins.
Aceste roluri pot fi transferate. În cazul în care este nevoie de o mentenanță care necesită timp, poate fi nevoie de a transfera unul sau mai multe roluri pe alte controlere de domeniu. Pentru acest transfer este nevoie ca ambele controlere de domeniu, și cel de pe care se face transferul și cel pe care se face transferul, să fie online.
Transferul primelor trei roluri urmează câțiva pași simpli:
Din Server Manager se selectează Active Directory Sites and Services;
Tot din Server Manager se selectează Active Directory Users and Computers- de aici se alege “Change Domain Controller”- de aici se va alege controlerul de domeniu pe care se va face transferul;
Click dreapta pe domeniu și se alege “Operations Masters”- Change- urmează o confirmare a celor selectate- OK.
Pentru transferarea rolului “domain naming” se urmează pașii:
Server Manager- Active Directory Domain and Trusts- Connect To Domain Controller;
Va apărea o fereastră “Change Directory Server” și se selectează controlerul de domeniu pe care se transferă rolul;
Active Directory Domain and Trusts-click dreapta- Operations Master- se alege “Change”;
Va apărea o fereastră de dialog cu un sumar al celor selectate- OK.
Transferarea rolului “Schema Master”:
Start- comanda “cmd”- click dreapta- “Run as administrator”- se rulează comanda “regsvr32 schmmgmt.dll-dupa care se dă comanda-mmc- va apărea consola;
File- Add/Remove Snap-in- se alege Active Directory Schema-Add;
Click dreapta “Active Directory Schema”-“Change Domain Controller”- “Specify Name”- se selectează controlerul de domeniu pe care se dorește transferul;
Click dreapta “Active Directory Schema”- “Operations Master”- va apărea o fereastră cu numele “Change Schema Master”- Change- OK.
Dacă un controler de domeniu care are un rol “Operations Master” suferă un eșec irecuperabil, rolul nu se mai poate transferă deoarece controlerul de domeniu nu este online. Așadar, eate nevoie ca rolul să fie oprit (seize). Aceasta este o măsură drastică și trebuie luată numai în cazul în care este un eșec permanent al unui controler de domeniu cu un astfel de rol.
Oprirea unui astfel de rol se face cu ajutorul comenzii: ntdsutil.exe. Cu ajutorul aceste comenzi se poate face și mentenanță bazei de date Active Directory, sau ștergerea metadata rămase.
Pentru oprirea rolului de Schema, de exemplu se urmează pașii:
Start- cmd- click dreapta- “Run as administrator”- ntdsutil
Se rulează comanda “roles”- după care comenzile: “connections”, “connect to server <numele complet al serverului pe care se dorește transferul>”, “quit”- se va afișa o fereastră unde se va introduce una din comenzile: “seize schema master”, “seize naming master”, “seize RID master”, “seize PDC”, sau “seize infrastructure master” în funcție de rolul care se dorește a fi oprit.
2.1.6 Nivelurile Funcționale (Functional Levels)
Nivelurile de funcționare determină capabilitățile în domeniu ale Active Directory Domain Services. Determină, de asemenea și ce sisteme de operare de tip server pot fi instalate pe controlerele de domeniu în domeniu sau forest. De reținut, este faptul că nu afectează sistemele de operare de pe stațiile de lucru din domeniu.
Când se instalează AD DS, nivelul de funcționare ale forest-ului sau al domeniului trebuie setat la cea mai mare valoare pe care o poate susține infrastructura. De exemplu, dacă există siguranța că nu va exista niciodată în infrastructura un controler de domeniu cu sistem de operare Windows Server 2003, atunci nivelul de funcționare al forest-ului sau al domeniului ar trebui să fie Windows Server 2008, în timpul procesului de instalare AD DS.
Când se fac setările pentru noul forest sau noul domeniu, se cere să se selecteze și nivelul de funcționare al acestuia. Totuși, nu se poate seta nivelul de funcționare al domeniului la o valoare mai mică decât nivelul forest-ului. Spre exemplu, dacă se setează Windows Server 2008 că nivel de funcționare al forest-ului, nivelul domeniului va fi Windows Server 2008. În acest caz, sistemele de operare Windows 2000 sau Windows Server 2003 nu pot fi selectate pentru nivelul de funcționare al domeniului.
Se poate, în schimb să se seteze nivelul de funcționare al domeniului mai mare decât al forest-ului. Spre exemplu, dacă nivelul forest-ului este Windows Server 2003, nivelul de funcționare al domeniului poate fi Windows Server 2003 sau mai sus.
Pentru a ridica nivelul de funcționare al unui domeniu,utilizatorul trebuie să fie membru al grupui Domain Admins iar pentru nivelul forest-ului trebuie să fie membru al grupului Enterprise Admins.
Ridicarea nivelului de funcționare al unui domeniu se poate face numai pe controlerul de domeniu cu rolul “PDC Emulator”. Unealta folosită pentru acest process (Active Directory Domains and Trusts) are legătură directă cu rolul “PDC Emulator”.
Ridicarea nivelului de funcționare a forest-ului pe controller-ul de domeniu cu rolul de “Schema Master” instalat. Așa cum se intampla la ridicarea nivelului de funcționare a unui domeniu, și în cazul forest-ului, Active Directory Domains and Trusts țintește “Schema Master”.
Cu versiunile mai vechi ale Windows Server (până în Windows Server 2008) nu se poate reveni la un nivel de funcționare mai mic sub nicio formă. Dacă există totuși nevoia revenirii la un nivel mai mic de funcționare mai mic decât Windows Server 2008 R2, trebuie recontruita infrastructura domeniului sau a forest-ului sau restaurarea acestora după un backup.
2.1.7 Conturi și grupuri AD
Conturile de utilizatori din Active Directory reprezintă entități fizice, cum ar fi persoanele. Conturile de utilizator se mai numesc și “security principals”. Numele provine de la faptul că acestor obiecte le este asignat un SID (Security Identifiers).
Crearea unui utilizator urmează câțiva pași simpli:
Active Directory Users and Computers- click dreapta pe OU-ul în care dorim să creem noul utilizator- New- User
Va apărea o fereastră unde se vor cere informații despre noul utilizator cum ar fi: “First Name”, “Last Name”, “Initials”, “Full Name”, “User logon name”, “Password”, “Confirm password”.
Pentru acest proces este nevoie ca utilizatorul să fie membru al grupurilor “Account Operators”, “Domain Admins”, sau “Enterprise Admins”.
Acțiunile care se pot executa asupra unui utilizator sunt:
Copy
Add to a group
Disable Account
Reset Password
Move
Open Home Page
Send Mail
All tasks
Cut
Delete
Rename
Properties
Help
În momentul când Active Directory este instalat pe un controller de domeniu, sunt create implicit câteva OU-uri de bază:
Builtin- se regăsesc conturile de administrator pentru anumite servicii;
Computers- în mod, implicit noile calculatoare adăugate în domeniu, se vor regăsi aici;
Domain Controllers- odată instalate și alte controlere de domeniu într-un domeniu, acestea se vor regăsi implicit în acest OU;
ForeignSecurityPrincipals- conține utilizatori dintr-un forest de încredere;
Managed Service Accounts- se regăsesc conturi cărora le sunt asignate automat parole pentru diferite servicii;
Users- se regăsesc utilizatori creați în mod implicit în momentul promovării unui server la controler de domeniu.
Fiecare dintre utilizatorii creați în mod implicit în OU-ul “Users” au diferite permisiuni. Cel mai des întâlnite sunt conturile: “Administrator” și “Guest”.
Contul “de Administrator” are control deplin asupra domeniului. Poate asigna drepturi și permisiuni celorlalți utilizatori din domeniu. Atunci când se execută task-uri care necesită un utilizator “administrator” și parolă, este indicat să îl folosiți pe acesta. Din acest motiv este recomandat ca acest cont să aibă o parolă complexă. În mod implicit, acest cont este membru al grupurilor: “Administrators”, “Domain Admins”, “Enterprise Admins”, “Group Policy Creator Owners” și “Schema Admins”. Contul de administrator nu poate fi șters din grupul “Administrators”, dar poate fi redenumit sau inactiv.
Deoarece acest cont este creat în mod implicit pe sistemele Windows, reprezintă o țintă a hacker-ilor, iar din acest motiv se recomandă redenumirea acestuia.
Contul “Guest” este folosit de persoanele care nu au un cont în domeniu sau al căror cont a fost dezactivat. Acesta nu necesită parolă. Se pot seta drepturi și permisiuni ca pentru orice alt cont de utilizator. În mod implicit, acest cont face parte din grupurile: “Guests”, și “Domain Guests” prin care se permite logarea în domeniu. Contul “Guest” este implicit, dezactivat și se recomandă să rămână așa.
Un grup reprezintă o colecție de conturi de utilizatori sau calculatoare, contacte sau chiar alte grupuri, administrate de o singură unitate. Utilizatorii și calculatoarele care aparțin unui grup particular, se numesc membrii ai grupului.
Grupurile se folosesc de obicei pentru: simplificarea administrării prin asignarea de permisiuni, delegarea administrării sau creerea de liste de distribuție pentru e-mail-uri.
Grupurile create în mod implicit, cum ar fi “Domain Admins”, sunt grupuri de securitate create automat odată cu Active Directory. Se pot folosi aceste grupuri predefinite pentru a ajuta la controlul accesului la resurse partajate.
Când se adaugă un utilizator nou la un grup, acesta:
Primește toate drepturile asignate grupului din care face parte;
Primește toate permisiunile asignate grupului pentru toate resursele partajate.
Grupurile implicite sunt regăsite în OU-ul “Builtin”.
2.2 RODC (Read Only Domain Controller)
Conrtroller-ele de domeniu de tip “read only” sunt controller-e adiționale instalate într-o rețea ce conțin doar o copie a partițiilor și a bazei de date Active Directory, și cel mai important, doar o copie “read-only” a folder-ului SYSVOL.
Operații de tipul: aplicarea update-urilor pentru software, defragmentare, backup nu se pot executa pe un astfel de controller de domeniu.
Se pot dovedi a fi utile în situațiile în care sunt puține calculatoare și puțini utilizatori într-o altă zonă geografică decât cea de bază a unei companii, spre exemplu. În acest sens, administratorii de domeniu pot delega atât instalarea cât și administrarea unui astfel de controller de domeniu, unui utilizator simplu, fără drepturi sau permisiuni adiționale.
Promovarea unui astfel de controller de domeniu se face destul de ușor: administratorul de domeniu crează un cont în domeniu pentru calculatorul ce urmează a fi promovat ca RODC. În timpul procesului, administratorul de domeniu specifică parola necesară acestuia pentru replicare (PRP- Password Replication Policy) și utilizatorul sau grupul de utilizatori care urmează să îl promoveze și administreze.
Mentenanță unui RODC constă în upgrade-uri pentru driver, instalare de roluri etc., făcută de administratorul delegate. Acesta însă, nu se poate loga pe un alt controller de domeniu și nici nu poate face modificări în domeniu.
Principalele diferențe între un RODC și un controller de domeniu:
Accesul la bază de date Active Directory: bază de date stocată pe un RODC este “read only”. Acest lucru înseamnă ca datele din bază de date sunt doar citite, nu și scrise, iar anumite operațiuni de scriere a informațiilor în bază de date ajung tot la controller-ul de domeniu de bază.
Replicarea informațiilor între controller-ele de domeniu: un RODC primește informațiile de la un controller de domeniu de bază și nu trimite niciodată informațiile sale unui alt controller de domeniu. Acest lucru este valabil atât pentru datele din Active Directory cât și pentru datele din SYSVOL.
Administrarea : RODC-urile pot fi administrate de utilizatori delegați să facă acest lucru, și nu este nevoie de privilegii de domeniu. Aceștia pot executa operațiuni destul de elementare precum: aplicare de hotfix-uri, update-uri pentru software, backup etc.
Ștergerea unui RODC dintr-un domeniu se face la fel de simplu ca și instalarea:
Click dreapta pe Active Directory Users and Computers- Change Domain (sau Change Domain Controller);
Se selectează OU-ul Domain Controllers- click dreapta pe RODC pe care dorim să îl stergem- Delete;
Va apărea fereastră de dialog pentru confirmare;
În umatoarea fereastră de dialog vor trebui selectate câteva opțiuni referitoare la resetarea tuturor conturilor de utilizator și a parolelor sau a tuturor conturilor pentru calculatoare; în mod implicit sunt selectate “Reset all passwords for user accounts that were cached on this Read-only Domain Controller” și “Export the list of accounts that were cached on this Read-only Domain Controller”; aceste lucruri reduc o posibilă încercare de logare în domeniu.
Vor urma alte căsuțe de dialog pentru confirmare.
2.3 Group Policy
Group Policy este o infrastructură ce permite implementarea de configurări specifice pentru utilizatori și calculatoare. Setările din Group Policy sunt stocate în GPO-uri (Group Policy Objects) ce pot fi aplicate pe site-uri, domenii sau OU-uri.
Aceste GPO-uri conțin sute de setări predefinite care pot ajuta la o mai bună administrare a infrastructurii, într-un mod centralizat. Se pot face setări legate de complexitatea parolei, desktop background, screensaver, taskbar, Start menu etc.
Există două tipuri de politici care se pot aplica: cele de domeniu sau de grup (GPO) așa cum am menționat mai sus, și cele locale. Diferența majoră dintre acestea este aceea că, cele de domeniu se aplică numai într-un mediu Active Directory, iar cele locale se aplică atât pe calculatoarele care fac parte dintr-un domeniu cât și pe cele care nu fac parte dintr-un domeniu.
Editarea politicilor locale se face prin comanda: “gpedit.msc”. Va apărea o consolă împărțită în două secțiuni: Computer Configuration (unde se fac setări legate de computer) și User Configuration (se vor aplica setările pentru utilizator.) Fiecare dintre aceste două secțiuni au la rândul lor trei categorii: “Software Settings”, “Windows Settings” și “Administrative Templates”, fiecare dintre acestea punând la dispoziție sute de setări.
Într-un domeniu, GPO-urile se accesează prin: Server Manager- Tools- Group Policy Management. Este pusă la dispoziție structura ierarhică Active Directory cu toate domeniile pe care le cuprinde. La nivel de domeniu se crează în mod implicit o politică numită “Default Domain Policy” ce cuprinde câteva setări.
Mai jos, în ierarhia Active Directory, în OU-ul Domain Controllers, există o altă politică implicită , cu setări specifice pentru controller-e de domeniu , numită “Default Domain Controllers Policy”.
Aceste politici pot fi modificate dând click dreapta-Edit. Va apărea o consolă asemănătoare cu cea de la politica locală cu precizarea că în loc de trei categorii ce pot fi editate, în GPO-uri sunt doar două pentru fiecare secțiune: “Polices” și “Preferences”.
Diferența dintre “Policies” și “Preferences” este că, la aplicarea unei setări făcută în secțiunea ”Preferences” utilizatorul are posibilitatea să schimbe ceea ce s-a specificat în setare, spre deosebire de modificările făcute în secțiunea “Policies”, unde nimeni, din OU-ul pe care se aplică politica nu poate schimba ceea ce s-a specificat în setări.
Crearea unei noi politici de domeniu este destul de simplă: pe OU-ul pe care se dorește o serie de setări specific- click dreapta- se alege “Create a GPO în this domain and link it here”.
Pentru editarea noii politici: click dreapta- Edit.
Setarile facute in sectiunea “Computer Configuration” se vor aplica numai pe calculatoarele din OU-ul pe care este aplicata politica, indiferent de utilizatorul care se logheaza pe acel calculator.Setarile facute in sectiunea “User Configuration” se vor aplica numai pe utilizatorii din OU-ul pe care este aplicata politica, indiferent pe ce calculator se va loga utilizatorul.
Toate setarile din GPO vor avea implicit, ca stare “Not Configured”. Prin editarea acestora, vom modifica starea la setarile dorite la ”Enabled” sau “Disabled”. Pentru a ne ajuta sa ne dam seama ce impact vor avea setarile facute asupra utilizatorilor sau calculatoarelor, in partea dreapta exista o scurta descriere pentru fiecare setare.
Ordinea de aplicare a politicilor este foarte importanta si poate crea o multime de probleme intr-o infrastructura mare, daca nu este administrata corect.
In momentul cand o politica este aplicata pe un OU in Active Directory, avem posibilitatea de a vedea ordinea lor de aplicare. Pentru aceasta: click pe OU-ul pe care am aplicat o politica- in partea din dreapta va aparea o fereastra in care se poate vedea “Group Policy Inheritance”. Fiind o structura ierarhizata, vor fi afisate si politicile mostenite de la domeniu sau alte OU-ri.
Ordinea aplicării politicilor pe o stație de lucru dintr-un domeniu este următoarea :
Locală
Site
Domeniu
OU
Întotdeauna ordinea va fi acesta, iar în cazul în care aceeași setare este făcută și în politica de domeniu, spre exemplu, și este “Enabled”, iar în politica aplicată pe OU este “Disabled”, cea care se va aplica va fi cea de pe OU. Prin urmare dacă se fac aceleași setări deși se exclud reciproc, întotdeauna, politica aplicată pe OU, le va suprascrie pe celelalte.
2.4 DNS (Domain Name System)
Principala funcție a unui server DNS este, pe scurt, aceea de a translate adresele IP în nume și invers. Internetul, infrastructurile, rețelele funcționează pe adrese IP, dar sunt destul de greu de ținut minte, așa că Microsoft vine cu o soluție: rolul de DNS într-o rețea, care să facă posibilă recunoașterea echipamentelor după nume. De fiecare dată când un utilizator accesează o pagină web, spre exemplu, i se cere să introducă o adresă URL. Înainte ca cererea să ajungă la serverul web, clientul trebuie să folosească serverul de DNS pentru a obține adresă IP a serverului web, similar cu căutarea unui număr de telefon într-o carte de telefoane. Serverele de DNS sunt adesea numite și servere de nume.
DNS este deasemenea și protocol folosit de ”DNS resolver” și folosește portul 53 și pentru TCP și pentru UDP.
În timpul instalării Active Directory, se cere FQDN (Fully qualified domain name), care are rolul de a mapa numele la o adresă IP. Un FQDN descrie exact relația dintre un host și serverul DNS. Un exemplu de FQDN este: pc1.natalia.microsoft.com. Acest lucru înseamnă că pc1 este localizat în domeniul natalia, localizat la rândul său într-un “child-domain”, Microsoft, ce face parte din domeniul de top (top-level domain) .com.
DNS-ul este un sistem ierarhizat de distribuire a numelor, folosit pentru a localiza calculatoarele și serviciile într-o rețea TCP/IP. Clienții DNS trimit cereri către un server DNS, iar serviciul de DNS (Domain Name Service) este cel care rezolvă cererile, cum ar fi translatarea unui nume de domeniu într-o adresă IP.
DNS-ul este cunoscut că un sistem de distribuire a numelor deoarece informațiile nu sunt stocate doar pe un singur server de DNS. Acestea sunt răspândite către mai multe servere DNS ,toate conectate într-o structură ierarhică.
Ca și Active Directory, DNS-ul are o structură ierarhizată pe nivele asemenea unui copac (tree). Cel mai de sus nivel este “root zone”. De aici, se poate diziva în mai multe zone, fiecare deservită de către un server DNS. Fiecare zonă poate conține unul sau mai multe domenii.
Fiecare nod din această ierarhie poartă denumirea de “resource record”, care conține informații despre domeniu. Cel mai des întâlnit tip de “resource record” este cel de tipul A (sau AAA) ce cuprinde o listă de nume și adresele IP asociate.
TLD (sau Top-level domain) reprezintă un nume generic: fie un cod la nivel internațional pentru o țară (ro pentru Romaina, us pentru Statele Unite, de pentru Germania etc.), fie un indicator pentru anumite tipuri de Sorganizatii (.com, .org, .edu etc.)
Există și domenii de nivelul doi (second-level domain) deținute deobicei de organizații sau companii cum ar fi: microsoft.com- domeniul Microsoft, gov.ro- Guvernul României etc.
Root ( .)
com edu gov
microsoft intel mit usa
server1
Figura 2.4-1
Instalarea unui server DNS se face ca orice alt rol. În aplicația mea practică, acesta fost instalat odată cu Active Directory deoarece se recomandă, deobicei, ca serverul de DNS să fie pe același server cu Active Directory.
Interfață de administrare se accesează din: Server Manager- Tools- DNS. Va apărea o fereastră că în figura de mai jos.
De aici cel mai des sunt folosite două categorii: Forward Lookup Zones și Reverse Lookup Zones.
Prima (Forward Lookup Zones) conține majoritatea înregistrărilor dintr-un domeniu și face translatarea numelui în adresa IP.
Cea de-a doua zonă (Reverse Lookup Zones) este folosită pentru a face translatarea IP-ului în nume.
Când se crează o zonă nouă, avem la dispoziție trei tipuri de zone: primare (primary) , secundare (secondary) sau stub-zone.
Schimbările care au loc în serverul DNS se fac în zonă primară, iar cea secundară este o replică a cea primare, deci conține doar o copie a informațiilor din zonă primară. Este totodată folosită pentru a ajuta administratorii să faciliteze traficul cererilor către server.
În mod implicit, zona primară are denumirea de forma: numele_zonei.dns localizată în %systemroot%\System32\DNS.
O zonă de tipul “stub-zone” conține doar pointeri către alte servere DNS care sunt autorizate pentru această zonă.
Zonele și domeniul sunt separate din punct de vedere logic, dar o zonă începe odată cu crearea unui domeniu. Practic, numele zonei și numele primului domeniu din zonă sunt aceleași.Ca și exemplu, în figura de mai jos se poate vedea zonă creată în mod implicit pentru domeniul meu (natalia.com).
O altă zonă creată implicit în categoria “Forward Lookup Zones” este _msdcs.numele_domeniului (în cazul meu _msdcs.natalia.com). Aceasta este de fapt, un subdomeniu rezervat pentru inregistarile DNS ale serviciilor speficice Microsoft. Spre exemplu, un utilizator trimite o cerere către serverul DNS ce folosește protocolul LDAP. Pentru aceasta, trebuie să existe o cale care să specifice faptul ca se folosește protocolul Microsoft LDAP. Deoarece, acest subdomeniu este rezervat exclusiv serviciilor Microsoft, utilizatorul poate interoga un domeniu pentru inregistratile serviciilor LDAP, și va primi sigur ca răspuns o înregistrare de la un server Microsoft.
Există mai multe tipuri de înregistrări într-un server DNS:
Start of Authority (SOA)- conține informații referitoare la numele server-ului primar, numărul de secunde până când zona este reîmprospătată etc;
Host (A)- conține informații precum numele server-ului și adresa IP a acestuia;
Name Server- specifică serverul sau serverele care asigură servicii DNS pentru un domeniu;
Mail Exchanger (MX)- specifică serverul de mail;
Canonical Name (CNAME)- reprezintă un alias pentru un alt domeniu cu toate informațiile necesare cum ar fi: subdomenii, adrese IP etc.
2.4.1 DNSSEC (Domain Name System Security Extensions)
DNSSEC reprezintă o suită de extensii ce asigură securitate serviciilor DNS.
O zonă DNS poate fi securizată printr-un proces ce poartă numele semnarea zonei (zone signing). Acest proces nu afectează mecanismul cerere-raspuns al serverului de DNS.
Validarea răspunsului din partea serverului de DNS se face prin semnăturile digitale care sunt incluse în răspunsul serverului atunci când primește o cerere.
Când un server DNS primește o cerere din partea unui utilizator, pentru accesarea unei zone DNSSEC, acesta trimite mai departe cererea către un server DNS autorizat împreună cu înregistrările specifice DNSSEC și așteaptă validarea răspunsului folsind aceste înregistrări.
Pentru validarea răspunsului este necesară o cheie (DNSKEY) care decriptează semnăturile digitale, localizate în inrgesitrarile specifice DNSSEC. Dup aceea, semnăturile digitale sunt decriptate și se compară valorile hash. Dacă acestea coincid, se oferă un răspuns utilizatorului cu datele cerute. În cazul în care acestea nu coincid, se oferă un răspuns de tipul SERVFAIL. În acest mod, serverul DNS rezolvă cererile primite în siguranță, iar datele sunt protejate împotriva atacurilor.
La fel ca și pentru un server DNS normal unde există anumite înregistrări cu anumite funcții, și DNSSEC, are înregistrări specifice:
Resource record signature (RRSIG)- semnăturile generate cu DNSSEC se regăsesc în RRSIG. Fiecare dintre aceste înregistrări se potrivesc cu alte înregistrări din zona pentru care oferă semnăturile digitale;
Next Secure (NSEC)- o astfel de înregistrare semnalează inexistența unui server DNS. Sunt importante deoarece împiedica atacurile de tip “spoofing” ce constau în “păcălirea” unui client DNS să creadă că numele DNS nu există;
DNS Key (DNSKEY)- stochează cheia publică folosită pentru verificarea semnăturii. Acest tip de înregistrare este folosită în timpul procesului de validare.
Delegation Signer (DS)- așa cum o spune și numele, acest tip de înregistrare este folosit pentru securizarea delegării, atunci când se face autentificarea între zonele “child”
DNSSEC nu se instalează ca un rol sau ca o caracteristică. În Windows Server 2012, este instalat în mod implicit. Ceea ce pot face administratorii, este să securizeze o anumită zonă în DNS.
Acest lucru se procedează în felul următor:
Server Manager- Tools –DNS;
Se alege din “Forward Lookup Zones” zona care trebuie securizată (în cazul meu este natalia.com)- click dreapta- DNSSEC- “Sign the Zone”;
Va apărea o fereastră cu opțiunile referitoare la cum se dorește semnarea zonei;
La final este prezentat un sumar cu parametrii folosiți pentru semnarea zonei, cum ar fi: numele zonei, algoritmul folosit, valabilitatea semnăturii etc.
Diferența dintre o zonă care a fost securizată cu DNSSEC și o zonă normală se poate vedea ,în primul rând prin iconița specifică unei zone care va fi modificată (va apărea un lacăt ce face referire la securitate), dar și prin înregistrările pe care le conține. Pe lângă cele obișnuite (SOA, NS, A etc.) vor apărea și cele pentru DNSSEC (RRSIG, NSEC, DNSKEY etc.)
2.4.2 DFS (Distributed File System)
DFS reprezintă un set de servicii de tipul client-server ce permit unei companii sau oragnizatii ce folosește server Windows să organizeze fiserele comune (“shared files”) în ceea ce se numește în limba engleză “distributed file system”. Pe scurt, utilizatorilor li se permite să acceseze fișierele stocate pe un server, ca și când ar fi pe propriul calculator.
DFS asigură reduntanță și transparență pentru a îmbunătăți disponibilitatea datelor în cazul unei “căderi” a sistemului.
Cele dooua tehnologii prin care DFS-ul funcționează sunt:
Spațiile de nume DFS (DFS Namespace);
Replicarea DFS (DFS Replication).
Când într-o organizație/companie există multe server-e de fișiere și mulți utilizatori, aceștia ar putea întâmpina dificultăți la accesarea fisiserelor de pe server-e, precum și în memorarea numelor server-elor de fișiere. Spațiul de nume DFS permite gruparea folder-elor comune, într-o singură structură logică. Cu alte cuvinte, spațiul de nume DFS este un folder comun al folder-elor comune.
DFS este o tehnologie pentru crearea spațiilor de nume virtuale ce permit crearea unui singur “copac” de directoare pentru listarea folder-elor comune.
Fiind un rol, DFS-ul se instalează ca un oricare altul:
Server Manager- Add Roles and Features- se alege “Role-based or feature-based”- se selectează server-ul pe care se dorește instalarea rolului- Next;
Va apărea ferastra specifică pentru rolurile disponibile- se expandează rolul “File and Storage Services”- se expandează “File and iSCSI Services”- se selectează “File Server” și “DFS Namespace”;
Va apărea o fereastră de dialog unde sunt specificate caracteristicile de care rolul are nevoie pentru a functiona- se dă click pe “Add Features” – se dă click pe butonul “Install”;
Există două tipuri de spații de nume DFS:
Spații de nume bazate pe domeniu;
Spații de nume idependente (stand-alone).
Cu spațiile de nume bazate pe domeniu, configurațiile sunt stocate în Active Directory, acest lucru înseamnă ca nu mai este nevoie să se bazeze pe un singur server când vine vorba de informațiile pentru spațiile de nume. În cazul unui server DFS independent, informațiile sunt stocate pe server, iar numele server-ului devine parte principală a căii spațiului de nume.
Când este creat un spațiu de nume, în mod implicit este selectat modul Windows Server 2008, care suportă până la 50.000 de folder-e cu enumerare pe baza accesului (access-based enumeration). Enumerare pe baza accesului înseamnă ca utilizatorii pot vedea numai folder-ele pentru care au permisiuni. Dacă un utilizator nu are acces pentru un folder sau fișier, acesta nici măcar nu îl vede afișat în listă de directoare.
Un lucru foarte important de menționat este faptul ca, dacă se dorește utilizarea modului Windows Server 2008, nivelul de funcționare al domeniului trebuie să fie selectat “Windows Server 2008”. Dacă este deselectat modul Windows Server 2008, atunci se va folosi modul Windows Server 2000, care suportă doar 5.000 de folder-e.
Replicarea DFS este un alt rol în Windows Server 2012, așadar, instalarea lui se face exact ca în cazul rolului spațiului de nume DFS.
În mod implicit, replicarea folosește “full mesh topology”, acest lucru însemnând ca fișierele sau folder-ele se replică peste tot, cu toate server-ele. Când se folosește replicarea DFS între două server-e, există trafic în rețea. Problema apare atunci când într-o rețea există mai multe server-e de fișiere. Atunci traficul din rețea poate crea probleme. Așadar, în locul utilizării replicării de tip “full mesh topology”, se poate opta pentru replicarea de tip “spoke topology” care presupune ca un singur server este folosit pentru transmiterea schimbărilor în rețea. Acest lucru diminuează mult traficul, prin faptul ca replicarea se face între perechi de server-e.
În momentul configurării replicării DFS se pot face următoarele setări:
Bidirecționale sau unidirecționale;
Procentajul lățimii de bandă disponibil;
Programarea replicării (când să se producă aceasta).
În mod implicit, replicarea între două server-e este bidirecționale. Aceasta apare când conexiunea este în ambele părți. Dacă se decide replicarea doar într-o singură direcție, se poate dezactiva una din conexiuni, sau se pot folosi permisiunile pentru a împiedica procesul de replicare dintr-o anumită direcție.
2.5 ADFS (Active Directory Federation Services)
Active Directory Federation Services (ADFS) este o caracteristrica în Windows Server 2012 care extinde accesul SSO (Single Sign-On) al utilizatorilor pentru aplicații care nu se află în rețeaua respective.
Mecanismul de autentificare SSO, permite unui utilizator să acceseze multiple aplicații cu un singur cont. Procesul autentifică un utilizator pentru toate aplicațiile la care acesta are acces, și eliminta viitoarele solicitări de introducere a credentialelor.
Tehnologia Active Directory Domain Services, stochează parolele și numele utilizatorilor, pe care le folosește pentru adminnistrarea și securizarea accesului la un calculator, dintr-un domeniu Windows. Și Active Directory Domain Services folosește mecanismul SSO, dar pentru aplicațiile din interiorul domeniului.
Spre deosebire de Active Directory Domain Services, ADFS oferă autentificare SSO pentru aplicații sau sisteme “third-party” din alte rețele sau domenii.
Când o aplicație se află într-o rețea, iar utilizatorul care folosește aplicația se află într-o altă rețea, la accesarea acesteaia , utilizatorului i se va cere un set secundar de credentiale. Setul secundar de credentiale cerute, reprezintă identitatea utilizatorului în rețeaua în care se află aplicația.
Cu ADFS, setul secundar de credentiale nu mai este necesar, deoarece acesta se bazează pe relațiile de încredere care pot fi folosite pentru a proteja identitatea digitală a unui utilizator și drepturile de acces către partenerii de încredere.
Instalarea ADFS, se face ca oricare alt rol:
Server Manager- Add Roles and Features;
Va apărea o fereastră de configurare unde se va alege server-ul pe care se dorește instalarea ADFS;
Ca să funcționeze, acest rol are nevoie de mai multe caracteristici; acestea vor apărea, iar spre deosebire de Windows Server 2003 unde ele trebuiau să fie instalate înaintea rolului, aici există posibilitatea de a fi instalate odată cu instalarea rolului;
Urmează o fereastră cu o scurtă descriere ADFS;
Ca rolul de ADFS să funcționeze, este nevoie ca și rolul de Web Server să fie instalat, deoarece, ADFS, asigură un mecanism de autentificare “browser-based”;
Urmează instalarea rolului Web Server cu serviciile aferente lui;
Va apărea un sumar cu setările făcute, după care instalarea propriu-zisă.
După ce procesul de instalare a fost finalizat cu success, urmează partea de configurare. Pentru a accesa consola de management se accesează Server Manager- Tools- AD FS Management.
Avantajele utilizării ADFS:
Asigură clienților o interfață web ce permite accesarea resurselor dintr-o rețea parteneră;
Asigură clienților o interfață web atunci când se conectează la distantaserviciile unui server Web;
Oferă utilizatorilor o interfață Web pentru accesul la resurse sau servicii în cloud;
Oferă securitate aplicațiilor dintr-o rețea externă.
2.6 HYPER-V
Hyper-V este o tehnologie de virtualizare te tip hypervisor, implementată de către Microsoft. Această tehnologie permite crearea de infrastructuri virtuale, de la servere și sisteme de operare de tip desktop până la echipamente de rețea (switch-uri, routere etc.)
Virtualizarea a apărut din necesitatea de a reduce costurile pentru echipamentele hardware necesare unei infrastructuri.
Câteva din punctele cheie pentru Hyper-V sunt:
Abilitatea de a rula mașini virtuale pe 32–bit și 64-bit simultan;
Crearea de rețele virtuale (virtual local area network);
Permite creare de “snapshots”- care înseamnă capturarea stării sistemului de operare, incluzând date, configurație hardware etc. Acest lucru este foarte util atunci când se dorește revenirea la o stare anterioară a mașinii virtuale;
Stocare dinamică.
Un hypervisor așa cum este și Hyper-V, este un software ce permite crearea și rularea de mașini virtuale.
Există două tipuri de hypervisor:
Bare-metal hypervisor- hypervisor-ul rulează direct pe hardware, și de acolo controlează mașinile virtuale;
Hosted hypervisor- rulează pe un sistem de operare, care este instalat pe hardware. Practic, hypervisor-ul are acces la resursele hardware printr-un sistem de operare.
OS OS
Hypervisor
Hypervisor
OS
Hardware
Hardware
Bare-metal Hosted
Figura 2.6-1
Arhitectura Hyper-V este de tipul hypervisor bare-metal. De obicei se recomandă instalarea rolului de Hyper-V pe o versiune Core a sistemului de operare Windows Server (2008/2008 R2/ 2012/ 2012 R2) pentru a ocupa cât mai puțin spațiu de stocare pe dispozitivul hardware, astfel încât cererile pe care le primește serverul să fie cât mai repede executate.
În Windows Server 2012, capabilitatea Hyper- V a fost îmbunătățită prin:
Abilitatea de a aloca 64 TB spațiu de stocare pentru o mașină virtuală;
Se pot aloca până la 64 de procesoare virtuale pentru o singură mașină virtuală;
Pe un dispozitiv hardware pe care rulează Hyper-V se pot creea 1024 de mașini virtuale și până la 320 de procesoare logice;
Se pot muta hardurile virtuale în altă locație, în timp ce mașină virtuală rulează;
Extinderea capabilităților unui switch virtual;
Permite utilizarea unui spațiu de stocare comun fără a fi nevoie de SAN (Storage Area Network).
Suportă până la 4 TB memorie RAM;
Instalarea Hyper-V se face ca pentru orice alt rol în Windows Server 2012: Server Manager- Add Roles and Features- Hyper-V.
Crearea și administrarea mașinilor virtuale cu Hyper-V se face prin două moduri:
Prin interfață grafică: Server Manager- Tools- Hyper-V;
Prin intermediul Windows PowerShell: în Windows Server 2012, toate funcțiile disponibile în interfață grafică se regaesc în modulul Hyper-V din PowerShell.
Cerințele hardware necesare instalării Hyper-V:
Procesor 64-bit;
Virtualizare asistată de componenta hardware: acest lucru înseamnă ca procesorul trebuie să aibă inclusă opțiunea de virtualizare (pentru procesoarele Intel este Intel Virtualization Technology –Intel VT iar pentru cele AMD este AMD Virtualization- AMD-V).
Memoria dinamică (Dynamic Memory)
Memoria dinamică a fost introdusă prima oară în Windows Server 2008 R2 SP1 și definea memoria la pronire (startup memory) ca fiind “cantitatea” minimă de memorie pe care o mașină virtuală o poate avea. Cu toate acestea, Windows necesită mai multă memorie în timpul procesului de startup. Din această cauză, administratorii erau nevoiți să asigneze mai multă memorie unei mașini virtuale deoarece Hyper-V nu mai putea “revendica” memorie după procesul de startup. În Windows Server 2012, memoria dinamică introduce posibilitatea de face câteva setări minime legate de memorie, astfel încât, după procesul de startup, Hyper-V să poată folosi memoria nefolosită de mașină virtuală.
Există, totuși, și dezavantaje: dacă mașină virtuală are alocată o cantitate mai mică de memorie decât cea care îi este necesară la startup, și este repornită, Hyper-V are nevoie de o cantitate de memorie adițională pentru a reporni mașină virtuală, iar acesta nu are întotdeauna memoria necesară, disponibilă. Acest lucru poate cauză eșecuri dese la repornirea mașinii virtuale.
Microsoft a găsit totuși, o soluție și pentru această problema: Smart Paging- folosit pentru a creea o punte între memoria minimă și memoria necesară pentru startup, pentru a permite mașinii virtuale să fie repornită în condiții optime.
La fel ca și în versiunile anterioare ale caracteristricii de memorie dinamică, se poate configure o cantitate minimă de memorie pentru mașinile virtuale, iar Hyper-V continuă să asigure ca această cantitate de memorie este întotdeauna asignată mașinilor virtuale.
Pentru a asigura repornirea unei mașini virtuale în condiții optime, pentru mașinile virtuale cu memorie alocată mai mică decât memoria de la startup, Hyper-V folosește Smart Paging. Această metoda de management a memoriei folosește resursele hardului ca și resursă adițională atunci când este nevoie de mai multă memorie pentru repornire. Acest lucru are, așa cum am spus și mai sus și avantaje dar și dezavantaje. Asigură o cale sigură de a menține mașinile virtuale pornite atunci când nu este disponibilă memorie fizică. Totuși poate altera performanțele mașinii virtuale deoarece viteza de acces a hardului este mult mai slabă decât viteză de acces a memoriei.
Pentru a minimiza impactul asupra performanței , Hyper-V folosește Smart Paging numai când următoarele condiții sunt îndeplinite simultan:
Mașină virtuală este repornită;
Nu mai există memorie fizică disponibilă;
Memoria nu poate fi “revendicată” de la alte mașini virtuale care rulează pe host.
Smart Paging nu este folosit atunci când:
Mașină virtuală este pornită și nu repornită;
Este necesară o suprascriere a memoriei pentru o mașină virtuală;
O mașină virtuală face parte dintr-un cluster.
Windows Deployment Services (WDS)
Windows Deployment Services reprezintă o tehnologie ce permite instalări automate în rețea ,bazate pe încărcarea sistemului de operare (boot) din rețea. Cu alte cuvinte, permite instalarea sistemelor de operare fără că acestea să fie stocate pe hard disk. Serverul WDS stocheazafisierele necesare instalării și ajută la administrarea procesului de boot-are și a fișierelor sistemului de operare folosită la instalarea în rețea (proces numit în limba engleză “deploy”). Cu ajutorul WDS se pot face instalări în rețea de la sisteme de operare pentru servere (incluzând și Windows Server 2012) până la sistemele de operare de tip desktop (de la Windows XP până la Windows 8.1).
Un fișier de tip imagine (image file) este de fapt o captură a hard disk-ului la un moment dat. Acest tip de fișier este adesea numit și imagine pentru instalare (install image) și este folosit pentru instalarea sistemului de operare. Conține următoarele:
Toate fișierele sistemului de operare de pe calculator;
Toate update-urile și driver-ele aplicate pe acel calculator:
Apliicatiile care sunt instalate în momentul creării acestui tip de fișier;
Orice schimbare de configurație care a fost făcută.
Pentru că un calculator (client) fără sistem de operare, să comunice un server WDS, trebuie să aibă suport pentru ceea ce se numește preboot execution enviroment (PXE- pronunțat “pixi”).
PXE este o tehnologie care boot-eaza calculatorul folosind interfață de rețea. Că un calculator să execute o boot-are PXE, este nevoie să fie făcute setări în BIOS pentru a porni boot-area în rețea.
Când PXE este folosit cu WDS, calculatorul descărca o imagine de boot-are (boot image) ce încarcă un mediu de preinstalare Windows (Windows Preinstallation Environment- Windows PE). Windows PE este un mic sistem de operare Windows, cu servicii limitate.
WDS este un rol standard în Windows Server 2012 și poate fi instalat folosind consola Server Manager. El mai conține și două servicii:
Deployment Server- asigură funcționalitatea server-ului WDS. Include într-o imagine, o colecție de fișiere (imaginile de boot-are, imaginile de instalare și alte fișiere necesare instalării de la distanță). Că serverul WDS să funcționeze corespunzător, are nevoie de protocolul TFTP (Trivial File Transfer Protocol), care este asemănător cu protocolul FTP cu diferența, că acesta folosește UDP (User Datagram Protocol), iar FTP folosește TCP (Transmission Control Protocol). Pe lângă aceste servicii, necesare WDS, deployment server conține și toate uneltele pentru personalizarea imaginilor.
Transport Server- este un subset de servicii necesare pentru WDS. Acest serviciu este folosit pentru multicasting, ce permite unui set de pachete să fie trimis la mai multe calculatoare, simultan.
Instalarea WDS se face că pentru orice alt rol:
Server Manager- Add Roles and Features – se selectează “Role-based or feature installation”- se selectează server-ul pe care se dorește instalarea WDS;
Din lista de roluri disponibile se alege “Windows Deployment Services”;
Va apărea o casetă de dialog care spune că este nevoie de anumite caracteristici că server-ul WDS să functioneze- se dă click pe “Add Features”- Next;
Va apărea o altă fereastră numită “Select role services” și se vor bifa serviciile menționate mai sus: “Deployment Server” și “Transport Server”.
Va apărea o fereastră de dialog pentru confirmarea celor selectate- Install.
Înainte de utilizarea server-ului WDS, trebuiesc îndeplinite câteva cerințe:
Seerver-ul WDS trebuie să fie membru al unui domeniu;
Trebuie să existe un server DHCP în rețea;
Este nevoie de un server DNS;
Este necesar sistemul de fișiere NTFS pentru stocarea imaginilor.
3. Gestionarea confidențialității
3.1 Activarea Windows
Activarea unui produs reduce pirateria software-urilor, iar în privința sistemelor de operare, Microsoft se asigură că prin activarea produselor lor,clienții lor primesc update-uri și aplicații software autentice. Prin sistemul de operare autentic (genuine) , Microsoft îi asigură pe clienții săi de faptul că, produsele lor sunt de încredere și îi protejează de amenințările la adresa securității.
Activarea unui produs înseamnă că o anumită cheie a produsului se asociază cu componenta hardware a calculatorului pe care este instalat produsul. Schimbările majore de componente hardware sau de configurație, pot cere, la un moment dat, reluarea procesului de activare.
Într-o organizație, există mai multe tipuri prin care un produs sau sistem de operare se pot activa:
Activare ce are la bază Active Directory-acest tip de activare permite stocarea în Active Directory, obiectele activate, ce pot fi folosite ulterior pentru simplificarea sarcinilor de menținere a serviciilor de activare dintr-o rețea. Cu acest tip de activare, nu este nevoie de un server host, adițional, iar cererile de activare sunt efectuate transparent pentru utilizatori și nu presupune niciun fel de interacțiune a lor. Orice calculator cu GVLK (Generic Volume Licesing Key) care este conectat la un controller de domeniu activat, activarea acestuia se va face automat. Va rămâne activat atât timp cât va face parte din domeniu.
Key Managemnt Service (KMS)- este un rol al serviciului de licențiere software (Software Licesing Service) ce permite companiilor să-și activeze sistemele în rețea de la un server unde există server KMS gazdă (host) .Cu un server KMS, administratorii pot finaliza procesul de activare în rețeaua locală, fără să fie nevoie de conectare la Microsoft pentru fiecare calculator din rețea. În mod implicit, un client (calulcator) încearcă să contacteze un server KMS, iar dacă nu are niciun fel de conexiune cu acesta, după 180 de zile, sistemul va reprezenta o vulnerabilitate în rețea și va intra în modul de notificare (Notification Mode). Serverul KMS nu are nevoie de un sistem fizic separat sau dedicat. El poate fi găzduit pe un sistem ce asigură alte servicii.
Activare cu chei multiple (Multiple Activation Key- MAK)- este un tip de activare ce necesită o singură activare cu serviciile de activare Microsoft. Există două moduri de a folosi aceste chei:
Activare MAK independenta-acest lucru înseamnă ca fiecare client este conectat și activat independent la Microsoft prin Internet sau telefon;
Activare MAK “proxy”- un client din rețea adună toate cererile de activare de la celelalte calculatoare și le trimite doar el, centralizat către Microsoft.
Cum funcționează procesul de activare prin intermediul Internet-ului?
Dacă se optează pentru activarea MAK, așa cum am spus mai sus, procesul de activare se poate face prin intermediul Internet-ului. În timpul acestui proces, următoarele informații sunt trimise către Microsoft:
Modelul calculatorului și producătorul;
Versiunea sistemul de operare;
Setările legate de limbă și regiune;
Un număr unic asignat calculatorului (GUID);
Cheia și ID-ul produsului ce trebuie activat;
Numele BIOS;
ID-ul dispozitivului hardware.
Adițional, față de cele menționate mai sus, următoarele informații legate de stare, sunt de asemenea, transmise:
Dacă instalarea a fost făcută cu succes;
Rezultatul verificării pentru validare incluzând informațiile despre aplicații neautorizate găsite în sistem;
Numele calculatorului și hash-ul conținutului fișierului de start-up, numit deobicei “boot file”.
3.2 SmartScreen Filter
Această caracteristică din Intrnet Explorer, este responsabilă cu avertizarea utilizatorului în momentul în care acesta accesează website-uri cu conținut ce poate afecta performanțele calculatorului, sau prin care se dorește obținerea de informații cu caracter personal, într-un mod fraudulos (phishing).
SmartScreen Filter protejează utilizatorii în trei moduri:
În timpul navigării într-un broswer web, SmartScreen Filter scanează și analizează paginile web și identifică dacă au anumite caracteristici “suspecte”. În momentul când găsește o pagină web cu conținut ce ar putea afecta performanțele calculatorului, SmartScreen afișează pe ecran, o notificare ce avertizează utilizatorul că urmează să intre pe o pagină web care îi poate altera calculatorul.
SmartScreen Filter, verifică dacă site-ul respectiv a fost la un moment dat pe o listă cu site-uri “malicious”. Dacă da, avertizează din nou utilizatorul.
Pe lângă verificările site-urilor web, sunt verificate și fișierele descărcate de pe o anumită pagină web, iar când utilizatorul descărca un fișier sau o aplicație ce pot afecta performanțele calculatorului iar SmartScreen Filter, blochează procesul de descărcare.
Când se verifică site-urile web, următoarele informații sunt transmise prin HTTPS către serviciile SmartScreen Filter:
URL-ul site-ului care este analizat;
Versiunea detaliată a aplicației, și a browser-ului;
Informații detaliate despre URL;
Informatiile fișierului descărcat;
Versiunea sistemului de operare;
Setările locale și de limba ale browser-ului;
4. Descrierea aplicației practice
Aplicația practică, cuprinde un server virtual instalat cu ajutorul unui soft specializat pentru instalări și rulări de mașini virtuale – Vmware Player, o stație de lucru cu sistemul de operare Windows 8.1 și un router virtual bazat pe o versiune de linux, mai exact ClearOS.
Pentru a demonstra cum funcționează tehnologiile de bază pe un server cu sistem de operare bazat pe Microsoft (în cazul de față este Windows Server 2012) am instalat ca și roluri: Active Directory Domain Services și am promovat server-ul la un controller de domeniu. În felul acesta, server-ul poate asigura servicii de autentificare, administrarea resurselor din rețea (utilizatori, calculatoare etc.), administrarea politicilor de securitate. Pentru a asigura serviciul de nume într-o rețea este nevoie și de rolul DNS (Domain Name System), un rol vital de altfel, instalat în procesul de instalare a rolului Active Directory Domain Services.
În plus față de OU-urile implicite, care se reagasesc după promovarea unui server la controller de domeniu, am creat alte două OU-uri cu numele: Resurse Umane și Contabilitate, în domeniul natalia.com. Fiecare dintre cele două OU-uri cuprind câte un utilizator astfel: în OU-ul cu numele Resurse Umane se află utilizatorul cu numele Popescu Marius, iar în cel de-al doilea se află utilizatorul cu numele, Rădulescu Ana.
În OU-ul creat implicit, “Computers” a fost adăugată stația de lucru cu sistemul de operare Windows 8.1 cu numele “PC1”.
Pentru o administrare centralizată a politicilor de securitate, am instalat roulul Group Policy Management.
Politicile pe care le-am creat pentru a demonstra ordinea de aplicare și cum funcționează politicile de securitate se numesc “Setări pentru Resurse Umane”, respectiv “Setări pentru Contabilitate” și sunt aplicate pe OU-ul cu numele “Resurse Umane” respectiv “Contabilitate”, unde se găsesc utilizatorii “Popescu Marius” și “Rădulescu Ana”. Am luat în considerare faptul că, fiind un utilizator ce aparține departamentului de Resurse Umane, Popescu Marius, nu ar trebui să aibă acces la “Control Panel” pe stația de lucru pentru a evita anumite schimbări de configurație și nici nu ar trebui să fie capabil să schimbe imaginea de fundal a stației de lucru. Pentru acesta, am făcut setările necesare pentru a împiedica acest lucru prin GPO astfel:
Din categoria “User Configuration” se alege Policies- Administrative Templates- Control Panel, iar setarea se numește “Prohibit access to Control Panel and PC settings”. Această setare nu îi permite utilizatorului să facă nicio schimbare de configurație în Control Panel.
Pentru a preveni schimbarea imaginii de fundal: “User Configuration”- Policies- Administrative Templates- Control Panel- Personalization, iar setarea se numește “Prevent changing desktop background”.
În momentul în care utilizatorul încearcă să facă una dintre cele două schimbări (fie că se încearcă accesarea Control Panel fie că se încearcă schimbarea imaginii de fundal) va primi un mesaj de eroare ca cel din figura de mai jos.
Pentru utilizatorul Rădulescu Ana, din departamentul de contabilitate, am făcut setările astfel încât să poată avea acces la Control Panel și să poată schimba imaginea de fundal, dar nu poate instala sau dezinstala programe de orice fel.
Tot prin intermediul politicilor am mapat un “share drive” astfel: pentru utilizatorul Popescu Marius, va apărea mapat, “Resurse Umane”, iar pentru utilizatorul Rădulescu Ana va apărea “Contabilitate”.
Pentru a mapa un “share drive” se urmează pașii:
Tools- Group Policy Management- se dă click dreapta pe OU-ul pe care se dorește maparea- se alege “Create a GPO in this domain and Link it here”- se alege numele politcii;
Click dreapta pe politica nou creata- Edit;
Din categoria “Ușer Configuration” se alege Preferences- Windows Settings- Drive Maps;
Click dreapta- New- Mapped Drive- din tab-ul “Action” se alege “Create” după care numele share-ului (dacă este cazul se pot face și alte setări) și calea către folder-ul partajat.
Permisiunile pentru acestea au fost date astfel încât doar utilizatorul Popescu Marius să poată accesa, modifica, șterge unitatea partajată din care face parte, respectiv Resurse Umane. Acest lucru este valabil și pentru utilizatorul Rădulescu Ana, dar pentru departamentul din care face parte.
Pentru ca partajarea acestor unități să fie posibilă prin politicile de grup, a fost nevoie și de rolul “File and Storage Services”.
Dintre rolurile disponibile pentru Windows Server 2012, cele absoult necesare pentru ca o rețea să funcționeze sunt: Active Directory Domain Services, DNS, Group Policy Management și File and Storage Services. Celelalte precum: DHCP, WDS, ADFS etc. asigură servicii adiționale într-o rețea și pot fi utilizate sau nu în funcție de cerințele infrastructurii.
5. Concluzii
În concluzie, noutățile aduse sistemului de operare Windows Server 2012 fac din acesta cea mai importantă lansare a celor de la Microsoft, în domeniul sistemelor de operare de tip server. Datorită îmbunătățirilor aduse pentru Windows PowerShell prin extinderea modulelor de comenzi (alte noi 2400 de cmdlets), dezvoltarea rolurilor cum ar fi DNS, Active Directory Domain Services, Active Directory Federation Services etc. și caracteristicilor pentru virtualizare (Hyper-V Replica, spre exemplu) sau a spațiilor de stocare etc., Windows Server 2012 poate asigura foarte multe servicii cu costuri reduse.
Windows Server 2012 are, de asemenea, o interfață nouă, mult mai ușor de utilizat și elegant, conceput pentru a gestiona mai multe server-e de la aceeași consolă.
În lucrarea mea, am evidențiat majoritatea imbunătățirilor și a diferențelor dintre Windows Server 2012 și predecesorul său Windows Server 2008.
Așa cum am arătat în cadrul acestei lucrări, importanța Active Directory Domain and Services, este vitală, deoarece, majoritatea rolurilor dintr-o organizație/companie se instalează și functionează într-un mediu Active Directory.
Securitatea în Windows Server 2012, a fost cu mult imbunătățită prin actualizarea protocoalelor de securitate deja existente (Kerberos v5, spre exemplu) dar și prin adăugarea unor noi tehnologii pentru securitate (DNSSEC, spre exemplu).
Proiectarea noului sistem de operare, Windows Server 2012 pune accentul pe disponibilitate continua și costuri de administrare reduse.
Noul sistem de fișiere implentat pe sistemul de operare, ReFS este o metodă de protecție a fișierelor de pe disk, spre deosebire de predecesorul său NTFS.
În Windows Server 2012 tehnologiile implicate în gestionarea accesului la fișiere au fost grupate sub numele de Dynamic Access Control. Utilizarea instrumentelor oferite de DAC este mult mai ușoară, printre altele, poate oferi acces la fișiere în funcție de utilizatori, grupuri de utilizatori sau dispozitive utilizate și poate simula o conexiune pentru a verifica corectitudinea setărilor de mai sus. S-au îmbunătățit mesajele de eroare, în cazul accesului neautorizat și se pot clasifica documentele care urmează să fie protejate în conformitate cu conținutul, sau alți parametri.
6. BIBLIOGRAFIE
Praoveanu Iosif-Rețele de calculatoare, Editura Universității “Titu Maiorescu”, București 2009
Praoveanu Iosif- Managementul rețelelor de calcuatoare, Curs pentru învățământul la distanță, Editura Renaissance, București 2010
Răzvan Rughiniș, Răzvan Deaconescu , Andrei Ciorba, Bogdan Doinea- Rețele locale, Editura Printech
https://technet.microsoft.com/library/dn250019
https://technet.microsoft.com/en-us/library/hh831484.aspx
https://technet.microsoft.com/en-us/library/mt169373.aspx
http://ro.wikipedia.org/wiki/Windows_Server_2012
https://technet.microsoft.com/en-us/library/hh831791.aspx
BIBLIOGRAFIE
Praoveanu Iosif-Rețele de calculatoare, Editura Universității “Titu Maiorescu”, București 2009
Praoveanu Iosif- Managementul rețelelor de calcuatoare, Curs pentru învățământul la distanță, Editura Renaissance, București 2010
Răzvan Rughiniș, Răzvan Deaconescu , Andrei Ciorba, Bogdan Doinea- Rețele locale, Editura Printech
https://technet.microsoft.com/library/dn250019
https://technet.microsoft.com/en-us/library/hh831484.aspx
https://technet.microsoft.com/en-us/library/mt169373.aspx
http://ro.wikipedia.org/wiki/Windows_Server_2012
https://technet.microsoft.com/en-us/library/hh831791.aspx
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Gestiunea Utilizatorilor DE Retea Sub Windows Server 2012 (ID: 149843)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.