Você está na página 1de 12

AKTIVNI DIREKTORIJUM

Microsoft Windows mree podravaju dva modela servisa direktorijuma:


radnu grupu i domen. Radna grupa oznaava saradnju bez centralnog
upravljanja. Time se istie razlika izmeu ovakve mree i velikih mrea sa
servrima.
Model domena karakterie jedan imenik poslovnih resursa servis Active
Directory. Jedna od najznaajnijih mogunosti servera 2008 je mogunost da
bude domen kontroler (engl. Domain Controller DC), koji omoguava smetanje
i kontrolu korisnika na centralnom raunaru (domen kontroler).
Aktivni Direktorijum je univerzalno distribuirano spremite podataka kroz
koje se na standardiziran nain moe pristupati svim mrenim objektima, kao to
su konfiguracije aplikacija, usluge, raunala, korisnici i procesi, i to irom cijele
lokalne mree ili ire mree ciji je ona deo. To nam omoguava logika struktura
imenikaI
Aktivni Direktorijum sadri podatke. U njegovom najjednostavnijem obliku,
moemo ga usporediti s gigantskim telefonskim imenikom koji omoguava
korisniku da pomou imena i prezimena pronae odreeni telefonski broj. U svetu
informacijskih tehnologija Aktivni Direktorijum je mnogo vie od telefonskog
imenika. On je regulator prometa u mrenom svetu jedne kompanije.
Aktivni Direktorijum moemo opisati kao integrirani skup reenja za
distribuciju podataka, organizaciju resursa, sigurnost i administraiciju mree.
Oslanja se na Domain Name System (DNS) za lociranje resursa i odreivanje
prostora imena domena.
Aktivni Direktorijum omoguava centralizovanu administraciju tj. sa jednog
raunara je mogue kontrolirati sve resurse mree (korisnike raune, mrene
konekcije, raunala, tampae idr.) gde god se oni nalazili.

Planiranje Aktivnog Direktorijuma


Pre instaliranja Aktivnog Direktorijuma moramo prouiti organizacionu
strukturu za koju se pravi raunarska mrea. Potrebno je da znamo broj servera,
raunara, korisnika, tampaa, lokacija gde su resursi, bezbedonosnu politiku itd.
Tek tada moemo da kreiramo strukturu mree. Strukturu Aktivnog Direktorijuma
ine etri snovne komponente: plan domena, plan prostora imena domena, plan
strukture organizacionih jedinica i plan strukture lokacije.

Plan domena
Plan domena obuhvata odredjivanje osnovnog domena u mrei, broj domena kao i njihovo
hijerahijsko organizovanje. Takoe obuhvata i fiziko okruenje to ukljuuje lokacije objekata u
mrei, broj korisnika na svakoj lokaciji, broj potrebnih servera kao i servisa na tim serverima, vrstu
mree, brzinu veze, broj i kvalitet WAN konekcija, lokacije mrenih barijera itd. Kada ponemo da
instaliramo Aktivni Direktorijum moramo da izaberemo kakav kontroler domena elimo da
instaliramo: da li je to prvi kontroler domena za novi domen ili samo elimo da dodamo nov kontroler
domena u postojei domen. Nakon toga treba odrediti da li taj novi domen pripada novoj umi, da li je
on podreen domen u postojeem stablu domena ili predstavlja jedno novo stablo domena u postojeoj
umi. Kad odreujemo osnovni domen moramo da vodimo rauna da je on prvi domen koji pravimo u
Aktivnom Direktorijumu. Njegova osnovna uloga je da definie infrastrukturu cele mree i da upravlja
istom. Nakon to smo odredili namenski osnovni domen ume, planiranje strukture domena treba da
zaponemo od jednog podreenog domena ispod osnovnog. U veini sluajeva jedan domen moe da
zadovolji nae potrebe jer on moe da se prostire preko vie lokacija i da sadri milione objekata. Ne
treba praviti posebne domene koji bi odravali sektore i odelenja u okviru jedne organizacije, jer se te
strukture esto menjaju. Mnogoje bolje da se to rei putem organzacionih jedinica jer su one
jednostavnije za delegiranje iadministriranje. Pored toga svakoj organizacionoj jedinici moemo
dodeliti neku grupnu politiku a onda na osnovu toga smetati korisnike, raunare ili grupe u nju. Ako
ipak doemo do zakljuka da nam treba organizacija sa vie domena onda njih moramo organizovati u
vidu jedne hijerahijske strukture, stabla domena ili ume domena, u zavisnosti ta najbolje odgovara
potrebama nae mrene strukture.

Plan prostora imena domena


Razlikujemo dva prostora imena i to unutranji (interni na prostor imena) i spoljanji
(eksterni prostor imena). U okviru toga imamo dve mogunosti:

da je unutranji prostor imena isti kao i spoljanji: dobra strana je da su imena domena ista i na
internoj privatnoj mrei kao i na spoljanjem javnom Internetu. Loa strana je da zahteva
mnogo sloeniju strukturu konfigurisanja mree, klijenti se moraju konfigurisati da razlikuju
interne od eksternih resursa. Iako je prostor imena isti, korisnici imaju razliit pogled na
interne i eksterne resurse.

da su unutranji i spoljanji prostor imena razdvojeni: ovde postoji jasna razlika izmeu
internih i eksternih resursa, upravljanje je olakano jer nema poklapanja ili dupliranja
odravanja a i konfigurisanje klijenata je jednostavnije jer su eksterni resursi jednoznano
odreeni. Ali, ovde postoje dvostruka imena za prijavljivanje: jedno za interni a drugo za
ekstreni prostor imena koje je potrebno registrovati u oba domena.

Prilikom dodeljivanja imena novokreiranim domenima dato ime treba da je jednostavno i da


asocira na namenu domena. Broj nivoa domena treba ograniiti. Preporuuje se da dubina domena
bude tri do etri od vrha DNS hijerahije, a maksimalno pet.

Plan strukture organizacionih jedinica


Organizacione jedinice predstavljaju najmanje jedinice na kojima se moe dodeliti grupna
strategija ili delegirati administriranje. Postoji vie razloga zato se prave organizacione jedinice i to
su: lake odravanje , lake delegiranje administrativnih zadataka (grupsanjem vie raunarskih
resursa u jedan jedini resurs dobijamo samo jednu administartivnu oblast za delegiranje), lake
deljenje korisnika prema grupnim strategijama.
Broj organizacionih jedinica u domenu nije ogranien i iskljuivo zavisi od potreba
organizacije preduzea. Ono to je neophodno, to je da organizacione jedinice prvog nivoa budu
jedinstvene u domenu. Postoji nekoliko uobiajenih modela koji nam pomau da odredimo hijerahiju
koja nam najvie odgovara i to:

Geografski model resursi se ovde organizuju prema mestu gde se oni nalaze.

Organizacioni model ovde se organizacione jedinice prave upravo prema strukturi jedne
organizacije, prema odelenjima i sektorima.

Objektni model podela resursa po organizacionim jedinicama ovde je definisano na osnovu


klasa tih resursa. Klase predstavljaju skup resursa sa istim osobinama kao: korisnici, raunari,
grupe, tampai i td..

Plan strukture lokacije


Lokacija predstavlja deo fizike strukture servisa Aktivnog Direktorijuma i predstavlja
kombinaciju jedne ili vie podmrea na bazi IP protokola koje su povezane vrlo brzim i pouzdanim
vezama. Glavna uloga lokacije je da obezbedi dobru povezanost na mrei. Nain njegove realizacije
najvie utie na proces prijavljivanja korisnika i provere njihove autentinosti, kao i na replikaciju
direktorijuma. Kako su mrene veze u jednoj LAN mrei po pravilu jako brze, cela ta mrea moe da
bude jedan lokacija. Najveu panju treba posvetiti kod projektovanja strukture lokacije/sajta za neku
mreu koja se prostire na nekoliko razliitihfizikih lokacija.

Upravljanje Aktivnim Direktorijumom

Da bi Aktivni Direktorijum funkcionisao pouzdano i efikasno, neophodno je povremeno vriti


poravku, premetanje, oporavak i defragmentaciju.

Aktivni Direktorijum predstavlja jednu vrstu transakcione baze podataka.


Jedna transakcija sastoji se iz nekoliko radnji koje je potrebno uraditi u bazi
podataka i ona zaokruuje kompletno izvrenje te radnje. Ako se desi da nije
mogue izvriti sve predviene radnje za tu transakciju potrebno je ponititi sve
one radnje koje su se izvrile i vratiti se na stanje pre poetka izvrenja te
transakcije. Da bi to bilo izvodljivo potrebno je voditi dnevnik transakcija koji nam
omoguava ponitavanje operacija po segmentima i sigurno zavravanje
transakcija u bazi. Za kontrolu semantikog integriteta baze podataka Aktivnog
Direktorijuma postoji posebna alatka tj. program ntdutil.exe koji nam omoguava da
proverimo broj aktivnih referenci i veza, broj obrisanih objekata, ispravnost DNS
strukture imena, bezbedonosnih deskriptora i proverava replikaciju podataka.
Bezbednost podataka u Aktivnom Direktorijumu potrebno je odravati na najvei mogui nivo
kako se ne bi naruio normalan mreni rad. Jedan od naina da se bezbednost tih podataka digne na
vei nivo je pravljenje rezervne kopije tih podataka. U tu svrhu moramo da pripremimo datoteke koje
elimo da kopiramo kao i medijum na koji kopiramo te podatke. Pravljenju rezervne kopije se vri
putem posebnog arobnjaka Backup Or Restore. On automatski kopira sve sistemske komponente i
sve distribuirane servise koji su potrebni servisu Aktivni Direktorijum na medijumu koji smo odabrali.
Rezervne kopije moemo praviti samo za stanje sistema lokalnog raunara, a ne i za udaljene
raunare. Samo lanovi grupa Administrators i Backup Operators mogu da prave rezervne kopije.
Premetanje Aktivnog Direktorijuma vrimo u sluaju da se fiziki disk, na kome se nalazi
baza podataka, oteti ili on jednostavno otkae. Da bi smo to uradili na raspolaganju nam se nalazi
alatka pod nazivom ntdsutil.exe koja radi u reimu Directory Service Restore.

Postoje dva naina defragmentacije baze podataka i to automatska i runa. Automatsko


defragmentisanje svoje baze podataka, Aktivni Direktorijum obavlja svakih 12 sati potpuno
samostalno i to radi u sklopu svog procesa uklanjanja smea (Garbage Collection). Ovaj postupak
defragmetiranja otklanja probleme sa skladitenjem, ali ako baza podataka previe naraste moramo da
primenimo drugi nain a to je defragmentiranje van veze. Taj nain nam daje potpuno novu,
kompaktnu verziju datoteke, ali zato traje dosta due od prvog naina. Zato se on primenjuje samo u
velikim mreama koje su podlone estim i
velikim promenama.
DNS je osnovni nain pronalaenja usluga i servera Aktivnog Direktorijuma u domenu.
Klijenti i razliiti servisi koriste DNS za pronalaenje osnovnog domena radi prijavljivanja i
administriranja mree. Generalno je pravilo da barem jedan DNS mora biti instaliran u umi domena
da bi Aktivni Direktorijum ispravno radio. U jednostavnim kofiguracijama instaliranje DNS servera
predstavlja trivijalan zadatak. Uz Windows Server 2008 dolazi i Microsoftov DNS server ali se moe
instalirati i bilo koji drugi DNS. Jedini preduslov koji treba da ispuni taj novi DNS server, je da
podrava protokol za dinamiko
auriranje.

INSTALACIJA AKTIVNOG DIREKTORIJUMA


Za instalaciju Aktivnog direktorijuma je potrebna NTFS particija. Da bi se
konvertovao Windows 2008 Server u kontroler domena, potrebno je izabrati StartRun i uneti DCPROMO. Time se pokree Active Directory Installation Wizard. Ovaj program ne
samo da konvertuje server u kontroler domena, ve i obratno, vraa kontroler domena u server.
Instalacija Aktivnog direktorijuma je veoma jednostavna.

Wizard e ponuditi opcije da li se eli kreirati novi domen ili da se napravi


kontroler u postojeem domenu. Mi elimo da kreiramo novi kontroler domena.
Windows Server 2008 omoguava da se domeni postavljaju u stabla, a stabla u
ume. Sada treba odabrati da li se eli kreirati domen u novoj umi, ili kreirati
domen u ve postojeoj umi. Mi biramo novi domen u novoj umi.

Sada je potrebno uneti ime domena koji se eli kreirati. Biramo domen bane.com. Server
nakon toga proverava da li ime koje smo uneli ve postoji. Ukoliko ne postoji vri
se verifikacija NetBIOS imena na osnovu unetog.

Sada je potrebno izvriti izbor funkcionalnog nivoa za umu. Mogunosti


su: Windows 2000, Windows Server 2003 i Windows Server 2008. Ukoliko
izaberemo Windows Server 2008 funkcionalni nivo svi ostalih raunari na kojima
se die server moraju biti iz familije 2008. To znai da u umu neemo moi da
instaliramo Windows Server 2000 ili Server 2003 maine. Zauzvrat, ovaj nivo
omoguava iskorienje svih dotupnih opcija najnovijeg sistema. Ukoliko
postavimo Server 2003 ili Server 2000, opcije koje nudi Server 2008 e biti
prilagoene da budu kompatibilne sa tim sistemima. Optimalno je izabrati
Windows Server 2003.

Poto nije pronaao nijedan DNS server DCPROMO ga moe instalirati u


ovom trenutku. DNS je Name Resolution Servis koji razreava imena u brojeve.
DNS servis je hijerarhijski distribuirana baza podataka. Ovo znai da je baza
podataka logiki odvojena, i da omoguava razliitim serverima hostovanje
rasprostranjene baze podataka DNS imena. Administratori moraju da konfiguriu
klijentske kompjutere na mrei tako da njihova kompjuterska imena mogu da
budu razreena u IP adrese. Kada konfiguriemo klijenta za razreavanje imena
(Name Resolution), mi time osiguravamo da oni mogu da komuniciraju sa drugim
kompjuterima koristei imena kompjutera. Da bi dva hosta mogla da komuniciraju
na mrei, MAC adresa svakog hosta mora da bude identifikovana. IP adresa je
udruena sa MAC adresom, a ime kompjutera je udrueno sa IP adresom.
Razreavanje imena (Name Resolution) je proces dobijanja IP adrese koja je
udruena sa imenom kompjutera. Poznavanje razliitih metoda za razreavanja
imena kompjutera moe da vam umnogome pomogne u odraivanju ovih
administrativnih zadataka.

Tokom instaliranja DNS-a potrebno je da mrenim adapterima dodelimo


statike adrese kako bi funkcionisanje DNS-a bilo korektno.

Biramo IP adresu servera na 192.168.0.1 i subnet maska 255.255.255.0.

Aktivni direktorijum se uva u fajlu NTDS.DIT. u direktorijumu NTDS a


direktorijum SYSVOL sadrati sve podatke koji se repliciraju na druge kontrolere
domena. Ove foldere moemo i promeniti.

Sada je potrebno kreirati lozinku za evenntualne popravke oteene baze


Aktivnog direktorijuma. Zatim se pojavljuje prozor koji sadri spisak svih opcija
koje smo izabrali.

Konano, pokree se proces kreiranja Aktivnog direktorijuma.

Postupak kreiranja Aktivnog direktorijuma se zavrava klikom na Finish.

Administrativne alatke Aktivnog Direktorijuma


Windows Server 2008 poseduje mone i fleksibilne alatke koje nam olakavaju
administriranje jedne sloene i velike baze podataka kao to je to baza kod Aktivnog Direktorijuma.
Sve te alatke moemo podeliti na dve velike grupe i to:

Alatke za Aktivni Direktorijum iz paketa Windows Support Tools ove alatke veinom slue
za konfigurisanje, upravljanje i uklanjanje greaka u servisu Aktivnog Direktorijuma.

Administrativne konzole za Aktivni Direktorijum ove alatke se instaliraju automatski na


raunarima koji su konfigurisani kao kontroleri domena kada se instalira Aktivni
Direktorijum. Administrativne konzole mogu biti instalirane i na drugim serverima, ali za to
nam je potreban opcioni paket

Administrative Tools. Na taj nain omogueno nam je da vrimo administriranje Aktivnog


Direktorijuma i sa raunara koji nisu kontroleri domena. Na raspolaganju su nam sledee
administrativne konzole:
Active Directory Domains And Trusts ova konzola obezbeuje interfejs za upravljanje domenima i
odnosima poverenja izmeu uma i domena. To znai da uz pomo ove konzole moemo da
obezbedimo interoperatibilnost sa drugim domenima, promenimo funkcionalni nivo domena (reimi
domena), promenimo funkcionalni nivo ume, da dodamo ili uklonimo alternativne sufikse glavnog

korisnikog imena (UPN) koje se koriste za pravljenje korisnikih imena i da prenesemo glavnu ulogu
za operaciju imenovanja domena sa jednog kontrolera domena na drugi.
Active Directory Sites And Services pomou ove konzole Aktivnom Direktorijumu se daju
informacije o fizikoj konfiguraciji nae mree. Te informacije Aktivni Direktorijum koristi da bi
mogao da odredi kao da vri repliciranje direktorijuma izmeu kontrolera domena.
Active Directory Users And Computers kao to samo ime ove konzole kae ona nam omoguava da
dodamo, izmenimo, obriemo i organizujemo korisnike naloge, raunarske naloge, bezbedonosne i
distributivne grupe i prijavljene resurse u okviru naeg domena.Takoe vam omoguava da
upravljamo i kontrolerima domena kao i organizacionim jedinicama.
Active Directory Schema Ova konzola je takoe na raspolaganju raunaru konfigurisanom kao
kontroler domena, ali je potrebno da se naknadno instalira iz komandne linije. Ovaj postupak je
zamiljen tako, da bi se izbeglo sluajno menjanje eme. Prema tome osnovni zadatak ove konzole je
da pregledamo i menjamo emu Aktivnog Direktorijuma.