POJAM KORISNIKOG NALOGA

Korisniki nalog predstavlja zapis koji obuhvata sve informacije koje definiu korisnika u
sistemu mrenog operativnog sistema. Ove informacije ukljuuju korisniko ime i lozinku koji su
potrebni da bi se korisnik prijavio na sistem, grupe iji je korisniki nalog lan i prava i dozvole koje
korisnik ima za pristupanje mrenim resursima.
Korisniki nalog prua korisniku mogunost da se prijavi na raunar kako bi dobio pristup
resursima na tom raunaru, kao i da se prijavi na domen kako bi dobio pristup resusima mree gde se
taj domen nalazi.
U Windows Server 2008 razlikujemo tri osnovna tipa korisnikih naloga:

Lokalni korisniki nalozi Lokalni korisnik bude onaj koji se lokalno prijavljuje na radnu
stanicu ili na server. Kada se pravi lokalni korisniki nalog on se formira samo u
bezbedonosnoj bazi podataka raunara na kome se pravi i ta se baza naziva lokalnom
bezbedonosnom bazom podataka. Informacije iz te baze se ne repliciraju na kontrolere
domena u domenu.

Korisniki nalozi domena - Ovi nalozi omoguuju korisnicima da se prijave na domen i

dobiju pristup resursima bilo gde na mrei. Proces prijavljivanja se ovde ne razlikuje od
predhodnog sluaja jer i ovde korisnik daje svoje korisniko ime i lozinku. Korienjem ovih
informacija operativni sistem potvruje autentinost korisnika i zatim gradi token pristupa
(access token) koji sadri informacije o korisniku i bezbedonosne parametre i koji vai sve
vreme dok je korisnik prijavljen. Ovaj nalog se pravi unutar nekog skladita ili organizacione
jedinice u bazi podataka Aktivnog direktorijuma na kontroleru domena. Ta se informacija
obavezno replicira na sve ostale kontrolere domena iz domena, kako bi svi oni mogli da
provere autentinost korisnika prilikom prijavljivanja.

Ugraeni korisniki nalozi predstavljaju naloge koji se automatski prave od strane

operativnog sistema i obino su to dva naloga: Administrator i Gost (guest). Ugraeni
nalog Administrator koristi se da bi mogli da upravljamo celokupnom konfiguracijom
raunara i domena.Za ovaj nalog treba koristiti veoma sloenu lozinku koja se ne moe lako
razbiti i koju ne treba previe ljudi da zna. Namera drugog ugraenog naloga Guest je da
omogui korisnicima koji nemaju otvoren nalog, da se prijave i koriste mrene resurse.
Podrazumeva se da ovaj nalog nema nikakvu lozinku i da nije aktivan.

Kreiranje korisnika i grupa

Najpre emo napraviti korisnika ili grupu korisnika koji e upravljati domenom. Pokretanjem
alata Active Directory Domains and Trusts...

Zatim klik desnim tasterom mia na ime domena i biramo Properties...

Odabirom jezika Managed By i klikom na niz dugmeta Change Advanced - Find Now
biramo korisnika ili grupu. Biramo grupu Administrators jer e se ovde nalaziti korisnici koji e
upravljati domenom.

Klikom na dugme Properties i jeziak Members videemo korisnike koji se nalaze

u njoj.

Da bi kreirali novog novog korisnika, selektovaemo objekat u kojem

elimo da se to nalazi u ovom sluaju je to kontejneru Users, a zatim biramo New
iz menija Action ili preko desnog klika miem.

Pojavljuje se prozor sa sledeim okvirom.

Nakon popunjavanja trenih podataka biramo i lozinku za korisnika.

Poslednji korak potvruje sve informacije koje smo uneli, ukljuujui

kontejner gde e se nalog nalaziti, puno ime korisnika, ime za prijavljivanje (login)
i lozinku, kao i izabrane opcije naloga. Klikom na Finish i nalog je kreiran.

Nakon desnog klika na objekat novog korisnikog naloga vidimo nekoliko

opcija u padajuem meniju.

Odavde moemo da kopiramo nalog, upravljamo lanstvom u grupi,

onemoguimo ili omoguimo nalog, resetujemo korisnikovu lozinku, premestimo
nalog u drugi kontejner ili organizacionu jedinicu, otvorimo korisnikovu home

stranicu ili mu poaljemo mail. U ovom meniju moemo i da izaberemo da

obriemo nalog, ili da mu promenimo ime. Da bi prikazao sve informacije o
korisniku biramo Properties.

Ovde moemo dodati opis korisnikog naloga, dodati brojeve telefona, email adresu, adresu web stranice itd. Kartica Address sadri polja za korisnikovu
potansku adresu. Kartica Telephones nudi mesta za brojeve za kuni, mobilni,
faks, IP telefon i pejder, kao i mesto za unoenje komentara. Organization
kartica nudi polja za unos informacija o nazivu posla i poziciji u hijerarhiji firme.
Na ovim karticama se unose opte informacije o korisniku. U kartici Account
moemo da menjamo korisnikovo logon ime, ili UPN (Universal Principal Name)
sufiks.

U kartici Member Of odreujemo kojoj grupi pridruujemo. Korisnik Aleksa

Basta je automatski lan grupe Domain Users.

Ukoliko elimo da korisnika uinimo lanom jo neke grupe kliknuemo na

dugme Add i uneti ime grupe ili je ubaciti preko Advanced - Find Now. Recimo,
biramo grupu Print Operators.

Kreiranje grupa
Osim postojeih grupa, koje imaju ugraena prava i dozvole, moemo
kreirati i sopstvene grupe sa specifinim pravima.
Da bi kreirali novu grupu otvoriemo Active Directory Users and Computers
i u odreenom kontejneru, preko Action-New-Group, formirati grupu. Dajemo ime
grupi, ime nieg nivoa, oblast rada grupe i njen tip.

Globalne grupe u sebi mogu sadrati korisnike naloge i globalne grupe iz

istog domena, a tip grupe je sigurnosna (Security).
Nove korisnike dodajemo preko kartice Members u prozoru Properties za
grupu. Windows Server 2008 doputa da lanovi grupe budu korisnici, druge
grupe pa ak i raunari. lanovi grupe mogu da dolaze i iz razliitih
organizacionih jedinica.

Dodela prava
Korienjem Group Policy (grupnih naela) kontroliemo ko e u serveru
dobiti koja prava. Administratori konfiguriu i primenjuju grupna naela tako to
grade objekte grupnih naela (Group Policy Object GPO). GPO su kontejneri za
grupe parametara (naela) koji se mogu primeniti na korisnike i grupe na mrei.
Organizacione jedinice (organisation unit - OU) su logiki kontejneri u
domenu. One mogu da sadre korisnike, grupe, raunare i druge OU, ali samo iz
svog kunog domena. Globalne grupe, ili raunare iz drugog domena ne mogu se
smestiti u OU lokalnog domena. OU su samo za administraciju. Administratori
mogu da kreiraju i primenjuju grupna naela na OU, a mogu i da delegiraju
kontrolu nad OU.
Pomou grupnih naela moe se obaviti:

Objavljivanje ili dodeljivanje softverskih paketa korisnicima ili raunarima

Dodeljivanje Start-up, Shut Down, Log On i Log Off skriptova

Definisanje lozinke, zakljuavanje i revizija naela za domen

Standardizacija mnogih drugih parametara bezbednosti za udaljene raunare

Definisanje i nametanje parametara za Internet Explorer

Definisanje i nametanje ogranienja za korisnike stone raunare

Preusmeravanje odreenih fascikli iz korisnikih profila na neku centralnu lokaciju

Konfigurisanje i standardizacija parametara za nove mogunosti, kao to su offline fascikle,

disk quote,ak i sam Group Policy

Upravljanje dozvolama
Jedna od najbitnijih komponenta svakog servera je njegova sposobnost za
deobu fajlova. Deobu (sharing) fascikli moemo vriti iz Windows Explorera.
Deliemo fasciklu Izvodi koja se nalazi na Desktop-u: desni klik na fasciklu
Properties i kliknemo na dugme Advanced Sharing... Dobijamo prozor u kome
treba uneti ime pod kojim e se ovaj deljeni folder videti u mrei i dozvole za
pristup.

Sada odreujemo ko e imati pristup deljenom objektu i koje vrste dozvola.

Ovo se radi preko dozvole za deobu (share permission) i dozvole za fajlove i
direktorijume (file and directory permissions). U prozoru gde se aktivira deljenje
kliknuemo na dugme Permissions. Vidimo da grupa Everyone ima prava Read
(itanja).

Dodaemo korisnika Aleksa Basta i dodeliti pravo da moe menjati deljeni

dokument potvrivanjem opcije Change.

U folderu Izvodi nalazi se fajl Izvod 20.3.2010 Intesa koji sadri

tekstualne podatke. Ovom fajlu postavljamo njegove dozvole preko desnog klika i
opcije Properties. I tu dodajemo prava za korisnika Aleksa Basta.