Académique Documents
Professionnel Documents
Culture Documents
Cursul 1
Sumarul cursului:
- elemente de reţele
- familia Windows 2000
- TCP/IP
- server DHCP
- Active Directory, discurile
- users, profile, grupuri
- foldere, fişiere, drepturi NTFS, share
- DFS (Distributed File System)
- politica de auditare
- terminal services
- regiştrii
- imprimante
- back-up
- instalare
- performanţele sistemului
- Internet Protocol Security
Reţelele deschise (Open Network) reprezintă o reţea care acceptă toate tipurile de componente
hard şi soft. Se mai numesc şi reţele multivendor (acceptă produse de la producători diferiţi).
Avantajele reţelelor:
- partajarea informaţiilor, ceea ce permite lucrul în echipă şi lucrul de la distanţă
- partajarea resurselor şi perifericelor
Dezavantaje:
- resursele trebuiesc partajate şi administrate
- datele trebuiesc protejate iar sistemul trebuie securizat
Reţelele mari
Novell - a creat platforma Novel
- sistem de operare: NetWare v. 6.0
- serviciul de directoare: NDS (NetWare Directory Service)
- protocol de comunicaţie: IPX/SPX
Unix – a creat platforma Unix
Pagina 1 din 51
Curs administratori de reţele Windows 2000
- sistem de operare: Linux
- staţii Sun
- protocol de comunicaţie: TCP/IP
Macintosh – creat de firma Apple
- sistem de operare: MacOS
- protocol de comunicaţie: AppleTalk
Microsoft – a creat platformele Windows NT 4, Windows 2000 şi Windows 2003
- serviciul de directoare: Active Directory
- protocol de comunicaţie: TCP/IP
Mediile de transmisie
1. medii cu cale fixă (ghidate)
- folosesc cablările obişnuite: coaxiale, torsadate UTP/UTI5 şi fibre optice
2. medii fără cale fixă (neghidate)
- folosesc atmosfera şi spaţiul cosmic
Dispozitivele de emisie-recepţie
1. placa de reţea (adaptorul de reţea)
2. repetorul
3. hub-ul şi switch-ul
4. modemul
5. dispozitivele speciale de emisie-recepţie
1.placa de reţea
- este placa care asigură comunicarea între staţie şi reţea
- poate fi internă sau portabilă
- se conectează la reţea prin BNC (British Naval connector) în cazul cablului coaxial
sau prin conectorul RJ-45 în cazul cablului torsadat UTP/UTI5
2.repetorul
- preia semnalul şi-l retransmite
- se foloseşte pentru distanţe mai mari de 700 de metri
3.hub-ul şi switch-ul
- reprezintă punctul comun de conexiune între calculatoare
- tipurile noi au memorie şi procesor propriu
4.modemul
- modulator-demodulator pentru semnalul telefonic
5.dispozitivele speciale
- reprezintă dispozitive pentru diferitele medii de transmisie
Topologiile de reţea
- se referă la modalităţile de configurare ale reţelelor
- au o componentă fizică – schema fizică de conectare a dispozitivelor de mediu – şi o
componentă logică – schema electronică de comnunicare a dispozitivelor de mediu
Pagina 2 din 51
Curs administratori de reţele Windows 2000
Topologiile fizice
- sunt de trei feluri: bus, stea şi inel
topologia bus
topologia stea
hub
hub hub
topologia inel
hub
Topologiile logice
topologiile bus:
- funcţionează cu topologie fizică bus sau stea
- semnalul este transmis în toate direcţiile
- fiecare staţie recepţionează semnalul
- prezintă două metode pentru accesul la mediu:
o metoda concurenţei sau a coliziunilor detectate CSMA/CD (Carrier Sense
Multiple Access with Collision Detection)
o metoda jetonului pasat Token-Passing
topologiile inel:
- funcţionează cu topologie fizică inel
- metoda TokenRing
Pagina 3 din 51
Curs administratori de reţele Windows 2000
topologiile stea:
- switching (comutare de reţea)
- funcţionează numai cu topologie fizică stea şi numai cu switch-uri
- transmite semnalul direct la staţia de destinaţie
Tehnologia Ethernet
- este o topologie fizică de bus sau de stea
- foloseşte o topologie logică bus CSMA/CD cu hub
Tehnologia TokenRing
- foloseşte o topologie fizică inel şi logică inel
Softuri de comunicaţie
- trebuie să transfere date între 2 calculatoare de orice tip, orice fel de format de date, în
aceeaşi reţea sau între reţele diferite
- Open Systems Interconnections (OSI) elaborat de International Standards
Organization (ISO), este o colecţie de linii directoare pentru dezvoltarea de standarde
de comunicaţie
- un standard de comunicaţie specifică serviciile de comunicaţie şi protocoalele care se
vor folosi (reprezintă,de fapt, un set de servicii de comunicaţie)
- protocolul este un set de reguli urmate de dispozitivele de reţea pentru a comunica
între ele (conţine proceduri, funcţii şi coduri de control)
- modelul OSI are şapte nivele:
7. APPLICATIONS (aplicaţii)
- entitatea de bază = mesaje
- sunt încorporate servicii pentru aplicaţie – acţiuni şi resurse
6. PRESENTATIONS (prezentări)
- entitatea de bază = pachete de date
- pachetele de date se transformă în date criptate
5. SESSIONS (sesiuni)
- entitatea de bază = pachete de date
- funcţii pentru conexiuni user
- aici se grupează pachetele
4. TRANSPORTATION (trasport)
- entitatea de bază = segmentul de reţea
- izolează partea de user (7, 6, 5) de partea de reţea (3, 2, 1)
- urmăreşte siguranţa legăturii şi erorile la nivel de pachete
3. NETWORK (reţea)
- entitatea de bază = cadre (diagrame sau frame-uri)
- stabileşte routarea şi conexiunile de reţea
- pachetele sunt împărţite în cadre de date
2. DATA LINK (legături de date)
- entitatea de bază = cadre
- prezintă funcţii care urmăresc siguranţa legăturii fizice de la nivelul 1 şi
erorile la nivel de cadre
- funcţii care urmăresc curgerea şirului de biţi
1. PHYSICAL (fizic)
- entitatea de bază = şirul de biţi
- transport de şir de biţi, amplitudine semnal, durată semnal, etc.
Pagina 4 din 51
Curs administratori de reţele Windows 2000
Protocoale
- la nivelele 6 şi 7: FTP, X400, SAP, FTAP, VTM
- la nivelul 5: TCP
- la nivelul 4: TCP, TP, SPX (Novell), AppleTalk, IBM NetBios
- la nivelu 3: IPX, SPX, X25, AppleTalk
- la nivelul 2: IEEE 802.2, PPP
- la nivelul 1: IEEE 802.3, IEEE 802.4, IEEE 802.5, FDDI, SONET (pentru fibre
optice)
- trebuiesc cunoscute cele şapte nivele OSI, precum şi cu ce se ocupă fiecare
Legătură A Legătură
Date A P S T R R T S P Date
de date de date
Cursul 2
14 Mai 2003
Internetworking (interreţea)
Dispozitive folosite
- dispozitivele folosite într-o interreţea sunt bridge-urile, routerele şi gateway-urile
- ne permit transferul de date între două reţele cu adrese diferite de reţea
- aceste dispozitive pot fi harduri, softuri sau combinaţia lor (de ex. routerul poate fi un
soft sau poate fi componentă hard, iar în acest caz se numeşte router dedicat )
- routerele soft pot aparţine sistemului de operare, dar rulează numai pe server
Bridge-ul (puntea)
- lucrează la nivelul 2 din OSI (data link)
Data link
R1 R2
Fizic Fizic
Routerul
- lucrează la nivelul 3 din OSI (network)
Reţea
Data Data
R1 R2
Fizic Fizic
Pagina 6 din 51
Curs administratori de reţele Windows 2000
Gateway-ul
- lucrează la toate nivelurile OSI
- le folosim când dorim să comunicăm între două calculatoare de arhitectură diferită
Aplicaţie Aplicaţie
Prezentare Prezentare
Sesiune Sesiune
R1 Transport Transport R2
Reţea Reţea
Legătură Legătură
de date de date
Fizic Fizic
SERVER
Placa A1
Placa A2
A1 A1
A1 HUB A1
A1 A1
Router
SERVER
Placa A1
Placa A2
C1 C1
C2 HUB HUB C2
Router
dedicat
C3 Server 1 Server 2 C3
C1 C1
C2 HUB HUB C2
C3 C3
Pagina 7 din 51
Curs administratori de reţele Windows 2000
Windows 2000 Server
- conţine aproximativ 40 de milioane de linii de cod
- este de fapt un upgrade la NT 4
- critici la adresa NT 4: probleme la configuraţia de domeniu, la numărul de useri
(maxim 1000) ceea ce nu permitea legarea la Internet şi nu permitea rularea
aplicaţiilor WEB
- nu executa defragmentarea
- familia Windows 2000 este compusă din 4 softuri, 3 pentru server şi unul pentru staţii:
- Windows 2000 Server
- Windows 2000 Advanced Server
- Windows 2000 DataCenter Server
- Windows 2000 Professional
Pagina 8 din 51
Curs administratori de reţele Windows 2000
Proprietăţile Windows 2000
- la achiziţionarea unui sistem de operare în reţea trebuie să verificăm patru
componente: securitatea, serviciul de directoare, performanţa şi comunicaţiile şi
serviciile de reţea
- securitatea
- autentificarea (recunoaşterea userului) se face prin nume şi parolă
- drepturile de acces se acordă la nivel de catalog şi la nivel de fişiere
- protocolul de bază este KERBEROS şi se foloseşte pentru autentificare, moştenire
drepturi şi relaţii de încredere tranzitive
- servicii de autentificare cu cheie publică
- codificarea fişierelor (sistemul EFS – encrypting file system)
- performanţa
- poate fi extinsă la 10 milioane de obiecte
- permite cote de procesor pentru aplicaţii şi cote de disc pentru useri
- lucrează cu trei sisteme de fişiere: FAT 16, FAT 32 şi NTFS versiunea 5
- permite criptarea fişierelor
- permite plug-and-play
- există un fişier denumit HCL.txt care conţine lista tuturor componentelor acceptate de
sistemele Windows 2000
Modele de reţele
Hardware
-
- orice sistem de operare este modular
- Windows 2000 are un mod user şi un mod kernel
- modul user are 2 componente: environment subsystem şi integral subsystem
- API reprezintă Application Programming Interface
- cu ajutorul API aplicaţiile comunică cu sistemul de operare
Aplicaţie
Subsistem
Executiv
Pagina 10 din 51
Curs administratori de reţele Windows 2000
- fiecare aplicaţie are un API scris pentru sistemul de operare pentru care a fost făcut
- POSIX (Portable Operating System Interface for Computer Environments) este un
API pe 32 biţi acceptat de UNIX
- Win32 este un API pentru Win 32, Win 16 şi DOS
- OS/2 este un API pe 16 biţi pentru OS/2
- aplicaţiile pornite din environment nu accesează direct hardul şi driverele
- nu au acces la clipboard
- nu pot depăşi memoria alocată
- la partea de integral subsystem avem funcţii de securitate de reţea şi servicii de reţea
- modul Kernel (nucleu)
- componentele au acces direct la date, la memorie şi la hard
- toate procesele se execută cu memorie protejată
- are patru componente: executivul, device drivers, microkernel şi HAL
- la executiv sunt managerii şi operatorii de intrare-ieşire
- există două funcţii distincte: servicii sistem şi rutine interne
- serviciile sistem pot fi apelate de user şi de alte componente din executiv
- rutinele interne pot fi apelate numai de executiv
- la device drivers se translatează apelurile de driver către hard şi invers
- microkernelul gestionează microprocesorul
- sincronizează activitatea executivului
- gestionează operaţiile de intrare-ieşire
- HAL este un strat care nu apare la celelalte arhitecturi
- apelează hardul
- tot aici este încorporat SMP-ul
- este un zid soft între hard şi drivere
- permite vizibilitatea numai către driverele standard, restul fiind ascunse sistemului
de operare
Pagina 11 din 51
Curs administratori de reţele Windows 2000
Cursul 3
19 Mai 2003
7 – Aplicaţie
6 – Prezentare Aplicaţie (TCP) FTP, Telnet, SMTP, DNS, HTTP
5 – Sesiune
4 – Transport Transport (TCP) TCP, UDP
3 – Reţea Internet (IP) IP, ARP, ICMP, IGMP, RIP
2 – Legătură de date
Reţea
1 – Fizic
Pachete TCP
Cadru IP (frame)
Cadru IP (frame)
Canale
Pagina 12 din 51
Curs administratori de reţele Windows 2000
Adrese utilizate în TCP/IP
- fiecare nod are o adresă IP, care este o adresă logică ce nu de depinde nici de placă,
nici de topologie nici de mediu
- adresa este alcătuită din patru octeţi separaţi printr-un punct
- din aceşti 4 octeţi, o parte identifică în mod unic segmentul de reţea, restul fiind
identificatorul nodului
- în cadrul unei reţele, adresa segmentului de reţea este identică la toate nodurile
acelei reţele
Clasele de adrese IP
clasa A
- primul bit din primul octet este 0
- 1 octet este partea de reţea
- 3 octeţi este partea de nod
0-127,x,y,z
adresă adresă de nod
de reţea
clasa B
- primii biţi din primul octet trebuie să fie 10
- 2 octeţi pentru reţea
- 2 octeţi pentru nod
128-191,x,y,z
adresă de reţea adresă de nod
clasa C
- primii biţi din primul octet trebuie să fie 110
- 3 octeţi pentru reţea
- 1 octet pentru nod
192-223,x,y,z
adresă de reţea
adresă de nod
Rezervări
- nodul 0 nu se foloseşte
- nu se pun toţi biţii 1 sau toţi biţii 0
- nu se foloseşte nodul 255 (este nodul de difuzare)
- adresele de buclă 127.0.0.0 şi 127.0.0.1 nu se folosesc
Adresele IP
- în Windows 2000 putem avea: adrese statice IP, adrese dinamice IP şi adrese automate
private IP
1. adresele statice IP
- sunt configurate de administrator
- trebuie configurate elementele: adresa IP, masca, adresa gate şi adresa serverului DNS
preferat
Pagina 13 din 51
Curs administratori de reţele Windows 2000
Adresa IP
- fiecare calculator trebuie să aibă aceiaşi adresă de reţea
Masca
- separă adresa de reţea de adresa de nod
- se scrie pe 4 octeţi
- şirul de 1 de la început reprezintă partea de reţea, de la primul 0 care apare avem
partea de host
adresă IP 154.214.1.100
mască 255.255.0.0
Adresa gate
- este adresa porţii de ieşire
- în cazul reţelei din sala de curs, serverul reprezintă poarta de ieşire
Adresa serverului DNS
- nu este necesar ca controllerul să fie server DNS
- putem avea mai multe servere DNS într-o reţea
Adresele hibride
- deoarece adresele de reţea furnizează cele mai puţine adrese host, putem folosi şi
jumătate din al treilea octet pentru a configura o adresă host
- să presupunem că avem o adresă IP 192.168.121.2 şi masca 255.255.248.0
- al treilea bit din adresa IP se transcrie în binar ca 01111001 ceea ce înseamnă că adresa
host începe la al şaselea bit
- dacă rescriem cel de-al treilea octet ca valoare minimă, obţinem 01111000 adică 120,
iar ca valoare maximă avem 01111111 adică 127
- în acest caz domeniul nostru IP se întinde de la 192.168.120.0 la 192.168.127.254,
adică se măreşte de şapte ori numărul de hosturi
C1
C2
C3
……………………………
C7
- deoarece 248 se transcrie în binar ca 11111000, înseamnă că primii cinci biţi sunt
adresă de reţea, restul de host
Exerciţiu
- avem adresa IP 192.178.154.12 şi masca 255.255.240.0
- ce adrese pot să dau calculatoarelor ca să am o reţea şi care este adresa de reţea?
Rezolvare
- transpunem în binar octetul al treilea al măştii
- 240 înseamnă 11110000, deci patru biţi sunt adresă de reţea
- al treilea octet din adresa IP este 154, deci 10011010
- primii patru biţi din 154 urmaţi de cifre de 0 reprezintă 10010000 adică 144
- primii patru biţi din 154 urmati de cifre de 1 reprezintă 100011111 adică 159
- domeniul nostru host cuprinde
192.178.144.1 până la 255
192.178.145.1 până la 255
192.178.146.1 până la 255
.........................
192.178.159.1 până la 255
Pagina 14 din 51
Curs administratori de reţele Windows 2000
2. adresele IP dinamice
- sunt adrese care se obţin automat de la un server DHCP (Dynamic Host Configuration
Protocol)
- DHCP este încorporat şi în Windows 2000, dar trebuie instalat
- DHCP conţine o componentă DHCP Relay Agent care oferă adrese chiar şi staţiilor
din alte reţele
3. adrese IP automate
- se bazează pe mecanismul Automate Private IP Address
- intră în funcţiune automat dacă în reţea nu avem instalat un server DHCP
- se generează adrese de clasă B începând de la 169.254.x.y
- nu generează adrese de gateway
- se foloseşte la pornirea staţiilor
Utilitarele TCP/IP
- cu comanda PING testăm conectivitatea cu alt calculator sau cu propria placă de reţea
- comanda IPCONFIG verificăm configuraţia şi aflăm adresa noastră MAC
- comanda ARP (Address Resolution Protocol) ne oferă informaţii despre adrese
rezolvate
- NBTSTAT ne oferă statistici de protocol şi despre conexiunea TCP/IP prin NetBios
- ROUTE administrează tabela locală de rutare
- comanda HOSTNAME afişează numele local al calculatorului
- TRACERT (Trace Route) afişează traseul unui pachet IP până la destinaţie
- FTP (File Transfer Protocol) transferă fişierele la şi de la un host care rulează un
serviciu de fişiere
- TFTP (Trivial File Transfer Protocol) este similar cu FTP dar nu oferă servicii de
autentificare user
- cu comanda Telnet emulăm un terminal
- RCP – remote copy – copiază fişiere între un host RCP şi un un cliet oarecare
- RSH – remote shell – rulează comenzi pe Unix
- Rexec este o comandă ce rulează comenzi şi aplicaţii pe hosturi îndepărtate
- Finger oferă informaţii despre un user dintr-un host, având sintaxa: finger[user]@
hostname
Comanda PING
- sintaxa: ping adresă IP sau nume calculator
- ex: dacă nu primim răspuns la ping INFO38 atunci încercăm ping 192.168.1.38
Comanda IPCONFIG
- cu sintaxa: ipconfig /all aflăm informatii despre propria placă de bază, incluzând
adresa MAC
- cu sintaxa: ipconfig /registerdns reiniţializăm legătura cu serverul DNS în cazul în
care am pierdut legătura
Pagina 15 din 51
Curs administratori de reţele Windows 2000
Testarea conectivităţii
- lansăm comanda ipconfig /all
- ping 127.0.0.1 pentru testarea conectivităţii cu propria placă de bază
- ping către propria adresă IP şi către o adresă IP vecină
- ping către gate
- ping către o adresă remote
Comanda NET
- cu comenzile net config workstation şi net config server obţinem informaţii despre
serviciile de conectivitate, inclusiv despre adresa MAC
Alte protocoale
NWLINK IPX/SPX NetBios
- este protocolul Novell-ului
- îl folosim când dorim să ne conectăm la o reţea Novell
- în novel adresa este compusă dintr-un frame type, un network number şi un internal
network number
- network number este unic pe segment pentru tipul de frame
- instalarea se face parcurgând calea: My Network Places -> Properties -> Network and
Dial-up Connections -> Local Area Connection -> Properties-> Instal -> Protocol ->
Add...
NetBEUI
- este un protocol mai vechi
- nu este rutabil
- permite până la 255 de noduri
AppleTalk
- se foloseşte la conectarea cu reţele Macintosh
Pagina 16 din 51
Curs administratori de reţele Windows 2000
Cursul 4
21 Mai 2003
Active Directory
SCHEMA
- este definirea formală a tipurilor de obiecte care pot fi definite în Active Directory
(useri, grupuri, foldere, imprimante)
- prima schemă se crează automat, la instalarea Active Directory
- pentru modificarea schemei avem la dispoziţie următoarele unelte: Schema Manager,
ADSI (Active Directory Service Interface) care reprezintă o interfaţă pentru API-urile
programelor care modifică schema, precum şi utilitare care se lansează din linia de
comandă şi instrumente de programare (C, C++, Visual Basic şi parţial Java)
- schema este integrată în Active Directory, ceea ce înseamnă că nu este necesară
restartarea computerului în cazul modificării schemei
- datorită ADSI putem integra şi aplicaţiile de schemă
Pagina 17 din 51
Curs administratori de reţele Windows 2000
- ADSI poate fi folosit şi în Windows NT şi Novell, şi în general la orice reţea unde
serviciul de directoare se bazează pe protocolul LDAP (Lightweight Directory Access
Protocol)
ANVERGURA (scope)
- reprezintă extinderea pe care o poate lua Active Directory
- poate cuprinde milioane de obiecte
PARTIŢIA
- Active Directory este împărţită în mai multe contexte de nume (partiţii)
- o partiţie reprezintă un domeniu
CATALOGUL GLOBAL
- este un serviciu şi un centru de stocare
- conţine informaţii despre obiecte şi locul lor, dar numai acele informaţii care sunt des
folosite în căutări
- intră în procesul de replicare normală
- la crearea unui domeniu se crează în mod automat şi un catalog global
- nu este necesară existenţa unui catalog global pe fiecare controller (catalogul global se
poate dezactiva)
OBIECTELE (object)
- obiectele Active Directory pot fi utilizatori, imprimante, etc.
- fiecare obiect are un set de atribute care îl definesc
- însăşi descrierea obiectului este tot un obiect
- fiecare user în parte reprezintă un set de atribute din această descriere
- când se crează un obiect, acesta este creat cu nişte parametri formali, adică nişte
atribute implicite
Pagina 18 din 51
Curs administratori de reţele Windows 2000
DOMENIUL (domain)
- este nucleul structurii logice din Active Directory
- reprezintă o zonă care are aceiaşi politică de securitate
- fiecare obiect aparţine unui domeniu
- pentru Active Directory ce nu este în domeniu, nu există
- domeniile pot cuprinde sau nu alte domenii
- domeniul poate fi denumit şi partiţie
info
edu.info prog.info
2) Scalabilitatea
- anvergura permite milioane de obiecte
- acestea sunt stocate distribuit pe mai multe calculatoare
- serverul de căutare localizează rapid obiectele
- datorită replicării obiectele nu se pierd în cazul în care cade unul dintre controllere
info
edu.info
OU Lectori
user Eliza
- HTTP: http://domeniu/cale
5) Securitatea
REPLICAREA
- replicarea multimaster are loc la intervale regulate de timp la nivel de Active Directory
- replicarea imediată are loc la nivelul catalogului global
PROTEJAREA OBIECTELOR
- obiectele sunt protejate cu ajutorul listelor ACL (Access-Control List)
- pentru fiecare obiect apar userii care au acces la obiectul respectiv
- ACL este format din nişte valori binare ataşate obiectului
DELEGAREA DREPTURILOR
- putem delega drepturi de administrare la useri la nivel de OU
Pagina 20 din 51
Curs administratori de reţele Windows 2000
MOŞTENIREA DREPTURILOR
- automat drepturile sunt moştenite de sus în jos dacă nu intervine administratorul
Cursul 5
26 Mai 2003
Test
- la conectarea la o reţea Novell, trebuie instalat nu numai protocolul NWSLink, ci şi softul Client for
NetWare
Controllere
- există două tipuri de controllere: IDE/EIDE şi SCSI
- IDE (Integrated Device Electronics) a apărut în 1989
- IDE a fost primul controller integrat pe hard disc şi putea controla 2 discuri de 500 Mb
- EIDE (Enhanced Integrated Device Electronics) putea controla 4 discuri
- controllerele IDE/EIDE sunt utile mai ales la calculatoarele cu o singură unitate de
disc
- pot lucra şi cu 4 discuri, dar nu concomitent, prin urmare sunt utile mai ales la staţii
sau la mirroring
- SCSI (Small Computer System Interface) a fost aplicat de Apple pentru comunicarea
cu perifericele
- este o magistrală de comunicaţii
- ştie să lucreze cu mai multe unităţi de disc, cu imprimante, cu unităţi CD etc., până la
14 dispozitive hard
- lucrează concomitent cu aceste dispozitive, prin urmare viteza de prelucrare a datelor
creşte odată cu creşterea numărului de dispozitive
- ulterior au mai apărut controllerele SCSI 2, FAST SCSI, WIDE SCSI
- de la versiunea SCSI 2 în sus, pot prelua până la 256 de comenzi simultan, după care
lucrează independent
Controllere inteligente
- controlează propria acţiune
- controlează relaţiile dintre discuri
- efectuează autonom chiar mai multe operaţii şi eliberează procesorul
- pot să prevadă o viitoare defectare
- au toleranţă la defecte
Pagina 21 din 51
Curs administratori de reţele Windows 2000
Comasarea unităţilor de disc
- controllerul prezintă sistemului de operare mai multe discuri ca pe o singură unitate
Toleranţa la defecte
- strategiile realizate cu matrice de discuri ieftine (sistemele RAID – Redundant Array
of Inexpensive Disks) reprezintă o modalitate de configurare a discurilor şi stocare a
datelor
- sistemele uzuale sunt RAID 0, RAID 1, RAID 3 şi RAID 5
RAID 0
- lucrează prin comasarea unităţilor de disc
- este lucrul pe benzi (disk striping)
- sistemul de operare vede un singur disc
- nu are toleranţă la erori
RAID 1
- este lucrul cu oglindire (mirroring) sau duplicare
- fiecare unitate de disc este dublată cu alta
- datele se scriu în două locuri simultan
- la defectarea unui disc, oglinda acestuia îi ia automat locul
- în Windows Explorer nu vedem oglinda
- are toleranţă mărită dar pierdem 50% din spaţiul disponibil
RAID 3
- este lucrul cu paritate
- avem nevoie de minim 3, maxim 14 discuri
- un disc este reţinut pentru informaţiile de paritate
- unitatea de paritate, pe baza unui algoritm, urmăreşte corectitudinea scrierii pe
celelalte discuri şi notează informaţiile necesare refacerii discurilor
- în cazul defectării unui disc, unitatea de paritate reface fişierele pierdute, utilizatorul
sesizând eventual doar diferenţa de viteză la afişarea datelor
RAID 5
- reprezintă lucrul în fâşii
- informaţiile de paritate sunt stocate pe discurile reale în fâşii
- avem nevoie de minim 3 discuri
- la 3 discuri, fiecare disc este împărţit în 3, o treime reprezentând informaţiile de
paritate şi două treimi informaţiile reale
Achiziţionarea discurilor
- la achiziţionarea discurilor trebuie să ţinem cont de:
- producător
- tipul interfeţei: IDE sau SCSI
- timpul de acces să nu fie mai mare de 7-8 milisecunde
- garanţia preferabilă minim 3 ani
- capacitatea
- conectabilitatea la cald: poate fi înlocuit în timpul funcţionării
- atenţionarea anticipată
- executarea operaţiilor de autoîntreţinere
Pagina 22 din 51
Curs administratori de reţele Windows 2000
Windows 2000
- permite orice fel de disc, maximum 32 de unităţi de hard disc
- discurile pot avea două tipuri de structură: de bază sau simple (basic) sau discuri cu
structură dinamică (volumul se întinde pe mai multe discuri)
- formatarea se face la FAT, FAT32 sau NTFS versiunea 5
- discul se poate converti de la FAT sau FAT32 la NTFS cu comanda convert din
command prompt
- sistemul de fişiere FAT se foloseşte la sistemele de operare Windows 95 şi DOS
- sistemul de fişiere FAT32 se foloseşte la Windows 95 OSR 2 şi Windows 98
- sistemul de fişiere NTFS v.5 este folosit de Windows 2000 şi ulterioare
- la sistemele FAT şi FAT32 tabelele de alocare au cel puţin două copii pe hard
- la NTFS avem MFT (master file table) şi metadata
Hard discul
- trebuie iniţializat la o structură
- trebuiesc create partiţii sau volume
- trebuie formatat la sistemul de fişiere dorit
Structura BASIC
- este standard industrial
- discul este împărţit în partiţii
- o partiţie este o porţiune dintr-un disc privită ca o unitate independentă
- avem partiţii primare şi partiţii extinse
- pe un hard putem avea 4 partiţii din care 1 poate fi extinsă şi trei primare
- între partiţiile primare avem 1 activă pe care există fişierele de bootare
- partiţiile primare folosesc la izolarea sistemului de operare pentru bootarea duală
- partiţia extinsă nu se formatează şi nu primeşte extensie de drive ci se împarte în
segemnte (drive-uri logice) care primesc o literă de drive
- partiţia boot poate fi o partiţie primară sau un drive logic
Structura dinamică
- se crează din discuri de bază
- avem o singură partiţie şi aceasta se împarte în volume
- un volum este o parte dintr-un disc sau de pe mai multe discuri care lucrează ca un
hard independent
- discul dinamic se obţine dintr-un disc de bază cu comanda upgrade fără pierdere de
date
- cu comanda revert se trece la disc de bază dar cu pierdere de date
Volumele simple
- sunt localizate pe un singur disc
- nu sunt tolerante la erori
- se obţin din partiţii
- cu comanda upgrade sau create volum se obţine volum simplu din fiecare partiţie
Pagina 23 din 51
Curs administratori de reţele Windows 2000
- un volum simplu se poate extinde pe acelaşi disc sau pe mai multe discuri, iar în acest
caz obţinem un volum distribuit
Volume oglindite
- pentru un volum oglindit avem nevoie de două discuri
Volume distribuite
- se întind pe maximum 32 de discuri
- ele se completează pe rând
- sistemul de operare vede volumul ca un singur disc
- nu sunt tolerante la erori
volum 1 volum 4
DISC 1
volum 2 volum 4
DISC 2
Aşa vede sistemul de
operare volumul V4
volum 3 volum 4
DISC 3
Volumul pe benzi
- este un volum care se extinde pe maximum 32 de discuri
- sistemul de operare scrie datele în fâşii de 64 de Kb simultan pe toate discurile
- fiecare fişier este împărţit în fâşii de 64 Kb şi scris pe mai multe discuri
Volumul RAID 5
- este un volum cu fâşii de paritate
Criterii generale
- pe laptop putem avea numai discuri de bază şi numai partiţii primare
- într-un sistem de bază putem avea două structuri (un hard basic şi unul dinamic)
- se recomandă ca sistemul de operare de reţea să fie basic sau dinamic cu toleranţă la
erori
- Windows 2000 nu tolerează compresia de disc
Avantaje NTFS
- putem stabili acces la nivel de fişier
- avem posibilităţi de criptare
- putem crea cote de disc
- putem comprima date
Pagina 24 din 51
Curs administratori de reţele Windows 2000
Cursul 6
28 Mai 2003
- există trei feluri de useri: user local, user de domeniu şi user implicit
Userii locali:
- se crează pe un singur calculator
- se reţin în Local Security Database
- oferă dreptul de acces pe un singur calculator
Userii de domeniu
- oferă dreptul de acces în reţea
- se reţin în baza de date din Active Directory
- la logare sunt verificaţi de sistemul de operare şi se crează un access token (jeton
pentru acces în sistemul de securitate) pe durata sesiunii de lucru
Userii impliciţi
- sunt de două feluri: administrator şi guest
- pot fi redenumiţi dar nu pot fi şterşi
- administratorul are drepturi depline
- contul guest are drepturi puţine
- implicit este dezactivat
- pentru fiecare user trebuie să stabilim un nume de logare şi o parolă (fără semn de punctuaţie)
- numele de logare este case-sensitive
- trebuie să stabilim o politică de acordare useri
- parola este case-sensitiv şi poate avea o lungime maximă de 128 de caractere (se recomandă 8)
- parolele sunt invizibile chiar şi pentru administrator
Pagina 25 din 51
Curs administratori de reţele Windows 2000
Soluţia standard pentru profile
- creem userii fără completarea profilurilor şi un catalog în care vor fi stocate profilul
- ne logăm ca unul dintre useri şi îi configurăm profilul
- apoi ne logăm ca administrator
- la proprietăţile userului cu profil creat introducem calea către catalog
- la System Properties, User Profiles selectăm userul respectiv şi executăm click pe
Copy To... şi introducem calea către catalog
- la Permited to use selectăm ceilalţi useri
- la proprietăţile fiecarui user introducem calea către catalog
Profilul roaming
- este un profil comun pentru mai mulţi utilizatori
- se prescurtează RUP (Roaming User Profile)
Profilul mandatar
- este un profil roaming read-only
- userul poate să schimbe profilul dar acesta nu se salvează la închiderea sesiunii
- se prescurtează MUP (Mandatory User Profile)
- se crează un profil roaming, se intră ca şi administrator şi se modifică fişierul
NTUSER.DAT în NTUSER.MAN
Pagina 26 din 51
Curs administratori de reţele Windows 2000
Cursul 7
2 Iunie 2003
Userii de domeniu
- se crează la Administrative Tools -> Active Directory Users and Computers
- userul face parte în mod obligatoriu dintr-un domeniu
- dacă avem trei domenii
Informatica
Grupuri de useri
- se crează pentru probleme administrative
- acordarea drepturilor este mult mai simplă la nivel de grup decât la nivel de user
- există trei feluri de grupuri: locale, de domeniu şi implicite
- grupurile locale se crează din useri locali
- grupurile de domeniu se crează din userii de domeniu şi se reţin în baza de date din
Active Directory
- grupurile implicite se împart în două categorii: implicite locale şi implicite sistem
- grupurile implicite locale sunt cele pe care le găsim în secţiunea Builin din Active
Directory Users and Computers
- se folosesc pentru delegarea sarcinilor
- grupurile implicite sistem nu sunt afişate
- ele se văd doar în momentul acordării drepturilor
- everyone conţine toţi utilizatorii
- authenticated users conţine userii autentificaţi cu drept de folosire a poştei electronice
- creator owner reprezintă grupul proprietarilor, acei useri care pot crea un director, o
imprimantă sau o partajare
- network reprezintă utilizatorii care au acces la sistem printr-o conectare la reţea
- interactive sunt utilizatorii conectaţi de pe acelaşi calculator
- anonymous logon sunt utilizatorii neidentificaţi
- dial-up conţine utilizatorii cu drept de conectare prin dial-up
- system reprezintă utilizatorii care pot instala sistemul de operare
Pagina 27 din 51
Curs administratori de reţele Windows 2000
- membrii grupurilor de distribuţie globale fac parte din acelaşi domeniu dar pot primi
drepturi din alte domenii
domeniul A domeniul B
domeniul C
grup
global
- mebrii grupurilor de distribuţie locale fac parte din domenii diferite dar pot primi
drepturi numai din domeniul în care s-a definit grupul
domeniul A domeniul B
user din A
user din B
- membrii grupurilor de distribuţie universale pot face parte din orice domeniu iar
drepturile lor pot fi acordate din orice domeniu
- Windows 2000 permite crearea grupurilor consolidate, adică includerea unui grup în
alt grup
- grupul global poate fi membru al unui grup local, dar reciproca nu este valabilă
- un user poate face parte din oricâte grupuri
Profiluri de useri
- profilurile de useri sunt de 3 feluri: local, roaming (volant) şi mandatar
- profilul local este implicit
- profilul roaming este un profil unic indiferent de calculatorul de la care se conectează
userii
- este creat de către administrator
- se foloseşte atunci când dorim să creăm un profil unic pentru un grup de utilizatori
- profilul mandatar este un profil roaming modificat de către utilizator la logare, dar
care nu se salvează la închiderea sesiunii
- la profilurile roaming şi mandatar se foloseşte home directory în loc de my documents
- să presupunem că userul Eliza s-a logat de la trei calculatoare C1, C2 şi C3, iar pe
fiecare şi-a creat câte un profil L1, L2 şi L3
- pentru a crea un profil unic de reţea pentru useriţa Eliza, parcurgem următorii paşi:
Pagina 28 din 51
Curs administratori de reţele Windows 2000
- creem un catalog partajat
- la proprietăţile userului introducem calea catalogului partajat cu %username%
- ne conectăm pe C1, moment în care calculatorul face sincronizarea profilului L1 cu
cel de pe server, adică cu cel implicit
- la ieşirea de pe C1, pe server se salvează profilul L1
- ne conectăm pe C2 iar calculatorul va sincroniza profilul L1 de pe server cu L2 de pe
C2
- la ieşirea de pe C2 pe server se va salva un profil sincronizat L1 + L2
- ne conectăm pe C3, profilul de pe server se sincronizează cu profilul L3, iar la ieşire
vom avea un profil sincronizat L1 + L2 + L3
Pagina 29 din 51
Curs administratori de reţele Windows 2000
Cursul 8
4 Iunie 2003
Cote de disc
- putem limita spaţiul de disc pentru useri pe calculatoarele locale cu ajutorul tabului
Quota de la proprietăţile discului dorit
- limitarea se face local, astfel că un user poate avea cote de disc diferite pe calculatoare
diferite
- obiectele din Active Directory se pot găsi cu ajutorul ferestrei de căutare, urmând
calea Active Directory Users and Computers -> Action -> Find...
Pagina 30 din 51
Curs administratori de reţele Windows 2000
Cursul 9
9 Iunie 2003
Permisiunile NTFS (New Technology Files System)
- a fost implementat pentru prima dată în Windows NT
- NTFS permite acordarea de permisiuni şi interdicţii
- o permisiune reprezintă accesul unui utilizator sau grup la foldere şi fişiere, precum şi
acţiunile pe care le pot executa asupra acestor foldere şi fişiere
- permisiunile şi interdicţiile pot fi modificate de către administrator
- prin termenul de proprietar desemnăm un utilizator care a creat un folder sau un fişier
- asemenea administratorului, proprietarul poate acorda permisiuni şi interdicţii, dar
numai asupra obiectelor create
- userii cu drepturi pot şi ei să acorde permisiuni şi interdicţii
Foldere
- la nivel de folder avem următoarele permisiuni:
- Read – R – permite citirea fişierelor şi subfolderelor incluse
- Write – W – include posibilitatea creerii de fişiere şi subfoldere, respectiv schimbarea
de atribute (R, H, S)
- List – L – inventarierea folderului –permite intrarea cu un browser în folder
- Read and Execute – R & E – include permisiunile Read şi List precum şi lansarea în
execuţie a programelor
- Modify – M – cuprinde toate permisiunile precum şi ştergerea fişierelor şi
subfolderelor
- Full Control – FC – cuprinde permisiuni complete, inclusiv schimbarea permisiilor
Fişiere
- Read este identic cu cel de la foldere
- Write permite suprascrierea şi modificările de atribute
- Read and Execute identic
- Modify identic
- Full Control identic
- NTFS reţine în ACL (Access Control List) toate folderele şi fişierele din volum
- acestea conţin şi conturile de utilizatori şi grupuri care au obţinut permisiunile de
acces
- când un utilizator încearcă să acceseze un folder sau un fişier, în ACL trebuie să existe
un ACE (Acces Control Entry) pentru utilizatorul sau grupul respectiv
- în lipsa acestui Entry utilizatorul nu poate accesa obiectul
1. Permisiile cumulate
- permisiile efective ale unui utilizator la o resursă sunt egale cu suma permisiilor
asigurate la utilizator cu suma permisiilor asigurate utilizatorului sau grupurilor din
care face parte
Pe = Pk unde
k ( grupuri , utilizator i )
Pe - permisiile efective
- dacă un utilizator aparţine de două grupuri G1 şi G2 şi la G1 are permisiunea R, la G2
are R&E, iar la nivel de utilizator are permisiunea W, înseamnă că va avea R&E + W
Pagina 31 din 51
Curs administratori de reţele Windows 2000
3. Interzicerea
- blochează toate accesele
- o interzicere este prioritară faţă de o permisie
- dacă la nivelul unui grup permitem R şi W, iar unui utilizator din grupul respectiv
interzicem W, utilizatorul respectiv va avea permisiunea R
- dacă interzicem FC, nu va avea nici un drept
4. Moştenirea permisiilor
- implicit permisiile se propagă de la un folder la fişiere, respectiv la subfoldere, dar
acest lucru se poate bloca
- dacă se revocă moştenirea, atunci subfolderele incluse devin foldere patern şi li se pot
da drepturi
- în momentul formatării discului,grupul Everyone primeşte implicit permisiunea FC
Grupuri
- Everyone – conţine toţi utilizatorii intraţi în reţea la un moment dat
- Authenticated useri – conţine toţi utilizatorii care au intrat în reţea pe baza unui cont
de utilizator
- se recomandă schimbarea grupului Everyone in Authenticated user
- Anonymous user – user neautentificat
- pentru aceştia se recomandă crearea unui folder Public cu R şi L pentru Everyone
- Creator Owner – grupul proprietarilor – sunt userii cu drept de creere de fişiere şi
foldere şi care au cel puţin drept de W
1. Organizarea folderelor
- se recomandă organizarea folderelor în foldere de aplicaţii, în foldere de date şi în
foldere home
- se recomandă plasarea folderelor de date şi home pe un volum separat faţă de cel pe
care este instalat sistemul de operare
- operaţiunea de backup devine mai simplă dacă datele sunt plasate într-un folder
separat
Exerciţii
- creem un folder c:\test
- din meniul secundar alegem Properties -> Security
- dacă coloana Allow are căsuţele pe fond gri, înseamnă că moştenirea nu este ruptă
- pentru a dezactiva moştenirea, eliminăm bifa din Allow inheritable permissions from
parent to propagate to this object
- se deschide o fereastră care ne permite să copiem sau să eliminăm definitiv permisiile
- dacă alegem Copy, permisiile vor fi păstrate
- pentru a adăuga grupuri sau utilizatori, executăm click pe Add...
- cu butonul Check Names regăsim utilizatori sau grupuri tastând primele litere în lista
de jos
- adăugăm Authenticated Users cu R & E, L, R şi W şi eliminăm grupl Everyone
- creem un subfolder test1
- dacă Windows Explorer nu ne permite crearea folderului, atunci îl creăm din linia de
comandă
- rupem moştenirea pentru test1
- ca administrator putem modifica permisiunile folderelor, chiar dacă nu facem parte din
grupul de acces
- acest lucru este valabil şi pentru Creator Owner al folderului respectiv
- ca să putem şterge un folder, trebuie să avem permisiunile M sau FC
- acordăm permisiunile R şi W pentru test1
- permisiunea L la nivel de folder nu se propagă la fişier, dar R da
- în test1 creăm un fişier .txt
- nu putem modifica denumirea, dar putem scrie în fişier
- revenim la folderul test, bifăm M şi creăm un fişier test.txt
- din folderul test scoatem M şi lăsăm doar L
- fişierul test.txt nu va mai avea nici un drept
- la test.txt adăugăm Authenticated Users cu M
- din folderul test eliminăm Authenticated Users
- modificarea fişierului test.txt se poate face, în această situaţie, în felul următor:
- se partajează folderul test
- se deschide Notepad şi la Open... se scrie calea UNC
- prin copierea unui fişier dintr-un folder în altul, dacă destinaţia este tot un folder
NTFS, obiectul va fi tratat ca şi un obiect nou şi va primi permisiunile folderului
destinaţie
- dacă mutăm un obiect, atunci avem două situaţii:
- dacă se mută obiectul în cadrul aceluiaşi volum NTFS, atunci permisiunile se
păstrează
- dacă se mută de pe un volum NTFS pe alt volum NTFS, obiectul va prelua
caracterilsticile folderului destinaţie
- pentru destinaţie trebuie să avem cel puţin W, iar pentru sursă cel puţin M
Pagina 33 din 51
Curs administratori de reţele Windows 2000
Cursul 10
NTFS (Continuare)
- la nivel de folder, dreptul W reprezintă permisiunea de creere de subfoldere şi fişiere,
pe când la nivel de fişier acest drept reprezintă permisiunea de suprascriere
- la nivel de fişier FC înseamnă dreptul de schimbare a permisiilor precum şi preluarea
dreptului de proprietate
- tot la nivel de fişier, M se referă mai mult la permisia de ştergere
- un lucru important în securizarea folderelor şi fişierelor este tăierea moştenirii la nivel
superior
- tăierea moştenirii se poate face la orice nivel
- nu se recomandă tăierea moştenirii la nivel de fişier decât în mod excepţional
- cu NTFS rezolvăm atât securitatea la acces,cât şi continuitatea lucrului
Recomandări
- grupul Everyone trebuie şters din rădăcină şi înlocuit cu Authenticated Users cu drept
de M şi cu Administrator cu FC
- pentru folderul Home păstrăm Authenticated Users cu L şi Administrator cu FC (acesta
se moşteneşte din rădăcină)
- pentru folderul de profil trebuie să acordăm FC pentru user
- nu se recomandă denumirea folderului de profil după numele userului, pentru a nu
pune la dispoziţia hackerilor lista userilor şi, eventual, numele lor de logare
- la folderul de date, SGBD-urile trebuiesc ascunse în foldere restricţionate
- programatorilor să le asigurăm drept de FC pe propriul folder, dar să le recomandăm
să nu acorde drepturi mai mari de R pentru alţii
Permisii speciale
- există 14 permisii speciale din care 2 şi mai speciale
- pe folderul Test1 acordăm R la administrator
- executăm click pe Advanced..., selectăm Administrator şi executăm click pe
View/Edit...
- vom găsi patru permisii speciale pentru R: List Folder/Read Data, Read Attributes,
Read Extended Attributes şi Read Permissions
- dacă schimbăm permisiunea R şi acordăm W, la permisiunile speciale vom găsi alte
patru: Create Files/Write Data, Create Folders/Append Data, Write Attributes şi Write
Extended Attributes
- pentru permisiunea L avem cinci permisii speciale: Traverse Folder/Execute File, List
Folder/Read Data, Read Attributes, Read Extended Attributes şi Read Permissions
- pentru R & E avem aceleaşi permisiuni ca la L
- cele două permisii utile sunt Change Permissions şi Take Ownership
- Change Permissions se acordă acelor useri care au dreptul să modifice permisiile dar
nu au drept de FC
- pentru administrator Change Permissions este implicit
- şi grupul Creator/Owner are implicit Change Permissions
- permisiunea Take Ownership permite utilizatorului preluarea dreptului de proprietate
- transferul de proprietate se face din doi paşi:
- predarea dreptului de proprietate prin activarea permisiunii Take Ownership pentru
utilizatorul respectiv (prin acordarea FC sau doar Take Ownership de la permisiunile
speciale)
- noul proprietar trebuie să-şi preia implicit proprietatea – acest lucru îl face utilizatorul
- dacă administratorul vrea să-şi preia dreptul de proprietate asupra unui obiect, el are
acest drept fără activarea specială a acestui drept
- pentru preluarea dreptului de proprietate trebuie parcursă calea meniu de context ->
Security -> Advanced... -> tabul Owner
- dacă opţiunea Replace owner on subcontainers and objects este activă, atunci se
schimbă proprietarul şi pentru conţinutul folderului
Pagina 34 din 51
Curs administratori de reţele Windows 2000
- pentru protecţia totală a unui folder, se adaugă grupul Everyone şi la permisiile
speciale se selectează Deny pentru Delete
Cursul 11
16 Iunie 2003
Folderele partajate (shared)
- administrarea folderelor partajate este o metodă prin care putem realiza accesibilitatea
folderului prin reţea
- un folder partajat permite utilizatorilor din reţea accesul la subfolderele, respectiv la
fişierele conţinute
- un folder partajat poate conţine diferite tipuri de date – aplicaţii, date publice, date
personale – şi fiecare tip de dată necesită permisii specifice la nivel de folder
- permisiile de partajare se aplică la nivel de folder şi asigură o protecţie mai mică decât
permisiile NTFS
- nu restricţionează utilizatorul conectat local, ci se referă mai mult la utilizatorii
conectaţi prin reţea
- este singura metodă prin care putem restricţiona accesul la datele de pe volumele FAT
- când partajăm un folder, acesta va primi implicit permisiunea FC pentru grupul
Everyone
Permisiile shared
- Read (R) afişează numele folderului, fişierele şi subfolderele, precum şi atributele
acestora
- permite acces la citirea fişierelor, respectiv acces în subfolderele conţinute şi
executarea aplicaţiilor (seamănă cu R & E din NTFS)
- Change (C) permite crearea de subfoldere şi fişiere, modificarea fişierelor,
modificarea atributelor, ştergere de fişiere şi subfoldere, respectiv tot ce permite R
- Full Control (FC) permite modificarea permisiilor
- avem relaţia: R C FC
Aplicarea partajării
- un utilizator poate fi membru în mai multe grupe, iar grupele pot avea permisii diferite
la aceleaşi foldere
- în acest caz utilizatorul va avea accesul cel mai larg
- pe volumele NTFS, pentru ca un utilizator să aibă acces la un folder partajat, trebuie să
aibă, pe lângă permisiile share şi permisiile NTFS corespunzătoare
PU = PUshared PUntfs
unde PU = permisii utilizator
M x N x PNTFS x Pshared
se gestionează de ACL
Pagina 35 din 51
Curs administratori de reţele Windows 2000
- acordarea permisiilor celor mai restrictive care încă mai satisfac necesităţile
utilizatorilor, şi nu mai mult
- se recomandă FC doar utilizatorilor responsabili
- organizăm resursele în aşa fel încât să putem acorda permisiile cele mai restrictive
- folosirea de denumiri scurte pentru foldere, mergând până la respectarea restricţiilor
DOS (denumiri 8.3)
- se recomandă instalarea aplicaţiilor şi a datelor doar pe server
- apelarea executabilului se va face prin maparea acestuia în calculatorul client şi prin
introducerea căii în Target
- se recomandă acordarea de FC pentru administrator, C pentru grupul de responsabili şi
R pentru utilizatori
- pentru home se recomandă L pentru userii autentificaţi pe NTFS şi C la partajare, iar
pentru utilizator FC
- folderele de date trebuiesc ţinute separat de sistemul de operare şi acordarea de C
pentru utilizatorii datelor
- utilizatorii care deţin FC pot modifica permisiile de partajare
- pentru evitarea supraîncărcării reţelei, avem posibilitatea de a limita accesul simultan
la un folder partajat
- copierea sau mutarea unui folder partajat are ca rezultat un folder nepartajat
- proprietatea caching permite folosirea unui fişier prin copierea acestuia în calculatorul
clientului şi actualizarea modificărilor după salvare
- nu se recomandă activarea proprietăţii caching la fişierele de date cu acces concurent
Partajarea invizibilă
- se execută prin aplicarea caracterului $ în coada numelui de partajare
- Windows 2000 execută partajare invizibilă la instalare pentru rădăcinile discului,
inclusiv unitatea CD
- prin apelarea denumirii de partajare invizibilă din linia de comandă, avem acces la
toate folderele, indiferent de drepturile de partajare pe care le deţinem
- Admin$ este folderul în care este pus sistemul de operare, iar intrarea se face cu
\\nume_server\Admin$
- deoarece permisiile de partajare se pot ocoli, trebuie să ne bazăm pe securitatea NTFS
- se recomandă eliminarea grupului Everyone din rădăcina discului şi înlocuirea
acestuia cu Authenticated Users
- dacă nu vrem să acordăm acces la rădăcina discului, atunci selectăm opţiunea Do not
share this folder pentru rădăcină
Pagina 36 din 51
Curs administratori de reţele Windows 2000
Cursul 12
18 Iunie 2003
Tipurile de auditări
- acces la fişiere şi/sau foldere
- acces la imprimante
- logări şi ieşiri
- shutdown, restart
- schimbările şi modificările la nivel de grupe şi utilizatori
- modificări aduse obiectelor din Active Directory
- trebuie să stabilim dacă urmărim succesul sau eşecul unor evenimente
- se recomandă urmărirea eşecurilor deoarece sunt mai rare şi atrag atenţia asupra unor
probleme de securitate
- se recomandă auditarea reţelei în timp pentru a putea urmări modificările aduse la
nivel de utilizatori şi resurse şi pentru a trage concluzii cu privire la dinamica reţelei
- se recomandă auditarea a cât mai puţine evenimente, deoarece auditarea excesivă
supraîncarcă sistemul
- la obiectele de importanţă majoră, se recomandă auditarea la nivelul grupului
Everyone
- trebuie urmărită activitatea grupului Administrators din două motive: hackerii tind să
se logheze ca administrator şi, în plus, suntem acoperiţi în activitatea noastră de
administrator
- pentru Administrator se recomandă auditarea la nivelul fişierelor sensibile pe succes
- este necesară arhivarea periodică a fişierelor de audit
Pagina 39 din 51
Curs administratori de reţele Windows 2000
Cursul 13
23 Iunie 2003
Event Viewer
- la Event Viewer avem trei fişiere de auditare principale: pentru aplicaţii, pentru
securitate şi pentru sistem
- application log conţine erori, avertizări şi informaţii generate de programe – acesta
este implicit şi nu are legătură cu auditarea
- security log afişează auditarea obiectelor desemnate de administrator
- system log conţine erori, avertizări şi informaţii generate de sistemul de operare
- fişierele de auditare sunt localizate în %SystemRoot%\system32\config şi se numesc
AppEvent.evt, SecEvent.evt şi SysEvent.evt
- dacă intrăm la proprietăţile fişierului Security Log din Event Viewer putem să
determinăm lungimea fişierului, care este de 512 Kb implicit, putem să golim fişierul
sau să facem filtrări pe diferite criterii
Pagina 40 din 51
Curs administratori de reţele Windows 2000
Cursul 14
25 Iunie 2003
Imprimarea
- este una dintre cele mai problematice activităţi dintr-o reţea, având în vedere
diversitatea imprimantelor
- legarea unei imprimante la reţea se poate face în două moduri:
1) legarea la un calculator (imprimantă locală)
2) legarea prin placa de reţea a imprimantei, în cazul unei imprimante de reţea
- imprimanta de reţea reduce costurile de imprimare
Terminologie
- Printerul este un software de interfaţă între sistemul de operare şi dispozitivul de
tipărire
- acesta decide dacă un document este sau nu trimis către un dispozitiv de tipărire şi
când anume, fie legat printr-un port sau prin reţea, fie printr-un fişier de legătură, şi
care sunt acele aspecte pe care le va utiliza procesul de tipărire
- când un utilizator vrea să se conecteze la un printer, atunci utilizează numele acestuia
- Dispozitivul de tipărire este imprimanta fizică (hardware) care din punctul de vedere
al reţelei poate să fie locală sau de reţea
- Printer port este un software de interfaţă prin care calculatorul comunică cu
dispozitivul de tipărire LPT, COM, USB sau nişte porturi speciale cum sunt HP Jet
Direct sau Intel Net Port
- Printer driver reprezintă unul sau mai multe fişiere prin care sistemul de operare
converteşte comenzile de tipărire într-un limbaj specific de tipărire (este specific
dispozitivelor folosite)
- pentru tipărirea în reţea avem nevoie de cel puţin un dispozitiv legat de un calculator –
print server – cu Windows 2000 Server instalat
- acesta suportă cantităţi mari de date şi este compatibil cu reţele Unix sau Macitosh
- putem rula imprimanta şi de sub Windows 2000 Professional dar suntem limitaţi la 10
conexiuni simultane şi nu ne putem conecta la clienţi Macintosh
- serverul de imprimare trebuie să aibă RAM suficient şi spaţiu liber pe disc
Instalarea printerelor
- se recomandă instalarea imprimantelor din folderul Printers şi nu din fişierul de
instalare al imprimantei
- indiferent de tipul imprimantei, in cadrul wizardului de instalare, selectăm Local
printer şi nu Network printer
- dacă instalăm un printer local, în fereastra Select the printer port alegem un port local
- la Add printer wizard putem folosi Have disk... dacă avem softul pe CD sau floppy sau
Windows Updates dacă avem conexiune la Internet
- la Name your printer se recomandă să redenumim imprimanta
- partajarea imprimantei se poate face şi ulterior de la proprietăţile imprimantei
Pagina 41 din 51
Curs administratori de reţele Windows 2000
- la Location and Comment se recomandă localizarea imprimantei pentru ca userii să
găsească imprimanta
Auditarea imprimantei
- pentru a putea audita o imprimantă trebuie să activăm Object access pe succes şi/sau
eşec din Active Directory
- la Security -> Advenced -> Auditing -> Everyone şi aplicăm auditare pentru printer şi
documente
Pagina 42 din 51
Curs administratori de reţele Windows 2000
Cursul 15
30 Iunie 2003
Avantaje:
- administrarea simplificată – când cade un server, putem redirecta arborele Dfs la un
alt server, fără ca utilizatorii să sesizeze acest lucru
- navigare simplă – clienţii accesează resursele cu un singur spaţiu de nume folosind
rădăcina arborelui Dfs
- nu mai este nevoi de mapare, dar în caz de nevoie, linkurile din Dfs pot fi mapate
- echilibrarea încărcării reţelei – Dfs distribuie în mod automat accesul la fişiere pe mai
multe unităţi de disc, chiar din mai multe servere, în funcţie de traficul din reţea
- extensibilitate – poate fi extins cu oricâte elemente
- menţinearea securităţii – permisiile acordate la nivel de folder rămân valabile
- caching – după ce o resursă este accesată de un utilizator, aceasta este păstrată în
memorie până când utilizatorul menţine sesiunea de lucru
Limite:
- numărul maxim de caractere pe cale trebuie să fie mai mic de 260
- numărul maxim de alternative pe volum trebuie să fie mai mic sau egal cu 32
- numărul maxim de rădăcini Dfs este 1 pentru Dfs autonom şi nelimitat pentru Dfs de
domeniu
- numărul de volume pe arbore este teoretic nelimitat, practic depinde de server
- Dfs se instalează automat la instalarea Windows 2000 Server şi nu poate fi eliminat din
sistem
- poate fi de două feluri: autonom (stand-alone) şi de domeniu
- Dfs autonom se stochează în registrele locale ale unui singur server
- permite un singur nivel de linkuri
- permite toate sistemele de fişiere, dar se recomandă NTFS
- lipseşte redundanţa
- Dfs de domeniu este tolerant la defectări
- topologia este memorată în Active Directory
- toleranţa la defectări este asigurată prin posibilitatea ca linkurile să arate spre mai
multe dosare partajate identice
- avem la dispoziţie serviciul de replicare al fişierelor
- nu permite decât NTFS
Configurarea
- arborele Dfs formează un spaţiu de nume DNS unic
- un arbore este format dintr-o rădăcină şi noduri copil (linkuri)
- userii conectaţi la Dfs văd volumele, iar dacă au permisiune pot intra
- pentru activare Dfs, trebuie creată o consolă mmc şi adăugată funcţia Dfs
- pentru rădăcina Dfs trebuie să creăm un folder partajat direct din rădăcină
- meniu de context pe Dfs şi alegem New Dfs root
- meniu de context pe rădăcină şi alegem New dfs link
- Dfs poate fi îmbricat, dar acest lucru nu se recomandă pentru a nu crea referinţe
circulare
Pagina 43 din 51
Curs administratori de reţele Windows 2000
- pentru a defini o alternativă pentru un link, meniu de context pe link, New replica şi
căutăm calea folderului respectiv pe un alt server pentru replicare
- dacă rădăcina este de domeniu, atunci se asigură automat identitatea acestor directoare
- replicile locale servesc numai pentru echilibrarea reţelei (maximum 32 şi trebuiesc
administrate manual)
- în general se utilizează Dfs de domeniu
- se recomandă maparea rădăcinii arborelui Dfs
- se recomandă crearea replicilor
Pagina 44 din 51
Curs administratori de reţele Windows 2000
Cursul 16
2 Iulie 2003
Registry
- este o bază de date ierarhică în care sistemul de operare reţine setările hardware şi
software
- în varianta Windows 2000, registry înlocuieşte o serie de fişiere de tip INI, COM sau
SYS utilizate în sistemele de operare mai vechi
- registry furnizează informaţii privind lansarea aplicaţiilor, a componentelor precum şi
driverele şi protocoalele
- conţine date de diferite tipuri: componente hardware, drivere, protocoale, setările
plăcii de reţea
- datele sunt automat actualizate de către sistemul de operare
- în kernelul Windows NT programul ntoskrnl.exe citeşte în timpul startup-ului
informaţiile din registry şi înregistrează versiunea proprie
- driverele – citesc informaţiile referitoare la parametri de configurare şi scriu
informaţiile despre resursele utilizate
- user profile – Windows 2000 ţine profilul utilizator într-un fişier
- la startup sistemul de operare încarcă în registry variabilele profil pentru utilizatorul
care se loghează
- la modificarea acestora, prima dată modificarea se înregistrează în registry şi abia pe
urmă în User Profile
- Setup – în timpul instalării unei aplicaţii sau driver, programul de instalare
înregistrează în registry noua configuraţie, iar prin interogarea informaţiilor din
registry se determină componentele deja instalate
- Hardware Profile – citeşte configurarea hardware
- ntdetect.com – în timpul încărcării sistemului de operare detectează hardul şi
înregistrează în registry configuraţia actuală
- Registry are o structură ierarhică
- structura este arborescentă, asemănătoare cu structura logică a hard discului
- SUBTREE este analog cu rădăcina hard discului
- există două subtree-uri: HKEY_LOCAL_MACHINE şi HKEY_USERS
- HKEY vine de la handled key
- aceste două subtree-uri sunt reale
- pentru regăsirea rapidă a informaţiilor apar încă 3 subtree-uri logice:
HKEY_CURRENT_USER, HKEY_CLASSES_ROOT şi
HKEY_CURRENT_CONFIG
SUBTREE
KEYS
ENTRIES
- KEYS este analog folderului şi corespunde grupărilor de obiecte
- fiecare keys poate conţine una sau mai multe entry şi fiecare entry are mai multe
caracteristici(echivalente cu câmpurile dintr-o bază de date): nume, tip, valoare
- HIVE (stup) – este o parte discretă din KEYS sau ENTRIES şi corespunde unui fişier
registru şi unui fişier log stocate în %system root%\system32\config
- fişierul registru nu are extensie
- Windows 2000 foloseşte aceste fişiere pentru înregistrarea modificărilor şi pentru
asigurarea integrităţii regiştrilor
Pagina 45 din 51
Curs administratori de reţele Windows 2000
Tipurile de date utilizate
- fiecare tip are în faţă denumirea REG
- REG_WORD conţine 1-8 caractere hexazecimale
- aici se reţin date numerice
- REG_SZ corespunde strigului
- REG_EXPAND_SZ conţine şir de caractere dar poate conţine variabile system care,
prin expandare, vor fi înlocuite cu variabile concrete
- REG_BINARY este un şir de caractere hexazecimale în care fiecare pereche este
interpretată ca şi un octet
- REG_MULTI_SZ reprezintă valori multiple de şiruri de caractere
- fiecare şir este considerat ca şi un entry separat (corespunde câmpului memo)
- REG_FULL_RESOURCE_DESCRIPTOR conţine o listă cu resurse hard şi soft şi
este nemodificabilă pentru utilizator
Subtree-uri
- HKEY_LOCAL_MACHINE este un subtree fizic şi conţine toate informaţiile privind
configurarea calculatorului local
- HKEY_USERS conţine setările implicite ale sistemului de operare, respectiv
informaţiile privind controlul userilor
- HKEY_CURRENT_USER conţine date despre userul curent
- HKEY_CLASSES_ROOT conţine date privind configurarea soft
- HKEY_CURRENT_CONFIG conţine date privind configurarea curentă, adică copiile
informaţiilor din hive-urile sistem şi software
- HKEY_LOCAL_MACHINE – informaţiile de aici nu depind de utilizatorul intrat
- are 5 keys:
- cheia hardware conţine tipul şi starea componentelor fizice
- informaţiile nu sunt mapate în fişiere
- cheia SAM conţine baza de date directory pentru calculatorul local
- mapează fişierele SAM şi SAM.log
- cheia SECURITY conţine informaţii de securitate pentru calculatorul local
- mapează fişierele SECURITY şi SECURITY.log
- cheia SOFTWARE conţine informaţii privind driverele system şi serviciile
- mapează fişierele SOFTWARE şi SOFTWARE.log
- cheia SYSTEM conţine informaţii despre sistemul de operare
- mapează fişierele SYSTEM şi SYSTEM.log
Programul Regedit
- sub Windows 2000 se numeşte regedt32
- salvarea configuraţiei se face cu Save Key din meniul Registry – salvează regiştrii în
format binar
- înainte de salvare trebuie să selectăm subtree-ul sau cheile
- reîncărcarea se face cu Restore
- Save Subtree As ... salvează în fişier text
- putem face verificări de la distanţă cu Select Computers
- singurul motiv pentru a umbla manual în registry este dezinstalarea programelor care
nu se dezinstalează
File Replicated Service
- serviciul de replicare al fişierelor din Windows 2000 este folosit pentru replicarea
fişierelor pe mai multe servere şi pentru replicarea volumului sistem pe toate
controllerele – directorul sysvol
- FRS este instalat automat pe Windows 2000 Server şi porneşte automat pe toate
cotrollerele şi poate fi pornit pe toate serverele membre
- replicarea Active Directory şi FRS sunt independente, dar folosesc aceiaşi topologie,
terminologie şi metodologie
- de fapt, Active Directory foloseşte FRS pentru sincronizarea pe toate controllerele
- la instalarea Active Directory FRS este pornit automat
Pagina 46 din 51
Curs administratori de reţele Windows 2000
- fiecare domeniu are unul sau mai multe controllere de domeniu, iar pe fiecare
controller se găseşte o copie a Active Directory
- în cadrul unui site (amplasament), serviciul Active Directory formează o topologie inel
- topologia defineşte drumul prin care sunt actualizate bazele Active Directory şi
modalitatea de actualizare a bazelor una după alta, până la actualizarea lor pe toate
controllerele
- dacă adăugăm un nou controller, Active Directory reconfigurează topologia de
replicare, iar dacă un controller cade, automat este scos din topologia de replicare,
celelalte fiind reactualizate normal
- site-ul reprezintă unul sau mai multe subreţele formate din calculatoare bine legate
- bine legat înseamnă că într-un site calculatoarele sunt legate la viteza de 512 kb/sec.
site
site 1
site 1
domeniu 1 domeniu 2
site 2
site 3
Pagina 47 din 51
Curs administratori de reţele Windows 2000
Cursul 17
7 Iulie 2003
Terminal Services
- permite calculatoarelor mai slabe să execute programe care necesită resurse mai mari
- Terminal Services este introdus în Windows 2000 ca un serviciu standard
permite:
- acces cetralizat la aplicaţii
- folosirea calculatoarelor cu resurse hard minime
- acces la aplicaţii cu volum mai mare de date având o lăţime de bandă îngustă
- clienţii au nevoie, în multe cazuri, de acces doar la o singură aplicaţie şi nu la întreaga
suprafaţă de lucru
- clienţi suplii – calculatoare cu resurse hard foarte reduse
- clienţi umflaţi – calculatoare cu resurse hard normale
- indiferent de tipul clientului, folosirea calculatoarelor pe post de terminale necesită
numai încărcarea softului client (un program simplu ce poate fi introdus integral în
RAM)
- clienţii pot fi: calculatoare 386, 486 (teoretic şi 286) având sisteme de operare
cuprinse între DOS şi Windows 2000
- avem posibilitatea înlocuirii fără probleme a oricărui calculator client
- transfer redus de date prin reţea: se transmit numai datele de afişare pe ecran respectiv
datele comunicate prin tastatură şi mouse
Administrarea sesiunilor
- se face cu Terminal Services Manager
- putem trimite mesaje – meniu de context pe consola clientului şi alegem opţiunea
Send Message
- putem să deconectăm clientul – meniu de context pe numele clientului şi alegem
opţiunea Disconnect
- dacă avem instalat Remote Control, îl putem activa tot de la meniul de context al
consolei
- putem să configurăm la nivel de utilizator aspecte legate de utilizarea Terminal
Services
- acest lucru se poate face de la proprietăţile userului din Active Directory Users and
Computers, tabul Terminal Services Profile
- putem să interzicem accesul la Terminal Services prin deselectarea opţiunii Allow
logon to terminal server
- la tabul Environment putem determina programul cu care porneşte sesiunea
- la tabul Sessions putem limita durata sesiunilor de lucru
- avem un tab de configurare şi pentru Remote Control
Pagina 49 din 51
Curs administratori de reţele Windows 2000
Cursul 18
Configurări
- Windows 2000 reţine informaţiile de configurare în Registry şi în Active Directory
- uneltele de editare pentru configurarea sistemului sunt consolele mmc, editorul de
registry şi Control Panel
- urmăm calea Control Panel -> System -> Hardware
- la Hardware Profiles apare o listă cu profilele accesibile
- există implicit un profil
- pentru a crea un nou profil se selectează un profil existent şi copiază cu butonul
Copy... iar pe urmă se redenumeşte
- dacă există mai multe profile, atunci la pornirea sistemului putem selecta profilul dorit
- profilele se utilizează pentru utilizatori foarte complicaţi
- configurarea unui profil se face prin logarea la profilul respectiv
- la System Properties avem tabul Advanced
- la Performance Options putem configura distribuirea resurselor microprocesorului
între programele rulate simultan
- dacă alegem Applications atunci taskul activ va primi mai multe resurse microprocesor
- dacă alegem Background services atunci toate taskurile vor primi resurse egale
- tot aici putem defini dimensiunea memoriei virtuale
- modelul memoriei virtuale se bazează pe o memorie liniară adresabilă pe 32 de biţi şi
care poate fi de maximum 4 Gb
- pentru administrarea memoriei virtuale Windows 2000 utilizează sistemul Virtual
Memory Management care permite:
1) posibilitatea rulării mai multor aplicaţii simultan fără ca acestea să fie limitate la
memoria reală existentă
2) protecţia memoriei – VMM elimină posibilitatea ca un program să interfereze un
spaţiu de memorie alocat unui alt program
- memoria virtuală se referă la modul în care sistemul de operare face accesibilă
memoria fizică pentru aplicaţii
- Windows 2000 reprezintă fiecare bit de memorie cu o adresă unică
- VMM administrează un tabel de mapare a memoriei
- aici fiecare proces apare cu adresa virtuală a procesului şi a datelor utilizate
- când un thread solicită memorie VMM utilizează adresele virtuale pentru a localiza
adresele memoriei fizice corespondente, iar la nevoie transferă datele solicitate între
memoria fizică şi hard disc
- din cei maximum 4 Gb prima parte lucrează în kernel mode, adresele fiind mapate în
hardware, şi are un acces mai rapid
- a doua parte, kerne + user mode prezintă un tabel în care sunt paginate adresele
- paginile prezente în memoria fizică se numesc pagini valide, iar paginile care nu au
corespondent în memoria fizică se numesc pagini invalide şi ele se găsesc pe hard
Memoria virtuală Tabel Memoria fizică
Pagini
valide
Pagini
invalide
Hard disc
- VMM foloseşte trei taskuri
Pagina 50 din 51
Curs administratori de reţele Windows 2000
- primul task determină pagina ce se mută pe hard disc pe baza stivei FIFO
- al doilea task aduce pagina solicitată de pe hard disc (procesul de fetching) dar uneori
şi paginile vecine (procesul de clustering)
- al treilea task determină unde vor fi aduse datele, goleşte spaţiul salvând datele pe disc
- fişierul de memorie virtuală se află pe disc în %system root%\pagefile.sys
- iniţial are o dimensiune de 2 Mb şi nu poate fi micşorat sub această valoare
- Microsoft recomandă ca fişierul pagefile.sys să aibă o dimensiune de 1,5 x RAM
- tot aici putem întâlni fenomenul treashing (sufocare), care are loc atunci când memoria
virtuală este mult mai mare decât memoria reală şi sunt multe solicitări din pagini,
deci memoria fizică va fi ocupată cu transferul de date de pe disc
Backup
- salvarea de siguranţă a datelor este una dintre cele mai importante lucruri din reţea
- Start -> Programs -> Accessories -> System Tools -> Backup
- cu Emergency Repair Disk putem crea o dischetă de pornire în caz de incident de
sistem
- la Schedule Jobs putem programa salvările de siguranţă
Pagina 51 din 51